Home > アプリ管理 > Microsoft テナント用のアプリ プロファイルの管理 > カスタム Microsoft Azure アプリが必要とする API アクセス許可

この記事をダウンロード

カスタム Microsoft Azure アプリが必要とする API アクセス許可

Microsoft Entra ID で作成されるカスタム アプリは、AvePoint Online Services の一般機能で利用できるように、以下の表を参照して必要なアクセス許可を適切に割り当ててください。

NOTE

組織のセキュリティ ポリシーによって Sites.FullControl.All SharePoint API アクセス許可が許可されていない場合、代わりに Sites.Selected アプリケーション権限を追加することができます。詳細については、Sites.FullControl.All 権限をマイ カスタム アプリに追加できない場合の解決方法 を参照してください。

APIアクセス許可 (説明)タイプ説明
Microsoft GraphGroupMember.Read.All (Read all group memberships)アプリケーションMicrosoft 365 グループを AvePoint Online Services に追加して、Microsoft 365 アカウントでの AvePoint Online Services へのサインインをサポートします。
Microsoft GraphDomain.Read.All (Read domains)アプリケーションMicrosoft 365 ドメイン情報を取得します。
Microsoft GraphLicenseAssignment.Read.All (Read all license assignments)アプリケーションMicrosoft 365 テナントで割り当てられているユーザー シーを計算します。
Microsoft GraphUser.Read.All (Read all users)アプリケーションメールボックス、Microsoft 365 グループ、チーム、および Viva Engage コミュニティをスキャンします。ユーザー管理 でユーザーおよびグループを招待します。
SharePoint / Office 365 SharePoint OnlineSites.FullControl.All (Have full control of all site collections)アプリケーションSharePoint Online サイト コレクション、Project Online サイト コレクション、OneDrive、Microsoft 365 グループのチーム サイトをスキャンします。
SharePoint / Office 365 SharePoint OnlineUser.Read.All (Read user profiles)アプリケーションOneDrive をスキャンして、SharePoint のユーザー プロファイルから各ユーザーの OneDrive URL を取得します。
Office 365 Exchange Onlinefull_access_as_app (Use Exchange Web Services with full access to all mailboxes)アプリケーション必要に応じて、Exchange Online のパブリック フォルダーとインプレース アーカイブ済みメールボックスをスキャンします。
Office 365 Exchange OnlineExchange.ManageAsApp (Manage Exchange As Application)アプリケーションOnly required by custom apps of the following services: Cloud Backup for Microsoft 365, Cloud Management, Cloud Governance, Fly, EnPower, Opus, and Policies for Microsoft 365.
NOTE

full_access_as_app または Exchange.ManageAsApp アクセス許可を追加するには、Office 365 Exchange Online API のアクセス許可の追加 を参照してください。

以下のサービスは、認証にカスタム Azure アプリを使用することをサポートしています。カスタム アプリの権限は、テナントが使用しているクラウド サービスによって異なります。

お使いのサービスに必要な権限を表示するには、以下のリンクをクリックしてください。

NOTE

このガイドに記載されているもの以外の権限や Microsoft ライセンスは必要ありません。

Sites.FullControl.All 権限をマイ カスタム アプリに追加できない場合の解決方法

組織のセキュリティ ポリシーによって Sites.FullControl.All SharePoint API 権限が許可されていない場合、代わりに Sites.Selected アプリケーション権限を以下の手順に従って追加することができます。

  1. カスタム Azure アプリの作成 を参照して、カスタム Azure アプリを構成します。SharePoint API 権限を追加する際に、Sites.FullControl.All 権限の代わりに Sites.Selected 権限を追加します。[[テナント名] に管理者の同意を与えます] をクリックして、管理者の同意を付与することを保証します。

  2. アプリがアクセスできるサイトを指定します。詳細については、選択したサイトの Graph Explorer での指定方法 を参照してください。

  3. オブジェクトのバッチ インポート を参照し、これらのサイトをインポートすることができます。

Sites.Selected SharePoint API アクセス許可がサポートされているサービスは以下のとおりです。

AvePoint クラウド サービス対応状況コメント
Opus-
tyGraph-
FlySharePoint Online to SharePoint Online 移行および OneDrive to OneDrive 移行のみでサポートされています。
Cloud Backup for Microsoft 365Sites.SelectedSites.FullControl.All アクセス許可を置き換える場合、バックアップおよびリストア機能が失敗になります。
InsightsMicrosoft チームおよび Microsoft 365 グループ ワークスペースではサポートされていません。また、Microsoft 365 ワークスペースの外部共有設定を取得することはできなく、リスク分析の概要レポートに表示することはできません。
Policies for Microsoft 365Sites.SelectedSites.FullControl.All アクセス許可を置き換える場合、Policies for Microsoft 365 は SharePoint サイトおよびテナントの SharingCapability プロパティを取得することはできません。結果として、サービス レベルのルール サイト コンテンツの共有設定 およびテナント レベルのルール テナント レベルのサイト コンテンツの外部共有設定 が利用できません。また、フィルター条件 ロック / アーカイブ状態 も利用できません。
Cloud Management レポート ポイント一部のサイト情報は取得できなく、Microsoft 365 アクティビティ レポートに含めることはできません。

選択したサイトの Graph Explorer での指定方法

以下の説明を参照し、アプリがアクセスできるサイトを指定します。

  1. Https://developer.microsoft.com/en-us/graph/graph-explorer に移動して、プロファイル アイコンをクリックしてサインインします。

    プロファイル アイコンをクリック

    ポップアップ ウィンドウが表示されると、[承諾] をクリックします。

    承諾をクリック

  2. 以下の説明を参照して、提供したキーワードと一致するサイトを検索します。

    1. 左ナビゲーションから search for a SharePoint site by keyword をクリックします。

      search for a SharePoint site by keyword をクリック

    2. Modify permissions タブで、Sites.Read.All または Sites.ReadWrite.All 権限が付与されていることを確認します。付与されていない場合、[Consent] をクリックして権限を付与します。

      Modify permissions タブでの権限の構成

    3. 目的のサイト名で Search= の後ろのテキストを置き換えます。例として以下のスクリーンショットを参照してください。

      サイト名の指定の例

    4. [Run query] をクリックします。応答結果を確認して、以下のスクリーンショットの赤いボックスの位置にあるサイト ID 値をメモします。サイト ID 値は以下の手順で使用されます。

      応答内のサイト ID 値のサンプル

  3. 特定のサイトにアクセスするには、以下の API 呼び出しを使用して、アプリに対して FullControl 権限を付与します。

    1. リクエスト方法を POST に変更します。

    2. アドレス バーに以下の URL を入力して、前のステップで取得したサイト ID 値で {site-id} を置き換えます。

      https://graph.microsoft.com/v1.0/sites/{site-id}/permissions

      特定のサイトの POST リクエストのサンプル

    3. Request body テキスト ボックスで、以下の JSON を入力して、カスタム アプリのクライアント ID および表示名で {app-id} および {app-name} を置き換えます。

      {
         "roles": [
           "fullcontrol"
         ],
         "grantedToIdentities": [
           {
             "application": {
               "id": "{app-id}",
               "displayName": "{app-name}"
             }
           }
         ]
       }

      リクエスト本文コンテンツのサンプル

    4. Modify permissions タブで、Sites.FullControl.All 権限が付与されていることを確認します。付与されていない場合、[Consent] をクリックして権限を付与します。

      Modify permissions タブでの権限の構成

    5. [Run query] をクリックして、リクエストを実行します。正常に実行すると、特定のサイトにおける操作が完了します。

      正常な実行のサンプル