エクスポート (0) 印刷
すべて展開

Windows Azure AD Graph およびロールベースのアクセス制御

更新日: 2013年11月

このトピックでは、Windows Azure AD Graph を使用する場合に Windows Azure AD オブジェクトへのアクセスを制限するために使用するロールベースのアクセス制御 (RBAC) の概要を示します。

Windows Azure AD Graph は、Windows Azure AD エンティティへのアクセスを制御するうえで、Azure AD テナント ロールに依存しています。次の表に示す組み込みのロールのいずれかに対して、アプリケーションを表すサービス プリンシパルを追加し、組織内の Windows Azure AD エンティティに対する読み取り/書き込みアクセスまたは読み取り専用アクセスをサービス プリンシパルに許可することができます。

 

Windows Azure AD ロール Windows Azure AD Graph の権限

ユーザー管理の管理者

サービス プリンシパルと、会社の管理者ロール内にあるアカウントを除く、他のディレクトリ オブジェクトに対する完全な読み取り/書き込み権限です。会社の管理者ロールに対して、アカウントの追加、削除、または更新を実行することはできません。

ディレクトリ リーダー

読み取り専用の権限。

組み込みのロールのいずれかに対してサービス プリンシパルを追加するには、Office 365 の Windows PowerShell の Add-MsolRoleMember コマンドレットを使用します (Get-MsolServicePrincipal コマンドレットを使用してサービス プリンシパルの ObjectId を取得し、RoleMemberObjectId パラメーターに渡すことができます)。

Add-MsolRoleMember -RoleName "User Account Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId d71 … ea
Important重要
サービス プリンシパルをロールに追加するときに RoleMemberType パラメーターを指定する必要があります。それ以外の場合は、エラーが発生します。

Important重要
サービス プリンシパルをロールに追加するには、会社の管理者ロールのメンバーである必要があります。

グループとロールのメンバーシップを管理するために使用する Office 365 の PowerShell コマンドレットの詳細については、「管理グループとロールのメンバーシップ」を参照してください。サービス プリンシパルの作成方法の詳細については、「Windows Azure AD Graph の認証」を参照してください。

表示:
© 2014 Microsoft