-
[アーティクル]
-
-
この記事では、アプリケーションに対するユーザーの同意方法と、アプリケーションに対する今後のユーザーの同意操作をすべて無効にする方法について説明します。
アプリケーションが組織のデータにアクセスできるようにするには、そのためのアプリケーションのアクセス許可をユーザーに付与する必要があります。 異なるアクセス許可によって、さまざまなレベルのアクセスが可能になります。 既定では、すべてのユーザーが、管理者の同意を必要としないアクセス許可のアプリケーションに同意することが許可されています。 たとえば、既定では、ユーザーはアプリが自分のメールボックスにアクセスすることを許可することができますが、組織内のすべてのファイルを自由に読み取りと書き込みできるアクセスをアプリに許可することに同意することはできません。
悪意のあるアプリケーションがユーザーに組織のデータへのアクセス付与を誘導しようとした場合のリスクを軽減するために、確認済み発行者によって発行されたアプリケーションに対してのみユーザーの同意を許可することをお勧めします。
重要
2022 年 9 月 30 日以降、新しいテナントの同意設定は、"Microsoft の推奨に従う" が新たに既定となる予定です。 サインインやユーザー プロファイルの読み取りアクセス許可など、基本的なアクセス許可がアプリケーションから要求された場合に、エンド ユーザーが発行元の確認なしでマルチテナント アプリケーションに同意することはできない、というのが、その時点で Microsoft が推奨する初期設定となります。
前提条件
ユーザーの同意を構成するには、次のものが必要です。
- ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 全体管理者または特権管理者のロール。
Azure portal を使用してユーザーの同意設定を構成するには:
Azure portal にグローバル管理者としてサインインします。
[Azure Active Directory]>[エンタープライズ アプリケーション]>[同意とアクセス許可]>[ユーザーの同意設定] を選択します。
[User consent for applications](アプリケーションに対するユーザーの同意) で、すべてのユーザーに対して構成する同意設定を選択します。
[Save](保存) を選択して設定を保存します。
アプリケーションに対するユーザーの同意を制御するアプリの同意ポリシーを選択するため、最新の Azure AD PowerShell モジュールを使用できます。
Note
以下の手順では、一般提供 Azure AD PowerShell モジュール (AzureAD) を使用します。 パラメーター名は、このモジュールのプレビュー バージョン (AzureADPreview) とは異なります。 両方のモジュールをインストールしている場合、次を先に実行し、正しいモジュールからコマンドレットを確実に使用します。
Remove-Module AzureADPreview -ErrorAction SilentlyContinue
Import-Module AzureAD
ユーザーの同意を無効にする
ユーザーの同意を無効にするには、ユーザーの同意を制御する同意ポリシーを空に設定します。
Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
"PermissionGrantPoliciesAssigned" = @() }
アプリの同意ポリシーに従ってユーザーの同意を許可する
ユーザーの同意を許可するには、アプリに同意するユーザーの承認を管理するアプリの同意ポリシーを選択します。
Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
"PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }
{consent-policy-id} を、適用するポリシーの ID に置き換えます。 作成したカスタム アプリの同意ポリシーを選択することも、次の組み込みポリシーから選択することもできます。
| id |
説明 |
| microsoft-user-default-low |
確認済みの発行元からのアプリに対して選択されたアクセス許可を与えることへのユーザーの同意を許可する
確認済みの発行元からのアプリとテナントに登録されているアプリ、および影響が少ないとして分類したアクセス許可に対してのみ、制限付きのユーザーの同意を許可します。 (アクセス許可を分類して、ユーザーが同意を許可できるアクセス許可を選択してください。) |
| microsoft-user-default-legacy |
アプリに対するユーザーの同意を許可する
このオプションを使用すると、すべてのユーザーが、すべてのアプリケーションに対し、管理者の同意を必要としないすべてのアクセス許可に同意することができます |
たとえば、組み込みのポリシー microsoft-user-default-low に従ってユーザーの同意を有効にするには、次のコマンドを実行します。
Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
"PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }
ヒント
ユーザーが同意することが許可されていないアプリケーションの管理者によるレビューと承認をユーザーが要求できるようにするには、管理者の同意ワークフローを有効にします。 たとえば、ユーザーの同意が無効になっている場合や、ユーザーによる付与が許可されていないアクセス許可をアプリケーションが要求している場合に、このような操作を行うことができます。
次の手順