はじめに
※ この投稿は以下の記事の続きです。
前回の記事で、アプリケーション許可権限で Graph API を実行するために必要なアクセストークンを取得することができました。この記事では、Graph API を実際に実行する手順を紹介しています。
2. Graph API の実行
Graph API を実行するには、以下の手順を実施します。
- Entra ID アプリケーションにアクセス許可を追加する
- プログラムで Graph API を実行する
2.1 Entra ID アプリケーションにアクセス許可を追加する
2.1.1 アクセス許可が無い場合
アプリケーション許可権限では、管理者があらかじめ許可した操作のみ Graph API で行うことができます。
試しに、[Application] - [Users] とフォルダを展開して、[Get users] をクリックしてみます。これはテナント内のユーザー情報を取得する Graph API です。
前の記事の手順 で取得したアクセストークンは、[Application] フォルダ配下で Graph API を実行する際に利用されます。
[Delegated] フォルダはユーザー委任権限で Graph API を実行する場合に使用します。この記事の最後で紹介しています。
[Send] ボタンをクリックすると、Graph API が実行され、画面下側に実行結果が表示されます。
ステータス が "403 Forbbiden" となり、[Preview] に以下のメッセージが出力されています。これは、Entra ID アプリケーションにユーザー情報を取得するアクセス許可がないことを表しています。
"message": "Insufficient privileges to complete the operation."
2.1.2 必要なアクセス許可の確認
各 Graph API の公開情報で [アクセス許可] のセクションに必要なアクセス許可が記載されています。
アプリケーション許可権限で Graph API を実行する場合は、[アプリケーション] の行を確認します。
(参考:ユーザーを一覧表示する)
https://learn.microsoft.com/ja-jp/graph/api/user-list?view=graph-rest-1.0&tabs=http
アクセス許可
アクセス許可の種類 アクセス許可 (特権の小さいものから大きいものへ)
...
アプリケーション User.Read.All、User.ReadWrite.All、Directory.Read.All、Directory.ReadWrite.All
ユーザー情報を取得する Graph API の公開情報を確認すると、"User.Read.All" が 最小特権アクセス許可 であることが分かります。
2.1.3 アクセス許可の追加方法
Graph API を実行するために必要なアクセス許可は、管理者が Entra ID 管理センターからアプリケーションに追加します。
管理者には 特権ロール管理者 の役割が必要です。
-
[アプリケーション] - [アプリの登録] よりアプリケーションを選択し、[API のアクセス許可] - [+アクセス許可の追加] をクリックします
-
[Microsoft Graph] をクリックします
-
[アプリケーション許可] をクリックし、検索ボックスに "User.Read.All" と入力します
[User.Read.All] に ✅ を付け、[アクセス許可の追加] をクリックします
-
[【テナント名】に管理者の同意を与えます] をクリックします
確認ダイアログが表示されるので [はい] をクリックします
-
[【テナント名】に付与されました] と表示されることを確認します
2.2 プログラムで Graph API を実行する
2.2.1 ユーザー情報の取得
アクセスを許可を追加したら、同じ手順 で再度アクセストークンを取得します。
アプリケーションのアクセス許可を変更したら、その都度アクセストークンの再取得が必要です。
再度ユーザー情報を取得する Graph API の [Send] ボタンをクリックすると、今度はステータスが [200 OK] と表示され、[Preview] に結果が出力されます。
アクセストークンからアクセス許可を調べる方法
アクセストークンには、アクセストークンを取得した時点のアクセス許可の情報が含まれています。
アクセストークンに含まれるアクセス許可の情報は jst.ms というサイトで確認することができます。
- 取得したアクセストークンを Ctrl + A で全選択してコピーします
- アクセストークンを jst.ms の画面上部に貼り付けます
-
"roles" にアクセス許可が表示されます
ユーザー委任権限で取得したアクセストークンの場合は "scp" にアクセス許可が表示されます。
(参考:API Permissions not updated when using Microsoft Graph)
https://learn.microsoft.com/en-us/answers/questions/1824515/api-permissions-not-updated-when-using-microsoft-g
2.2.2 チームの作成
今度は、チームを作成する Graph API を実行してみます。以下の公開情報を見ながら URL と送信データを設定します。
(参考:チームを作成する)
https://learn.microsoft.com/ja-jp/graph/api/team-post?view=graph-rest-1.0&tabs=http
URL と送信データの設定
左側の検索ボックスに "Create Team" と入力して、[Application] - [Teams] とフォルダ配下の [Create team] をクリックします。
■ URL の変更
URL を公開情報と合わせて以下に置き換えます。
HTTP 要求
POST /teams
https://graph.microsoft.com/v1.0/teams
■ 送信データの設定
作成するチームの名前などの情報を送信データとして [Body] タブで指定します。
送信データは JSON 形式で指定します。どのように指定すれば良いのかは公開情報に例が記載されています。
例 2:アプリケーションのアクセス許可
{
"template@odata.bind":"https://graph.microsoft.com/v1.0/teamsTemplates('standard')",
"displayName":"My Sample Team",
"description":"My sample team’s description",
"firstChannelName": "My first channel of the sample team",
"members":[
{
"@odata.type":"#microsoft.graph.aadUserConversationMember",
"roles":[
"owner"
],
"user@odata.bind":"https://graph.microsoft.com/v1.0/users('0040b377-61d8-43db-94f5-81374122dc7e')"
}
]
}
| 設定箇所 | 意味 |
|---|---|
| displayName | チーム名 |
| description | 説明 |
| firstChannelName | 最初のチャネルの名前 |
"members" に所有者となるユーザーの ID を指定します。
| 設定箇所 | 意味 |
|---|---|
| roles | 追加するユーザーのロール 所有者 (owner) またはメンバー (member) |
| user@odata.bind | 追加するユーザーの ID |
ユーザー委任権限の場合 は Graph API を実行する際にサインインしたユーザーが自動的にチームの所有者になります。アプリケーション許可権限では送信データの "members" で任意のユーザーをチームの所有者に設定します。
送信データの例:
{
"template@odata.bind":"https://graph.microsoft.com/v1.0/teamsTemplates('standard')",
"displayName":"テストチーム02",
"description":"アプリケーション許可権限で作成したテストチームです。",
"firstChannelName": "テストチャネル",
"members":[
{
"@odata.type":"#microsoft.graph.aadUserConversationMember",
"roles":[
"owner"
],
"user@odata.bind":"https://graph.microsoft.com/v1.0/users('c1fe9cb2-87f9-4a6a-b040-a5b63108dc4e')"
}
]
}
アクセス許可の追加
公開情報の [アクセス許可] のセクションから、必要なアクセス許可を確認します。
アクセス許可
アクセス許可の種類 最小特権アクセス許可 より高い特権のアクセス許可
...
アプリケーション Team.Create Directory.ReadWrite.All、Group.ReadWrite.All、Teamwork.Migrate.All
最小特権アクセス許可は "Team.Create" と記載されています。同じ手順 で Entra ID アプリケーションにアクセス許可を追加します。
アクセス許可を追加したら、再度アクセストークンを取得して、[送信] ボタンをクリックします。
ステータスが [202 Accepted] と表示されることを確認します。
作成したチームの ID は、[Headers] タブの [content-location] に含まれています。
Teams 管理センターから確認すると、チームが作成されていることが確認できます。
2.2.3 その他の Graph API の実行
その他の Graph API についても、同じ方法で実行することができます。
[Application] フォルダの中に実行したい Graph API が無い場合には、以下の方法で追加します。
- [Application] フォルダを右クリックして [HTTP Request] をクリックします。
-
[New Request] を右クリックして、実行したい Graph API の名前を入力します
- 実行したい Graph API の公開情報を確認して、URL や送信データを設定します
補足
ユーザー委任権限で実行する方法
Insomnia を使って ユーザー委任権限 で Graph API を実行することもできます。
Graph Explorer からも実行することはできますが、Insomnia を使うとよく使用するリクエストを保存しておくことができるので便利です。
-
[Delegated] フォルダをクリックして、[Auth] タブに以下を入力します。
項目 内容 Redirect URL https://insomnia.rest SCOPE Graph API の実行に必要なアクセス許可 [Redirect URL] は Entra ID へ登録したアプリケーションの リダイレクト URI と一致している必要があります。
[SCOPE] には必要なアクセス許可をスペース区切りで入力します。
例:Team.ReadBasic.All Team.Create -
[Auth] タブを下にスクロールして、[Fetch Token] をクリックします
-
サインインを促すダイアログが表示されるので、Graph API を実行するユーザーでサインインします
-
アクセス許可の同意に関するダイアログで [承諾] をクリックします
その後白い画面が表示されるので右上の × ボタンからウィンドウを閉じます
-
取得されたアクセストークンが [ACCESS TOKEN] に表示されることを確認します
-
[Delegated] フォルダ配下のリクエストを実行します
以下の例ではサインインしたユーザーが所属しているチームの一覧を取得しています
(参考:joinedTeams を一覧表示する)
https://learn.microsoft.com/ja-jp/graph/api/user-list-joinedteams?view=graph-rest-1.0&tabs=http
Insomnia のクラウドへ同期する方法
コレクションを Insomnia のクラウドへ同期すると、他のマシンでもクラウドから同期して作業を継続することができるので便利です。
サーバへの同期は以下の手順で行います。
[Microsoft Graph] Collection と [M365 Environment] の両方について、以下の手順でクラウドへ同期します。
- [Microsoft Graph] Collection を開いた状態で、左下のアイコンをクリックし [Commit] を選択します
-
[Changes] に最後に同期されてから変更された内容が表示されます
サーバ側へ同期したい変更内容を [+] ボタンで選択します
- 選択した変更内容が [Staged changes] に表示されていることを確認します
-
[Message] に変更内容などを記載して、[Commit and push] をクリックすると、クラウドへ同期されます
- [M365 Environment] についても同じ手順で同期します
- 他の端末でクラウドと同期する時は [Pull] をクリックします
[History] から [Restore] を選択することで、いつでも [Commit] したタイミングの状態に戻すことができます。
