<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
Azure AD PowerShell や MSOnline PowerShell が間近に迫り、自動化するにはサービス プリンシパルで MS Graph PowerShell を操作する必要が出てきます。 
しかしながら、MS Graph PowerShell はクライアントシークレットに対応していないようで (間違っていたらスイマセン) 、証明書でログインする必要があったので、まとめておきます。
<aside class="msg message">!<div class="msg-content">
[2023/5/18 追記] 
v2 であれば、クライアント シークレットも使えるようです。watahani さんコメントありがとうございます。 
<a href="https://devblogs.microsoft.com/microsoft365dev/microsoft-graph-powershell-v2-is-now-in-public-preview-half-the-size-and-will-speed-up-your-automations/" target="_blank" rel="nofollow noopener noreferrer">https://devblogs.microsoft.com/microsoft365dev/microsoft-graph-powershell-v2-is-now-in-public-preview-half-the-size-and-will-speed-up-your-automations/</a>
</div></aside>
<h1 id="ms-graph-powershell-%E3%81%AE%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E6%96%B9%E6%B3%95%E3%82%92%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#ms-graph-powershell-%E3%81%AE%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E6%96%B9%E6%B3%95%E3%82%92%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> MS Graph PowerShell のログイン方法を確認</h1>
ドキュメントの翻訳が追い付いてないみたいですが、公式はこちらです。 
<iframe id="zenn-embedded__d5a2a2df7eb7a" src="https://embed.zenn.studio/card#zenn-embedded__d5a2a2df7eb7a" data-content="https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fpowershell%2Fmicrosoftgraph%2Fauthentication-commands%3Fview%3Dgraph-powershell-1.0" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://learn.microsoft.com/en-us/powershell/microsoftgraph/authentication-commands?view=graph-powershell-1.0" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/en-us/powershell/microsoftgraph/authentication-commands?view=graph-powershell-1.0</a>
このうち、サービス プリンシパル (アプリ) でのアクセスはこちらのいずれかになるようです。
証明書の拇印
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">Connect-MgGraph -ClientId "YOUR_APP_ID" -TenantId "YOUR_TENANT_ID" -CertificateThumbprint "YOUR_CERT_THUMBPRINT"
</code></pre></div>証明書の名前
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">Connect-MgGraph -ClientId "YOUR_APP_ID" -TenantId "YOUR_TENANT_ID" -CertificateName "YOUR_CERT_SUBJECT"
</code></pre></div>ローカルの証明書を使用
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">$Cert = Get-ChildItem Cert:\LocalMachine\My\$CertThumbprint
Connect-MgGraph -ClientId "YOUR_APP_ID" -TenantId "YOUR_TENANT_ID" -Certificate $Cert
</code></pre></div>ということで、サービス プリンシパルと証明書を作成・登録はまずは行います。
<h1 id="%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9-%E3%83%97%E3%83%AA%E3%83%B3%E3%82%B7%E3%83%91%E3%83%AB-%26-%E8%A8%BC%E6%98%8E%E6%9B%B8">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9-%E3%83%97%E3%83%AA%E3%83%B3%E3%82%B7%E3%83%91%E3%83%AB-%26-%E8%A8%BC%E6%98%8E%E6%9B%B8" aria-hidden="true"></a> サービス プリンシパル &amp; 証明書</h1>
セキュリティ的にはあまり望ましくないですが、簡略化のために自己署名証明書を作成して、サービス プリンシパルに登録します。 
<iframe id="zenn-embedded__1b3cdfd1c7e32" src="https://embed.zenn.studio/card#zenn-embedded__1b3cdfd1c7e32" data-content="https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fazure%2Factive-directory%2Fdevelop%2Fhowto-create-self-signed-certificate%23create-and-export-your-public-certificate" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://learn.microsoft.com/ja-jp/azure/active-directory/develop/howto-create-self-signed-certificate#create-and-export-your-public-certificate" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/ja-jp/azure/active-directory/develop/howto-create-self-signed-certificate#create-and-export-your-public-certificate</a>
以下 PowerShell コマンドで証明書を作成します。
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">$certname = "{certificateName}" ## Replace {certificateName}
$cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
</code></pre></div>次に証明書をエクスポートします。
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">Export-Certificate -Cert $cert -FilePath "C:\Users\admin\Desktop\$certname.cer" ## Specify your preferred location
</code></pre></div>このエクスポートした証明書をサービス プリンシパルに登録します。登録後、拇印をコピーしておきます。 
<img src="https://storage.googleapis.com/zenn-user-upload/8247c2472760-20230416.png" alt loading="lazy" class="md-img">
また、サービス プリンシパルに対して、操作する MS Graph の権限を付与しておきます。 
<img src="https://storage.googleapis.com/zenn-user-upload/01389fbde904-20230416.png" alt loading="lazy" class="md-img"> 
<img src="https://storage.googleapis.com/zenn-user-upload/bc9df644e5b3-20230416.png" alt loading="lazy" class="md-img">
<h1 id="%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%97%E3%81%A6%E6%93%8D%E4%BD%9C">
<a class="header-anchor-link" href="#%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%97%E3%81%A6%E6%93%8D%E4%BD%9C" aria-hidden="true"></a> ログインして操作</h1>
実際にログインして操作してみます。ClientId にはサービス プリンシパルのアプリケーション 
(クライアント) ID を指定します。
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">Connect-MgGraph -ClientId "{servicePrincipal's Object}" -TenantId "{tenantId}" -CertificateThumbprint "F4FB09126A7BDB760290A0AFFE73139D29FA4F13"
</code></pre></div>以下の通り、ログインしてグループの一覧を取得することができました。 
<img src="https://storage.googleapis.com/zenn-user-upload/673fa19f978d-20230416.png" alt loading="lazy" class="md-img">
<h1 id="(%E8%A3%9C%E8%B6%B3)-%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88">
<a class="header-anchor-link" href="#(%E8%A3%9C%E8%B6%B3)-%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88" aria-hidden="true"></a> (補足) 証明書のエクスポート</h1>
上記の操作をした端末以外で利用する場合、秘密鍵込みの証明書をエクスポートして、実行端末や Automation などにインポートする必要があります。そのためのコマンドは以下になります。
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">$mypwd = ConvertTo-SecureString -String "{myPassword}" -Force -AsPlainText ## Replace {myPassword}
Export-PfxCertificate -Cert $cert -FilePath "C:\Users\admin\Desktop\$certname.pfx" -Password $mypwd ## Specify your preferred location
</code></pre></div>

サービス プリンシパルで MS Graph PowerShell にログイン

MS Graph PowerShell のログイン方法を確認

サービス プリンシパル & 証明書

watahani

プレビューですが v2 モジュールはクライアント シークレットに対応している他、マネージド ID での認証にも対応してます
<iframe id="zenn-embedded__b3a33910d90d4" src="https://embed.zenn.studio/card#zenn-embedded__b3a33910d90d4" data-content="https%3A%2F%2Fdevblogs.microsoft.com%2Fmicrosoft365dev%2Fmicrosoft-graph-powershell-v2-is-now-in-public-preview-half-the-size-and-will-speed-up-your-automations%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://devblogs.microsoft.com/microsoft365dev/microsoft-graph-powershell-v2-is-now-in-public-preview-half-the-size-and-will-speed-up-your-automations/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://devblogs.microsoft.com/microsoft365dev/microsoft-graph-powershell-v2-is-now-in-public-preview-half-the-size-and-will-speed-up-your-automations/</a>

サービスプリンシパルで MS Graph PowerShell にログイン

Discussion