Microsoft 365 テナントを RICOH Spaces に接続する際、当社のアプリケーションは管理者に対して合計 9 つの Microsoft Graph 権限を要求します。これらは 3 つのグループに分かれています。バックグラウンド処理のためのテナントレベルの アプリケーション権限(5 つ)、ユーザーセッション中の処理のためのユーザーレベルの 委任権限(2 つ)、およびすべての最新の Microsoft 365 アプリケーションが使用する 標準サインインスコープ(2 つ)です。
本記事では、それぞれの権限について個別に解説します。各権限について、Microsoft 公式の説明、RICOH Spaces がそれを必要とする理由、その権限に依存する機能、許可しなかった場合に何が起こるかを示します。記事末尾の技術付録では、IT チームが Exchange Online のアプリケーションアクセスポリシー(Application Access Policies)またはアプリケーション向け RBAC(RBAC for Applications)を使って、権限を特定のメールボックスに限定する方法を解説します。RICOH Spaces はどちらの方式にも完全対応しています。
本記事の読み方. 各権限には以下の評価が付与されています:Essential(必須) — 主要機能が動作しなくなる権限、Recommended(推奨) — 製品は使用可能だが、利便性や自動化が失われる権限、Optional(任意) — 単一機能のみに影響する権限。下の一覧表で許可する権限を判断し、詳細セクションで理由を確認してください。
一覧:当社が要求するすべての権限
権限 | 種別 | ステータス | 許可しない場合 |
| アプリケーション | Essential | 会議室予約機能が動作しません。RICOH Spaces は会議室メールボックスのカレンダーを読み書きできなくなり、Outlook と RICOH Spaces 間で予約が同期されません。 |
| アプリケーション | Recommended | ホーム画面のカレンダーウィジェットおよびデイリーダイジェストが空になります。ユーザーは Outlook 上で予定を確認できますが、RICOH Spaces 内には表示されません。 |
| アプリケーション | Recommended | 管理者は各会議室メールボックスをメールアドレスで手動入力する必要があります。登録後の予約機能は通常通り動作します。 |
| アプリケーション | Optional | Entra ID グループによるワークスペース割り当てができなくなります。代わりにメールドメインルールや明示的なユーザーリストを RICOH Spaces 内で管理してください。 |
| アプリケーション | Optional | 「同僚を探す」機能、参加者検索、人物在席状況ビューが利用できなくなります。個人予約および会議室空き状況には影響しません。 |
| 委任 | Essential | ユーザーは RICOH Spaces 内から参加者付き会議の作成や Teams 参加リンクの生成ができなくなります。単独ユーザーのデスクおよび会議室予約は引き続き動作します。 |
| 委任 | Recommended | ユーザーは自分の予定を予約と並べて確認できなくなります。予約自体は影響を受けません。 |
| 委任 | Standard | サインインが完了しません。すべての最新の Microsoft 365 アプリケーションがサインインユーザーの識別に使用する標準スコープです。 |
| 委任 | Standard | ユーザーは約 1 時間ごとに再認証を求められます。追加のデータアクセス権は付与されません。 |
読み始める前に押さえておきたい 3 つのポイント
アプリケーション権限は 特定のメールボックスに限定可能 です — テナント全体への権限付与は必須ではありません。具体的な PowerShell コマンドは付録を参照してください。
RICOH Spaces はお客様のユーザーパスワードを 保管しません。認証は OAuth 2.0 を使用して Microsoft 側で完結します。当社は短期間有効なアクセストークンと長期間有効な更新トークンを受け取りますが、いずれも管理者が承認した権限の範囲に制限されます。
同意は Microsoft 365 管理センターから いつでも取り消し可能 です。アクセスを取り消すとバックグラウンド同期は即座に停止しますが、アプリ内のデータは削除されません。
2 種類の権限が必要な理由
Microsoft Graph では、サインイン中のユーザーの代理として動作する権限と、ユーザーなしでバックグラウンドで動作する権限を区別します。RICOH Spaces を含む最新のプロダクティビティアプリケーションは、それぞれ異なる目的でこの両方を必要とします。
委任権限(Delegated permissions)
ユーザーが初めてサインインするときに、ユーザー本人によって付与される権限です。RICOH Spaces は そのユーザーの代理として、サインイン中のみ、そのユーザー自身のデータに対してのみ 動作します。
例: ユーザーがスケジュールページを開くと、RICOH Spaces はそのユーザー自身の認証情報でカレンダーを読み取ります。テナント全体の権限経由ではありません。これによりテナント内に明確な監査証跡(「ユーザーが自分のカレンダーにアクセスした」)が残ります。
テナントのユーザー同意設定によっては、Microsoft はユーザー本人に直接プロンプトを表示する場合と、管理者の代理同意を要求する場合があります。
アプリケーション権限(Application permissions)
グローバル管理者(または同意権限を持つ別の管理者)によって、組織全体の代理として一度だけ付与される権限です。RICOH Spaces はサインイン中のユーザーがいなくても バックグラウンド処理 を実行できます。
例: 誰もログインしていない夜間に会議室カレンダーの同期を維持する処理や、9:00 に予約された会議室で 9:15 までにチェックインがない場合に自動解放ポリシーを適用する処理など。
アプリケーション権限には常に管理者の同意が必要です。Microsoft は特定のメールボックスに範囲を限定することを強く推奨しています — 詳細は付録を参照してください。
権限の確認・取り消しはいつでも可能. Microsoft 365 管理センター → Identity → Applications → Enterprise applications → RICOH Spaces → Permissions から、どのスコープが許可されたか、誰が同意したかを監査でき、ワンクリックで管理者同意を取り消せます。取り消しを行っても RICOH Spaces 内のデータは削除されません。
アプリケーション権限
以下の 5 つの権限は、管理者がテナントを最初に接続する際に要求されます。Microsoft の同意画面ではこれら 5 つがまとめて表示されます。同意画面に進む前に、以下のセクションを参考にどの権限を許可するかを判断してください。
Calendars.ReadWrite(アプリケーション)— Essential
Microsoft の説明: "Allows the app to create, read, update, and delete events of all calendars without a signed-in user."(サインインユーザーなしですべてのカレンダーのイベントを作成、読み取り、更新、削除することを許可します)
当社が必要とする理由: RICOH Spaces の会議室機能の中核となる権限です。会議室メールボックスの予定を読み取り(会議室の混雑状況を把握するため)、それらのメールボックス上で予約を作成・変更し(RICOH Spaces で行った予約が Outlook と Teams に正しく反映されるため)、必要に応じて予約をキャンセルするために使用します。
この権限で得られる機能:
RICOH Spaces と Outlook の会議室カレンダーの双方向同期
他のユーザーに代わっての予約(代理予約)
連動会議室予約(複数の連結された会議室を 1 つの操作で予約)
レイアウト指定での会議室予約(特定の家具配置で会議室を予約)
未使用会議室の自動解放(ノーショー/自動解放ポリシー)
予約メタデータ(予約者、レイアウト、ケータリング注文等)の Outlook イベントへの書き戻し
許可しない場合: 会議室予約モジュールが機能しません。RICOH Spaces は会議室をディレクトリとして表示することはできますが、Outlook で行われた予約を反映することも、RICOH Spaces で行われた予約を Outlook にプッシュすることもできません。この権限を許可できないお客様は会議室予約モジュールの導入をお控えください。
スコープ制限: Microsoft はサードパーティアプリケーションに Calendars.ReadWrite を付与する際、特定のメールボックスに範囲を限定することを強く推奨しています。RICOH Spaces はこの方式に完全対応しています — 詳細は付録を参照してください。
Calendars.Read(アプリケーション)— Recommended
Microsoft の説明: "Allows the app to read events of all calendars without a signed-in user."(サインインユーザーなしですべてのカレンダーのイベントを読み取ることを許可します)
当社が必要とする理由: RICOH Spaces はホーム画面で各ユーザーのその日の予定フィードを表示します。ユーザーがアクティブセッション外であっても予定を表示するため、サインインしていないときに予定を読み取るアプリケーションレベルの権限が必要です。
この権限で得られる機能: ホーム画面のカレンダーウィジェット、デイリーダイジェストメール、今後追加される「今日の予定一覧」系の画面。
許可しない場合: ホーム画面のカレンダーウィジェットが空になります。ユーザーは Outlook 上で自分の予定を確認できますが、RICOH Spaces 内には表示されません。
スコープ制限: アプリケーションアクセスポリシーまたはアプリケーション向け RBAC を使用して、特定のメールボックスに範囲を限定できます — 詳細は付録を参照してください。
Place.Read.All(アプリケーション)— Recommended
Microsoft の説明: "Allows the app to read all company places (buildings, floors, sections, desks, and rooms) without a signed-in user."(サインインユーザーなしで組織内のすべての場所、建物、フロア、セクション、デスク、会議室を読み取ることを許可します)
当社が必要とする理由: RICOH Spaces で建物を初期セットアップする際、Microsoft Graph の Places API を使用して、Exchange Online 内に既に構成されている会議室メールボックスと会議室一覧を検出します。これにより管理者が各会議室メールボックスを手入力する手間を省きます。また、このメタデータは定期的に再読み込みされるため、Exchange 上で行った変更(会議室名の変更、収容人数の更新など)が手動操作なしで RICOH Spaces に反映されます。
この権限で得られる機能: 建物初期セットアップ時に、RICOH Spaces 上で既存の会議室一覧と会議室メールボックスを参照・インポートできます。導入後は Exchange で行ったメタデータ変更(表示名、収容人数、建物、フロア)が自動的に RICOH Spaces に反映されます。
許可しない場合: 管理者は各会議室メールボックスをメールアドレスで RICOH Spaces に手動入力する必要があります。一度登録すれば予約機能はすべて通常通り動作します — 影響を受けるのは初期セットアップの利便性と継続的なメタデータ同期のみです。
GroupMember.Read.All(アプリケーション)— Optional
Microsoft の説明: "Allows the app to read memberships and basic group properties for all groups without a signed-in user."(サインインユーザーなしですべてのグループのメンバーシップと基本的なグループプロパティを読み取ることを許可します)
当社が必要とする理由: 多くのお客様は、既に管理されている Entra ID(Azure AD)グループを参照することで、どのユーザーがどのワークスペースを予約できるかを制御することを希望されます — 例えば、「エンジニアリング」デスクの一行をエンジニアリング部門グループのメンバーに限定する、といった運用です。当社はディレクトリ内でユーザーがグループに加入・脱退する際にこれらのルールを一貫して適用するため、グループメンバーシップを読み取ります。
この権限で得られる機能: ワークスペースおよびリソースへのアクセスを既存の Entra ID グループに割り当てることができ、グループメンバーシップの変更が自動的に反映されます。ユーザーがディレクトリ上でエンジニアリンググループに加入すると、管理者の手動操作なしに RICOH Spaces 上のエンジニアリングデスクへのアクセス権を得ます。
許可しない場合: グループベースのワークスペース割り当てが利用できなくなります。代替として、メールドメインルールを使用するか、RICOH Spaces 内で明示的なユーザーリストを管理してください。本権限なしでも製品は完全に利用可能です — これは利便性と一貫性のための機能です。
User.Read.All(アプリケーション)— Optional
Microsoft の説明: "Allows the app to read user profiles without a signed-in user."(サインインユーザーなしでユーザープロフィールを読み取ることを許可します)
当社が必要とする理由: 一部の機能はサインイン中のユーザー以外の同僚情報を必要とします — 例えば、会議をスケジュールする際に同僚が今日出社しているかを表示する機能や、会議室予約時に参加者候補を一覧表示する機能などです。
この権限で得られる機能: 人物在席状況および「同僚を探す」機能、会議作成時の参加者検索、メンバーリスト表示。
許可しない場合: サインイン中のユーザー以外のプロフィール読み取りに依存するすべての機能。既存機能(自分の予定、自分の予約、会議室空き状況)には影響しません。
委任権限
以下は、個々のユーザーが初めてサインインする際に付与する権限です。RICOH Spaces がユーザー自身のコンテキストで実行する操作(個人カレンダーの読み取り、そこへの会議書き込み、Teams 参加リンクの生成など)をカバーし、常にユーザー自身の認証情報の下で動作するため、テナント内に明確な監査証跡が残ります。
Calendars.ReadWrite(委任)— Essential
Microsoft の説明: "Allows the app to read and write to the user's calendar data."(ユーザーのカレンダーデータの読み書きを許可します)
当社が必要とする理由: ユーザーが RICOH Spaces で会議を作成する際 — 例えば会議室と参加者リストを含む毎週の定例ミーティング — その会議を本人のカレンダーに書き込み、他の業務と並べて表示します。また、エグゼクティブの代理でアシスタントが予約を作成する「代理予約」ワークフローでもこの権限を使用します。
Microsoft Teams: ユーザーが RICOH Spaces で会議を「オンライン」としてマークすると、対応する Microsoft Teams 会議の作成にもこの権限が使われます。Microsoft Graph はカレンダーイベントがオンライン会議としてフラグ付けされた際に Teams 参加リンクを自動的に添付するため、別途オンライン会議用の権限は不要 です。
この権限で得られる機能: RICOH Spaces 内からの会議の作成・編集。参加者、会議室予約、(要求された場合)Teams 参加リンクが、すべて 1 つの Outlook カレンダーイベントにまとめられます。
許可しない場合: ユーザーは自分用に会議室・デスクを予約できますが、参加者付き会議(個人の Outlook カレンダーへの書き込みを伴うもの)を RICOH Spaces 内から作成することはできず、Teams 参加リンクの生成もできなくなります。代わりに Outlook で会議を作成し、会議室メールボックス同期に拾わせる必要があります。
Calendars.Read(委任)— Recommended
Microsoft の説明: "Allows the app to read events in user calendars."(ユーザーカレンダーの予定を読み取ることを許可します)
当社が必要とする理由: RICOH Spaces 内の一部の画面 — 例えばユーザーが自分の予定を確認するスケジュールページ — は、上記のアプリケーション権限ではなくユーザー自身の認証情報でカレンダーを読み取ります。これにより明確な監査証跡(「ユーザーが自分のカレンダーにアクセスした」)が残り、管理者がアプリケーションレベルの Calendars.Read 権限を付与する前であっても、ユーザーが自分のデータを確認できるようにします。
この権限で得られる機能: スケジュールページ、ホーム画面の自分の予定、RICOH Spaces 内の「今日の予定」系の画面。
許可しない場合: ユーザー自身のカレンダーが RICOH Spaces 内で表示されません。ユーザーは引き続き会議室・デスクを予約できますが、既存の予定を予約と並べて確認することはできなくなります。
標準サインインスコープ — User.Read と offline_access
Microsoft のサインイン画面には、さらに 2 つのスコープが表示されます。これらは RICOH Spaces 固有のものではなく、ほぼすべての最新の Microsoft 365 アプリケーションが要求するものですが、完全性のため記載します。
スコープ | Microsoft の説明 | RICOH Spaces での用途 |
| サインインしてプロフィールを読み取る。 | ユーザーの ID を確認し、氏名・メールアドレス・基本プロフィールを読み取って RICOH Spaces 上で表示します。 |
| アクセスを許可されたデータへのアクセスを維持する。 | RICOH Spaces がアクセストークンをバックグラウンドで更新できるようにし、ユーザーが 1 時間ごとに再サインインする必要をなくします。更新トークンはセキュアに保管され、ユーザーが既に同意したデータへのアクセスにのみ使用されます。 |
これらのスコープは、ユーザーが既に同意した範囲を超えてアクセス権を付与するものではありません。サインインフローを成立させるためのものです。
特定のメールボックスへの RICOH Spaces のアクセス制限
Microsoft はアプリケーションのメールボックスアクセスを制限するため、サポート対象かつ完全に文書化された 2 つの仕組みを提供しています。RICOH Spaces はどちらにも完全対応しています。いずれの方式でも、Calendars.Read、Calendars.ReadWrite、Place.Read.All を、お客様が指定したメールボックス — 通常は会議室・リソースメールボックス — のみに作用するように付与でき、テナント内のすべての個人メールボックスには触れない構成にできます。
Application Access Policies(アプリケーションアクセスポリシー)
Exchange Online PowerShell で New-ApplicationAccessPolicy コマンドレットを使用して構成する、長年使われている仕組みです。RICOH Spaces からのアクセスを許可したいメールボックスを含むメール対応セキュリティグループを作成し、当社のアプリケーションの権限をそのグループに限定するポリシーをバインドします。
用途: シンプルで広く理解されており、現行のすべての Exchange Online テナントでサポートされています。細かな粒度の制御が不要な場合の確実な選択肢です。
RBAC for Applications in Exchange Online(Exchange Online のアプリケーション向け RBAC)
Microsoft が推奨する新しいモデルで、管理ロール(Management Roles)と管理スコープ(Management Scopes)を使用してアプリケーションのアクセスを制約します。アプリケーション向け RBAC はより細かい粒度の制御を提供し — 例えば、特定のメールボックスでは読み取り専用で書き込みは禁止する、といった構成が可能です — 新規導入向けに Microsoft が推奨するモデルです。
用途: 既に RBAC 戦略がある場合や、メールボックス単位・アクション単位での細かい制御が必要な場合。
実際の運用について. どちらの仕組みも完全に Microsoft 側で適用されます — RICOH Spaces 側で変更は不要です。ポリシーまたはスコープのバインド後、対象範囲内の会議室と対象範囲外の会議室それぞれに対してテスト予約を実施し、ポリシーが期待通りに動作することを確認してください。記事末尾の技術付録に両方の方式の具体的な PowerShell コマンドを記載しています。
同意の付与方法
アプリケーション権限 はテナント接続時、グローバル管理者(または同意権限を持つ別の管理者)による一度だけの同意が必要です。RICOH Spaces はセットアップ中に管理者を Microsoft の同意画面にリダイレクトし、そこで付与された同意がテナント全体に適用されます。
委任権限 は個々のユーザーが初めてサインインする際に要求されます。テナントのユーザー同意設定によって、Microsoft はユーザー本人にプロンプトを表示する場合と、管理者の代理同意を要求する場合があります。
組織でユーザー同意が無効化されている場合、管理者は Microsoft 365 管理センターの同じエンタープライズアプリケーションページから、すべてのユーザーに対して委任権限を 事前に同意 することができます。
Microsoft の管理者同意ワークフロー(管理者同意が必要なアプリケーションについてユーザーが承認をリクエストできる仕組み)を使用している組織では、RICOH Spaces は他の Graph 統合アプリケーションと同様にワークフローに表示されます。
アクセスの取り消し
RICOH Spaces のアクセスはいつでも取り消せます。本製品はアクセス取り消しがクリーンで低リスクな操作となるよう設計されています。
Microsoft 365 管理センター にサインインします。
Identity → Applications → Enterprise applications に移動します。
RICOH Spaces を開きます。
以下のいずれかを選択します:Properties → Delete(アプリ全体を削除)、または Permissions → Revoke admin consent(アプリは残しつつ同意のみ取り消し)。
アクセスを取り消すと、すべてのバックグラウンド同期が即座に停止します。RICOH Spaces 内に既に存在する予約その他のデータは 削除されません — 管理者が RICOH Spaces 管理コンソールから削除するまで保持されます。永続的に切断する予定の場合は、まず RICOH Spaces カスタマーサクセスご担当者までご連絡ください — データのエクスポートとテナントクリーンアップについてご案内いたします。
技術付録 — PowerShell によるアクセス制限
IT 管理者向けの内容です。以下のコマンドは、上記で説明した 2 つの仕組みを使って、RICOH Spaces のアプリケーション権限を特定のメールボックスに限定する方法を示します。$AppId の値は、お客様のテナントの RICOH Spaces エンタープライズアプリケーションページに表示されるアプリケーション(クライアント)ID に置き換えてください。
A.1 Application Access Policies(従来の仕組み)
この方式では、RICOH Spaces からのアクセスを許可するメールボックス(通常は会議室・リソースメールボックス)のみを含むメール対応セキュリティグループを作成し、RestrictAccess ポリシーを RICOH Spaces のアプリケーション ID にバインドします。
ステップ 1 — Exchange Online への接続
# テナント管理者または Exchange 管理者として実行 Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser Import-Module ExchangeOnlineManagement Connect-ExchangeOnline -UserPrincipalName [email protected]
ステップ 2 — スコープグループの作成
# RICOH Spaces からのアクセスを許可するメールボックスを含むメール対応セキュリティグループ New-DistributionGroup ` -Name "RicohSpaces-Allowed-Mailboxes" ` -Type "Security" ` -PrimarySmtpAddress "[email protected]"# RICOH Spaces で管理させたい会議室・リソースメールボックスを追加 Add-DistributionGroupMember ` -Identity "RicohSpaces-Allowed-Mailboxes" ` -Member "[email protected]"Add-DistributionGroupMember ` -Identity "RicohSpaces-Allowed-Mailboxes" ` -Member "[email protected]"
ステップ 3 — RICOH Spaces へのアクセスポリシーのバインド
# RICOH Spaces のアプリケーション(クライアント)ID。エンタープライズアプリケーションページから取得 $AppId = "<ricoh-spaces-application-id>"New-ApplicationAccessPolicy ` -AppId $AppId ` -PolicyScopeGroupId "[email protected]" ` -AccessRight RestrictAccess ` -Description "Restrict RICOH Spaces to nominated room and resource mailboxes"
ステップ 4 — ポリシーの動作確認
# AccessGranted が返ること Test-ApplicationAccessPolicy ` -Identity "[email protected]" ` -AppId $AppId# AccessDenied が返ること Test-ApplicationAccessPolicy ` -Identity "[email protected]" ` -AppId $AppId
完了宣言の前に必ずテストを. ポリシーバインド後、対象範囲内の会議室に対して RICOH Spaces から実際に予約を行い、Outlook に表示されることを確認してください。次に対象範囲外のメールボックスへの予約を試み、リクエストが失敗することを確認してください。Microsoft はアクセス判定を最大 1 時間キャッシュするため、トラブルシューティングの前にポリシーが伝播するための時間を取ってください。
A.2 RBAC for Applications(新規導入で推奨)
アプリケーション向け RBAC は、管理スコープ(どのメールボックス)と管理ロール(どのアクション)を使ってアクセスを表現します。以下の例では、A.1 と同じメールボックスグループに対してアプリケーションレベルのカレンダー読み書き権限を付与します。
# 上記と同様に Exchange Online に接続後、以下を実行:# 1. 許可メールボックスグループでフィルタした管理スコープを作成
New-ManagementScope `
-Name "RicohSpaces-Scope-Rooms" `
-RecipientRestrictionFilter { MemberOfGroup -eq "CN=RicohSpaces-Allowed-Mailboxes,OU=..." }# 2. RICOH Spaces サービスプリンシパルにロールを割り当て、
# そのスコープにバインド。エンタープライズアプリケーションページで
# 付与した権限に応じたロールを使用してください。
New-ServicePrincipal `
-AppId $AppId `
-ObjectId "<service-principal-object-id>" `
-DisplayName "RICOH Spaces"New-ManagementRoleAssignment `
-App $AppId `
-Role "Application Calendars.ReadWrite" `
-CustomResourceScope "RicohSpaces-Scope-Rooms"# 3. 読み取りと書き込みを分離したい場合は、Calendars.Read と Place.Read.All の
# 読み取り専用ロールについても同様の手順を繰り返してください。
# 両方を一括でカバーしたい場合は ReadWrite ロールを使用してください。
RBAC for Applications の検証
# ロール割り当ての確認 Get-ManagementRoleAssignment -RoleAssignee $AppId# スコープの確認 Get-ManagementScope -Identity "RicohSpaces-Scope-Rooms"
A.1 と A.2 の選択について. Microsoft は新規導入においてアプリケーション向け RBAC を推奨しており、こちらのモデルへの投資を強化しています。新規に導入する場合で RBAC 戦略が既にあるならば A.2 を、小規模な環境で最も直接的かつ広く理解されている方式を希望する場合は A.1 を選択してください。A.1 は引き続き完全にサポートされており、両方式の RICOH Spaces 側の動作は同等です。
A.3 実際に同意された権限の監査
テナント内で RICOH Spaces 用に実際に有効になっているスコープを確認するには:
# Microsoft Graph PowerShell SDK Install-Module Microsoft.Graph -Scope CurrentUser Connect-MgGraph -Scopes "Application.Read.All","Directory.Read.All"# RICOH Spaces のサービスプリンシパルを取得 $sp = Get-MgServicePrincipal -Filter "appId eq '$AppId'"# アプリケーション権限(管理者同意)を一覧表示 Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $sp.Id | Select-Object PrincipalDisplayName, ResourceDisplayName, AppRoleId# 委任権限を一覧表示 Get-MgOauth2PermissionGrant -Filter "clientId eq '$($sp.Id)'" | Select-Object ConsentType, Scope
出力結果が本記事冒頭の一覧表と一致しない場合は、RICOH Spaces カスタマーサクセスご担当者までご連絡ください — テナントの実際の状態についてご一緒に確認いたします。
参考資料 — Microsoft 公式ドキュメント
本記事で扱ったすべてのトピックについての Microsoft Learn 記事です。Microsoft によって最新状態に保たれており、最新の名称・スコープ動作・PowerShell コマンドレットシグネチャを常に反映しています。
Microsoft Graph 権限
Microsoft Graph permissions reference — 本記事で扱ったものを含む、すべての Graph 権限の完全な一覧。learn.microsoft.com/graph/permissions-reference
Overview of permissions and consent — アプリケーション権限と委任権限の違い、および同意フローの仕組みについての Microsoft 解説。learn.microsoft.com/graph/permissions-overview
Microsoft identity platform consent framework — ユーザー同意・管理者同意の評価方法、事前同意、管理者同意ワークフローについて。learn.microsoft.com/entra/identity-platform/consent-framework
メールボックスへのアプリケーションアクセス制限
Limiting application permissions to specific Exchange Online mailboxes —
New-ApplicationAccessPolicyおよびTest-ApplicationAccessPolicyを含む、アプリケーションアクセスポリシーに関する Microsoft 公式記事。learn.microsoft.com/graph/auth-limit-mailbox-accessRole Based Access Control for Applications in Exchange Online — 管理ロールと管理スコープを含む、推奨される最新アプローチ。learn.microsoft.com/exchange/permissions-exo/application-rbac
RICOH Spaces が使用する Places および Calendar API
Places API —
Place.Read.Allの背後にある Graph エンドポイント。建物、フロア、セクション、デスク、会議室を含む。learn.microsoft.com/graph/api/resources/placeCalendar resource type —
Calendars.ReadおよびCalendars.ReadWriteが使用するカレンダーオブジェクトモデル。learn.microsoft.com/graph/api/resources/calendarOnline meetings via the Outlook calendar — オンライン会議としてフラグ付けすると Teams 参加リンクが自動的に添付される仕組み。learn.microsoft.com/graph/outlook-calendar-online-meetings
PowerShell および管理者向けツール
Exchange Online PowerShell module — learn.microsoft.com/powershell/exchange/exchange-online-powershell
Microsoft Graph PowerShell SDK — 実際に同意された権限を監査する用途。learn.microsoft.com/powershell/microsoftgraph/installation
本記事についてのお問い合わせ
不明点がある場合、お客様のテナント構成と矛盾する場合、またはセキュリティチームによる詳細レビューが必要な場合は、RICOH Spaces カスタマーサクセスご担当者までご連絡いただくか、アプリケーション内のサポートチャットからお問い合わせください。該当統合の担当エンジニアにエスカレーションいたします。
本記事は、廃止されたスコープ(Contacts.ReadWrite、Presence.Read.All、User.ReadBasic.All、OnlineMeetings.ReadWrite)に言及していた従来版に取って代わるものです。これらのスコープは現在、RICOH Spaces からは要求されません。