Microsoft Graph-Berechtigungsreferenz

Damit Ihre App auf Daten in Microsoft Graph zugreifen kann, muss der Benutzer oder Administrator ihr die korrekten Berechtigungen über einen Einwilligungsvorgang erteilen. In diesem Thema sind die Berechtigungen aufgelistet, die mit jedem wichtigen Satz von Microsoft Graph-APIs verbunden sind. Es enthält auch Anleitungen zur Verwendung der Berechtigungen.

Hinweis

Als bewährte Methode sollten Sie die Berechtigungen mit den wenigsten Rechten anfordern, die Ihre App benötigt, um auf Daten zuzugreifen und korrekt zu funktionieren. Die Anforderung von Berechtigungen mit mehr als den erforderlichen Rechten ist im Hinblick auf die Sicherheit nicht zu empfehlen und kann dazu führen, dass Benutzer ihre Zustimmung verweigern und die Nutzung Ihrer App beeinträchtigt wird.

Um mehr über die Funktionsweise von Berechtigungen zu erfahren, gehen Sie zuGrundlagen zu Authentifizierung und Berechtigungen und schauen Sie sich das folgende Video an.

Microsoft Graph-Berechtigungsnamen

Die Namen von Microsoft Graph-Berechtigungen entsprechen einem einfachen Muster: Ressource.Vorgang.Einschränkung. Beispielsweise gewährt User.Read die Berechtigung zum Lesen des Profils des angemeldeten Benutzers, User.ReadWrite gewährt die Berechtigung zum Lesen und Ändern des Profils des angemeldeten Benutzers, und Mail.Send gewährt die Berechtigung zum Senden von E-Mails im Namen des angemeldeten Benutzers.

Das Element Einschränkung des Namens bestimmt das potenzielle Ausmaß von Zugriff, den Ihre App im Verzeichnis hat. Derzeit unterstützt Microsoft Graph die folgenden Einschränkungen:

  • All gewährt der App die Berechtigung, die Vorgänge für alle Ressourcen des angegebenen Typs in einem Verzeichnis auszuführen. Beispielsweise gewährt User.Read.All der App potenziell Rechte zum Lesen der Profile aller Benutzer in einem Verzeichnis.
  • Shared gewährt der App die Berechtigung, die Vorgänge für Ressourcen auszuführen, die andere Benutzer für den angemeldeten Benutzer freigegeben haben. Diese Einschränkung wird hauptsächlich für Outlook-Ressourcen wie E-Mail, Kalender und Kontakte verwendet. Beispielsweise gewährt Mail.Read.Shared Rechte zum Lesen von E-Mails im Postfach des angemeldeten Benutzers sowie von E-Mails in Postfächern, die andere Benutzer in der Organisation für den angemeldeten Benutzer freigegeben haben.
  • AppFolder gewährt der App die Berechtigung, Dateien in einem bestimmten Ordner in OneDrive zu lesen und zu schreiben. Diese Einschränkung ist nur für Dateiberechtigungen verfügbar und gilt nur für Microsoft-Konten.
  • Wenn keine Einschränkung angegeben wird, kann die App die Vorgänge nur für die Ressourcen ausführen, die im Besitz des angemeldeten Benutzers sind. Beispielsweise gewährt User.Read Rechte zum Lesen nur des Profils des angemeldeten Benutzers, und Mail.Read gewährt die Berechtigung zum Lesen nur der E-Mails im Postfach des angemeldeten Benutzers.

Hinweis: In delegierten Szenarios sind die Ihrer App gewährten effektiven Berechtigungen möglicherweise durch die Rechte des angemeldeten Benutzers in der Organisation eingeschränkt.

Microsoft-Konten und Geschäfts-, Schul- oder Unikonten

Nicht alle Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten. In der Spalte Microsoft-Konto wird unterstützt für die einzelnen Berechtigungsgruppen finden Sie Informationen darüber, ob eine bestimmte Berechtigung für Microsoft-Konten und/oder Geschäfts-, Schul- oder Unikonten gültig ist.

Status der Berechtigungsverfügbarkeit

Microsoft Graph-Berechtigungen im Azure-Portal sind im Allgemeinen verfügbar und im GA-Status für alle Apps verwendbar, mit Ausnahme einiger Sets, die sich im Vorschau- oder im privaten Vorschaustatus befinden. Berechtigungen in der Vorschau sind öffentlich verfügbar. Diese Berechtigungen können sich ändern und werden möglicherweise nicht in den Status ‚Allgemein verfügbar‘ heraufgestuft. Berechtigungen im Status ‚Private Vorschau‘ sind für das Publikum nicht verfügbar und werden dies möglicherweise auch niemals. Verwenden Sie in den Produktions-Apps keine Berechtigungen im Vorschau- oder im privaten Vorschaustatus.

Benutzer- und Gruppensucheinschränkungen für Gastbenutzer in Organisationen

Benutzer- und Gruppensuchfunktionen ermöglichen der App, im Verzeichnis einer Organisation nach beliebigen Benutzern oder Gruppen zu suchen, indem der /users- oder /groups-Ressourcensatz abgefragt wird (z. B. https://graph.microsoft.com/v1.0/users). Diese Funktion steht Administratoren und Benutzern zur Verfügung, nicht jedoch Gastbenutzern.

Wenn der angemeldete Benutzer ein Gastbenutzer ist, kann er abhängig von den einer App gewährten Berechtigungen das Profil eines bestimmten Benutzers oder einer bestimmten Gruppe lesen (z. B. https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); er kann jedoch nicht den /users- oder /groups-Ressourcensatz abfragen, wodurch potenziell mehr als eine einzelne Ressource zurückgegeben wird.

Mit den entsprechenden Berechtigungen kann die App die Profile von Benutzern oder Gruppen lesen, die über Links in Navigationseigenschaften abgerufen werden, beispielsweise /users/{id}/directReports oder /groups/{id}/members.

Eingeschränkte Informationen für unzugängliche Mitgliedsobjekte zurückgegeben

Containerobjekte, z. B. Gruppen, unterstützen Mitglieder verschiedener Typen, z. B. Benutzer und Geräte. Wenn eine Anwendung die Zugehörigkeit zu einem Containerobjekt abfragt und keine Berechtigung zum Lesen eines bestimmten Typs hat, werden Mitglieder dieses Typs zurückgegeben, jedoch mit eingeschränkten Informationen. Die Anwendung erhält eine 200-Antwort und eine Sammlung von Objekten. Für die Objekttypen, welche die Anwendung über Leseberechtigungen verfügt, werden vollständige Informationen zurückgegeben. Für die Objekttypen, welche die Anwendung nicht lesen darf, wird nur der Objekttyp und die ID zurückgegeben.

Dies gilt für alle Beziehungen, die vom Typ directoryObject sind (nicht nur für Mitgliederverknüpfungen). Beispiele sind: /groups/{id}/members, /users/{id}/memberOf oder me/ownedObjects.

Nehmen wir zum Beispiel an, eine Anwendung hat die Berechtigungen User.Read.All und Group.Read.All für Microsoft Graph. Eine Gruppe wurde erstellt und diese Gruppe enthält einen Benutzer, eine Gruppe und ein Gerät. Die Anwendung ruft Gruppenmitglieder auflisten auf. Die Anwendung hat Zugriff auf die Benutzer- und Gruppenobjekte in der Gruppe, aber nicht auf das Geräteobjekt. In der Antwort werden alle ausgewählten Eigenschaften des Benutzer- und Gruppenobjekts zurückgegeben. Für das Geräteobjekt werden jedoch nur eingeschränkte Informationen zurückgegeben. Für das Gerät werden Datentyp und Objekt-ID zurückgegeben, aber alle anderen Eigenschaften weisen den Wert NULL auf. Apps ohne Berechtigung sind nicht in der Lage, die ID zum Abrufen des eigentlichen Objekts zu verwenden.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Im Folgenden finden Sie die JASON-Antwort:

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Abrufen von Berechtigungs-IDs

Wenn Sie Berechtigungen mithilfe von Azure CLI, PowerShell oder Infrastruktur als Code-Frameworks festlegen müssen, benötigen Sie möglicherweise anstelle des Namens den Bezeichner für die Berechtigung, die Sie verwenden möchten. Sie können Azure CLI verwenden, um den Bezeichner abzurufen, indem Sie az ad sp list ausführen. Dadurch wird jedoch eine sehr lange Liste generiert, und es kann schwierig sein, die gewünschte Berechtigung zu finden. Wenn Sie den Namen der benötigten Berechtigung bereits kennen, können Sie den folgenden Befehl über Azure CLI ausführen:

az ad sp list --query "[?appDisplayName=='Microsoft Graph'].{permissions:oauth2Permissions}[0].permissions[?value=='<NAME OF PERMISSION>'].{id: id, value: value, adminConsentDisplayName: adminConsentDisplayName, adminConsentDescription: adminConsentDescription}[0]" --all

Die Antwort sollte dem folgenden Beispiel ähneln, das die Beschreibung, den Bezeichner, den Anzeigenamen und den Berechtigungsnamen enthält:

{
  "adminConsentDescription": "Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user.  Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. ",
  "adminConsentDisplayName": "Read all groups",
  "id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
  "value": "Group.Read.All"
}

Zugriffsüberprüfungen Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
AccessReview.Read.All Lesen von Zugriffsüberprüfungen Ermöglicht der App, Zugriffsüberprüfungen im Namen des angemeldeten Benutzers zu lesen. Ja Nein
AccessReview.ReadWrite.All Verwalten von Zugriffsüberprüfungen Ermöglicht der App, Zugriffsüberprüfungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
AccessReview.ReadWrite.Membership Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwalten Ermöglicht der App, Zugriffsüberprüfungen für Gruppen und Apps im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AccessReview.Read.All Lesen von Zugriffsüberprüfungen Ermöglicht der App, Zugriffsüberprüfungen ohne einen angemeldeten Benutzer zu lesen. Ja
AccessReview.ReadWrite.Membership Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwalten Ermöglicht der App, Zugriffsüberprüfungen von Gruppen und Apps ohne einen angemeldeten Benutzer zu verwalten. Ja

Bemerkungen

AccessReview.Read.All, AccessReview.ReadWrite.All und AccessReview.ReadWrite.Membership gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Administrator für privilegierte Rollen. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.


Berechtigungen für administrative Einheiten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
AdministrativeUnit.Read.All Lesezugriff auf administrative Einheiten Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
AdministrativeUnit.ReadWrite.All Lese- und Schreibzugriff auf administrative Einheiten Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu verwalten. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AdministrativeUnit.Read.All Lesezugriff auf alle administrative Einheiten Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit ohne angemeldeten Benutzer zu lesen. Ja
AdministrativeUnit.ReadWrite.All Lese- und Schreibzugriff auf alle administrative Einheiten Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit ohne einen angemeldeten Benutzer zu verwalten. Ja

Bemerkungen

Mit der Berechtigung AdministrativeUnit.Read.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder lesen.

Mit der Berechtigung AdministrativeUnit.ReadWrite.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder erstellen, lesen, aktualisieren und löschen.

AdministrativeUnit.Read.All und AdministrativeUnit.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

  • AdministrativeUnit.Read.All: Lesezugriff auf administrative Einheiten (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: Lesezugriff auf Mitgliederlisten einer administrativen Einheit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: Administrative Einheiten erstellen (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: Administrative Einheiten aktualisieren (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: Mitglieder zu administrativen Einheiten hinzufügen (POST /beta/administrativeUnits/<id>/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Analyse-Ressourcen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Analytics.Read Lesen von Benutzeraktivitätsstatistiken. Ermöglicht der App, die Aktivitätsstatistiken des angemeldeten Benutzers zu lesen, beispielsweise, wie viel Zeit der Benutzer mit E-Mails, in Besprechungen oder in Chatsitzungen verbracht hat. Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

Anwendung

Keine.


Berechtigungen für AppCatalog-Ressourcen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto erforderlich
AppCatalog.Read.All Lesezugriff auf alle App-Kataloge Ermöglicht der App, die Apps in den App-Katalogen auszulesen. Nein Nein
AppCatalog.ReadWrite.All Lese- und Schreibzugriff auf alle App-Kataloge Ermöglicht der App, Apps in den Apps-Katalogen zu erstellen, zu lesen, zu aktualisieren und zu löschen. Ja Nein
AppCatalog.Submit Eine App zur Überprüfung durch Admin einreichen Benutzende können Apps zur Überprüfung durch den/die Admin für die Veröffentlichung im App-Katalog einer Organisation einreichen. Benutzende können frühere Einreichungen stornieren, die nicht veröffentlicht wurden.
𝐍𝐎𝐓𝐄: Benutzende, die keine Admins sind, übermitteln Apps zur Überprüfung, indem Sie den requiresReview=true Abfrageparameter einschließen.
Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AppCatalog.Read.All Lesezugriff auf alle App-Kataloge Ermöglicht der App, Apps in den App-Katalogen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
AppCatalog.ReadWrite.All Lese- und Schreibzugriff auf alle App-Kataloge Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Apps in den App-Katalogen, ohne dass ein Benutzer angemeldet ist. Ja

Hinweise

Derzeit ist der einzige Katalog die Liste der Anwendungen in Microsoft Teams.

Verwendungsbeispiel

Delegiert

Anwendung

Keine.


Berechtigungen für Anwendungsressourcen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Application.Read.All Lesen von Anwendungen Ermöglicht der App das Lesen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers. Ja
Application.ReadWrite.All Schreib-/Lesezugriff für alle Apps Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers. Ja
AppRoleAssignment.ReadWrite.All Verwalten von App-Genehmigungen und -Rollenzuweisungen Ermöglicht der App, im Namen des angemeldeten Benutzers die Erteilung von Anwendungsberechtigungen zu beliebigen APIs (inkl. Microsoft Graph) sowie die Anwendungszuweisungen für jede App zu verwalten. Ja
DelegatedPermissionGrant.ReadWrite.All Verwalten delegierter Berechtigungserteilungen Ermöglicht der App, delegierte Berechtigungserteilungen für eine beliebige API im Namen des angemeldeten Benutzers zu verwalten (einschließlich Microsoft Graph). Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Application.Read.All Lesen von Anwendungen Ermöglicht der App das Lesen von Anwendungen und Dienstprinzipalen ohne angemeldeten Benutzer. Ja
Application.ReadWrite.All Schreib-/Lesezugriff für alle Apps Ermöglicht der aufrufenden App, Anwendungen und Dienstprinzipale zu erstellen und zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen. Ja
Application.ReadWrite.OwnedBy Verwalten von Apps, die diese App erstellt oder deren Besitzer sie ist Ermöglicht der aufrufenden App, andere Anwendungen und Dienstprinzipale zu erstellen und diese Anwendungen und Dienstprinzipale vollständig zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist. Sie kann keine Anwendungen aktualisieren, deren Besitzer sie nicht ist. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen. Ja
AppRoleAssignment.ReadWrite.All Verwalten von App-Genehmigungen und -Rollenzuweisungen Ermöglicht der App, die Erteilung von Anwendungsberechtigungen zu beliebigen APIs (inkl. Microsoft Graph) sowie die Anwendungszuweisungen für jede App zu verwalten, ohne dass ein Benutzer angemeldet ist. Ja
DelegatedPermissionGrant.ReadWrite.All Verwalten aller delegierten Berechtigungserteilungen Ermöglicht der App das Erteilen oder Widerrufen delegierter Berechtigungen für jede API (einschließlich Microsoft Graph), ohne dass ein Benutzer angemeldet ist. Ja

Bemerkungen

Achtung

Berechtigungen, die das Erteilen der Autorisierung ermöglichen, z. B. AppRoleAssignment.ReadWrite.All, ermöglichen einer Anwendung, sich selbst, anderen Anwendungen oder beliebigen Benutzern zusätzliche Berechtigungen zu gewähren. Ebenso können Berechtigungen, welche die Verwaltung von Anmeldeinformationen ermöglichen, z. B. Application.ReadWrite.All, einer Anwendung ermöglichen, als andere Einheiten zu fungieren und die Berechtigungen zu verwenden, die ihnen gewährt wurden. Gehen Sie vorsichtig vor, wenn Sie eine dieser Berechtigungen erteilen.

Die Berechtigung Application.ReadWrite.OwnedBy ermöglicht die gleichen Vorgänge wie Application.ReadWrite.All, mit der Ausnahme, dass die erste Berechtigung diese Vorgänge nur für Anwendungen und Dienstprinzipale zulässt, deren Besitzer die aufrufende App ist. Der Besitz wird durch die Navigationseigenschaft owners für die Ziel-Anwendungs- oder -Dienstprinzipal-Ressource angegeben.

HINWEIS: Die Verwendung der Berechtigung Application.ReadWrite.OwnedBy zum Aufrufen von GET /applications zur Auflistung von Anwendungen führt zu einem 403-Fehler. Verwenden Sie stattdessen GET servicePrincipals/{id}/ownedObjects zum Auflisten der Anwendungen, deren Besitzer die aufrufende Anwendung ist.

Verwendungsbeispiel

Delegiert

  • Application.ReadWrite.All: alle Anwendungen auflisten (GET /v1.0/applications)
  • Application.ReadWrite.All: Dienstprinzipal aktualisieren (PATCH /v1.0/servicePrincipals/{id})

Anwendung

  • Application.ReadWrite.All: alle Anwendungen auflisten (GET /v1.0/applications)
  • Application.ReadWrite.All: Dienstprinzipal löschen (DELETE /v1.0/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: Anwendung erstellen (POST /v1.0/applications)
  • Application.ReadWrite.OwnedBy: Alle Anwendungen auflisten, deren Besitzer die aufrufende Anwendung ist (GET /v1.0/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: Einen anderen Besitzer zu einer Anwendung hinzufügen, die bereits einen Besitzer hat (POST /v1.0/applications/{id}/owners/$ref).

    HINWEIS: Dies erfordert möglicherweise zusätzliche Berechtigungen.


Berechtigungen für Audit-Überwachungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
AuditLog. Read.All Lesen von Überwachungsprotokolldaten Ermöglicht der App, Ihre Überwachungsprotokoll-Aktivitäten im Namen des angemeldeten Benutzers zu lesen und abzufragen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AuditLog. Read.All Alle Überwachungsprotokolldaten lesen Ermöglicht der App, Ihre Überwachungsprotokoll-Aktivitäten ohne einen angemeldeten Benutzers zu lesen und abzufragen. Ja

Berechtigungen für BitLocker-Wiederherstellungsschlüssel

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
BitlockerKey.ReadBasic.All Grundlegende BitLocker-Schlüsselinformationen lesen Ermöglicht einer App das Lesen der Eigenschaften des BitLocker-Schlüssels für alle Geräte im Mandanten. Der Wiederherstellungsschlüssel wird nicht zurückgegeben. Ja Nein
BitlockerKey.Read.All BitLocker-Schlüssel lesen Ermöglicht einer App das Lesen der BitLocker-Schlüssel für alle Geräte im Mandanten. Der Wiederherstellungsschlüssel wird zurückgegeben. Ja Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

  • BitlockerKey.ReadBasic.All: BitLocker-Wiederherstellungsschlüssel für alle Geräte im Mandanten auflisten, ohne die Eigenschaft "Schlüssel" zurückzugeben (GET /bitlocker/recoveryKeys).
  • BitlockerKey.Read.All: BitLocker-Wiederherstellungsschlüssel mit dem Wiederherstellungsschlüssel abrufen (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Bookings-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Bookings.Read.All Ermöglicht einer App Lesezugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Für schreibgeschützte Anwendungen vorgesehen. Ein typischer Zielbenutzer ist der Kunde eines Buchungsunternehmens. Nein Nein
BookingsAppointment.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine und Kunden. Ermöglicht darüber hinaus den Lesezugriff auf Unternehmen, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Vorgesehen für Terminplanungsanwendungen, die Termine und Kunden bearbeitet. Grundlegende Informationen zum Unternehmen mit Terminvergabe oder seine Dienstleistungen und Mitarbeiter können nicht geändert werden. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart. Nein Nein
Bookings.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Ermöglicht nicht das Erstellen, Löschen oder Veröffentlichen von Unternehmen mit Bookings. Vorgesehen für Verwaltungsanwendungen, die vorhandene Unternehmen, deren Dienstleistungen und Mitarbeiter bearbeiten. Ermöglicht nicht das Erstellen, Löschen oder Ändern des Veröffentlichungsstatus eines Unternehmens mit Terminvergabe. Der typische Zielbenutzer ist ein Support-Mitarbeiter eines Unternehmens. Nein Nein
Bookings.Manage.All Ermöglicht einer App Lese- und Schreibzugriff sowie die Verwaltung von Bookings-Terminen, Unternehmen, Kunden, Dienstleistungen und Mitarbeitern im Namen des angemeldeten Benutzers. Ermöglicht der App den Vollzugriff.
Vorgesehen für eine vollständige Verwaltungsoberfläche. Der typische Zielbenutzer ist Administrator in einem Unternehmen.
Nein Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

  • Bookings.Read.All: Abrufen der ID und der Namen der Sammlung von Bookings-Unternehmen, die für einen Mandanten erstellt wurde (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All: Erstellen eines Termins für einen Service bei einem Bookings-Unternehmen (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: Erstellen eines neuen Services für das angegebene Bookings-Unternehmen (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All: Bereitstellen der Terminvergabeseite dieses Unternehmens für externe Kunden (POST /bookingBusinesses/{id}/publish).

Kalenderberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Calendars.Read Benutzerkalender lesen Ermöglicht der App, Ereignisse in Benutzerkalendern zu lesen. Nein Ja
Calendars.Read.Shared Benutzerkalender und freigegebene Kalender lesen Ermöglicht der App, Ereignisse in allen Kalendern zu lesen, auf die der Benutzer zugreifen kann, einschließlich delegierter und freigegebener Kalender. Nein Nein
Calendars.ReadWrite Vollzugriff auf Benutzerkalender Ermöglicht der App, Ereignisse in Benutzerkalendern zu erstellen, zu lesen, zu aktualisieren und zu löschen. Nein Ja
Calendars.ReadWrite.Shared Benutzerkalender und freigegebene Kalender lesen und schreiben Die App kann Ereignisse in allen Kalendern, für die der Benutzer über Zugriffsberechtigungen verfügt, erstellen, lesen, aktualisieren und löschen. Dies umfasst delegierte und freigegebene Kalender. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Calendars.Read Lesezugriff auf Kalender in allen Postfächern Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu lesen. Ja
Calendars.ReadWrite Lese- und Schreibzugriff auf Kalender in allen Postfächern Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen. Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Calendars.Read“ oder „Calendars.ReadWrite“ besitzt.

Verwendungsbeispiel

Delegiert

  • Calendars.Read: Ereignisse im Kalender des Benutzers zwischen dem 23. April 2017 und dem 29. April 2017 abrufen (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Nach Besprechungszeiten suchen, zu denen alle Teilnehmer verfügbar sind (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: Ein Ereignis zum Kalender des Benutzers hinzufügen (POST /me/events).

Anwendung

  • Calendars.Read: Ereignisse im Kalender eines Konferenzraums suchen, sortiert nach bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: Alle Ereignisse im Kalender eines Benutzers für den Monat Mai auflisten (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: Ein Ereignis für einen Zeitpunkt mit genehmigter Abwesenheit zum Kalender eines Benutzers hinzufügen (POST /users/{id | userPrincipalName}/events).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Anrufe

Delegierte Berechtigungen

Keine.


Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Calls.Initiate.All Ausgehende 1:1-Anrufe aus der App initiieren (Vorschau) Ermöglicht der App, ausgehende Anrufe an einen einzelnen Benutzer zu tätigen und Anrufe an Benutzer im Organisationsverzeichnis zu übertragen (ohne angemeldeten Benutzer). Ja
Calls.InitiateGroupCall.All Ausgehende Gruppenanrufe aus der App initiieren (Vorschau) Ermöglicht der App, ausgehende Anrufe an mehrere Benutzer zu tätigen und Teilnehmer in Ihrer Organisation zu Besprechungen hinzufügen (ohne angemeldeten Benutzer). Ja
Calls.JoinGroupCall.All Gruppenanrufe und Besprechungen als App verknüpfen (Vorschau) Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer zu verknüpfen. Die App wird mit den Berechtigungen eines Verzeichnisbenutzers und Besprechungen in Ihrem Mandanten verknüpft. Ja
Calls.JoinGroupCallasGuest.All Verknüpfen von Gruppenanrufen und Besprechungen als Gast (Vorschau) Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer anonym zu verknüpfen. Die App wird als Gast mit Besprechungen in Ihrem Mandanten verknüpft. Ja
Calls.AccessMedia.All* Auf Medienstreams in einem Anruf als App zugreifen (Vorschau) Ermöglicht der App, direkten Zugriff auf Medienstreams in einem Anruf ohne einen angemeldeten Benutzer zu erhalten. Ja

*Wichtig: Sie dürfen die Cloud Communications-APIs NICHT verwenden, um Medieninhalte aus Anrufen oder Besprechungen, auf die Ihre Anwendung zugreift, oder aus diesen Medieninhalten abgeleitete Daten aufzuzeichnen oder auf andere Weise zu speichern. Stellen Sie sicher, dass alle für Ihren Bereich geltenden Gesetze und Bestimmungen hinsichtlich Datenschutz und Vertraulichkeit von Kommunikationen eingehalten werden. Bitte lesen Sie die Nutzungsbedingungen, und wenden Sie sich für weitere Informationen an Ihren Rechtsbeistand.


Verwendungsbeispiel

Anwendung

  • Calls.Initiate.All: Peer-to-Peer-Anruf aus der Anwendung an einen Benutzer in der Organisation (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All: Gruppenanruf aus der Anwendung an eine Benutzergruppe in der Organisation (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen, aber die Anwendung verfügt in der Besprechung nur über Gastberechtigungen (POST /beta/communications/calls).
  • Calls.AccessMedia.All: Einen Anruf erstellen oder daran teilnehmen; die App erhält direkten Zugriff auf die Medienstreams von Teilnehmern in dem Anruf (POST /beta/communications/calls).

Hinweis: Beispiele für Anforderungen finden Sie unter Anruf erstellen.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Anrufdatensätze

Delegierte Berechtigungen

Keine.


Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
CallRecords.Read.All Alle Anrufdatensätze lesen Ermöglicht der App, Anrufdatensätze für alle Anrufe und Onlinebesprechungen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
CallRecord-PstnCalls.Read.All PSTN- und Direct Routing-Anrufprotokolldaten lesen Ermöglicht der App das Lesen aller PSTN- und Direct Routing-Anrufprotokoll Daten, ohne dass ein Benutzer angemeldet ist. Ja

Bemerkungen

Die Berechtigung CallRecords.Read.All gewährt einer Anwendung privilegierten Zugriff auf CallRecords für jeden Anruf und jede Onlinebesprechung innerhalb Ihrer Organisation, einschließlich der Anrufe zu und von externen Telefonnummern. Dazu gehören potenziell vertrauliche Details zu den Gesprächsteilnehmern sowie technische Informationen zu diesen Anrufen und Besprechungen, die für die Problembehandlung im Netzwerk verwendet werden können, z. B. IP-Adressen, Gerätedetails und andere Netzwerkinformationen.

Die Berechtigung "CallRecord-PstnCalls.Read.All" gewährt einer Anwendung Zugriff auf PSTN (Anrufpläne) und Anrufprotokolle für direktes Routing. Dazu gehören potenziell vertrauliche Informationen über Benutzer, sowie Anrufe zu und von externen Telefonnummern.

Wichtig: Bei der Erteilung dieser Berechtigungen für Anwendungen sollte man Diskretion walten lassen. Anrufdatensätze können Einblicke in die Funktionsweise Ihres Unternehmens geben und somit ein Ziel für böswillige Akteure sein. Erteilen Sie diese Berechtigungen nur Anwendungen, denen Sie vertrauen, um Ihre Datenschutzanforderungen zu erfüllen.

Wichtig: Stellen Sie sicher, dass alle für Ihren Bereich geltenden Gesetze und Bestimmungen hinsichtlich Datenschutz und Vertraulichkeit von Kommunikationen eingehalten werden. Bitte lesen Sie die Nutzungsbedingungen, und wenden Sie sich für weitere Informationen an Ihren Rechtsbeistand.


Verwendungsbeispiel

Anwendung

  • CallRecords.Read.All: Anrufdatensatz abrufen (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All: neue Anrufdatensätze abonnieren (POST /v1.0/subscriptions).
  • CallRecords.Read.All: Rufen Sie Direktes Routing-Anrufdatensätze innerhalb des angegebenen Zeitbereichs (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time))) ab.
  • CallRecord-PstnCalls.Read.All: Abrufen von PSTN-Anrufdatensätzen innerhalb des angegebenen Zeitraums ( GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)) )

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Kanalberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Channel.ReadBasic.All Namen und Beschreibungen von Kanälen lesen. Kanalnamen und Kanalbeschreibungen im Namen des angemeldeten Benutzers lesen. Nein Nein
Channel.Create Erstellen von Kanälen. In allen Teams Kanäle erstellen, im Namen des angemeldeten Benutzers. Ja Nein
Channel.Delete.All Kanäle löschen. Kanäle in allen Teams im Namen des angemeldeten Benutzers löschen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Channel.ReadBasic.All Lesezugriff auf die Namen und Beschreibungen aller Kanäle. Lesen aller Kanalnamen und -beschreibungen, ohne dass ein Benutzer angemeldet ist. Ja Nein
Channel.Create Erstellen von Kanälen. Erstellen von Kanälen in allen Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
Channel.Delete.All Kanäle löschen. Löschen von Kanälen in allen Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
Teamwork.Migrate.All Migration zu Microsoft Teams verwalten Erstellen und Verwalten von Ressourcen für die Migration zu Microsoft Teams Ja Ja

Berechtigungen für Kanalmitglieder

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMember.Read.All Die Mitglieder von Kanälen lesen. Die Mitglieder von Kanälen lesen, im Namen des angemeldeten Benutzers. Ja Nein
ChannelMember.ReadWrite.All Sie können Mitglieder zu Kanälen hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu Kanälen hinzu und entfernen Sie sie, im Namen des angemeldeten Benutzers. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMember.Read.All Die Mitglieder aller Kanäle lesen. Die Mitglieder aller Kanäle lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
ChannelMember.ReadWrite.All Sie können Mitglieder zu allen Kanälen hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu allen Kanälen hinzu und entfernen Sie sie, ohne dass ein Benutzer angemeldet ist. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Berechtigungen für Kanalnachrichten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMessage.Delete (private Vorschau) Kanalnachrichten eines Benutzers löschen Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu löschen. Ja Nein
ChannelMessage.Edit (private Vorschau) Kanalnachrichten eines Benutzers bearbeiten Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu bearbeiten. Ja Nein
ChannelMessage.Read.All Lesen der Kanalnachrichten eines Benutzers Ermöglicht es einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu lesen. Ja Nein
ChannelMessage.Send Kanalnachrichten senden Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Auftrag des angemeldeten Benutzers zu senden. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMessage.Read.All Alle Kanalnachrichten lesen Ermöglicht es der App, alle Nachrichten des Microsoft Teams-Kanals ohne einen angemeldeten Benutzer zu lesen. Ja Nein
ChannelMessage.UpdatePolicyViolation.All Kanalnachrichten für Verstöße gegen die Richtlinie kennzeichnen Ermöglicht es der App, Nachrichten des Microsoft Teams-Kanals durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten. Ja Nein

Hinweis: siehe auch Group.Read.All.

Berechtigungen für Kanaleinstellungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelSettings.Read.All Lesen der Namen, Beschreibungen und Einstellungen von Kanälen. Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle im Namen des angemeldeten Benutzers. Ja Nein
ChannelSettings.ReadWrite.All Lesen und Schreiben der Namen, Beschreibungen und Einstellungen von Kanälen. Lesen und Schreiben der Namen, Beschreibungen und Einstellungen aller Kanäle im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelSettings.Read.All Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle. Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle, ohne dass ein Benutzer angemeldet ist. Ja Nein
ChannelSettings.ReadWrite.All Lese- und Schreibzugriff auf die Namen, Beschreibungen und Einstellungen aller Kanäle. Lesen und Schreiben der Namen, Beschreibungen und Einstellungen aller Kanäle, ohne dass ein Benutzer angemeldet ist. Ja Nein

Chat-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Chat.Read Lesen Sie Ihre Chatnachrichten Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen. Nein Nein
Chat.ReadBasic Lesezugriff auf Namen und Mitglieder von Benutzer-Chat-Threads Ermöglicht einer App, die Mitglieder und Beschreibungen von persönlichen und Gruppenchat-Threads im Namen des angemeldeten Benutzers auszulesen. Nein Nein
Chat.ReadWrite Lesen Sie Ihre Chatnachrichten, und senden Sie neue. Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen und zu versenden. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Chat.Read.All Lesen aller Chatnachrichten Ermöglicht es der App, alle 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams ohne einen angemeldeten Benutzer zu lesen. Ja Nein
Chat.ReadBasic.All Lesezugriff auf Namen und Mitglieder von Benutzer-Chat-Threads Lesezugriff auf Namen und Mitglieder aller Chat-Threads. Ja Nein
Chat.UpdatePolicyViolation.All Chatnachrichten für Verstöße gegen die Richtlinie kennzeichnen Ermöglicht es der App, 1:1- oder Gruppenchatnachrichten in Microsoft Teams durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten. Ja Nein

Hinweis: Für Nachrichten in einem Kanal lesen Sie ChannelMessage-Berechtigungen.

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChatSettings.Read.Chat Lesen der Einstellungen dieses Chats. Erlaubt der App, die Einstellungen dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
ChatSettings.ReadWrite.Chat Lesen und Schreiben der Einstellungen dieses Chats. Erlaubt der App, die Einstellungen dieses Chats zu lesen und zu schreiben, ohne einen angemeldeten Benutzer. Nein Nein
ChatMessage.Read.Chat Lesen der Nachrichten dieses Chats. Erlaubt der App, die Nachrichten dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
ChatMember.Read.Chat Lesen der Mitglieder dieses Chats. Erlaubt der App, die Mitglieder dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
Chat.Manage.Chat Verwalten dieses Chats. Erlaubt der App, den Chat und die Chat-Mitglieder zu verwalten, und Zugriff auf die Chat-Daten zu gewähren, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Read.Chat Lesen der Registerkarten dieses Chats. Erlaubt der App, die Registerkarten dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Create.Chat Erstellen von Registerkarten in diesem Chat. Erlaubt der App, Registerkarten in diesem Chat zu erstellen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Delete.Chat Löschen der Registerkarten dieses Chats. Erlaubt der App, die Registerkarten dieses Chats zu löschen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.ReadWrite.Chat Verwalten der Registerkarten dieses Chats. Erlaubt der App, die Registerkarten dieses Chats zu verwalten, ohne einen angemeldeten Benutzer. Nein Nein
TeamsAppInstallation.Read.Chat Lesen, welche Apps in diesem Chat installiert sind. Erlaubt der App, die Teams-Apps zu lesen, die in diesem Chat installiert sind, zusammen mit den jeder App erteilten Berechtigungen, ohne einen angemeldeten Benutzer. Nein Nein
OnlineMeeting.ReadBasic.Chat Lesen der Basiseigenschaften für eine Besprechung, die mit diesem Chat verbunden ist. Erlaubt der App, die Basiseigenschaften – wie z. B. Name, Zeitplan, Organisator und Beitrittslink – einer mit diesem Chat verbundenen Besprechung zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
Calls.AccessMedia.Chat Zugreifen auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind. Ermöglicht der App den Zugriff auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind, ohne dass ein Benutzer angemeldet wäre. Nein Nein
Calls.JoinGroupCall.Chat Nehmen Sie an Anrufen teil, die mit diesem Chat oder dieser Besprechung verbunden sind. Ermöglicht der App an Mediendatenströmen in Anrufen teilzunehmen, die mit diesem Chat oder dieser Besprechung verbunden sind, ohne dass ein Benutzer angemeldet wäre. Nein Nein
TeamsActivity.Send.Chat Senden von Aktivitätsfeed-Benachrichtigungen an Benutzer in diesem Chat. Ermöglicht der App, neue Benachrichtigungen in den Teamarbeits-Aktivitätsfeeds der Benutzer in diesem Chat zu erstellen, ohne dass ein Benutzer angemeldet ist. Nein Nein

Hinweis

Derzeit werden diese Berechtigungen nur in der Betaversion von Microsoft Graph unterstützt.

ChatMessage-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChatMessage.Send Senden von Chatnachrichten an Benutzer Ermöglicht einer App, persönliche und Gruppenchatnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu senden. Nein Nein

Cloud-PC-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
CloudPC.Read.All Lesezugriff für Cloudcomputer Ermöglicht es der App, im Namen des angemeldeten Benutzers Cloud-PC-Objekte wie z. B. Bereitstellungsrichtlinien zu lesen. Nein Nein
CloudPC.ReadWrite.All Schreib-/Lesezugriff für Cloudcomputer Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Cloud-PC-Objekten, wie z. B. lokale Verbindungen, Bereitstellungsrichtlinien und Gerätebilder, im Namen des Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
CloudPC.Read.All Lesezugriff für Cloudcomputer Ermöglicht der App das Lesen von Cloud-PC-Objekte, wie z. B. Bereitstellungsrichtlinien, ohne einen angemeldeten Benutzer. Nein Nein
CloudPC.ReadWrite.All Schreib-/Lesezugriff für Cloudcomputer Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Cloud-PC-Objekten, wie z. B. lokale Verbindungen, Bereitstellungsrichtlinien und Gerätebilder, ohne einen angemeldeten Benutzer. Ja Nein

Verwendungsbeispiel

Delegiert

  • CloudPC.Read.All: Eigenschaften aller Cloud-PCs anzeigen (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: Cloud-PC-Bereitstellungsrichtlinie bearbeiten (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Anwendung

  • CloudPC.Read.All: Eigenschaften aller Cloud-PCs anzeigen (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: Cloud-PC-Bereitstellungsrichtlinie bearbeiten (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ConsentRequest.Read.All Lesen von Zustimmungsanfragen Ermöglicht der App das Lesen von Zustimmungsanfragen der App sowie die Genehmigung dieser Anfragen im Namen des angemeldeten Benutzers. Ja Nein
ConsentRequest.ReadWrite.All Lesen und Schreiben von Zustimmungsanfragen Ermöglicht der App das Lesen von Zustimmungsanfragen an Sie sowie deren Genehmigungen als auch die Genehmigung oder Ablehnung dieser Anfragen im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ConsentRequest.Read.All Lesen von Zustimmungsanfragen Ermöglicht der App das Lesen von App-Zustimmungsanforderungen und Genehmigungen ohne einen angemeldeten Benutzer. Ja
ConsentRequest.ReadWrite.All Lesen und Schreiben von Zustimmungsanfragen Ermöglicht der App das Lesen von Zustimmungsanfragen an sie sowie deren Genehmigungen als auch die Genehmigung oder Ablehnung dieser Anfragen ohne, dass ein Benutzer angemeldet ist. Ja

Kontaktberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Contacts.Read Benutzerkontakte lesen Ermöglicht der App, Benutzerkontakte zu lesen. Nein Ja
Contacts.Read.Shared Benutzerkontakte und freigegebene Kontakte lesen Ermöglicht der App, Kontakte zu lesen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte. Nein Nein
Contacts.ReadWrite Vollzugriff auf Benutzerkontakte Ermöglicht der App, Benutzerkontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen. Nein Ja
Contacts.ReadWrite.Shared Benutzerkontakte und freigegebene Kontakte lesen und schreiben Ermöglicht der App, Kontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die der Benutzer über Berechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Contacts.Read Lesezugriff auf Kontakte in allen Postfächern Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu lesen. Ja
Contacts.ReadWrite Lese- und Schreibzugriff auf Kontakte in allen Postfächern Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen. Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Contacts.Read“ oder Contacts.ReadWrite“ besitzt.

Verwendungsbeispiel

Delegiert

  • Contacts.Read: Einen Kontakt aus einem der Kontaktordner der obersten Ebene des angemeldeten Benutzers lesen (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Das Kontaktfoto eines Kontakts des angemeldeten Benutzers aktualisieren (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Kontakte zum Stammordner des angemeldeten Benutzers hinzufügen (POST /me/contacts).

Anwendung

  • Contacts.Read: Kontakte aus einem der Kontaktordner der obersten Ebene eines beliebigen Benutzers in der Organisation lesen (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Das Foto eines beliebigen Kontakts eines beliebigen Benutzers in einer Organisation aktualisieren (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Kontakte zum Stammordner eines beliebigen Benutzers in der Organisation hinzufügen (POST /users/{id | userPrincipalName}/contacts).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für benutzerdefinierte Sicherheitsattribute

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
CustomSecAttributeAssignment.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten im Auftrag eines angemeldeten Benutzers. Ja Nein
CustomSecAttributeDefinition.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten im Auftrag eines angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
CustomSecAttributeAssignment.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten ohne einen angemeldeten Benutzer. Ja
CustomSecAttributeDefinition.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten ohne einen angemeldeten Benutzer. Ja

Geräteberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Device.Read Benutzergeräte lesen Ermöglicht der App, eine Benutzerliste mit Geräten im Auftrag des angemeldeten Benutzers zu lesen. Nein Ja
Device.Read.All Alle Geräte lesen Ermöglicht der App, Informationen zur Gerätekonfiguration Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Ja
Device.Command Kommunikation mit Benutzergeräten Ermöglicht der App, im Auftrag des angemeldeten Benutzers auf einem Benutzergerät eine andere App zu starten oder mit einer anderen App zu kommunizieren. Nein Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Device.Read.All Alle Geräte lesen Ermöglicht der App, Informationen zur Gerätekonfiguration Ihrer Organisation ohne angemeldeten Benutzer zu lesen. Ja
Device.ReadWrite.All Geräteeigenschaften lesen und schreiben Die App kann alle Geräteeigenschaften ohne angemeldeten Benutzer lesen und schreiben. Ermöglicht nicht das Erstellen oder Löschen von Geräten oder das Aktualisieren von alternativen Sicherheits-IDs von Geräten. Ja

Hinweis

Wenn vor dem 3. Dezember 2020 die Anwendungsberechtigung Device.ReadWrite.All gewährt wurde, wurde die Verzeichnisrolle des Gerätemanagers auch dem Dienstprinzipal der App zugewiesen. Die Zuweisung dieser Verzeichnisrolle wird nicht automatisch entfernt, wenn die zugehörigen Anwendungsberechtigungen widerrufen werden. Um sicherzustellen, dass der Zugriff einer Anwendung zum Lesen oder Schreiben auf Geräte entfernt wird, müssen Kunden auch alle zugehörigen Verzeichnisrollen entfernen, die der Anwendung gewährt wurden.

Ein Service-Update, das dieses Verhalten deaktiviert, wurde am 3. Dezember 2020 eingeführt. Die Bereitstellung für alle Kunden wurde am 11. Januar 2021 abgeschlossen. Verzeichnisrollen werden nicht mehr automatisch zugewiesen, wenn Anwendungsberechtigungen erteilt werden.

Verwendungsbeispiel

Anwendung

  • Device.ReadWrite.All: Alle registrierten Geräte in der Organisation lesen (GET /devices).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Verzeichnisberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Directory.Read.All Verzeichnisdaten lesen Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation zu lesen, z. B. Benutzer, Gruppen und Apps. Hinweis: Benutzer können Anwendungen zustimmen, die diese Berechtigung erfordern, wenn die Anwendung im Mandanten ihrer eigenen Organisation registriert ist. Ja Nein
Directory.ReadWrite.All Schreib-/Lesezugriff auf Verzeichnisdaten Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht der App nicht das Löschen von Benutzern oder Gruppen oder das Zurücksetzen von Benutzerkennwörtern. Ja Nein
Directory.AccessAsUser.All Als der angemeldete Benutzer auf das Verzeichnis zugreifen Ermöglicht der App den gleichen Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Directory.Read.All Verzeichnisdaten lesen Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, z. B. Benutzer, Gruppen und Apps. Ja
Directory.ReadWrite.All Schreib-/Lesezugriff auf Verzeichnisdaten Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe. Ja

Hinweise

Verzeichnisberechtigungen stellen die höchste Stufe von Rechten für den Zugriff auf Verzeichnisressourcen wie Benutzer, Gruppen, und Geräte in einer Organisation bereit.

Sie steuern zudem exklusiv den Zugriff auf andere Verzeichnisressourcen wie Organisationskontakte, Schemaerweiterungs-APIs, Privileged Identity Management (PIM)-APIs sowie viele der Ressourcen und APIs, die unter dem Knoten Azure Active Directory in der API-Referenzdokumentation der Versionen 1.0 und Beta aufgeführt sind. Hierzu zählen administrative Einheiten, Verzeichnisrollen, Verzeichniseinstellungen, Richtlinien und viele weitere.

Hinweis

Vor dem 3. Dezember 2020, als die Anwendungsberechtigung Directory.Read.All erteilt wurde, wurde die Verzeichnisrolle des Verzeichnislesers auch dem Dienstprinzipal der App zugewiesen. Wenn Directory.ReadWrite.All gewährt wurde, wurde auch die Verzeichnisleser-Verzeichnisrolle zugewiesen. Diese Verzeichnisrollen werden nicht automatisch entfernt, wenn die zugehörigen Anwendungsberechtigungen widerrufen werden. Um den Lese- oder Schreibzugriff einer Anwendung auf das Verzeichnis zu entfernen, müssen Kunden auch alle Verzeichnisrollen entfernen, die der Anwendung gewährt wurden.

Ein Service-Update, das dieses Verhalten deaktiviert, wurde am 3. Dezember 2020 eingeführt. Die Bereitstellung für alle Kunden wurde am 11. Januar 2021 abgeschlossen. Verzeichnisrollen werden nicht mehr automatisch zugewiesen, wenn Anwendungsberechtigungen erteilt werden.

Die Berechtigung Directory.ReadWrite.All gewährt die folgenden Rechte:

  • Alles lesen für alle Verzeichnisressourcen (deklarierte Eigenschaften und Navigationseigenschaften)
  • Benutzer erstellen und aktualisieren
  • Benutzer deaktivieren und aktivieren (außer Unternehmensadministrator)
  • Festlegen der alternativen Sicherheits-ID des Benutzers (jedoch nicht der Administratoren)
  • Gruppen erstellen und aktualisieren
  • Gruppenmitgliedschaften verwalten
  • Gruppenbesitzer aktualisieren
  • Lizenzzuweisungen verwalten
  • Schemaerweiterungen für Anwendungen definieren
  • Verwalten von Verzeichniseinstellungen
  • Verwalten der Workflow-Konfiguration für die Administrator-Einwilligung (nicht jedoch, ob eine Administrator-Einwilligung erforderlich ist oder wer berechtigt ist, die Administrator-Einwilligung zu erteilen)

Hinweis:

  • Keine Rechte zum Zurücksetzen von Benutzerkennwörtern.
  • Das Aktualisieren der businessPhones-, mobilePhone- oder otherMails-Eigenschaft eines anderen Benutzers ist nur für Benutzer zulässig, die keine Administratoren sind oder denen eine der folgenden Rollen zugewiesen wurde: Verzeichnis lesen, Gasteinladender, Nachrichtencenter-Leser und Berichts-Leser. Weitere Details finden Sie unter „Helpdeskadministrator (Kennwort)" in Azure AD – Verfügbare Rollen. Dies gilt für Apps, denen die delegierten oder Anwendungsberechtigungen "User.ReadWrite.All" oder "Directory.ReadWrite.All" erteilt wurden.
  • Keine Rechte zum Löschen von Ressourcen (einschließlich Benutzern oder Gruppen).
  • Schließt ausdrücklich das Erstellen oder Aktualisieren von Ressourcen aus, die oben nicht aufgeführt sind. Hierzu gehören: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains usw.

Verwendungsbeispiel

Delegiert

  • Directory.Read.All: Alle administrativen Einheiten in einer Organisation auflisten (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All: Mitglieder zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/{id}/members/$ref)

Anwendung

  • Directory.Read.All: Alle Mitgliedschaften eines Benutzers auflisten, einschließlich Verzeichnisrollen und administrativer Einheiten (GET /beta/users/{id}/memberOf)
  • Directory.Read.All: Alle Gruppenmitglieder auflisten, einschließlich Dienstprinzipale (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All: Einen Besitzer zu einer Gruppe hinzufügen (POST /groups/{id}/owners/$ref)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Domänenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Domain.Read.All Lesezugriff auf Domänen Ermöglicht der App, alle Domäneneigenschaften im Namen des angemeldeten Benutzers zu lesen. Ja Nein
Domain.ReadWrite.All Domänen lesen und schreiben Ermöglicht der App, alle Domäneneigenschaften im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App auch das Hinzufügen, Überprüfen und Entfernen von Domänen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Domain.Read.All Lesezugriff auf Domänen Ermöglicht der App, alle Domäneneigenschaften ohne angemeldeten Benutzer zu lesen. Ja
Domain.ReadWrite.All Domänen lesen und schreiben Ermöglicht es der App, Domänen ohne angemeldeten Benutzer zu lesen und zu schreiben. Ja

eDiscovery-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
eDiscovery.Read.All eDiscovery-Falldaten des Benutzers lesen Ermöglicht der App das Lesen von eDiscovery-Objekten wie Fällen, Verwahrern, Überprüfungssätzen und anderen zugehörigen Objekten im Auftrag des angemeldeten Benutzers. Ja Nein
eDiscovery.ReadWrite.All eDiscovery-Falldaten lesen und schreiben Ermöglicht der App das Lesen und Schreiben von eDiscovery-Objekten wie Fällen, Verwahrern, Überprüfungssätzen und anderen zugehörigen Objekten im Auftrag des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Keine

Verwendungsbeispiel

Delegiert

  • eDiscovery.Read.All: Liste der für den Benutzer verfügbaren Fälle abrufen (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: Prüfdateisatz-Abfrage in einem Prüfdateisatz erstellen (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Bildungs-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
EduAdministration.Read Bildungs-App-Einstellungen lesen Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu lesen. Ja Nein
EduAdministration.ReadWrite Bildungs-App-Einstellungen verwalten Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu verwalten. Ja Nein
EduAssignments.ReadBasic Lesen von Arbeitsaufträgen von Benutzern ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen. Ja Nein
EduAssignments.ReadWriteBasic Lesen und Schreiben von Arbeitsaufträgen von Benutzern ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen und zu schreiben. Ja Nein
EduAssignments.Read Lesen der Ansicht von Arbeitsaufträgen von Benutzern und deren Noten Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen. Ja Nein
EduAssignments.ReadWrite Lesen und Schreiben der Ansicht von Arbeitsaufträgen von Benutzern und deren Noten Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen und zu schreiben. Ja Nein
EduRoster.ReadBasic Lesen einer begrenzten Untermenge der Dienstplanansicht von Benutzern Ermöglicht der App, eine begrenzte Untermenge der Eigenschaften aus der Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie eine begrenzte Untermenge von Eigenschaften zu Benutzern im Auftrag des Benutzers zu lesen. Dazu zählen Name, Status, Ausbildungsrolle, E-Mail-Adresse und Foto. Ja Nein
EduRoster.Read Lesen der Dienstplanansicht von Benutzern Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen. Ja
EduRoster.ReadWrite Lesen und Schreiben der Dienstplanansicht von Benutzern Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen und zu schreiben. Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
EduAdministration.Read.All Bildungs-App-Einstellungen lesen Lesen des Status und der Einstellungen aller Microsoft Bildungs-Apps im Auftrag des Benutzers Ja
EduAdministration.ReadWrite.All Bildungs-App-Einstellungen verwalten Verwalten des Status und der Einstellungen aller Microsoft Bildungs-Apps im Auftrag des Benutzers ja
EduAssignments.ReadBasic.All Lesen von Arbeitsaufträgen ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen. Ja
EduAssignments.ReadWriteBasic.All Lesen und Schreiben von Arbeitsaufträgen ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen und zu schreiben. Ja
EduAssignments.Read.All Lesen von Schulprojekten mit Noten Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen. Ja
EduAssignments.ReadWrite.All Lesen und Schreiben von Arbeitsaufträgen mit Noten Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen und zu schreiben. Ja
EduRoster.ReadBasic.All Lesen einer begrenzten Untermenge des Dienstplans der Organisation. Ermöglicht der App, eine begrenzte Untermenge der Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen. Ja
EduRoster.Read.All Lesen des Dienstplans der Organisation. Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen. Ja
EduRoster.ReadWrite.All Lesen und Schreiben des Dienstplans der Organisation. Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen und zu schreiben. Ja

Verwendungsbeispiel

Delegiert

  • EduAssignments.Read: Abrufen der Arbeitsauftragsinformationen des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: Übermitteln des Arbeitsauftrags des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: Stunden, an denen ein angemeldeter Benutzer teilnimmt oder unterrichtet (GET /education/classes/{id}/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für die Berechtigungsverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
EntitlementManagement.ReadWrite.All Ressourcen zum Verwalten von Berechtigungen zum Lesen und Schreiben Ermöglicht der App das Anfordern des Zugriffs zum Lesen und Verwalten von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen im Namen des angemeldeten Benutzers. Ja
EntitlementManagement.Read.All Ressourcen zur Verwaltung von Berechtigungen lesen Ermöglicht der App das Anfordern des Zugriffs zum Lesen von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen im Namen des angemeldeten Benutzers. Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
EntitlementManagement.ReadWrite.All Ressourcen zum Verwalten von Berechtigungen zum Lesen und Schreiben Ermöglicht der App das Lesen und Verwalten von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen. Ja
EntitlementManagement.Read.All Ressourcen zur Verwaltung von Berechtigungen lesen Ermöglicht der App das Lesen von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen. Ja

Dateiberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Files.Read Lesezugriff auf Benutzerdateien Ermöglicht der App, die Dateien des angemeldeten Benutzers zu lesen. Nein Ja
Files.Read.All Alle Dateien lesen, auf die der Benutzer zugreifen kann Ermöglicht der App, alle Dateien zu lesen, auf die der angemeldete Benutzer zugreifen kann. Nein Ja
Files.ReadWrite Vollzugriff auf Benutzerdateien Ermöglicht der App, Dateien des angemeldeten Benutzers zu lesen, zu erstellen, zu aktualisieren und zu löschen. Nein Ja
Files.ReadWrite.All Vollzugriff auf alle Dateien, auf die Benutzer zugreifen können Ermöglicht der App, alle Dateien zu lesen, zu erstellen, zu aktualisieren und zu löschen, auf die der angemeldete Benutzer zugreifen kann. Nein Ja
Files.ReadWrite.AppFolder Vollzugriff auf den Anwendungsordner (Vorschau) (Vorschau) Ermöglicht der App, Dateien im Anwendungsordner zu lesen, zu erstellen, zu aktualisieren und zu löschen. Nein Ja
Files.Read.Selected Lesezugriff auf Dateien, die der Benutzer auswählt Eingeschränkte Unterstützung in Microsoft Graph – siehe Anmerkungen
(Vorschau) Ermöglicht der App, Dateien zu lesen, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.
Nein Nein
Files.ReadWrite.Selected Lese- und Schreibzugriff auf Dateien, die der Benutzer auswählt Eingeschränkte Unterstützung in Microsoft Graph – siehe Anmerkungen
(Vorschau) Ermöglicht der App, Dateien zu lesen und zu schreiben, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.
Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Files.Read.All Lesen von Dateien in allen Websitesammlungen Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen. Ja
Files.ReadWrite.All Lesen und Schreiben von Dateien in allen Websitesammlungen Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen, erstellen, aktualisieren und löschen. Ja

Hinweise

Hinweis: Bei persönlichen Konten gewähren „Files.Read“ und „Files.ReadWrite“ auch Zugriff auf Dateien, die für den angemeldeten Benutzer freigegeben sind.

Die delegierten Berechtigungen „Files.Read.Selected“ und „Files.ReadWrite.Selected“ sind nur für Geschäfts-, Schul- oder Unikonten gültig und werden nur für Arbeit mit Office 365-Dateihandlern (v1.0) bereitgestellt. Sie dürfen nicht verwendet werden, um Microsoft Graph-APIs direkt aufzurufen.

Die delegierte Berechtigung „Files.ReadWrite.AppFolder“ ist nur für persönliche Konten gültig und wird zum Zugreifen auf den speziellen Anwendungsstammordner mit der Microsoft Graph-API Speziellen Ordner abrufen für OneDrive verwendet.

Verwendungsbeispiel

Delegiert

  • Files.Read: Dateien lesen, die im OneDrive des angemeldeten Benutzers gespeichert sind (GET /me/drive/root/children)
  • Files.Read.All: Dateien lesen, die für den angemeldeten Benutzer freigegeben sind (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite: Eine Datei im OneDrive des angemeldeten Benutzers schreiben (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All: Eine für den Benutzer freigegebene Datei schreiben (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder: Dateien in den App-Ordner in OneDrive schreiben (PUT /me/drive/special/approot/children/file.txt/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Finanzdaten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Financials.ReadWrite.All Lesen und Schreiben von Finanzdaten Ermöglicht der App, Finanzdaten im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Nein

Gruppenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Group.Read.All Lesezugriff auf alle Gruppen Die App kann Gruppen aufführen und deren Eigenschaften sowie alle Gruppenmitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen, auf die der Benutzer zugreifen kann, lesen. Ja Nein
Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen Die App kann Gruppen erstellen und alle Gruppeneigenschaften und -mitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem für alle Gruppen, auf die der Benutzer zugreifen kann, Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen. Darüber hinaus können Gruppenbesitzer ihre eigenen Gruppen verwalten, und Gruppenmitglieder können Gruppeninhalte aktualisieren. Ja Nein
GroupMember.Read.All Lesen von Gruppenmitgliedschaften Ermöglicht der App das Auflisten von Gruppen sowie das Lesen grundlegender Gruppeneigenschaften und der Mitgliedschaft aller Gruppen, auf die der angemeldete Benutzer Zugriff hat. Ja Nein
GroupMember.ReadWrite.All Lesen und Schreiben von Gruppenmitgliedschaften Ermöglicht der App das Auflisten von Gruppen, das Lesen grundlegender Eigenschaften sowie das Lesen und Aktualisieren der Mitgliedschaft derjenigen Gruppen, auf die der angemeldete Benutzer Zugriff hat. Gruppeneigenschaften und Besitzer können nicht aktualisiert und Gruppen nicht gelöscht werden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Group.Read.All Lesezugriff auf alle Gruppen Ermöglicht es der App, Mitgliedschaften für alle Gruppen ohne einen angemeldeten Benutzer zu lesen. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen lesen.

Hinweis: Nicht alle Gruppen-APIs unterstützen Zugriff über Nur-App-Berechtigungen. Beispiele finden Sie unter Bekannte Probleme.
Ja
Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen Die App kann Gruppen erstellen, Gruppenmitgliedschaften lesen und aktualisieren und Gruppen löschen. Die App kann außerdem für alle Gruppen Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden.

Hinweis: Nicht alle Gruppen-APIs unterstützen Zugriff über Nur-App-Berechtigungen. Beispiele finden Sie unter Bekannte Probleme.
Ja
Group.Selected Zugreifen auf ausgewählte Gruppen Hinweis: diese Berechtigung wird im Azure-Portal für ein Feature verfügbar gemacht, das nicht für die allgemeine Verwendung verfügbar ist. Verwenden Sie diese Berechtigung nicht, da sie geändert werden wird. Ja
GroupMember.Read.All Lesen von Gruppenmitgliedschaften Ermöglicht der App das Lesen von Mitgliedschaften und grundlegender Gruppeneigenschaften für alle Gruppen ohne angemeldeten Benutzer. Ja
GroupMember.ReadWrite.All Lesen und Schreiben von Gruppenmitgliedschaften Ermöglicht der App das Auflisten von Gruppen, das Lesen grundlegender Eigenschaften sowie das Lesen und Aktualisieren der Mitgliedschaft der Gruppen ohne angemeldeten Benutzer. Gruppeneigenschaften und Besitzer können nicht aktualisiert und Gruppen nicht gelöscht werden. Ja
Group.Create Erstellen von Gruppen Ermöglicht es der aufrufenden App, Gruppen ohne angemeldeten Benutzer zu erstellen. Lässt das Lesen, Aktualisieren oder Löschen von Gruppen nicht zu. Ja

Hinweise

Gruppenfunktionen werden für persönliche Microsoft-Konten nicht unterstützt.

Für Microsoft 365-Gruppen gewähren Gruppenberechtigungen der App Zugriff auf den Inhalt der Gruppe, z. B. Unterhaltungen, Dateien, Notizen usw.

Im Hinblick auf Anwendungsberechtigungen gelten einige Einschränkungen für die unterstützten APIs. Weitere Informationen finden Sie unter bekannte Probleme.

In einigen Fällen benötigt eine App eventuell Verzeichnisberechtigungen, um einige Gruppeneigenschaften wie member und memberOf zu lesen. Wenn eine Gruppe z. B. einen oder mehrere servicePrincipals als Mitglieder besitzt, benötigt die App effektive Berechtigungen zum Lesen von Dienstprinzipalen, indem ihr eine der Berechtigungen vom Typ Directory.* gewährt wird, andernfalls gibt Microsoft Graph einen Fehler zurück. (Im Fall von delegierten Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation zum Lesen von Dienstprinzipalen.) Dasselbe gilt für die Eigenschaft memberOf, die administrativeUnits zurückgeben kann.

Zum Festlegen des preferredDataLocation-Attributs einer Microsoft 365-Gruppe benötigt eine App die „Directory.ReadWrite.All“-Berechtigung. Wenn ein Benutzer in einer Multi-Geo-Umgebung eine Microsoft 365-Gruppe erstellt, wird als bevorzugter preferredDataLocation-Wert der Gruppe automatisch der dieses Benutzers festgelegt. Weitere Informationen über bevorzugte Datenspeicherorte finden Sie unter Erstellen einer Microsoft 365-Gruppe mit einem bestimmten PDL.

Gruppenberechtigungen werden zum Steuern des Zugriffs auf Microsoft Teams-Ressourcen und APIs verwendet. Persönliche Microsoft-Konten werden nicht unterstützt.

Gruppenberechtigungen werden auch verwendet, um den Zugriff auf Microsoft Planner-Ressourcen und -APIs zu steuern. Nur delegierte Berechtigungen werden für Microsoft Planner-APIs unterstützt; Anwendungsberechtigungen werden nicht unterstützt. Persönliche Microsoft-Konten werden nicht unterstützt.

Verwendungsbeispiel

Delegiert

  • Group.Read.All: Alle Microsoft 365-Gruppen lesen, in denen der angemeldete Benutzer Mitglied ist (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: Alle Microsoft 365-Gruppeninhalte lesen, wie z. B. Unterhaltungen (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: Gruppeneigenschaften wie Fotos aktualisieren (PUT /groups/{id}/photo/$value).
  • GroupMember.ReadWrite.All: Gruppenmitglieder aktualisieren (POST /groups/{id}/members/$ref).

Hinweis: Diese Berechtigung erfordert auch User.ReadBasic.All zum Lesen des Benutzers, der als Mitglied hinzugefügt werden soll.

Anwendung

  • Group.Read.All: Alle Gruppen suchen, deren Name mit „Sales“ beginnt (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: Daemondienst erstellt neue Ereignisse im Kalender einer Microsoft 365-Gruppe (POST /groups/{id}/events).
  • Group.Create: erstellt eine neue Gruppe (POST /groups).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Identitätsanbieter

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityProvider.Read.All Identitätsanbieterinformationen lesen Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
IdentityProvider.ReadWrite.All Identitätsanbieterinformationen lesen und schreiben Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Hinweise

IdentityProvider.Read.All und IdentityProvider.ReadWrite.All gelten nur für Geschäfts- oder Schulkonten. Damit eine App Identitätsanbieter mit delegierten Berechtigungen lesen oder schreiben kann, muss dem angemeldeten Benutzer die globale Administratorrolle zugewiesen sein. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:

  • IdentityProvider.Read.All: Alle im Mandanten konfigurierten Identitätsanbieter lesen (GET /beta/identityProviders)
  • IdentityProvider.Read.All: Einen vorhandenen Identitätsanbieter lesen (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Identitätsanbieter erstellen (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter aktualisieren (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter löschen (DELETE /beta/identityProviders/{id})

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Identitätsrisiken

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityRiskEvent.Read.All Informationen zu Identitätsrisikoereignissen lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
IdentityRiskyUser.Read.All Informationen zu Identitätsrisiken für Benutzer lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
IdentityRiskyUser.ReadWrite.All Informationen zu Identitätsrisiken für Benutzer lesen und aktualisieren Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu aktualisieren. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
IdentityRiskEvent.Read.All Informationen zu Identitätsrisikoereignissen lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
IdentityRiskyUser.Read.All Informationen zu Identitätsrisiken für Benutzer lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen. Ja
IdentityRiskyUser.ReadWrite.All Informationen zu Identitätsrisiken für Benutzer lesen und aktualisieren Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen und zu aktualisieren. Ja

Alle Identitätsrisikoberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten. Damit eine App mit delegierten Berechtigungen Informationen zu Identitätsrisiken lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Azure AD-Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator oder Benutzer mit Leseberechtigung für Sicherheitsfunktionen.

Verwendungsbeispiel

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

Risikoereignisse lesen

  • Alle Risikoereignisse lesen, die für alle Benutzer im Mandanten generiert werden (GET /identityProtection/riskDetections)
  • Die letzten 50 Risikoereignisse lesen (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50)

Riskante Benutzer lesen

  • Alle riskanten Benutzer und Eigenschaften im Mandanten lesen (GET /identityProtection/riskyUsers)
  • Alle riskanten Benutzer lesen, deren Risikostufe „Mittel“ (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
  • Risikoinformationen für einen bestimmten Benutzer lesen (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Identitätsbenutzerstrom-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityUserFlow.Read.All Lesen aller Identitätsbenutzerströme in einem Mandanten Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen. Ja Nein
IdentityUserFlow.ReadWrite.All Lesen und Schreiben aller Identitätsbenutzerströme in einem Mandanten. Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen oder zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityUserFlow.Read.All Lesen aller Identitätsbenutzerströme in einem Mandanten Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen. Ja Nein
IdentityUserFlow.ReadWrite.All Lesen und Schreiben aller Identitätsbenutzerströme in einem Mandanten. Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen oder zu schreiben. Ja Nein

Bemerkungen

IdentityUserFlow.Read.All und IdentityUserFlow.ReadWrite.ALL gelten nur für Geschäfts- oder Ausbildungskonten.

Damit eine App mit delegierten Berechtigungen Benutzerströme lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzerstromadministrator für externe Identitäten oder Global Reader. Damit eine App mit delegierten Berechtigungen Benutzerströme schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzerstromadministrator für externe Identitäten.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert und Anwendung

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

  • IdentityUserFlow.Read.All: Lesen aller Benutzerströme in einem Azure AD B2C-Mandanten (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: Lesen aller Benutzerströme in einem Azure Active Directory (Azure AD)-Mandanten (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All: alle Benutzerattribut-Zuweisungen in einem Azure AD B2C-Benutzerfluss lesen (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
  • IdentityUserFlow.ReadWrite.All: Erstellen eines neuen Benutzerstroms in einem Azure AD B2C-Mandanten (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: Erstellen eines neuen Benutzerstroms in einem Azure Active Directory (Azure AD)-Mandanten (POST beta/identity/b2xUserflows)
  • IdentityUserFlow.ReadWrite.All: Hinzufügen eines Identitätsanbieters zu einem Azure AD B2C-Benutzerstrom (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentityUserFlow.ReadWrite.All: Entfernen eines Identitätsanbieters aus einem Azure AD B2C-Benutzerstrom (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: Erstellen einer Benutzerattribut-Zuweisung in einem Azure AD B2C-Benutzerfluss (POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Information Protection-Richtlinie

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
InformationProtectionPolicy.Read Benutzer-Vertraulichkeitsbezeichnungen und Bezeichnungsrichtlinien lesen. Ermöglicht einer App das Lesen von Information Protection-Vertraulichkeitskennzeichnungen und Bezeichnungsrichtlinieneinstellungen im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
InformationProtectionPolicy.Read.All Lesezugriff auf alle veröffentlichten Bezeichnungen und Bezeichnungsrichtlinien für eine Organisation Ermöglicht einer App, veröffentlichte Vertraulichkeitsbezeichnungen und die Einstellungen für Bezeichnungsrichtlinien für die gesamte Organisation oder für einen bestimmten Benutzer zu lesen, ohne dass ein Benutzer angemeldet ist. Ja

Berechtigungen für Intune-Geräteverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
DeviceManagementApps.Read.All Microsoft Intune-Apps lesen Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen. Ja Nein
DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben. Ja Nein
DeviceManagementConfiguration.Read.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen. Ja Nein
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben. Ja Nein
DeviceManagementManagedDevices.PrivilegedOperations.All Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführen Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden. Ja Nein
DeviceManagementManagedDevices.Read.All Microsoft Intune-Geräte lesen Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen. Ja Nein
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune-Geräte lesen und schreiben Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers. Ja Nein
DeviceManagementRBAC.Read.All Microsoft Intune-RBAC-Einstellungen lesen Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen. Ja Nein
DeviceManagementRBAC.ReadWrite.All Microsoft Intune-RBAC-Einstellungen lesen und schreiben Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben. Ja Nein
DeviceManagementServiceConfig.Read.All Microsoft Intune-Konfiguration lesen Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune-Konfiguration lesen und schreiben Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
DeviceManagementApps.Read.All Microsoft Intune-Apps lesen Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen. Ja Nein
DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben. Ja Nein
DeviceManagementConfiguration.Read.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen. Ja Nein
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben. Ja Nein
DeviceManagementManagedDevices.PrivilegedOperations.All Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführen Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden. Ja Nein
DeviceManagementManagedDevices.Read.All Microsoft Intune-Geräte lesen Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen. Ja Nein
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune-Geräte lesen und schreiben Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers. Ja Nein
DeviceManagementRBAC.Read.All Microsoft Intune-RBAC-Einstellungen lesen Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen. Ja Nein
DeviceManagementRBAC.ReadWrite.All Microsoft Intune-RBAC-Einstellungen lesen und schreiben Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben. Ja Nein
DeviceManagementServiceConfig.Read.All Microsoft Intune-Konfiguration lesen Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune-Konfiguration lesen und schreiben Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein

Bemerkungen

Hinweis: Die Verwendung der Microsoft Graph-APIs zum Konfigurieren von Intune-Steuerelementen und -Richtlinien erfordert dennoch, dass der Intune-Dienst vom Kunden ordnungsgemäß lizenziert ist.

Diese Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert

  • DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).

Anwendung

  • DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


E-Mail-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Mail.Read Benutzer-E-Mails lesen Die App kann E-Mails in Benutzerpostfächern lesen. Nein Ja
Mail.ReadBasic Grundlegende Mail des Benutzers lesen Ermöglicht der App, E-Mails im Postfach des angemeldeten Benutzers zu lesen, außer body, bodyPreview, uniqueBody, attachments, extensions sowie aller erweiterten Eigenschaften. Umfasst keine Berechtigungen zum Durchsuchen von Nachrichten. Nein Nein
Mail.ReadWrite Schreib-/Lesezugriff auf Benutzer-E-Mails Die App kann E-Mails in Benutzerpostfächern erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails. Nein Ja
Mail.Read.Shared Benutzer-E-Mails und freigegebene E-Mails lesen Die App kann E-Mails lesen, auf die der Benutzer zugreifen kann, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Nein Nein
Mail.ReadWrite.Shared Benutzer-E-Mails und freigegebene E-Mails lesen und schreiben Die App kann E-Mails erstellen, lesen, aktualisieren und löschen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Nein
Mail.Send E-Mails als Benutzer senden Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden. Nein Ja
Mail.Send.Shared Senden von E-Mails im Auftrag von anderen Benutzern Die App kann E-Mails als angemeldeter Benutzer senden, einschließlich Versand im Namen anderer Benutzer. Nein Nein
MailboxSettings.Read Postfacheinstellungen des Benutzers lesen Die App kann die Postfacheinstellungen des Benutzers lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Ja
MailboxSettings.ReadWrite Benutzerpostfacheinstellungen lesen und schreiben Die App kann die Postfacheinstellungen des Benutzers erstellen, lesen, aktualisieren und löschen. Enthält keine Berechtigung zum direkten Senden von E-Mail-Nachrichten, jedoch kann die App Regeln erstellen, die Nachrichten weiterleiten oder umleiten kann. Nein Ja
IMAP.AccessAsUser.All Schreib-/Lesezugriff auf Benutzer-E-Mails via IMAP Die App kann E-Mails in Benutzerpostfächern lesen, aktualisieren, erstellen und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Ja
POP.AccessAsUser.All Schreib-/Lesezugriff auf Benutzer-E-Mails via POP Die App kann E-Mails in Benutzerpostfächern lesen, aktualisieren, erstellen und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Ja
SMTP.Send Senden von e-Mails als Benutzer mit SMTP AUTH Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden. Nein Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Mail.Read Lesezugriff auf E-Mails in allen Postfächern Die App kann E-Mails in allen Postfächern ohne einen angemeldeten Benutzer lesen. Ja
Mail.ReadBasic.All Grundlegende E-Mails aller Benutzer lesen Ermöglicht der App, das Postfach aller Benutzer zu lesen, außer der Eigenschaften "Body", "BodyPreview", "UniqueBody", "Attachments", "ExtendedProperties" und "Extensions". Enthält keine Berechtigungen zum Durchsuchen von Nachrichten. Ja
Mail.ReadWrite Lese- und Schreibzugriff auf E-Mails in allen Postfächern Die App kann E-Mails in allen Postfächern ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails. Ja
Mail.Send E-Mails als beliebiger Benutzer senden Die App kann E-Mails im Namen eines beliebigen Benutzers ohne einen angemeldeten Benutzer senden. Ja
MailboxSettings.Read Alle Benutzerpostfacheinstellungen lesen Die App kann Benutzerpostfacheinstellungen ohne einen angemeldeten Benutzer lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein
MailboxSettings.ReadWrite Alle Benutzerpostfacheinstellungen lesen und schreiben Die App kann Benutzerpostfacheinstellungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Mail.Read“, „Mail.ReadWrite“, „Mail.Send“, „MailboxSettings.Read“ oder „MailboxSettings.ReadWrite“ besitzt.

Bemerkungen

Mail.Read.Shared, Mail.ReadWrite.Shared und Mail.Send.Shared gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.

Mit der Berechtigung Mail.Send oder Mail.Send.Shared kann eine App E-Mails senden und eine Kopie im Ordner „Gesendete Elemente“ des Benutzers speichern, selbst wenn die App keine entsprechende Mail.ReadWrite- oder Mail.ReadWrite.Shared-Berechtigung verwendet.

Verwendungsbeispiel

Delegiert

  • Mail.Read: Nachrichten im Posteingang des Benutzers sortiert nach receivedDateTime auflisten (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: Aller Nachrichten mit Anlagen im Posteingang eines Benutzers suchen, der seinen Posteingang für den angemeldeten Benutzer freigegeben hat (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: Eine Nachricht als gelesen markieren (PATCH /me/messages/{id}).
  • Mail.Send: Eine Nachricht senden (POST /me/sendmail).
  • MailboxSettings.ReadWrite: Die automatische Antwort des Benutzers aktualisieren (PATCH /me/mailboxSettings).

Anwendung

  • Mail.Read: Nachrichten von bob@contoso.com suchen (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: Einen neuen Ordner mit dem Namen Expense Reports im Posteingang erstellen (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: Eine Nachricht senden (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: Die Standardzeitzone für das Postfach des Benutzers abrufen (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Mitgliedsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Member.Read.Hidden Ausgeblendete Mitgliedschaften lesen Erlaubt es der App, im Namen des angemeldeten Benutzers die Mitgliedschaften aller ausgeblendeten Gruppen und administrativen Einheiten zu lesen, auf die der angemeldete Benutzer Zugriff hat. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Member.Read.Hidden Alle ausgeblendeten Mitgliedschaften lesen Ermöglicht der App, die Mitgliedschaften ausgeblendeter Gruppen und administrativer Einheiten ohne einen angemeldeten Benutzer zu lesen. Ja

Hinweise

Member.Read.Hidden gilt nur für Geschäfts-, Schul- oder Unikonten.

Die Mitgliedschaft in einigen Microsoft 365-Gruppen kann ausgeblendet sein. Dies bedeutet, dass nur die Mitglieder der Gruppe deren Mitglieder anzeigen können. Dieses Feature ist hilfreich zur Einhaltung von Vorschriften, die erfordern, dass eine Organisation Gruppenmitgliedschaften für Außenstehende ausblendet (z. B. eine Microsoft 365-Gruppe, zu der in einem Kurs angemeldete Teilnehmer gehören).

Verwendungsbeispiel

Delegiert

  • Member.Read.Hidden: Lesen aller Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /administrativeUnits/{id}/members)
  • Member.Read.Hidden: Lesen aller Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /groups/{id}/members)

Anwendung

  • Member.Read.Hidden: Die Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft lesen (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Die Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft lesen (GET /groups/{id}/members).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Notizberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Notes.Read OneNote-Benutzernotizbücher lesen Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen. Nein Ja
Notes.Create OneNote-Benutzernotizbücher erstellen Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen. Nein Ja
Notes.ReadWrite OneNote-Benutzernotizbücher lesen und schreiben Ermöglicht der App, OneNote-Notizbücher im Namen des angemeldeten Benutzers zu lesen, freizugeben und zu ändern. Nein Ja
Notes.Read.All Alle OneNote-Notizbücher lesen, auf die der Benutzer zugreifen kann Ermöglicht der App, OneNote-Notizbücher zu lesen, auf die der angemeldete Benutzer in der Organisation Zugriff hat. Nein Nein
Notes.ReadWrite.All Alle OneNote-Notizbücher lesen und schreiben, auf die der Benutzer zugreifen kann Ermöglicht der App, OneNote-Notizbücher zu lesen, freizugeben und zu ändern, auf die der angemeldete Benutzer in der Organisation Zugriff hat. Nein Nein
Notes.ReadWrite.CreatedByApp Eingeschränkter Zugriff auf Notizbücher (veraltet) Veraltet
Nicht verwenden. Durch diese Berechtigung werden keine Rechte gewährt.
Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Notes.Read.All Alle OneNote-Benutzernotizbücher lesen Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
Notes.ReadWrite.All Alle OneNote-Benutzernotizbücher lesen und schreiben Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, freizugeben und zu ändern. Ja

HinwBemerkungeneise

Notes.Read.All und Notes.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.

Mit der Berechtigung Notes.Create kann eine App die OneNote-Notizbuchhierarchie des angemeldeten Benutzers anzeigen und OneNote-Inhalte (Notizbücher, Abschnittsgruppen, Abschnitte, Seiten usw.) erstellen.

Notes.ReadWrite und Notes.ReadWrite.All ermöglichen der App außerdem, die Berechtigungen für den OneNote-Inhalt zu ändern, auf den vom angemeldeten Benutzer zugegriffen werden kann.

Für Geschäfts-, Schul- oder Unikonten ermöglichen Notes.Read.All und Notes.ReadWrite.All der App, auf OneNote-Inhalte anderer Benutzer zuzugreifen, für die der angemeldete Benutzer innerhalb der Organisation über Berechtigungen verfügt.

Verwendungsbeispiel

Delegiert

  • Notes.Create: Ein neues Notizbuch für den angemeldeten Benutzer erstellen (POST /me/onenote/notebooks).
  • Notes.Read: Die Notizbücher des angemeldeten Benutzers lesen (GET /me/onenote/notebooks).
  • Notes.Read.All: Alle Notizbücher abrufen, auf die der angemeldete Benutzer innerhalb der Organisation Zugriff hat (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: Die Seite des angemeldeten Benutzers aktualisieren (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: Eine Seite im Notizbuch eines anderen Benutzers erstellen, auf das der angemeldete Benutzer innerhalb der Organisation Zugriff hat (POST /users/{id}/onenote/pages).

Anwendung

  • Notes.Read.All: Alle Benutzernotizbücher in einer Gruppe lesen (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: Die Seite in einem Notizbuch für einen beliebigen Benutzer in der Organisation aktualisieren (PATCH /users/{id}/onenote/pages/{id}/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Benachrichtigungsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Notifications.ReadWrite.CreatedByApp Bereitstellen und Verwalten von Benachrichtigungen für diese App. Ermöglicht der App, ihre Benachrichtigungen im Namen angemeldeter Benutzer zu übermitteln. Ermöglicht der App außerdem, die Benachrichtigungselemente des Benutzers für diese App zu lesen, zu aktualisieren und zu löschen. Nein

Hinweise

Notifications.ReadWrite.CreatedByApp gilt sowohl für Microsoft- als auch Geschäfts-, Schul- und Unikonten. Die CreatedByApp-Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst die implizite Filterung auf die Ergebnisse basierend auf der Identität der aufrufenden Anwendung anwendet, entweder der Microsoft-Konto-App-ID oder einem Satz von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.

Verwendungsbeispiel

Delegiert

  • Notifications.ReadWrite.CreatedByApp: Veröffentlichen einer benutzerorientierten Benachrichtigung, die dann an mehrere Anwendungsclients des Benutzers gesendet werden kann, die an unterschiedlichen Endpunkten ausgeführt werden. (POST /me/notifications/).

Berechtigungen für Onlinebesprechungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OnlineMeetings.Read Lesen von Onlinebesprechungsdetails. Ermöglicht einer App das Lesen von Details von Onlinebesprechungen im Auftrag des angemeldeten Benutzers. Nein Nein
OnlineMeetings.ReadWrite Lesen und Erstellen von Onlinebesprechungen. Ermöglicht einer App das Erstellen und Lesen von Onlinebesprechungen im Auftrag des angemeldeten Benutzers. Nein Nein
OnlineMeetingArtifact.Read.All Onlinebesprechungsartefakte lesen. Ermöglicht der App das Lesen von Onlinebesprechungsartefakten im Namen des angemeldeten Benutzers. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
OnlineMeetings.Read.All Lesen von Onlinebesprechungsdetails aus der App Ermöglicht der App, Onlinebesprechungsdetails in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
OnlineMeetings.ReadWrite.All Lesen von Onlinebesprechungsdetails aus der App Ermöglicht einer App das Erstellen und Lesen von Onlinebesprechungen ohne einen angemeldeten Benutzer. Ja
OnlineMeetingArtifact.Read.All Lesen von Onlinebesprechungsartefakten aus der App Ermöglicht der App, Onlinebesprechungsartefakte in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja

Wichtig Administratoren können die Zugriffsrichtlinien für Apps so konfigurieren, dass Apps im Namen eines Benutzers Zugriff auf Onlinebesprechungen erlangen können.

Verwendungsbeispiel

Delegiert

  • OnlineMeetings.Read: Abrufen der Eigenschaften und Beziehungen einer Onlinebesprechung (GET /beta/communications/onlinemeetings/{default id}).
  • OnlineMeetings.ReadWrite.: Erstellen einer Onlinebesprechung (POST /beta/communications/onlinemeetings).

Anwendung

  • OnlineMeetings.Read.All
    • Dient zum Abrufen der Eigenschaften und der Beziehungen einer Onlinebesprechung (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Abrufen einer Onlinebesprechung im Namen eines Benutzers (`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • Abrufen einer Onlinebesprechung im Namen eines Benutzers (`POST /beta/users/{userId}/onlineMeetings/)
    • Aktualisieren einer Onlinebesprechung im Namen eines Benutzers (`PATCH/beta/users/{userId}/onlineMeetings/{id})
    • Löschen einer Onlinebesprechung im Namen eines Benutzers (`DELETE/beta/users/{userId}/onlineMeetings/{id})

Hinweis: Durch Erstellen einer Onlinebesprechung wird eine Besprechung im Namen eines im Anforderungstext angegebenen Benutzers erstellt; diese wird aber nicht im Kalender des Benutzers angezeigt.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für lokale Veröffentlichungsprofile

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OnPremisesPublishingProfiles.ReadWrite.All Auf lokale Veröffentlichungsprofile zugreifen Ermöglicht der App, die Konfiguration des Hybrid-Identitätsdiensts durch Erstellen, Anzeigen, Aktualisieren und Löschen von lokalen veröffentlichten Ressourcen, lokalen Agents und Agentengruppen im Auftrag des angemeldeten Benutzers zu verwalten. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OnPremisesPublishingProfiles.ReadWrite.All Auf lokale Veröffentlichungsprofile zugreifen Ermöglicht der App, die Konfiguration des Hybrid-Identitätsdiensts durch Erstellen, Anzeigen, Aktualisieren und Löschen von lokalen veröffentlichten Ressourcen, lokalen Agents und Agentengruppen im Auftrag des angemeldeten Benutzers zu verwalten. Nein Nein

OpenID-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
email E-Mail-Adresse von Benutzern anzeigen Ermöglicht der App, die primäre E-Mail-Adresse Ihrer Benutzer zu lesen. Nein Nein
offline_access Jederzeit auf Daten des Benutzers zugreifen Ermöglicht der App, Benutzerdaten zu lesen und zu aktualisieren, auch wenn diese die App derzeit nicht verwenden. Nein Nein
openid Benutzer anmelden Damit können Benutzer sich mit Ihren Geschäfts- oder Schulkonten bei der App anmelden, und die App kann grundlegende Benutzerprofilinformationen lesen. Nein Nein
profile Grundlegendes Profil von Benutzern anzeigen Ermöglicht der App, das grundlegende Profil Ihrer Benutzer (Name, Bild, Benutzername) anzuzeigen. Nein Nein

Anwendungsberechtigungen

Keine.

HinwBemerkungeneise

Sie können diese Berechtigungen verwenden, um Artefakte anzugeben, die in Azure AD-Autorisierungs- und Tokenanforderungen zurückgegeben werden sollen. Sie werden von den Azure AD v1.0- und v2.0-Endpunkten unterschiedlich unterstützt.

Beim Azure AD (v1.0)-Endpunkt wird nur die Berechtigung openid verwendet. Sie wird im scope-Parameter in einer Autorisierungsanforderung angegeben, um ein ID-Token zurückzugeben, wenn Sie das OpenID Connect-Protokoll zum Anmelden eines Benutzers bei Ihrer App verwenden. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Webanwendungen mithilfe von Open ID Connect und Azure Active Directory. Damit ein ID-Token erfolgreich zurückgegeben wird, müssen Sie auch sicherstellen, dass die Berechtigung User.Read konfiguriert wird, wenn Sie Ihre App registrieren.

Beim Azure AD v2.0-Endpunkt geben Sie die Berechtigung offline_access im scope-Parameter an, um explizit ein Aktualisierungstoken anzufordern, wenn Sie das OAuth 2.0- oder OpenID-Protokoll verwenden. Bei OpenID Connect geben Sie die Berechtigung openid zum Anfordern eines ID-Tokens an. Sie können auch die Berechtigung email, die Berechtigung profile oder beide angeben, um zusätzliche Ansprüche im ID-Token zurückzugeben. Sie müssen nicht User.Read angeben, um ein ID-Token mit dem v2.0-Endpunkt zurückzugeben. Weitere Informationen finden Sie unter OpenID Connect -Bereiche.

Wichtig In der MSAL (Microsoft Authentication Library) werden derzeit standardmäßig offline_access, openid, profile, und email in Autorisierungs- und Tokenanforderungen angegeben. Wenn Sie diese Berechtigungen explizit angeben, bedeutet dies im Standardfall, dass Azure AD möglicherweise einen Fehler zurückgibt.


Berechtigungen für die Organisation

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Organization.Read.All Organisationsinformationen lesen Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja Nein
Organization.ReadWrite.All Organisationsinformationen lesen und schreiben Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Organization.Read.All Organisationsinformationen lesen Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja
Organization.ReadWrite.All Organisationsinformationen lesen und schreiben Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja

Verwendungsbeispiel

Delegiert

  • Organization.Read.All: Organisationsinformation abrufen (GET /organization).
  • Organization.Read.All: SKUs abrufen, die die Organisation abonniert hat (GET /subscribedSkus).

Anwendung

  • Organization.ReadWrite.All: Organisationsinformation aktualisieren (beispielsweise technicalNotificationMails) (PATCH /organization/{id}).

Berechtigungen von Organisationskontakten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OrgContact.Read.All Lesen von Organisationskontakten Ermöglicht der App, alle Kontakte der Organisation im Namen des angemeldeten Benutzers zu lesen. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
OrgContact.Read.All Lesen von Organisationskontakten Ermöglicht der App, alle Kontakte der Organisation ohne angemeldeten Benutzer zu lesen. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers. Ja

Verwendungsbeispiel

Delegiert

  • OrgContact.Read.All: alle Organisationskontakte abrufen (GET /contacts).

Personenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
People.Read Lesezugriff auf Listen mit für den Benutzer relevanten Personen Die App kann eine bewertete Liste relevanter Personen des angemeldeten Benutzers lesen. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Nein Ja
People.Read.All Lesezugriff auf alle Listen mit für den Benutzer relevanten Personen Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Ermöglicht der App das Durchsuchen des gesamten Verzeichnisses der Organisation des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
People.Read.All Lesezugriff auf alle Listen mit für den Benutzer relevanten Personen Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind.

Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Dies erlaubt der App ebenfalls, das gesamte Verzeichnis der Organisation des angemeldeten Benutzers zu durchsuchen.
Ja

Hinweise

Die People.Read.All-Berechtigung gilt nur für Arbeits- und Schul- sowie Unikonten.

Verwendungsbeispiel

Delegiert

  • People.Read: Lesezugriff auf eine Liste der relevanten Personen (GET /me/people)
  • People.Read.All: Lesezugriff auf eine Liste der relevanten Personen für einen anderen Benutzer in der gleichen Organisation (GET /users('{id})/people)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für den privilegierten Zugriff

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
PrivilegedAccess.ReadWrite.AzureAD Lesen und Schreiben von Privileged Identity Management-Daten für Verzeichnis Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure AD. Ja Nein
PrivilegedAccess.ReadWrite.AzureADGroup Lesen und Schreiben von Privileged Identity Management-Daten für Gruppen mit privilegiertem Zugriff Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Gruppen. Ja Nein
PrivilegedAccess.ReadWrite.AzureResources Lesen und Schreiben von Privileged Identity Management-Daten für Azure-Ressourcen Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure-Ressourcen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
PrivilegedAccess.Read.AzureAD Lesen von Privileged Identity Management-Daten für Verzeichnis Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Azure AD. Ja
PrivilegedAccess.Read.AzureADGroup Lesen von Privileged Identity Management-Daten für Gruppen mit privilegiertem Zugriff Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Gruppen. Ja
PrivilegedAccess.Read.AzureResources Lesen von Privileged Identity Management-Daten für Azure-Ressourcen Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Azure AD-Ressourcen. Ja

Berechtigungen für Orte

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Place.Read.All Alle Unternehmensorte lesen Ermöglicht es der App das Lesen von Unternehmensorten (Konferenzräume und Raumlisten), die in Exchange Online für den Mandanten eingerichtet wurden. Ja Nein
Place.ReadWrite.All Alle Unternehmensorte lesen und schreiben Ermöglicht der App das Lesen und Schreiben von Unternehmensorten (Konferenzräume und Raumlisten), die in Exchange Online für den Mandanten eingerichtet wurden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Place.Read.All Alle Unternehmensorte lesen Ermöglicht es der APP, Unternehmensorte (Konferenzräume und Raumlisten) für Kalenderereignisse und andere Anwendungen zu lesen. Ja

Berechtigungen für Richtlinien

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Policy.Read.All Lesen der Richtlinien Ihrer Organisation Ermöglicht der App, die Richtlinien Ihrer Organisation im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
Policy.Read.PermissionGrant Lesen Sie die Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien bezüglich der Einwilligung und Erteilung von Berechtigungen für Anwendungen im Namen des angemeldeten Benutzers zu lesen. Ja Nein
Policy.ReadWrite.AccessReview Lese- und Schreibzugriff auf die Zugriffsüberprüfungsrichtlinie Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Zugriffsüberprüfungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Ja Nein
Policy.ReadWrite.ApplicationConfiguration Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation Ermöglicht der App, Anwendungskonfigurationsrichtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.AuthenticationFlows Lesen und Schreiben der Richtlinien Ihrer Organisation zum Authentifizierungsfluss Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zum Authentifizierungsfluss zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.AuthenticationMethod Lese- und Schreibzugriff auf Richtlinien zur Authentifizierungsmethode Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zur Authentifizierungsmethode auszulesen und zu schreiben. Dem angemeldeten Benutzer muss außerdem die Rolle „Globaler Administrator“ zugewiesen werden. Ja Nein
Policy.ReadWrite.Authorization Lese- und Schreibzugriff auf die Autorisierungsrichtlinie Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Autorisierungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Mithilfe von Autorisierungsrichtlinien können beispielsweise einige der Berechtigungen festgelegt werden, über die die vordefinierte Benutzerrolle standardmäßig verfügt. Ja Nein
Policy.ReadWrite.ConditionalAccess Lesen und Schreiben der Richtlinien zum bedingten Zugriff Ihrer Organisation Ermöglicht der App, im Auftrag des angemeldeten Benutzers Richtlinien zum bedingten Zugriff für Ihre Organisation zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.ConsentRequest Lese- und Schreibzugriff auf die Richtlinie für Zustimmungsanfragen Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinie für Zustimmungsanfragen für Ihre Organisation zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.FeatureRollout Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation Ermöglicht der App, Feature-Rollout-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Umfasst die Möglichkeit des Zuweisens und Entfernens von Benutzern und Gruppen beim Rollout eines bestimmten Features. Ja Nein
Policy.ReadWrite.PermissionGrant Verwalten von Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien bezüglich der Einwilligung und Erteilung von Berechtigungen für Anwendungen im Namen des angemeldeten Benutzers zu verwalten. Ja Nein
Policy.ReadWrite.TrustFramework Lesen und Schreiben der Vertrauensframework-Richtlinien Ihrer Organisation Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.AuthenticationMethod Lesen und Schreiben der Richtlinien Ihrer Organisation zur Authentifizierungsmethode Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zur Authentifizierungsmethode auszulesen und zu schreiben. Ja Nein
Policy.ReadWrite.MobilityManagement Lesen und Schreiben der Richtlinien Ihrer Organisation für das Mobilitätsmanagement. Erlaubt der App das Lesen und Schreiben der Richtlinien für das Mobilitätsmanagement im Namen des angemeldeten Benutzers. Diese steuern die Einstellungen für die Anwendungen Verwaltung mobiler Geräte (MDM) und mobile Anwendungsverwaltung (MAM). Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Policy.Read.All Lesen der Richtlinien Ihrer Organisation Ermöglicht der App, alle Richtlinien Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
Policy.Read.PermissionGrant Lesen Sie die Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien zur Einwilligung und Erteilung von Berechtigungen für Anwendungen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
Policy.Read.ApplicationConfiguration Lesen der Anwendungskonfigurationsrichtlinien Ihrer Organisation Ermöglicht der App, alle Anwendungskonfigurationsrichtlinien Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
Policy.ReadWrite.AccessReview Lese- und Schreibzugriff auf die Zugriffsüberprüfungsrichtlinie Ihrer Organisation Ermöglicht der App, die Zugriffsüberprüfungsrichtlinie für Ihre Organisation ohne einen angemeldeten Benutzer auszulesen und zu schreiben. Ja
Policy.ReadWrite.ApplicationConfiguration Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation Ermöglicht der App, alle Anwendungskonfigurationsrichtlinien Ihrer Organisation ohne einen angemeldeten Benutzer auszulesen und zu schreiben. Ja
Policy.ReadWrite.AuthenticationFlows Lesen und Schreiben der Richtlinien Ihrer Organisation zum Authentifizierungsfluss Ermöglicht der App das Lesen und Schreiben der Richtlinien zum Authentifizierungsfluss des Mandanten, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.AuthenticationMethod Lese- und Schreibzugriff auf alle Richtlinien zur Authentifizierungsmethode Ermöglicht der App den Lese- und Schreibzugriff auf alle Richtlinien zur Authentifizierungsmethode des Mandanten, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.Authorization Lese- und Schreibzugriff auf die Autorisierungsrichtlinie Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Autorisierungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Mithilfe von Autorisierungsrichtlinien können beispielsweise einige der Berechtigungen festgelegt werden, über die die vordefinierte Benutzerrolle standardmäßig verfügt. Ja
Policy.ReadWrite.ConsentRequest Lese- und Schreibzugriff auf die Richtlinie für Zustimmungsanfragen Ihrer Organisation Ermöglicht der App, ohne einen angemeldeten Benutzer die Richtlinie für Zustimmungsanfragen für Ihre Organisation zu lesen und zu schreiben. Ja
Policy.ReadWrite.FeatureRollout Lesen und Schreiben von Rolloutrichtlinien für Features Ermöglicht der App, Rolloutrichtlinien für Features ohne einen angemeldeten Benutzer zu lesen und schreiben. Umfasst die Möglichkeit zum Zuweisen und Entfernen von Benutzern und Gruppen beim Rollout eines bestimmten Features. Ja
Policy.ReadWrite.PermissionGrant Verwalten von Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien zur Einwilligung und Erteilung von Berechtigungen für Anwendungen zu verwalten, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.TrustFramework Lesen und Schreiben der Vertrauensframework-Richtlinien für Ihre Organisation Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Ja

Verwendungsbeispiel

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

  • Policy.Read.All: Lesen der Richtlinien Ihrer Organisation(GET /policies)
  • Policy.Read.All: Lesen der Vertrauensframework-Richtlinien Ihrer Organisation(GET /beta/trustFramework/policies)
  • Policy.Read.All: Lesen der Rollout-Richtlinien für Features Ihrer Organisation (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.ConditionalAccess: Lesen und Schreiben der Zugriffsüberprüfungsrichtlinien Ihrer Organisation (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows: Lesen und Schreiben der Richtlinie Ihrer Organisation zum Authentifizierungsfluss (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod: Verwenden Sie diese Berechtigung, um die Einstellungen der Richtlinie für Authentifizierungsmethoden zu verwalten, einschließlich der Aktivierung und Deaktivierung von Authentifizierungsmethoden, der Verwendung dieser Methoden durch Benutzer und Gruppen sowie der Konfiguration anderer Einstellungen im Zusammenhang mit den Authentifizierungsmethoden, die Benutzer in einem Mandanten registrieren und verwenden können.
  • Policy.ReadWrite.ConditionalAccess: Lesen und Schreiben der Richtlinien zum bedingten Zugriff Ihrer Organisation (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.FeatureRollout: Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: Vertrauensframework-Richtlinien für Ihre Organisation lesen und schreiben (POST /beta/trustFramework/policies)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Anwesenheitsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Presence.Read Lesen der Anwesenheitsinformationen eines Benutzers Ermöglicht der App das Lesen von Anwesenheitsinformationen im Namen des angemeldeten Benutzers. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort. Nein
Presence.Read.All Lesen von Anwesenheitsinformationen aller Benutzer in Ihrer Organisation Ermöglicht der App das Lesen von Anwesenheitsinformationen aller Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort. Nein

Verwendungsbeispiel

  • Presence.Read: Abrufen der eigenen Anwesenheitsinformationen, wenn Sie angemeldet sind (GET /me/presence)
  • Presence.Read.All: Abrufen der Anwesenheitsinformationen eines anderen Benutzers (GET /users/{id}/presence)
  • Presence.Read.All: Abrufen der Anwesenheitsinformationen mehrerer Benutzer (POST /communications/getPresencesByUserId)

Programme und Programmsteuerung Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ProgramControl.Read.All Alle Programme lesen Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen. Ja Nein
ProgramControl.ReadWrite.All Alle Programme verwalten Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ProgramControl.Read.All Alle Programme lesen Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen. Ja
ProgramControl.ReadWrite.All Alle Programme verwalten Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen und zu schreiben. Ja

Bemerkungen

ProgramControl.Read.All und ProgramControl.ReadWrite.All gelten nur für Geschäfts- oder Schulkonten.

Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator. Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.


Berichtsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Reports.Read.All Alle Verwendungsberichte lesen Die App kann alle Dienstverwendungsberichte im Namen des angemeldeten Benutzers lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Microsoft 365 und Azure Active Directory. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Reports.Read.All Alle Verwendungsberichte lesen Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Microsoft 365 und Azure Active Directory. Ja

Bemerkungen

  • Berichtsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.
  • Hinweis: Damit delegierte Berechtigungen Apps erlauben, Servicenutzungsberichte im Namen eines Benutzers zu lesen, muss der Mandant-Administrator dem Benutzer eine eingeschränkte Administratorrolle von Azure AD zugewiesen haben. Weitere Informationen finden Sie unter Berechtigung für APIs zum Lesen von Microsoft 365-Verwendungsberichten.

Verwendungsbeispiel

Anwendung

  • Reports.Read.All: Verwendungsdetailbericht von E-Mail-Apps für einen Zeitraum von 7 Tagen lesen (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)
  • Reports.Read.All: Aktivitätsdetailbericht von E-Mails mit dem Datum „2017-01-01“ lesen (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)
  • Reports.Read.All: Microsoft 365-Aktivierungsdetailbericht lesen (GET /reports/Office365Activations(view='Detail')/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für die Rollenverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
RoleAssignmentSchedule.Read.Directory Lesen Sie alle aktiven Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die aktiven Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Dies umfasst das Lesen von Verzeichnisrollenvorlagen und Verzeichnisrollen. Ja Nein
RoleEligibilitySchedule.Read.Directory Lesen Sie alle berechtigten Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die berechtigten Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Dies umfasst das Lesen von Verzeichnisrollenvorlagen und Verzeichnisrollen. Ja Nein
RoleManagement.Read.All Rollenverwaltungsdaten für alle RBAC-Anbieter lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für alle unterstützten RBAC-Anbieter zu lesen im Auftrag des angemeldeten Benutzers. Das umfasst das Lesen von Rollendefinitionen und Rollenzuweisungen. Ja Nein
RoleManagement.Read.Directory Rollenverwaltungsdaten für Azure AD lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja Nein
RoleManagementPolicy.Read.Directory Lesen Sie alle Richtlinien für die Zuweisungen von privilegierten Rollen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) für privilegierte Rollen für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
RoleAssignmentSchedule.ReadWrite.Directory Lesen, aktualisieren und löschen Sie alle aktiven Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die aktiven Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Verwalten von Active Directory-Rollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verwaltungsrollen und aktiven Mitgliedschaften. Ja Nein
RoleEligibilitySchedule.ReadWrite.Directory Lesen, aktualisieren und löschen Sie alle berechtigten Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die berechtigten Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Verwalten von berechtigten Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verwaltungsrollen und aktiven Mitgliedschaften. Ja Nein
RoleManagement.ReadWrite.Directory Rollenverwaltungsdaten für Azure AD lesen und schreiben. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja Nein
RoleManagementPolicy.ReadWrite.Directory Lesen, aktualisieren und löschen Sie alle Richtlinien für die Zuweisungen von privilegierten Rollen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) für privilegierte Rollen für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen, zu aktualisieren und zu löschen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
RoleManagement.Read.All Rollenverwaltungsdaten für alle RBAC-Anbieter lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für alle unterstützten RBAC-Anbieter zu lesen, ohne dass ein Benutzer angemeldet ist. Das umfasst das Lesen von Rollendefinitionen und Rollenzuweisungen. Ja
RoleManagement.Read.Directory Rollenverwaltungsdaten für Azure AD lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für das Verzeichnis Ihres Unternehmens zu lesen, ohne einen angemeldeten Benutzer. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja
RoleManagement.ReadWrite.Directory Rollenverwaltungsdaten für Azure AD lesen und schreiben. Ermöglicht der App das Lesen und Verwalten der rollenbasierten Zugriffssteuerungseinstellungen (RBAC) für das Verzeichnis Ihres Unternehmens, ohne einen angemeldeten Benutzer. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja

Bemerkungen

Achtung

Berechtigungen, die das Erteilen der Autorisierung ermöglichen, z. B. RoleManagement.ReadWrite.All, ermöglichen, einer Anwendung, sich selbst, anderen Anwendungen oder einem beliebigen Benutzer zusätzliche Berechtigungen zu gewähren. Gehen Sie vorsichtig vor, wenn Sie eine dieser Berechtigungen erteilen.

Mit der Berechtigung RoleManagement.Read.Directory kann eine Anwendung "directoryRoles" und "directoryRoleTemplates" lesen. Dies umfasst das Lesen von Mitgliedschaftsinformationen für Verzeichnisrollen.

Mit der Berechtigung RoleManagement.ReadWrite.Directory kann eine Anwendung "directoryRoles lesen und schreiben ("directoryRoleTemplates" sind schreibgeschützte Ressourcen). Dazu gehören das Hinzufügen von Mitgliedern zu und das Entfernen von Mitgliedern aus Verzeichnisrollen.

Berechtigungen zur Rollenverwaltung gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der verfügbaren Rollenvorlagen (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der aktivierten Rollen in Ihrem Verzeichnis (GET /directoryRoles)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der Mitglieder einer Rolle (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der auf Verwaltungseinheiten bezogenen Mitglieder einer Rolle (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: Verzeichnisrolle aus einer Rollenvorlage aktivieren (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: Auf Verwaltungseinheiten bezogenes Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/scopedMembers)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für die Zeitplanverwaltung (Private Vorschau)

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Schedule.ReadWrite.All (Private Vorschau) Lesen und Schreiben von Shifts Service-Daten (Teams) Ermöglicht einer App das Lesen und Schreiben von Zeitplänen, Zeitplangruppen, Schichten und zugehörigen Entitäten in Schichtanwendungen ohne einen angemeldeten Benutzer. Ja Nein
Schedule.Read.All (Private Vorschau) Lesen von Shifts Service-Daten (Teams) Ermöglicht einer App das Lesen von Zeitplänen, Zeitplangruppen, Schichten und zugehörigen Entitäten in Schichtanwendungen ohne einen angemeldeten Benutzer. Ja Nein

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Schedule.ReadWrite.All Lesen und Schreiben von Shifts Service-Daten (Teams) Ermöglicht einer App das Lesen und Schreiben von Zeitplänen, Planen von Gruppen, Schichten und assoziierten Entitäten in Schichtanwendungen im Auftrag des angemeldeten Benutzers. Nein Nein
Schedule.Read.All Lesen von Shifts Service-Daten (Teams) Ermöglicht der App das Lesen des Zeitplans, Planen von Gruppen, Schichten und assoziierten Entitäten in Schichtanwendungen im Auftrag des angemeldeten Benutzers. Nein Nein
WorkforceIntegration.ReadWrite.All (private Vorschau) Lesen und Schreiben der Mitarbeiterintegrationen Ermöglicht der App, Mitarbeiterintegrationen zur Synchronisierung von Daten aus Microsoft Teams-Schichten mit einem integrierten System im Auftrag des angemeldeten Benutzers zu verwalten. Ja Nein
WorkforceIntegration.Read.All (private Vorschau) Lesen und Schreiben der Mitarbeiterintegrationen Ermöglicht der App, Mitarbeiterintegrationen zur Synchronisierung von Daten aus Microsoft Teams-Schichten mit einem integrierten System im Auftrag des angemeldeten Benutzers zu verwalten. Ja Nein

Suchberechtigungen

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ExternalConnection.ReadWrite.OwnedBy Lesen und Schreiben externer Verbindungen und Verbindungseinstellungen Ermöglicht der App das Lesen und Schreiben externer Verbindungen und ihrer Einstellungen, ohne dass ein Benutzer angemeldet ist. Die App kann nur externe Verbindungen lesen und schreiben, für die sie autorisiert ist, oder sie kann neue externe Verbindungen erstellen. Ja Nein
ExternalItem.ReadWrite.OwnedBy Lesen und Schreiben externer Elemente Ermöglicht der App das Lesen und Schreiben externer Elemente, ohne dass ein Benutzer angemeldet ist. Die App kann nur externe Elemente der Verbindung lesen, für die sie autorisiert ist. Ja Nein
ExternalItem.ReadWrite.All Lesen und Schreiben aller externen Elemente Ermöglicht der App das Lesen und Schreiben aller externen Elemente, ohne dass ein Benutzer angemeldet ist. Ja Nein

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ExternalItem.Read.All Externe Daten lesen Ermöglicht einer App die Abfrage von Daten, die mit Microsoft Graph-Connectors aufgenommen wurden Ja Nein

Bemerkungen

Suchberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Diese Suchberechtigung gilt nur für erfasste Daten aus der Indizierungs-API.

Der Zugriff auf Daten über die Suche erfordert die Leseberechtigung für das Element. Beispiel: Files.Read.All für den Zugriff auf Dateien über die Suche.

Verwendungsbeispiel

Delegiert

  • ExternalItem.ReadWrite.All: Zugreifen auf externe Daten über die Such-API (POST /search/query).

Sicherheitsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
SecurityEvents.Read.All Lesen von Sicherheitsereignissen der Organisation Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
SecurityEvents.ReadWrite.All Lesen und Aktualisieren von Sicherheitsereignissen der Organisation Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ermöglicht der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen im Namen des angemeldeten Benutzers zu aktualisieren. Ja Nein
SecurityActions.Read.All Lesen von Sicherheitsaktionen der Organisation Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
SecurityActions.ReadWrite.All Lesen und Aktualisieren von Sicherheitsaktionen der Organisation Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen oder zu aktualisieren. Ja Nein
ThreatIndicators.ReadWrite.OwnedBy Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt Ermöglicht der App das Erstellen und die vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) im Auftrag des angemeldeten Benutzers. Ja Nein
ThreatIndicators.Read.All Lesen Sie die Bedrohungsindikatoren Ihrer Organisation. Ermöglicht der App, alle Bedrohungsindikatoren für Ihre Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
SecurityEvents.Read.All Lesen von Sicherheitsereignissen der Organisation Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation. Ja
SecurityEvents.ReadWrite.All Lesen und Aktualisieren von Sicherheitsereignissen der Organisation Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation. Ermöglicht es der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen zu aktualisieren. Ja
SecurityActions.Read.All Lesen von Sicherheitsereignissen der Organisation Ermöglicht der App das Lesen von Sicherheitsaktionen der Organisation. Ja
SecurityActions.ReadWrite.All Erstellen und lesen von Sicherheitsaktionen der Organisation Ermöglicht der App das Lesen oder Erstellen von Sicherheitsaktionen ohne einen angemeldeten Benutzer. Ja
ThreatIndicators.ReadWrite.OwnedBy Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt Ermöglicht der App das Erstellen und vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) ohne einen angemeldeten Benutzer. Die App kann keine Bedrohungsindikatoren aktualisieren, die sie nicht besitzt. Ja
ThreatIndicators.Read.All Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt Ermöglicht der App, alle Bedrohungsindikatoren für Ihre Organisation ohne angemeldeten Benutzer zu lesen. Ja

Bemerkungen

Sicherheitsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert und Anwendung

  • SecurityEvents.Read.All: Lesen der Liste aller Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: Aktualisieren oder Lesen der Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (PATCH /beta/security/alerts/{id})

Dienstkommunikationsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ServiceHealth.Read.All Dienststatus lesen Ermöglicht es der App, Informationen über den Dienststatus des Mandanten im Namen des angemeldeten Benutzers zu lesen. Statusinformationen können Dienstprobleme oder Übersichten über den Dienststatus umfassen. Ja Ja
ServiceMessage.Read.All Dienstmeldungen lesen Ermöglicht es der App, Dienstankündigungsmeldungen des Mandanten im Namen des angemeldeten Benutzers zu lesen. Meldungen können Informationen über neue oder geänderte Features enthalten. Ja Ja
ServiceMessageViewpoint.Write Benutzerstatus in Dienstankündigungsmeldungen aktualisieren Ermöglicht es der App, den Benutzerstatus von Dienstankündigungsmeldungen im Namen des angemeldeten Benutzers zu aktualisieren. Der Meldungsstatus kann als „Gelesen“, „Archiv“ oder „Favorit“ markiert werden. Ja Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ServiceHealth.Read.All Dienststatus lesen Ermöglicht es der App, Dienststatusinformationen des Mandanten zu lesen, ohne dass ein Benutzer angemeldet ist. Statusinformationen können Dienstprobleme oder Übersichten über den Dienststatus umfassen. Ja
ServiceMessage.Read.All Dienstmeldungen lesen Ermöglicht es der App Dienstankündigungsmeldungen des Mandanten zu lesen, ohne dass ein Benutzer angemeldet ist. Meldungen können Informationen über neue oder geänderte Features enthalten. Ja

Kurznotizen-Berechtigungen (private Vorschau)

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ShortNotes.Read Kurznotizen des angemeldeten Benutzers lesen Ermöglicht der App, alle Kurznotizen zu lesen, auf die ein angemeldeter Benutzer zugreifen kann. Nein Ja
ShortNotes.ReadWrite Kurznotizen des angemeldeten Benutzers lesen, erstellen, bearbeiten und löschen Ermöglicht der App, Kurznotizen eines angemeldeten Benutzers zu lesen, erstellen, bearbeiten und löschen. Nein Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ShortNotes.Read.All Kurznotizen aller Benutzer lesen Ermöglicht der App, alle Kurznotizen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
ShortNotes.ReadWrite.All Kurznotizen aller Benutzern lesen, erstellen, bearbeiten und löschen Ermöglicht der App, alle Kurznotizen zu lesen, erstellen, bearbeiten und löschen, ohne dass ein Benutzer angemeldet ist. Ja

Websiteberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Sites.Read.All Elemente in allen Websitesammlungen lesen Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu lesen. Nein Nein
Sites.ReadWrite.All Lese-/Schreibzugriff auf Elemente in allen Websitesammlungen Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu bearbeiten oder zu löschen. Nein Nein
Sites.Manage.All Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen Websitesammlungen Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu verwalten und zu erstellen. Nein Nein
Sites.FullControl.All Sie benötigen Vollzugriff auf alle Websitesammlungen. Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen im Namen des angemeldeten Benutzers zu erlangen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Sites.Read.All Elemente in allen Websitesammlungen lesen Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer lesen. Ja
Sites.ReadWrite.All Lese-/Schreibzugriff auf Elemente in allen Websitesammlungen Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Ja
Sites.Manage.All Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen Websitesammlungen Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer zu verwalten und zu erstellen. Ja
Sites.FullControl.All Sie benötigen Vollzugriff auf alle Websitesammlungen. Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen ohne angemeldeten Benutzer zu erlangen. Ja
Sites.Selected Auf ausgewählte Websitesammlungen zugreifen Der App Zugriff auf eine Teilmenge der Websitesammlungen gewähren, ohne dass ein Benutzer angemeldet ist. Die spezifischen Websitesammlungen und gewährten Berechtigungen werden in SharePoint Online konfiguriert. Ja

HinwBemerkungeneise

Websiteberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten. Die Anwendungsberechtigung Sites.Selected ist nur in der Microsoft Graph-API verfügbar.

Verwendungsbeispiel

Delegiert

  • Sites.Read.All: Die Listen auf der SharePoint-Stammwebsite lesen (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All: Neue Listenelemente in einer SharePoint-Liste erstellen (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All: Neue Liste zu einer SharePoint-Website hinzufügen (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All: Vollständiger Zugriff auf SharePoint-Websites und -Listen.

Berechtigungen zur Anfrage zu Rechten betroffener Personen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
SubjectRightsRequest.Read.All* Anfragen zu Rechten betroffener Personen lesen Ermöglicht der App Anfragen zu Rechten betroffener Personen im Namen des angemeldeten Benutzers zu lesen. Ja Nein
SubjectRightsRequest.ReadWrite.All* Anfragen zu Betroffenenrechten automatisieren lesen und schreiben Ermöglicht der App Anfragen zu Rechten betroffener Personen im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Wichtig Berechtigungen, die mit einem Sternchen (*) gekennzeichnet sind, sind derzeit nicht verfügbar. Einzelheiten hierzu finden Sie unter Bekannte Probleme.

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

  • SubjectRightsRequest.Read.All_: Abrufen der Liste der Für den Benutzer verfügbaren Anfragen zu Rechten betroffener Personen (GET /privacy/subjectrightsrequests).
  • SubjectRightsRequest.ReadWrite.All: Erstellen einer Anforderung zu Rechten betroffener Personen (POST /privacy/subjectrightsrequests).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Aufgabenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Tasks.Read Lesen von Aufgaben und Aufgabenlisten des Benutzers (Vorschau) Ermöglicht der App, die Aufgaben und Aufgabenlisten des angemeldeten Benutzers zu lesen, einschließlich aller für den Benutzer freigegebenen Aufgaben und Aufgabenlisten. Enthält keine Berechtigung zum Erstellen, Löschen oder Aktualisieren von Objekten. Nein Ja
Tasks.Read.Shared Benutzeraufgaben und freigegebene Aufgaben lesen (Vorschau) Ermöglicht der App, Aufgaben zu lesen, für die ein Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben. Nein Nein
Tasks.ReadWrite Erstellen, Lesen, Aktualisieren und Löschen von Aufgaben und Aufgabenlisten des Benutzers (Vorschau) Ermöglicht der App, die Aufgaben und Aufgabenlisten des angemeldeten Benutzers zu erstellen, zu lesen, zu aktualisieren und zu löschen, einschließlich aller für den Benutzer freigegebenen Aufgaben und Aufgabenlisten. Nein Ja
Tasks.ReadWrite.Shared Benutzeraufgaben und freigegebene Aufgaben lesen und schreiben (Vorschau) Ermöglicht der App, Aufgaben zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die ein Benutzer über Berechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben. Nein Nein

Anwendungsberechtigungen

Keine.

HinwBemerkungeneise

Berechtigungen für Aufgaben werden zum Steuern des Zugriffs für To-Do-Aufgaben und Outlook-Aufgaben (veraltet) verwendet. Der Zugriff auf Microsoft Planner-Aufgaben wird von Berechtigungen für Gruppen gesteuert.

Freigegebene Berechtigungen werden derzeit nur für Geschäfts-, Schul- oder Unikonten unterstützt. Selbst mit freigegebenen Berechtigungen können Fehler bei Lese- oder Schreibvorgängen auftreten, wenn der Benutzer, dem der freigegebene Inhalt gehört, dem zugreifenden Benutzer keine Berechtigungen zum Ändern von Inhalten im Ordner gewährt hat.

Verwendungsbeispiel

Delegiert

  • Tasks.Read: Alle Aufgaben im Postfach eines Benutzers abrufen (GET /me/outlook/tasks).
  • Tasks.Read.Shared: Auf Aufgaben in einem Ordner zugreifen, der von einem anderen Benutzer in Ihrer Organisation für Sie freigegeben wurde (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: Ein Ereignis zum Standardaufgabenordner des Benutzers hinzufügen (POST /me/outlook/tasks).
  • Tasks.Read: Alle unerledigten Aufgaben im Postfach eines Benutzers abrufen (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: Eine Aufgabe im Postfach eines Benutzers aktualisieren (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: Eine Aufgabe im Namen eines anderen Benutzers ausführen (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Taxonomie-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TermStore.Read.All Terminologiespeicher-Daten lesen Ermöglicht der App das Lesen verschiedener Begriffe, Sets und Gruppen im Terminologiespeicher Ja Nein
TermStore.ReadWrite.All Alle Terminologiespeicher-Daten lesen und schreiben Ermöglicht der App verschiedener Begriffe, Sets und Gruppen im Terminologiespeicher zu bearbeiten oder zu löschen Ja Nein

Bemerkungen

Taxonomie-Berechtigungen gelten nur für Geschäfts-oder Schulkonten.

Verwendungsbeispiel

Delegiert

  • TermStore.Read.All: TermStore für den Mandanten lesen (GET /termStore)
  • TermStore.ReadWrite.All: Neue Begriffe im TermStore erstellen (POST /termStore/sets/123/children)

Teams-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Namen und Beschreibungen von Teams lesen Teamnamen und -beschreibungen im Namen des angemeldeten Benutzers lesen. Nein Nein
Team.Erstellen Teams erstellen Teams im Namen des angemeldeten Benutzers erstellen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Abrufen einer Liste aller Teams Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
Team.Erstellen Teams erstellen Teams erstellen, ohne dass ein Benutzer angemeldet ist. Ja Nein
Teamwork.Migrate.All Migration zu Microsoft Teams verwalten Erstellen und Verwalten von Ressourcen für die Migration zu Microsoft Teams Ja Ja

Berechtigungen für Teameinstellungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamSettings.Read.All Teameinstellungen lesen Im Namen des angemeldeten Benutzers die Einstellungen dieses Teams lesen. Ja Nein
TeamSettings.ReadWrite.All Teameinstellungen lesen und ändern Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen und ändern. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamSettings.Read.All Lesezugriff auf die Einstellungen aller Teams Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamSettings.ReadWrite.All Lesen und Ändern der Einstellungen aller Teams. Die Einstellungen aller Teams lesen und ändern, ohne dass ein Benutzer angemeldet ist. Ja Nein

Teams-Aktivitätsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsActivity.Read (private Vorschau) Teamarbeit-Aktivitätsfeed des Benutzers lesen Ermöglicht der App, den Teamarbeit-Aktivitätsfeed des angemeldeten Benutzers zu lesen. Nein Nein
TeamsActivity.Send Teamarbeitaktivität als Benutzer senden Ermöglicht der App, neue Benachrichtigungen in den Teamwork-Aktivitäts-Feeds der Benutzer im Namen des angemeldeten Benutzers zu erstellen. Diese Benachrichtigungen sind möglicherweise nicht auffindbar oder werden von Compliance-Richtlinien gestoppt oder geregelt. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsActivity.Read.All (private Vorschau) Teamarbeit-Aktivitätsfeed aller Benutzer lesen Ermöglicht der App, den Teamarbeit-Aktivitätsfeed aller Benutzer zu lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamsActivity.Send Teamarbeitaktivität an beliebige Benutzer senden Ermöglicht der App, neue Benachrichtigungen in den Teamwork-Aktivitäts-Feeds der Benutzer zu erstellen, ohne dass ein Benutzer angemeldet ist. Diese Benachrichtigungen sind möglicherweise nicht auffindbar oder werden von Compliance-Richtlinien gestoppt oder geregelt. Ja Nein

Teams-App-Berechtigungen (veraltet)

Hinweis

Diese Berechtigungen sind veraltet. Verwenden Sie stattdessen die entsprechenden „TeamsAppInstallation.*. All“-Berechtigungen.

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsApp.Read.All (Veraltet) Alle installierten Teams-Apps lesen Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen, und zwar in allen Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsApp.ReadWrite.All (Veraltet) Alle Teams-Apps verwalten Ermöglicht es der App, Microsoft Teams-Apps im Namen des angemeldeten Benutzers zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, und zwar auch für Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsApp.Read.All (Veraltet) Alle installierten Teams-Apps der Benutzer lesen Ermöglicht es der App, installierte Microsoft Teams-Apps für sämtliche Benutzer zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsApp.ReadWrite.All (Veraltet) Alle Teams-Apps der Benutzer verwalten Ermöglicht es der App, Microsoft Teams-Apps für sämtliche Benutzer zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen. Ja Nein

Installationsberechtigungen für die Teams-App

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsAppInstallation.ReadForUser Die installierten Teams-Apps des Benutzers lesen Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Nein Nein
TeamsAppInstallation.ReadWriteForUser Installierte Microsoft Teams-Apps des Benutzers verwalten Ermöglicht es der App, die für den angemeldeten Benutzers installierten Microsoft Teams-Apps zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsAppInstallation.ReadWriteSelfForUser Zulassen, dass die App sich in Teams selbst verwaltet Ermöglicht es einer Microsoft-Teams-App, sich in Teams, auf die der angemeldete Benutzer zugreifen kann, selbst zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Nein Nein
TeamsAppInstallation.ReadForTeam In Teams installierte Microsoft Teams-Apps lesen Ermöglicht es der App, die in Microsoft Teams installierten Microsoft Teams-Apps zu lesen, auf die der angemeldete Benutzer Zugriff hat. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsAppInstallation.ReadWriteForTeam In Teams installierte Microsoft Teams-Apps verwalten Ermöglicht es der App, die in Microsoft Teams installierten Microsoft Teams-Apps zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, auf die der angemeldete Benutzer Zugriff hat. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsAppInstallation.ReadWriteSelfForTeam Zulassen, dass die App sich in Teams selbst verwaltet Ermöglicht es einer Microsoft-Teams-App, sich in Teams, auf die der angemeldete Benutzer zugreifen kann, selbst zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
TeamsAppInstallation.ReadForUser.All Installierte Microsoft Teams-Apps für alle Benutzer lesen Ermöglicht es der App, installierte Microsoft Teams-Apps für sämtliche Benutzer zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteForUser.All Verwalten von Microsoft Teams-Apps für alle Benutzer Ermöglicht es der App, Microsoft Teams-Apps für sämtliche Benutzer zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteSelfForUser.All Zulassen, dass die App sich für alle Benutzer selbst verwaltet Ermöglicht es einer Microsoft-Teams-App, sich selbst für einen Benutzer zu lesen, installieren, aktualisieren und deinstallieren, ohne dass ein Benutzer angemeldet ist. Ja
TeamsAppInstallation.ReadForTeam.All Installierte Microsoft Teams-Apps für alle Teams lesen Ermöglicht es der App, alle für ein beliebiges Team installierten Microsoft Teams-Apps zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteForTeam.All Verwalten von Microsoft Teams-Apps für alle Teams Ermöglicht der App das Lesen, Installieren, Aktualisieren und Deinstallieren von Teams-Apps in jedem Team ohne einen angemeldeten Benutzer. Bietet keine Möglichkeit zum Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteSelfForTeam.All Zulassen, dass die Microsoft Teams-App sich selbst für alle Teams verwaltet Ermöglicht es einer Microsoft-Teams-App, sich selbst in einem Team zu lesen, installieren, aktualisieren und deinstallieren, ohne dass ein Benutzer angemeldet ist. Ja

Berechtigungen für Teammitglieder

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamMember.Read.All Die Mitglieder von Teams lesen. Die Mitglieder von Teams lesen, im Namen des angemeldeten Benutzers. Ja Nein
TeamMember.ReadWrite.All Sie können Mitglieder zu Teams hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu Teams hinzu und entfernen Sie sie, im Namen des angemeldeten Benutzers. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamMember.Read.All Die Mitglieder aller Teams lesen. Die Mitglieder aller Teams lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamMember.ReadWrite.All Sie können Mitglieder zu allen Teams hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu allen Teams hinzu und entfernen Sie sie, ohne dass ein Benutzer angemeldet ist. Ermöglicht auch die Änderung der Rolle eines Teammitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamSettings.Read.Group Lesen der Einstellungen dieses Teams. Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Nein Nein
TeamSettings.ReadWrite.Group Aktualisieren Sie die Einstellungen für dieses Team. Lese- und Schreibzugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Nein Nein
ChannelSettings.Read.Group Lesezugriff auf die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams. Lesen Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
ChannelSettings.ReadWrite.Group Aktualisieren Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams. Aktualisieren Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
Channel.Create.Group Erstellen von Kanälen in diesem Team. Erstellen Sie Kanäle in diesem Team, ohne einen angemeldeten Benutzer. Nein Nein
Channel.Delete.Group Löschen der Kanäle dieses Teams. Löschen Sie die Kanäle dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
ChannelMessage.Read.Group Lesen der Kanalnachrichten des Teams. Erlaubt einer App, die Kanalnachrichten dieses Teams zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsAppInstallation.Read.Group Sehen, welche Apps in diesem Team installiert sind. Sehen Sie, welche Apps in diesem Team installiert sind, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Read.Group Lesen der Registerkarten dieses Teams. Lesen Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Create.Group Erstellen von Registerkarten in diesem Team. Erstellen Sie Registerkarten in diesem Team, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.ReadWrite.Group Aktualisieren Sie die Registerkarten dieses Teams. Aktualisieren Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Delete.Group Löschen der Registerkarten dieses Teams. Löschen Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
TeamMember.Read.Group Lesen Sie die Mitglieder dieses Teams. Lesen Sie die Mitglieder dieses Teams, ohne dass ein Benutzer angemeldet ist. Nein Nein
Member.Read.Group Lesen Sie die Mitglieder dieser Gruppe. Lesen der Mitglieder dieser Gruppe, ohne dass ein Benutzer angemeldet ist. Nein Nein
Owner.Read.Group Lesen Sie die Besitzer dieser Gruppe. Lesen der Besitzer dieser Gruppe, ohne dass ein Benutzer angemeldet ist. Nein Nein
File.Read.Group Lesen der Dateien und Ordner dieses Teams. Beschränkter Support.
(Vorschau) Lesen Sie die Dateien und Ordner dieses Teams, ohne einen angemeldeten Benutzer.
Nein Nein
TeamsActivity.Send.Group Senden von Aktivitätsfeed-Benachrichtigungen an Benutzer in diesem Team. Ermöglicht der App, neue Benachrichtigungen in den Teamarbeits-Aktivitätsfeeds der Benutzer in diesem Team ohne einen angemeldeten Benutzer zu erstellen. Nein Nein

Berechtigungen für Teams-Einstellungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Namen und Beschreibungen von Teams lesen Teamnamen und -beschreibungen im Namen des angemeldeten Benutzers lesen. Nein Nein
TeamSettings.Read.All Teameinstellungen lesen Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen. Ja Nein
TeamSettings.ReadWrite.All Teameinstellungen lesen und ändern. Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen und ändern. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Abrufen einer Liste aller Teams. Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamSettings.Read.All Lesezugriff auf die Einstellungen aller Teams Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamSettings.ReadWrite.All Lesen und Ändern der Einstellungen aller Teams Die Einstellungen aller Teams lesen und ändern, ohne dass ein Benutzer angemeldet ist. Nein Nein

Berechtigungen zu Teams-Registerkarten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsTab.Read.All Registerkarten in Microsoft Teams lesen. Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen, und zwar in allen Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsTab.ReadWrite.All Registerkarten in Microsoft Teams lesen und schreiben. Ermöglicht es der App, Microsoft Teams-Apps im Namen des angemeldeten Benutzers zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, und zwar auch für Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen. Ja Nein
TeamsTab.Create Registerkarten in Microsoft Teams erstellen. Ermöglicht der App, Registerkarten in einem beliebigen Team in Microsoft Teams im Auftrag des angemeldeten Benutzers zu erstellen. Dies bietet keine Möglichkeit, Registerkarten nach ihrer Erstellung zu lesen, zu ändern, zu löschen oder Zugriff auf die Inhalte darauf zu gewähren. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsTab.Read.All Registerkarten in Microsoft Teams lesen. Lesen Sie die Namen und Einstellungen von Registerkarten in einem beliebigen Team in Microsoft Teams ohne angemeldeten Benutzer. Dadurch wird kein Zugriff auf die Inhalte auf den Registerkarten gewährt. Ja Nein
TeamsTab.ReadWrite.All Registerkarten in Microsoft Teams lesen und schreiben. Lesen und schreiben Sie Registerkarten in einem Team in Microsoft Teams ohne angemeldeten Benutzer. Dadurch wird kein Zugriff auf die Inhalte auf den Registerkarten gewährt. Ja Nein
TeamsTab.Create Registerkarten in Microsoft Teams erstellen. Ermöglicht der App, Registerkarten in einem beliebigen Team in Microsoft Teams ohne angemeldeten Benutzer zu erstellen. Dies bietet keine Möglichkeit, Registerkarten nach ihrer Erstellung zu lesen, zu ändern, zu löschen oder Zugriff auf die Inhalte darauf zu gewähren. Ja Nein

Teams-Tagberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamworkTag.ReadWrite Tags in Microsoft Teams lesen und schreiben. Lesen und Schreiben von Tags in einem beliebigen Team in Microsoft Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamworkTag.Read Tags in Microsoft Teams lesen. Tags in einem beliebigen Team in Microsoft Teams lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein

Nutzungsbedingungen für Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Agreement.Read.All Lesen aller Vereinbarungen der Nutzungsbedingungen. Ermöglicht der App, Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
Agreement.ReadWrite.All Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen. Ermöglicht der App, die Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
AgreementAcceptance.Read Lesen der Annahmestatus der Nutzungsbedingungen Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
AgreementAcceptance.Read.All Lesen der Annahmestatus der Nutzungsbedingungen, auf die der Benutzer zugreifen kann Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein

Hinweise

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App alle Vereinbarungen oder Vereinbarungsannahmen mit delegierten Berechtigungen lesen oder schreiben kann, muss der angemeldete Benutzer der Rolle „Globaler Administrator“, „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“ zugewiesen sein. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:

  • Agreement.Read.All: Lesen aller Vereinbarungen der Nutzungsbedingungen (GET /beta/agreements)
  • Agreement.ReadWrite.All: Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen (POST /beta/agreements)
  • AgreementAcceptance.Read: Lesen der Annahmestatus der Nutzungsbedingungen (GET /beta/me/agreementAcceptances)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen zur Risikobewertung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ThreatAssessment.ReadWrite.All Lesen und Schreiben von Anforderungen zur Bedrohungseinschätzung Ermöglicht einer App, die Anforderungen zur Bedrohungseinschätzung Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Außerdem kann die App neue Anforderungen zum Bewerten von Bedrohungen erstellen, die von Ihrer Organisation im Namen des angemeldeten Benutzers empfangen wurden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ThreatAssessment.Read.All Lesen von Anforderungen zur Bedrohungseinschätzung Ermöglicht einer App, die Anforderungen zur Bedrohungseinschätzung Ihrer Organisation ohne angemeldeten Benutzer zu lesen. Ja

Bemerkungen

Berechtigungen für Bedrohungseinschätzungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert

  • ThreatAssessment.ReadWrite.All: Lesen und Schreiben von Anforderungen zur Bedrohungseinschätzung (POST /informationProtection/threatAssessmentRequests)

Anwendung

  • ThreatAssessment.ReadWrite.All: Lesen und Schreiben von Bewertungsanforderungen (GET /informationProtection/threatAssessmentRequests)

Berechtigungen für Universelles Drucken

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Printer.Create Drucker registrieren Ermöglicht der Anwendung das Erstellen (Registrieren) von Druckern im Auftrag des angemeldeten Benutzers. Ja Nein
Printer.FullControl.All Registrieren, Lesen, Aktualisieren und Aufheben der Registrierung von Druckern Ermöglicht der Anwendung das Erstellen (Registrieren), Lesen, Aktualisieren und Löschen (Aufheben der Registrierung) von Druckern im Auftrag des angemeldeten Benutzers. Ja Nein
Printer.Read.All Drucker lesen Ermöglicht es der Anwendung, Drucker im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
Printer.ReadWrite.All Lesen und Aktualisieren von Druckern Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckern im Auftrag des angemeldeten Benutzers. Erlaubt nicht das Erstellen (Registrieren) oder Löschen (Aufheben der Registrierung) von Druckern. Ja Nein
PrinterShare.ReadBasic.All Lesen von grundlegenden Informationen zu Druckerfreigaben Ermöglicht der Anwendung das Lesen von grundlegenden Informationen zu Druckerfreigaben im Auftrag des angemeldeten Benutzers. Ermöglicht nicht das Lesen von Zugriffssteuerungsinformationen. Nein Nein
PrinterShare.Read.All Lesen von Druckerfreigaben Ermöglicht der Anwendung das Lesen von Druckerfreigaben im Auftrag des angemeldeten Benutzers. Nein Nein
PrinterShare.ReadWrite.All Lesen und Schreiben von Druckerfreigaben Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckerfreigaben im Auftrag des angemeldeten Benutzers. Ja Nein
PrintJob.Create Erstellen von Druckaufträgen Ermöglicht der Anwendung das Erstellen von Druckaufträgen im Auftrag des angemeldeten Benutzers und das Hochladen von Dokumentinhalten, um Aufträge zu drucken, die vom angemeldeten Benutzer erstellt wurden. Nein Nein
PrintJob.Read Lesen von Druckaufträgen des Benutzers Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen, die vom angemeldeten Benutzer erstellt wurden, zu lesen. Nein Nein
PrintJob.Read.All Lesen von Druckaufträgen Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
PrintJob.ReadBasic Grundlegende Informationen zu Druckaufträgen des Benutzers lesen Ermöglicht der Anwendung, die Metadaten von vom angemeldeten Benutzer erstellten Druckaufträgen zu lesen. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Nein Nein
PrintJob.ReadBasic.All Grundlegende Informationen zu Druckaufträgen lesen Ermöglicht der Anwendung, die Metadaten von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja Nein
PrintJob.ReadWrite Lesen und Schreiben von Druckaufträgen des Benutzers Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen, die vom angemeldeten Benutzer erstellt wurden, zu lesen und zu aktualisieren. Nein Nein
PrintJob.ReadWrite.All Lese- und Schreibzugriff auf Druckaufträge Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen und zu aktualisieren. Ja Nein
PrintJob.ReadWriteBasic Grundlegende Informationen zu Druckaufträgen des Benutzers lesen und schreiben Ermöglicht der Anwendung, die Metadaten von vom angemeldeten Benutzer erstellten Druckaufträgen zu lesen und zu aktualisieren. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Nein Nein
PrintJob.ReadWriteBasic.All Lesen und Schreiben von grundlegenden Informationen zu Druckaufträgen Ermöglicht der Anwendung, die Metadaten von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen und zu aktualisieren. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja Nein
PrintConnector.Read.All Lesezugriff auf Connectors Ermöglicht der Anwendung das Lesen von Connectors im Auftrag des angemeldeten Benutzers. Ja Nein
PrintConnector.ReadWrite.All Lese- und Schreibzugriff auf Druckconnectors Ermöglicht der Anwendung das Lesen und Schreiben von Druckconnectors im Auftrag des angemeldeten Benutzers. Ja Nein
PrintSettings.Read.All Lesen von mandantenübergreifenden Druckeinstellungen Ermöglicht der Anwendung das Lesen von Druckeinstellungen im Auftrag des angemeldeten Benutzers. Ja Nein
PrintSettings.ReadWrite.All Lesen und Schreiben von mandantenübergreifenden Druckeinstellungen Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckeinstellungen im Auftrag des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Printer.Read.All Drucker lesen Ermöglicht es der Anwendung, Drucker ohne einen angemeldeten Benutzer zu lesen. Ja
Printer.ReadWrite.All Lesen und Aktualisieren von Druckern Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckern ohne einen angemeldeten Benutzer. Erlaubt nicht das Erstellen (Registrieren) oder Löschen (Aufheben der Registrierung) von Druckern. Ja
PrintJob.Manage.All Ausführen von komplexen Vorgängen für Druckaufträge Ermöglicht es der Anwendung, komplexe Vorgänge auszuführen, z. B. die Umleitung eines Druckauftrags an einen anderen Drucker, ohne dass ein Benutzer angemeldet ist. Ermöglicht der Anwendung auch, die Metadaten von Druckaufträgen zu lesen und zu aktualisieren. Ja
PrintJob.Read.All Lesen von Druckaufträgen Ermöglicht der Anwendung das Lesen der Metadaten und Dokumentinhalte von Druckaufträgen, ohne dass ein Benutzer angemeldet ist. Ja
PrintJob.ReadBasic.All Grundlegende Informationen für Druckaufträge lesen Ermöglicht der Anwendung, die Metadaten von Druckaufträgen zu lesen, ohne dass ein Benutzer angemeldet ist. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja
PrintJob.ReadWrite.All Lese- und Schreibzugriff auf Druckaufträge Ermöglicht der Anwendung das Lesen und Aktualisieren der Metadaten und Dokumentinhalte von Druckaufträgen, ohne dass ein Benutzer angemeldet ist. Ja
PrintJob.ReadWriteBasic.All Lese- und Schreibzugriff auf grundlegende Informationen für Druckaufträge Ermöglicht der Anwendung, die Metadaten von Druckaufträgen zu lesen und zu aktualisieren, ohne dass ein Benutzer angemeldet ist. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja
PrintTaskDefinition.ReadWrite.All Lesen, Schreiben und Aktualisieren von Druckauftragsdefinitionen Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckauftragsdefinitionen ohne einen angemeldeten Benutzer. Ja

Bemerkungen

  • Um den Dienst "Universelles Drucken" nutzen zu können, muss der Benutzer oder der Mandant der App zusätzlich zu den oben aufgeführten Berechtigungen über ein aktives Abonnement für "Universelles Drucken" verfügen.

  • Einige Berechtigungen unterscheiden zwischen Metadaten und Nutzlast des Druckauftrags. Metadaten beschreiben die Konfiguration eines Druckauftrags (seinen Namen und die Dokumentenkonfiguration, z. B. ob er geheftet oder in Farbe gedruckt werden soll). Die Nutzlast sind die Dokumentdaten selbst (die zu druckende PDF- oder XPS-Datei).

  • Alle PrintJob.*-Berechtigungen erfordern außerdem mindestens die Berechtigung "Printer.Read.All" (oder eine privilegiertere Berechtigung), da Druckaufträge in Druckern gespeichert werden.

Verwendungsbeispiel

Delegiert

  • Printer.Read.All: Abrufen einer Liste aller Drucker im Mandanten (GET /print/printers)
  • PrintJob.Read.All: Abrufen einer Liste aller Druckaufträge in der Warteschlange eines Druckers (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: Löschen (Aufheben der Registrierung) eines Druckers (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: Aktualisieren von Metadaten (z. B. aktueller Status) von Druckaufträgen (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: Erstellen und von Druckaufträgen und Hochladen von Dokumentdaten in diese (POST /print/printers/{id}/jobs)

Anwendung

  • Printer.Read.All: Abrufen einer Liste aller Drucker im Mandanten (GET /print/printers)

Benutzerberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
User.Read Anmelden und Benutzerprofil lesen Damit können Benutzer sich bei der App anmelden, und die App kann das Profil von angemeldeten Benutzern lesen. Die App kann auch grundlegende Unternehmensinformationen von angemeldeten Benutzern lesen. Nein Ja
User.ReadWrite Lese- und Schreibzugriff auf Benutzerprofile Ermöglicht der App, das vollständige Profil des angemeldeten Benutzers zu lesen. Darüber hinaus kann die App die Profilinformationen des angemeldeten Benutzers in seinem Namen aktualisieren. Nein Ja
User.ReadBasic.All Grundlegende Profile aller Benutzer lesen Ermöglicht der App, einen grundlegenden Satz von Profileigenschaften anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Dazu gehören der Anzeigename, der Vor-und Nachname, die E-Mail-Adresse, Durchwahlen und Foto. Ermöglicht der App auch, das vollständige Profil des angemeldeten Benutzers zu lesen. Nein Nein
User.Read.All Lesezugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App außerdem, im Namen des angemeldeten Benutzers Benutzer zu erstellen und zu löschen sowie Benutzerkennwörter zurückzusetzen. Ja Nein
User.Invite.All Gastbenutzer zur Organisation einladen Ermöglicht der App, Gastbenutzer im Namen des angemeldeten Benutzers zu Ihrer Organisation einzuladen. Ja Nein
User.Export.All Daten des Benutzers exportieren Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren. Dies muss von einem Unternehmensadministrator ausgeführt werden. Ja Nein
User.ManageIdentities.All Verwalten von Benutzeridentitäten Ermöglicht einer Anwendung das Lesen, Aktualisieren und Löschen von Identitäten, die mit dem Konto eines Benutzers verknüpft sind, auf die der angemeldete Benutzer zugreifen kann. Damit wird gesteuert, mit welchen Identitäten sich die Benutzer anmelden können. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
User.Read.All Lesezugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichte und Vorgesetzte von anderen Benutzern in Ihrer Organisation ohne angemeldeten Benutzers zu lesen. Ja
User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Ermöglicht der App außerdem, Benutzer zu erstellen, die kein Administrator sind. Ermöglicht nicht das Zurücksetzen von Benutzerkennwörtern. Ja
User.Invite.All Gastbenutzer zur Organisation einladen Ermöglicht der App, Gastbenutzer ohne einen angemeldeten Benutzer zu Ihrer Organisation einzuladen. Ja
User.Export.All Daten des Benutzers exportieren Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren, ohne dass der Benutzer angemeldet sein muss. Ja
User.ManageIdentities.All Verwalten aller Benutzeridentitäten Ermöglicht einer Anwendung das Lesen, Aktualisieren und Löschen von Identitäten, die mit dem Konto eines Benutzers verknüpft sind, und zwar ohne angemeldeten Benutzer. Damit wird gesteuert, mit welchen Identitäten sich Benutzer anmelden können. Ja

Bemerkungen

Mit der Berechtigung User.Read kann eine App auch die grundlegenden Unternehmensinformationen des angemeldeten Benutzers für ein Geschäfts-, Schul- oder Unikonto über die organization-Ressource lesen. Die folgenden Eigenschaften sind verfügbar: id, displayName und verifiedDomains.

Für Geschäfts-, Schul- oder Unikonten enthält das vollständige Profil alle deklarierten Eigenschaften der User-Ressource. Bei Lesevorgängen wird standardmäßig nur eine begrenzte Anzahl von Eigenschaften zurückgegeben. Um Eigenschaften zu lesen, die nicht im Standardsatz enthalten sind, verwenden Sie $select. Die Standardeigenschaften sind folgende:

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

Die delegierten Berechtigungen User.ReadWrite und User.Readwrite.All ermöglichen der App, die folgenden Profileigenschaften für Geschäfts-, Schul- oder Unikonten zu aktualisieren:

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • photo
  • preferredName
  • responsibilities
  • schools
  • skills

Mit der Anwendungsberechtigung User.ReadWrite.All kann die App alle deklarierten Eigenschaften von Geschäfts-, Schul- oder Unikonten mit Ausnahme des Kennworts aktualisieren.

Mit der delegierten- oder Anwendungsberechtigung User.ReadWrite.All ist das Aktualisieren der businessPhones, mobilePhone oder otherMails eines anderen Benutzers nur für Benutzer zulässig, die keine Administratoren sind oder denen eine der folgenden Rollen zugewiesen wurde: Verzeichnis lesen, Gasteinladender, Nachrichtencenter-Leser und Berichts-Leser. Weitere Details finden Sie unter „Helpdeskadministrator (Kennwort)" in Azure AD – Verfügbare Rollen.

Zum Lesen oder Schreiben von direkten Mitarbeitern (directReports) oder des Vorgesetzten (manager) eines Geschäfts-, Schul- oder Unikontos benötigt die App entweder die Berechtigung User.Read.All (schreibgeschützt) oder User.ReadWrite.All.

Die Berechtigung User.ReadBasic.All schränkt den App-Zugriff auf einen begrenzten Satz von Eigenschaften ein, der als grundlegendes Profil bezeichnet wird. Grund hierfür ist, dass das vollständige Profil möglicherweise vertrauliche Verzeichnisinformationen enthält. Das grundlegende Profil umfasst lediglich die folgenden Eigenschaften:

  • displayName
  • givenName
  • mail
  • photo
  • surname
  • userPrincipalName

Zum Lesen der Gruppenmitgliedschaften eines Benutzers (memberOf) benötigt die App entweder die Berechtigung Group.Read.All oder Group.ReadWrite.All. Wenn der Benutzer jedoch auch Mitglied in einer directoryRole oder administrativeUnit ist, benötigt die App außerdem effektive Berechtigungen zum Lesen dieser Ressourcen; andernfalls gibt Microsoft Graph einen Fehler zurück. Dies bedeutet, dass die App auch Verzeichnisberechtigungen benötigt; für delegierte Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation, um auf Verzeichnisrollen und administrative Einheiten zuzugreifen.

Mit delegierten oder Anwendungsberechtigung User.ManageIdentities.All ist es möglich, die Identitäten (identities) eines Benutzers zu aktualisieren. Dazu gehören Verbundidentitäten (bzw. soziale Identitäten) oder lokale Identitäten mit E-Mail- oder namensbasierten Anmeldenamen.

Verwendungsbeispiel

Delegiert

  • User.Read: Das vollständige Profil des angemeldeten Benutzers lesen (GET /me).
  • User.ReadWrite: Das Foto des angemeldeten Benutzers aktualisieren (PUT /me/photo/$value).
  • User.ReadBasic.All: Alle Benutzer suchen, deren Name mit „David“ beginnt (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: Den Vorgesetzten eines Benutzers lesen (GET /users/{id | userPrincipalName}/manager).

Anwendung

  • User.Read.All: Alle Benutzer und Beziehungen über eine Delta-Abfrage lesen (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: Das Foto eines beliebigen Benutzers in der Organisation aktualisieren (PUT /users/{id | userPrincipalName}/photo/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Benutzeraktivitäten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
UserActivity.ReadWrite.CreatedByApp Lesen und Schreiben der App-Aktivität in den Aktivitätsfeed der Benutzer Ermöglicht der App, die Aktivitäten des angemeldeten Benutzers in der App zu lesen und eine Bericht zu erstellen. Nein Ja

Anwendungsberechtigungen

Keine.

Bemerkungen

UserActivity.ReadWrite.CreatedByApp gilt sowohl für Microsoft- als auch Geschäfts-, Schul- und Unikonten.

Die CreatedByApp-Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst die implizite Filterung auf die Ergebnisse basierend auf der Identität der aufrufenden Anwendung anwendet, entweder der MSA-App-ID oder einem Satz von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.

Verwendungsbeispiel

Delegiert

  • UserActivity.ReadWrite.CreatedByApp: Abrufen einer Liste der letzten eindeutigen Benutzeraktivitäten basierend auf den zugehörigen Verlaufselementen, die im letzten Tag veröffentlicht wurden. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren einer Benutzeraktivität, die vom Benutzer der Anwendung möglicherweise fortgesetzt wird. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren eines Verlaufselements für eine bestimmte Benutzeraktivität, um den Zeitraum des Benutzereinsatzes darzustellen. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: Löschen einer Benutzeraktivität als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten. (DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: Löschen eines Verlaufselements als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten. (DELETE /me/activities/{id}/historyItems/{id}).

Berechtigungen der Benutzerauthentifizierungsmethode (Vorschau)

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
UserAuthenticationMethod.Read(Vorschau) Lesen eigener Authentifizierungsmethoden Ermöglicht der App, die Authentifizierungsmethoden des angemeldeten Benutzers zu lesen, einschließlich der Telefonnummern und der Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden des signierten Benutzers anderweitig zu verwenden. Ja Nein
UserAuthenticationMethod.Read.All (Vorschau) Lesen der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation zu lesen, auf die der angemeldete Benutzer zugreifen kann. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja Nein
UserAuthenticationMethod.ReadWrite (Vorschau) Verwalten eigener Authentifizierungsmethoden Ermöglicht der App, die Authentifizierungsmethoden des angemeldeten Benutzers zu lesen und einzugeben, einschließlich der Telefonnummern und der Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden des signierten Benutzers anderweitig zu verwenden. Ja Nein
UserAuthenticationMethod.ReadWrite.All (Vorschau) Verwalten der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation zu lesen und einzugeben, auf die der angemeldete Benutzer zugreifen kann. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
UserAuthenticationMethod.Read.All (Vorschau) Lesen der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja
UserAuthenticationMethod.ReadWrite.All (Vorschau) Verwalten der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und einzugeben. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja

Bemerkungen

Berechtigungen der Benutzerauthentifizierungsmethode werden verwendet, um Authentifizierungsmethoden für Benutzer zu verwalten. Mit diesen Berechtigungen kann ein delegierter Benutzer oder eine delegierte Anwendung neue Authentifizierungsmethoden für einen Benutzer registrieren, die Authentifizierungsmethoden, die der Benutzer bereits registriert hat, lesen sowie diese Authentifizierungsmethoden aktualisieren und aus dem Konto des Benutzers entfernen.

Mit diesen Berechtigungen können alle Authentifizierungsmethoden für einen Benutzer gelesen und verwaltet werden. Dies umfasst Methoden, die für Folgendes verwendet werden:

  • Primäre Authentifizierung (Kennwort)
  • Zweiter Faktor für die mehrstufige Authentifizierung/MFA (Telefonnummern)
  • Zurücksetzen von Kennwörtern durch den Benutzer – Self-Service Password Reset, SSPR – (E-Mail-Adressen)

Windows Updates-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
WindowsUpdates.ReadWrite.All Lesen und Schreiben aller Bereitstellungseinstellungen für Windows Update Ermöglicht der App das Lesen und Schreiben aller Windows Update-Bereitstellungseinstellungen für die Organisation im Auftrag des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
WindowsUpdates.ReadWrite.All Lesen und Schreiben aller Bereitstellungseinstellungen für Windows Update Ermöglicht der App das Lesen und Schreiben aller Windows Update-Bereitstellungseinstellungen für die Organisation ohne angemeldeten Benutzer. Ja

Hinweise

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App Lese- und Schreibzugriff auf alle Windows Update-Bereitstellungseinstellungen hat, muss dem angemeldeten Benutzer die Rolle „Globaler Administrator“, „Intune-Administrator“ oder „Windows Update-Bereitstellungsadministrator“ zugewiesen werden. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

  • WindowsUpdates.ReadWrite.All: Erstellen einer Bereitstellung (POST /beta/admin/windows/updates/deployments).

Anwendung

  • WindowsUpdates.ReadWrite.All: Erstellen einer Bereitstellung (POST /beta/admin/windows/updates/deployments).

Berechtigungsszenarios

In diesem Abschnitt werden einige gängige Szenarios für user und group-Ressourcen in einer Organisation erläutert. In den Tabellen sind die Berechtigungen aufgeführt, die eine App benötigt, um bestimmte Vorgänge auszuführen, die das Szenario erfordert. Beachten Sie, dass in einigen Fällen die Möglichkeit der App zur Ausführung bestimmter Vorgänge davon abhängig ist, ob eine Berechtigung eine Anwendungs- oder eine delegierte Berechtigung ist. Im Falle von delegierten Berechtigungen hängen die effektiven Berechtigungen der App auch von den Berechtigungen des angemeldeten Benutzers innerhalb der Organisation ab. Weitere Informationen finden Sie unter Delegierte Berechtigungen, Anwendungsberechtigungen und effektive Berechtigungen.

Zugriffsszenarios für die User-Ressource

App-Aufgaben, die den Benutzer betreffen Erforderliche Berechtigungen Berechtigungszeichenfolgen
Die App möchte die grundlegenden Informationen von anderen Benutzern lesen (nur Anzeigename und Bild), beispielsweise um diese in einer Personenauswahl anzuzeigen. User.ReadBasic.All Grundlegende Profile aller Benutzer lesen
Die App möchte das vollständige Benutzerprofil des angemeldeten Benutzers lesen (direkte Mitarbeiter, Vorgesetzte usw.). User.Read Anmelden und Lesen von Benutzerprofilen zulassen
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen. User.Read.All Lesezugriff auf vollständige Profile aller Benutzer
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen. User.Read, Files.Read, Mail.Read, Calendars.Read Anmeldung aktivieren und Lesezugriff auf Benutzerprofil, Lesezugriff auf Benutzerdateien, Lesezugriff auf Benutzer-E-Mails, Lesezugriff auf Benutzerkalender
Die App möchte die Dateien des angemeldeten Benutzers (eigene) Dateien und Dateien, die andere Benutzer für den angemeldeten Benutzer (mich) freigegeben haben, lesen. User.Read, Files.Read, Sites.Read.All Anmeldung aktivieren und Benutzerprofile lesen, Dateien von Benutzern lesen, Artikel in allen Websitesammlungen lesen
Die App möchte das vollständige Benutzerprofil für den angemeldeten Benutzer lesen und schreiben. User.ReadWrite Lese- und Schreibzugriff auf Benutzerprofile
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen und schreiben. User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen und schreiben. User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzer-E-Mails, Vollzugriff auf Benutzerkalender
Die App möchte eine Datenrichtlinien-Verarbeitungsanforderung zum Exportieren der persönlichen Daten eines Benutzers senden User.Export.All Exportieren der persönlichen Daten eines Benutzers.

Zugriffsszenarios für die Group-Ressource

App-Aufgaben, die die Gruppe betreffen Erforderliche Berechtigungen Berechtigungszeichenfolgen
Die App möchte die grundlegenden Gruppeninformationen (nur Anzeigename und Bild) lesen, beispielsweise um diese in einer Gruppenauswahl anzuzeigen. Group.Read.All Lesezugriff auf alle Gruppen
Die App möchte alle Inhalte in allen Microsoft 365-Gruppen lesen, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer). Group.Read.All Lesezugriff auf Elemente in allen Websitesammlungen, Lesezugriff auf alle Gruppen
Die App möchte alle Inhalte in allen Microsoft 365-Gruppen lesen und schreiben, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer). Group.ReadWrite.All, Sites.ReadWrite.All Lese- und Schreibzugriff auf alle Gruppen, Bearbeiten oder Löschen von Artikeln in allen Websitesammlungen
Die App möchte eine Microsoft 365-Gruppe ermitteln (suchen). Der Benutzer kann eine bestimmte Gruppe suchen und aus der Aufzählungsliste eine Gruppe auswählen, damit der Benutzer der Gruppe beitreten kann. Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen
Die App möchte über AAD Graph eine Gruppe erstellen. Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen