アプリ用の RBAC 割り当てを作成する前に、Microsoft Entra 管理センター > アプリケーション > エンタープライズ アプリケーション に移動して、アプリのオブジェクト ID・アプリケーション ID・名前を取得できます。取得した情報は後で使用されます。
その後、RBAC 割り当てを作成するには、以下の説明を参照してください。
1. Windows PowerShell を使用して Exchange Online 環境に接続します。詳細については、https://docs.microsoft.com/ja-jp/powershell/exchange/connect-to-exchange-online-powershell?view=exchange-ps を参照してください。
2. Windows PowerShell を開き、以下のコマンドを入力して新しいリソース スコープを作成します (必須ではありません)。
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query>
スコープ名を Name の属性値、スコープ フィルターを RecipientRestrictionFilter の属性値として入力します。キーボードの Enter キーを押します。
3. 以下のコマンドを入力して、Microsoft Entra サービス プリンシパルへのポインタを作成します。
New-ServicePrincipal -AppId <Client Application ID in AAD> -ObjectId <Service principal object ID in AAD> -DisplayName <name>
クライアント アプリケーション ID を AppId の属性値、サービス プリンシパル オブジェクト ID を ObjectId の属性値として入力し、サービス プリンシパルの名前を DisplayName の属性値として定義します。キーボードの Enter キーを押します。
4. 以下のコマンドを入力して、適切なアプリケーション ロールを選択します。
New-ManagementRoleAssignment [[-Name] <String>] -Role <RoleIdParameter> -App <ObjectID, AppID, or DisplayName> -CustomResourceScope <Management Scope> (or -RecipientAdministrativeUnitScope)
ロールの割り当て名を Name の属性値、Application EWS.AccessAsApp を Role の属性値、新しく作成されたサービス プリンシパルのオブジェクト ID・アプリ ID・表示名を App の属性値、スコープ名を CustomResourceScope の属性値として入力します。キーボードの Enter キーを押します。
5. 以下のコマンドを入力して、新しいサービス プリンシパルをテストします。
Test-ServicePrincipalAuthorization -Identity <ObjectID, AppID, or DisplayName> [-Resource] <target mailbox>
アプリがメールボックスにアクセスできるかどうかをテストするには、新しく作成されたサービス プリンシパルのオブジェクト ID・アプリ ID・表示名を Identify の属性値、メールボックスのメール アドレスを Resource の属性値として入力して、キーボードの Enter キーを押します。
詳細については、Exchange Online でのアプリケーションのロールベースのアクセス制御 を参照してください。