1. 実装リファレンス
  2. アプリケーション権限による向上したサインイン・エクスペリエンスの有効化
機械翻訳について

アプリケーション権限による向上したサインイン・エクスペリエンスの有効化

設定ステップに従ってMicrosoft Azureでこの統合用にアプリケーションを設定した際に、統合に必要なAPIに対する委任されたアクセス許可(Calendars.ReadWriteなど)が付与されています。 MicrosoftのユーザーのEメール、アポイントメント、連絡先およびタスクに、同期およびアドインがアクセスするには、これらのAPI権限が必要です。

委任された権限では、ユーザーのMicrosoftトークンが期限切れ(アドインの最後のサインインから90日)になると、ユーザーがアドインに再サインインするまで、同期はエラーで失敗します。

ユーザーが90日ごとにアドインにサインインしなくてもシームレスに同期を続行する必要がある場合は、統合に必要なAPIに対するアプリケーションのアクセス許可をMicrosoft Azureに登録されているアプリケーションに追加できます。

Microsoft Azureでアプリケーションに追加のアプリケーション権限を付与すると、標準同期スケジュール済プロセスでは、その権限を使用してサインインします。 一方、アドインは既存の委任されたアクセス許可を引き続き使用します。

ノート: アプリケーション権限を有効にできるのは管理者のみです。

追加のアプリケーション権限を付与した後、ユーザーはアドインに1回サインインするだけで済むため、アドインを再度開く必要はありません。

アプリケーション権限の追加および有効化

アドインのアプリケーションのアクセス許可を追加し、有効にするには:

  1. Oracle Microsoft 365アドインについて作成したアプリケーションのアプリケーション権限をMicrosoft Azureで追加します。
  2. 営業アプリケーションでアプリケーションのアクセス許可を有効にします。
  3. アドインに1回サインインするようにユーザーに通知します。

Microsoft Azureでのアプリケーション権限の追加

  1. Microsoft Azureにサインインします。
  2. Oracle Microsoft 365アドインに登録したアプリケーションを開きます。
  3. 「API のアクセス許可」タブに移動し、「アクセス許可の追加」をクリックします。
  4. 自分の組織で使用するAPIを選択します。
  5. 「Office」を検索し、「Office 365 Exchange Online」を選択します。
  6. 「アプリケーションのアクセス許可」をクリックし、次の表に示す権限を追加します:
    アクセス許可 選択するオプション
    Calendars Calendars.ReadWrite.All
    担当者 Contacts.ReadWrite
    Mail Mail.ReadWrite
    Mailbox Settings MailboxSettings.ReadWrite
    Tasks Tasks.ReadWrite
    User User.Read.All

  7. 「アクセス許可の追加」をクリックします。

  8. 「API のアクセス許可」ページで、追加したそれぞれの権限について「管理者の同意を与えます」を選択して、ユーザーのかわりに同意します。

営業アプリケーションでのアプリケーション権限の有効化

  1. 「設定と保守」作業領域で、「Microsoft 365の管理」タスクを使用します。
    • オファリング: 営業
    • 機能領域: 統合
    • タスク: Microsoft 365の管理
  2. 同期設定で、「Microsoftアプリケーション権限の有効化」オプションを有効にします。
  3. 「保存して閉じる」をクリックします。

メールボックスを保護するためのアプリケーション・アクセス・ポリシーの構成

理論的には、アプリケーションのアクセス許可が付与されたアプリケーションを使用しているアカウントは、アプリケーション用のMicrosoftテナント内のすべてのメールボックスにアクセスできます。 ただし、このアプリケーションを使用するOracle Microsoft 365同期プロセスでは、アドインにサインインしたユーザーのメールボックスにアクセスするためにのみ、このアプリケーションを使用します。 アドインはこのアプリケーションに対するアプリケーションのアクセス許可を使用せず、委任されたアクセス許可のみを使用します。

会社のセキュリティ要件に応じて、このアプリケーションを特定のユーザーのみにさらに制限できます。 そのため、このアプリケーションで「アプリケーションのアクセス許可」を有効にする前に、アプリケーション・アクセス・ポリシーを構成できます。

ノート: アプリケーション・アクセス・ポリシーの構成はオプションで、ビジネスのセキュリティ要件によって異なります。

Microsoft Azure管理者がアプリケーション・アクセス・ポリシーを構成します。

  1. メールが有効なセキュリティ・グループをMicrosoft Exchange管理センターで作成します。
  2. 作成したセキュリティ・グループに対して、Microsoft PowerShellでアプリケーション・アクセス・ポリシーを作成します。

    アクセス・ポリシーは、標準同期プロセスがアクセスできるメールボックスの範囲を制限します。

メールが有効なセキュリティ・グループの作成

  1. https://admin.exchange.microsoft.com/#/のExchange管理センターにサインインします。
  2. 「Groups」「Mail-enabled security」にナビゲートします
  3. 次のスクリーンショットに示すように、「Add a group」をクリックします:
    スクリーンショットは、Exchange管理センター・ページの「Add a group」ボタンを示しています。 ボタンをクリックしてグループを作成します。
  4. 次のスクリーンショットに示すように、「Group type」セクションで、「Mail-enabled security」を選択し、「Next」をクリックします:
    グループ・タイプに「Mail-enabled security」オプションを選択します。
  5. 次のサンプル・スクリーンショットに示すように、基本セクションで名前と説明を入力し、次へをクリックします:
    グループを作成する次のステップは、グループの名前や摘要などの基本情報を入力することです。
  6. 「Settings」セクションで、グループのEメール・アドレスを入力し、次のように構成します。 この画像は、「Edit settings」ページがアクティブな「Settings」メニューを示しています。 また、「Communication」セクションと「Approval」セクションの2つのチェック・ボックスも示されています。
    1. Communication: チェック・ボックスを選択しないでください。
    2. Approval: スクリーンショットに示されているように、「Require owner approval to join the group」チェック・ボックスを選択します。
      次のステップで、グループのEメール・アドレスを作成します。
  7. この例のスクリーンショットに示すように、終了セクションですべての詳細を確認し、グループの作成をクリックします:
    「Create group」ボタンをクリックしてグループの作成を終了します。
  8. このスクリーン・ショットに示されているように、作成した「Mail-enabled security」のグループが「グループ」リストに表示されます:
    作成したグループが「Groups」リストに表示されます。
  9. 次に、所有者を割り当て、グループにメンバーを追加する必要があります。 そのためには、グループ名をクリックします。
  10. 「Group Details」ウィンドウで、「Members」タブをクリックします。
    1. グループを作成すると所有者になります。 所有者をさらに追加する場合は、「View all and manage owners」をクリックします。
      次のスクリーンショットは、「Members」タブが強調表示された「Limit Access」ウィンドウと、「View all and manage owners」リンクを示しています:
      「Members」タブで、「View all and manage owners」リンクをクリックして、グループに所有者を追加します。
    2. 次のスクリーンショットに示すように、「Owners」ページで、「Add owners」をクリックします:
      「Add Owners」ボタンをクリックします。
    3. 次のスクリーンショットに示すように、リストからグループ所有者を選択し、「Add」をクリックします:
      リストから所有者を選択します。

      戻る矢印をクリックして「Members」タブに戻ります。

    4. 次に、セキュリティ・グループにシームレスにアクセスできるようにするユーザーを追加します。 次のスクリーンショットに示すように、「Members」タブで、「View all and manage members」をクリックします:
      「View all and Manage Members」リンクをクリックして、作成したセキュリティ・グループにユーザーを追加します。
    5. 「Members」ページで、「Add members」をクリックします。
    6. リストからメンバーを選択し、「Add」をクリックします。

      戻る矢印をクリックして「Members」タブに戻ります。

  11. グループを閉じます。

    メールが有効なセキュリティ・グループを使用する準備ができました。

アプリケーション・アクセス・ポリシーの作成

  1. Windows PowerShellを開きます。
  2. Windows PowerShellで次のコマンドを実行します。
    • $UserCredential = Get-Credential

      コマンドを入力すると、Windows PowerShellの管理者資格証明を入力するウィンドウが表示されます。 次のサンプル・スクリーンショットに示すように、管理者の資格証明を入力します:


      管理者資格証明を入力します。
    • 次に、次のサンプル・スクリーンショットに示すように、コマンド$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirectionを入力します:
      Windows PowerShell UIで、新しいセッションに関連するコマンドを入力します。

      管理者資格証明を再度入力するよう求めるプロンプトが表示されます。 情報を入力します。

    • 次に、次のサンプル・スクリーンショットに示すように、コマンドImport-PSSession $Session -DisableNameCheckingを入力します:
      次に、インポート・セッションに関連するコマンドを入力します。
  3. アプリケーションのアプリケーション(クライアント) IDおよびメールが有効なセキュリティ・グループを識別して、アプリケーションへのアクセスを制限します。
    ノート: Microsoft Azureからアプリケーションのアプリケーション(クライアント) IDを取得できます。 前述の「メールが有効なセキュリティ・グループの作成」の項に記載されているステップに従って先ほど作成した、メールが有効なセキュリティ・グループを使用してください。
  4. 次に、アプリケーション・アクセス・ポリシーを作成します。

    App Id (Microsoft Azureに登録したアプリケーションID)およびPolicyScopeGroupId (セキュリティ・グループのEメール・アドレス)の引数を置き換えて、次のコマンドを実行します。

    • New-ApplicationAccessPolicy -AppId xxxxxxxxxxxxxxxxxxxx -PolicyScopeGroupId xxxxxxxxxxxxxxxxxx -AccessRight RestrictAccess.のサンプル・スクリーンショットを次に示します:
      新しいアプリケーション・アクセス・ポリシーを作成するためのコマンドを入力します。

    変更が反映されるまでに約30分かかる場合があります。

  5. 新しく作成したアプリケーション・アクセス・ポリシーをテストします。

    IdentityおよびApp Idの引数を置き換えて、次のコマンドを実行します。 Identityは、セキュリティ・グループに追加したユーザーのEメール・アドレスであり、AppIdは、Microsoft Azureに登録したアプリケーションIDです。

    • Test-ApplicationAccessPolicy -Identity <Identify> -AppId <AppId>

    作成したアプリケーション・アクセス・ポリシーをテストします。