Microsoft Graph での Azure Active Directory リソースの使用Working with Azure Active Directory resources in Microsoft Graph

重要

Microsoft Graph の/betaバージョンの api は変更される可能性があります。APIs under the /beta version in Microsoft Graph are subject to change. 実稼働アプリケーションでは、これらの API の使用はサポートされていません。Use of these APIs in production applications is not supported.

Microsoft Graph を使用すると、Azure Active Directory (Azure AD) リソースにアクセスして、管理者 (ディレクトリ) ロールの管理や外部ユーザーの組織への招待、クラウド ソリューション プロバイダー (CSP) の場合は顧客のデータの管理などのシナリオを有効にできます。With Microsoft Graph, you can access Azure Active Directory (Azure AD) resources to enable scenarios like managing administrator (directory) roles, inviting external users to an organization, and, if you are a Cloud Solution Provider (CSP), managing your customer's data. Microsoft Graph には、たとえばグループやロールにおけるユーザーの推移的なメンバーシップに関する情報を検出するメソッドなど、アプリで使用できるメソッドも用意されています。Microsoft Graph also provides methods apps can use, for example, to discover information about users' transitive group and role memberships.

: Azure AD リソースの一部については、API リファレンスの他のセクションに記載されています。Note: Some Azure AD resources are documented in other sections of the API reference. 詳細については、「ユーザー」と「グループ」を参照してください。For more information, see Users and Groups.

承認Authorization

Azure AD リソースに Microsoft Graph API を呼び出すには、アプリに適切なアクセス許可が必要です。To call the Microsoft Graph APIs on Azure AD resources, your app will need the appropriate permissions. Azure AD リソース上で公開されている API の多くには、ディレクトリ アクセス許可が必要です。Many of the APIs exposed on Azure AD resources require one of the Directory permissions. ディレクトリ アクセス許可は高い権限が与えられており、常に管理者の同意を必要とします。Directory permissions are highly privileged and always require administrator consent.

アプリがユーザーを代行している場合 (委任されたアクセス許可)、Azure AD API のうちの多くを正常に呼び出すには、ユーザーがそのアプリの適切な管理者ロール メンバーである必要があります。If your app is acting on behalf of a user (delegated permissions), that user will likely need to be a member of an appropriate administrator role for your app to successfully call many of the Azure AD APIs.

アクセス許可 (委任されたアクセス許可とアプリケーションのアクセス許可を含む) の詳細については、「アクセス許可」を参照してください。For more information about permissions, including delegated and application permissions, see Permissions.

一般的なユース ケースCommon use cases

次の表に、Azure AD リソースの一般的なユース ケースを示します。The following table lists some common use cases for Azure AD resources.

ユース ケースUse cases REST リソースREST resources 関連項目See also
ディレクトリ オブジェクトおよびメソッドDirectory object and methods
directoryObject は、ユーザーやグループなどの多数のディレクトリ リソースの継承元となる基底クラスです。directoryObject is the base class that many directory resources, like users and groups, inherit from. Microsoft Graph では、ユーザーやグループなどのディレクトリ オブジェクトに関する情報の検出に使用できる複数のメソッドを公開しています。Microsoft Graph exposes several methods that you can use to discover information about users, groups, and other directory objects. たとえば、グループのリストに推移的なメンバーシップが含まれていないか確認すること、ディレクトリ オブジェクトが推移的なメンバーとなっているすべての所属先グループとディレクトリ ロールを返すこと、汎用リソース ID のリストから指定された種類のリソース (ユーザーまたはグループなど) をすべて返すことができます。For example, you can check for transitive membership in a list of groups, return all the groups and directory roles that a directory object is a transitive member of, or get all the resources of a specified type (like user or group) from a list of generic resource IDs. directoryObjectdirectoryObject 該当なしN/A
ディレクトリ (管理者) ロール、管理単位、ディレクトリ設定、ポリシーの管理Manage directory (administrator) roles, administrative units, directory settings, and policy
Azure AD テナント内のディレクトリ ロールをアクティブにし、ディレクトリ ロール内のユーザー メンバーシップを管理します。Activate directory roles in an Azure AD tenant and manage user memberships in directory roles. ディレクトリ ロールは、管理者ロールとも呼ばれます。Directory roles are also known as administrator roles. directoryRoledirectoryRole
directoryRoleTemplatedirectoryRoleTemplate
Azure Active Directory での管理者ロールの割り当てAssigning administrator roles in Azure Active Directory
管理単位を管理します。Manage administrative units. ディレクトリ ロールは、メンバーにテナント全体の権限を委任します。Directory roles delegate tenant-wide authority to their members. 管理者は、管理単位を作成および管理して、詳細に範囲を指定した管理権限をユーザーに委任できます。An administrator can create and manage administrative units to delegate more granularly scoped administrative authority to users. administrativeUnitadministrativeUnit Azure AD の管理単位の管理Administrative units management in Azure AD
テナント全体または個々のリソースのインスタンスに、定義済みのディレクトリ設定を適用します。Apply predefined directory settings across a tenant or to individual resource instances. 現在サポートされているのは、Office 365 グループの設定のみです。Currently, only settings for Office 365 groups are supported. ディレクトリ設定は、グループ表示名でブロックする単語の一覧や、ゲスト ユーザーがグループの所有者になることを許可するか、といった動作を制御します。Directory settings control behaviors like blocked word lists for group display names, whether guest users are allowed to be group owners, and much more. directorySettingdirectorySetting
directorySettingTemplatedirectorySettingTemplate
グループ設定を構成するための Azure Active Directory コマンドレットAzure Active Directory cmdlets for configuring group settings
Azure AD ポリシーを、アプリケーション、サービス プリンシパル、グループ、または組織全体に適用します。Apply Azure AD policies to applications, service principals, groups, or the entire organization. 現在サポートされているのは、トークンの有効期間およびホーム領域検出に関するポリシーです。Currently, policies for token lifetime and home realm discovery are supported. ポリシーpolicy 該当なしN/A
Azure AD に対する特権アクセスをセキュリティで保護するSecure privileged access to Azure AD
Privileged Identity Management (PIM) を使用して管理者および IT プロフェッショナルのディレクトリと Azure リソースに対する期限付きの特権アクセスを管理および監視します。Manage and monitor time-bound privileged access to directory and Azure resources for administrators and IT professionals with Privileged Identity Management (PIM). Privileged Identity Management APIPrivileged Identity Management API Azure AD Privileged Identity Management とはWhat is Azure AD Privileged Identity Management?
マルウェアに感染したデバイスまたは未知の場所からのユーザーのサインインなど、ID リスク イベントを監視します。Monitor identity risk events like users signing in from malware-infected devices or from unfamiliar locations. Identity Protection Service APIIdentity Protection Service API Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure Active Directory リスク イベントAzure Active Directory risk events
デバイスの管理Manage devices
組織に登録されているデバイスを管理します。Manage devices registered in the organization. デバイスはユーザーに登録されており、ノート PC、デスクトップ、タブレット、携帯電話などのアイテムを含みます。Devices are registered to users and include items like laptops, desktops, tablets, and mobile phones. デバイスは通常、Device Registration Service を使用するか、Microsoft Intune によって、クラウドで作成されます。Devices are typically created in the cloud using the Device Registration Service or by Microsoft Intune. これは、多要素認証の条件付きアクセス ポリシーで使用されます。They're used by conditional access policies for multifactor authentication. デバイスdevice Azure Active Directory デバイス登録の使用Getting started with Azure Active Directory device registration

InTune とはWhat is InTune?

Intune における管理用にデバイスを登録するEnroll devices for management in InTune
アプリの管理App management
開発テナントのアプリ構成を管理します。Manage app configuration in a developer tenant. アプリケーションapplication Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクトApplication and service principal objects in Azure Active Directory
テナントにインストールされているアプリを管理します。Manage apps installed in a tenant. servicePrinicpalservicePrinicpal Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクトApplication and service principal objects in Azure Active Directory
テナントにインストールされているアプリにおける、ユーザーと管理者が同意したアクセス許可を管理します。Manage permissions consented by users and administrators on apps installed in a tenant. oAuth2PermissionGrantoAuth2PermissionGrant 該当なしN/A
テナントにインストールされている、ユーザー、グループ、サービス プリンシパル ロールのメンバーシップを管理します。Manage user, group, and service principal role memberships on apps installed in a tenant. appRoleAssignmentappRoleAssignment 該当なしN/A
パートナー テナント管理Partner tenant management
顧客テナントとのパートナーシップに関する情報を取得します。Get information about partnerships with customer tenants.

注: これはパートナー テナントにのみ適用されます。Note: This applies to partner tenants only. パートナー テナントとは、Microsoft クラウド ソリューション プロバイダー、Office 365 Syndication、Microsoft Advisor パートナー プログラムのいずれかに含まれている、Microsoft パートナーに所属する Azure AD テナントです。Partner tenants are Azure AD tenants that belong to Microsoft partners who are either part of the Microsoft Cloud Solution Provider, Office 365 Syndication, or Microsoft Advisor partner programs.
コントラクトcontract クラウド ソリューション プロバイダーのアプリケーションからの Microsoft Graph の呼び出しCall Microsoft Graph from a Cloud Solution Provider application
テナントに関連付けられているドメインを管理します。Manage domains associated with a tenant. ドメイン操作によって Office 365 などのサービスのドメインの関連付けを自動化するレジストラーを有効にします。Domain operations enable registrars to automate domain association for services such as Office 365. domaindomain Azure Active Directory へのカスタム ドメイン名の追加Add a custom domain name to Azure Active Directory
テナント管理Tenant management
会社住所、技術部連絡先、通知連絡先、サブスクライブ先のサービス プラン、関連付けられているドメインなど、組織に関する情報を取得します。Get information about an organization, such as its business address, technical and notification contacts, the service plans that it's subscribed to, and the domains associated with it. organizationorganization N/AN/A
会社のサブスクライブ先のサービス SKU に関する情報を取得します。Get information about the service SKUs that a company is subscribed to. subscribedSkusubscribedSku N/AN/A
組織に外部 (ゲスト) ユーザーを招待します。Invite external (guest) users to an organization. invitationinvitation Azure AD B2B コラボレーションとはWhat is Azure AD B2B collaboration?
アクセス レビューAccess reviews
グループのメンバーシップとアプリケーションのアクセス権がアクセス レビューで適切であることを確認します。Ensure group memberships and application access rights are correct with access reviews アクセス レビュー APIaccess reviews API Azure AD アクセス レビューAzure AD access reviews

次のステップNext steps

ディレクトリ リソースと API によって、ユーザーとの連携や、ユーザーの Microsoft Graph のエクスペリエンスを管理する新しい方法が見つかります。Directory resources and APIs can open up new ways for you to engage with users and manage their experiences with Microsoft Graph. 詳細情報To learn more:

  • 特定のシナリオに役立つ、メソッドとリソースのプロパティを詳しく調べます。Drill down on the methods and properties of the resources most helpful to your scenario.
  • Graph エクスプローラーで API をお試しください。Try the API in the Graph Explorer.

さらに情報が必要な場合「パートナーによる Microsoft Graph の活用方法」を参照してください。Need more ideas? See how some of our partners are using Microsoft Graph.