Microsoft Graph PowerShellのアクセス許可の保存先について

はじめに

前回書いた記事(Microsoft Graph の認証方法 - JBS Tech Blog)で説明した委任認証時のアクセス許可の保存先について、説明します。

委任認証のアクセス許可の保存先

Microsoft Graph PowerShellの委任認証を実施し、管理者が承認すると、Azure ADのエンタープライズアプリケーションに"Microsoft Graph PowerShell"という名前のアプリケーションが自動的に作成されます。

このエンタープライズアプリケーションのアクセス許可に管理者が承認したアクセス許可が追加されます。

ちなみに一度許可したアクセス許可に関して、GUI上では個別に削除することができません。

「XXXXに管理者の同意を与えます」ボタンを押下することで下記の状態にリセットすることは可能です。なぜchat関連のアクセス許可を設定するのかは不明です。

他にアクセス許可を削除する方法としては、"Microsoft Graph PowerShell"エンタープライズアプリケーション自体を削除することで、アクセス許可を削除することも可能です。

削除しても、再度Microsoft Graph PowerShellの委任認証を実施すると、"Microsoft Graph PowerShell"エンタープライズアプリケーションが再作成されます。

最後に

Microsoft Graph PowerShellでアクセス許可を承認すると全ユーザーがそのアクセス許可を利用することが可能となってしまいます。

委任なので、認証したユーザーが保持する権限の範囲の操作しかできませんが、本番環境で許可する場合は、全ユーザーが利用することがセキュリティ上問題ないことを確認した上でアクセス許可の承認を実施してください。

全ユーザーへの利用を制限したい場合は、別で専用のAzure ADアプリを登録して、利用可能なユーザーを制限して運用することを推奨します。

執筆担当者プロフィール
梅村 聡

梅村 聡(日本ビジネスシステムズ株式会社)

CS本部DI部CAG所属。主にMicrosoft 365関連の開発を担当。趣味はバレーボールとアニメ鑑賞。

担当記事一覧