アプリケーションに対してテナント全体の管理者の同意を付与する

アプリケーションにテナント全体の管理者の同意を付与する方法について説明します。 この記事では、さまざまな方法でこれを実現します。

アプリケーションに同意する行為の詳細については、「Azure Active Directory 同意フレームワーク」を参照してください。

前提条件

テナント全体の管理者の同意を付与するには、組織を代表して同意する権限を持つユーザーとしてサインインする必要があります。 これには、全体管理者特権ロール管理者、および一部のアプリケーションでは、アプリケーション管理者クラウド アプリケーション管理者が含まれます。 アプリケーションにアクセス許可を付与するアクセス許可を含むカスタム ディレクトリ ロールが割り当てられているユーザーも、テナント全体の同意を付与することが許可されます。

警告

テナント全体の管理者の同意をアプリケーションに付与すると、アプリおよびアプリの発行者に、組織のデータへのアクセスが許可されます。 同意を付与する前に、アプリケーションで要求されているアクセス許可をよく確認してください。

重要

アプリケーションにテナント全体の管理者の同意が付与されていると、ユーザーの割り当てが必要であると構成されていない限り、すべてのユーザーがアプリにサインインできるようになります。 アプリケーションにサインインできるユーザーを制限するには、ユーザー割り当てを要求してから、アプリケーションにユーザーまたはグループを割り当てます。 詳細については、ユーザーとグループの割り当て方法に関するページを参照してください。

テナントでアプリケーションが既にプロビジョニングされている場合、"エンタープライズ アプリケーション" を通じて、テナント全体の管理者の同意を付与できます。 たとえば、少なくとも 1 人のユーザーが既にアプリケーションに同意している場合は、アプリがテナントでプロビジョニングされている可能性があります。 詳細については、「アプリケーションを Azure AD に追加する方法と理由」を参照してください。

[エンタープライズ アプリケーション] に一覧表示されているアプリにテナント全体の管理者の同意を付与するには:

  1. グローバル管理者アプリケーション管理者、またはクラウド アプリケーション管理者として、Azure portal にサインインします。
  2. [Azure Active Directory] を選択し、 [エンタープライズ アプリケーション] を選択します。
  3. テナント全体の管理者の同意を付与するアプリケーションを選択します。
  4. [アクセス許可] を選択し、 [管理者の同意の付与] をクリックします。
  5. アプリケーションに必要なアクセス許可を慎重に確認します。
  6. アプリケーションで必要なアクセス許可に同意する場合は、同意を付与します。 そうでない場合は、 [キャンセル] をクリックするか、ウィンドウを閉じます。

警告

エンタープライズ アプリ 経由でテナント全体に管理者の同意を与えると、以前にテナント全体に与えられていたアクセス許可が取り消されます。 以前にユーザーが自分で与えたアクセス許可は影響を受けません。

組織で開発したアプリケーション、または Azure AD テナントに直接登録されているアプリケーションの場合は、Azure portal の [アプリの登録] から、テナント全体の管理者の同意を付与することもできます。

[アプリの登録] からテナント全体の管理者の同意を付与するには:

  1. グローバル管理者アプリケーション管理者、またはクラウド アプリケーション管理者として、Azure portal にサインインします。
  2. [Azure Active Directory] を選択し、 [アプリの登録] を選択します。
  3. テナント全体の管理者の同意を付与するアプリケーションを選択します。
  4. [API のアクセス許可] を選択し、 [管理者の同意を与える] をクリックします。
  5. アプリケーションに必要なアクセス許可を慎重に確認します。
  6. アプリケーションで必要なアクセス許可に同意する場合は、同意を付与します。 そうでない場合は、 [キャンセル] をクリックするか、ウィンドウを閉じます。

警告

アプリの登録 経由でテナント全体に管理者の同意を与えると、以前にテナント全体に与えられていたアクセス許可が取り消されます。 以前にユーザーが自分で与えたアクセス許可は影響を受けません。

上記のいずれかの方法を使用してテナント全体の管理者の同意を付与すると、Azure portal でウィンドウが開き、テナント全体の管理者の同意を求めるメッセージが表示されます。 アプリケーションのクライアント ID (アプリケーション ID とも呼ばれます) がわかっている場合は、同じ URL を作成して、テナント全体の管理者の同意を付与することができます。

テナント全体の管理者の同意の URL は、次のような形式です。

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}

各値の説明:

  • {client-id} は、アプリケーションのクライアント ID (アプリ ID とも呼ばれます) です。
  • {tenant-id} は、組織のテナント ID または検証済みのドメイン名です。

この場合も、同意を付与する前に、アプリケーションで要求されているアクセス許可をよく確認してください。

警告

この URL 経由でテナント全体に管理者の同意を与えると、以前にテナント全体に与えられていたアクセス許可が取り消されます。 以前にユーザーが自分で与えたアクセス許可は影響を受けません。

次のステップ

Azure Active Directory でエンド ユーザーがアプリケーションに同意する方法を構成する

管理者の同意ワークフローの構成

Microsoft ID プラットフォームでのアクセス許可と同意

Microsoft Q&A の Azure AD