次の方法で共有


Microsoft Graph を使用してMicrosoft Entra ID とネットワーク アクセスを管理する

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

Microsoft Graph では、ID とネットワーク アクセス機能を管理できます。そのほとんどは、Microsoft Entraを通じて利用できます。 Microsoft Graph の API は、ID とネットワーク アクセス管理タスクを自動化し、任意のアプリケーションと統合するのに役立ち、Microsoft Entra 管理センターなどの管理者ポータルに代わるプログラムによる代替手段です。

Microsoft Entraは、次の製品で使用できる ID とネットワーク アクセス機能のファミリです。 これらの機能はすべて、Microsoft Graph API を通じて利用できます。

  • ID とアクセス管理 (IAM) 機能をグループ化するMicrosoft Entra ID。
  • Microsoft Entra ID ガバナンス
  • Microsoft Entra 外部 ID
  • Microsoft Entra Verified ID
  • Microsoft Entra Permissions Management
  • Microsoft Entra Internet Accessとネットワーク アクセス

ユーザー ID の管理

ユーザーは、任意の ID とアクセス ソリューションのメイン ID です。 Microsoft Graph API を使用して、organization内のユーザーのライフサイクル全体と、ライセンスやグループ メンバーシップなどの権利を管理できます。 詳細については、「 Microsoft Graph でのユーザーの操作」を参照してください。

グループを管理する

グループは、ID の権利をユニットとして効率的に管理できるコンテナーです。 たとえば、グループを使用して、SharePoint サイトなどのリソースへのアクセス権をユーザーに付与できます。 または、サービスを使用するためのライセンスを付与することもできます。 詳細については、「Microsoft Graph でのグループの操作」を参照してください。

アプリケーションの管理

Microsoft Graph API を使用して、アプリケーションをプログラムで登録および管理し、Microsoft の IAM 機能を使用できます。 詳細については、「Microsoft Graph を使用してMicrosoft Entraアプリケーションとサービス プリンシパルを管理する」を参照してください。


テナント管理またはディレクトリ管理

ID とアクセス管理の主要な機能は、テナントの構成、管理ロール、設定を管理することです。 Microsoft Graph には、次のシナリオでMicrosoft Entra テナントを管理するための API が用意されています。

ユース ケース API 操作
次の操作を含む管理単位を管理します。
  • 管理単位を作成する
  • 管理単位のメンバーとメンバーシップ ルールを作成および管理する
  • 管理単位をスコープとする管理者ロールを割り当てる
  • managementUnit リソースの種類 とその関連 API
    BitLocker 回復キーを取得する bitlockerRecoveryKey リソースの種類 とその関連 API
    テナントのライセンスとサブスクリプションを監視する
  • companySubscription リソースの種類 とそれに関連付けられている API
  • subscribedSku リソースの種類 とそれに関連付けられている API
  • カスタム セキュリティ属性を管理する 「Microsoft Graph APIを使用したカスタム セキュリティ属性の概要」を参照してください
    削除されたディレクトリ オブジェクトを管理します。 削除されたオブジェクトを "ごみ箱" に格納する機能は、次のオブジェクトでサポートされています。
  • 管理単位
  • アプリケーション
  • 外部ユーザー プロファイル
  • グループ
  • 保留中の外部ユーザー プロファイル
  • サービス プリンシパル
  • ユーザー
  • 削除されたオブジェクトを取得または一覧表示する
  • 削除されたオブジェクトを完全に削除する
  • 削除されたアイテムを復元する
  • ユーザーによって所有されている削除済みアイテムを一覧表示する
  • クラウド内のデバイスを管理する デバイス リソースの種類 とそれに関連付けられている API
    ローカル 管理 パスワード ソリューション (LAPS) で有効になっているMicrosoft Entra ID内のすべてのデバイス オブジェクトのローカル管理者資格情報を表示します。 この機能はクラウドベースの LAPS ソリューションです deviceLocalCredentialInfo リソースの種類 とその関連 API
    ディレクトリ オブジェクトは、ユーザー、グループ、アプリケーションなど、Microsoft Entra IDのコア オブジェクトです。 directoryObject リソースの種類とその関連 API を使用して、ディレクトリ オブジェクトのメンバーシップをチェックしたり、複数のディレクトリ オブジェクトの変更を追跡したり、Microsoft 365 グループの表示名またはメール ニックネームが名前付けポリシーに準拠していることを検証したりできます。 directoryObject リソースの種類 とその関連 API
    Microsoft Entra管理者ロールを含む管理者ロールは、テナント内で最も機密性の高いリソースの 1 つです。 カスタム ロールの作成、ロールの割り当て、ロールの割り当ての変更の追跡、ロールからの担当者の削除など、テナントでの割り当てのライフサイクルを管理できます。 directoryRole リソースの種類directoryRoleTemplate リソースの種類と関連する API

    roleManagement リソースの種類 とその関連 API

    これらの API を使用すると、直接ロールの割り当てを行うことができます。 または、Microsoft EntraロールグループにPrivileged Identity Management API を使用して、永続的にアクティブな割り当てを直接行う代わりに、Just-In-Time ロールと time-bound ロールの割り当てを行うこともできます。
    テナント全体およびオブジェクト固有の制限と許可される動作をカスタマイズするために使用できる次の構成を定義します。
  • ゲスト ユーザー アクセス、分類、名前付けポリシーなどの Microsoft 365 グループの設定
  • 禁止されたパスワード リストやロックアウト期間などのパスワード ルール設定
  • アプリケーション、予約語、および商標違反の禁止名
  • カスタム条件付きアクセス ポリシー URL
  • ユーザーの同意要求、グループ固有の同意、危険なアプリの同意などの同意ポリシー
  • directorySetting リソースの種類directorySettingTemplate リソースの種類 とそれに関連付けられている API

    詳細については、「 グループ設定の概要」を参照してください。
    次のようなドメイン管理操作:
  • ドメインをテナントに関連付ける
  • DNS レコードの取得
  • ドメイン所有権の確認
  • 特定のサービスを特定のドメインに関連付けます
  • ドメインの削除
  • ドメイン リソースの種類 とその関連 API
    Teams を介して共同作業するために招待された外部ユーザーのプロファイル オブジェクトを管理します。 これらの API は、Microsoft Entra 外部 ID B2B コラボレーションの招待 API と似ていません externalUserProfile リソースの種類pendingExternalUserProfile リソースの種類 と関連する API
    特定のMicrosoft Entra ID機能の段階的なロールアウトを構成および管理する featureRolloutPolicy リソースの種類 とその関連 API
    参加済みデバイスと登録済みデバイスのモバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) の自動登録のポリシー Microsoft Entra管理する mobilityManagementPolicy リソースの種類 とその関連 API
    誤った削除の防止やグループライトバックの管理など、Microsoft Entra Cloud Sync で使用できるオプションを構成します。 onPremisesDirectorySynchronization リソースの種類 とその関連 API
    Microsoft Entra テナントの基本設定を管理する organizationリソースの種類とその関連 API
    organizationに対してユーザーとアイテムの分析情報が有効になっているかどうかなど、Microsoft Entra テナントのテナント全体の設定を管理する organizationSettings リソースの種類 とその関連 API
    オンプレミスのディレクトリまたはExchange Onlineから同期される可能性がある組織の連絡先を取得します。 orgContact リソースの種類 とそれに関連付けられている API
    テナント ID またはドメイン名を使用してクエリを実行して、他のMicrosoft Entraテナントの基本的な詳細を確認する tenantInformation リソースの種類 とその関連 API
    テナント内のアプリとサービス プリンシパルに割り当てることができる証明書の信頼できる証明機関を構成します。 certificateBasedApplicationConfiguration リソースの種類 とその関連 API
    委任されたアクセス許可とそのテナント内のサービス プリンシパルへの割り当てを管理する oAuth2PermissionGrant リソースの種類 とそれに関連付けられている API

    ID とサインイン

    ユース ケース API 操作
    カスタム ロジックをトリガーまたは呼び出す必要があるイベント (通常は外部で定義される) を監視するリスナー Microsoft Entra ID authenticationEventListener リソースの種類 とそれに関連付けられている API
    Microsoft Entra IDでサポートされている認証方法を管理する 「Microsoft Entra認証方法 API の概要」と「Microsoft Entra認証方法ポリシー API の概要」を参照してください
    条件付きアクセスで許可制御として適用できる認証方法または認証方法の組み合わせを管理Microsoft Entra Microsoft Entra認証強度 API の概要を参照してください
    次のようなテナント全体の承認ポリシーを管理します。
  • 管理者アカウントの SSPR を有効にする
  • ゲストのセルフサービス参加を有効にする
  • ゲストを招待できるユーザーを制限する
  • ユーザーが危険なアプリに同意できるかどうか
  • MSOL の使用をブロックする
  • 既定のユーザーアクセス許可をカスタマイズする
  • ID プライベート プレビュー機能が有効
  • ユーザー、ゲスト ユーザー、制限付きゲスト ユーザーの間でゲスト ユーザーのアクセス許可をカスタマイズする
  • authorizationPolicy リソースの種類 とその関連 API
    継続的アクセス評価 (CAE) を構成します。これにより、有効期間に基づいてトークンの有効期限に依存するのではなく、重要なイベントとポリシー評価に基づいてアクセス トークンを取り消すことができます continuousAccessEvaluationPolicy リソースの種類 とその関連 API
    テナントで証明書ベースの認証のポリシーを管理する certificateBasedAuthConfiguration リソースの種類 とそれに関連付けられている API
    条件付きアクセス ポリシー Microsoft Entra管理する conditionalAccessRoot リソースの種類 とそれに関連付けられている API
    テナント間アクセス設定を管理し、マルチテナント組織のユーザーの送信制限、受信制限、テナント制限、テナント間同期を管理する 「テナント間アクセス設定 API の概要」を参照してください
    個人データの削除とエクスポートなど、B2B 直接接続を使用して、自分または外部テナントと共有されるユーザー プロファイルを管理する inboundSharedUserProfile リソースの種類outboundSharedUserProfile リソースの種類 と関連する API
    ユーザー認証セッション中にMicrosoft Entra IDと対話する方法と外部システムを構成する customAuthenticationExtension リソースの種類 とその関連 API
    個人データのエクスポートなど、organization内のユーザー データに対する要求を管理する dataPolicyOperation リソースの種類 とその関連 API
    Microsoft Entra参加および登録デバイスを管理するためのポリシー Microsoft Entra構成する deviceRegistrationPolicy リソースの種類 とその関連 API
    個人用アカウント ポータルの [組織] メニューなど、セルフサービス コントロールを使用して外部ユーザーがMicrosoft Entra テナントから退出できるかどうかを制御するテナント全体のポリシーを管理する externalIdentitiesPolicy リソースの種類 とその関連 API
    自動設定サインインを強制してユーザー名入力画面をスキップし、フェデレーション サインイン エンドポイントにユーザーを自動的に転送する homeRealmDiscoveryPolicy リソースの種類 のリソースの種類とその関連付けられている API
    Microsoft Entra ID 保護を使用して ID ベースのリスクを検出、調査、修復し、セキュリティ情報とイベント管理 (SIEM) ツールにデータをフィードして、さらなる調査と相関関係を実現する 「Microsoft Graph ID 保護 API を使用する」を参照してください
    Microsoft Entra ID、Microsoft Entra 外部 ID、Azure AD B2C テナントの ID プロバイダーを管理します。 次の操作を実行できます。
  • ソーシャル ID プロバイダー、OIDC、Apple、SAML/WS-Fed、組み込みプロバイダーなど、外部 ID の ID プロバイダーを管理する
  • フェデレーション ドメインとトークン検証の構成を管理する
  • identityProviderBase リソースの種類 とその関連 API
    Microsoft Entra 外部 IDを使用して外部ユーザーをテナントと共同作業するよう招待する 招待リソースの種類 とそれに関連付けられている API
    organizationに属するテナントのグループを定義し、organizationテナント間コラボレーションを合理化する 「マルチテナント organization API の概要」を参照してください
    ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする organizationalBranding リソースの種類 とその関連 API
    Identity Experience Framework (IEF) を使用して Azure AD B2C の UI/UX をカスタマイズする trustFrameworkKeySet リソースの種類trustFrameworkPolicy リソースの種類 と関連する API
    従業員テナントのMicrosoft Entra 外部 IDのユーザー フロー 次のリソースの種類と関連する API:
  • b2xIdentityUserFlow を使用して、ベース ユーザー フローとそのプロパティ (ID プロバイダーなど) を構成する
  • 組み込みユーザー フロー属性とカスタム ユーザー フロー属性を管理する identityUserFlowAttribute
  • ユーザー フロー属性の割り当てを管理するための identityUserFlowAttributeAssignment
  • ユーザー フローのカスタム言語を構成するための userFlowLanguageConfiguration リソースの種類
  • Azure AD B2C のユーザー フロー 次のリソースの種類と関連する API:
  • b2cIdentityUserFlow を使用して、ベース ユーザー フローとそのプロパティ (ID プロバイダーなど) を構成する
  • 組み込みユーザー フロー属性とカスタム ユーザー フロー属性を管理する identityUserFlowAttribute
  • ユーザー フロー属性の割り当てを管理するための identityUserFlowAttributeAssignment
  • ユーザー フローのカスタム言語を構成するための userFlowLanguageConfiguration リソースの種類
  • 外部テナントのMicrosoft Entra 外部 IDのユーザー フロー 次のリソースの種類と関連する API:
  • authenticationEventsFlow リソースの種類 とそれに関連付けられている API
  • 組み込みユーザー フロー属性とカスタム ユーザー フロー属性を管理する identityUserFlowAttribute
  • アプリの同意ポリシーと条件セットを管理する permissionGrantPolicy リソースの種類
    アプリの同意の事前適用ポリシーを管理する permissionGrantPreApprovalPolicy リソースの種類
    Microsoft Entra IDでセキュリティの既定値を有効または無効にする identitySecurityDefaultsEnforcementPolicy リソースの種類

    ID ガバナンス

    詳細については、「Microsoft Graph を使用したMicrosoft Entra ID ガバナンスの概要」を参照してください。

    外部テナントのMicrosoft Entra 外部 ID

    次の API ユース ケースは、ユーザーが顧客向けアプリケーションと対話する方法をカスタマイズするためにサポートされています。 管理者の場合、Microsoft Entra IDで使用できるほとんどの機能と、外部テナントのMicrosoft Entra 外部 IDでもサポートされています。 たとえば、ドメイン管理、アプリケーション管理、条件付きアクセスなどです。

    ユース ケース API 操作
    外部テナントとセルフサービス サインアップ エクスペリエンスでのMicrosoft Entra 外部 IDのユーザー フロー authenticationEventsFlow リソースの種類 とそれに関連付けられている API
    Microsoft Entra 外部 IDの ID プロバイダーを管理します。 テナントでサポートまたは構成されている ID プロバイダーを特定できます identityProviderBase リソースの種類とそれに関連付けられている API に関するページを参照してください
    外部テナントのMicrosoft Entra 外部 IDでのカスタム URL ドメインの構成 ドメイン リソースの種類とその関連 API の supportedServices プロパティのCustomUrlDomain
    ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする organizationalBranding リソースの種類 とその関連 API
    ソーシャル ID など、Microsoft Entra 外部 IDの ID プロバイダーを管理する identityProviderBase resoruce 型 とその関連 API
    顧客のMicrosoft Entra 外部 IDでユーザー プロファイルを管理する 詳細については、「顧客テナントの既定のユーザーアクセス許可」を参照してください。
    認証エクスペリエンスに独自のビジネス ロジックを追加するには、外部のシステムと統合Microsoft Entra ID authenticationEventListener リソースの種類customAuthenticationExtension リソースの種類 と関連する API

    マルチクラウドアクセス許可の管理

    詳細については、「 アクセス許可管理 API を使用したマルチクラウド インフラストラクチャでのアクセス許可の検出、修復、監視」を参照してください。

    ネットワーク アクセス管理

    詳細については、「 Microsoft Graph ネットワーク アクセス API を使用してクラウド、パブリック、プライベート アプリへのアクセスをセキュリティで保護する」を参照してください

    パートナー テナント管理

    また、Microsoft Graph には、クラウド ソリューション プロバイダー (CSP)、付加価値リセラー (VAR)、または Advisor プログラムの Microsoft パートナーが顧客のテナントを管理するのに役立つ次の ID とアクセス機能も用意されています。

    ユース ケース API 操作
    パートナーの顧客との契約を管理する コントラクト リソースの種類 とそれに関連付けられている API
    Microsoft パートナーは、パートナーが顧客のテナントに最小限の特権でアクセスできるように、お客様に権限を与えることができます。 この機能により、Microsoft リセラーからサポートを受けることができるようにしながら、セキュリティ体制を顧客に追加で制御できます 詳細な委任された管理者特権 (GDAP) API の概要に関するページを参照してください
    お客様が責任を負う顧客テナント内の Azure サブスクリプションの不正使用、アカウント引き継ぎ、異常な使用に関する検出とセキュリティ アラートを取得します。 「Microsoft Graph でパートナー セキュリティ アラート API を使用する」を参照してください

    ゼロ トラスト

    この機能は、組織がテナントを ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。

    • 明確に確認する
    • 最小特権を使用する
    • 侵害を想定する

    ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。

    ライセンス

    Microsoft Entraライセンスには、Microsoft Entra ID Free、P1、P2、および Governance が含まれます。Microsoft Entra Permissions ManagementとMicrosoft Entra ワークロード ID 。

    さまざまな機能のライセンスの詳細については、「Microsoft Entra ID ライセンス」を参照してください。