Microsoft 365 利用状況レポートを読み込むための API 用の承認Authorization for APIs to read Microsoft 365 usage reports

Microsoft Graph レポート API 経由でアクセス可能なレポート データは、機密性が高いデータです。Report data accessible via the Microsoft Graph reports API is sensitive. 特に、Microsoft 365 利用状況レポートは、アクセス許可と Azure Active Directory (Azure AD) ロールの両方によって保護されています。In particular, Microsoft 365 usage reports are protected by both permissions and Azure Active Directory (Azure AD) roles. この記事の情報は、Microsoft 365 利用状況レポートを読み取るレポート API に適用されます。The information in this article applies to the reports API that reads Microsoft 365 usage reports.

Microsoft 365 利用状況レポートを読み取るための API では、2 種類の承認がサポートされています。The APIs to read Microsoft 365 usage reports support two types of authorization:

  • アプリケーション レベル承認 - サインインしているユーザーがいない場合でも、すべてのサービス利用状況レポートの読み取りをアプリが実行できるようにします。Application-level authorization - Allows an app to read all service usage reports without a signed-in user. アプリケーションに付与されたアクセス許可によって、承認が決定します。The permissions granted to the application determine authorization.
  • ユーザーにより委任された承認 - サインインしているユーザーの代わりに、すべてのサービス利用状況レポートの読み取りをアプリが実行できるようにします。User delegated authorization - Allows an app to read all service usage reports on behalf of the signed-in user. アプリケーションに必要なアクセス許可が付与されていることに加え、ユーザーが Azure AD 制限付き管理者ロールのメンバーである必要があります。In addition to the app having been granted the required permissions, the user must be a member of an Azure AD limited administrator role. このロールとして、会社の管理者、Exchange 管理者、SharePoint 管理者、Lync 管理者、Teams サービス管理者、Teams 通信管理者、グローバル閲覧者、またはレポート閲覧者のいずれかが有効です。This can be one of the following roles: company administrator, Exchange administrator, SharePoint administrator, Lync administrator, Teams Service Administrator, Teams Communications Administrator, global reader, or reports reader.

API を Graph エクスプローラーから呼び出す場合:If you're calling the APIs from Graph Explorer:

  • Azure AD テナント管理者は、要求されたアクセス許可を Graph エクスプローラー アプリケーションに付与することに明示的に同意する必要があります。The Azure AD tenant administrator must explicitly grant consent for the requested permissions to the Graph Explorer application.
  • 上記の「ユーザーにより委任された承認」にあるとおり、ユーザーは Azure AD の制限付き管理者ロールのメンバーである必要があります。The user must be a member of a limited administrator role in Azure AD, listed above for user-delegated authorization.

: Graph エクスプローラーでは、アプリケーション レベルの承認がサポートされていません。Note: Graph Explorer does not support application-level authorization.

API をアプリケーションから呼び出す場合:If you're calling the APIs from an application:

  • Azure AD テナント管理者は、アプリケーションに対して明示的に承認を与える必要があります。The Azure AD tenant administrator must explicitly grant consent to your application. これは、アプリケーション レベルの承認と、ユーザーにより委任された承認の両方に必要です。This is required both for application-level authorization and user delegated authorization.
  • ユーザーにより委任された承認を使用する場合、サインインしているユーザーは、Azure AD の制限付き管理者ロールのメンバーである必要があります。If you're using user delegated authorization, the signed-in user must be a member of a limited administrator role in Azure AD.

Azure AD のロールをユーザーに割り当てるAssign Azure AD roles to users

アプリケーションにアクセス許可が付与されると、そのアプリケーションにアクセスできるすべてのユーザー (Azure AD テナントのメンバー) に、付与されたアクセス許可が与えられます。After an application is granted permissions, everyone with access to the application (that is, members of the Azure AD tenant) receives the granted permissions. 機密度の高いレポート データをより強力に保護するには、テナント管理者は、適切な Azure AD ロールをアプリケーションのユーザーに割り当てる必要があります。To further protect sensitive reports data, tenant administrators must assign users of the application the appropriate Azure AD roles. 詳細については、「Azure Active Directory での管理者ロールのアクセス許可」と「Azure Active Directory を使ってユーザーに管理者と管理者以外のロールを割り当てる」を参照してください。For details, see Administrator role permissions in Azure Active Directory and Assign administrator and non-administrator roles to users with Azure Active Directory.

注: この手順を実行するには、テナント管理者である必要があります。Note: You must be a tenant administrator to perform this step.

ユーザーにロールを割り当てるには:To assign a role to a user:

  1. Azure Portal (https://portal.azure.com)) にサインインします。Sign in to the Azure portal (https://portal.azure.com).
  2. 左上のアイコンをクリックして、Azure ポータル メニューを展開します。Click the icon in the top left to expand the Azure portal menu. [Azure Active Directory] > [ユーザー] の順に選択します。Select Azure Active Directory > Users.
  3. ユーザーの名前をクリックします。Click the name of the user.
  4. [割り当てられている役割]、[割り当ての追加] の順に選択します。Choose Assigned roles, and then Add assignment.
  5. 適切なオプションを選択し、[追加] をクリックします。Select the appropriate role, and click Add.