Microsoft365 をアプリ連携する上でのトークンの取得
Microsoft365 (Office 365) 管理 API の使用を開始する
Office 365 Management API などのセキュリティで保護されたサービスにアクセスする必要があるアプリケーションを作成する場合、アプリケーションがアクセスする権利を持っているかどうかをサービスに知らせる方法を提供する必要があります。Office 365 Management API は、Azure AD を使用して、アプリケーションがそれらにアクセスするための権限を付与するために使用できる認証サービスを提供します。
主な手順は次の 4 つです。
1.アプリケーションを Azure AD に登録します。
アプリケーションが Office 365 Management API にアクセスできるようにするには、アプリケーションを Azure AD に登録する必要があります。これにより、アプリケーションの ID を確立し、API へのアクセスに必要なアクセス許可レベルを指定できます。
2.Office 365 テナント管理者の同意を取得します。
Office 365 テナント管理者は、アプリケーションが Office 365 Management API を使用してテナント データにアクセスできるようにすることに明示的に同意する必要があります。同意プロセスは、テナント管理者がAzure AD 同意 UIにサインインする必要があるブラウザー ベースのエクスペリエンスです。アプリケーションが要求しているアクセス許可を確認してから、要求を許可または拒否します。同意が得られると、UI は URL に認証コードを付けてユーザーをアプリケーションにリダイレクトします。アプリケーションは Azure AD に対してサービス間の呼び出しを行い、この承認コードをアクセス トークンと交換します。アクセス トークンには、テナント管理者とアプリケーションの両方に関する情報が含まれています。テナント ID は、アクセス トークンから抽出し、将来の使用のために保存する必要があります。
3.Azure AD からアクセス トークンを要求します。
アプリケーションは、Azure AD で構成されているとおりにアプリケーションの資格情報を使用して、同意済みのテナントの追加のアクセス トークンを継続的に要求します。これ以上のテナント管理者の操作は必要ありません。これらのアクセス トークンは、テナント管理者に関する情報が含まれていないため、アプリ専用トークンと呼ばれます。
4.Office 365 管理 API を呼び出します。
アプリ専用アクセス トークンは Office 365 Management API に渡され、アプリケーションの認証と承認が行われます。
図は、同意とアクセス トークンの要求のシーケンスを示しています。
メモ
Office 365 管理アクティビティ API(Office 365 Management API) とは
Office 365 管理アクティビティ API は、Office 365 と Azure Active Directory のアクティビティ ログからの、ユーザー、管理者、システム、およびポリシーイベントについての情報を提供します。
お客様とパートナーは、この情報を使用して、操作、セキュリティ、およびコンプライアンス監視の新しい企業向けソリューションを作成、もしくは既存のソリューションを拡張します。
参照
Microsoft Build
https://learn.microsoft.com/en-us/office/office-365-management-api/get-started-with-office-365-management-apis