Rest APIの構成

REST APIは、お使いのMicrosoft 365環境でレポートを生成するのに必要です。

Rest APIを手動または自動構成して、プロセスを自動化できます。

自動構成

  1. ADManager Plusにログインする
  2. [システム設定]に表示される[Microsoft 365/Googleアプリ]をクリックします。
  3. REST APIアクセスを有効にするMicrosoft 365テナントと関連づけられた[Rest APIアクセス]列に表示される[今すぐ有効にする]オプションを選択します。
  4. Microsoft 365ログインポータルに転送する次の画面。ADManager Plusで先に構成したグローバル管理者アカウントの認証情報を入力します。
  5. [サインイン]をクリックします。
  6. これが完了すると、ADManager Plusのアプリケーションが自動作成されます。次のページには、アプリケーションに必要なすべての許可のリストが表示されます。アプリケーションに必要な権限を変更する場合は、手動構成を選択してください。
  7. 一覧表示された許可について情報を確認したら、Accept[承認]をクリックします。
  8. これで、ADManager Plusコンソールに転送されます。コンソールから、構成したアカウントについて、REST APIアクセスを有効になっていることを確認できます。

手動構成

自動構成中に許可に関する問題が発生した場合、あるいはアプリケーションが必要な許可を変更する場合は、Rest APIアクセスを手動で構成できます。

Azureポータル

  1. REST APIを有効にするアカウントの認証情報を使って、Azure ADポータルにログインします。
  2. Azure [Active Directory] → [アプリ登録] → [新しい登録]の順に選択します。
  3. 作成するADManager Plusアプリケーションの希望の 名前を入力し、[登録]をクリックします。または、希望のアプリケーション名を選択します。
  4. アプリケーションについて情報が記載された概要ページが表示されます。
  5. [転送URIを追加]をクリックします。
  6. [タイプ]ドロップダウンから、「Web」を選択します。[転送URI]フィールドに、http://localhost:port_number/webclient/VerifyUserを入力します。
  7. 次の 転送URIWebタイプの値として、後続行に追加します。
    • https://identitymanager.manageengine.com/api/public/v1/oauth/redirect
    • https://demo.o365managerplus.com/oauth/redirect
    • https://manageengine.com/microsoft-365-management-reporting/redirect.html

    注意:

    • 転送URIは、下記要件を満たしている必要があります。
      • 長さは256文字以下にしてください。
      • ワイルドカード文字を含めることはできません。
      • クエリ文字列を含めることなできません。
      • HTTPSまたはhttp://localhostではじめてください。
      • 有効な一意URLでなければなりません。
      • httpの場合、URI値は、http://localhost:8080です。httpを使う場合、マシン名またはIPアドレスをローカルホストの代わりに使うことはできません。
      • httpsの場合、URI値は、https://192.345.679.345:8080またはhttps://testmachine:8080です。
    • 転送URI 形式は、ADManagerPlusで構成した接続タイプによって異なります(http/https)。
    Rest APIの構成
  8. [保存]をクリックします。
  9. 左ペインの[マニフェスト]をクリックして、コード中のrequiredResourceAccessアレイを検索します。
  10. このファイルのコンテンツをコピーし、下のイメージで強調表示されたコンテンツを貼り付け、[保存]をクリックします。

    11. 注意:

    • お使いのテナントを Azure Germanyで作成している場合は、このファイルのコンテンツ全体をコピーして、下のイメージで強調表示されたセクションに貼り付けます。
    • お使いのテナントを Azure Chinaで作成している場合は、このファイルのコンテンツ全体をコピーして、下のイメージで強調表示されたセクションに貼り付けます。
    Rest APIの構成
  11. 左ペインの[API許可]をクリックし、[同意を付与] セクションに表示された[<your_company_name>に管理者同意を付与する]オプションをクリックします。 option listed under必要に応じて、必よな許可を付与します。API許可とその範囲は、この表で確認できます。
    12. Rest APIの構成
  12. 表示される確認ダイアログボックスで[はい]をクリックします。
  13. [証明書と秘密] → [新しいクライアントの秘密]の順に移動します。
  14. このセクションでは、ADManager Plusのアプリパスワードを生成します。パスワード識別の[説明]フィールドに名前を入力します。
  15. パスワード有効期限設定を構成し、[追加]をクリックします。
  16. [値]に表示差r他文字列をコピーして、保存します。これは、ADManager PlusでMicrosoft 365テナントを構成中に必要です。
    17. Rest APIの構成
  17. 左ペインの [概要]セクションに移動し、アプリケーション(クライアント) IDオブジェクトIDの値をコピーして、保存します。
    18. Rest APIの構成

ロールと許可

ADManager Plusで構成したサービスアカウントに必要なロールと許可(最小範囲)は下記のとおりです。

モジュール ロール名 範囲
管理 ユーザ管理者 ユーザー、連絡先およびグループを管理します。
特権認証管理者 パスワードをリセット、管理者をブロックとブロック解除します。
特権ロール管理者 Azure Active Directoryでロール割当を管理します。
Exchange管理者 メールボックスプロパティを更新する
Teamsサービス管理者 Microsoft Teamsを管理する
レポート グローバルリーダー すべてのMicrosoft 365サービスに関するレポートを取得する
セキュリティリーダー セキュリティリーダー

ADManager Plusで構成したAzure ADアプリケーションに必要なロールと許可(最小範囲)は下記のとおりです。

モジュール API名 許可 範囲
管理 Microsoft Graph User.ReadWrite.All ユーザー作成、修正、削除および復元。
Group.ReadWrite.All グループ作成、修正、削除および復元。また、メンバーとオーナーを追加または削除します。
レポート Microsoft Graph User.Read.All ユーザーとグループメンバーのレポート。
Group.Read.All グループレポート。
Contacts.Read 連絡先レポート。
Reports.Read.All 使用状況レポート。
Organization.Read.All ライセンス詳細レポート。
AuditLog.Read.All 監査ログベースのレポート
Azure Active Directory Graph Domain.Read.All ドメインベースのレポート。

ADManager Plusポータル

  1. ADManager Plusポータルを下記ポップアップで開きます。
    2. Rest APIの構成
  2. [テナント名]を入力します。例. test.onmicrosoft.com
  3. 各フィールドのステップ#16で保存した アプリケーション(クライアント) IDオブジェクトIDを貼り付けます。
  4. ステップ#15中に保存したアプリケーションの秘密鍵を入力します。
  5. [更新]をクリックします。これで、Rest APIアクセスは、構成したアカウントについて、有効になります。