名前空間: microsoft.graph
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
agentIdentityBlueprint にキー資格情報を追加します。 このメソッドと removeKey を使用すると、期限切れのキーのローリングを自動化できます。
注:
公開キーの値は、アプリケーションに証明書資格情報を追加する場合にのみ指定する必要があります。 秘密キー証明書をアプリケーションに追加すると、アプリケーションが損なわれます。
このメソッドの要求検証の一環として、アクションを実行する前に、既存のキーの所有証明が検証されます。
既存の有効な証明書がない (証明書がまだ追加されていないか、すべての証明書の有効期限が切れている) エージェント ID ブループリントは、このサービス アクションを使用できません。 代わりに、 Update エージェント ID ブループリント 操作を使用して更新を実行できます。
アクセス許可
この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。
| アクセス許可の種類 | 最小特権アクセス許可 | より高い特権のアクセス許可 |
|---|---|---|
| 委任 (職場または学校のアカウント) | AgentIdentityBlueprint.AddRemoveCreds.All | AgentIdentityBlueprint.ReadWrite.All, Directory.ReadWrite.All |
| 委任 (個人用 Microsoft アカウント) | サポートされていません。 | サポートされていません。 |
| アプリケーション | AgentIdentityBlueprint.AddRemoveCreds.All | AgentIdentityBlueprint.ReadWrite.All, Directory.ReadWrite.All |
重要
AgentIdentity* のアクセス許可は、現在、Microsoft Entra 管理センターの API アクセス許可エクスペリエンスを通じて同意できません。 これらのアクセス許可を使用するには、「プログラムによる API アクセス許可の付与または取り消し」の説明に従って、Microsoft Graph API呼び出しを通じてそれらに同意できます。 これらの アクセス許可の詳細については、「エージェント ID を管理するための アクセス許可」を参照してください。
委任されたアクセス許可を使用する場合、認証されたユーザーには、サポートされているMicrosoft Entra ロールまたはサポートされているロールのアクセス許可を持つカスタム ロールを割り当てる必要があります。 この操作では、次の最小特権ロールがサポートされています。
- エージェント ID 管理者。
- エージェント ID 開発者 - エージェント ID ブループリントを作成します。 このロールを持つプリンシパルには、作成するブループリントの所有権が割り当てられ、そのブループリントに対して書き込み操作を実行できます。
HTTP 要求
POST /applications/{id}/microsoft.graph.agentIdentityBlueprint/addKey
要求ヘッダー
| 名前 | 説明 |
|---|---|
| Authorization | ベアラー {token}。 必須です。 認証と認可についての詳細をご覧ください。 |
| Content-Type | application/json. 必須です。 |
要求本文
要求本文で、パラメーターの JSON 表現を指定します。 次の表に、このアクションを呼び出すときに必要なパラメーターを示します。
| プロパティ | 型 | 説明 |
|---|---|---|
| keyCredential | keyCredential | 追加する新しいアプリケーション キー資格情報。 この使用に必要なプロパティは、型、使用法、キーです。 サポートされているキーの種類は次のとおりです。
|
| passwordCredential | passwordCredential | key のパスワードを含める必要がある設定が必要なのは secretText のみです。 このプロパティは、 X509CertAndPassword型のキーにのみ必要です。 それ以外の場合は、 null に設定します。 |
| 証拠 | 文字列 | 既存のキーの所有証明として使用される自己署名 JWT トークン。 この JWT トークンは、アプリケーションの既存の有効な証明書の 1 つの秘密キーを使用して署名される必要があります。 トークンには、次の要求を含める必要があります。
この所有証明トークンを生成する手順については、「 ローリング キーの所有証明トークンの生成」を参照してください。 要求の種類の詳細については、「 要求ペイロード」を参照してください。 |
応答
成功した場合、このアクションは応答コード 200 OK と、応答本文 に keyCredential を返します。
例
要求
次の例は要求を示しています。
POST https://graph.microsoft.com/beta/applications/{id}/microsoft.graph.agentIdentityBlueprint/addKey
Content-Type: application/json
{
"keyCredential": {
"@odata.type": "microsoft.graph.keyCredential"
},
"passwordCredential": {
"@odata.type": "microsoft.graph.passwordCredential"
},
"proof": "String"
}
応答
次の例は応答を示しています。
注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": {
"@odata.type": "microsoft.graph.keyCredential"
}
}