Microsoft Entra ID への登録
必要なアプリ登録
Halo が M365 クラウド ストレージを監視できるようにするには、適切な Microsoft graph API 権限を持つアプリケーションを Microsoft Entra ID に登録する必要があります。
注: Microsoft Entra テナントへのアクセス権と、少なくとも Cloud application administrator ロールを持つアカウントが必要です。
以下の手順に従ってアプリ登録を手動で作成することも、この提供済みの shell script を使用してプロセスを自動化することもできます。
アプリケーションを登録する
- Microsoft Entra Admin Center にサインインします。
- 必要に応じて、Settings > Directories + subscriptions から目的のテナントに切り替えます。
- Identity > Applications > App registrations に移動し、New registration をクリックします。
- アプリケーションの Name を入力します。
- Supported account types で、Accounts in this organizational directory only をクリックします。
- Redirect URI は空欄のままにします。
- Register をクリックします。
登録後、Overview ペインで次の項目を控えておきます。
- Application (client) ID
- Directory (tenant) ID
これらの値は Halo のセットアップ時に必要です。
クライアント シークレットを生成する
- Certificates & secrets > Client secrets に移動します。
- New client secret をクリックします。
- 説明を入力し、有効期限を選択します(またはカスタムの有効期間を指定します)。
- Add をクリックします。
- クライアント シークレットの値はすぐにコピーして保存してください。 ページを離れると再度表示できません。
注: クライアント シークレットの有効期限は 24 か月以内です。期限切れの場合は、上記の手順を繰り返して新しいものを生成してください。
API 権限を構成する
-
アプリのAPI permissionsペインで、Add a permissionをクリックします。
-
Microsoft graph > Application permissions をクリックします。
-
次の権限を付与します:
- For SharePoint:
Files.ReadWrite.AllSites.Read.All
- For OneDrive:
Files.ReadWrite.AllUser.ReadBasic.All
- For Outlook:
User.ReadBasic.AllMail.ReadWrite
- For SharePoint:
-
Add permissions をクリックします。
-
権限が Not granted と表示されている場合は、Grant admin consent をクリックします。
Outlook メール バナーの追加権限(任意)
Outlook email disclaimer banner を使用する予定がある場合、アプリ登録には Exchange Online の権限も必要です:
- アプリのAPI permissionsペインで、Add a permissionをクリックします。
- APIs my organization uses をクリックし、Office 365 Exchange Online を検索します。
- Application permissions をクリックします。
- Grant the following permission:
Exchange.ManageAsApp
- Add permissions と Grant admin consent をクリックします。
- Microsoft Entra ID > Roles and administrators に移動し、Exchange Administrator ロールを見つけて、アプリ登録に割り当てます。
証明書の完全な設定手順については、Outlook バナー用に Exchange Online を設定する を参照してください。
これらの手順が完了したら、ストレージ監視を有効にした Glasswall Halo のデプロイに進むことができます。