からめもぶろぐ。

俺たちは雰囲気で OAuth をやっている

PnP PowerShell を任意のアクセス許可で実行する

PnP PowerShell を最初に実行したときに Admin Consent を要求されるのですがアクセス許可の一覧がエグくてびっくりします。

f:id:karamem0:20210702123653p:plain

f:id:karamem0:20210702123807p:plain

さすがにこれは許可しづらいので、もうちょっとアクセス許可を制限した上で PnP PowerShell を使いたいです。方法はいくつかあります。

SharePoint アドインを使用する

アドインの登録方法をはじめ詳しい手順はこちらが詳しいです。

jpspsupport.github.io

クライアント ID とクライアント シークレットを使ってログインできます。

Connect-PnPOnline -Url https://{{tenantname}}.sharepoint.com -ClientId {{clientid}} -ClientId {{clientsecret}}

注意するべき点として、既定では使えないテナントがあるそうです。

2020 年夏頃以降に新規作成したテナントにおいて、アプリ専用トークンが既定で無効化されている場合があります。

Azure AD アプリケーションを使用する

委任されたアクセス許可

委任されたアクセス許可 (ユーザーとしてログイン) の場合、以下の方法が可能です。

Connect-PnPOnline -Url https://{{tenantname}}.sharepoint.com -Tenant {{tenantid}} -ClientId {{clientid}} -DeviceLogin

Tenant パラメーターはマルチテナント アプリケーションの場合は不要です。

注意するべき点として、Azure AD アプリケーションがパブリック クライアント フローを許可している必要があります。許可していない場合、以下のエラーが発生します。

AADSTS7000218: The request body must contain the following parameter: 'client_assertion' or 'client_secret'.

アプリケーションのアクセス許可

アプリケーションのアクセス許可の場合、クライアント シークレットを使うことはできず、証明書によるログインが必須になります。

Connect-PnPOnline -Url https://{{tenantname}}.sharepoint.com -Tenant {{tenantid}} -ClientId {{clientid}} -CertificatePath {{certificatepath}} -CertificatePassword {{certificatepassword}}

アクセス トークン

取得済みのアクセス トークンを使ってログインすることもできます。

Connect-PnPOnline -Url https://{{tenantname}}.sharepoint.com -Tenant {{tenantid}} -AccessToken {{accesstoken}}

まとめ

ドキュメントにすべて書いてあるのですがちょいちょい不親切なんですよね。

github.com

そもそも Scope を指定できるようにしてほしいと思ったら、Register-PnPAzureADApp を使って必要なアクセス許可を持つアプリを簡単に作ってね、ということらしいです。理屈はわかるけどいまいちな気がしますね。

github.com