Home > アプリ管理 > Microsoft テナント用のアプリ プロファイルの管理 > カスタム Microsoft Azure アプリが必要とする API アクセス許可
この記事をダウンロードMicrosoft Entra ID で作成されるカスタム アプリは、AvePoint Online Services の一般機能で利用できるように、以下の表を参照して必要なアクセス許可を適切に割り当ててください。
組織のセキュリティ ポリシーによって Sites.FullControl.All SharePoint API アクセス許可が許可されていない場合、代わりに Sites.Selected アプリケーション権限を追加することができます。詳細については、Sites.FullControl.All 権限をマイ カスタム アプリに追加できない場合の解決方法 を参照してください。
| API | アクセス許可 (説明) | タイプ | 説明 |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All (Read all group memberships) | アプリケーション | Microsoft 365 グループを AvePoint Online Services に追加して、Microsoft 365 アカウントでの AvePoint Online Services へのサインインをサポートします。 |
| Microsoft Graph | Domain.Read.All (Read domains) | アプリケーション | Microsoft 365 ドメイン情報を取得します。 |
| Microsoft Graph | LicenseAssignment.Read.All (Read all license assignments) | アプリケーション | Microsoft 365 テナントで割り当てられているユーザー シーを計算します。 |
| Microsoft Graph | User.Read.All (Read all users) | アプリケーション | メールボックス、Microsoft 365 グループ、チーム、および Viva Engage コミュニティをスキャンします。ユーザー管理 でユーザーおよびグループを招待します。 |
| SharePoint / Office 365 SharePoint Online | Sites.FullControl.All (Have full control of all site collections) | アプリケーション | SharePoint Online サイト コレクション、Project Online サイト コレクション、OneDrive、Microsoft 365 グループのチーム サイトをスキャンします。 |
| SharePoint / Office 365 SharePoint Online | User.Read.All (Read user profiles) | アプリケーション | OneDrive をスキャンして、SharePoint のユーザー プロファイルから各ユーザーの OneDrive URL を取得します。 |
| Office 365 Exchange Online | full_access_as_app (Use Exchange Web Services with full access to all mailboxes) | アプリケーション | 必要に応じて、Exchange Online のパブリック フォルダーとインプレース アーカイブ済みメールボックスをスキャンします。 |
| Office 365 Exchange Online | Exchange.ManageAsApp (Manage Exchange As Application) | アプリケーション | Only required by custom apps of the following services: Cloud Backup for Microsoft 365, Cloud Management, Cloud Governance, Fly, EnPower, Opus, and Policies for Microsoft 365. |
full_access_as_app または Exchange.ManageAsApp アクセス許可を追加するには、Office 365 Exchange Online API のアクセス許可の追加 を参照してください。
以下のサービスは、認証にカスタム Azure アプリを使用することをサポートしています。カスタム アプリの権限は、テナントが使用しているクラウド サービスによって異なります。
お使いのサービスに必要な権限を表示するには、以下のリンクをクリックしてください。
このガイドに記載されているもの以外の権限や Microsoft ライセンスは必要ありません。
組織のセキュリティ ポリシーによって Sites.FullControl.All SharePoint API 権限が許可されていない場合、代わりに Sites.Selected アプリケーション権限を以下の手順に従って追加することができます。
カスタム Azure アプリの作成 を参照して、カスタム Azure アプリを構成します。SharePoint API 権限を追加する際に、Sites.FullControl.All 権限の代わりに Sites.Selected 権限を追加します。[[テナント名] に管理者の同意を与えます] をクリックして、管理者の同意を付与することを保証します。
アプリがアクセスできるサイトを指定します。詳細については、選択したサイトの Graph Explorer での指定方法 を参照してください。
オブジェクトのバッチ インポート を参照し、これらのサイトをインポートすることができます。
Sites.Selected SharePoint API アクセス許可がサポートされているサービスは以下のとおりです。
| AvePoint クラウド サービス | 対応状況 | コメント |
|---|---|---|
| Opus | ○ | - |
| tyGraph | ○ | - |
| Fly | ○ | SharePoint Online to SharePoint Online 移行および OneDrive to OneDrive 移行のみでサポートされています。 |
| Cloud Backup for Microsoft 365 | ○ | Sites.Selected で Sites.FullControl.All アクセス許可を置き換える場合、バックアップおよびリストア機能が失敗になります。 |
| Insights | ○ | Microsoft チームおよび Microsoft 365 グループ ワークスペースではサポートされていません。また、Microsoft 365 ワークスペースの外部共有設定を取得することはできなく、リスク分析の概要レポートに表示することはできません。 |
| Policies for Microsoft 365 | ○ | Sites.Selected で Sites.FullControl.All アクセス許可を置き換える場合、Policies for Microsoft 365 は SharePoint サイトおよびテナントの SharingCapability プロパティを取得することはできません。結果として、サービス レベルのルール サイト コンテンツの共有設定 およびテナント レベルのルール テナント レベルのサイト コンテンツの外部共有設定 が利用できません。また、フィルター条件 ロック / アーカイブ状態 も利用できません。 |
| Cloud Management レポート ポイント | ○ | 一部のサイト情報は取得できなく、Microsoft 365 アクティビティ レポートに含めることはできません。 |
以下の説明を参照し、アプリがアクセスできるサイトを指定します。
Https://developer.microsoft.com/en-us/graph/graph-explorer に移動して、プロファイル アイコンをクリックしてサインインします。

ポップアップ ウィンドウが表示されると、[承諾] をクリックします。

以下の説明を参照して、提供したキーワードと一致するサイトを検索します。
左ナビゲーションから search for a SharePoint site by keyword をクリックします。

Modify permissions タブで、Sites.Read.All または Sites.ReadWrite.All 権限が付与されていることを確認します。付与されていない場合、[Consent] をクリックして権限を付与します。

目的のサイト名で Search= の後ろのテキストを置き換えます。例として以下のスクリーンショットを参照してください。

[Run query] をクリックします。応答結果を確認して、以下のスクリーンショットの赤いボックスの位置にあるサイト ID 値をメモします。サイト ID 値は以下の手順で使用されます。

特定のサイトにアクセスするには、以下の API 呼び出しを使用して、アプリに対して FullControl 権限を付与します。
リクエスト方法を POST に変更します。
アドレス バーに以下の URL を入力して、前のステップで取得したサイト ID 値で {site-id} を置き換えます。
https://graph.microsoft.com/v1.0/sites/{site-id}/permissions

Request body テキスト ボックスで、以下の JSON を入力して、カスタム アプリのクライアント ID および表示名で {app-id} および {app-name} を置き換えます。

Modify permissions タブで、Sites.FullControl.All 権限が付与されていることを確認します。付与されていない場合、[Consent] をクリックして権限を付与します。

[Run query] をクリックして、リクエストを実行します。正常に実行すると、特定のサイトにおける操作が完了します。
