Office 365 Graph API セットアップ
Microsoft Office 365 を使用している顧客にとって、Microsoft Graph API を介して Email Security をセットアップするのは迅速かつ簡単です。以下のメールフローは、これがどのように機能するかを示しています。
Email Security は、撤回およびディレクトリ統合の目的で 2 つの役割を使用します。
- 特権認証管理者: この役割を持つユーザーは、現在の認証方法情報を表示し、全ユーザー(グローバル管理者を含む)の非パスワード資格情報を設定またはリセットできます。特権認証管理者は、ユーザーに既存の非パスワード資格情報(MFA や FIDO など)に対して再登録を強制し、すべてのユーザーの次回ログイン時に MFA を促す「デバイスで MFA を記憶する」メッセージを取り消すことができます。
- 特権役割管理者: この役割を持つユーザーは、Azure Active Directory 内および特権アイデンティティ管理内で役割の割り当てを管理できます。さらに、この役割は特権アイデンティティ管理のすべての側面を管理することを可能にします。
ディレクトリ統合には、上記の 2 つの役割の使用が必要です。メール撤回には 特権役割管理者 のみが必要です。必要な役割にメンバーシップを持つ Azure 管理者は、これらの認可を実行できます。認可プロセスは、Email Security ダッシュボードに Azure 環境へのアクセスを付与します。このアクセスは、機能するために必要な最小限の適用可能な特権で実行されます。詳細は 以下の表 を参照してください。
Email Security が登録するエンタープライズアプリケーションは、いかなる管理者アカウントにも結び付けられていません。Azure Active Directory 管理センター内で、エンタープライズアプリケーションセクションにおいて各アプリケーションに付与された権限を確認できます。詳細については、アプリケーション管理ドキュメント ↗ を参照してください。
-
Email Security ダッシュボード ↗ にログインします。
-
設定(ギアアイコン)に移動します。
-
メール設定 > ドメインとルーティング > ドメイン で、新しいドメインを選択します。
-
ドメインに、オンボードしたいドメインを入力します。
-
メールアクセスの承認で、アクセスを承認を選択します。
-
新しいタブが開いたら、承認したい Office 365 アカウントを選択するか、資格情報を入力します。
-
権限を確認し、受け入れるを選択して続行します。Email Security ダッシュボードに戻ります。
-
ディレクトリスキャンで、アクセスを承認を選択します。
-
新しいタブが開いたら、承認したい Office 365 アカウントを選択するか、資格情報を入力します。
-
権限を確認し、受け入れるを選択して続行します。Email Security ダッシュボードに戻ります。
-
保護範囲で、Email Security が受信トレイのみをスキャンするか、すべてのフォルダーをスキャンするかを選択します。すべてのフォルダーをスキャンすることは、メールが自動的に他のフォルダーにルーティングされる状況で役立ちますが、ユーザーはまだアクセスできます。
- 受信トレイのみを保護: Email Security はユーザーの受信トレイのみをスキャンします。
- すべてのフォルダーを保護: Email Security はすべての非隠しメールフォルダーをスキャンします。
-
両方のタイプの承認が完了したら、ドメインを公開を選択します。
承認されたドメインは、メール設定 > ドメインとルーティング > ドメイン に表示され、Office 365 と Email Security の間のディレクトリ同期の進行状況に関するメッセージが表示されます。
以下の表は、Azure エンタープライズアプリケーションに表示されるディレクトリ統合に必要な API 権限を示しています。
| API 名 | クレーム値 | 権限 | タイプ | 付与方法 | 付与者 |
|---|---|---|---|---|---|
| Microsoft Graph | User.Read | サインインしてユーザープロファイルを読み取る | Delegated | 管理者の同意 | 管理者 |
| Microsoft Graph | Group.Read.All | すべてのグループを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | Directory.Read.All | ディレクトリデータを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | User.Read.All | すべてのユーザーの完全なプロファイルを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | GroupMember.Read.All | すべてのグループメンバーシップを読み取る | Application | 管理者の同意 | 管理者 |
以下の表は、Azure エンタープライズアプリケーションに表示される撤回を示しています。
| API 名 | クレーム値 | 権限 | タイプ | 付与方法 | 付与者 |
|---|---|---|---|---|---|
| Microsoft Graph | Mail.ReadWrite | すべてのメールボックスでメールを読み書きする | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | Group.Read.All | すべてのグループを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | User.Read.All | すべてのユーザーの完全なプロファイルを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | Domain.Read.All | ドメインを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | GroupMember.Read.All | すべてのグループメンバーシップを読み取る | Application | 管理者の同意 | 管理者 |
| Microsoft Graph | Organization.Read.All | 組織情報を読み取る | Application | 管理者の同意 | 管理者 |