データアクセス(アプリケーションの許可と権限の委任)

  • 更新

LMS365 アプリが正しく動作するためには、ユーザーのデータへのアクセスが必要です。LMS365 アプリは、このデータにアクセスするための許可を要求します。同意は、必要な同意の種類に応じて、管理者または管理者以外のユーザーによって付与されます。

LMS365アプリは、管理者の同意と動的なユーザーの同意を使用します。

管理者の同意Microsoft 365 グローバル管理者は、組織内のすべてのユーザーに代わって、アプリケーションの許可と一連の権限の委任を承認するよう求められます。
この同意は、LMS365 のインストール時に利用できます。管理者の同意の権限の項目は、この記事の「管理者の同意の権限」に記載しています。

動的なユーザーの同意:Microsoft 365 グローバル管理者は、個々のユーザーに代わって一連の許可を承認するよう求められます。
これらの許可は、通知用のメール アカウントを設定する際に動的に要求されます。
したがって、メール アカウントの設定時に、管理者以外のユーザーの電子メールを指定する必要があります。
例えば、LMS365は「ユーザーのカレンダーへのフルアクセス」を要求するので、ユーザーがそれに同意すると、LMS365はユーザーのカレンダーに対してそのアクセス許可を持つようになります。
動的なユーザーの同意の権限の項目は、この記事の「動的なユーザーの同意の権限」に記載しています。

________.pngMicrosoft Graph PowerShellを使用し、動的なユーザーの同意を実行することができます。これは、たとえば、組織のポリシーによってユーザーの同意が無効または制限されている場合に役立ちます。また、組織のセキュリティポリシーにより、排他的に割り当てられたユーザー(アカウント)によるユーザーの同意の許可が与えられている場合にも適用可能です。詳細については、Microsoft社のドキュメント「PowerShell を使用して 1 人のユーザーに代わって同意を許可する」をご参照ください。

LMS365で使用される権限は、アプリケーションの許可と権限の委任です。

アプリケーションの許可は、バックグラウンドサービスとして実行するなど、現在サインインしているユーザーがいなくてもアプリが実行するために使用されます。アプリケーションの許可に同意できるのは、Microsoft 365 グローバル管理者のみです。

権限の委任は、現在サインインしているユーザーで実行するためにアプリが使用するものです。アプリは、対象リソースを呼び出す際に、サインインしているユーザーとして動作する許可を委任されます。この場合、アプリが要求する許可に同意するために、ユーザーまたは管理者のいずれかの同意が必要です。

データアクセスは、ELEARNINGFORCE社や弊社の従業員が、お客様のデータにアクセスすることを可能にするものではありません。

LMS365アプリは、Microsoft 365で使用されているのと同じ認証基盤を使用しています。
お客様のデータは、多要素認証を含むMicrosoft 365のセキュリティフレームワークによって保護されます。
実際のサインイン画面は、Microsoft社によって提供され、ホストされています。
LMS365のサインインでは、 Microsoft 365にサインインする場合と同じ画面が表示され、同じ手順でサインインすることができます。

つまり、ユーザーはOffice 365での既存のアクセス権に基づいてLMS365内のデータにアクセスでき、LMS365を介して他のユーザーのデータにアクセスすることはできないようになっています。
そのため、次項に示すアクセススコープでは、ユーザーはMicrosoft 365で閲覧が許可されている範囲以上のデータを閲覧することはできません。
例えば、「すべてのサイト コレクションに含まれるアイテムの読み取り」許可は、ユーザーが SharePointでアクセスできるSharePointデータのみを見ることができます。データはSharePointによって管理されており、SharePointのすべてのサイトのすべてのデータを、ユーザーが見ることができるわけではありません。

ユーザーインターフェース(SharePointが提供する画面、LMS365アプリが提供する画面)に関わらず、ユーザーはSharePoint内でアクセス可能なデータのみにアクセスすることができます。
SharePointはMicrosoft 365のサインインによって管理されているため、お客様のMicrosoft 365テナントへのアクセス権を持つユーザー以外がデータにアクセスすることはできません。

LMS365アプリは、データの提供元が指定するアクセススコープを使用します。
以下に、LMS365 が使用する可能性のあるスコープ一覧を記載しています。


管理者の同意の権限

アプリケーションの許可

LMS365 管理センターのユーザーページでは、現在のコースカタログの各ユーザーの詳細情報が表示・管理されています。

この詳細な情報を提供するために、LMS365は定期的にMicrosoft Graphをチェックし、そのデータをLMS365のアプリケーションと同期させています。

Microsoft Graph を読み込むために、LMS365 は次のアプリケーションの許可を使用します。

グループメンバーシップを読み取る(要求値=GroupMember.Read.All):
LMS365アプリが Azure Active Directory グループメンバーと Office 365 グループを展開できるようにし ます。これは、トレーニングにユーザーのグループを登録するために必要となります。

すべてのユーザーの完全なプロファイルの読み取り(要求値=User.Read.All): 
LMS365は、アカウント名、表示名、Eメール、部署、役職、オフィス、国、都市、マネージャーID/Eメールを同期させます。
この権限は、LMS365アプリが完全なユーザープロファイルを読み取り、階層レポートを構築するためにユーザーの管理者を定義し、ユーザーページでユーザーのデータを検索およびフィルタリングすることを許可します。

権限の委任

すべてのユーザーの完全なプロファイルの読み取り(要求値=User.Read.All):
LMS365 アプリが、現在ログインしているユーザーの完全なプロファイルを読み取ることを許可します。

サインインとユーザープロファイルの読み取り(要求値=User.Read):
ユーザーがLMS365アプリにサインインできるようにします。またサインインしているユーザーのプロファイルとユーザーの基本会社情報をLMS365アプリが読み取ることを許可します。

すべてのサイトコレクションのフルコントロール(要求値=AllSites.FullControl):
テナントのプロビジョニングを大幅に改善することができます。グローバルアプリカタログは、LMS365 テナントプロビジョニング時に SPFX と LMS365 アドインのアップロードを自動化するために使用されます。この権限により、Microsoft 365 グローバル管理者は、LMS365 管理センターのグローバル設定から、LMS365のコースカタログと基盤となるSharePoint サイトコレクションを作成することができます。

組織へのゲストユーザーの招待(要求値=User.Invite.All):
LMS365アプリがサインインしているユーザーの代わりに、組織にゲストユーザーを招待することを許可します。コースカタログ管理者がゲストユーザーをコースカタログに招待するために必要となります。

重要!:これは、Microsoft 365 のグローバル管理者によって Azure Active Directory の外部コラボレーションが有効になっている場合に、LMS365 アプリケーション内でのみ機能します。以下をご参照の上、手順に従って外部コラボレーションの設定を行なってください。

SharePointテナントの外部共有設定とサイトコレクションの外部共有設定は、LMS365カタログを公開しているサイトコレクションで使用できます。


動的なユーザー同意の権限

委任された許可

SMTP 認証を使用してユーザーとしてメールを送信する(要求値=SMTP.Send):
LMS365 アプリが通知メールを送信することを許可します。これに対する許可は、通知のためにメールアカウントの設定時に動的に要求されます。この許可は、単一のユーザーに要求され、管理者でない普通のユーザーによって受け入れられる必要があります。

Exchange Webサービスを介してサインインユーザーとしてメールボックスにアクセスする(要求値=EWS.AccessAsUser.All): 
LMS365 アプリが会議室リストと会議室を読み込むことを許可します。これに対する許可は、通知のためにメールアカウントの設定時に動的に要求されます。この許可は、単一のユーザーに要求され、管理者でない普通のユーザーによって受け入れられる必要があります。

ユーザーからのメールとして送信(要求値=Mail.Send):
LMS365アプリが、組織内のユーザーとしてメールを送信することを許可します。これに対する許可は、通知のためにメールアカウントの設定時に動的に要求されます。この許可は、単一のユーザーに要求され、管理者でない普通のユーザーによって受け入れられる必要があります。

オンライン会議の読み取りおよび作成(要求値=OnlineMeetings.ReadWrite):
LMS365アプリがオンライン会議イベントを作成、読み取り、更新、および削除することを許可します。これに対する許可は、通知のためにメールアカウントの設定時に動的に要求されます。この許可は、単一のユーザーに要求され、管理者でない普通のユーザーによって受け入れられる必要があります。

ユーザーのカレンダーへのフルアクセス(claim value=Calendars.ReadWrite):
MS365アプリが接続されたユーザーのカレンダーにトレーニングイベントを作成、読み取り、更新、削除することを許可します。これに対する許可は、通知のためにメールアカウントの設定時に動的に要求されます。この許可は、単一のユーザーに要求され、管理者でない普通のユーザーによって受け入れられる必要があります。

Microsoft Graphを用いたLMS365のデータアクセスの概要については、Microsoft社のドキュメントでご確認いただけます。