Graph API について

Microsoft Graph API について気ままに勉強会 #16

今日の目標 Graph API を Power Automateで使いこなそう

アジェンダ 1. Graph API とは 2. Graph API を Power
Automate で使う

Miyake Mito @MiTo60448639 https://qiita.com/MiyakeMito 株式会社アイシーソフト Technical Manager www.icsoft.jp

Power Automate と Power Virtual Agents でゲームを作ってます ⚫ オセロ
⚫ 神経衰弱 ⚫ どうぶつしょうぎ ⚫ WORDL

本日の参考サイト ▪ Microsoft Graph APIってなに？(りなたむさん) https://speakerdeck.com/rnakamuramartiny/microsoft-graphtutenani ▪ Microsoft FlowでMicrosoft Graph
APIを利用する２通りの方法 (@r-wakatsuki さん) https://qiita.com/r-wakatsuki/items/3c84fff0471c658a99c1 ▪ Microsoft Graph を使ってみよう(kenichiro nakamuraさん) https://qiita.com/kenakamu/items/6a1ca508dc093779eefa ▪ Microsoft Graph ドキュメント https://docs.microsoft.com/ja-jp/graph/?view=graph-rest-1.0

注意プレミアムコネクタを利用します。有料ライセンスが必要です。運用環境での使用は許可されていませんが、開発向けプランや開発者テナントであれば無償でお試しいただけます。 ▪ 開発者向けプラン https://powerapps.microsoft.com/ja-jp/developerplan/ ▪ Microsoft 365
開発者テナント https://developer.microsoft.com/ja-jp/microsoft-365/dev-program

Graph API とは

Graph APIとは ① ◼ M365、AAD、EMSなどの情報を取得、更新できる RESTful Web API ◼ エンドポイントはhttps://graph.microsoft.com
Graph API アプリ

Graph APIとは ② Microsoft 365 User, Groups, Organizations Outlook /
Exchange SharePoint, OneDrive Teams Planner To Do Excel OneNote Delve Microsoft Search アクセス可能なソリューション Windows 10,11 Activities Device Relay Commands 通知 Enterprise Mobility + Security Azure AD Intune Advanced Threat Analytics Advanced Threat Protection Identity Manager Dynamics 365 Business Central などなど

Graph APIを Power Automateで使う

DEMOします ▪ ゲストを招待する https://docs.microsoft.com/ja-jp/graph/api/invitation-post?view=graph-rest-1.0&tabs=http ▪ ライセンスを割り当てる https://docs.microsoft.com/ja-jp/graph/api/user-assignlicense?view=graph-rest-1.0&tabs=http ▪ パスワードを変更する https://docs.microsoft.com/ja-jp/graph/api/passwordauthenticationmethod-
resetpassword?view=graph-rest-beta&tabs=http ▪ Intune 業務用デバイスIDを登録する https://docs.microsoft.com/ja-jp/graph/api/intune-enrollment-importeddeviceidentity- importdeviceidentitylist?view=graph-rest-beta Graphを利用すると例えばこんなことができます

目的のAPIを探す ▪ まずはAPI を見つける Microsoft Graph API のリファレンスから探す https://docs.microsoft.com/ja-jp/graph/api/overview?view=graph-rest-1.0

Graph Explorer ▪ https://developer.microsoft.com/ja-jp/graph/graph-explorer ▪ GUI を使って実際に Graph を触れるツール ▪
委任されたアクセス許可で実行される ▪ サンプルアカウントでの実行も可能 ➢ Megan Bowenさん

Powe Automateで利用する手順アプリの登録アプリにアクセス許可を付与アプリケーションの許可でAPI実行委任されたアクセス許可でAPI実行初回の
み問い合わせの度に Graph API 実行 Graph API 実行アクセストークン発行これが一番手軽 Graph API 実行パターン１パターン２パターン３

アプリの登録

み問い合わせの度に Graph API 実行 Graph API 実行アクセストークン発行 Graph API 実行パターン１パターン２パターン３ここ！

アプリをAzure ポータル（Microsoft ID プラットフォーム）に登録 Azure portal ➢ Azure Active
Directory ➢ アプリの登録アプリを Azure に登録① 開発者がユーザーや顧客の各自の Microsoft ID やSNSアカウントを使用してサインインで切る仕組みを提供 SSO，ゲストアクセスなど

アプリを Azure に登録② クライアントシークレット追加アプリの登録 ➢ 証明書とシークレットシークレットの有効期限は最長24ヶ月 New-AzureADApplicationPasswordCredential コマンドで無制限にできる
（2022年5月時点）初回作成時のみ表示画面を閉じると再表示されないので注意

アプリにアクセス許可を付与

み問い合わせの度に Graph API 実行 Graph API 実行アクセストークン発行 Graph API 実行パターン１パターン２パターン３いまココ！

API を呼び出すために必要なアクセス許可（権限スコープ）を設定 Azure portal ➢ APIのアクセス許可 ➢ Microsoft Graph
アクセス許可の付与

アクセス許可サインインしているユーザーとして動作するよ ➢ユーザーに代わってAPIを実行するよアプリ自体にアクセス許可を付与して動作します ➢ユーザーなしでAPIを実行します ➢事前に管理者の同意が必要エンドユーザーが利用するスマホアプ
リ等、サインインユーザーとして動作することが必要なアプリで利用バックグラウンドサービスやデーモン等のなど、サインインユーザーが存在しないアプリで利用

委任されたアクセス許可 ◼ HTTP with Azure ADコネクタ＞ HTTP要求を呼び出します ◼ HTTP
with Azure AD コネクタはある程度の権限を保持している ➢ 実行できる権限スコープの一覧は公開されていない ➢ フローを実行した際に権限エラーが発生する場合、アプリケーションの許可を利用する、またはトークンを取得する必要がある私の権限で実行してどうぞ

アプリケーションの許可 ◼ HTTP ＞ HTTP ◼ Azure AD にアプリを登録する必要がある ➢
フローから Active Directory OAuth で認証する私が実行します

パンダ姐さん曰く。。。フローは • プッシュトリガーの場合は実行者 • ポーリングトリガーの場合は作成者（大体は）で動くので気を付けてね

必要なアクセス許可を調べる https://docs.microsoft.com/ja-jp/graph/ で使いたいAPI情報を調べると書いてある委任されたアクセス許可アプリケーションの許可

アクセス許可 ▪ [リソース].[操作].[制約] の組み合わせ ➢ [リソース] User：ユーザーに対して Group：グループに対して Sites：サイトコレクションに対して Mail：メールに対して
など ➢ [操作] Read：読み取り ReadWrite：編集など ➢ [制約] ALL ＞ Shared ＞なしの順に操作できる範囲が狭くなる

アプリケーションの許可でAPI実行

み問い合わせの度に Graph API 実行 Graph API 実行アクセストークン発行 Graph API 実行パターン１パターン２パターン３ココ！

Graph API 実行 {ディレクトリ (テナント) ID} {クライアントシークレット} HTTPメソッド URI Content-type
: application/json 要求本文 {アプリケーション(クライアント)ID} Acrive Directory Oauth を選択 https://graph.microsoft.com シークレットを選択

URIについて ① https://graph.microsoft.com/v1.0/drives/{drive-id}/items/{item-id}/children バージョンリソースパラメータ ▪ バージョン v1.0：一般公開 beta：プレビュー段階
▪ Microsoft Graph のリソースに対し、APIの応答をカスタマイズするためのRESTメソッドパラメータを指定（省略可能）メソッド

URIについて ② https://graph.microsoft.com/v1.0/me/ messages?filter=emailAddress eq '[email protected]' リソースクエリパラメーター ▪ リソースに対し、Odataクエリパラメータでのカスタマイズも可能
▪ 形式は {resource}?{query-parameters}

委任されたアクセス許可でAPI実行

み問い合わせの度に Graph API 実行 Graph API 実行アクセストークン発行 Graph API 実行パターン１パターン２パターン３いまココ！

APIの呼び出し ① HTTP with Azure AD コネクタ＞ HTTP要求を呼び出しますアクション
https://graph.microsoft.com https://graph.microsoft.com

APIの呼び出し ② HTTP with Azure ADコネクタ＞ HTTP要求を呼び出します HTTPメソッド
URI Content-type: application/json 要求本文

403… HTTP with Azure AD コネクタはある程度の権限を保持しているが、権限エラーが発生する場合は・・・ ➢ アプリケーションの許可でアク
セス権限を付与できるなら ➢ できない場合はアクセストークンを発行する私に任せて下さい！

アクセストークンを発行 ① ②応答URI（承認サーバーがトークンを送信するURI） ➢ 認証 ➢ Web http://localhost/myapp/ ①サポートされているアカウントの種類
➢ マルチテナント

アクセストークンを発行 ② https://login.microsoftonline.com/common/oauth2/v2.0/authorize ?client_id={アプリケーション(クライアント)ID} &response_type=code &redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F &response_mode=query &scope=offline_access%20user.read%20mail.read &state=12345 付与するアクセス許可
”offline_access%20”につなげる %20”(Space)で区切る Code={認可コード}

アクセストークンを発行 ③ POST https://login.microsoftonline.com/common/ oauth2/v2.0/token Content-Type : application/x-www-form-urlencoded client_id={アプリケーション(クライアント)ID} &scope=offline_access%20{アクセス許可}
&code={認可コード} &redirect_uri=http%3A%2F%2Flocalhost%2Fm yapp%2F &grant_type=authorization_code &client_secret={クライアントシークレット}

アクセストークンを発行 ④ アクセストークンリフレッシュトークン API発行のたびに、認可コード取得するのは大変なので、を発行されたリフレッシュトークンを OneDriveなどに保存しておこう

アクセストークンを発行 ⑤ POST https://login.microsoftonline.com/common/ oauth2/v2.0/token Content-Type : application/x-www-form-urlencoded client_id={アプリケーション(クライアント)ID} &scope=offline_access%20{アクセス許可}
&refresh_token={リフレッシュトークン} &redirect_uri=http%3A%2F%2Flocalhost%2F myapp%2F &grant_type=refresh_token &client_secret={クライアントシークレット}

トークンの発行サイクル承認要求認可コードリフレッシュトークンリフレッシュトークンリフレッシュトークンリフレッシュ
トークンアクセストークンアクセストークンアクセストークンアクセストークンアクセストークン発行時に、リフレッシュトークンも併せて発行されるよ初回のみ問い合わせの度に

認可サーバー APIのセキュリティ ▪ OAuth2.0 ① 許可申請クライアント ② 権限付与確認 ③
許可 ④ 認可コード発行利用権でアクセス ⑤ アクセストークンリクエスト ⑥ アクセストークン取得そうだよリソースサーバの API使いたい ID Pass 知ってるクライアント？許可されたよ許可権を利用権にかえて利用権だよ ⑦ APIへアクセス ⑧ リソース取得やったぜ！リソースオーナーリソースサーバー Graph API

アクセストークン発行 ROPC POST https://login.microsoftonline.com/ {ディレクトリ (テナント) ID}/oauth2/token Content-Type : application/x-www-form-urlencoded
grant_type=password &resource=https://graph.microsoft.com &client_id={アプリケーション(クライアント)ID} &username={実行ユーザーID} &password={実行ユーザーパスワード} &client_secret={クライアントシークレット} ROPC権限は１アクションでアクセストークンを取得できるけど、フローにユーザーID/パスワードとクライアントシークレットを設定するので注意！！

Graph API 実行 HTTPメソッド URI Authorization : Bearer {アクセストークン} 要求本文
Content-type : application/json body(HTTP')?['access_token']

さいごに

Power AutomateでGraph API 同等機能のコネクタ機能を共有１. 提供コネクタを利用２. カスタムコネクタを利用３.
HTTPアクションまたは HTTP要求を呼び出しますある Power Automateで Graph API を呼びたい共有するない共有しない Power Automate 標準機能でできなきいことをGraph APIで実現しよう！

ご参考に ▪ Power Automate で Graph API の「委任されたアクセス許可」でアクセストークンを発行する方法 https://qiita.com/MiyakeMito/items/a768841d76d22544a4c6
▪ Power Virtual Agents と Power Automate でユーザーのパスワードリセットするチャットボット作成【情シスボットシリーズ①】 https://qiita.com/MiyakeMito/items/e433059661dbfcd4fdf4 ▪ Power Virtual Agents と Power Automate でユーザーにライセンスを付与するチャットボット作成【情シスボットシリーズ②】 https://qiita.com/MiyakeMito/items/6595dffc3a97a2f92d7c https://qiita.com/MiyakeMito

まとめ Graph API で便利で、役立つ、そして面白いフローを作ってOutputしてください

ありがとうございました

Graph API について

Graph API について

More Decks by MiyakeMito

Other Decks in Technology

Featured

Transcript