レガシー権限および権限移行ガイダンス
Microsoft Azure Graph API 権限の変更 (v6.2 以降)
この記事では、Nerdio Manager バージョン 6.2 以降における既定の Microsoft Azure Graph API 権限要件の変更について説明します。これらの変更により、Nerdio Manager 製品の必要な権限範囲が縮小され、セキュリティが向上します。以下に示す権限は、ここに記載されている完全な権限要件の一部です: Azure 権限および Nerdio Manager
これらの権限変更は、既定で Nerdio Manager 6.2 一般提供 (GA) リリースの新規インストールに適用されるため、新しい展開については変更の必要がありません。
既存のインストールについては、環境が 6.2 リリースにアップグレードされた後に、以下に説明する変更を行うことができます。これらの変更は任意です。既存の顧客は、既存の権限構造を保持することを選択でき、これはサポートされています。
警告: 6.2 リリース以前のリリースバージョンに対して、リストされた権限の変更を行わないでください。これにより、Nerdio Manager 内の機能が破損します。プレ6.2 環境に変更が加えられた場合は、サポートチームに連絡して支援を受けてください。
v6.2 前のデフォルト権限リスト
この表は、バージョン 6.2 前のすべてのインストールに必要だった Microsoft Azure Graph API 権限を示しています。6.2 のインストール後に以下の記事に記載された変更が完了していない場合、このリストは有効です。
| サービス | 権限 | 機能 |
|---|---|---|
Microsoft Graph |
Application.ReadWrite.All (delegated) | Nerdio Manager アプリケーションのサービスプリンシパルを管理します。 |
Microsoft Graph |
AppRoleAssignment.ReadWrite.All |
ユーザーがサインインできるように、Nerdio Manager アプリケーションにユーザーを割り当てます。 |
Microsoft Graph |
Directory.Read.All (delegated) |
アクティブユーザーのコンテキストでディレクトリに対して読み取りを実行するための権限。 |
Microsoft Graph |
ユーザーの読み取り (委任) User.ReadBasic.All (delegated) GroupMember.Read.All (アプリケーション) Organization.Read.All (アプリケーション) User.Read.All (アプリケーション) (オプション)Group.Read.All (アプリケーション) |
アプリグループの割り当て用の Entra ID グループとメンバーシップを読み取ります。 |
Microsoft Graph |
Offline_access (委任) Openid (委任) profile (委任) (オプション)Mail.Send (委任) |
ユーザーのサインインと委任されたアクションを許可します。 |
Microsoft Azure Graph API 権限リスト: v6.2 以降
この表は、v6.2 以降のすべての Nerdio Manager バージョンに必要な Microsoft Azure Graph API 権限を示しています。新しい権限は太字で表示されています。
注意: このリストは、以下の記事に記載された変更が完了した場合にのみ適用されます。Directory.Read.All が削除されていない場合は、上記の代替リストを参照してください。
| サービス | 権限 | 機能 |
|---|---|---|
Microsoft Graph |
Application.Read.All (delegated) AppRoleAssignment.ReadWrite.All Application.ReadWrite.All (委任) |
Nerdio Manager アプリケーションのサービスプリンシパルを管理し、ユーザーを Nerdio Manager アプリケーションに割り当てて、ユーザーのサインインを有効にします。 |
Microsoft Graph |
Organization.Read.All (delegated) Organization.Read.All (アプリケーション) |
テナント名などの組織レベルの情報を読み取ります。 |
Microsoft Graph |
ユーザーの読み取り (委任) User.ReadBasic.All (delegated) User.Read.All (アプリケーション) User.Read.All (delegated) Group.Read.All (アプリケーション) Group.Read.All (delegated) GroupMember.Read.All (delegated) |
アプリグループの割り当てに対する Entra ID グループとメンバーシップを読み取ります。 |
Microsoft Graph |
Offline_access (委任) Openid (委任) profile (委任) (オプション)Mail.Send (委任) |
ユーザーのサインインと委任されたアクションを許可します。 |
既存のインストールの権限を変更する
注意: この変更は、Directory.Read.All 権限の削除が必要な場合のみ必要です。既存の顧客は、新しい権限セットが望ましい場合を除き、この変更を行う必要はありません。古い権限セットの保持は完全にサポートされています。
Nerdio Manager環境がv6.2以上にアップグレードされたら、Directory.Read.All権限を削除するために権限を変更できます。このタスクを完了するために以下のプロセスに従ってください。支援が必要な場合は、Nerdio Support チームにお問い合わせください。
続行する前に、Nerdio Manager環境が少なくともバージョン6.2 GAで動作していることを確認してください。
以下の操作を実行するには、グローバル管理者アカウントが必要です。
Azure ポータルにグローバル管理者としてサインインします。
Microsoft Entra IDに移動します。
管理ブレードで、アプリ登録を選択します。
あなたのNerdio Managerアプリを選択します。
管理ブレードで、API権限を選択します。
+ 権限を追加を選択します。
-
次の委任された権限を追加します:
User.Read
User.ReadBasic.All
User.Read.All
Group.Read.All
Application.Read.All
Organization.Read.All
Directory.Read.All権限を削除します。
権限のポップアップが生成されるとき。同意を付与して続行を選択します。
エンタープライズアプリケーションに移動します。
あなたのNerdio Managerアプリを選択します。
セキュリティブレードで、権限を選択します。
上記の新しい権限がすべて表示されていることを確認し、Directory.Read.Allの権限が削除されていることを確認します。
App Servicesに移動します。
あなたのNerdio ManagerApp Serviceを選択します。
設定ブレードで、環境変数を選択します。
+ 追加を選択します。
-
次の新しい設定を追加します:
Name: AzureAD:DefaultGraphScopes
値: User.Read|User.ReadBasic.All|User.Read.All|Group.Read.All|Application.Read.All|Organization.Read.All
概要に移動します。
-
再起動するを選択して、App Serviceを再起動します。
変更は完了しました。さらなる支援が必要な場合は、Nerdio Support にお問い合わせください。
コメント (0件のコメント)