このガイドでは、Microsoft Entra アプリケーションのライフサイクル管理を自動化するのに役立つ主要な概念、API ユース ケース、リソースの概要について説明します。
アプリケーションとサービス プリンシパル
Microsoft Entraでは、アプリケーションはアプリケーション オブジェクトとサービス プリンシパル オブジェクトによって定義されます。 アプリケーションのアプリケーション オブジェクトはMicrosoft Entra全体に 1 つだけですが、アプリケーションに複数のサービス プリンシパル オブジェクトを指定できます。
アプリケーション オブジェクトは、アプリが登録されているテナントにあります。 サービス プリンシパルは、アプリが登録されているテナントと、アプリがインストールされて使用されるすべてのテナントに作成されます。 詳細については、「Microsoft Entra IDのアプリケーション および サービス プリンシパル オブジェクト」を参照してください。
Microsoft Graph では、アプリケーションは アプリケーション リソースの種類で表され、サービス プリンシパルは servicePrincipal リソースの種類で表されます。 2 つのオブジェクトの詳細には、それぞれ Entra ID>アプリの登録 と Entra ID>Enterprise アプリケーション メニューを介してMicrosoft Entra 管理センターでアクセスできます。
サービス プリンシパルは、関連付けられているアプリの登録から特定のプロパティを継承します。 これらのプロパティはアプリ登録から同期されますが、同期は即時または継続的ではありません。 場合によっては、サービス プリンシパルを更新すると、ディレクトリにアプリの登録からプロパティを更新するように求め、元の要求に含まれなかった更新が発生することがあります。
アプリケーションを管理するための API ユース ケース
次の API ユース ケースは、Microsoft Graph のアプリケーション リソースの種類 を使用してアプリケーションを管理するためにサポートされています。
| ユース ケース | API 操作 |
|---|---|
| アプリケーションを登録し、その基本的なプロパティを構成する | アプリケーションを作成する |
次のような登録済みアプリケーションのプロパティを構成します。
|
アプリケーションを更新する |
| アプリケーションを削除する | アプリケーションを削除する |
| 削除されたアプリケーションを管理する | |
| アプリケーションのパスワード資格情報を管理する | |
| アプリケーションのフェデレーション ID 資格情報を管理する | Microsoft Graph を使用してフェデレーション ID 資格情報の管理を開始する |
| アプリケーションの証明書ベースの資格情報を管理する |
|
| アプリケーションのディレクトリ拡張機能を管理する |
|
| アプリケーションの変更を追跡する |
|
| 所有者の管理 | |
| 発行元の検証を管理する |
サービス プリンシパルを管理するための API ユース ケース
次の API ユース ケースは、Microsoft Graph の servicePrincipal リソースの種類 を使用してサービス プリンシパルを管理するためにサポートされています。
| ユース ケース | API 操作 |
|---|---|
| サービス プリンシパルを登録する | servicePrincipal を作成する |
| 次のようなサービス プリンシパルのプロパティを構成します。 - 表示名やロゴなどの基本的なプロパティ -権限 - SSO モードを構成する |
servicePrincipalを更新する |
| サービス プリンシパルを削除する | servicePrincipalを削除する |
| 削除されたサービス プリンシパルの管理: 表示、復元、または完全削除 | - deletedItems を一覧表示する - ユーザーが所有する deletedItems を一覧表示する - 削除済みアイテムを取得する - アイテムを完全に削除する - 削除済みアイテムを復元する |
| サービス プリンシパルのパスワード資格情報を管理する | - servicePrincipal: addPassword - servicePrincipal: removePassword |
| サービス プリンシパルの証明書ベースの資格情報を管理する | - servicePrincipal: addKey - servicePrincipal: removeKey |
| SAML トークン署名証明書を追加する | servicePrincipal: addTokenSigningCertificate |
| サービス プリンシパルへの変更を追跡する | - servicePrincipal: delta - directoryObject: delta と次のフィルター: ..?$filter=isof('microsoft.graph.servicePrincipal') |
| 所有者の管理 | - 所有者の一覧表示 - 所有者の追加 - 所有者の削除 |
アプリケーション テンプレート
アプリケーション テンプレートは、Microsoft Entra アプリ ギャラリーで使用できるアプリです。 applicationTemplate リソースの種類とそれに関連付けられているメソッドを使用して、次の手順を実行します。
- アプリケーション ギャラリーからアプリを識別します。
- サポートされている SSO モードでアプリを識別します。
- アプリケーション ギャラリーからアプリとサービス プリンシパルをインスタンス化します。
アプリケーションとサービス プリンシパルに適用されるポリシー
| ポリシーの説明 | API 操作 | 適用対象 |
|---|---|---|
| リモート デスクトップ サービス (RDS) 認証プロトコルMicrosoft Entra ID管理する | remoteDesktopSecurityConfiguration リソースの種類とそれに関連付けられているメソッド | サービス プリンシパル |
| SAML トークン ポリシーを構成する | tokenIssuancePolicy リソースの種類とその関連するメソッド | アプリケーション サービス プリンシパル |
| アクセス トークン、SAML トークン、ID トークンのポリシーを構成する | トークンの有効期間ポリシー - tokenLifetimePolicy リソースの種類とそれに関連付けられているメソッド トークン発行ポリシー - tokenIssuancePolicy リソースの種類とそれに関連付けられているメソッド |
アプリケーション サービス プリンシパル |
| すべてのデバイスの種類について、Microsoft 365 Web アプリのアイドル セッション タイムアウトを管理する 手記: 非管理対象デバイスに対してのみポリシーをトリガーするには、条件付きアクセス ポリシーも追加する必要があります。 |
activityBasedTimeoutPolicy リソースの種類とその関連するメソッド | Microsoft 365 Web アプリ |
| organizationで証明書とパスワード シークレットを使用する方法に関するポリシーを管理します。 パスワード シークレットまたは対称キーの使用のブロックや有効期間の制限、信頼された証明機関の強制など、テナント全体のポリシーまたはアプリ固有のポリシーを作成する | アプリケーション認証方法ポリシー | アプリケーション |
| WS-Fed、SAML、OAuth 2.0、OpenID Connect プロトコルの要求マッピング ポリシーと、ポリシーが適用されるアプリケーションを管理する | claimsMappingPolicy リソースの種類とその関連するメソッド | サービス プリンシパル |
| テナントのホーム領域検出 (HRD) とサービス プリンシパルへのポリシーの割り当てを管理する | homeRealmDiscoveryPolicy リソースの種類とその関連するメソッド | サービス プリンシパル |
ID 同期 (プロビジョニング)
Microsoft Graph のプロビジョニング API を使用すると、次のシナリオで ID のプロビジョニングとプロビジョニング解除を自動化および管理できます。
- オンプレミスの Active DirectoryからMicrosoft Entra IDへ
- 他のクラウド ディレクトリからMicrosoft Entra ID
- Microsoft Entra IDから Dropbox、Salesforce、ServiceNow などのクラウド アプリケーションまで
詳細については、「Microsoft Entra同期 API の概要」を参照してください。