Microsoft Graph での Azure Active Directory リソースの使用
重要
Microsoft Graph のバージョンの /beta API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 API が v1.0 で使用できるかどうかを確認するには、 バージョン セレクターを使用します。
Microsoft Graph を使用すると、Azure Active Directory (Azure AD) リソースにアクセスして、管理者 (ディレクトリ) ロールの管理や外部ユーザーの組織への招待、クラウド ソリューション プロバイダー (CSP) の場合は顧客のデータの管理などのシナリオを有効にできます。 Microsoft Graph には、たとえばグループやロールにおけるユーザーの推移的なメンバーシップに関する情報を検出するメソッドなど、アプリで使用できるメソッドも用意されています。
注: Azure AD リソースの一部については、API リファレンスの他のセクションに記載されています。 詳細については、「ユーザー」と「グループ」を参照してください。
Authorization
Azure AD リソースに Microsoft Graph API を呼び出すには、アプリに適切なアクセス許可が必要です。 Azure AD リソース上で公開されている API の多くには、ディレクトリ アクセス許可が必要です。 ディレクトリ アクセス許可は高い権限が与えられており、常に管理者の同意を必要とします。
アプリがユーザーを代行している場合 (委任されたアクセス許可)、Azure AD API のうちの多くを正常に呼び出すには、ユーザーがそのアプリの適切な管理者ロール メンバーである必要があります。
アクセス許可 (委任されたアクセス許可とアプリケーションのアクセス許可を含む) の詳細については、「アクセス許可」を参照してください。
一般的なユース ケース
次の表に、Azure AD リソースの一般的なユース ケースを示します。
| ユース ケース | REST リソース | 関連項目 |
|---|---|---|
| ディレクトリ オブジェクトおよびメソッド | ||
directoryObject は、ユーザーやグループなどの多数のディレクトリ リソースの継承元となる基底クラスです。 Microsoft Graph では、ユーザーやグループなどのディレクトリ オブジェクトに関する情報の検出に使用できる複数のメソッドを公開しています。 たとえば、グループのリストに推移的なメンバーシップが含まれていないか確認すること、ディレクトリ オブジェクトが推移的なメンバーとなっているすべての所属先グループとディレクトリ ロールを返すこと、汎用リソース ID のリストから指定された種類のリソース (ユーザーまたはグループなど) をすべて返すことができます。 |
directoryObject | 該当なし |
| ディレクトリ (管理者) ロール、管理単位、ディレクトリ設定、ポリシーの管理 | ||
| Azure AD テナント内のディレクトリ ロールをアクティブにし、ディレクトリ ロール内のユーザー メンバーシップを管理します。 ディレクトリ ロールは、管理者ロールとも呼ばれます。 | directoryRole directoryRoleTemplate |
Azure Active Directory での管理者ロールの割り当て |
| 管理単位を管理します。 ディレクトリ ロールは、メンバーにテナント全体の権限を委任します。 管理者は、管理単位を作成および管理して、詳細に範囲を指定した管理権限をユーザーに委任できます。 | administrativeUnit | Azure AD の管理単位の管理 |
| テナント全体または個々のリソースのインスタンスに、定義済みのディレクトリ設定を適用します。 現在サポートされているのは、Office 365 グループの設定のみです。 ディレクトリ設定は、グループ表示名でブロックする単語の一覧や、ゲスト ユーザーがグループの所有者になることを許可するか、といった動作を制御します。 | directorySetting directorySettingTemplate |
グループ設定を構成するための Azure Active Directory コマンドレット |
| Azure AD ポリシーを、アプリケーション、サービス プリンシパル、グループ、または組織全体に適用します。 クレームマッピング、トークンの発行、トークンの有効期間、ホーム領域の検出などのポリシーをサポートしています。 | 使用可能なポリシー | 該当なし |
| Azure AD に対する特権アクセスをセキュリティで保護する | ||
| Privileged Identity Management (PIM) を使用して管理者および IT プロフェッショナルのディレクトリと Azure リソースに対する期限付きの特権アクセスを管理および監視します。 | Privileged Identity Management API | Azure AD Privileged Identity Management とは |
| マルウェアに感染したデバイスまたは未知の場所からのユーザーのサインインなど、ID リスク イベントを監視します。 | Identity Protection Service API | Azure Active Directory Identity Protection Azure Active Directory リスク イベント |
| デバイスの管理 | ||
| 組織に登録されているデバイスを管理します。 デバイスはユーザーに登録されており、ノート PC、デスクトップ、タブレット、携帯電話などのアイテムを含みます。 デバイスは通常、Device Registration Service を使用するか、Microsoft Intune によって、クラウドで作成されます。 これは、多要素認証の条件付きアクセス ポリシーで使用されます。 | デバイス | Azure Active Directory デバイス登録の使用 |
| アプリの管理 | ||
| 開発テナントのアプリ構成を管理します。 | アプリケーション | Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト |
| テナントにインストールされているアプリを管理します。 | servicePrinicpal | Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト |
| テナントにインストールされているアプリにおける、ユーザーと管理者が同意したアクセス許可を管理します。 | oAuth2PermissionGrant | 該当なし |
| テナントにインストールされている、ユーザー、グループ、サービス プリンシパル ロールのメンバーシップを管理します。 | appRoleAssignment | 該当なし |
| パートナー テナント管理 | ||
| 顧客テナントとのパートナーシップに関する情報を取得します。 注: これはパートナー テナントにのみ適用されます。パートナー テナントとは、Microsoft クラウド ソリューション プロバイダー、Office 365 Syndication、Microsoft Advisor パートナー プログラムのいずれかに含まれている、Microsoft パートナーに所属する Azure AD テナントです。 |
コントラクト | クラウド ソリューション プロバイダーのアプリケーションからの Microsoft Graph の呼び出し |
| テナントに関連付けられているドメインを管理します。ドメイン操作によって Microsoft 365 などのサービスのドメインの関連付けを自動化するレジストラーを有効にします。 | domain | Azure Active Directory へのカスタム ドメイン名の追加 |
| テナント管理 | ||
| 会社住所、技術部連絡先、通知連絡先、サブスクライブ先のサービス プラン、関連付けられているドメインなど、組織に関する情報を取得します。 | organization | N/A |
| 会社のサブスクライブ先のサービス SKU に関する情報を取得します。 | subscribedSku | N/A |
| 組織に外部 (ゲスト) ユーザーを招待します。 | invitation | Azure AD B2B コラボレーションとは |
| 組織のサインイン エクスペリエンスのブランド化を管理します。 | organizationalbranding | 組織の Azure Active Directory のサインイン ページにブランドを追加する |
| アクセス レビュー | ||
| グループのメンバーシップとアプリケーションのアクセス権がアクセス レビューで適切であることを確認します。 | アクセス レビュー API | Azure AD アクセス レビュー |
| 同意要求 | ||
| 管理者認証が必要なアプリにアクセスしようとしているユーザーの同意要求ワークフローを管理します。 | 同意要求 API | 管理者同意ワークフローを構成する |
新機能
この API セットに関する 最新機能や更新プログラム を検索してください。
次の手順
ディレクトリ リソースと API によって、ユーザーとの連携や、ユーザーの Microsoft Graph のエクスペリエンスを管理する新しい方法が見つかります。詳細情報
- 特定のシナリオに役立つ、メソッドとリソースのプロパティを詳しく調べます。
- Graph エクスプローラーで API をお試しください。
さらに情報が必要な場合「パートナーによる Microsoft Graph の活用方法」を参照してください。
フィードバック
フィードバックの送信と表示