セキュアな Microsoft Teams コンテンツの認証メカニズムとしての Microsoft Graph API の設定
Microsoft Teams統合では、Azure Active Directoryに登録されたアプリケーションを使用して、エンタープライズメッセンジャー統合(EMI)サーバーを表します。
EMI Server は Microsoft Graph API サブスクリプションを使用して、チャットの作成、チャットの変更、新規チャットメッセージなど、Microsoft Teams からのイベントを受信します。さらに、写真やGPS位置情報など、Microsoft Teamsアプリケーションからの一部のコンテンツには認証が必要であり、これはEMIサーバー経由のMicrosoft Graph APIリクエストによって処理されます。EMI Server は Webhook をインターネットに公開し、Microsoft サーバーがイベント通知を送信するために Webhook を発信できるようにします。
Graph API は、特定のクライアント アプリケーションが各リソースで 1 つのサブスクリプションしか持たないように制限します。つまり、特定の Azure Active Directory テナントからの通知をサブスクライブできる EMI Server のインスタンスは 1 つだけで、Azure Active Directory テナントごとに使用できる EMI Server/Azure アプリケーションは 1 つだけです。同じ Azure Active Directory テナントのすべてのユーザーは、EMI サーバーの単一のインスタンスによってサービスを提供されることに注意してください。
この記事では、以下の方法を説明します:
- エンタープライズメッセンジャー統合(EMI)サーバーを表す新規アプリケーションを Azure Active Directory に登録します。
- Webhook (リダイレクト URI) を設定します。
- Microsoft Graph API を使用するアプリケーションのアクセス権を設定します。
- クライアントシークレット(トークン)を設定します。
前提条件
- コンタクトセンターのMicrosoft Teams管理者であること。
- Microsoft Azureポータルの管理者権限とアクセス権を持っている。
手順
1.Azure Active Directoryにアプリケーションを登録する
- Azure ポータルにログインする。Azure ダッシュボードから、Azure Active Directory > App registrations に移動します。
- 新規登録]をクリックして、新規アプリケーションを登録します。このアプリケーションは、EMI サーバーを代表し、EMI サーバーが Microsoft Graph API で認証できるように API 認証情報(トークン)を提供します。
- Register an applicationで、以下のプロパティを設定します:
- # 名前- 登録するアプリケーションの名前を入力します。
- Supported account types- 「この組織ディレクトリのアカウントのみ(<your company’s Azure AD directory name> - シングルテナント)」を選択します.
- リダイレクトURI- "Web "を選択し, "https://<tenant_url>/agentdesktop/msteamscallback.html" (例: https://yourcompany.brightpattern.com>/agentdesktop/msteamscallback.html) を設定します.
- Supported account types- 「この組織ディレクトリのアカウントのみ(<your company’s Azure AD directory name> - シングルテナント)」を選択します.
- Register をクリックします。登録後、新規アプリのダッシュボードが表示されます。
2.アプリケーションの新規クライアントシークレットを追加します。
- アプリのダッシュボードから、「Manage(管理)」 > 「Certificates & secrets(証明書とシークレット)」に進みます。
- 証明書と秘密]で、[クライアントの秘密]セクションまでスクロールダウンし、[+新規クライアント秘密]をクリックします。(証明書の追加はオプションであることにメモ)。
- クライアントシークレットの追加で、シークレットの説明を設定し、有効期限を可能な限り長いオプション、またはコンタクトセンター独自のセキュリティポリシーに必要な期限に設定し、追加をクリックします。カスタムオプションでは、現在10年以上の有効期限が設定されています。
- クライアントシークレットの値をコピーし、安全な場所に保存してください。必ず値をコピーしてください(IDではありません)。
3.必須APIアクセス権の設定
- Microsoft Teamsとの統合には、Graph APIの特定のアクセス権とアプリケーションのアクセス権が必要です。アクセス権を設定するには、アプリのAPIアクセス権セクションに移動し、[+ アクセス権を追加]をクリックします。
- Request API permissionsから、"Microsoft APIs "タブをクリックし、Microsoft Graphを選択します。
- 権限の委譲]を選択します。
- 以下の各権限名をコピーして検索フィールドに貼り付け、権限のオプションを展開し、そのチェックボックスを選択し、[権限を追加]をクリックします。これらのアクセス権のほとんどは管理者の同意が必要なので、それぞれ個別に追加する必要があることにメモしてください。
以下の委任されたアクセス権を追加します:
- チャット.ReadWrite
- ChatMessage.Send
- ChannelMessage.Send
- ディレクトリ.既読.全て
- グループ.既読.全て
- プレゼンス.既読.全て
- 購読.既読.全て
- ユーザー.既読.全て
- チャット.ReadWrite
- Request API permissions > Microsoft Graph APIに戻り、今度はApplication permissionsを選択する。
- 以下の各アクセス権名をコピーして検索フィールドに貼り付け、パーミッションのオプションを展開し、そのチェックボックスを選択し、パーミッションの追加をクリックする。これらのアクセス権のほとんどは管理者の同意が必要なので、それぞれ個別に追加する必要があることにメモしてください。
以下のアプリケーションのアクセス権を追加します:
- チャット.ReadWrite.All
- ChannelMessage.Read.All
- ユーザー.既読.全て
- チャット.ReadWrite.All
- すべてのアクセス権が追加されたら、Grant admin consent for<your organization>ボタンをクリックし、Graph API の使用を許可する。
成功すると、各アクセス権のステータスが "Granted" になるはずです。
4.認証情報をコピーする
Bright Pattern Contact CenterでMicrosoft Teams統合アカウントを設定するには、以下のセクションを参照してください。 Microsoft Teams 統合アカウントを参照)、Azure Active Directory アカウントと登録アプリから以下の項目をコピーする必要があります:
- Azure Active Directory> Dashboard > Your registered app > OverviewにあるテナントID。
- アプリケーション(クライアント)ID。Azure Active Directory> ダッシュボード > 登録アプリ > 概要にあります。
- クライアントシークレット、この手順のステップ 2 で登録アプリに追加したものです。クライアントシークレットをコピーし忘れた場合は、新規クライアントシークレットを追加してコピーする必要があります。
これで Azure アプリの設定は完了です。
次へステップ
Bright Pattern Contact Centerのコンタクトセンター管理者アプリケーションで Microsoft Teams Integrationアカウントを追加します。.