SharePoint でのアドインのアクセス許可Add-in permissions in SharePoint

この記事を読む前に、「SharePoint アドインの認証と承認」トピックの内容を把握しておく必要があります。You should first be familiar with the topic Authorization and authentication of SharePoint Add-ins before you read this article.

SharePoint アドインは、インストールの際に必要となるアクセス許可を、インストールを実行するユーザーに対して要求します。A SharePoint Add-in requests the permissions that it needs during installation from the user who is installing it. アドインの開発者は、アドイン マニフェスト ファイルを通して、特定のアドインを実行するために必要なアクセス許可を要求する必要があります。The developer of an add-in must request, through the add-in manifest file, the permissions that the particular add-in needs to be able to run. (SharePoint にアクセスするものの SharePoint Web サイトにはインストールされないデバイスや Web アプリには、アドインを実行しているユーザーが、アクセス許可を実行時に付与する必要があります。(Device and web apps that access SharePoint, but are not installed to SharePoint websites, must be granted permissions at runtime by the user who is executing the add-in. 詳細については、「 SharePoint アドインの認証コード OAuth フロー」を参照してください。)For more information, see Context Token OAuth flow for SharePoint Add-ins and Authorization Code OAuth flow for SharePoint Add-ins.

ユーザーは、自分が所有しているアクセス許可のみを付与できます。Users can grant only the permissions that they have. ユーザーは、アドインが要求するアクセス許可をすべて付与するか、1 つも付与しないかのどちらかに決定する必要があります。The user must grant all the permissions that an add-in requests or not grant any permission. 一部を選択的に付与することはできません。Selective grants are not possible. (実行時にアクセス許可を要求するアドインの場合、アドインが "読み取り" などの下位のアクセス許可を求めているだけの場合であっても、アドインがアクセスしようとする SharePoint リソースに対して "管理" アクセス許可を持つユーザーのみがアドインを実行できます。)(For add-ins that request permissions on the fly, only a user with Manage permissions to the SharePoint resources that the add-in seeks to access can run the add-in, even if the add-in is asking only for lesser permissions, such as Read.)

アドインに付与されたアクセス許可は、SharePoint ファームまたは SharePoint Online テナンシーのコンテンツ データベースにも格納されます。The permissions that the add-in has been granted are also stored in the content database of the SharePoint farm or SharePoint Online tenancy. Microsoft Azure Access Control Service (ACS) などの、セキュリティで保護されたトークン サービスを使用して、これらの許可が格納されることはありません。They are not stored with a secure token service, such as Microsoft Azure Access Control Service (ACS). ユーザーがアドインにアクセス許可を最初に付与すると、SharePoint はアドインに関する情報を ACS から取得します。When a user first grants an add-in permissions, SharePoint obtains information about the add-in from ACS. その後、SharePoint は、アドインに関する基本情報をアドインのアクセス許可と一緒に、アドイン管理サービスとコンテンツ データベースに格納します。SharePoint then stores the basic information about the add-in in the add-in management service and the content database along with the add-in's permissions. ACS の詳細については、「低信頼承認を使用する SharePoint アドインの作成」を参照してください。For more information about creating a SharePoint Add-in that uses the low-trust system, see the SDK node Creating SharePoint Add-ins that use low-trust authorization.

重要

Azure Active Directory (Azure AD) のサービスである Azure アクセス制御 (ACS) は、2018 年 11 月 7 日に廃止されます。Azure Access Control (ACS), a service of Azure Active Directory (Azure AD), will be retired on November 7, 2018. SharePoint アドイン モデルでは、(この廃止の影響を受けない) https://accounts.accesscontrol.windows.net ホスト名を使用しているため、この廃止による影響はありません。This retirement does not impact the SharePoint Add-in model, which uses the https://accounts.accesscontrol.windows.net hostname (which is not impacted by this retirement). 詳細については、「SharePoint アドインに対する Azure アクセス制御の終了の影響」を参照してください。For more information, see Impact of Azure Access Control retirement for SharePoint Add-ins.

アドインがアクセス許可を付与されているオブジェクトを削除すると、対応する許可も削除されます。If an object to which an add-in was granted permission is deleted, the corresponding grants are also deleted. アドインがアクセス許可を付与されているオブジェクトをリサイクルする場合、SharePoint は対応する許可を変更しません。When an object to which an add-in was granted permission is recycled, SharePoint does not modify the corresponding grant. これは、オブジェクトがごみ箱から復元される場合に、許可がそのままであるようにするためです。This is so that if the object is restored from the Recycle Bin, the grant is still intact.

アドインが削除されると、アドインを削除した範囲でアドインに付与されていたすべてのアクセス許可が取り消されます。これは、ユーザーが SharePoint からアドインを削除した後で、アドインがその資格情報を使用して SharePoint の保護されたリソースにリモートでアクセスし続けることができないようにするためです。When an add-in is removed, all the permissions granted to that add-in at the scope from which it was removed are revoked. This is to ensure that the add-in can't use its credentials to continue accessing protected SharePoint resources remotely after a user removes the add-in from SharePoint.

アドインのアクセス許可とアクセス許可スコープの種類Understand the types of add-in permissions and permission scopes

SharePoint アドインはアクセス許可要求を使用して、正常に機能するために必要なアクセス許可を指定します。このアクセス許可要求は、アドインが必要とする権限とその権限を必要とする範囲の両方を指定します。これらのアクセス許可は、アドイン マニフェストの一部として要求されます。A SharePoint Add-in uses permission requests to specify the permissions that it needs to function correctly. The permission requests specify both the rights that an add-in needs and the scope at which it needs the rights. These permissions are requested as part of the add-in manifest.

アクセス許可要求スコープは、アクセス許可要求が適用される SharePoint 階層内の場所を示します。Permission request scopes indicate the location in the SharePoint hierarchy where a permission request applies.

注意

SharePoint アドインは独自の ID を持つセキュリティ プリンシパルで、アドイン プリンシパルと呼ばれます。A SharePoint Add-in has its own identity and is a security principal, called an add-in principal. ユーザーやグループと同じように、アドイン プリンシパルには特定のアクセス許可や権限があります。Like users and groups, an add-in principal has certain permissions or rights. アドイン プリンシパルには、アドイン Web に対して完全なコントロール権限があるので、アドイン Web の外部のホスト Web や他の場所にある SharePoint リソースに対してのみアクセス許可を要求する必要があります。The add-in principal has full control rights to the add-in web, so it only needs to request permissions to SharePoint resources in the host web or other locations outside the add-in web. アドイン Web の詳細については、「SharePoint アドイン アーキテクチャと開発環境に関する重要な要素」および「SharePoint でのホスト Web、アドイン Web、および SharePoint コンポーネント」を参照してください。For more information about the add-in web, see Important aspects of the SharePoint Add-in architecture and development landscape and Host webs, add-in webs, and SharePoint components in SharePoint.

SharePoint は、コンテンツ データベースおよびテナンシー内で 4 種類のアクセス許可スコープをサポートしています (表 1 を参照)。SharePoint supports four different permission scopes within the content database and tenancy, as shown in Table 1. アクセス許可スコープには "http:" という接頭辞がついた URI で名前が付けられていますが、これらは URL ではなく、プレースホルダーは含まれていません。Permission scopes are named with URIs, including an "http:" prefix, but they are not URLs and they contain no placeholders. 次の表とこの記事にあるアクセス許可スコープは、リテラル文字列です。The permission scopes in this table and this article are literal strings.

表 1. SharePoint アドインのアクセス許可要求スコープの URI とその説明Table 1. SharePoint add-in permission request scope URIs and descriptions

スコープScope スコープ URIScope URI 説明Description
テナンシーTenancy http://sharepoint/content/tenant アドインがインストールされているテナンシー。このスコープのすべての子が含まれています。The tenancy where the add-in is installed. Includes all children of this scope.
サイト コレクションSite Collection http://sharepoint/content/sitecollection アドインがインストールされているサイト コレクション。このスコープのすべての子が含まれています。The site collection where the add-in is installed. Includes all children of this scope.
Web サイトWebsite http://sharepoint/content/sitecollection/web アドインがインストールされている Web サイト。このスコープのすべての子が含まれています。The website where the add-in is installed. Includes all children of this scope.
リストList http://sharepoint/content/sitecollection/web/list アドインがインストールされる Web サイト内の単一のリストです。A single list in the website where the add-in is installed.

アドインをインストールするユーザーに対して、アクセス許可の付与を求めるプロンプトが表示されるとき、ユーザーはこのダイアログで、アドインにアクセス許可を付与するリストを 1 つ選択できます。When the user who installs the add-in is prompted to grant permissions, the dialog enables the user to select one list to which the add-in is granted permissions.

アドインに複数のリストへのアクセス許可が必要な場合、そのアドインは Web スコープへのアクセス許可を要求する必要があります。If the add-in needs permission to more than one list, it must request permission to web scope.

また、開発者はユーザーによるリストの選択を制御することも、選択すべきリストをユーザーに指示することもできないため、特定のリストへのアクセス許可がアドインに必要な場合は Web スコープを使用する 必要があります (ただし、ユーザーのアクセス許可要求をリストの特定のサブセットのみ選べるように限定する方法もあります。「関連するプロパティを含むアクセス許可要求スコープ」を参照してください)。A single list in the website where the add-in is installed. When the user who installs the add-in is prompted to grant permissions, the dialog enables the user to select one list to which the add-in is granted permissions. If the add-in needs permission to more than one list, it must request permission to web scope. Also, since you, the developer, have no way to control which list the user chooses or to tell the user which one to choose, you must use web scope if there is a list to which your add-in must have permission. (But there is a way to narrow the user's choice to certain subsets of lists. See Permission request scope with associated properties below.)

アドインがいずれかの範囲に対するアクセス許可を付与された場合、そのアクセス許可は、その範囲のすべての子にも適用されます。たとえば、Web サイトに対するアクセス許可がアドインに付与された場合、その Web サイトに含まれている各リストと、各リストに含まれるすべてのリスト アイテムに対するアクセス許可もアドインに付与されます。If an add-in is granted permission to one of the scopes, the permission applies to all children of the scope. For example, if an add-in is granted permission to a website, the add-in is also granted permission to each list that is contained in the website, and all list items that are in each list.

アクセス許可要求は、アドインがインストールされるサイト コレクションのトポロジに関する情報なしで行われるため、そのスコープは、特定のインスタンスの URL ではなく、種類として表されます。Because permission requests are made without information about the topology of the site collection where the add-in is installed, the scope is expressed as a type instead of as the URL of a specific instance. These scope types are expressed as URIs. Permissions to resources that are stored in the SharePoint content database are organized under the following URI: . これらのスコープの種類は、URI として表されます。These scope types are expressed as URIs. SharePoint コンテンツ データベースに格納されているリソースに対するアクセス許可は、URI http://sharepoint/content の下に整理されます。Permissions to resources that are stored in the SharePoint content database are organized under the following URI: http://sharepoint/content.

アドインのアクセス許可権限とユーザー権限の相違点Understand the differences between add-in permission rights and user rights

アクセス許可は、要求した範囲内でアドインが実行することを許可されるアクティビティを示します。SharePoint では、コンテンツ データベース内の 4 つの権限レベルがサポートされます。各範囲で、アドインは、以下の権限を持つことができます。Permissions indicate the activities that an add-in is permitted to do within the requested scope. SharePoint supports four rights levels in the content database. For each scope, an add-in can have the following rights:

  • 読み取りRead
  • 書き込みWrite
  • 管理Manage
  • FullControlFullControl

注意

読み取り、書き込み、管理、および FullControl の各権限の内容については、「アドインのアクセス許可の管理を計画する」を参照してください。Note For more information about what Read, Write, Manage, and FullControl rights include, see Plan add-in permissions management.

注意

これらの権限は、閲覧者、共同作成者、デザイナー、フル コントロールなど、SharePoint の既定のユーザーのアクセス許可レベルに対応しています。Note These rights correspond to the default user permission levels of SharePoint: Reader, Contributor, Designer, and Full Control. For more information about user permission levels, see User permissions and permission levels. ユーザーのアクセス許可レベルの詳細については、「ユーザー権限とアクセス許可レベル」を参照してください。アドインの権限名は、SharePoint ユーザー ロールの権限名とは一致しません。これは、ユーザー ロールの権限とアドインの権限の混同を避けるためです。For more information about user permission levels, see User permissions and permission levels.The add-ins rights names do not match SharePoint user roles rights names, to avoid confusion between user roles rights and add-in rights. SharePoint ユーザー ロールに関連付けられるアクセス許可をカスタマイズしても、アドインのアクセス許可要求レベルに影響しないため、アドインの権限名は、フル コントロール以外は対応する SharePoint ユーザー ロールと一致せず、アクセス許可管理ユーザー インターフェイスを通してカスタマイズすることはできません。The add-ins rights names do not match SharePoint user roles rights names, to avoid confusion between user roles rights and add-in rights. Because customizing the permissions that are associated with SharePoint user roles does not affect add-in permission request levels, the add-in rights names do not match the corresponding SharePoint user roles, except Full Control, which can't be customized through the permissions management user interface.

さらに、In addition:

  • 検索の場合のみ、アドインは、Query 権限を持つことができます。For Search only, an add-in can have the Query right.

  • Microsoft Project Server 2013 の一部のスコープでは、SubmitStatus 権限や Elevate 権限もあります。For some Microsoft Project Server 2013 scopes, there is also the SubmitStatus right or the Elevate right. Project Server 2013 の大半のスコープでは、"読み取り" と "書き込み" のみを使用できます。For most scopes for Project Server 2013, only Read and Write are available. 詳細については、この記事の「 アドインのアクセス許可とアクセス許可スコープの種類を理解する 」セクションを参照してください。Note The scopes described in this section apply to list content and library content only. For information about scopes for other features, see the Understand the types of add-in permissions and permission scopes section in this article.

  • 分類の場合は、"読み取り" 権限と "書き込み" 権限のみ利用できます。For taxonomy, only rights for Read and Write are available.

注意

Office ストア アプリには、アドインが要求できる権限の種類に関して、いくつかの制限があります。Note Office Store apps have some restrictions as to what type of rights an add-in can request. For more information, see the Understand the types of add-in permissions and permission scopes section in this article. 詳細については、この記事で前出の「 アドインのアクセス許可とアクセス許可スコープの種類 」セクションを参照してください。For more information, see the Types of add-in permissions and permission scopes section earlier in this article.

SharePoint ユーザー ロールとは異なり、これらの権限レベルはカスタマイズできません。これは、アドインにアクセス許可要求が付与されるときに、予測可能な機能セットがアドインに対して保証されるようにするためです。これにより、アドインは、期待するレベルよりも低いアクセス許可が付与される可能性を考慮する必要がありません。Unlike SharePoint user roles, these rights levels are not customizable. This is to ensure that when an add-in is granted a permission request, the add-in is guaranteed a predictable set of capabilities, and it does not have to account for the possibility of being granted less permission than it expects.

ユーザーは、ユーザー自身が持っているアドイン アクセス許可しか付与することができません。ユーザーがインストールを試みているアドインが、そのユーザーが持っているアクセス許可より高いアクセス許可を要求している場合は、アドインの要求を承認するにはアクセス許可が不足していることをユーザーに通知するエラー メッセージが表示されます。A user cannot grant an add-in permissions that the user himself or herself does not have. If a user attempts to install an add-in that requests more permissions than the user has, an error message displays to the user informing them that they don't have sufficient permissions to grant the add-in its request.

SharePoint が認識しないアクセス許可は無視されます。これは、SharePoint が認識しないアクセス許可をアドインが要求した場合でもアドインをインストールできますが、アクセス許可を付与するようにとのメッセージがユーザーに出されることはなく、アドインにはアクセス許可が付与されないことを意味します。Permissions that are not known to SharePoint are ignored. This means that, if an add-in requests a permission that SharePoint does not recognize, the add-in can still be installed, but the user is not prompted to grant the permission, and the permission is not granted to the add-in.

使用可能なスコープとアクセス許可、および Office ストア アプリのアクセス許可に対する制限事項Learn about the available scopes and permissions, and about the restrictions on Office Store apps permissions

アドインが要求できる権限セットは、範囲ごとに異なります。このセクションでは、各範囲で使用できる権限のセットについて説明します。Office ストア で販売される SharePoint アドインの制限事項についても説明します。Different scopes have different sets of rights that are available for an add-in to request. This section describes the sets of rights that are available for each scope. Also, it highlights the restrictions for SharePoint Add-ins that are sold through the Office Store.

Office ストア アプリの権限Office Store apps' rights

Office ストア アプリでは、Read、Write、および、Manage 権限のみが許可されます。FullControl 権限が必要なアプリを Office ストア に送信しようとすると、アプリの送信はブロックされます。ブロックが行われるのは Office ストア の送信パイプライン内なので、Manage アクセス権を超える要求をするアプリであっても、アドイン カタログを通して展開することができます。Only Read, Write, and Manage rights are allowed for Office Store apps. If you try to submit an app to the Office Store that requires FullControl rights, your app is blocked from submission. Because the block is in the Office Store submission pipeline, apps that request more than Manage permissions can still be deployed through the add-in catalog.

リスト コンテンツとライブラリ コンテンツに対するアクセス許可要求スコープPermission request scopes for list content and library content

表 2 に、リスト コンテンツとライブラリ コンテンツ用のアクセス許可スコープを示します。各スコープ URI で指定できる権限も同時に示します。Table 2 shows the permission request scope for list and library content. It also lists the rights that can be specified for each scope URI.

注意

表 2 で使用されている URI はリテラル値です。The URIs used in Table 2 are literal values.

表 2. SharePoint アドインのアクセス許可スコープ URI と使用可能な権限Table 2. SharePoint add-in permission scope URIs and available rights

スコープ URIScope URI 使用可能な権限Available rights
http://sharepoint/content/sitecollection Read、Write、Manage、FullControlRead, Write, Manage, FullControl
http://sharepoint/content/sitecollection/web Read、Write、Manage、FullControlRead, Write, Manage, FullControl
http://sharepoint/content/sitecollection/web/list Read、Write、Manage、FullControlRead, Write, Manage, FullControl
http://sharepoint/content/tenant Read、Write、Manage、FullControlRead, Write, Manage, FullControl

次のコードは、AppManifest.xml ファイル内でアクセス許可範囲と権限をどのように使用するかを示しています。最初の例では、アドインは、リスト範囲への Write アクセス許可を要求しています。The following code shows how you use permission scopes and rights in the AppManifest.xml file. In the first example, an add-in is asking for Write access to the list scope.

  <?xml version="1.0" encoding="utf-8" ?>
  <App xmlns="http://schemas.microsoft.com/sharepoint/2012/app/manifest"
      ProductID="{4a07f3bd-803d-45f2-a710-b9e944c3396e}"
      Version="1.0.0.0"
      SharePointMinVersion="15.0.0.0"
      Name="MySampleAddIn"
  >
    <Properties>
      <Title>My Sample Add-in</Title>
      <StartPage>~remoteAppUrl/Home.aspx?{StandardTokens}</StartPage>
    </Properties>

    <AppPrincipal>
      <RemoteWebApplication ClientId="1ee82b34-7c1b-471b-b27e-ff272accd564" />
    </AppPrincipal>

    <AppPermissionRequests>
      <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="Write"/>
    </AppPermissionRequests>
  </App>


次のコードは、Web スコープに対する Read アクセス許可と、リスト スコープに対する Write アクセス許可を求めるアドインを示しています。The following code shows an add-in that is asking for Read access to the web scope and Write access to the list scope.

  <?xml version="1.0" encoding="utf-8" ?>
  <App xmlns="http://schemas.microsoft.com/sharepoint/2012/app/manifest"
      ProductID="{4a07f3bd-803d-45f2-a710-b9e944c3396e}"
      Version="1.0.0.0"
      SharePointMinVersion="15.0.0.0"
      Name="MySampleAddIn"
  >
    <Properties>
      <Title>My Sample Add-in</Title>
      <StartPage>~remoteAppUrl/Home.aspx?{StandardTokens}</StartPage>
    </Properties>

    <AppPrincipal>
      <RemoteWebApplication ClientId="6daebfdd-6516-4506-a7a9-168862921986" />
    </AppPrincipal>

    <AppPermissionRequests>
      <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read"/>
      <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="Write"/>
    </AppPermissionRequests>
  </App>


SharePoint の他の機能に対するアクセス許可要求スコープPermission request scopes for other SharePoint features

SharePoint の他の機能に対するアクセス許可要求スコープを次の表に示します。The permission request scope for other SharePoint features are listed in the following tables.

注意

表で使用されている URI はリテラル値です。The URIs used in the tables are literal values.

表 3 に、Business Connectivity Services (BCS) のアクセス許可要求スコープを示します。Table 3 shows the permission request scope for Business Connectivity Services (BCS) . It also lists the rights that can be specified for that scope URI. また、各スコープ URI で指定できる権限も同時に示します。Table 7 shows the permission request scope for taxonomy. It also lists the rights that can be specified for that scope URI.

表 3. BCS アドインのアクセス許可要求スコープ URI と使用可能な権限Table 3. BCS add-in permission request scope URIs and available rights

スコープ URIScope URI 使用可能な権限Available rights
http://sharepoint/bcs/connection ReadRead

注意

BCS アドインのアクセス許可要求スコープの詳細については、「SharePoint の Business Connectivity Services」を参照してください。Note For more information about the BCS add-in permission request scope, see Business Connectivity Services in SharePoint.


表 4 に、検索用のアクセス許可要求スコープを示します。また、そのスコープ URI で指定できる権限も同時に示します。Table 4 shows the permission request scope for Search. It also lists the rights that can be specified for that scope URI.

表 4. 検索アドインのアクセス許可範囲 URI と使用可能な権限Table 4. Search add-in permission request scope URIs and available rights

スコープ URIScope URI 使用可能な権限Available rights
http://sharepoint/search QueryAsUserIgnoreAppPrincipalQueryAsUserIgnoreAppPrincipal

注意

検索アドインのアクセス許可要求スコープの詳細については、「SharePoint での検索」を参照してください。Note For more information about the Search add-in permission request scope, see Search in SharePoint.


Note An add-in that uses Project Server 2013 features andTable 5 shows the permission request scope for Project Server 2013. It also lists the rights that can be specified for each scope URI.

注意

Project Server 2013 の機能とサービスを使用するアドインは、必要な Project Server の機能とサービスが用意された環境でテストする必要があります。Note An add-in that uses Project Server 2013 features and services should be tested in an environment that has the required Project Server features and services. The Project Server 2013 permission provider assembly that knows about Project Server 2013 permission scopes is not installed by default with SharePoint Server. For more information, see the Project Server 2013 developer documentation. Project Server 2013 のアクセス許可スコープを認識する Project Server 2013 のアクセス許可プロバイダー アセンブリは、既定では SharePoint Server にインストールされません。The Project Server 2013 permission provider assembly that knows about Project Server 2013 permission scopes is not installed by default with SharePoint Server. 詳細については、Project Server 2013 の開発者マニュアルを参照してください。For more information, see the Project Server 2013 developer documentation.

表 5. Project Server アドインのアクセス許可要求スコープ URI と使用可能な権限Table 5. Project Server add-in permission request scope URIs and available rights

スコープScope 使用可能な権限Available rights
http://sharepoint/projectserver ManageManage
http://sharepoint/projectserver/projects Read、WriteRead, Write
http://sharepoint/projectserver/projects/project Read、WriteRead, Write
http://sharepoint/projectserver/enterpriseresources Read、WriteRead, Write
http://sharepoint/projectserver/statusing SubmitStatusSubmitStatus
http://sharepoint/projectserver/reporting ReadRead
http://sharepoint/projectserver/workflow ElevateElevate


表 6 に、ソーシャル フィーチャー用のアクセス許可範囲を示します。各範囲 URI で指定できる権限も同時に示します。Table 6 shows the permission request scope for social features. It also lists the rights that can be specified for each scope URI.

表 6. ソーシャル フィーチャー アドインのアクセス許可範囲 URI と使用可能な権限Table 6. Social features add-in permission request scope URIs and available rights

スコープ URIScope URI 使用可能な権限Available rights
http://sharepoint/social/tenant Read、Write、Manage、FullControlRead, Write, Manage, FullControl
http://sharepoint/social/core Read、Write、Manage、FullControlRead, Write, Manage, FullControl
http://sharepoint/social/microfeed Read、Write、Manage、FullControlRead, Write, Manage, FullControl

注意

ソーシャル機能アドインでのアクセス許可要求スコープの詳細については、「ソーシャル機能にアクセスするためのアドインのアクセス許可要求」を参照してください。For more information about social features add-in permission request scope, see Add-in permission requests for accessing social features.


表 7 に分類用のアクセス許可要求スコープを示します。また、そのスコープ URI で指定できる権限も同時に示します。Table 7 shows the permission request scope for taxonomy. It also lists the rights that can be specified for that scope URI.

表 7. タクソノミー アドインのアクセス許可範囲 URI と使用可能な権限Table 7. Taxonomy add-in permission request scope URIs and available rights

スコープ URIScope URI 使用可能な権限Available rights
http://sharepoint/taxonomy Read、WriteRead, Write

注意

分類アドインのアクセス許可要求スコープの詳細については、「SharePoint 機能を追加する」を参照してください。Note For more information about the taxonomy add-in permission request scope, see Add SharePoint capabilities.

関連するプロパティを含むアクセス許可要求スコープPermission request scope with associated properties

リストのアクセス許可要求スコープには、オプションのプロパティがさらにあります。The list permission request scope has an additional optional property. リスト スコープには、次のマークアップ例に示すように、 BaseTemplateIdという名前のプロパティと、リスト ベース テンプレートに対応する整数値を指定できます。The list scope can take a property with the name BaseTemplateId, and an integer value corresponding with a list base template, as shown in the following markup sample. ベース テンプレート ID を指定しない場合、アドインをインストールするユーザーが、Web のすべてのリストのうちの 1 つのリストへのアクセス許可をそのアドインに付与することを選択できます。Without a base template ID, the user who installs the add-in has the choice of granting it permission to one list from among all lists in the web. ベース テンプレート ID を指定する場合、ユーザーが選択できるリスト セットは、BaseTemplateId プロパティの指定内容と一致するリスト セットに限定されます。Specifying a base template ID limits the user's choice to the set of lists that match what is specified by the BaseTemplateId property.

BaseTemplateId プロパティは子要素であり、 AppPermissionRequest 要素の属性ではありません。次のコードは、 BaseTemplateId プロパティの使用方法を示しています。The BaseTemplateId property is a child element, not an attribute of the AppPermissionRequest element. The following code shows how to use the BaseTemplateId property.

  <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="Write">
    <Property Name="BaseTemplateId" Value="101"/>
  </AppPermissionRequest>


表 8. 関連するプロパティがあるアクセス許可要求スコープTable 7. Permission request scope with associated properties

スコープ URIScope URI プロパティProperty Type
http://sharepoint/content/sitecollection/web/list BaseTemplateIdBaseTemplateId IntegerInteger

注意

BaseTemplateId およびリスト ベース テンプレートに対応する整数値の詳細については、 List 要素 (リスト)Type 属性を参照してください。For more information about BaseTemplateId and the corresponding integer value for the list base template, see the Type attribute of the List Element (List).

アドインのアクセス許可の管理とトラブルシューティングManaging and troubleshooting add-in permissions

SharePoint にインストールされる SharePoint アドインには、インストール時にアクセス許可が付与されます。SharePoint Add-ins that are installed to SharePoint are granted permissions when they are installed. 他のプラットフォームにインストールされているものの SharePoint にアクセスするアドインについては、アドインを実行しているユーザーが、実行時にアクセス許可を付与します。Add-ins that are installed on other platforms but access SharePoint are granted permissions at runtime by the user who is running the add-in. 場合によっては、前者の種類のアドインは、アクセス許可を失うことがあります。Occasionally, the first kind of add-in may lose its permissions. アドインにアクセス許可を再度付与するには、次の手順を実行してください。You can regrant permissions to an add-in by using the following steps:

  1. アドインがアクセス許可を失ったと思われる Web サイトの [サイトコンテンツ] ページで、アドインのタイルにある [???]On the Site Contents page of the website where the add-in seems to have lost permissions, click the ??? button on the add-in's tile. This will open a callout with either a PERMISSIONS link or another ??? button. ボタンをクリックします。button on the add-in's tile. これにより、[アクセス許可] リンクのある吹き出しか、または別の [???] ボタンのある吹き出しがThis opens a callout with either a PERMISSIONS link or another ??? 開きます。button.

  2. [アクセス許可] リンクがある場合はそのリンクをクリックし、次のステップをスキップします。ない場合は [???] ** ** ** **Click the PERMISSIONS link if it is there and skip the next step, or click the ??? button. ボタンをクリックします。button.

  3. [アクセス許可] リンクを選択します。Click the Permissions link.

  4. 開いたページで、最後の文にある "ここ" をクリックします。On the page that opens, select here in the last sentence. これにより、アドインに許可がもう一度付与され、ブラウザが自動的に [サイトコンテンツ] ページにリダイレクトされます。This regrants the add-in its permissions and redirects the browser back to the Site Contents page.

    アプリへのアクセス許可の再付与


アドインの開発やトラブルシューティングを行っている場合、既にインストールしたアドインのアクセス許可を変更、または再度付与する必要が生じることがあります。それらを行うには、次の手順を実行してください。When you are developing an add-in or troubleshooting an add-in, there may be occasions when you want to change, or regrant, the permissions of an add-in that has already been installed. You can do so with these steps:

  1. http://<SharePointWebSite>/_layouts/15/AppInv.aspx に移動します。この は、アドインがインストールされている Web サイトの URL です。Go to http://<SharePointWebSite>/_layouts/15/AppInv.aspx, where is the URL of the website where the add-in is installed. この URL にクエリパラメータを追加しないように注意してください。Be careful not to add any query parameters on the URL. URL が上記のとおりの場合にのみ、必要なフォームがこのページに表示されます。The form you need only appears on this page if the URL is exactly as shown.

  2. アドインの ID (クライアント ID ともいいます) を [アドイン ID] ボックスに入力してから、[参照] を選択します。Enter the add-in's ID, also called the client ID, in the Add-in Id box and click Lookup. The other boxes on the form are then populated with information about the add-in. フォーム上の他のボックスに、アドインに関する情報が読み込まれます。Enter the add-in's ID, also called the client ID, in the Add-in Id box and click Lookup. The other boxes on the form are then populated with information about the add-in.

  3. [権限の要求 XML] ボックスに、アドイン マニフェストに入力するのと同じようにアクセス許可要求を正確に入力します。Fill the Permission Request XML box with permission requests exactly as you would enter them in an add-in manifest. For examples, see Permission request scopes for list and library content above. For complete syntax information see AppPermissionRequest Element. 例については、「リスト コンテンツとライブラリ コンテンツに対するアクセス許可要求スコープ」を参照してください。Permission request scopes for list content and library content 完全な構文情報については、「AppPermissionRequest 要素」を参照してください。For complete syntax information, see AppPermissionRequest Element.

  4. [作成] を選択します。Select Create.

特定のスコープに対するアドインのアクセス許可は、アドインがそのスコープから削除されると取り消されます。An add-in's permissions for a specific scope are revoked when it is removed from that scope.

アドインをユーザーに対して非表示にできない理由Learn why add-ins cannot be hidden from users

SharePoint Web サイトを参照する権限を持つユーザーすべてが、そのサイトにインストールされたどの SharePoint アドインも起動できます。Any user with browse rights to a SharePoint website can launch any SharePoint Add-in installed on the site. ユーザーがそのアドインを使用して実行できる内容は、ユーザーの他のアクセス許可と、アドインで使用されている 承認ポリシーの種類によって決まります。Whether the user can do anything with the add-in depends on the user's other permissions and what authorization policy type is being used by the add-in. ユーザーが、実行するアクセス許可を持たない処理をそのアドインで実行しようとし、SharePoint に対する呼び出しで "ユーザー + アドイン" ポリシーが使用されている場合、その呼び出しは失敗します。If the user tries to do something with the add-in that the user does not have permission to do, and the call to SharePoint is using the user+add-in policy, the call fails.

関連項目See also