アプリケーション インスタンス ロックは、Microsoft Entra ID の機能であり、これにより、アプリケーションが別のテナントにプロビジョニングされた後に、マルチテナント アプリケーション オブジェクトの機密性の高いプロパティを変更のためにロックできます。 この機能により、アプリケーション開発者は、これらのプロパティの構成を必要とするシナリオがアプリケーションでサポートされていない場合に、特定のプロパティをロックできます。
機密性の高いプロパティとは
次のプロパティ使用シナリオは、機密性が高いと見なされます。
- 使用の種類が
Signである資格情報。 これは、アプリケーションが SAML フローをサポートするシナリオです。 - 使用の種類が
Verifyである資格情報。 このシナリオでは、アプリケーションで OIDC クライアント資格情報フローがサポートされています。 - keyCredentials コレクションの公開キーの keyId を指定する
TokenEncryptionKeyId。 構成した場合、Microsoft Entra ID は、このプロパティが指すキーを使用して、出力するすべてのトークンを暗号化します。 暗号化されたトークンを受け取るアプリケーション コードでは、対応する秘密キーを使用してトークンを復号化する必要があります。その後で、現在サインインしているユーザー用にトークンを使用できるようになります。
注
アプリ インスタンス ロックは、Microsoft Entra 管理センターを使用して作成されたすべての新しいアプリケーションに対して既定で有効になっています。
アプリ インスタンスロックを構成する
アプリ インスタンスロックを構成するには:
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
複数のテナントにアクセスできる場合は、上部のメニューの [設定] アイコン
を使用して、[ ディレクトリとサブスクリプション ] メニューからアプリの登録を含むテナントに切り替えます。Entra ID>App 登録に移動します。
構成するアプリケーションを選択します。
[認証] を選択し、[アプリ インスタンスのプロパティ ロック] セクションで [構成] を選択します。
[アプリ インスタンス のプロパティ ロック] ウィンドウで、ロックの設定を入力します。 図の下の表では、各設定とそのパラメーターについて説明します。
フィールド 説明 プロパティ ロックを有効にする プロパティ ロックを有効にするかどうかを指定します。 すべてのプロパティ すべての機密性の高いプロパティをロックし、各プロパティ シナリオを選択する必要をなくします。 検証に使用される資格情報 検証に使用される資格情報プロパティを追加または更新する機能をロックします。 トークンの署名に使用される資格情報 トークンの署名に使用される資格情報プロパティを追加または更新する機能をロックします。 トークン暗号化キーID tokenEncryptionKeyIdプロパティを変更する機能をロックします。[ 保存] を 選択して変更を保存します。
Microsoft Graph を使用してアプリ インスタンスロックを構成する
アプリ インスタンスロック機能は、マルチテナント アプリのアプリケーション オブジェクトの servicePrincipalLockConfiguration プロパティを使用して管理します。 詳細については、「 サービス プリンシパルの機密性の高いプロパティをロックする」を参照してください。