Microsoft Graph-BerechtigungsreferenzMicrosoft Graph permissions reference

Damit Ihre App auf Daten in Microsoft Graph zugreifen kann, muss der Benutzer oder Administrator ihr die korrekten Berechtigungen über einen Einwilligungsvorgang erteilen.For your app to access data in Microsoft Graph, the user or administrator must grant it the correct permissions via a consent process. In diesem Thema sind die Berechtigungen aufgelistet, die mit jedem wichtigen Satz von Microsoft Graph-APIs verbunden sind.This topic lists the permissions associated with each major set of Microsoft Graph APIs. Es enthält auch Anleitungen zur Verwendung der Berechtigungen.It also provides guidance about how to use the permissions.

Um mehr über die Funktionsweise von Berechtigungen zu erfahren, gehen Sie zuGrundlagen zu Authentifizierung und Berechtigungen und schauen Sie sich das folgende Video an.To learn more about how permissions work, see Authentication and authorization basics, and watch the following video.

Microsoft Graph-BerechtigungsnamenMicrosoft Graph permission names

Die Namen von Microsoft Graph-Berechtigungen entsprechen einem einfachen Muster: Ressource.Vorgang.Einschränkung. Beispielsweise gewährt User.Read die Berechtigung zum Lesen des Profils des angemeldeten Benutzers, User.ReadWrite gewährt die Berechtigung zum Lesen und Ändern des Profils des angemeldeten Benutzers, und Mail.Send gewährt die Berechtigung zum Senden von E-Mails im Namen des angemeldeten Benutzers.Microsoft Graph permission names follow a simple pattern: resource.operation.constraint. For example, User.Read grants permission to read the profile of the signed-in user, User.ReadWrite grants permission to read and modify the profile of the signed-in user, and Mail.Send grants permission to send mail on behalf of the signed-in user.

Das Element Einschränkung des Namens bestimmt das potenzielle Ausmaß von Zugriff, den Ihre App im Verzeichnis hat. Derzeit unterstützt Microsoft Graph die folgenden Einschränkungen:The constraint element of the name determines the potential extent of access your app will have within the directory. Currently Microsoft Graph supports the following constraints:

  • All gewährt der App die Berechtigung, die Vorgänge für alle Ressourcen des angegebenen Typs in einem Verzeichnis auszuführen. Beispielsweise gewährt User.Read.All der App potenziell Rechte zum Lesen der Profile aller Benutzer in einem Verzeichnis.All grants permission for the app to perform the operations on all of the resources of the specified type in a directory. For example, User.Read.All potentially grants the app privileges to read the profiles of all of the users in a directory.
  • Shared gewährt der App die Berechtigung, die Vorgänge für Ressourcen auszuführen, die andere Benutzer für den angemeldeten Benutzer freigegeben haben. Diese Einschränkung wird hauptsächlich für Outlook-Ressourcen wie E-Mail, Kalender und Kontakte verwendet. Beispielsweise gewährt Mail.Read.Shared Rechte zum Lesen von E-Mails im Postfach des angemeldeten Benutzers sowie von E-Mails in Postfächern, die andere Benutzer in der Organisation für den angemeldeten Benutzer freigegeben haben.Shared grants permission for the app to perform the operations on resources that other users have shared with the signed-in user. This constraint is mainly used with Outlook resources like mail, calendars, and contacts. For example, Mail.Read.Shared, grants privileges to read mail in the mailbox of the signed-in user as well as mail in mailboxes that other users in the organization have shared with the signed-in user.
  • AppFolder gewährt der App die Berechtigung, Dateien in einem bestimmten Ordner in OneDrive zu lesen und zu schreiben. Diese Einschränkung ist nur für Dateiberechtigungen verfügbar und gilt nur für Microsoft-Konten.AppFolder grants permission for the app to read and write files in a dedicated folder in OneDrive. This constraint is only exposed on Files permissions and is only valid for Microsoft accounts.
  • Wenn keine Einschränkung angegeben wird, kann die App die Vorgänge nur für die Ressourcen ausführen, die im Besitz des angemeldeten Benutzers sind. Beispielsweise gewährt User.Read Rechte zum Lesen nur des Profils des angemeldeten Benutzers, und Mail.Read gewährt die Berechtigung zum Lesen nur der E-Mails im Postfach des angemeldeten Benutzers.If no constraint is specified the app is limited to performing the operations on the resources owned by the signed-in user. For example, User.Read grants privileges to read the profile of the signed-in user only, and Mail.Read grants permission to read only mail in the mailbox of the signed-in user.

Hinweis: In delegierten Szenarios sind die Ihrer App gewährten effektiven Berechtigungen möglicherweise durch die Rechte des angemeldeten Benutzers in der Organisation eingeschränkt.Note: In delegated scenarios, the effective permissions granted to your app may be constrained by the privileges of the signed-in user in the organization.

Microsoft-Konten und Geschäfts-, Schul- oder UnikontenMicrosoft accounts and work or school accounts

Nicht alle Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.Not all permissions are valid for both Microsoft accounts and work or school accounts. In der Spalte Microsoft-Konto wird unterstützt für die einzelnen Berechtigungsgruppen finden Sie Informationen darüber, ob eine bestimmte Berechtigung für Microsoft-Konten und/oder Geschäfts-, Schul- oder Unikonten gültig ist.You can check the Microsoft Account Supported column for each permission group to determine whether a specific permission is valid for Microsoft accounts, work or school accounts, or both.

Benutzer- und Gruppensucheinschränkungen für Gastbenutzer in OrganisationenUser and group search limitations for guest users in organizations

Benutzer- und Gruppensuchfunktionen ermöglichen der App, im Verzeichnis einer Organisation nach beliebigen Benutzern oder Gruppen zu suchen, indem der /users- oder /groups-Ressourcensatz abgefragt wird (z. B. https://graph.microsoft.com/v1.0/users).User and group search capabilities allow the app to search for any user or group in an organization's directory by performing queries against the /users or /groups resource set (for example, https://graph.microsoft.com/v1.0/users). Diese Funktion steht Administratoren und Benutzern zur Verfügung, nicht jedoch Gastbenutzern.Both administrators and users have this capability; however, guest users do not.

Wenn der angemeldete Benutzer ein Gastbenutzer ist, kann er abhängig von den einer App gewährten Berechtigungen das Profil eines bestimmten Benutzers oder einer bestimmten Gruppe lesen (z. B. https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); er kann jedoch nicht den /users- oder /groups-Ressourcensatz abfragen, wodurch potenziell mehr als eine einzelne Ressource zurückgegeben wird.If the signed-in user is a guest user, depending on the permissions an app has been granted, it can read the profile of a specific user or group (for example, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); however, it cannot perform queries against the /users or /groups resource set that potentially return more than a single resource.

Mit den entsprechenden Berechtigungen kann die App die Profile von Benutzern oder Gruppen lesen, die über Links in Navigationseigenschaften abgerufen werden, beispielsweise /users/{id}/directReports oder /groups/{id}/members.With the appropriate permissions, the app can read the profiles of users or groups that it obtains by following links in navigation properties; for example, /users/{id}/directReports or /groups/{id}/members.


Zugriffsüberprüfungen BerechtigungenAccess reviews permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
AccessReview.Read.AllAccessReview.Read.All Lesen von ZugriffsüberprüfungenRead all access reviews Ermöglicht der App, Zugriffsüberprüfungen im Namen des angemeldeten Benutzers zu lesen.Allows the app to read access reviews on behalf of the signed-in user. JaYes NeinNo
AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Verwalten von ZugriffsüberprüfungenManage all access reviews Ermöglicht der App, Zugriffsüberprüfungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write access reviews on behalf of the signed-in user. JaYes NeinNo
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwaltenManage access reviews for group and app memberships Ermöglicht der App, Zugriffsüberprüfungen für Gruppen und Apps im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write access reviews on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
AccessReview.Read.AllAccessReview.Read.All Lesen von ZugriffsüberprüfungenRead all access reviews Ermöglicht der App, Zugriffsüberprüfungen ohne einen angemeldeten Benutzer zu lesen.Allows the app to read access reviews without a signed-in user. JaYes
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwaltenManage access reviews for group and app memberships Ermöglicht der App, Zugriffsüberprüfungen von Gruppen und Apps ohne einen angemeldeten Benutzer zu verwalten.Allows the app to manage access reviews of groups and apps without a signed-in user. JaYes

BemerkungenRemarks

AccessReview.Read.All, AccessReview.ReadWrite.All und AccessReview.ReadWrite.Membership gelten nur für Geschäfts- oder Schulkonten.AccessReview.Read.All and AccessReview.ReadWrite.All are valid only for work or school accounts.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator.For an app with delegated permissions to read access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.For an app with delegated permissions to write access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Administrator für privilegierte Rollen.For an app with delegated permissions to read access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.For an app with delegated permissions to write access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator or Privileged Role Administrator.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Berechtigungen für Analyse-RessourcenAnalytics resource permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Analytics.ReadAnalytics.Read Lesen Sie alle Statistiken zu Benutzeraktivitäten.Read all user activities statistics. Die App kann Statistiken zu Benutzeraktivitäten ohne einen angemeldeten Benutzer lesen.Allows the app to read user activities statistics without a signed-in user. JaYes

AnwendungsberechtigungenApplication permissions

Keine.None.

VerwendungsbeispielExample usage

DelegiertDelegated

AnwendungApplication

Keine.None.


Berechtigungen für VerwaltungseinheitenAdministrative Units permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Lesezugriff auf administrative EinheitenRead administrative units Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read administrative units and administrative unit membership on behalf of the signed-in user. JaYes NeinNo
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Lese- und Schreibzugriff auf administrative EinheitenRead and write administrative units Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu verwalten.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Lesezugriff auf alle administrative EinheitenRead all administrative units Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit ohne angemeldeten Benutzer zu lesen.Allows the app to read administrative units and administrative unit membership without a signed-in user. JaYes
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Lese- und Schreibzugriff auf alle administrative EinheitenRead and write all administrative units Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit ohne einen angemeldeten Benutzer zu verwalten.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership without a signed-in user. JaYes

BemerkungenRemarks

Mit der Berechtigung AdministrativeUnit.Read.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder lesen.With the AdministrativeUnit.Read.All permission an application can read administrative unit information including members.

Mit der Berechtigung AdministrativeUnit.ReadWrite.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder erstellen, lesen, aktualisieren und löschen.With the AdministrativeUnit.ReadWrite.All permission an application can create, read, update, and delete administrative unit information including members.

AdministrativeUnit.Read.All und AdministrativeUnit.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

VerwendungsbeispielExample usage

  • AdministrativeUnit.Read.All: Lesezugriff auf administrative Einheiten (GET /beta/administrativeUnits)AdministrativeUnit.Read.All: Read administrative units (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: Lesezugriff auf Mitgliederlisten einer administrativen Einheit (GET /beta/administrativeUnits/<id>/members)AdministrativeUnit.Read.All: Read members list of an administrative unit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: Administrative Einheiten erstellen (POST /beta/administrativeUnits)AdministrativeUnit.ReadWrite.All: Create an administrative unit (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: Administrative Einheiten aktualisieren (PATCH /beta/administrativeUnits/<id>)AdministrativeUnit.ReadWrite.All: Update an administrative unit (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: Mitglieder zu administrativen Einheiten hinzufügen (POST /beta/administrativeUnits/<id>/members)AdministrativeUnit.ReadWrite.All: Add members to an administrative unit (POST /beta/administrativeUnits/<id>/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für AppCatalog-RessourcenAppCatalog resource permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
AppCatalog.ReadWrite.AllAppCatalog.ReadWrite.All Lese- und Schreibzugriff auf alle App-KatalogeRead and write to all app catalogs Ermöglicht der App, Apps in den Apps-Katalogen zu erstellen, zu lesen, zu aktualisieren und zu löschen.Allows the app to create, read, update, and delete apps in the app catalogs. JaYes

AnwendungsberechtigungenApplication permissions

Keine.None.

HinweiseRemarks

Derzeit ist der einzige Katalog die Liste der Anwendungen in Microsoft Teams.Currently the only catalog is the list of applications in Microsoft Teams.

VerwendungsbeispielExample usage

DelegiertDelegated

AnwendungApplication

Keine.None.


Berechtigungen für AnwendungsressourcenApplication resource permissions

Delegierte BerechtigungenDelegated permissions

Keine.None.

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Application.ReadWrite.AllApplication.ReadWrite.All Schreib-/Lesezugriff für alle AppsRead and write all apps Ermöglicht der aufrufenden App, Anwendungen und Dienstprinzipale zu erstellen und zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist.Allows the calling app to create, and manage (read, update, update application secrets and delete) applications and service principals without a signed-in user. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen.Does not allow management of consent grants or application assignments to users or groups. JaYes
Application.ReadWrite.OwnedByApplication.ReadWrite.OwnedBy Verwalten von Apps, die diese App erstellt oder deren Besitzer sie istManage apps that this app creates or owns Ermöglicht der aufrufenden App, andere Anwendungen und Dienstprinzipale zu erstellen und diese Anwendungen und Dienstprinzipale vollständig zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist.Allows the calling app to create other applications and service principals, and fully manage those applications and service principals (read, update, update application secrets and delete), without a signed-in user. Sie kann keine Anwendungen aktualisieren, deren Besitzer sie nicht ist.It cannot update any applications that it is not an owner of. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen.Does not allow management of consent grants or application assignments to users or groups. JaYes

BemerkungenRemarks

Die Berechtigung Application.ReadWrite.OwnedBy ermöglicht die gleichen Vorgänge wie Application.ReadWrite.All, mit der Ausnahme, dass die erste Berechtigung diese Vorgänge nur für Anwendungen und Dienstprinzipale zulässt, deren Besitzer die aufrufende App ist.The Application.ReadWrite.OwnedBy permission allows the same operations as Application.ReadWrite.All except that the former allows these operations only on applications and service principals that the calling app is an owner of. Der Besitz wird durch die Navigationseigenschaft owners für die Ziel-Anwendungs- oder -Dienstprinzipal-Ressource angegeben.Ownership is indicated by the owners navigation property on the target application or service principal resource.

HINWEIS: Die Verwendung der Berechtigung Application.ReadWrite.OwnedBy zum Aufrufen von GET /applications zur Auflistung von Anwendungen führt zu einem 403-Fehler.NOTE: Using the Application.ReadWrite.OwnedBy permission to call GET /applications to list applications will fail with a 403. Verwenden Sie stattdessen GET servicePrincipals/{id}/ownedObjects zum Auflisten der Anwendungen, deren Besitzer die aufrufende Anwendung ist.Instead use GET servicePrincipals/{id}/ownedObjects to list the applications owned by the calling application.

VerwendungsbeispielExample usage

DelegiertDelegated

Keine.None.

AnwendungApplication

  • Application.ReadWrite.All: Alle Anwendungen auflisten (GET /beta/applications)Application.ReadWrite.All: List all applications (GET /beta/applications)
  • Application.ReadWrite.All: Dienstprinzipal löschen (DELETE /beta/servicePrincipals/{id})Application.ReadWrite.All: Delete a service principal (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: Anwendung erstellen (POST /beta/applications)Application.ReadWrite.OwnedBy: Create an application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy: Alle Anwendungen auflisten, deren Besitzer die aufrufende Anwendung ist (GET /beta/servicePrincipals/{id}/ownedObjects)Application.ReadWrite.OwnedBy: List all applications owned by the the calling application (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: Einen anderen Besitzer zu einer Anwendung hinzufügen, die bereits einen Besitzer hat (POST /applications/{id}/owners/$ref).Application.ReadWrite.OwnedBy: Add another owner to an owned application (POST /applications/{id}/owners/$ref).

HINWEIS: Dies erfordert möglicherweise zusätzliche Berechtigungen.NOTE: This may require additional permissions.


Bookings-BerechtigungenBookings permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Bookings.Read.AllBookings.Read.All Ermöglicht einer App Lesezugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.Allows an app to read Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Vorgesehen für schreibgeschützt Anwendungen.Intended for read-only applications. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart.Typical target user is the customer of a booking business. NeinNo NeinNo
Bookings.ReadWrite.AppointmentsBookings.ReadWrite.Appointments Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine und Kunden. Ermöglicht darüber hinaus den Lesezugriff auf Unternehmen, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.Allows an app to read and write Bookings appointments and customers, and additionally allows reading businesses, services, and staff on behalf of the signed-in user. Vorgesehen für Terminplanungsanwendungen, die Termine und Kunden bearbeitet.Intended for scheduling applications which need to manipulate appointments and customers. Grundlegende Informationen zum Unternehmen mit Terminvergabe oder seine Dienstleistungen und Mitarbeiter können nicht geändert werden.Cannot change fundamental information about the booking business, nor its services and staff members. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart.Typical target user is the customer of a booking business. NeinNo NeinNo
Bookings.ReadWrite.AllBookings.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.Allows an app to read and write Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Ermöglicht nicht das Erstellen, Löschen oder Veröffentlichen von Unternehmen mit Bookings.Does not allow create, delete, or publish of Bookings businesses. Vorgesehen für Verwaltungsanwendungen, die vorhandene Unternehmen, deren Dienstleistungen und Mitarbeiter bearbeiten.Intended for management applications that manipulate existing businesses, their services and staff members. Ermöglicht nicht das Erstellen, Löschen oder Ändern des Veröffentlichungsstatus eines Unternehmens mit Terminvergabe.Cannot create, delete, or change the publishing status of a booking business. Der typische Zielbenutzer ist ein Support-Mitarbeiter eines Unternehmens.Typical target user is the support staff of an organization. NeinNo NeinNo
Bookings.ManageBookings.Manage Ermöglicht einer App Lese- und Schreibzugriff sowie die Verwaltung von Bookings-Terminen, Unternehmen, Kunden, Dienstleistungen und Mitarbeitern im Namen des angemeldeten Benutzers.Allows an app to read, write, and manage Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Ermöglicht der App den Vollzugriff.Allows the app to have full access.
Vorgesehen für eine vollständige Verwaltungsoberfläche.Intended for a full management experience. Der typische Zielbenutzer ist Administrator in einem Unternehmen.Typical target user is the administrator of an organization.
NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

Keine.None.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Bookings.Read.All: Abrufen der ID und der Namen der Sammlung von Bookings-Unternehmen, die für einen Mandanten erstellt wurde (GET /bookingBusinesses).Bookings.Read.All: Get the ID and names of the collection of Bookings businesses that has been created for a tenant (GET /bookingBusinesses).
  • Bookings.ReadWrite.Appointments: Erstellen eines Termins für einen Service bei einem Bookings-Unternehmen (POST /bookingBusinesses/{id}/appointments).Bookings.ReadWrite.Appointments: Create an appointment for a service at a Bookings business (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: Erstellen eines neuen Service für das angegebene Bookings-Unternehmen (POST /bookingBusinesses/{id}/services).Bookings.ReadWrite.All: Create a new service for the specified Bookings business (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage: Bereitstellen der Terminvergabeseite dieses Unternehmens für externe Kunden (POST /bookingBusinesses/{id}/publish).Bookings.Manage: Make the scheduling page of this business available to external customers (POST /bookingBusinesses/{id}/publish).

KalenderberechtigungenCalendars permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Calendars.ReadCalendars.Read Benutzerkalender lesenRead user calendars Ermöglicht der App, Ereignisse in Benutzerkalendern zu lesen.Allows the app to read events in user calendars. NeinNo JaYes
Calendars.Read.SharedCalendars.Read.Shared Benutzerkalender und freigegebene Kalender lesenRead user and shared calendars  Ermöglicht der App, Ereignisse in allen Kalendern zu lesen, auf die der Benutzer zugreifen kann, einschließlich delegierter und freigegebener Kalender.Allows the app to read events in all calendars that the user can access, including delegate and shared calendars.  NeinNo NeinNo
Calendars.ReadWriteCalendars.ReadWrite Vollzugriff auf BenutzerkalenderHave full access to user calendars Ermöglicht der App, Ereignisse in Benutzerkalendern zu erstellen, zu lesen, zu aktualisieren und zu löschen.Allows the app to create, read, update, and delete events in user calendars. NeinNo JaYes
Calendars.ReadWrite.SharedCalendars.ReadWrite.Shared Benutzerkalender und freigegebene Kalender lesen und schreibenRead and write user and shared calendars  Die App kann Ereignisse in allen Kalendern, für die der Benutzer über Zugriffsberechtigungen verfügt, erstellen, lesen, aktualisieren und löschen. Dies umfasst delegierte und freigegebene Kalender.Allows the app to create, read, update and delete events in all calendars the user has permissions to access. This includes delegate and shared calendars. NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Calendars.ReadCalendars.Read Lesezugriff auf Kalender in allen PostfächernRead calendars in all mailboxes Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu lesen.Allows the app to read events of all calendars without a signed-in user. JaYes
Calendars.ReadWriteCalendars.ReadWrite Lese- und Schreibzugriff auf Kalender in allen PostfächernRead and write calendars in all mailboxes Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen.Allows the app to create, read, update, and delete events of all calendars without a signed-in user. JaYes

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Calendars.Read“ oder „Calendars.ReadWrite“ besitzt.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Calendars.Read or Calendars.ReadWrite.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Calendars.Read: Ereignisse im Kalender des Benutzers zwischen dem 23. April 2017 und dem 29. April 2017 abrufen (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).Calendars.Read: Get events on the user's calendar between April 23, 2017 and April 29, 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Nach Besprechungszeiten suchen, zu denen alle Teilnehmer verfügbar sind (POST /users/{id|userPrincipalName}/findMeetingTimes).Calendars.Read.Shared: Find meeting times where all attendees are available (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: Ein Ereignis zum Kalender des Benutzers hinzufügen (POST /me/events).Calendars.ReadWrite: Add an event to the user's calendar (POST /me/events).

AnwendungApplication

  • Calendars.Read: Ereignisse im Kalender eines Konferenzraums suchen, sortiert nach bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').Calendars.Read: Find events in a conference room's calendar organized by bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: Alle Ereignisse im Kalender eines Benutzers für den Monat Mai auflisten (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)Calendars.Read: List all events on a user's calendar for the month of May (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: Ein Ereignis für einen Zeitpunkt mit genehmigter Abwesenheit zum Kalender eines Benutzers hinzufügen (POST /users/{id | userPrincipalName}/events).Calendars.ReadWrite: Add an event to a user's calendar for approved time off (POST /users/{id | userPrincipalName}/events).
  • Calendars.Send: Eine Nachricht senden (POST /users/{id | userPrincipalName}/sendCalendars).Calendars.Send: Send a message (POST /users/{id | userPrincipalName}/sendCalendars).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.

Berechtigungen für AnrufeCalls permissions

Delegierte BerechtigungenDelegated permissions

Keine.None.


AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Calls.Initiate.AllCalls.Initiate.All Ausgehende 1:1-Anrufe aus der App initiieren (Vorschau)Initiate outgoing 1:1 calls from the app (preview) Ermöglicht der App, ausgehende Anrufe an einen einzelnen Benutzer zu tätigen und Anrufe an Benutzer im Organisationsverzeichnis zu übertragen (ohne angemeldeten Benutzer).Allows the app to place outbound calls to a single user and transfer calls to users in your organization’s directory, without a signed-in user. JaYes
Calls.InitiateGroupCall.AllCalls.InitiateGroupCall.All Ausgehende Gruppenanrufe aus der App initiieren (Vorschau)Initiate outgoing group calls from the app (preview) Ermöglicht der App, ausgehende Anrufe an mehrere Benutzer zu tätigen und Teilnehmer in Ihrer Organisation zu Besprechungen hinzufügen (ohne angemeldeten Benutzer).Allows the app to place outbound calls to multiple users and add participants to meetings in your organization, without a signed-in user. JaYes
Calls.JoinGroupCall.AllCalls.JoinGroupCall.All Gruppenanrufe und Besprechungen als App verknüpfen (Vorschau)Join Group Calls and Meetings as an app (preview) Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer zu verknüpfen.Allows the app to join group calls and scheduled meetings in your organization, without a signed-in user. Die App wird mit den Berechtigungen eines Verzeichnisbenutzers und Besprechungen in Ihrem Mandanten verknüpft.The app will be joined with the privileges of a directory user to meetings in your tenant. JaYes
Calls.JoinGroupCallasGuest.AllCalls.JoinGroupCallasGuest.All Verknüpfen von Gruppenanrufen und Besprechungen als Gast (Vorschau)Join Group Calls and Meetings as a guest (preview) Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer anonym zu verknüpfen.Allows the app to anonymously join group calls and scheduled meetings in your organization, without a signed-in user. Die App wird als Gast mit Besprechungen in Ihrem Mandanten verknüpft.The app will be joined as a guest to meetings in your tenant. JaYes
Calls.AccessMedia.All*Calls.AccessMedia.All* Auf Medienstreams in einem Anruf als App zugreifen (Vorschau)Access media streams in a call as an app (preview) Ermöglicht der App, direkten Zugriff auf Medienstreams in einem Anruf ohne einen angemeldeten Benutzer zu erhalten.Allows the app to get direct access to media streams in a call, without a signed-in user. JaYes

*Wichtig: Sie dürfen die Microsoft.Graph.Calls.Media-API nicht verwenden, um Medieninhalte aus Anrufen oder Besprechungen, auf die der Bot zugreift, aufzuzeichnen oder auf andere Weise zu speichern.*Important: You may not use the Microsoft.Graph.Calls.Media API to record or otherwise persist media content from calls or meetings that your bot accesses.


VerwendungsbeispielExample usage

AnwendungApplication

  • Calls.Initiate.All: Peer-to-Peer-Anruf aus der Anwendung an einen Benutzer in der Organisation (POST /beta/app/calls).Calls.Initiate.All: Make a peer-to-peer call from the application to a user in the organization (POST /beta/app/calls).
  • Calls.InitiateGroupCall.All: Gruppenanruf aus der Anwendung an eine Benutzergruppe in der Organisation (POST /beta/app/calls).Calls.InitiateGroupCall.All: Make a group call from the application to a group of users in the organization (POST /beta/app/calls).
  • Calls.JoinGroupCall.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen (POST /beta/app/calls).Calls.JoinGroupCall.All: Join a group call or online meeting from the application (POST /beta/app/calls).
  • Calls.JoinGroupCallasGuest.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen, aber die Anwendung verfügt in der Besprechung nur über Gastberechtigungen (POST /beta/app/calls).Calls.JoinGroupCallasGuest.All: Join a group call or online meeting from the application, but the application only has guest privileges in the meeting (POST /beta/app/calls).
  • Calls.AccessMedia.All: Einen Anruf erstellen oder daran teilnehmen; die App erhält direkten Zugriff auf die Medienstreams von Teilnehmern in dem Anruf (POST /beta/app/calls).Calls.AccessMedia.All: Create or Join a call and the app gets direct access to participant media streams in the call (POST /beta/app/calls).

Hinweis: Beispiele für Anforderungen finden Sie unter Anruf erstellen.Note: For request examples, see to Create call.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.

ChannelMessage-BerechtigungenChannelMessage permissions

Delegierte BerechtigungenDelegated permissions

Keine.None.

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
ChannelMessage.Read.AllChannelMessage.Read.All Alle Kanalnachrichten lesenRead all chat messages  Ermöglicht es der App, alle Nachrichten des Microsoft Teams-Kanals ohne einen angemeldeten Benutzer zu lesen.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. JaYes NeinNo
ChannelMessage.UpdatePolicyViolation.AllChannelMessage.UpdatePolicyViolation.All Kanalnachrichten für Verstöße gegen die Richtlinie kennzeichnenFlag channel messages for violating policy Ermöglicht es der App, Nachrichten des Microsoft Teams-Kanals durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten.Allows the app to update Microsoft Teams channel messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. JaYes NeinNo

Hinweis: siehe auch Group.Read.All.Note: See also Group.Read.All.

Chat-BerechtigungenungenChats permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Chat.ReadChat.Read Lesen Sie Ihre ChatnachrichtenRead your chat messages  Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NeinNo NeinNo
Chat.ReadWriteChat.ReadWrite Lesen Sie Ihre Chatnachrichten, und senden Sie neue.Read your chat messages and send new ones  Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen und zu versenden.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Chat.Read.AllChat.Read.All Lesen aller ChatnachrichtenRead all chat messages  Ermöglicht es der App, alle 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams ohne einen angemeldeten Benutzer zu lesen.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. JaYes NeinNo
Chat.UpdatePolicyViolation.AllChat.UpdatePolicyViolation.All Chatnachrichten für Verstöße gegen die Richtlinie kennzeichnenFlag chat messages for violating policy Ermöglicht es der App, 1:1- oder Gruppenchatnachrichten in Microsoft Teams durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten.Allows the app to update Microsoft Teams 1:1 or group chat messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. JaYes NeinNo

Hinweis: Für Nachrichten in einem Kanal lesen Sie ChannelMessage-Berechtigungen.Note: For messages in a channel, see Group.Read.All.

KontaktberechtigungenContacts permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Contacts.ReadContacts.Read Benutzerkontakte lesenRead user contacts  Ermöglicht der App, Benutzerkontakte zu lesen.Allows the app to read user contacts. NeinNo JaYes
Contacts.Read.SharedContacts.Read.Shared Benutzerkontakte und freigegebene Kontakte lesenRead user and shared contacts Ermöglicht der App, Kontakte zu lesen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte.Allows the app to read contacts that the user has permissions to access, including the user's own and shared contacts.  NeinNo NeinNo
Contacts.ReadWriteContacts.ReadWrite Vollzugriff auf BenutzerkontakteHave full access to user contacts Ermöglicht der App, Benutzerkontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen.Allows the app to create, read, update, and delete user contacts. NeinNo JaYes
Contacts.ReadWrite.SharedContacts.ReadWrite.Shared Benutzerkontakte und freigegebene Kontakte lesen und schreibenRead and write user and shared contacts Ermöglicht der App, Kontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die der Benutzer über Berechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte.Allows the app to create, read, update and delete contacts that the user has permissions to, including the user's own and shared contacts. NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Contacts.ReadContacts.Read Lesezugriff auf Kontakte in allen PostfächernRead contacts in all mailboxes  Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu lesen.Allows the app to read all contacts in all mailboxes without a signed-in user.  JaYes
Contacts.ReadWriteContacts.ReadWrite Lese- und Schreibzugriff auf Kontakte in allen PostfächernRead and write contacts in all mailboxes Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen.Allows the app to create, read, update, and delete all contacts in all mailboxes without a signed-in user. JaYes

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Contacts.Read“ oder Contacts.ReadWrite“ besitzt.Important Administrators can configure application access policy to limit app access to specific mailboxes and not all the mailboxes in the organization, even if the app has been granted the application permissions of Contacts.Read or Contacts.ReadWrite.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Contacts.Read: Einen Kontakt aus einem der Kontaktordner der obersten Ebene des angemeldeten Benutzers lesen (GET /me/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read a contact from one of the top-level contact folders of the signed-in user (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Das Kontaktfoto eines Kontakts des angemeldeten Benutzers aktualisieren (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the contact photo of one of the signed-in user's contacts (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Kontakte zum Stammordner des angemeldeten Benutzers hinzufügen (POST /me/contacts).Contacts.ReadWrite: Add contacts to the root folder of the signed-in user (POST /me/contacts).

AnwendungApplication

  • Contacts.Read: Kontakte aus einem der Kontaktordner der obersten Ebene eines beliebigen Benutzers in der Organisation lesen (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read contacts from one of the top-level contact folders of any user in the organization (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Das Foto eines beliebigen Kontakts eines beliebigen Benutzers in einer Organisation aktualisieren (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the photo for any contact of any user in an organization (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Kontakte zum Stammordner eines beliebigen Benutzers in der Organisation hinzufügen (POST /users/{id | userPrincipalName}/contacts).Contacts.ReadWrite: Add contacts to the root folder of any user in the organization (POST /users/{id | userPrincipalName}/contacts).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.

GeräteberechtigungenDevice permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Device.ReadDevice.Read Benutzergeräte lesenRead user devices Ermöglicht der App, eine Benutzerliste mit Geräten im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read a user's list of devices on behalf of the signed-in user. NeinNo JaYes
Device.CommandDevice.Command Kommunikation mit BenutzergerätenCommunicate with user devices Ermöglicht der App, im Auftrag des angemeldeten Benutzers auf einem Benutzergerät eine andere App zu starten oder mit einer anderen App zu kommunizieren.Allows the app to launch another app or communicate with another app on a user's device on behalf of the signed-in user. NeinNo JaYes

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Device.ReadWrite.AllDevice.ReadWrite.All Geräteeigenschaften lesen und schreibenRead and write devices Die App kann alle Geräteeigenschaften ohne angemeldeten Benutzer lesen und schreiben. Ermöglicht nicht das Erstellen oder Löschen von Geräten oder das Aktualisieren von alternativen Sicherheits-IDs von Geräten.Allows the app to read and write all device properties without a signed in user. Does not allow device creation, device deletion, or update of device alternative security identifiers. JaYes

VerwendungsbeispielExample usage

AnwendungApplication

  • Device.ReadWrite.All: Alle registrierten Geräte in der Organisation lesen (GET /devices).Device.ReadWrite.All: Read all registered devices in the organization (GET /devices).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


VerzeichnisberechtigungenDirectory permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Directory.Read.AllDirectory.Read.All Verzeichnisdaten lesenRead directory data Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation zu lesen, z. B. Benutzer, Gruppen und Apps.Allows the app to read data in your organization's directory, such as users, groups and apps. Hinweis: Benutzer können Anwendungen zustimmen, die diese Berechtigung erfordern, wenn die Anwendung im Mandanten ihrer eigenen Organisation registriert ist.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant. JaYes NeinNo
Directory.ReadWrite.AllDirectory.ReadWrite.All Schreib-/Lesezugriff auf VerzeichnisdatenRead and write directory data Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht der App nicht das Löschen von Benutzern oder Gruppen oder das Zurücksetzen von Benutzerkennwörtern.Allows the app to read and write data in your organization's directory, such as users, and groups. It does not allow the app to delete users or groups, or reset user passwords. JaYes NeinNo
Directory.AccessAsUser.AllDirectory.AccessAsUser.All Als der angemeldete Benutzer auf das Verzeichnis zugreifenAccess directory as the signed-in user Ermöglicht der App den gleichen Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer.Allows the app to have the same access to information in the directory as the signed-in user. JaYes NeinNo
PrivilegedAccess.ReadWrite.AzureADPrivilegedAccess.ReadWrite.AzureAD Lesen und Schreiben von Privileged Identity Management-Daten für VerzeichnisRead and write Privileged Identity Management data for Directory Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure AD.Allows the app to have read and write access to Privileged Identity Management APIs for Azure AD. JaYes NeinNo
PrivilegedAccess.ReadWrite.AzureResourcesPrivilegedAccess.ReadWrite.AzureResources Lesen und Schreiben von Privileged Identity Management-Daten für Azure-RessourcenRead and write Privileged Identity Management data for Azure Resources Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure-Ressourcen.Allows the app to have read and write access to Privileged Identity Management APIs for Azure resources. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Directory.Read.AllDirectory.Read.All Verzeichnisdaten lesenRead directory data Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, z. B. Benutzer, Gruppen und Apps.Allows the app to read data in your organization's directory, such as users, groups and apps, without a signed-in user. JaYes
Directory.ReadWrite.AllDirectory.ReadWrite.All Schreib-/Lesezugriff auf VerzeichnisdatenRead and write directory data Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe.Allows the app to read and write data in your organization's directory, such as users, and groups, without a signed-in user. Does not allow user or group deletion. JaYes

HinweiseRemarks

Verzeichnisberechtigungen stellen die höchste Stufe von Rechten für den Zugriff auf Verzeichnisressourcen wie Benutzer, Gruppen, und Geräte in einer Organisation bereit.Directory permissions provide the highest level of privilege for accessing directory resources such as User, Group, and Device in an organization.

Sie steuern zudem exklusiv den Zugriff auf andere Verzeichnisressourcen wie Organisationskontakte, Schemaerweiterungs-APIs, Privileged Identity Management (PIM)-APIs sowie viele der Ressourcen und APIs, die unter dem Knoten Azure Active Directory in der API-Referenzdokumentation der Versionen 1.0 und Beta aufgeführt sind.They also exclusively control access to other directory resources like: organizational contacts, schema extension APIs, Privileged Identity Management (PIM) APIs, as well as many of the resources and APIs listed under the Azure Active Directory node in the v1.0 and beta API reference documentation. Hierzu zählen administrative Einheiten, Verzeichnisrollen, Verzeichniseinstellungen, Richtlinien und viele weitere.These include administrative units, directory roles, directory settings, policy, and many more.

Die Berechtigung Directory.ReadWrite.All gewährt die folgenden Rechte:The Directory.ReadWrite.All permission grants the following privileges:

  • Alles lesen für alle Verzeichnisressourcen (deklarierte Eigenschaften und Navigationseigenschaften)Full read of all directory resources (both declared properties and navigation properties)
  • Benutzer erstellen und aktualisierenCreate and update users
  • Benutzer deaktivieren und aktivieren (außer Unternehmensadministrator)Disable and enable users (but not company administrator)
  • Alternative Sicherheits-ID für Benutzer festlegen (außer Administratoren)Set user alternative security id (but not administrators)
  • Gruppen erstellen und aktualisierenCreate and update groups
  • Gruppenmitgliedschaften verwaltenManage group memberships
  • Gruppenbesitzer aktualisierenUpdate group owner
  • Lizenzzuweisungen verwaltenManage license assignments
  • Schemaerweiterungen für Anwendungen definierenDefine schema extensions on applications

Hinweis:Note:

  • Keine Rechte zum Zurücksetzen von Benutzerkennwörtern.No rights to reset user passwords
  • Das Aktualisieren der businessPhones-, mobilePhone- oder otherMails-Eigenschaft eines anderen Benutzers ist nur für Benutzer zulässig, die keine Administratoren sind oder denen eine der folgenden Rollen zugewiesen wurde: Verzeichnis lesen, Gasteinladender, Nachrichtencenter-Leser und Berichts-Leser.Updating another user's businessPhones, mobilePhone, or otherMails property is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Weitere Details finden Sie unter „Helpdeskadministrator (Kennwort)" in Azure AD – Verfügbare Rollen.For more details, see Helpdesk (Password) Administrator in Azure AD available roles. Dies gilt für Apps, denen die delegierten oder Anwendungsberechtigungen "User.ReadWrite.All" oder "Directory.ReadWrite.All" erteilt wurden.This is the case for apps granted either the User.ReadWrite.All or Directory.ReadWrite.All delegated or application permissions.
  • Keine Rechte zum Löschen von Ressourcen (einschließlich Benutzern oder Gruppen).No rights to delete resources (including users or groups)
  • Schließt ausdrücklich das Erstellen oder Aktualisieren von Ressourcen aus, die oben nicht aufgeführt sind.Specifically excludes create or update for resources not listed above. Hierzu gehören: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains usw.This includes: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains, and so on.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Directory.Read.All: Alle administrativen Einheiten in einer Organisation auflisten (GET /beta/administrativeUnits)Directory.Read.All: List all administrative units in an organization (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All: Mitglieder zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/{id}/members/$ref)Directory.ReadWrite.All: Add members to a directory role (POST /directoryRoles/{id}/members/$ref)

AnwendungApplication

  • Directory.Read.All: Alle Mitgliedschaften eines Benutzers auflisten, einschließlich Verzeichnisrollen und administrativer Einheiten (GET /beta/users/{id}/memberOf)Directory.Read.All: List all memberships of a user, including directory roles and administrative units (GET /beta/users/{id}/memberOf)
  • Directory.Read.All: Alle Gruppenmitglieder auflisten, einschließlich Dienstprinzipale (GET /beta/groups/{id}/members)Directory.Read.All: List all group members, including service principals (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All: Einen Besitzer zu einer Gruppe hinzufügen (POST /groups/{id}/owners/$ref)Directory.ReadWrite.All: Add an owner to a group (POST /groups/{id}/owners/$ref)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Bildungs-BerechtigungenEducation permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
EduAdministration.ReadEduAdministration.Read Bildungs-App-Einstellungen lesenRead education app settings Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu lesen.Allows the app to read education app settings on behalf of the user. JaYes NeinNo
EduAdministration.ReadWriteEduAdministration.ReadWrite Bildungs-App-Einstellungen verwaltenManage education app settings Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu verwalten.Allows the app to manage education app settings on behalf of the user. JaYes NeinNo
EduAssignments.ReadBasicEduAssignments.ReadBasic Lesen von Arbeitsaufträgen von Benutzern ohne NotenRead users' class assignments without grades Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen.Allows the app to read assignments without grades on behalf of the user JaYes NeinNo
EduAssignments.ReadWriteBasicEduAssignments.ReadWriteBasic Lesen und Schreiben von Arbeitsaufträgen von Benutzern ohne NotenRead and write users' class assignments without grades Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen und zu schreiben.Allows the app to read and write assignments without grades on behalf of the user JaYes NeinNo
EduAssignments.ReadEduAssignments.Read Lesen der Ansicht von Arbeitsaufträgen von Benutzern und deren NotenRead users' view of class assignments and their grades Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen.Allows the app to read assignments and their grades on behalf of the user JaYes NeinNo
EduAssignments.ReadWriteEduAssignments.ReadWrite Lesen und Schreiben der Ansicht von Arbeitsaufträgen von Benutzern und deren NotenRead and write users' view of class assignments and their grades Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen und zu schreiben.Allows the app to read and write assignments and their grades on behalf of the user JaYes NeinNo
EduRostering.ReadBasicEduRostering.ReadBasic Lesen einer Dienstplanansicht einer begrenzten Untermengen von BenutzernRead a limited subset of users' view of the roster Ermöglicht der App, eine begrenzte Untermenge der Daten aus der Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen.Allows the app to read a limited subset of the data from the structure of schools and classes in an organization's roster and education-specific information about users to be read on behalf of the user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
EduAssignments.ReadBasic.AllEduAssignments.ReadBasic.All Lesen von Arbeitsaufträgen ohne NotenRead class assignments without grades Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen.Allows the app to read assignments without grades for all users JaYes
EduAssignments.ReadWriteBasic.AllEduAssignments.ReadWriteBasic.All Lesen und Schreiben von Arbeitsaufträgen ohne NotenRead and write class assignments without grades Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen und zu schreiben.Allows the app to read and write assignments without grades for all users JaYes
EduAssignments.Read.AllEduAssignments.Read.All Lesen von Schulprojekten mit NotenRead class assignments with grades Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen.Allows the app to read assignments and their grades for all users JaYes
EduAssignments.ReadWrite.AllEduAssignments.ReadWrite.All Lesen und Schreiben von Arbeitsaufträgen mit NotenRead and write class assignments with grades Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen und zu schreiben.Allows the app to read and write assignments and their grades for all users JaYes
EduRostering.ReadBasic.AllEduRostering.ReadBasic.All Lesen einer begrenzten Untermenge des Dienstplans der Organisation.Read a limited subset of the organization's roster. Ermöglicht der App, eine begrenzte Untermenge der Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen.Allows the app to read a limited subset of both the structure of schools and classes in an organization's roster and education-specific information about all users. JaYes
EduRostering.Read.AllEduRostering.Read.All Lesen des Dienstplans der Organisation.Read the organization's roster. Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen.Allows the app to read the structure of schools and classes in the organization's roster and education-specific information about all users to be read. JaYes
EduRostering.ReadWrite.AllEduRostering.ReadWrite.All Lesen und Schreiben des Dienstplans der Organisation.Read and write the organization's roster. Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen und zu schreiben.Allows the app to read and write the structure of schools and classes in the organization's roster and education-specific information about all users to be read and written. JaYes

VerwendungsbeispielExample usage

DelegiertDelegated

  • EduAssignments.Read: Abrufen der Arbeitsauftragsinformationen des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id})EduAssignments.Read: Get the signed-in student's assignment information (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: Übermitteln des Arbeitsauftrags des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id}submit)EduAssignments.ReadWriteBasic: Submit signed-in student assignment (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: Stunden, an denen ein angemeldeter Benutzer teilnimmt oder unterrichtet (GET /education/classes/{id}/members)EduRoster.ReadBasic: Classes a signed-in user attends or teaches (GET /education/classes/{id}/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


DateiberechtigungenFiles permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Files.ReadFiles.Read Lesezugriff auf BenutzerdateienRead user files Ermöglicht der App, die Dateien des angemeldeten Benutzers zu lesen.Allows the app to read the signed-in user's files. NeinNo JaYes
Files.Read.AllFiles.Read.All Alle Dateien lesen, auf die der Benutzer zugreifen kannRead all files that user can access Ermöglicht der App, alle Dateien zu lesen, auf die der angemeldete Benutzer zugreifen kann.Allows the app to read all files the signed-in user can access. NeinNo JaYes
Files.ReadWriteFiles.ReadWrite Vollzugriff auf BenutzerdateienHave full access to user files Ermöglicht der App, Dateien des angemeldeten Benutzers zu lesen, zu erstellen, zu aktualisieren und zu löschen.Allows the app to read, create, update, and delete the signed-in user's files. NeinNo JaYes
Files.ReadWrite.AllFiles.ReadWrite.All Vollzugriff auf alle Dateien, auf die Benutzer zugreifen könnenHave full access to all files user can access Ermöglicht der App, alle Dateien zu lesen, zu erstellen, zu aktualisieren und zu löschen, auf die der angemeldete Benutzer zugreifen kann.Allows the app to read, create, update, and delete all files the signed-in user can access. NeinNo JaYes
Files.ReadWrite.AppFolderFiles.ReadWrite.AppFolder Vollzugriff auf den Anwendungsordner (Vorschau)Have full access to the application's folder (preview) (Vorschau) Ermöglicht der App, Dateien im Anwendungsordner zu lesen, zu erstellen, zu aktualisieren und zu löschen.(Preview) Allows the app to read, create, update, and delete files in the application's folder. NeinNo NeinNo
Files.Read.SelectedFiles.Read.Selected Lesezugriff auf Dateien, die der Benutzer auswähltRead files that the user selects Eingeschränkte Unterstützung in Microsoft Graph – siehe AnmerkungenLimited support in Microsoft Graph; see Remarks
(Vorschau) Ermöglicht der App, Dateien zu lesen, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.(Preview) Allows the app to read files that the user selects. The app has access for several hours after the user selects a file.
NeinNo NeinNo
Files.ReadWrite.SelectedFiles.ReadWrite.Selected Lese- und Schreibzugriff auf Dateien, die der Benutzer auswähltRead and write files that the user selects Eingeschränkte Unterstützung in Microsoft Graph – siehe AnmerkungenLimited support in Microsoft Graph; see Remarks
(Vorschau) Ermöglicht der App, Dateien zu lesen und zu schreiben, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.(Preview) Allows the app to read and write files that the user selects. The app has access for several hours after the user selects a file.
NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Files.Read.AllFiles.Read.All Lesen von Dateien in allen WebsitesammlungenRead files in all site collections Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen.Allows the app to read all files in all site collections without a signed in user. JaYes
Files.ReadWrite.AllFiles.ReadWrite.All Lesen und Schreiben von Dateien in allen WebsitesammlungenRead and write files in all site collections Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen, erstellen, aktualisieren und löschen.Allows the app to read, create, update, and delete all files in all site collections without a signed in user. JaYes

HinweiseRemarks

Hinweis: Bei persönlichen Konten gewähren „Files.Read“ und „Files.ReadWrite“ auch Zugriff auf Dateien, die für den angemeldeten Benutzer freigegeben sind.Note: For personal accounts, Files.Read and Files.ReadWrite also grant access to files shared with the signed-in user.

Die delegierten Berechtigungen „Files.Read.Selected“ und „Files.ReadWrite.Selected“ sind nur für Geschäfts-, Schul- oder Unikonten gültig und werden nur für Arbeit mit Office 365-Dateihandlern (v1.0) bereitgestellt. Sie dürfen nicht verwendet werden, um Microsoft Graph-APIs direkt aufzurufen.The Files.Read.Selected and Files.ReadWrite.Selected delegated permissions are only valid on work or school accounts and are only exposed for working with Office 365 file handlers (v1.0). They should not be used for directly calling Microsoft Graph APIs.

Die delegierte Berechtigung „Files.ReadWrite.AppFolder“ ist nur für persönliche Konten gültig und wird zum Zugreifen auf den speziellen Anwendungsstammordner mit der Microsoft Graph-API Speziellen Ordner abrufen für OneDrive verwendet.The Files.ReadWrite.AppFolder delegated permission is only valid for personal accounts and is used for accessing the App Root special folder with the OneDrive Get special folder Microsoft Graph API.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Files.Read: Dateien lesen, die im OneDrive des angemeldeten Benutzers gespeichert sind (GET /me/drive/root/children)Files.Read: Read files stored in the signed-in user's OneDrive (GET /me/drive/root/children)
  • Files.Read.All: Dateien lesen, die für den angemeldeten Benutzer freigegeben sind (GET /me/drive/root/sharedWithMe)Files.Read.All: Read files shared with the signed-in user (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite: Eine Datei im OneDrive des angemeldeten Benutzers schreiben (PUT /me/drive/root/children/filename.txt/content)Files.ReadWrite: Write a file in the signed-in user's OneDrive (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All: Eine für den Benutzer freigegebene Datei schreiben (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)Files.ReadWrite.All: Write a file shared with the user (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder: Dateien in den App-Ordner in OneDrive schreiben (PUT /me/drive/special/approot/children/file.txt/content)Files.ReadWrite.AppFolder: Write files into the app's folder in OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für FinanzdatenFinancials permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Financials.ReadWrite.AllFinancials.ReadWrite.All Lesen und Schreiben von FinanzdatenRead and write financials data Ermöglicht der App, Finanzdaten im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write financials data on behalf of the signed-in user NeinNo

GruppenberechtigungenGroup permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Group.Read.AllGroup.Read.All Lesezugriff auf alle GruppenRead all groups Die App kann Gruppen aufführen und deren Eigenschaften sowie alle Gruppenmitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen, auf die der Benutzer zugreifen kann, lesen.Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user. Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. JaYes NeinNo
Group.ReadWrite.AllGroup.ReadWrite.All Schreib-/Lesezugriff auf alle GruppenRead and write all groups Die App kann Gruppen erstellen und alle Gruppeneigenschaften und -mitgliedschaften im Namen des angemeldeten Benutzers lesen.Allows the app to create groups and read all group properties and memberships on behalf of the signed-in user. Die App kann außerdem für alle Gruppen, auf die der Benutzer zugreifen kann, Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. Darüber hinaus können Gruppenbesitzer ihre eigenen Gruppen verwalten, und Gruppenmitglieder können Gruppeninhalte aktualisieren.Additionally allows group owners to manage their groups and allows group members to update group content. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Group.Read.AllGroup.Read.All Lesezugriff auf alle GruppenRead all groups Die App kann Mitgliedschaften für alle Gruppen ohne angemeldeten Benutzer lesen.Allows the app to read memberships for all groups without a signed-in user. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen lesen.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. > Hinweis: Nicht alle Gruppen-APIs unterstützen Zugriff über Nur-App-Berechtigungen. > NOTE: that not all group API supports access using app-only permissions. Beispiele finden Sie unter Bekannte Probleme.See known issues for examples. JaYes
Group.ReadWrite.AllGroup.ReadWrite.All Schreib-/Lesezugriff auf alle GruppenRead and write all groups Die App kann Gruppen erstellen, Gruppenmitgliedschaften lesen und aktualisieren und Gruppen löschen.Allows the app to create groups, read and update group memberships, and delete groups. Die App kann außerdem für alle Gruppen Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden.All of these operations can be performed by the app without a signed-in user. > Hinweis: Nicht alle Gruppen-APIs unterstützen Zugriff über Nur-App-Berechtigungen. > NOTE: that not all group API supports access using app-only permissions. Beispiele finden Sie unter Bekannte Probleme.See known issues for examples. JaYes

HinweiseRemarks

Gruppenfunktionen werden für persönliche Microsoft-Konten nicht unterstützt.Group functionality is not supported on personal Microsoft accounts.

Für Office 365-Gruppen gewähren Gruppenberechtigungen der App Zugriff auf den Inhalt der Gruppe, z. B. Unterhaltungen, Dateien, Notizen usw.For Office 365 groups, Group permissions grant the app access to the contents of the group; for example, conversations, files, notes, and so on.

Im Hinblick auf Anwendungsberechtigungen gelten einige Einschränkungen für die unterstützten APIs. Weitere Informationen finden Sie unter bekannte Probleme.For application permissions, there are some limitations for the APIs that are supported. For more information, see known issues.

In einigen Fällen benötigt eine App eventuell Verzeichnisberechtigungen, um einige Gruppeneigenschaften wie member und memberOf zu lesen. Wenn eine Gruppe z. B. einen oder mehrere servicePrincipals als Mitglieder besitzt, benötigt die App effektive Berechtigungen zum Lesen von Dienstprinzipalen, indem ihr eine der Berechtigungen vom Typ Directory.* gewährt wird, andernfalls gibt Microsoft Graph einen Fehler zurück. (Im Fall von delegierten Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation zum Lesen von Dienstprinzipalen.) Dasselbe gilt für die Eigenschaft memberOf, die administrativeUnits zurückgeben kann.In some cases, an app may need Directory permissions to read some group properties like member and memberOf. For example, if a group has a one or more servicePrincipals as members, the app will need effective permissions to read service principals through being granted one of the Directory.* permissions, otherwise Microsoft Graph will return an error. (In the case of delegated permissions, the signed-in user will also need sufficient privileges in the organization to read service principals.) The same guidance applies for the memberOf property, which can return administrativeUnits.

Gruppenberechtigungen werden zum Steuern des Zugriffs auf Microsoft Teams-Ressourcen und APIs verwendet.Group permissions are used to control access to Microsoft Teams resources and APIs. Persönliche Microsoft-Konten werden nicht unterstützt.Personal Microsoft accounts are not supported.

Gruppenberechtigungen werden auch verwendet, um den Zugriff auf Microsoft Planner-Ressourcen und -APIs zu steuern. Nur delegierte Berechtigungen werden für Microsoft Planner-APIs unterstützt; Anwendungsberechtigungen werden nicht unterstützt. Persönliche Microsoft-Konten werden nicht unterstützt.Group permissions are also used to control access to Microsoft Planner resources and APIs. Only delegated permissions are supported for Microsoft Planner APIs; application permissions are not supported. Personal Microsoft accounts are not supported.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Group.Read.All: Alle Office 365-Gruppen lesen, in denen der angemeldete Benutzer Mitglied ist (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).Group.Read.All: Read all Office 365 groups that the signed-in user is a member of (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: Alle Office 365-Gruppeninhalte lesen, wie z. B. Unterhaltungen (GET /groups/{id}/conversations).Group.Read.All: Read all Office 365 group content like conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: Gruppeneigenschaften wie Fotos aktualisieren (PUT /groups/{id}/photo/$value).Group.ReadWrite.All: Update group properties, like photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: Gruppenmitglieder aktualisieren (POST /groups/{id}/members/$ref).Group.ReadWrite.All: Update group members (POST /groups/{id}/members/$ref).

Hinweis: Diese Berechtigung erfordert auch User.ReadBasic.All zum Lesen des Benutzers, der als Mitglied hinzugefügt werden soll.Note:: This also requires User.ReadBasic.All to read the user to add as a member.

AnwendungApplication

  • Group.Read.All: Alle Gruppen suchen, deren Name mit „Sales“ beginnt (GET /groups?$filter=startswith(displayName,'Sales')).Group.Read.All: Find all groups with name that starts with 'Sales' (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: Daemondienst erstellt neue Ereignisse im Kalender einer Office 365-Gruppe (POST /groups/{id}/events).Group.ReadWrite.All: Daemon service creates new events on an Office 365 group's calendar (POST /groups/{id}/events).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für IdentitätsanbieterIdentity provider permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
IdentityProvider.Read.AllIdentityProvider.Read.All Identitätsanbieterinformationen lesenRead identity provider information Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. JaYes NeinNo
IdentityProvider.ReadWrite.AllIdentityProvider.ReadWrite.All Identitätsanbieterinformationen lesen und schreibenRead and write identity provider information Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read or write identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. JaYes NeinNo

HinweiseRemarks

IdentityProvider.Read.All und IdentityProvider.ReadWrite.All gelten nur für Geschäfts- oder Schulkonten.IdentityProvider.Read.All and IdentityProvider.ReadWrite.All are valid only for work or school accounts. Damit eine App Identitätsanbieter mit delegierten Berechtigungen lesen oder schreiben kann, muss dem angemeldeten Benutzer die globale Administratorrolle zugewiesen sein.For an app to read or write identity providers with delegated permissions, the signed-in user must be assigned the Global Administrator role. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

VerwendungsbeispielExample usage

DelegiertDelegated

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:The following usages are valid for both delegated permissions:

  • IdentityProvider.Read.All: Alle im Mandanten konfigurierten Identitätsanbieter lesen (GET /beta/identityProviders)IdentityProvider.Read.All: Read all identity providers configured in the tenant (GET /beta/identityProviders)
  • IdentityProvider.Read.All: Einen vorhandenen Identitätsanbieter lesen (GET /beta/identityProviders/{id})IdentityProvider.Read.All: Read an existing identity provider (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Identitätsanbieter erstellen (POST /beta/identityProviders)IdentityProvider.ReadWrite.All Create an identity provider (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter aktualisieren (PATCH /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Update an existing identity provider (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter löschen (DELETE /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Delete an existing identity provider (DELETE /beta/identityProviders/{id})

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für IdentitätsrisikoereignisseIdentity Risk Event permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Informationen zu Identitätsrisikoereignissen lesenRead identity risk event information Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read identity risk event information for all users in your organization on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Informationen zu Identitätsrisikoereignissen lesenRead identity risk event information Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.Allows the app to read identity risk event information for all users in your organization without a signed-in user. JaYes

HinwBemerkungeneiseRemarks

IdentityRiskEvent.Read.All gilt nur für Geschäfts-, Schul- oder Unikonten. Damit eine App mit delegierten Berechtigungen Informationen zu Identitätsrisiken lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator oder Benutzer mit Leseberechtigung für Sicherheitsfunktionen Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.IdentityRiskEvent.Read.All is valid only for work or school accounts. For an app with delegated permissions to read identity risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

VerwendungsbeispielExample usage

Delegiert und AnwendungDelegated and Application

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:The following usages are valid for both delegated and application permissions:

  • Alle Risikoereignisse lesen, die für alle Benutzer im Mandanten generiert werden (GET /beta/identityRiskEvents)Read all risk events generated for all users in the tenant (GET /beta/identityRiskEvents)
  • Schadsoftware-Risikoereignisse lesen, die vom Dorknet-Botnet generiert werden (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')Read malware risk events generated by the Dorknet botnet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • Die letzten 50 Risikoereignisse lesen (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)Read most recent 50 risk events (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für Identitätsrisiken für BenutzerIdentity Risky User permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Informationen zu Identitätsrisiken für Benutzer lesenRead identity user risk information Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read identity user risk information for all users in your organization on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Informationen zu Identitätsrisiken für Benutzer lesenRead identity user risk information Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen.Allows the app to read identity user risk information for all users in your organization without a signed-in user. JaYes

HinweiseRemarks

IdentityRiskyUser.Read.All gilt nur für Geschäfts-, Schul- oder Unikonten.IdentityRiskyUser.Read.All is valid only for work or school accounts. Damit eine App mit delegierten Berechtigungen Informationen zu Identitätsrisiken für Benutzer lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator oder Benutzer mit Leseberechtigung für Sicherheitsfunktionen.For an app with delegated permissions to read identity user risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

VerwendungsbeispielExample usage

Delegiert und AnwendungDelegated and Application

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:The following usages are valid for both delegated and application permissions:

  • Alle riskanten Benutzer und Eigenschaften im Mandanten lesen (GET /beta/riskyUsers)Read all risky users and properties in the tenant (GET /beta/riskyUsers)
  • Alle riskanten Benutzer lesen, deren Risikostufe „Mittel“ (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')Read all risky users whose aggregate risk level is Medium (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Risikoinformationen für einen bestimmten Benutzer lesen (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)Read the risk information for a specific user (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für Intune-GeräteverwaltungIntune Device Management permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Microsoft Intune-Apps lesenRead Microsoft Intune apps Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen.Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. JaYes NeinNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreibenRead and write Microsoft Intune apps Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben.Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. JaYes NeinNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesenRead Microsoft Intune device configuration and policies Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen.Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. JaYes NeinNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreibenRead and write Microsoft Intune device configuration and policies Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben.Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. JaYes NeinNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführenPerform user-impacting remote actions on Microsoft Intune devices Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden.Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. JaYes NeinNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Microsoft Intune-Geräte lesenRead Microsoft Intune devices Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen.Allows the app to read the properties of devices managed by Microsoft Intune. JaYes NeinNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Microsoft Intune-Geräte lesen und schreibenRead and write Microsoft Intune devices Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers.Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. JaYes NeinNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Microsoft Intune-RBAC-Einstellungen lesenRead Microsoft Intune RBAC settings Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen.Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. JaYes NeinNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Microsoft Intune-RBAC-Einstellungen lesen und schreibenRead and write Microsoft Intune RBAC settings Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben.Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. JaYes NeinNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Microsoft Intune-Konfiguration lesenRead Microsoft Intune configuration Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration.Allows the app to read Intune service properties including device enrollment and third party service connection configuration. JaYes NeinNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Microsoft Intune-Konfiguration lesen und schreibenRead and write Microsoft Intune configuration Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration.Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

Keine.None.

HinwBemerkungeneiseRemarks

Hinweis: Die Verwendung der Microsoft Graph-APIs zum Konfigurieren von Intune-Steuerelementen und -Richtlinien erfordert dennoch, dass der Intune-Dienst vom Kunden ordnungsgemäß lizenziert ist.Note: Using the Microsoft Graph APIs to configure Intune controls and policies still requires that the Intune service is correctly licensed by the customer.

Diese Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.These permissions are only valid for work or school accounts.

VerwendungsbeispielExample usage

DelegiertDelegated

  • DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


E-Mail-BerechtigungenMail permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Mail.ReadMail.Read Benutzer-E-Mails lesenRead user mail  Die App kann E-Mails in Benutzerpostfächern lesen.Allows the app to read email in user mailboxes.  NeinNo JaYes
Mail.ReadBasicMail.ReadBasic Grundlegende Mail des Benutzers lesen (Vorschau)Read user basic mail (preview) (Vorschau) Ermöglicht der App, das Postfach des angemeldeten Benutzers zu lesen, außer Text, previewBody, Anlagen und alle erweiterten Eigenschaften.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. Enthält keine Berechtigungen zum Durchsuchen von Nachrichten.Does not include permissions to search messages. NeinNo JaYes
Mail.ReadWriteMail.ReadWrite Schreib-/Lesezugriff auf Benutzer-E-MailsRead and write access to user mail  Die App kann E-Mails in Benutzerpostfächern erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails.Allows the app to create, read, update, and delete email in user mailboxes. Does not include permission to send mail. NeinNo JaYes
Mail.Read.SharedMail.Read.Shared Benutzer-E-Mails und freigegebene E-Mails lesenRead user and shared mail Die App kann E-Mails lesen, auf die der Benutzer zugreifen kann, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails.Allows the app to read mail that the user can access, including the user's own and shared mail.  NeinNo NeinNo
Mail.ReadWrite.SharedMail.ReadWrite.Shared Benutzer-E-Mails und freigegebene E-Mails lesen und schreibenRead and write user and shared mail  Die App kann E-Mails erstellen, lesen, aktualisieren und löschen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Umfasst nicht die Berechtigung zum Senden von E-Mails.Allows the app to create, read, update, and delete mail that the user has permission to access, including the user's own and shared mail. Does not include permission to send mail. NeinNo NeinNo
Mail.SendMail.Send E-Mails als Benutzer sendenSend mail as a user  Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden.Allows the app to send mail as users in the organization.  NeinNo JaYes
Mail.Send.SharedMail.Send.Shared Senden von E-Mails im Auftrag von anderen BenutzernSend mail on behalf of others  Die App kann E-Mails als angemeldeter Benutzer senden, einschließlich Versand im Namen anderer Benutzer.Allows the app to send mail as the signed-in user, including sending on-behalf of others.  NeinNo NeinNo
MailboxSettings.ReadMailboxSettings.Read Postfacheinstellungen des Benutzers lesenRead user mailbox settings  Die App kann die Postfacheinstellungen des Benutzers lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails.Allows the app to the read user's mailbox settings. Does not include permission to send mail. NeinNo JaYes
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Benutzerpostfacheinstellungen lesen und schreibenRead and write user mailbox settings  Die App kann die Postfacheinstellungen des Benutzers erstellen, lesen, aktualisieren und löschen.Allows the app to create, read, update, and delete user's mailbox settings. Enthält keine Berechtigung zum direkten Senden von E-Mail-Nachrichten, jedoch kann die App Regeln erstellen, die Nachrichten weiterleiten oder umleiten kann.Does not include permission to directly send mail, but allows the app to create rules that can forward or redirect messages. NeinNo JaYes

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Mail.ReadMail.Read Lesezugriff auf E-Mails in allen PostfächernRead mail in all mailboxes Die App kann E-Mails in allen Postfächern ohne einen angemeldeten Benutzer lesen.Allows the app to read mail in all mailboxes without a signed-in user. JaYes
Mail.ReadBasic.AllMail.ReadBasic.All Grundlegende E-Mails aller Benutzer lesen (Vorschau)Read all users basic mail (preview) (Vorschau) Ermöglicht der App, die Postfächer aller Benutzer zu lesen, außer Text, previewBody, Anlagen und alle erweiterten Eigenschaften.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. Enthält keine Berechtigungen zum Durchsuchen von Nachrichten.Does not include permissions to search messages. JaYes NeinNo
Mail.ReadWriteMail.ReadWrite Lese- und Schreibzugriff auf E-Mails in allen PostfächernRead and write mail in all mailboxes Die App kann E-Mails in allen Postfächern ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails.Allows the app to create, read, update, and delete mail in all mailboxes without a signed-in user. Does not include permission to send mail. JaYes
Mail.SendMail.Send E-Mails als beliebiger Benutzer sendenSend mail as any user Die App kann E-Mails im Namen eines beliebigen Benutzers ohne einen angemeldeten Benutzer senden.Allows the app to send mail as any user without a signed-in user. JaYes
MailboxSettings.ReadMailboxSettings.Read Alle Benutzerpostfacheinstellungen lesenRead all user mailbox settings  Die App kann Benutzerpostfacheinstellungen ohne einen angemeldeten Benutzer lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails.Allows the app to read user's mailbox settings without a signed-in user. Does not include permission to send mail. NeinNo
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Alle Benutzerpostfacheinstellungen lesen und schreibenRead and write all user mailbox settings Die App kann Benutzerpostfacheinstellungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails.Allows the app to create, read, update, and delete user's mailbox settings without a signed-in user. Does not include permission to send mail. JaYes

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Mail.Read“, „Mail.ReadWrite“, „Mail.Send“, „MailboxSettings.Read“ oder „MailboxSettings.ReadWrite“ besitzt.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, or MailboxSettings.ReadWrite.

BemerkungenRemarks

Mail.Read.Shared, Mail.ReadWrite.Shared und Mail.Send.Shared gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.Mail.Read.Shared, Mail.ReadWrite.Shared, and Mail.Send.Shared are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Mit der Berechtigung Mail.Send oder Mail.Send.Shared kann eine App E-Mails senden und eine Kopie im Ordner „Gesendete Elemente“ des Benutzers speichern, selbst wenn die App keine entsprechende Mail.ReadWrite- oder Mail.ReadWrite.Shared-Berechtigung verwendet.With the Mail.Send or Mail.Send.Shared permission, an app can send mail and save a copy to the user's Sent Items folder, even if the app does not use a corresponding Mail.ReadWrite or Mail.ReadWrite.Shared permission.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Mail.Read: Nachrichten im Posteingang des Benutzers sortiert nach receivedDateTime auflisten (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).Mail.Read: List messages in the user's inbox, sorted by receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: Aller Nachrichten mit Anlagen im Posteingang eines Benutzers suchen, der seinen Posteingang für den angemeldeten Benutzer freigegeben hat (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).Mail.Read.Shared: Find all messages with attachments in a user's inbox that has shared their inbox with the signed-in user (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: Eine Nachricht als gelesen markieren (PATCH /me/messages/{id}).Mail.ReadWrite: Mark a message read (PATCH /me/messages/{id}).
  • Mail.Send: Eine Nachricht senden (POST /me/sendmail).Mail.Send: Send a message (POST /me/sendmail).
  • MailboxSettings.ReadWrite: Die automatische Antwort des Benutzers aktualisieren (PATCH /me/mailboxSettings).MailboxSettings.ReadWrite: Update the user's automatic reply (PATCH /me/mailboxSettings).

AnwendungApplication

  • Mail.Read: Nachrichten von bob@contoso.com suchen (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').Mail.Read: Find messages from bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: Einen neuen Ordner mit dem Namen Expense Reports im Posteingang erstellen (POST /users/{id | userPrincipalName}/mailfolders).Mail.ReadWrite: Create a new folder in the Inbox named Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: Eine Nachricht senden (POST /users/{id | userPrincipalName}/sendmail).Mail.Send: Send a message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: Die Standardzeitzone für das Postfach des Benutzers abrufen (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)MailboxSettings.Read: Get the default timezone for the user's mailbox (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


MitgliedsberechtigungenMember permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Member.Read.HiddenMember.Read.Hidden Ausgeblendete Mitgliedschaften lesenRead hidden memberships Erlaubt es der App, im Namen des angemeldeten Benutzers die Mitgliedschaften aller ausgeblendeten Gruppen und administrativen Einheiten zu lesen, auf die der angemeldete Benutzer Zugriff hat.Allows the app to read the memberships of hidden groups and administrative units on behalf of the signed-in user, for those hidden groups and administrative units that the signed-in user has access to. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Member.Read.HiddenMember.Read.Hidden Alle ausgeblendeten Mitgliedschaften lesenRead all hidden memberships Ermöglicht der App, die Mitgliedschaften ausgeblendeter Gruppen und administrativer Einheiten ohne einen angemeldeten Benutzer zu lesen.Allows the app to read the memberships of hidden groups and administrative units without a signed-in user. JaYes

HinweiseRemarks

Member.Read.Hidden gilt nur für Geschäfts-, Schul- oder Unikonten.Member.Read.Hidden is valid only on work or school accounts.

Die Mitgliedschaft in einigen Office 365-Gruppen kann ausgeblendet werden. Dies bedeutet, dass nur die Mitglieder der Gruppe deren Mitglieder anzeigen können. Dieses Feature ist hilfreich zur Einhaltung von Vorschriften, die erfordern, dass eine Organisation Gruppenmitgliedschaften für Außenstehende ausblendet (z. B. eine Office 365-Gruppe, zu der in einem Kurs angemeldete Teilnehmer gehören).Membership in some Office 365 groups can be hidden. This means that only the members of the group can view its members. This feature can be used to help comply with regulations that require an organization to hide group membership from outsiders (for example, an Office 365 group that represents students enrolled in a class).

VerwendungsbeispielExample usage

DelegiertDelegated

  • Member.Read.Hidden: Lesen aller Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /administrativeUnits/{id}/members)Member.Read.Hidden: Read the members of an administrative unit with hidden membership on behalf of the signed-in user (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Lesen aller Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /groups/{id}/members)Member.Read.Hidden: Read the members of a group with hidden membership on behalf of the signed-in user (GET /groups/{id}/members).

AnwendungApplication

  • Member.Read.Hidden: Die Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft lesen (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Die Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft lesen (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership (GET /groups/{id}/members).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.

NotizberechtigungenNotes permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Notes.ReadNotes.Read OneNote-Benutzernotizbücher lesenRead user OneNote notebooks Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NeinNo JaYes
Notes.CreateNotes.Create OneNote-Benutzernotizbücher erstellenCreate user OneNote notebooks Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NeinNo JaYes
Notes.ReadWriteNotes.ReadWrite OneNote-Benutzernotizbücher lesen und schreibenRead and write user OneNote notebooks Ermöglicht der App, OneNote-Notizbücher im Namen des angemeldeten Benutzers zu lesen, freizugeben und zu ändern.Allows the app to read, share, and modify OneNote notebooks on behalf of the signed-in user. NeinNo JaYes
Notes.Read.AllNotes.Read.All Alle OneNote-Notizbücher lesen, auf die der Benutzer zugreifen kannRead all OneNote notebooks that user can access Ermöglicht der App, OneNote-Notizbücher zu lesen, auf die der angemeldete Benutzer in der Organisation Zugriff hat.Allows the app to read OneNote notebooks that the signed-in user has access to in the organization. NeinNo NeinNo
Notes.ReadWrite.AllNotes.ReadWrite.All Alle OneNote-Notizbücher lesen und schreiben, auf die der Benutzer zugreifen kannRead and write all OneNote notebooks that user can access Ermöglicht der App, OneNote-Notizbücher zu lesen, freizugeben und zu ändern, auf die der angemeldete Benutzer in der Organisation Zugriff hat.Allows the app to read, share, and modify OneNote notebooks that the signed-in user has access to in the organization. NeinNo NeinNo
Notes.ReadWrite.CreatedByAppNotes.ReadWrite.CreatedByApp Eingeschränkter Zugriff auf Notizbücher (veraltet)Limited notebook access (deprecated) VeraltetDeprecated
Nicht verwenden. Durch diese Berechtigung werden keine Rechte gewährt.Do not use. No privileges are granted by this permission.
NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Notes.Read.AllNotes.Read.All Alle OneNote-Benutzernotizbücher lesenRead all OneNote notebooks Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.Allows the app to read all the OneNote notebooks in your organization, without a signed-in user. JaYes
Notes.ReadWrite.AllNotes.ReadWrite.All Alle OneNote-Benutzernotizbücher lesen und schreibenRead and write all OneNote notebooks Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, freizugeben und zu ändern.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. JaYes

BemerkungenRemarks

Notes.Read.All und Notes.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.Notes.Read.All and Notes.ReadWrite.All are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Mit der Berechtigung Notes.Create kann eine App die OneNote-Notizbuchhierarchie des angemeldeten Benutzers anzeigen und OneNote-Inhalte (Notizbücher, Abschnittsgruppen, Abschnitte, Seiten usw.) erstellen.With the Notes.Create permission, an app can view the OneNote notebook hierarchy of the signed-in user and create OneNote content (notebooks, section groups, sections, pages, etc.).

Notes.ReadWrite und Notes.ReadWrite.All ermöglichen der App außerdem, die Berechtigungen für den OneNote-Inhalt zu ändern, auf den vom angemeldeten Benutzer zugegriffen werden kann.Notes.ReadWrite and Notes.ReadWrite.All also allow the app to modify the permissions on the OneNote content that can be accessed by the signed-in user.

Für Geschäfts-, Schul- oder Unikonten ermöglichen Notes.Read.All und Notes.ReadWrite.All der App, auf OneNote-Inhalte anderer Benutzer zuzugreifen, für die der angemeldete Benutzer innerhalb der Organisation über Berechtigungen verfügt.For work or school accounts, Notes.Read.All and Notes.ReadWrite.All allow the app to access other users' OneNote content that the signed-in user has permission to within the organization.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Notes.Create: Ein neues Notizbuch für den angemeldeten Benutzer erstellen (POST /me/onenote/notebooks).Notes.Create: Create a new notebooks for the signed-in user (POST /me/onenote/notebooks).
  • Notes.Read: Die Notizbücher des angemeldeten Benutzers lesen (GET /me/onenote/notebooks).Notes.Read: Read the notebooks for the signed-in user (GET /me/onenote/notebooks).
  • Notes.Read.All: Alle Notizbücher abrufen, auf die der angemeldete Benutzer innerhalb der Organisation Zugriff hat (GET /me/onenote/notebooks?includesharednotebooks=true).Notes.Read.All: Get all notebooks that the signed-in user has access to within the organization (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: Die Seite des angemeldeten Benutzers aktualisieren (PATCH /me/onenote/pages/{id}/$value).Notes.ReadWrite: Update the page of the signed-in user (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: Eine Seite im Notizbuch eines anderen Benutzers erstellen, auf das der angemeldete Benutzer innerhalb der Organisation Zugriff hat (POST /users/{id}/onenote/pages).Notes.ReadWrite.All: Create a page in another user's notebook that the signed-in user has access to within the organization (POST /users/{id}/onenote/pages).

AnwendungApplication

  • Notes.Read.All: Alle Benutzernotizbücher in einer Gruppe lesen (GET /groups/{id}/onenote/notebooks).Notes.Read.All: Read all users notebooks in a group (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: Die Seite in einem Notizbuch für einen beliebigen Benutzer in der Organisation aktualisieren (PATCH /users/{id}/onenote/pages/{id}/$value).Notes.ReadWrite.All: Update the page in a notebook for any user in the organization (PATCH /users/{id}/onenote/pages/{id}/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.

BenachrichtigungsberechtigungenNotifications permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Notifications.ReadWrite.CreatedByAppNotifications.ReadWrite.CreatedByApp Bereitstellen und Verwalten von Benachrichtigungen für diese App.Deliver and manage notifications for this app. Ermöglicht der App, ihre Benachrichtigungen im Namen angemeldeter Benutzer zu übermitteln.Allow the app to deliver its notifications on behalf of signed-in users. Ermöglicht der App außerdem, die Benachrichtigungselemente des Benutzers für diese App zu lesen, zu aktualisieren und zu löschen.Also allows the app to read, update, and delete the user’s notification items for this app. NeinNo

HinweiseRemarks

Notifications.ReadWrite.CreatedByApp gilt sowohl für Microsoft- als auch Geschäfts-, Schul- und Unikonten.Notifications.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts. Die CreatedByApp-Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst die implizite Filterung auf die Ergebnisse basierend auf der Identität der aufrufenden Anwendung anwendet, entweder der Microsoft-Konto-App-ID oder einem Satz von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.The CreatedByApp constraint associated with this permission indicates that the service will apply implicit filtering to results based on the identity of the calling app, either the Microsoft account app ID or a set of app IDs configured for a cross-platform application identity.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Notifications.ReadWrite.CreatedByApp: Veröffentlichen einer benutzerorientierten Benachrichtigung, die dann an mehrere Anwendungsclients des Benutzers gesendet werden kann, die an unterschiedlichen Endpunkten ausgeführt werden.Notifications.ReadWrite.CreatedByApp: Publish a user-centric notification, which might then be delivered to the user’s multiple application clients running on different endpoints. (POST /me/notifications/).(POST /me/notifications/).

Berechtigungen für Onlinebesprechungen Online meetings permissions

Delegierte BerechtigungenDelegated permissions

Keine.None.


AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
OnlineMeetings.Read.AllOnlineMeetings.Read.All Lesen von Onlinebesprechungsdetails aus der App (Vorschau)Read Online Meeting details from the app (preview) Ermöglicht der App, Onlinebesprechungsdetails in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.Allows the app to read Online Meeting details in your organization, without a signed-in user. JaYes
OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All Lesen und Erstellen von Onlinebesprechungen aus der App (Vorschau) im Namen eines BenutzersRead and Create Online Meetings from the app (preview) on behalf of a user Ermöglicht der App, Onlinebesprechungen in Ihrer Organisation im Namen eines Benutzers ohne einen angemeldeten Benutzer zu lesen.Allows the app to create Online Meetings in your organization on behalf of a user, without a signed-in user. JaYes

VerwendungsbeispielExample usage

AnwendungApplication

  • OnlineMeetings.Read.All: Abrufen der Eigenschaften und Beziehungen einer Onlinebesprechung (GET /beta/app/onlinemeetings/{id}).OnlineMeetings.Read.All: Retrieve the properties and relationships of an Online Meeting (GET /beta/app/onlinemeetings/{id}).
  • OnlineMeetings.ReadWrite.All: Erstellen einer Onlinebesprechung (POST /beta/app/onlinemeetings).OnlineMeetings.ReadWrite.All: Create an Online Meeting (POST /beta/app/onlinemeetings).

Hinweis: Durch Erstellen einer Onlinebesprechung wird eine Besprechung im Namen eines im Anforderungstext angegebenen Benutzers erstellt; diese wird aber nicht im Kalender des Benutzers angezeigt.Note: Creating an Online Meeting creates a meeting on behalf of a user specified in the request body, but does not show it on the user's Calendar.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für lokale VeröffentlichungsprofileOn-premises Publishing Profiles permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Auf lokale Veröffentlichungsprofile zugreifenAccess On-Premises Publishing Profiles Ermöglicht der App, die Konfiguration des Hybrid-Identitätsdiensts durch Erstellen, Anzeigen, Aktualisieren und Löschen von lokalen veröffentlichten Ressourcen, lokalen Agents und Agentengruppen im Auftrag des angemeldeten Benutzers zu verwalten.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Auf lokale Veröffentlichungsprofile zugreifenAccess On-Premises Publishing Profiles Ermöglicht der App, die Konfiguration des Hybrid-Identitätsdiensts durch Erstellen, Anzeigen, Aktualisieren und Löschen von lokalen veröffentlichten Ressourcen, lokalen Agents und Agentengruppen im Auftrag des angemeldeten Benutzers zu verwalten.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. NeinNo NeinNo

OpenID-BerechtigungenOpenID permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
emailemail E-Mail-Adresse von Benutzern anzeigenView users' email address Ermöglicht der App, die primäre E-Mail-Adresse Ihrer Benutzer zu lesen.Allows the app to read your users' primary email address. NeinNo NeinNo
offline_accessoffline_access Jederzeit auf Daten des Benutzers zugreifenAccess user's data anytime Ermöglicht der App, Benutzerdaten zu lesen und zu aktualisieren, auch wenn diese die App derzeit nicht verwenden.Allows the app to read and update user data, even when they are not currently using the app. NeinNo NeinNo
openidopenid Benutzer anmeldenSign users in Damit können Benutzer sich mit Ihren Geschäfts- oder Schulkonten bei der App anmelden, und die App kann grundlegende Benutzerprofilinformationen lesen.Allows users to sign in to the app with their work or school accounts and allows the app to see basic user profile information. NeinNo NeinNo
profileprofile Grundlegendes Profil von Benutzern anzeigenView users' basic profile Ermöglicht der App, das grundlegende Profil Ihrer Benutzer (Name, Bild, Benutzername) anzuzeigen.Allows the app to see your users' basic profile (name, picture, user name). NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

Keine.None.

HinwBemerkungeneiseRemarks

Sie können diese Berechtigungen verwenden, um Artefakte anzugeben, die in Azure AD-Autorisierungs- und Tokenanforderungen zurückgegeben werden sollen. Sie werden von den Azure AD v1.0- und v2.0-Endpunkten unterschiedlich unterstützt.You can use these permissions to specify artifacts that you want returned in Azure AD authorization and token requests. They are supported differently by the Azure AD v1.0 and v2.0 endpoints.

Beim Azure AD (v1.0)-Endpunkt wird nur die Berechtigung openid verwendet. Sie wird im scope-Parameter in einer Autorisierungsanforderung angegeben, um ein ID-Token zurückzugeben, wenn Sie das OpenID Connect-Protokoll zum Anmelden eines Benutzers bei Ihrer App verwenden. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Webanwendungen mithilfe von Open ID Connect und Azure Active Directory. Damit ein ID-Token erfolgreich zurückgegeben wird, müssen Sie auch sicherstellen, dass die Berechtigung User.Read konfiguriert wird, wenn Sie Ihre App registrieren.With the Azure AD (v1.0) endpoint, only the openid permission is used. You specify it in the scope parameter in an authorization request to return an ID token when you use the OpenID Connect protocol to sign in a user to your app. For more information, see Authorize access to web applications using OpenID Connect and Azure Active Directory. To successfully return an ID token, you must also make sure that the User.Read permission is configured when you register your app.

Beim Azure AD v2.0-Endpunkt geben Sie die Berechtigung offline_access im scope-Parameter an, um explizit ein Aktualisierungstoken anzufordern, wenn Sie das OAuth 2.0- oder OpenID-Protokoll verwenden. Bei OpenID Connect geben Sie die Berechtigung openid zum Anfordern eines ID-Tokens an. Sie können auch die Berechtigung email, die Berechtigung profile oder beide angeben, um zusätzliche Ansprüche im ID-Token zurückzugeben. Sie müssen nicht User.Read angeben, um ein ID-Token mit dem v2.0-Endpunkt zurückzugeben. Weitere Informationen finden Sie unter OpenID Connect -Bereiche.With the Azure AD v2.0 endpoint, you specify the offline_access permission in the scope parameter to explicitly request a refresh token when using the OAuth 2.0 or OpenID Connect protocols. With OpenID Connect, you specify the openid permission to request an ID token. You can also specify the email permission, profile permission, or both to return additional claims in the ID token. You do not need to specify User.Read to return an ID token with the v2.0 endpoint. For more information, see OpenID Connect scopes.

Wichtig In der MSAL (Microsoft Authentication Library) werden derzeit standardmäßig offline_access, openid, profile, und email in Autorisierungs- und Tokenanforderungen angegeben. Wenn Sie diese Berechtigungen explizit angeben, bedeutet dies im Standardfall, dass Azure AD möglicherweise einen Fehler zurückgibt.Important The Microsoft Authentication Library (MSAL) currently specifies offline_access, openid, profile, and email by default in authorization and token requests. This means that, for the default case, if you specify these permissions explicitly, Azure AD may return an error.


Berechtigungen für die OrganisationOrganization permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Organization.Read.AllOrganization.Read.All Organisationsinformationen lesenRead organization information Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Related resources include things like subscribed SKUs and tenant branding information. JaYes NeinNo
Organization.ReadWrite.AllOrganization.ReadWrite.All Organisationsinformationen lesen und schreibenRead and write identity provider information Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Related resources include things like subscribed SKUs and tenant branding information. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Organization.Read.AllOrganization.Read.All Organisationsinformationen lesenRead organization information Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Related resources include things like subscribed SKUs and tenant branding information. JaYes
Organization.ReadWrite.AllOrganization.ReadWrite.All Organisationsinformationen lesen und schreibenRead and write identity provider information Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen und zu schreiben.Allows the app to read and write the organization and related resources, without a signed-in user. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Related resources include things like subscribed SKUs and tenant branding information. JaYes

VerwendungsbeispielExample usage

DelegiertDelegated

  • Organization.Read.All: Organisationsinformation abrufen (GET /organization).Organization.Read.All: Get organization information (GET /organization).
  • Organization.Read.All: SKUs abrufen, die die Organisation abonniert hat (GET /subscribedSkus).Organization.Read.All: Get the SKUs that the organization has subscribed to (GET /subscribedSkus).

AnwendungApplication

  • Organization.ReadWrite.All: Organisationsinformation aktualisieren (beispielsweise technicalNotificationMails) (PATCH /organization/{id}).Organization.ReadWrite.All: Update organization information (such as technicalNotificationMails) (PATCH /organization/{id}).

Berechtigungen von OrganisationskontaktenOrganizational contact permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
OrgContact.Read.AllOrgContact.Read.All Lesen von OrganisationskontaktenRead organizational contacts Ermöglicht der App, alle Kontakte der Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read all TrustFramework Policies on behalf of the signed-in user. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers.These contacts are managed by the organization and are different from a user's personal contacts. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
OrgContact.Read.AllOrgContact.Read.All Lesen von OrganisationskontaktenRead organizational contacts Ermöglicht der App, alle Kontakte der Organisation ohne angemeldeten Benutzer zu lesen.Allows the app to read all contacts in all mailboxes without a signed-in user. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers.These contacts are managed by the organization and are different from a user's personal contacts. JaYes

VerwendungsbeispielExample usage

DelegiertDelegated

  • OrgContact.Read.All: alle Organisationskontakte abrufen (GET /contacts).OrgContact.Read.All: Get all organizational contacts (GET /contacts).

PersonenberechtigungenPeople permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
People.ReadPeople.Read Lesezugriff auf Listen mit für den Benutzer relevanten PersonenRead users' relevant people lists Die App kann eine bewertete Liste relevanter Personen des angemeldeten Benutzers lesen. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten.Allows the app to read a scored list of people relevant to the signed-in user. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). NeinNo JaYes
People.Read.AllPeople.Read.All Lesezugriff auf alle Listen mit für den Benutzer relevanten PersonenRead all users' relevant people lists Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Ermöglicht der App das Durchsuchen des gesamten Verzeichnisses der Organisation des angemeldeten Benutzers.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Also allows the app to search the entire directory of the signed-in user's organization.  JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
People.Read.AllPeople.Read.All Lesezugriff auf alle Listen mit für den Benutzer relevanten PersonenRead all users' relevant people lists Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization.

Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten.The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Ermöglicht der App das Durchsuchen des gesamten Verzeichnisses der Organisation des angemeldeten Benutzers.Also allows the app to search the entire directory of the signed-in user's organization. 
JaYes

HinweiseRemarks

Die People.Read.All-Berechtigung gilt nur für Arbeits- und Schul- sowie Unikonten.The People.Read.All permission is only valid for work and school accounts.

VerwendungsbeispielExample usage

DelegiertDelegated

  • People.Read: Lesezugriff auf eine Liste der relevanten Personen (GET /me/people)People.Read: Read a list of relevant people (GET /me/people)
  • People.Read.All: Lesezugriff auf eine Liste der relevanten Personen für einen anderen Benutzer in der gleichen Organisation (GET /users('{id})/people)People.Read.All: Read a list of relevant people to another user in the same organization (GET /users('{id})/people)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für OrtePlaces permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Place.Read.AllPlace.Read.All Alle Unternehmensorte lesenRead all company places Ermöglicht es der APP, Unternehmensorte (Konferenzräume und Raumlisten) für Kalenderereignisse und andere Anwendungen zu lesen.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Place.Read.AllPlace.Read.All Alle Unternehmensorte lesenRead all company places Ermöglicht es der APP, Unternehmensorte (Konferenzräume und Raumlisten) für Kalenderereignisse und andere Anwendungen zu lesen.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. JaYes

Programme und Programmsteuerung BerechtigungenPrograms and program controls permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
ProgramControl.Read.AllProgramControl.Read.All Alle Programme lesenRead all programs Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen.Allows the app to read programs on behalf of the signed-in user. JaYes NeinNo
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Alle Programme verwaltenManage all programs Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write programs on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
ProgramControl.Read.AllProgramControl.Read.All Alle Programme lesenRead all programs Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen.Allows the app to read programs without a signed-in user. JaYes
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Alle Programme verwaltenManage all programs Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen und zu schreiben.Allows the app to read and write programs without a signed-in user. JaYes

BemerkungenRemarks

ProgramControl.Read.All und ProgramControl.ReadWrite.All gelten nur für Geschäfts- oder Schulkonten.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator.For an app with delegated permissions to read programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.For an app with delegated permissions to write programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


BerichtsberechtigungenReports permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Reports.Read.AllReports.Read.All Alle Verwendungsberichte lesenRead all usage reports Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Office 365 und Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Reports.Read.AllReports.Read.All Alle Verwendungsberichte lesenRead all usage reports Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Office 365 und Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. JaYes

BemerkungenRemarks

Berichtsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.Reports permissions are only valid for work or school accounts.

VerwendungsbeispielExample usage

AnwendungApplication

  • Reports.Read.All: Verwendungsdetailbericht von E-Mail-Apps für einen Zeitraum von 7 Tagen lesen (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)Reports.Read.All: Read usage detail report of email apps with period of 7 days (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All: Aktivitätsdetailbericht von E-Mails mit dem Datum „2017-01-01“ lesen (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)Reports.Read.All: Read activity detail report of email with date of '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All: Office 365-Aktivierungsdetailbericht lesen (GET /reports/Office365Activations(view='Detail')/content)Reports.Read.All: Read Office 365 activations detail report (GET /reports/Office365Activations(view='Detail')/content).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Berechtigungen für die RollenverwaltungRole management permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Lesezugriff auf RBAC-VerzeichniseinstellungenRead directory RBAC settings Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.This includes reading directory role templates, directory roles and memberships. JaYes NeinNo
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Lese- und Schreibzugriff auf RBAC-VerzeichniseinstellungenRead and write Microsoft Intune RBAC settings Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten.Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Lesezugriff auf alle RBAC-VerzeichniseinstellungenRead all directory RBAC settings Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens ohne angemeldeten Benutzer zu lesen.Allows the app to read the role-based access control (RBAC) settings for your company's directory, without a signed-in user. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.This includes reading directory role templates, directory roles and memberships. JaYes
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Lese- und Schreibzugriff auf alle RBAC-VerzeichniseinstellungenRead and write all directory RBAC settings Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens ohne angemeldeten Benutzer zu lesen und zu verwalten.Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, without a signed-in user. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. JaYes

BemerkungenRemarks

Mit der Berechtigung RoleManagement.Read.Directory kann eine Anwendung "directoryRoles" und "directoryRoleTemplates" lesen.With the RoleManagement.Read.Directory permission an application can read directoryRoles and directoryRoleTemplates. Dies umfasst das Lesen von Mitgliedschaftsinformationen für Verzeichnisrollen.This includes reading membership information for directory roles.

Mit der Berechtigung RoleManagement.ReadWrite.Directory kann eine Anwendung "directoryRoles lesen und schreiben ("directoryRoleTemplates" sind schreibgeschützte Ressourcen).With the RoleManagement.ReadWrite.Directory permission an application can read and write directoryRoles (directoryRoleTemplates are readonly resources). Dazu gehören das Hinzufügen von Mitgliedern zu und das Entfernen von Mitgliedern aus Verzeichnisrollen.This includes adding and removing members to and from directory roles.

Berechtigungen zur Rollenverwaltung gelten nur für Geschäfts-, Schul- oder Unikonten.Reports permissions are only valid for work or school accounts.

VerwendungsbeispielExample usage

  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der verfügbaren Rollenvorlagen (GET /directoryRoleTemplates)RoleManagement.Read.Directory: Read the list of available role templates (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der aktivierten Rollen in Ihrem Verzeichnis (GET /directoryRoles)RoleManagement.Read.Directory: Read the list of activated roles in your directory (GET /directoryRoles)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der Mitglieder einer Rolle (GET /directoryRoles/<id>/members)RoleManagement.Read.Directory: Read the list of members for a role (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der auf Verwaltungseinheiten bezogenen Mitglieder einer Rolle (GET /directoryRoles/<id>/scopedMembers)RoleManagement.Read.Directory: Read the list of administrative unit-scoped members for a role (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: Verzeichnisrolle aus einer Rollenvorlage aktivieren (POST /directoryRoles)RoleManagement.ReadWrite.Directory: Activate a directory role from a role template (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/members)RoleManagement.ReadWrite.Directory: Add a member to a directory role (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: Auf Verwaltungseinheiten bezogenes Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/scopedMembers)RoleManagement.ReadWrite.Directory: Add an administrative unit-scoped member to a directory role (POST /directoryRoles/<id>/scopedMembers)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


SicherheitsberechtigungenSecurity permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
SecurityEvents.Read.AllSecurityEvents.Read.All Lesen von Sicherheitsereignissen der OrganisationRead your organization’s security events Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security events on behalf of the signed-in user. JaYes NeinNo
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Lesen und Aktualisieren von Sicherheitsereignissen der OrganisationRead and update your organization’s security events Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security events on behalf of the signed-in user. Ermöglicht der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen im Namen des angemeldeten Benutzers zu aktualisieren.Also allows the app to update editable properties in security events on behalf of the signed-in user. JaYes NeinNo
SecurityActions.Read.AllSecurityActions.Read.All Lesen von Sicherheitsaktionen der OrganisationRead your organization's security actions Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security actions on behalf of the signed-in user. JaYes NeinNo
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Lesen und Aktualisieren von Sicherheitsaktionen der OrganisationRead and update your organization's security actions Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security actions on behalf of the signed-in user. JaYes NeinNo
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitztManage threat indicators this app creates or owns Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security actions on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
SecurityEvents.Read.AllSecurityEvents.Read.All Lesen von Sicherheitsereignissen der OrganisationRead your organization’s security events Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation.Allows the app to read your organization’s security events. JaYes
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Lesen und Aktualisieren von Sicherheitsereignissen der OrganisationRead and update your organization’s security events Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation.Allows the app to read your organization’s security events. Ermöglicht es der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen zu aktualisieren.Also allows the app to update editable properties in security events. JaYes
SecurityActions.Read.AllSecurityActions.Read.All Lesen von Sicherheitsereignissen der OrganisationRead your organization’s security events Ermöglicht der App das Lesen von Sicherheitsaktionen der Organisation.Allows the app to read your organization’s security actions. JaYes
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Erstellen und lesen von Sicherheitsaktionen der OrganisationCreate and read your organization's security actions Ermöglicht der App das Lesen oder Erstellen von Sicherheitsaktionen ohne einen angemeldeten Benutzer.Allows the app to read or create security actions, without a signed-in user. JaYes
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitztManage threat indicators this app creates or owns Ermöglicht der App das Erstellen und vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) ohne einen angemeldeten Benutzer.Allows the app to create threat indicators, and fully manage those threat indicators (read, update and delete), without a signed-in user. Die App kann keine Bedrohungsindikatoren aktualisieren, die sie nicht besitzt.It cannot update any threat indicators it does not own. JaYes

BemerkungenRemarks

Sicherheitsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.Security permissions are valid only on work or school accounts.

VerwendungsbeispielExample usage

Delegiert und AnwendungDelegated and Application

  • SecurityEvents.Read.All: Lesen der Liste aller Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (GET /beta/security/alerts)SecurityEvents.Read.All: Read the list of all security alerts from all licensed security providers available to your tenant (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: Aktualisieren oder Lesen der Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (PATCH /beta/security/alerts/{id})SecurityEvents.ReadWrite.All: Update or read security alerts from all licensed security providers available to your tenant (PATCH /beta/security/alerts/{id})

WebsiteberechtigungenSites permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Sites.Read.AllSites.Read.All Elemente in allen Websitesammlungen lesenRead items in all site collections Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu lesen.Allows the app to read documents and list items in all site collections on behalf of the signed-in user. NeinNo NeinNo
Sites.ReadWrite.AllSites.ReadWrite.All Lese-/Schreibzugriff auf Elemente in allen WebsitesammlungenRead and write items in all site collections Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu bearbeiten oder zu löschen.Allows the app to edit or delete documents and list items in all site collections on behalf of the signed-in user. NeinNo NeinNo
Sites.Manage.AllSites.Manage.All Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen WebsitesammlungenCreate, edit, and delete items and lists in all site collections Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu verwalten und zu erstellen.Allows the app to manage and create lists, documents, and list items in all site collections on behalf of the signed-in user. NeinNo NeinNo
Sites.FullControl.AllSites.FullControl.All Sie benötigen Vollzugriff auf alle Websitesammlungen.Have full control of all site collections Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen im Namen des angemeldeten Benutzers zu erlangen.Allows the app to have full control to SharePoint sites in all site collections on behalf of the signed-in user. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
Sites.Read.AllSites.Read.All Elemente in allen Websitesammlungen lesenRead items in all site collections Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer lesen.Allows the app to read documents and list items in all site collections without a signed in user. JaYes
Sites.ReadWrite.AllSites.ReadWrite.All Lese-/Schreibzugriff auf Elemente in allen WebsitesammlungenRead and write items in all site collections Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen.Allows the app to create, read, update, and delete documents and list items in all site collections without a signed in user. JaYes
Sites.Manage.AllSites.Manage.All Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen WebsitesammlungenCreate, edit, and delete items and lists in all site collections Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer zu verwalten und zu erstellen.Allows the app to manage and create lists, documents, and list items in all site collections without a signed-in user. JaYes
Sites.FullControl.AllSites.FullControl.All Sie benötigen Vollzugriff auf alle Websitesammlungen.Have full control of all site collections Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen ohne angemeldeten Benutzer zu erlangen.Allows the app to have full control to SharePoint sites in all site collections without a signed-in user. JaYes

HinwBemerkungeneiseRemarks

Websiteberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.Sites permissions are valid only on work or school accounts.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Sites.Read.All: Die Listen auf der SharePoint-Stammwebsite lesen (GET /v1.0/sites/root/lists)Sites.Read.All: Read the lists on the SharePoint root site (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All: Neue Listenelemente in einer SharePoint-Liste erstellen (POST /v1.0/sites/root/lists/123/items)Sites.ReadWrite.All: Create new list items in a SharePoint list (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All: Neue Liste zu einer SharePoint-Website hinzufügen (POST /v1.0/sites/root/lists)Sites.Manage.All: Add a new list to a SharePoint site (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All: Vollständiger Zugriff auf SharePoint-Websites und -Listen.Sites.FullControl.All: Complete access to SharePoint sites and lists.

AufgabenberechtigungenTasks permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Tasks.ReadTasks.Read Benutzeraufgaben lesen (Vorschau)Read user tasks (preview) Ermöglicht der App, Benutzeraufgaben zu lesen.Allows the app to read user tasks. NeinNo JaYes
Tasks.Read.SharedTasks.Read.Shared Benutzeraufgaben und freigegebene Aufgaben lesen (Vorschau)Read user and shared tasks (preview) Ermöglicht der App, Aufgaben zu lesen, für die ein Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben.Allows the app to read tasks a user has permissions to access, including their own and shared tasks. NeinNo NeinNo
Tasks.ReadWriteTasks.ReadWrite Benutzeraufgaben und -container erstellen, lesen, aktualisieren und löschen (Vorschau)Create, read, update and delete user tasks and containers (preview) Ermöglicht der App, Aufgaben und Container (und darin enthaltene Aufgaben), die dem angemeldeten Benutzer zugewiesen oder für diesen freigegeben sind, zu erstellen, zu lesen, zu aktualisieren und zu löschen.Allows the app to create, read, update and delete tasks and containers (and tasks in them) that are assigned to or shared with the signed-in user. NeinNo JaYes
Tasks.ReadWrite.SharedTasks.ReadWrite.Shared Benutzeraufgaben und freigegebene Aufgaben lesen und schreiben (Vorschau)Read and write user and shared tasks (preview) Ermöglicht der App, Aufgaben zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die ein Benutzer über Berechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben.Allows the app to create, read, update, and delete tasks a user has permissions to, including their own and shared tasks. NeinNo NeinNo

AnwendungsberechtigungenApplication permissions

Keine.None.

HinwBemerkungeneiseRemarks

_Aufgaben_berechtigungen werden zum Steuern des Zugriffs für Outlook-Aufgaben verwendet. Der Zugriff auf Microsoft Planner-Aufgaben wird von _Gruppen_berechtigungen gesteuert.Tasks permissions are used to control access for Outlook tasks. Access for Microsoft Planner tasks is controlled by Group permissions.

Freigegebene Berechtigungen werden derzeit nur für Geschäfts-, Schul- oder Unikonten unterstützt. Selbst mit freigegebenen Berechtigungen können Fehler bei Lese- oder Schreibvorgängen auftreten, wenn der Benutzer, dem der freigegebene Inhalt gehört, dem zugreifenden Benutzer keine Berechtigungen zum Ändern von Inhalten im Ordner gewährt hat.Shared permissions are currently only supported for work or school accounts. Even with Shared permissions, reads and writes may fail if the user who owns the shared content has not granted the accessing user permissions to modify content within the folder.

VerwendungsbeispielExample usage

DelegiertDelegated

  • Tasks.Read: Alle Aufgaben im Postfach eines Benutzers abrufen (GET /me/outlook/tasks).Tasks.Read: Get all tasks in a user's mailbox (GET /me/outlook/tasks).
  • Tasks.Read.Shared: Auf Aufgaben in einem Ordner zugreifen, der von einem anderen Benutzer in Ihrer Organisation für Sie freigegeben wurde (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).Tasks.Read.Shared: Access tasks in a folder shared to you by another user in your organization (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: Ein Ereignis zum Standardaufgabenordner des Benutzers hinzufügen (POST /me/outlook/tasks).Tasks.ReadWrite: Add an event to the user's default task folder (POST /me/outlook/tasks).
  • Tasks.Read: Alle unerledigten Aufgaben im Postfach eines Benutzers abrufen (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').Tasks.Read: Get all uncompleted tasks in a user's mailbox (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: Eine Aufgabe im Postfach eines Benutzers aktualisieren (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).Tasks.ReadWrite: Update a task in a user's mailbox (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: Eine Aufgabe im Namen eines anderen Benutzers ausführen (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).Tasks.ReadWrite.Shared: Complete a task on behalf of another user (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Nutzungsbedingungen für BerechtigungenTerms of use permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Agreement.Read.AllAgreement.Read.All Lesen aller Vereinbarungen der Nutzungsbedingungen.Read all terms of use agreements Ermöglicht der App, Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read terms of use agreements on behalf of the signed-in user. JaYes NeinNo
Agreement.ReadWrite.AllAgreement.ReadWrite.All Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen.Read and write all terms of use agreements Ermöglicht der App, die Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write terms of use agreements on behalf of the signed-in user. JaYes NeinNo
AgreementAcceptance.ReadAgreementAcceptance.Read Lesen der Annahmestatus der NutzungsbedingungenRead user terms of use acceptance statuses Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. JaYes NeinNo
AgreementAcceptance.Read.AllAgreementAcceptance.Read.All Lesen der Annahmestatus der Nutzungsbedingungen, auf die der Benutzer zugreifen kannRead terms of use acceptance statuses that user can access Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. JaYes NeinNo

HinweiseRemarks

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.All the permissions above are valid only for work or school accounts.

Damit eine App alle Vereinbarungen oder Vereinbarungsannahmen mit delegierten Berechtigungen lesen oder schreiben kann, muss der angemeldete Benutzer der Rolle „Globaler Administrator“, „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“ zugewiesen sein.For an app to read or write all agreements or agreement acceptances with delegated permissions, the signed-in user must be assigned the Global Administrator, Conditional Access Administrator or Security Administrator role. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

VerwendungsbeispielExample usage

DelegiertDelegated

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:The following usages are valid for both delegated permissions:

  • Agreement.Read.All: Lesen aller Vereinbarungen der Nutzungsbedingungen (GET /beta/agreements)Agreement.Read.All: Read all terms of use agreements (GET /beta/agreements)
  • Agreement.ReadWrite.All: Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen (POST /beta/agreements)Agreement.ReadWrite.All: Read and write all terms of use agreements (POST /beta/agreements)
  • AgreementAcceptance.Read: Lesen der Annahmestatus der Nutzungsbedingungen (GET /beta/me/agreementAcceptances)AgreementAcceptance.Read Read user terms of use acceptance statuses (GET /beta/me/agreementAcceptances)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


Vertrauens-Framework-Richtlinie – BerechtigungenTrust Framework policy permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Lesen der Richtlinien Ihrer OrganisationRead your organization's policies Ermöglicht der App, die Richtlinien Ihrer Organisation im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security events on behalf of the signed-in user. JaYes NeinNo
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework Lesen und Schreiben der Vertrauensframework-Richtlinien Ihrer OrganisationRead and write your organization's trust framework policies Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. JaYes NeinNo

BemerkungenRemarks

Das Geschäfts-, Schul- oder Unikonto muss ein globaler Administrator des Mandanten sein.The work or school account must be a global administrator of the tenant.

VerwendungsbeispielExample usage

DelegiertDelegated

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:The following usages are valid for both delegated permissions:

  • Policy.Read.All: Lesen der Richtlinien Ihrer Organisation(GET /beta/trustFramework/policies)Policy.Read.All: Read all trustFramework policies (GET /beta/trustFramework/policies)
  • Policy.ReadWrite.TrustFramework: Vertrauensframework-Richtlinien für Ihre Organisation lesen und schreiben (POST /beta/trustFramework/policies)Policy.ReadWrite.TrustFramework: Read and write your organization's trust framework policies (POST /beta/trustFramework/policies)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


BenutzerberechtigungenUser permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
User.ReadUser.Read Anmelden und Benutzerprofil lesenSign-in and read user profile Damit können Benutzer sich bei der App anmelden, und die App kann das Profil von angemeldeten Benutzern lesen. Die App kann auch grundlegende Unternehmensinformationen von angemeldeten Benutzern lesen.Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users. NeinNo JaYes
User.ReadWriteUser.ReadWrite Lese- und Schreibzugriff auf BenutzerprofileRead and write access to user profile Ermöglicht der App, das vollständige Profil des angemeldeten Benutzers zu lesen.Allows the app to read the signed-in user's full profile. Darüber hinaus kann die App die Profilinformationen des angemeldeten Benutzers in seinem Namen aktualisieren.It also allows the app to update the signed-in user's profile information on their behalf. NeinNo JaYes
User.ReadBasic.AllUser.ReadBasic.All Grundlegende Profile aller Benutzer lesenRead all users' basic profiles Ermöglicht der App, einen grundlegenden Satz von Profileigenschaften anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read a basic set of profile properties of other users in your organization on behalf of the signed-in user. Dazu gehören der Anzeigename, der Vor-und Nachname, die E-Mail-Adresse, Durchwahlen und Foto.This includes display name, first and last name, email address, open extensions and photo. Ermöglicht der App auch, das vollständige Profil des angemeldeten Benutzers zu lesen.Also allows the app to read the full profile of the signed-in user. NeinNo NeinNo
User.Read.AllUser.Read.All Vollständige Profile aller Benutzer lesenRead all users' full profiles Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.Allows the app to read the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. JaYes NeinNo
User.ReadWrite.AllUser.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller BenutzerRead and write all users' full profiles Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App außerdem, im Namen des angemeldeten Benutzers Benutzer zu erstellen und zu löschen sowie Benutzerkennwörter zurückzusetzen.Allows the app to read and write the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Also allows the app to create and delete users as well as reset user passwords on behalf of the signed-in user. JaYes NeinNo
User.Invite.AllUser.Invite.All Gastbenutzer zur Organisation einladenInvite guest users to the organization Ermöglicht der App, Gastbenutzer im Namen des angemeldeten Benutzers zu Ihrer Organisation einzuladen.Allows the app to invite guest users to your organization, on behalf of the signed-in user. JaYes NeinNo
User.Export.AllUser.Export.All Daten des Benutzers exportierenExport users' data Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren. Dies muss von einem Unternehmensadministrator ausgeführt werden.Allows the app to export an organizational user's data, when performed by a Company Administrator. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required
User.Read.AllUser.Read.All Lesezugriff auf vollständige Profile aller BenutzerRead all users' full profiles Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichte und Vorgesetzte von anderen Benutzern in Ihrer Organisation ohne angemeldeten Benutzers zu lesen.Allows the app to read the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. JaYes
User.ReadWrite.AllUser.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller BenutzerRead and write all users' full profiles Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Ermöglicht der App außerdem, Benutzer zu erstellen, die kein Administrator sind. Ermöglicht nicht das Zurücksetzen von Benutzerkennwörtern.Allows the app to read and write the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Also allows the app to create and delete non-administrative users. Does not allow reset of user passwords. JaYes
User.Invite.AllUser.Invite.All Gastbenutzer zur Organisation einladenInvite guest users to the organization Ermöglicht der App, Gastbenutzer ohne einen angemeldeten Benutzer zu Ihrer Organisation einzuladen.Allows the app to invite guest users to your organization, without a signed-in user. JaYes
User.Export.AllUser.Export.All Daten des Benutzers exportierenExport users' data Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren, ohne dass der Benutzer angemeldet sein muss.Allows the app to export organizational users' data, without a signed-in user. JaYes

BemerkungenRemarks

Mit der Berechtigung User.Read kann eine App auch die grundlegenden Unternehmensinformationen des angemeldeten Benutzers für ein Geschäfts-, Schul- oder Unikonto über die organization-Ressource lesen. Die folgenden Eigenschaften sind verfügbar: id, displayName und verifiedDomains.With the User.Read permission, an app can also read the basic company information of the signed-in user for a work or school account through the organization resource. The following properties are available: id, displayName, and verifiedDomains.

Für Geschäfts-, Schul- oder Unikonten enthält das vollständige Profil alle deklarierten Eigenschaften der User-Ressource. Bei Lesevorgängen wird standardmäßig nur eine begrenzte Anzahl von Eigenschaften zurückgegeben. Um Eigenschaften zu lesen, die nicht im Standardsatz enthalten sind, verwenden Sie $select. Die Standardeigenschaften sind folgende:For work or school accounts, the full profile includes all of the declared properties of the User resource. On reads, only a limited number of properties are returned by default. To read properties that are not in the default set, use $select. The default properties are:

  • displayNamedisplayName
  • givenNamegivenName
  • jobTitlejobTitle
  • mailmail
  • mobilePhonemobilePhone
  • officeLocationofficeLocation
  • preferredLanguagepreferredLanguage
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Die delegierten Berechtigungen User.ReadWrite und User.Readwrite.All ermöglichen der App, die folgenden Profileigenschaften für Geschäfts-, Schul- oder Unikonten zu aktualisieren:User.ReadWrite and User.Readwrite.All delegated permissions allow the app to update the following profile properties for work or school accounts:

  • aboutMeaboutMe
  • birthdaybirthday
  • hireDatehireDate
  • interestsinterests
  • mobilePhonemobilePhone
  • mySitemySite
  • pastProjectspastProjects
  • Fotophoto
  • preferredNamepreferredName
  • responsibilitiesresponsibilities
  • schoolsschools
  • skillsskills

Mit der Anwendungsberechtigung User.ReadWrite.All kann die App alle deklarierten Eigenschaften von Geschäfts-, Schul- oder Unikonten mit Ausnahme des Kennworts aktualisieren.With the User.ReadWrite.All application permission, the app can update all of the declared properties of work or school accounts except for password.

Mit der delegierten- oder Anwendungsberechtigung User.ReadWrite.All ist das Aktualisieren der businessPhones, mobilePhone oder otherMails eines anderen Benutzers nur für Benutzer zulässig, die keine Administratoren sind oder denen eine der folgenden Rollen zugewiesen wurde: Verzeichnis lesen, Gasteinladender, Nachrichtencenter-Leser und Berichts-Leser.With the User.ReadWrite.All delegated or application permission, updating another user's businessPhones, mobilePhone or otherMails is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Weitere Details finden Sie unter „Helpdeskadministrator (Kennwort)" in Azure AD – Verfügbare Rollen.For more details, see Helpdesk (Password) Administrator in Azure AD available roles.

Zum Lesen oder Schreiben von direkten Mitarbeitern (directReports) oder des Vorgesetzten (manager) eines Geschäfts-, Schul- oder Unikontos benötigt die App entweder die Berechtigung User.Read.All (schreibgeschützt) oder User.ReadWrite.All.To read or write direct reports (directReports) or the manager (manager) of a work or school account, the app must have either User.Read.All (read only) or User.ReadWrite.All.

Die Berechtigung User.ReadBasic.All schränkt den App-Zugriff auf einen begrenzten Satz von Eigenschaften ein, der als grundlegendes Profil bezeichnet wird. Grund hierfür ist, dass das vollständige Profil möglicherweise vertrauliche Verzeichnisinformationen enthält. Das grundlegende Profil umfasst lediglich die folgenden Eigenschaften:The User.ReadBasic.All permission constrains app access to a limited set of properties known as the basic profile. This is because the full profile might contain sensitive directory information. The basic profile includes only the following properties:

  • displayNamedisplayName
  • givenNamegivenName
  • mailmail
  • photophoto
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Zum Lesen der Gruppenmitgliedschaften eines Benutzers (memberOf) benötigt die App entweder die Berechtigung Group.Read.All oder Group.ReadWrite.All. Wenn der Benutzer jedoch auch Mitglied in einer directoryRole oder administrativeUnit ist, benötigt die App außerdem effektive Berechtigungen zum Lesen dieser Ressourcen; andernfalls gibt Microsoft Graph einen Fehler zurück. Dies bedeutet, dass die App auch Verzeichnisberechtigungen benötigt; für delegierte Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation, um auf Verzeichnisrollen und administrative Einheiten zuzugreifen.To read the group memberships of a user (memberOf), the app must have either Group.Read.All or Group.ReadWrite.All. However, if the user also has membership in a directoryRole or an administrativeUnit, the app will need effective permissions to read those resources too, or Microsoft Graph will return an error. This means the app will also need Directory permissions, and, for delegated permissions, the signed-in user will also need sufficient privileges in the organization to access directory roles and administrative units.

VerwendungsbeispielExample usage

DelegiertDelegated

  • User.Read: Das vollständige Profil des angemeldeten Benutzers lesen (GET /me).User.Read: Read the full profile for the signed-in user (GET /me).
  • User.ReadWrite: Das Foto des angemeldeten Benutzers aktualisieren (PUT /me/photo/$value).User.ReadWrite: Update the photo of the signed-in user (PUT /me/photo/$value).
  • User.ReadBasic.All: Alle Benutzer suchen, deren Name mit „David“ beginnt (GET /users?$filter=startswith(displayName,'David')).User.ReadBasic.All: Find all users whose name starts with "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: Den Vorgesetzten eines Benutzers lesen (GET /user/{id | userPrincipalName}/manager).User.Read.All: Read a user's manager (GET /user/{id | userPrincipalName}/manager).

AnwendungApplication

  • User.Read.All: Alle Benutzer und Beziehungen über eine Delta-Abfrage lesen (GET /beta/users/delta?$select=displayName,givenName,surname).User.Read.All: Read all users and relationships through delta query (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: Das Foto eines beliebigen Benutzers in der Organisation aktualisieren (PUT /user/{id | userPrincipalName}/photo/$value).User.ReadWrite.All: Update the photo for any user in the organization (PUT /user/{id | userPrincipalName}/photo/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.

Berechtigungen für BenutzeraktivitätenUser Activity permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
UserActivity.ReadWrite.CreatedByAppUserActivity.ReadWrite.CreatedByApp Lesen und Schreiben der App-Aktivität in den Aktivitätsfeed der BenutzerRead and write app activity to users' activity feed Ermöglicht der App, die Aktivitäten des angemeldeten Benutzers in der App zu lesen und eine Bericht zu erstellen.Allows the app to read and report the signed-in user's activity in the app. NeinNo JaYes

AnwendungsberechtigungenApplication permissions

Keine.None.

BemerkungenRemarks

UserActivity.ReadWrite.CreatedByApp gilt sowohl für Microsoft- als auch Geschäfts-, Schul- und Unikonten.UserActivity.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts.

Die CreatedByApp-Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst die implizite Filterung auf die Ergebnisse basierend auf der Identität der aufrufenden Anwendung anwendet, entweder der MSA-App-ID oder einem Satz von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.The CreatedByApp constraint associated with this permission indicates the service will apply implicit filtering to results based on the identity of the calling app, either the MSA app id or a set of app ids configured for a cross-platform application identity.

VerwendungsbeispielExample usage

DelegiertDelegated

  • UserActivity.ReadWrite.CreatedByApp: Abrufen einer Liste der letzten eindeutigen Benutzeraktivitäten basierend auf den zugehörigen Verlaufselementen, die im letzten Tag veröffentlicht wurden.UserActivity.ReadWrite.CreatedByApp: Get a list of recent unique user activities based on associated history items published in the last day. (GET /me/activities/recent).(GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren einer Benutzeraktivität, die vom Benutzer der Anwendung möglicherweise fortgesetzt wird.UserActivity.ReadWrite.CreatedByApp: Publish or update a user activity which may be resumed by the user of the application. (PUT /me/activities/%2Farticle%3F12345).(PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren eines Verlaufselements für eine bestimmte Benutzeraktivität, um den Zeitraum des Benutzereinsatzes darzustellen.UserActivity.ReadWrite.CreatedByApp: Publish or update a history item for a specified user activity in order to represent the period of user engagement. (PUT /me/activities/{id}/historyItems/{id}).(PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: Löschen einer Benutzeraktivität als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten.UserActivity.ReadWrite.CreatedByApp: Delete a user activity in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}).(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: Löschen eines Verlaufselements als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten.UserActivity.ReadWrite.CreatedByApp: Delete a history item in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}/historyItems/{id}).(DELETE /me/activities/{id}/historyItems/{id}).

Berechtigungen für Rollout-Richtlinien für FeaturesFeature rollout policy permissions

Delegierte BerechtigungenDelegated permissions

BerechtigungPermission AnzeigezeichenfolgeDisplay String BeschreibungDescription Administratorzustimmung erforderlichAdmin Consent Required Microsoft-Konto wird unterstütztMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Lesen der Richtlinien Ihrer OrganisationRead your organization's policies Ermöglicht der App, die Richtlinien Ihrer Organisation im Auftrag des angemeldeten Benutzers zu lesen.Allows the app to read your organization’s security events on behalf of the signed-in user. JaYes NeinNo
Policy.ReadWrite.FeatureRolloutPolicy.ReadWrite.FeatureRollout Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer OrganisationRead and write your organization's feature rollout policies Ermöglicht der App, Feature-Rollout-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. Umfasst die Möglichkeit des Zuweisens und Entfernens von Benutzern und Gruppen beim Rollout eines bestimmten Features.Includes abilities to assign and remove users and groups to rollout of a specific feature. JaYes NeinNo

AnwendungsberechtigungenApplication permissions

Keine.None.

BemerkungenRemarks

Das Geschäfts-, Schul- oder Unikonto muss ein globaler Administrator des Mandanten sein.The work or school account must be a global administrator of the tenant.

VerwendungsbeispielExample usage

DelegiertDelegated

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:The following usages are valid for both delegated permissions:

  • Policy.Read.All: Lesen der Richtlinien Ihrer Organisation(GET /beta/directory/featureRolloutPolicies)Policy.Read.All: Read all trustFramework policies (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.FeatureRollout: Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation (POST /beta/directory/featureRolloutPolicies)Policy.ReadWrite.FeatureRollout: Read and write your organization's feature rollout policies (POST /beta/directory/featureRolloutPolicies)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.For more complex scenarios involving multiple permissions, see Permission scenarios.


BerechtigungsszenariosPermission scenarios

In diesem Abschnitt werden einige gängige Szenarios für user und group-Ressourcen in einer Organisation erläutert. In den Tabellen sind die Berechtigungen aufgeführt, die eine App benötigt, um bestimmte Vorgänge auszuführen, die das Szenario erfordert. Beachten Sie, dass in einigen Fällen die Möglichkeit der App zur Ausführung bestimmter Vorgänge davon abhängig ist, ob eine Berechtigung eine Anwendungs- oder eine delegierte Berechtigung ist. Im Falle von delegierten Berechtigungen hängen die effektiven Berechtigungen der App auch von den Berechtigungen des angemeldeten Benutzers innerhalb der Organisation ab. Weitere Informationen finden Sie unter Delegierte Berechtigungen, Anwendungsberechtigungen und effektive Berechtigungen.This section shows some common scenarios that target user and group resources in an organization. The tables show the permissions that an app needs to be able to perform specific operations required by the scenario. Note that in some cases the ability of the app to perform specific operations will depend on whether a permission is an application or delegated permission. In the case of delegated permissions, the app's effective permissions will also depend on the privileges of the signed-in user within the organization. For more information, see Delegated permissions, Application permissions, and effective permissions.

Zugriffsszenarios für die User-RessourceAccess scenarios on the User resource

App-Aufgaben, die den Benutzer betreffenApp tasks involving User Erforderliche BerechtigungenRequired permissions BerechtigungszeichenfolgenPermission strings
Die App möchte die grundlegenden Informationen von anderen Benutzern lesen (nur Anzeigename und Bild), beispielsweise um diese in einer Personenauswahl anzuzeigen.App wants to read other users' basic information (only display name and picture), for example to show in a people picking experience User.ReadBasic.AllUser.ReadBasic.All Grundlegende Profile aller Benutzer lesenRead all user's basic profiles
Die App möchte das vollständige Benutzerprofil des angemeldeten Benutzers lesen (direkte Mitarbeiter, Vorgesetzte usw.).App wants to read complete user profile for signed in user (see direct reports, and manager, etc.) User.ReadUser.Read Anmelden und Lesen von Benutzerprofilen zulassenEnable sign-in and read user profile
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen.App wants to read complete user profile all users User.Read.AllUser.Read.All Lesezugriff auf vollständige Profile aller BenutzerRead all user's full profiles
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen.App wants to read files, mail and calendar information for the signed in user User.Read, Files.Read, Mail.Read, Calendars.ReadUser.Read, Files.Read, Mail.Read, Calendars.Read Anmeldung aktivieren und Lesezugriff auf Benutzerprofil, Lesezugriff auf Benutzerdateien, Lesezugriff auf Benutzer-E-Mails, Lesezugriff auf BenutzerkalenderEnable sign-in and read user profile, Read users' files, Read user mail, Read user calendars
Die App möchte die Dateien des angemeldeten Benutzers (eigene) Dateien und Dateien, die andere Benutzer für den angemeldeten Benutzer (mich) freigegeben haben, lesen.App wants to read the signed-in user's (my) files and files that other users have shared with the signed-in user (me). User.Read, Files.Read, Sites.Read.AllUser.Read, Files.Read, Sites.Read.All Anmeldung aktivieren und Benutzerprofile lesen, Dateien von Benutzern lesen, Artikel in allen Websitesammlungen lesenEnable sign-in and read user profile, Read users' files, Read items in all site collections
Die App möchte das vollständige Benutzerprofil für den angemeldeten Benutzer lesen und schreiben.App wants to read and write complete user profile for signed in user User.ReadWriteUser.ReadWrite Lese- und Schreibzugriff auf BenutzerprofileRead and write access to user profile
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen und schreiben.App wants to read and write complete user profile all users User.ReadWrite.AllUser.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller BenutzerRead and write all user's full profiles
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen und schreiben.App wants to read and write files, mail and calendar information for the signed in user User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWriteUser.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzer-E-Mails, Vollzugriff auf BenutzerkalenderRead and write access to user profile, Read and write access to user profile, Read and write access to user mail, Have full access to user calendars
Die App möchte eine Datenrichtlinien-Verarbeitungsanforderung zum Exportieren der persönlichen Daten eines Benutzers sendenApp wants to submit a data policy operation request to export a user's personal data User.Export.AllUser.Export.All Exportieren der persönlichen Daten eines Benutzers.Export a user'a personal data.

Zugriffsszenarios für die Group-RessourceAccess scenarios on the Group resource

App-Aufgaben, die die Gruppe betreffenApp tasks involving Group Erforderliche BerechtigungenRequired permissions BerechtigungszeichenfolgenPermission strings
Die App möchte die grundlegenden Gruppeninformationen (nur Anzeigename und Bild) lesen, beispielsweise um diese in einer Gruppenauswahl anzuzeigen.App wants to read basic group info (only display name and picture), for example to show in a group picking experience Group.Read.AllGroup.Read.All Lesezugriff auf alle GruppenRead all groups
Die App möchte alle Inhalte in allen Office 365-Gruppen lesen, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer).App wants to read all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.Read.AllGroup.Read.All Lesezugriff auf Elemente in allen Websitesammlungen, Lesezugriff auf alle GruppenRead items in all site collections, Read all groups
Die App möchte alle Inhalte in allen Office 365-Gruppen lesen und schreiben, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer).App wants to read and write all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.ReadWrite.All, Sites.ReadWrite.AllGroup.ReadWrite.All, Sites.ReadWrite.All Lese- und Schreibzugriff auf alle Gruppen, Bearbeiten oder Löschen von Artikeln in allen WebsitesammlungenRead and write all groups, Edit or delete items in all site collections
Die App möchte eine Office 365-Gruppe ermitteln (suchen). Der Benutzer kann eine bestimmte Gruppe suchen und aus der Aufzählungsliste eine Gruppe auswählen, damit der Benutzer der Gruppe beitreten kann.App wants to discover (find) an Office 365 group. It allows the user to search for a particular group and choose one from the enumerated list to allow the user to join the group. Group.ReadWrite.AllGroup.ReadWrite.All Schreib-/Lesezugriff auf alle GruppenRead and write all groups
Die App möchte über AAD Graph eine Gruppe erstellen.App wants to create a group through AAD Graph Group.ReadWrite.AllGroup.ReadWrite.All Schreib-/Lesezugriff auf alle GruppenRead and write all groups