Referencia de permisos de Microsoft GraphMicrosoft Graph permissions reference

Para que su aplicación pueda obtener acceso a los datos de Microsoft Graph, el usuario o el administrador deben concederle los permisos correctos a través de un proceso de consentimiento.For your app to access data in Microsoft Graph, the user or administrator must grant it the correct permissions via a consent process. Este tema enumera los permisos asociados con cada conjunto principal de las API de Microsoft Graph.This topic lists the permissions associated with each major set of Microsoft Graph APIs. También se proporciona información sobre cómo usar los permisos.It also provides guidance about how to use the permissions.

Para saber cómo funcionan los permisos, consulte Fundamentos de autenticación y autorización y vea el siguiente vídeo.To learn more about how permissions work, see Authentication and authorization basics, and watch the following video.

Nombres de permisos de Microsoft GraphMicrosoft Graph permission names

Los nombres de permisos de Microsoft Graph siguen un patrón sencillo: recurso.operación.restricción. Por ejemplo, User.Read concede el permiso de leer el perfil del usuario que ha iniciado sesión, User.ReadWrite concede el permiso de leer y modificar el perfil del usuario que ha iniciado sesión, y Mail.Send concede el permiso de enviar correo en nombre del usuario que ha iniciado sesión.Microsoft Graph permission names follow a simple pattern: resource.operation.constraint. For example, User.Read grants permission to read the profile of the signed-in user, User.ReadWrite grants permission to read and modify the profile of the signed-in user, and Mail.Send grants permission to send mail on behalf of the signed-in user.

El elemento restricción del nombre determina el posible alcance del acceso que tendrá la aplicación dentro del directorio. Actualmente, Microsoft Graph admite las siguientes restricciones:The constraint element of the name determines the potential extent of access your app will have within the directory. Currently Microsoft Graph supports the following constraints:

  • All concede permiso a la aplicación para realizar las operaciones en todos los recursos del tipo especificado en un directorio. Por ejemplo, User.Read.All concede potencialmente a la aplicación privilegios para leer los perfiles de todos los usuarios de un directorio.All grants permission for the app to perform the operations on all of the resources of the specified type in a directory. For example, User.Read.All potentially grants the app privileges to read the profiles of all of the users in a directory.
  • Shared concede permiso a la aplicación para realizar las operaciones en los recursos que otros usuarios han compartido con el usuario que ha iniciado sesión. Esta restricción se usa principalmente con recursos de Outlook, como correo, calendarios y contactos. Por ejemplo, Mail.Read.Shared concede privilegios para leer el correo del buzón del usuario que ha iniciado sesión y el correo de los buzones que otros usuarios de la organización han compartido con el usuario que ha iniciado sesión.Shared grants permission for the app to perform the operations on resources that other users have shared with the signed-in user. This constraint is mainly used with Outlook resources like mail, calendars, and contacts. For example, Mail.Read.Shared, grants privileges to read mail in the mailbox of the signed-in user as well as mail in mailboxes that other users in the organization have shared with the signed-in user.
  • AppFolder concede permiso a la aplicación para leer y escribir archivos en una carpeta dedicada en OneDrive. Esta restricción solo se expone en Permisos de archivos y solo es válida para cuentas de Microsoft.AppFolder grants permission for the app to read and write files in a dedicated folder in OneDrive. This constraint is only exposed on Files permissions and is only valid for Microsoft accounts.
  • Si no se especifica ninguna restricción, la aplicación se limita a realizar las operaciones en los recursos que posee el usuario que ha iniciado sesión. Por ejemplo, User.Read concede privilegios para leer el perfil únicamente del usuario que ha iniciado sesión, y Mail.Read concede permiso para leer únicamente el correo del buzón del usuario que ha iniciado sesión.If no constraint is specified the app is limited to performing the operations on the resources owned by the signed-in user. For example, User.Read grants privileges to read the profile of the signed-in user only, and Mail.Read grants permission to read only mail in the mailbox of the signed-in user.

Nota: En escenarios delegados, los permisos efectivos concedidos a la aplicación pueden verse limitados por los privilegios en la organización del usuario que ha iniciado sesión.Note: In delegated scenarios, the effective permissions granted to your app may be constrained by the privileges of the signed-in user in the organization.

Cuentas de Microsoft y cuentas profesionales o educativasMicrosoft accounts and work or school accounts

No todos los permisos son válidos para las cuentas de Microsoft y para las cuentas profesionales o educativas.Not all permissions are valid for both Microsoft accounts and work or school accounts. Consulte la columna Cuentas de Microsoft compatibles de cada grupo de permisos para determinar si un permiso concreto es válido para las cuentas de Microsoft, para las cuentas profesionales o educativas, o para ambas.You can check the Microsoft Account Supported column for each permission group to determine whether a specific permission is valid for Microsoft accounts, work or school accounts, or both.

Limitaciones de búsqueda de usuarios y grupos para usuarios invitados en las organizacionesUser and group search limitations for guest users in organizations

Las funciones de búsqueda de grupos y usuarios permiten que la aplicación busque cualquier usuario o grupo en un directorio de la organización mediante la realización de consultas en el conjunto de recursos /users o /groups (por ejemplo, https://graph.microsoft.com/v1.0/users).User and group search capabilities allow the app to search for any user or group in an organization's directory by performing queries against the /users or /groups resource set (for example, https://graph.microsoft.com/v1.0/users). Los administradores y los usuarios puede realizar esta función, pero los usuarios invitados no.Both administrators and users have this capability; however, guest users do not.

Si el usuario que ha iniciado sesión es un usuario invitado, en función de los permisos que se hayan concedido a una aplicación, puede leer el perfil de un usuario o grupo específico (por ejemplo, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531), pero no puede realizar consultas en el conjunto de recursos /users o /groups que devuelvan potencialmente más de un solo recurso.If the signed-in user is a guest user, depending on the permissions an app has been granted, it can read the profile of a specific user or group (for example, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); however, it cannot perform queries against the /users or /groups resource set that potentially return more than a single resource.

Con los permisos adecuados, la aplicación puede leer los perfiles de usuarios o grupos que obtiene al seguir los vínculos de las propiedades de navegación, como /users/{id}/directReports o /groups/{id}/members.With the appropriate permissions, the app can read the profiles of users or groups that it obtains by following links in navigation properties; for example, /users/{id}/directReports or /groups/{id}/members.


Acceder a permisos de revisiónAccess reviews permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
AccessReview.Read.AllAccessReview.Read.All Leer todas las revisiones de accesoRead all access reviews Permite que la aplicación lea revisiones de acceso en nombre del usuario que ha iniciado sesión.Allows the app to read access reviews on behalf of the signed-in user. Yes NoNo
AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Administración de todas las revisiones del accesoManage all access reviews Permite que la aplicación lea y escriba revisiones de acceso en nombre del usuario que ha iniciado sesión.Allows the app to read and write access reviews on behalf of the signed-in user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
AccessReview.Read.AllAccessReview.Read.All Leer todas las revisiones de accesoRead all access reviews Permite que la aplicación lea revisiones de acceso sin tener un usuario que haya iniciado sesión.Allows the app to read access reviews without a signed-in user. Yes

ComentariosRemarks

AccessReview.Read.All y AccessReview.ReadWrite.All solo son válidos para las cuentas profesionales o educativas.AccessReview.Read.All and AccessReview.ReadWrite.All are valid only for work or school accounts.

Para que una aplicación con permisos delegados pueda leer revisiones de acceso de un grupo o aplicación, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad, Lector de seguridad o Administrador usuario.For an app with delegated permissions to read access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Para que una aplicación con permisos delegados pueda escribir revisiones de acceso de un grupo o aplicación, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador usuario.For an app with delegated permissions to write access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator.

Para que una aplicación con permisos delegados pueda leer revisiones de acceso de un rol de Azure AD, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad, Lector de seguridad o Administrador con rol privilegiado.For an app with delegated permissions to read access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator. Para que una aplicación con permisos delegados pueda escribir revisiones de acceso de un rol de Azure AD, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador de rol privilegiado.For an app with delegated permissions to write access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator or Privileged Role Administrator.

Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Permisos de recursos de AppCatalogAppCatalog resource permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
AppCatalog.ReadWrite.AllAppCatalog.ReadWrite.All Lectura y escritura para todos los catálogos de la aplicaciónRead and write to all app catalogs Permite que la aplicación cree, lea, actualice y elimine aplicaciones de los catálogo de aplicaciones.Allows the app to create, read, update, and delete apps in the app catalogs. Yes

Permisos de la aplicaciónApplication permissions

Ninguno.None.

ObservacionesRemarks

Actualmente, el único catálogo es la lista de aplicaciones de Microsoft Teams.Currently the only catalog is the list of applications in Microsoft Teams.

Ejemplos de usoExample usage

DelegadosDelegated

AplicaciónApplication

Ninguna.None.


Permisos de recursos de aplicaciónApplication resource permissions

Permisos delegadosDelegated permissions

Ninguno.None.

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Application.ReadWrite.AllApplication.ReadWrite.All Leer y escribir en todas las aplicacionesRead and write all apps Permite que la aplicación de llamada cree y administre (leer, actualizar, actualizar los secretos de la aplicación y eliminar) aplicaciones y entidades de seguridad sin que haya un usuario con sesión iniciada.Allows the calling app to create, and manage (read, update, update application secrets and delete) applications and service principals without a signed-in user. No permite la administración de concesiones de consentimiento ni de asignaciones de aplicación para usuarios o grupos.Does not allow management of consent grants or application assignments to users or groups. Yes
Application.ReadWrite.OwnedByApplication.ReadWrite.OwnedBy Administrar aplicaciones que esta aplicación cree o poseaManage apps that this app creates or owns Permite que la aplicación de llamada cree otras aplicaciones y administre por completo esas aplicaciones y entidades de seguridad (leer, actualizar, actualizar los secretos de la aplicación y eliminar) sin que haya un usuario con sesión iniciada.Allows the calling app to create other applications and service principals, and fully manage those applications and service principals (read, update, update application secrets and delete), without a signed-in user. No puede actualizar ninguna aplicación de la que no sea propietaria.It cannot update any applications that it is not an owner of. No permite la administración de concesiones de consentimiento ni de asignaciones de aplicación para usuarios o grupos.Does not allow management of consent grants or application assignments to users or groups. Yes

ComentariosRemarks

El permiso Application.ReadWrite.OwnedBy permite las mismas operaciones que Application.ReadWrite.All, excepto en que el primero solo permite estas operaciones en las aplicaciones y las entidades de seguridad que sean propiedad de la aplicación de llamada.The Application.ReadWrite.OwnedBy permission allows the same operations as Application.ReadWrite.All except that the former allows these operations only on applications and service principals that the calling app is an owner of. La propiedad se indica mediante la propiedad de navegación owners en el recurso aplicación o entidad de seguridad de destino.Ownership is indicated by the owners navigation property on the target application or service principal resource.

NOTA: La utilización del permiso Application.ReadWrite.OwnedBy para llamar a GET /applications para que muestre la lista de aplicaciones generará un código 403.NOTE: Using the Application.ReadWrite.OwnedBy permission to call GET /applications to list applications will fail with a 403. En su lugar, use GET servicePrincipals/{id}/ownedObjects para mostrar la lista de aplicaciones que son propiedad de la aplicación de llamada.Instead use GET servicePrincipals/{id}/ownedObjects to list the applications owned by the calling application.

Ejemplos de usoExample usage

DelegadoDelegated

Ninguno.None.

AplicaciónApplication

  • Application.ReadWrite.All: Mostrar lista de todas las aplicaciones (GET /beta/applications)Application.ReadWrite.All: List all applications (GET /beta/applications)
  • Application.ReadWrite.All: Eliminar una entidad de seguridad (DELETE /beta/servicePrincipals/{id})Application.ReadWrite.All: Delete a service principal (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: Crear una aplicación (POST /beta/applications)Application.ReadWrite.OwnedBy: Create an application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy: Mostrar lista de todas las aplicaciones propiedad de la aplicación de llamada (GET /beta/servicePrincipals/{id}/ownedObjects)Application.ReadWrite.OwnedBy: List all applications owned by the the calling application (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: Agregar otro propietario a una aplicación que tiene propietario (POST /applications/{id}/owners/$ref).Application.ReadWrite.OwnedBy: Add another owner to an owned application (POST /applications/{id}/owners/$ref).

NOTA: Es posible que se requieran permisos adicionales.NOTE: This may require additional permissions.


Permisos de BookingsBookings permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Bookings.Read.AllBookings.Read.All Permite a una aplicación leer citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión.Allows an app to read Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Su uso previsto es para aplicaciones de solo lectura.Intended for read-only applications. El usuario de destino típico es el cliente de una empresa de reservas.Typical target user is the customer of a booking business. NoNo NoNo
Bookings.ReadWrite.AppointmentsBookings.ReadWrite.Appointments Permite a una aplicación leer y escribir citas y clientes de Bookings y, además, permite leer empresas, servicios y personal en nombre del usuario que inició la sesión.Allows an app to read and write Bookings appointments and customers, and additionally allows reading businesses, services, and staff on behalf of the signed-in user. Su uso previsto es para aplicaciones de programación que necesitan manipular citas y clientes.Intended for scheduling applications which need to manipulate appointments and customers. No se puede cambiar información básica sobre la empresa de reservas, ni tampoco sus servicios ni miembros del personal.Cannot change fundamental information about the booking business, nor its services and staff members. El usuario de destino típico es el cliente de una empresa de reservas.Typical target user is the customer of a booking business. NoNo NoNo
Bookings.ReadWrite.AllBookings.ReadWrite.All Permite a una aplicación leer y escribir citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión.Allows an app to read and write Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. No permite crear, eliminar ni publicar empresas de Bookings.Does not allow create, delete, or publish of Bookings businesses. Su uso previsto es para aplicaciones de administración que manipulan empresas existentes, sus servicios y miembros del personal.Intended for management applications that manipulate existing businesses, their services and staff members. No permite crear, eliminar ni cambiar el estado de publicación de una empresa de reservas.Cannot create, delete, or change the publishing status of a booking business. El usuario de destino típico es el personal de soporte técnico de una organización.Typical target user is the support staff of an organization. NoNo NoNo
Bookings.ManageBookings.Manage Permite a una aplicación leer, escribir y administrar citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión.Allows an app to read, write, and manage Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Permite a la aplicación tener acceso total.Allows the app to have full access.
Su uso previsto es ofrecer una experiencia de administración completa.Intended for a full management experience. El usuario de destino típico es el administrador de una organización.Typical target user is the administrator of an organization.
NoNo NoNo

Permisos de la aplicaciónApplication permissions

Ninguno.None.

Ejemplos de usoExample usage

DelegadoDelegated

  • Bookings.Read.All: obtiene los id. y los nombres de la colección de empresas de Bookings creados para un espacio empresarial (GET /bookingBusinesses).Bookings.Read.All: Get the ID and names of the collection of Bookings businesses that has been created for a tenant (GET /bookingBusinesses).
  • Bookings.ReadWrite.Appointments: crea una cita para un servicio en una empresa de Bookings (POST /bookingBusinesses/{id}/appointments).Bookings.ReadWrite.Appointments: Create an appointment for a service at a Bookings business (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: crea un servicio para la empresa de Bookings especificada (POST /bookingBusinesses/{id}/services).Bookings.ReadWrite.All: Create a new service for the specified Bookings business (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage: permite que la página de programación de esta empresa esté disponible para clientes externos (POST /bookingBusinesses/{id}/publish).Bookings.Manage: Make the scheduling page of this business available to external customers (POST /bookingBusinesses/{id}/publish).

Permisos de calendariosCalendars permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Calendars.ReadCalendars.Read Leer los calendarios del usuarioRead user calendars Permite que la aplicación lea los eventos en los calendarios del usuario.Allows the app to read events in user calendars. NoNo Yes
Calendars.Read.SharedCalendars.Read.Shared Leer los calendarios del usuario y los calendarios compartidosRead user and shared calendars  Permite que la aplicación lea los eventos en todos los calendarios a los que tiene acceso el usuario, incluidos los calendarios delegados y compartidos.Allows the app to read events in all calendars that the user can access, including delegate and shared calendars.  NoNo NoNo
Calendars.ReadWriteCalendars.ReadWrite Obtener acceso completo a los calendarios del usuarioHave full access to user calendars Permite que la aplicación cree, lea, actualice y elimine eventos de los calendarios del usuario.Allows the app to create, read, update, and delete events in user calendars. NoNo Yes
Calendars.ReadWrite.SharedCalendars.ReadWrite.Shared Leer y escribir los calendarios del usuario y los calendarios compartidosRead and write user and shared calendars  Permite que la aplicación cree, lea, actualice y elimine eventos en todos los calendarios para los que el usuario tiene permisos de acceso. Esto incluye los calendarios de delegado y los calendarios compartidos.Allows the app to create, read, update and delete events in all calendars the user has permissions to access. This includes delegate and shared calendars. NoNo NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Calendars.ReadCalendars.Read Leer los calendarios de todos los buzonesRead calendars in all mailboxes Permite que la aplicación lea los eventos de todos los calendarios sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read events of all calendars without a signed-in user. Yes
Calendars.ReadWriteCalendars.ReadWrite Leer los calendarios de todos los buzones y escribir en ellosRead and write calendars in all mailboxes Permite que la aplicación cree, lea, actualice y elimine eventos en todos los calendarios sin la necesidad de que un usuario haya iniciado sesión.Allows the app to create, read, update, and delete events of all calendars without a signed-in user. Yes

Los administradores importantes pueden configurar la política de acceso a las aplicaciones para limitarle el acceso a las aplicaciones a buzones de correo específicos y no a todos los buzones de correo de la organización, incluso si a la aplicación se le han otorgado los permisos de aplicación de Calendars.Read o Calendars.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Calendars.Read or Calendars.ReadWrite.

Ejemplos de usoExample usage

DelegadoDelegated

  • Calendars.Read: obtener los eventos del calendario del usuario entre el 23 de abril de 2017 y el 29 de abril de 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).Calendars.Read: Get events on the user's calendar between April 23, 2017 and April 29, 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: buscar horas de reunión en las que todos los asistentes estén disponibles (POST /users/{id|userPrincipalName}/findMeetingTimes).Calendars.Read.Shared: Find meeting times where all attendees are available (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: agregar un evento al calendario del usuario (POST /me/events).Calendars.ReadWrite: Add an event to the user's calendar (POST /me/events).

AplicaciónApplication

  • Calendars.Read: buscar eventos en el calendario de una sala de conferencias organizados por bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').Calendars.Read: Find events in a conference room's calendar organized by bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: mostrar todos los eventos del calendario de un usuario para el mes de mayo (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00).Calendars.Read: List all events on a user's calendar for the month of May (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: agregar un evento al calendario de un usuario para una baja aprobada (POST /users/{id | userPrincipalName}/events).Calendars.ReadWrite: Add an event to a user's calendar for approved time off (POST /users/{id | userPrincipalName}/events).
  • Calendars.Send: enviar un mensaje (POST /users/{id | userPrincipalName}/sendCalendars).Calendars.Send: Send a message (POST /users/{id | userPrincipalName}/sendCalendars).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permisos de llamadasCalls permissions

Permisos delegadosDelegated permissions

Ninguno.None.


Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Calls.Initiate.AllCalls.Initiate.All Iniciar llamadas salientes de 1:1 desde la aplicación (versión preliminar)Initiate outgoing 1:1 calls from the app (preview) Permite a la aplicación realizar llamadas a un único usuario y transferir las llamadas a usuarios en el directorio de su organización, sin que el usuario haya iniciado sesión en la aplicación.Allows the app to place outbound calls to a single user and transfer calls to users in your organization’s directory, without a signed-in user. Yes
Calls.InitiateGroupCall.AllCalls.InitiateGroupCall.All Iniciar llamadas de grupo salientes desde la aplicación (versión preliminar)Initiate outgoing group calls from the app (preview) Permite a la aplicación realizar llamadas a varios usuarios y agregar a participantes a las reuniones de su organización, sin que el usuario haya iniciado sesión en la aplicación.Allows the app to place outbound calls to multiple users and add participants to meetings in your organization, without a signed-in user. Yes
Calls.JoinGroupCall.AllCalls.JoinGroupCall.All Unirse a llamadas y reuniones de grupo como una aplicación (versión preliminar)Join Group Calls and Meetings as an app (preview) Permite a la aplicación unirse a llamadas de grupo y reuniones programadas de la organización, sin que el usuario haya iniciado sesión en la aplicación.Allows the app to join group calls and scheduled meetings in your organization, without a signed-in user. La aplicación se combinará con los privilegios de un usuario del directorio a las reuniones en su espacio empresarial.The app will be joined with the privileges of a directory user to meetings in your tenant. Yes
Calls.JoinGroupCallasGuest.AllCalls.JoinGroupCallasGuest.All Unirse a llamadas y reuniones de grupo como invitado (versión preliminar)Join Group Calls and Meetings as a guest (preview) Permite a la aplicación unirse a llamadas de grupo y reuniones programadas de la organización de forma anónima, sin que el usuario haya iniciado sesión en la aplicación.Allows the app to anonymously join group calls and scheduled meetings in your organization, without a signed-in user. La aplicación se unirá como invitado a las reuniones de su espacio empresarial.The app will be joined as a guest to meetings in your tenant. Yes
Calls.AccessMedia.All*Calls.AccessMedia.All* Accede a los flujos de medios en una llamada como aplicación (versión preliminar)Access media streams in a call as an app (preview) Permite a la aplicación obtener acceso directo a los flujos de medios en una llamada, sin que el usuario haya iniciado sesión en la aplicación.Allows the app to get direct access to media streams in a call, without a signed-in user. Yes

*Importante: No se puede usar la API de Microsoft.Graph.Calls.Media para grabar o conservar contenido multimedia desde llamadas o reuniones a las que el bot accede.*Important: You may not use the Microsoft.Graph.Calls.Media API to record or otherwise persist media content from calls or meetings that your bot accesses.


Ejemplos de usoExample usage

AplicaciónApplication

  • Calls.Initiate.All: realizar una llamada de punto a punto desde la aplicación a un usuario de la organización (POST /beta/app/calls).Calls.Initiate.All: Make a peer-to-peer call from the application to a user in the organization (POST /beta/app/calls).
  • Calls.InitiateGroupCall.All: realizar una llamada de grupo desde la aplicación a un grupo de usuarios de la organización (POST /beta/app/calls).Calls.InitiateGroupCall.All: Make a group call from the application to a group of users in the organization (POST /beta/app/calls).
  • Calls.JoinGroupCall.All: unirse a una llamada de grupo o una reunión en línea desde la aplicación (POST /beta/app/calls).Calls.JoinGroupCall.All: Join a group call or online meeting from the application (POST /beta/app/calls).
  • Calls.JoinGroupCallasGuest.All: unirse a una llamada de grupo o reunión en línea desde la aplicación, pero la aplicación solo tiene privilegios de invitado en la reunión (POST /beta/app/calls).Calls.JoinGroupCallasGuest.All: Join a group call or online meeting from the application, but the application only has guest privileges in the meeting (POST /beta/app/calls).
  • Calls.AccessMedia.All: crear o unirse a una llamada y la aplicación obtiene acceso directo a los flujos de medios de los participantes de la llamada (POST /beta/app/calls).Calls.AccessMedia.All: Create or Join a call and the app gets direct access to participant media streams in the call (POST /beta/app/calls).

Nota: Para solicitar ejemplos, consulte Crear llamada.Note: For request examples, see to Create call.

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permisos de chatChats permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Chat.ReadChat.Read Leer sus mensajes de chatRead your chat messages  Permite a una aplicación leer en su nombre los mensajes de sus charlas entre 2 personas o en grupo en Microsoft Teams.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NoNo NoNo
Chat.ReadWriteChat.ReadWrite Leer mensajes de chat y enviar nuevosRead your chat messages and send new ones  Permite a una aplicación leer y enviar en su nombre mensajes de chat entre 2 personas o en grupo en Microsoft Teams.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NoNo NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Chat.Read.AllChat.Read.All Leer todos los mensajes de chatRead all chat messages  Permite leer todos los mensajes de chat entre 2 personas o en grupo en Microsoft Teams, sin que el usuario haya iniciado sesión en la aplicación.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. Yes NoNo

Nota: para los mensajes en un canal, consulte Group.Read.All.Note: For messages in a channel, see Group.Read.All.

Permisos de contactosContacts permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Contacts.ReadContacts.Read Leer los contactos del usuarioRead user contacts  Permite que la aplicación lea los contactos del usuario.Allows the app to read user contacts. NoNo Yes
Contacts.Read.SharedContacts.Read.Shared Leer los contactos del usuario y los contactos compartidosRead user and shared contacts Permite que la aplicación lea los contactos para los que el usuario tiene permisos de acceso, incluidos los contactos propios y compartidos del usuario.Allows the app to read contacts that the user has permissions to access, including the user's own and shared contacts.  NoNo NoNo
Contacts.ReadWriteContacts.ReadWrite Obtener acceso completo a los contactos del usuarioHave full access to user contacts Permite que la aplicación cree, lea, actualice y elimine los contactos del usuario.Allows the app to create, read, update, and delete user contacts. NoNo Yes
Contacts.ReadWrite.SharedContacts.ReadWrite.Shared Leer y escribir los contactos del usuario y los contactos compartidosRead and write user and shared contacts Permite que la aplicación cree, lea, actualice y elimine los contactos para los que el usuario tiene permisos, incluidos los contactos propios y compartidos del usuario.Allows the app to create, read, update and delete contacts that the user has permissions to, including the user's own and shared contacts. NoNo NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Contacts.ReadContacts.Read Leer los contactos de todos los buzonesRead contacts in all mailboxes  Permite que la aplicación lea todos los contactos de todos los buzones sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read all contacts in all mailboxes without a signed-in user.  Yes
Contacts.ReadWriteContacts.ReadWrite Leer y escribir contactos en todos los buzonesRead and write contacts in all mailboxes Permite que la aplicación cree, lea, actualice y elimine todos los contactos en todos los buzones sin la necesidad de que un usuario haya iniciado sesión.Allows the app to create, read, update, and delete all contacts in all mailboxes without a signed-in user. Yes

Los administradores importantes pueden configurar la política de acceso a las aplicaciones para limitarle el acceso a las aplicaciones a buzones de correo específicos y no a todos los buzones de correo de la organización, incluso si a la aplicación se le han otorgado los permisos de aplicación de Contacts.Read o Contacts.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not all the mailboxes in the organization, even if the app has been granted the application permissions of Contacts.Read or Contacts.ReadWrite.

Ejemplos de usoExample usage

DelegadoDelegated

  • Contacts.Read: leer un contacto de una de las carpetas de nivel superior de contactos del usuario que ha iniciado sesión (GET /me/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read a contact from one of the top-level contact folders of the signed-in user (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: actualizar la fotografía de contacto de uno de los contactos del usuario que ha iniciado sesión (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the contact photo of one of the signed-in user's contacts (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: agregar contactos a la carpeta raíz del usuario que ha iniciado sesión (POST /me/contacts).Contacts.ReadWrite: Add contacts to the root folder of the signed-in user (POST /me/contacts).

AplicaciónApplication

  • Contacts.Read: leer contactos de una de las carpetas de contactos de nivel superior de cualquier usuario de la organización (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read contacts from one of the top-level contact folders of any user in the organization (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: actualizar la fotografía de cualquier contacto de cualquier usuario de una organización (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the photo for any contact of any user in an organization (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: agregar contactos a la carpeta raíz de cualquier usuario de la organización (POST /users/{id | userPrincipalName}/contacts).Contacts.ReadWrite: Add contacts to the root folder of any user in the organization (POST /users/{id | userPrincipalName}/contacts).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permisos de dispositivoDevice permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Device.ReadDevice.Read Leer los dispositivos del usuarioRead user devices Permite a la aplicación leer la lista de dispositivos de un usuario en nombre del usuario que inició sesión.Allows the app to read a user's list of devices on behalf of the signed-in user. NoNo Yes
Device.CommandDevice.Command Comunicarse con los dispositivos del usuarioCommunicate with user devices Permite a la aplicación iniciar otra aplicación o comunicarse con otra aplicación del dispositivo de un usuario en nombre del usuario que inició sesión.Allows the app to launch another app or communicate with another app on a user's device on behalf of the signed-in user. NoNo Yes

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Device.ReadWrite.AllDevice.ReadWrite.All Leer y escribir dispositivosRead and write devices Permite que la aplicación lea y escriba todas las propiedades del dispositivo sin la necesidad de que un usuario haya iniciado sesión. No permite la creación de dispositivos, su eliminación o la actualización de identificadores de seguridad alternativos de dispositivos.Allows the app to read and write all device properties without a signed in user. Does not allow device creation, device deletion, or update of device alternative security identifiers. Yes

Ejemplos de usoExample usage

AplicaciónApplication

  • Device.ReadWrite.All: leer todos los dispositivos registrados de la organización (GET /devices).Device.ReadWrite.All: Read all registered devices in the organization (GET /devices).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de directorioDirectory permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Directory.Read.AllDirectory.Read.All Leer datos del directorioRead directory data Permite que la aplicación lea los datos del directorio de su organización, como los usuarios, los grupos y las aplicaciones.Allows the app to read data in your organization's directory, such as users, groups and apps. Nota: Los usuarios pueden dar su consentimiento a las aplicaciones que requieren este permiso si la aplicación está registrada en el espacio empresarial de su propia organización.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant. Yes NoNo
Directory.ReadWrite.AllDirectory.ReadWrite.All Leer y escribir datos en el directorioRead and write directory data Permite que la aplicación lea y escriba los datos del directorio de su organización, como los usuarios y los grupos. No permite que la aplicación elimine usuarios o grupos ni que restablezca contraseñas de usuario.Allows the app to read and write data in your organization's directory, such as users, and groups. It does not allow the app to delete users or groups, or reset user passwords. Yes NoNo
Directory.AccessAsUser.AllDirectory.AccessAsUser.All Obtener acceso al directorio como usuario que ha iniciado sesiónAccess directory as the signed-in user Permite que la aplicación tenga el mismo acceso a la información del directorio que el usuario que ha iniciado sesión.Allows the app to have the same access to information in the directory as the signed-in user. Yes NoNo
PrivilegedAccess.ReadWrite.AzureADPrivilegedAccess.ReadWrite.AzureAD Lee y escribe datos de Privileged Identity Management para DirectoryRead and write Privileged Identity Management data for Directory Permite a la aplicación tener acceso de lectura y escritura a las API de Privileged Identity Management para Azure AD.Allows the app to have read and write access to Privileged Identity Management APIs for Azure AD. Yes NoNo
PrivilegedAccess.ReadWrite.AzureResourcesPrivilegedAccess.ReadWrite.AzureResources Lee y escribe datos de Privileged Identity Management para los recursos de AzureRead and write Privileged Identity Management data for Azure Resources Permite a la aplicación tener acceso de lectura y escritura a las API de Privileged Identity Management para los recursos de Azure.Allows the app to have read and write access to Privileged Identity Management APIs for Azure resources. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Directory.Read.AllDirectory.Read.All Leer datos del directorioRead directory data Permite que la aplicación lea los datos del directorio de su organización, como los usuarios, los grupos y las aplicaciones sin iniciar sesión con ningún usuario.Allows the app to read data in your organization's directory, such as users, groups and apps, without a signed-in user. Yes
Directory.ReadWrite.AllDirectory.ReadWrite.All Leer y escribir datos en el directorioRead and write directory data Permite que la aplicación lea y escriba los datos del directorio de su organización, como los usuarios y los grupos sin iniciar sesión con ningún usuario. No se permite la eliminación de un usuario o un grupo.Allows the app to read and write data in your organization's directory, such as users, and groups, without a signed-in user. Does not allow user or group deletion. Yes

ObservacionesRemarks

Los permisos de directorio proporcionan el mayor nivel de privilegio para obtener acceso a los recursos del directorio, como el usuario, el grupo y el dispositivo de una organización.Directory permissions provide the highest level of privilege for accessing directory resources such as User, Group, and Device in an organization.

También controlan de manera exclusiva el acceso a otros recursos del directorio, como los contactos de la organización, las API de extensión de esquema y las API de Privileged Identity Management (PIM), así como muchos de los recursos y API indicados en el nodo Azure Active Directory en la documentación de referencia de la API v1.0 y beta.They also exclusively control access to other directory resources like: organizational contacts, schema extension APIs, Privileged Identity Management (PIM) APIs, as well as many of the resources and APIs listed under the Azure Active Directory node in the v1.0 and beta API reference documentation. Entre estos se incluyen las unidades administrativas, los roles de directorio, las configuraciones de directorio, las directivas y mucho más.These include administrative units, directory roles, directory settings, policy, and many more.

El permiso Directory.ReadWrite.All concede los privilegios siguientes:The Directory.ReadWrite.All permission grants the following privileges:

  • Acceso completo de lectura a todos los recursos del directorio (propiedades declaradas y propiedades de navegación)Full read of all directory resources (both declared properties and navigation properties)
  • Crear y actualizar usuariosCreate and update users
  • Deshabilitar y habilitar usuarios (pero no el administrador de la compañía)Disable and enable users (but not company administrator)
  • Establecer un identificador de seguridad alternativo para el usuario (pero no para los administradores)Set user alternative security id (but not administrators)
  • Crear y actualizar gruposCreate and update groups
  • Administrar pertenencias de grupoManage group memberships
  • Actualizar el propietario del grupoUpdate group owner
  • Administrar asignaciones de licenciasManage license assignments
  • Definir extensiones de esquema en aplicacionesDefine schema extensions on applications

Nota:Note:

  • No hay permisos para restablecer contraseñas de usuario.No rights to reset user passwords
  • La actualización de la propiedad businessPhones, mobilePhone u otherMails de otro usuario solo está permitida en usuarios que no son administradores o que tienen asignados uno de los siguientes roles: lectores de directorio, invitador de usuarios, lector del centro de mensajes y lector de informes.Updating another user's businessPhones, mobilePhone, or otherMails property is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Para obtener más información, consulte administrador de soporte técnico (contraseña) en Roles disponibles de Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles. Este es el caso para las aplicaciones que concedieron los permisos User.ReadWrite.All o Directory.ReadWrite.All de aplicación o delegados.This is the case for apps granted either the User.ReadWrite.All or Directory.ReadWrite.All delegated or application permissions.
  • No hay permisos para eliminar recursos (incluidos usuarios o grupos)No rights to delete resources (including users or groups)
  • Se excluye específicamente la posibilidad de crear o actualizar los recursos que no se han enumerado anteriormente.Specifically excludes create or update for resources not listed above. Esto incluye: aplicación, oAauth2Permissiongrant, appRoleAssignment, dispositivo, servicePrincipal, organización, dominios, etc.This includes: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains, and so on.

Ejemplos de usoExample usage

DelegadoDelegated

  • Directory.Read.All: enumerar todas las unidades administrativas de una organización (GET /beta/administrativeUnits).Directory.Read.All: List all administrative units in an organization (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All: agregar miembros a un rol de directorio (POST /directoryRoles/{id}/members/$ref).Directory.ReadWrite.All: Add members to a directory role (POST /directoryRoles/{id}/members/$ref)

AplicaciónApplication

  • Directory.Read.All: enumerar todas las pertenencias de un usuario, incluidos los roles de directorio y las unidades administrativas (GET /beta/users/{id}/memberOf).Directory.Read.All: List all memberships of a user, including directory roles and administrative units (GET /beta/users/{id}/memberOf)
  • Directory.Read.All: enumerar todos los miembros del grupo, incluidas las entidades de servicio (GET /beta/groups/{id}/members).Directory.Read.All: List all group members, including service principals (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All: agregar un propietario a un grupo (POST /groups/{id}/owners/$ref).Directory.ReadWrite.All: Add an owner to a group (POST /groups/{id}/owners/$ref)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos para el ámbito educativoEducation permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
EduAdministration.ReadEduAdministration.Read Leer configuración de aplicación educativaRead education app settings Permite a la aplicación leer la configuración de la aplicación educativa en nombre del usuario.Allows the app to read education app settings on behalf of the user. Yes NoNo
EduAdministration.ReadWriteEduAdministration.ReadWrite Administrar configuración de aplicación educativaManage education app settings Permite a la aplicación administrar la configuración de la aplicación educativa en nombre del usuario.Allows the app to manage education app settings on behalf of the user. Yes NoNo
EduAssignments.ReadBasicEduAssignments.ReadBasic Leer las tareas de clase de los usuarios sin calificacionesRead users' class assignments without grades Permite a la aplicación leer las tareas sin calificaciones en nombre del usuarioAllows the app to read assignments without grades on behalf of the user Yes NoNo
EduAssignments.ReadWriteBasicEduAssignments.ReadWriteBasic Leer y escribir las tareas de clase de los usuarios sin calificacionesRead and write users' class assignments without grades Permite a la aplicación leer y escribir las tareas sin calificaciones en nombre del usuarioAllows the app to read and write assignments without grades on behalf of the user Yes NoNo
EduAssignments.ReadEduAssignments.Read Leer la vista de los usuarios de las tareas de clase y sus calificacionesRead users' view of class assignments and their grades Permite a la aplicación leer las tareas y sus calificaciones en nombre del usuarioAllows the app to read assignments and their grades on behalf of the user Yes NoNo
EduAssignments.ReadWriteEduAssignments.ReadWrite Leer y escribir la vista de los usuarios de las tareas de clase y sus calificacionesRead and write users' view of class assignments and their grades Permite a la aplicación leer y escribir las tareas y sus calificaciones en nombre del usuarioAllows the app to read and write assignments and their grades on behalf of the user Yes NoNo
EduRostering.ReadBasicEduRostering.ReadBasic Leer un subconjunto limitado de la vista de los usuarios de la listaRead a limited subset of users' view of the roster Permite a la aplicación leer un subconjunto limitado de los datos de la estructura de escuelas y clases en una lista de organización, y leer la información específica de educación sobre los usuarios en nombre del usuario.Allows the app to read a limited subset of the data from the structure of schools and classes in an organization's roster and education-specific information about users to be read on behalf of the user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
EduAssignments.ReadBasic.AllEduAssignments.ReadBasic.All Leer las tareas de clase sin calificacionesRead class assignments without grades Permite a la aplicación leer las tareas sin calificaciones para todos los usuariosAllows the app to read assignments without grades for all users Yes
EduAssignments.ReadWriteBasic.AllEduAssignments.ReadWriteBasic.All Leer y escribir las tareas de clase sin calificacionesRead and write class assignments without grades Permite a la aplicación leer y escribir las tareas sin calificaciones para todos los usuariosAllows the app to read and write assignments without grades for all users Yes
EduAssignments.Read.AllEduAssignments.Read.All Leer las tareas de clase con calificacionesRead class assignments with grades Permite a la aplicación leer las tareas y sus calificaciones para todos los usuariosAllows the app to read assignments and their grades for all users Yes
EduAssignments.ReadWrite.AllEduAssignments.ReadWrite.All Leer y escribir las tareas de clase con calificacionesRead and write class assignments with grades Permite a la aplicación leer y escribir las tareas y sus calificaciones para todos los usuariosAllows the app to read and write assignments and their grades for all users Yes
EduRostering.ReadBasic.AllEduRostering.ReadBasic.All Leer un subconjunto limitado de la lista de la organización.Read a limited subset of the organization's roster. Permite a la aplicación leer un subconjunto limitado de los datos de la estructura de escuelas y de clases en una lista de organización, y leer la información específica de educación sobre los usuarios.Allows the app to read a limited subset of both the structure of schools and classes in an organization's roster and education-specific information about all users. Yes
EduRostering.Read.AllEduRostering.Read.All Lea la lista de la organización.Read the organization's roster. Permite a la aplicación leer la estructura de escuelas y de clases en una lista de organización, y leer la información específica de educación sobre los usuarios.Allows the app to read the structure of schools and classes in the organization's roster and education-specific information about all users to be read. Yes
EduRostering.ReadWrite.AllEduRostering.ReadWrite.All Leer y escribir la lista de la organización.Read and write the organization's roster. Permite a la aplicación leer y escribir la estructura de escuelas y de clases en una lista de organización, y leer y escribir la información específica de educación sobre los usuarios.Allows the app to read and write the structure of schools and classes in the organization's roster and education-specific information about all users to be read and written. Yes

Ejemplos de usoExample usage

DelegadoDelegated

  • EduAssignments.Read: Obtener información de las tareas del alumno que haya iniciado sesión (GET /education/classes/{id}/assignments/{id})EduAssignments.Read: Get the signed-in student's assignment information (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: Enviar la tarea del alumno que haya iniciado sesión (GET /education/classes/{id}/assignments/{id}submit)EduAssignments.ReadWriteBasic: Submit signed-in student assignment (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: Clases a las que asiste o en las que enseña un alumno que haya iniciado sesión (GET /education/classes/{id}/members)EduRoster.ReadBasic: Classes a signed-in user attends or teaches (GET /education/classes/{id}/members)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de archivosFiles permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Files.ReadFiles.Read Leer archivos de usuarioRead user files Permite a la aplicación leer los archivos del usuario que inició la sesión.Allows the app to read the signed-in user's files. NoNo Yes
Files.Read.AllFiles.Read.All Leer todos los archivos a los que el usuario puede tener accesoRead all files that user can access Permite que la aplicación lea todos archivos a los que puede tener acceso el usuario que ha iniciado sesión.Allows the app to read all files the signed-in user can access. NoNo Yes
Files.ReadWriteFiles.ReadWrite Obtener acceso total a los archivos de usuarioHave full access to user files Permite a la aplicación leer, crear, actualizar y eliminar los archivos del usuario que inició la sesión.Allows the app to read, create, update, and delete the signed-in user's files. NoNo Yes
Files.ReadWrite.AllFiles.ReadWrite.All Obtener acceso total a todos los archivos a los que puede tener acceso el usuarioHave full access to all files user can access Permite que la aplicación lea, cree, actualice y elimine todos los archivos a los que puede obtener acceso el usuario que inició la sesión.Allows the app to read, create, update, and delete all files the signed-in user can access. NoNo Yes
Files.ReadWrite.AppFolderFiles.ReadWrite.AppFolder Obtener acceso total a la carpeta de la aplicación (versión preliminar)Have full access to the application's folder (preview) (Versión preliminar) Permite que la aplicación lea, cree, actualice y elimine archivos de la carpeta de la aplicación.(Preview) Allows the app to read, create, update, and delete files in the application's folder. NoNo NoNo
Files.Read.SelectedFiles.Read.Selected Leer los archivos que el usuario seleccionaRead files that the user selects Compatibilidad limitada en Microsoft Graph (vea los comentarios)Limited support in Microsoft Graph; see Remarks
(Versión preliminar) Permite que la aplicación lea los archivos que el usuario selecciona. La aplicación puede obtener acceso a un archivo durante varias horas después de que el usuario lo haya seleccionado.(Preview) Allows the app to read files that the user selects. The app has access for several hours after the user selects a file.
NoNo NoNo
Files.ReadWrite.SelectedFiles.ReadWrite.Selected Leer los archivos que el usuario selecciona y escribir en ellosRead and write files that the user selects Compatibilidad limitada en Microsoft Graph (vea los comentarios)Limited support in Microsoft Graph; see Remarks
(Versión preliminar) Permite que la aplicación lea y escriba archivos que el usuario selecciona. La aplicación puede obtener acceso a un archivo durante varias horas después de que el usuario lo haya seleccionado.(Preview) Allows the app to read and write files that the user selects. The app has access for several hours after the user selects a file.
NoNo NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Files.Read.AllFiles.Read.All Leer archivos en todas las colecciones de sitiosRead files in all site collections Permite que la aplicación lea todos los archivos de todas las colecciones de sitios sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read all files in all site collections without a signed in user. Yes
Files.ReadWrite.AllFiles.ReadWrite.All Leer y escribir archivos en todas las colecciones de sitiosRead and write files in all site collections Permite que la aplicación lea, cree, actualice y elimine todos los archivos de todas las colecciones de sitios sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read, create, update, and delete all files in all site collections without a signed in user. Yes

ObservacionesRemarks

Nota: Para las cuentas personales, Files.Read y Files.ReadWrite también conceden acceso a archivos compartidos con el usuario que inició la sesión.Note: For personal accounts, Files.Read and Files.ReadWrite also grant access to files shared with the signed-in user.

Los permisos delegados Files.Read.Selected y Files.ReadWrite.Selected solo son válidos en cuentas profesionales o educativas, y solo se exponen para trabajar con controladores de archivos de Office 365 (v1.0). No tienen que usarse para llamar directamente a las API de Microsoft Graph.The Files.Read.Selected and Files.ReadWrite.Selected delegated permissions are only valid on work or school accounts and are only exposed for working with Office 365 file handlers (v1.0). They should not be used for directly calling Microsoft Graph APIs.

El permiso delegado Files.ReadWrite.AppFolder solo es válido para cuentas personales y se usa para obtener acceso a la carpeta especial del directorio raíz de la aplicación con la API de Microsoft Graph Obtener carpeta especial de OneDrive.The Files.ReadWrite.AppFolder delegated permission is only valid for personal accounts and is used for accessing the App Root special folder with the OneDrive Get special folder Microsoft Graph API.

Ejemplos de usoExample usage

DelegadoDelegated

  • Files.Read: leer archivos almacenados en el OneDrive del usuario que ha iniciado sesión (GET /me/drive/root/children).Files.Read: Read files stored in the signed-in user's OneDrive (GET /me/drive/root/children)
  • Files.Read.All: leer archivos compartidos con el usuario que ha iniciado sesión (GET /me/drive/root/sharedWithMe).Files.Read.All: Read files shared with the signed-in user (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite: escribir un archivo en el OneDrive del usuario que ha iniciado sesión (PUT /me/drive/root/children/filename.txt/content).Files.ReadWrite: Write a file in the signed-in user's OneDrive (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All: escribir un archivo compartido con el usuario (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content).Files.ReadWrite.All: Write a file shared with the user (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder: escribir archivos en la carpeta de la aplicación en OneDrive (PUT /me/drive/special/approot/children/file.txt/content).Files.ReadWrite.AppFolder: Write files into the app's folder in OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de finanzasFinancials permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Financials.ReadWrite.AllFinancials.ReadWrite.All Lee y escribe datos financierosRead and write financials data Permite a la aplicación leer y escribir datos financieros en nombre del usuario que inició sesión.Allows the app to read and write financials data on behalf of the signed-in user NoNo

Permisos de grupoGroup permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Group.Read.AllGroup.Read.All Leer todos los gruposRead all groups Permite que la aplicación enumere grupos y lea sus propiedades y todas las pertenencias a los grupos en nombre del usuario que ha iniciado sesión. También permite que la aplicación lea el calendario, las conversaciones, los archivos y otro contenido del grupo de todos los grupos en los que el usuario que ha iniciado sesión tiene acceso.Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user. Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. Yes NoNo
Group.ReadWrite.AllGroup.ReadWrite.All Leer y escribir en todos los gruposRead and write all groups Permite que la aplicación cree grupos y lea todas las propiedades de los grupos y las pertenencias en nombre del usuario que ha iniciado sesión. Además, permite a los propietarios del grupo que administren sus grupos y permite a los miembros del grupo que actualicen su contenido del grupo.Allows the app to create groups and read all group properties and memberships on behalf of the signed-in user. Additionally allows group owners to manage their groups and allows group members to update group content. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Group.Read.AllGroup.Read.All Leer todos los gruposRead all groups Permite que la aplicación lea suscripciones para todos los grupos sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read memberships for all groups without a signed-in user. > Tenga en cuenta que no todas las API de grupo admiten el acceso mediante permisos solo de aplicación. > NOTE: that not all group API supports access using app-only permissions. Consulte los problemas conocidos para obtener ejemplos.See known issues for examples. Yes
Group.ReadWrite.AllGroup.ReadWrite.All Leer y escribir en todos los gruposRead and write all groups Permite que la aplicación cree y elimine grupos y lea y actualice pertenencias a grupos.Allows the app to create groups, read and update group memberships, and delete groups. La aplicación puede realizar todas esas operaciones sin que un usuario haya iniciado sesión.All of these operations can be performed by the app without a signed-in user. > Tenga en cuenta que no todas las API de grupo admiten el acceso mediante permisos solo de aplicación. > NOTE: that not all group API supports access using app-only permissions. Consulte los problemas conocidos para obtener ejemplos.See known issues for examples. Yes

ComentariosRemarks

No se admite la funcionalidad de grupo en cuentas personales de Microsoft.Group functionality is not supported on personal Microsoft accounts.

En el caso de los grupos de Office 365, los permisos de grupo conceden a la aplicación acceso al contenido del grupo, como conversaciones, archivos, notas, etc.For Office 365 groups, Group permissions grant the app access to the contents of the group; for example, conversations, files, notes, and so on.

En el caso de los permisos de la aplicación, se admiten algunas limitaciones para las API. Para obtener más información, vea los problemas conocidos.For application permissions, there are some limitations for the APIs that are supported. For more information, see known issues.

En algunos casos, una aplicación podría necesitar permisos de directorio para leer algunas propiedades de grupo, como member y memberOf. Por ejemplo, si un grupo tiene una o más entidades de servicio servicePrincipals como miembros, la aplicación necesitará permisos efectivos para leer las entidades de servicio mediante la concesión de uno de los permisos Directory.*. De lo contrario, Microsoft Graph devolverá un error. (En el caso de los permisos delegados, el usuario que ha iniciado sesión también deberá tener privilegios suficientes en la organización para leer entidades de servicio). Lo mismo se aplica a la propiedad memberOf, que puede devolver administrativeUnits.In some cases, an app may need Directory permissions to read some group properties like member and memberOf. For example, if a group has a one or more servicePrincipals as members, the app will need effective permissions to read service principals through being granted one of the Directory.* permissions, otherwise Microsoft Graph will return an error. (In the case of delegated permissions, the signed-in user will also need sufficient privileges in the organization to read service principals.) The same guidance applies for the memberOf property, which can return administrativeUnits.

Los permisos de grupo también se usan para controlar el acceso a recursos y API de Microsoft Teams.Group permissions are used to control access to Microsoft Teams resources and APIs. No se admiten las cuentas personales de Microsoft.Personal Microsoft accounts are not supported.

Los permisos de grupo también se usan para controlar el acceso a los recursos y las API de Microsoft Planner. Solo se admiten los permisos delegados para las API de Microsoft Planner; no se admiten los permisos de aplicación. No se admiten las cuentas personales de Microsoft.Group permissions are also used to control access to Microsoft Planner resources and APIs. Only delegated permissions are supported for Microsoft Planner APIs; application permissions are not supported. Personal Microsoft accounts are not supported.

Ejemplos de usoExample usage

DelegadoDelegated

  • Group.Read.All: leer todos los Grupos de Office 365 de los que es miembro el usuario que ha iniciado sesión (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).Group.Read.All: Read all Office 365 groups that the signed-in user is a member of (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: leer todo el contenido del Grupo de Office 365, como conversaciones (GET /groups/{id}/conversations).Group.Read.All: Read all Office 365 group content like conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: actualizar propiedades del grupo, como la fotografía (PUT /groups/{id}/photo/$value).Group.ReadWrite.All: Update group properties, like photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: actualizar miembros del grupo (POST /groups/{id}/members/$ref).Group.ReadWrite.All: Update group members (POST /groups/{id}/members/$ref).

Nota:: Esto también requiere User.ReadBasic.All para leer el usuario que se va a agregar como miembro.Note:: This also requires User.ReadBasic.All to read the user to add as a member.

AplicaciónApplication

  • Group.Read.All: buscar todos los grupos cuyo nombre empieza por "Sales" (GET /groups?$filter=startswith(displayName,'Sales')).Group.Read.All: Find all groups with name that starts with 'Sales' (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: el servicio de demonio crea eventos en el calendario de un Grupo de Office 365 (POST /groups/{id}/events).Group.ReadWrite.All: Daemon service creates new events on an Office 365 group's calendar (POST /groups/{id}/events).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos del proveedor de identidadesIdentity provider permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
IdentityProvider.Read.AllIdentityProvider.Read.All Leer la información del proveedor de identidadesRead identity provider information Permite que la aplicación lea los proveedores de identidades configurados en el inquilino de Azure AD o Azure AD B2C en nombre del usuario que ha iniciado sesión.Allows the app to read identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. Yes NoNo
IdentityProvider.ReadWrite.AllIdentityProvider.ReadWrite.All Leer y escribir información del proveedor de identidadesRead and write identity provider information Permite que la aplicación lea o escriba los proveedores de identidades configurados en el inquilino de Azure AD o Azure AD B2C en nombre del usuario que ha iniciado sesión.Allows the app to read or write identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. Yes NoNo

ObservacionesRemarks

IdentityProvider.Read.All y IdentityProvider.ReadWrite.All solo son válidos para las cuentas profesionales o educativas.IdentityProvider.Read.All and IdentityProvider.ReadWrite.All are valid only for work or school accounts. Para que una aplicación lea o escriba proveedores de identidades con permisos delegados, el usuario que ha iniciado sesión debe tener el rol de administrador global.For an app to read or write identity providers with delegated permissions, the signed-in user must be assigned the Global Administrator role. Para más información sobre los roles de administrador, vea Asignación de roles de administrador en Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Ejemplos de usoExample usage

DelegadoDelegated

Los siguientes usos son válidos para los permisos delegados:The following usages are valid for both delegated permissions:

  • IdentityProvider.Read.All: leer todos los proveedores de identidades configurados en el inquilino (GET /beta/identityProviders).IdentityProvider.Read.All: Read all identity providers configured in the tenant (GET /beta/identityProviders)
  • IdentityProvider.Read.All: leer un proveedor de identidades existente (GET /beta/identityProviders/{id}).IdentityProvider.Read.All: Read an existing identity provider (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: crear un proveedor de identidades (POST /beta/identityProviders).IdentityProvider.ReadWrite.All Create an identity provider (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All: actualizar un proveedor de identidades existente (PATCH /beta/identityProviders/{id}).IdentityProvider.ReadWrite.All Update an existing identity provider (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: eliminar un proveedor de identidades existente (DELETE /beta/identityProviders/{id}).IdentityProvider.ReadWrite.All Delete an existing identity provider (DELETE /beta/identityProviders/{id})

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de eventos de riesgo de identidadIdentity Risk Event permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Leer información de eventos de riesgo de identidadRead identity risk event information Permite que la aplicación lea información de eventos de riesgo de identidad para todos los usuarios de la organización de parte del usuario que ha iniciado sesión.Allows the app to read identity risk event information for all users in your organization on behalf of the signed-in user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Leer información de eventos de riesgo de identidadRead identity risk event information Permite que la aplicación lea información de eventos de riesgo de identidad para todos los usuarios de la organización sin que un usuario haya iniciado sesión.Allows the app to read identity risk event information for all users in your organization without a signed-in user. Yes

ComentariosRemarks

IdentityRiskEvent.Read.All solo es válido para las cuentas profesionales o educativas. Para que una aplicación con permisos delegados pueda leer información de identidad de riesgo, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad o Lector de seguridad. Para obtener más información sobre los roles de administrador, vea Asignación de roles de administrador en Azure Active Directory.IdentityRiskEvent.Read.All is valid only for work or school accounts. For an app with delegated permissions to read identity risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Ejemplos de usoExample usage

Permisos delegados y de la aplicaciónDelegated and Application

Los siguientes usos son válidos para los permisos delegados y de la aplicación:The following usages are valid for both delegated and application permissions:

  • Leer todos los eventos de riesgo generados para todos los usuarios del inquilino (GET /beta/identityRiskEvents).Read all risk events generated for all users in the tenant (GET /beta/identityRiskEvents)
  • Leer eventos de riesgo de malware generados por la red de robots (botnet) de Dorkbot (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot').Read malware risk events generated by the Dorknet botnet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • Leer los 50 eventos de riesgo más recientes (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50).Read most recent 50 risk events (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de usuario de riesgo de identidadIdentity Risky User permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Lee la información de riesgo de usuario de identidadRead identity user risk information Permite a la aplicación leer información de riesgo de usuario de identidad para todos los usuarios de la organización de parte del usuario que ha iniciado sesión.Allows the app to read identity user risk information for all users in your organization on behalf of the signed-in user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Lee la información de riesgo de usuario de identidadRead identity user risk information Permite que la aplicación lea información de riesgo de usuario de identidad para todos los usuarios de la organización sin que un usuario haya iniciado sesión.Allows the app to read identity user risk information for all users in your organization without a signed-in user. Yes

ObservacionesRemarks

IdentityRiskUser.Read.All solo es válido para las cuentas profesionales o educativas.IdentityRiskyUser.Read.All is valid only for work or school accounts. Para que una aplicación con permisos delegados pueda leer información de riesgo de usuario de identidad, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad o Lector de seguridadFor an app with delegated permissions to read identity user risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Ejemplos de usoExample usage

Permisos delegados y de la aplicaciónDelegated and Application

Los siguientes usos son válidos para los permisos delegados y de la aplicación:The following usages are valid for both delegated and application permissions:

  • Leer todos los usuarios y propiedades de riesgo del espacio empresarial (GET /beta/riskyUsers)Read all risky users and properties in the tenant (GET /beta/riskyUsers)
  • Leer todos los usuarios de riesgo cuyo nivel de riesgo agregado es medio (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')Read all risky users whose aggregate risk level is Medium (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Leer la información de riesgo de un usuario específico (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)Read the risk information for a specific user (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de la administración de dispositivos de IntuneIntune Device Management permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Leer aplicaciones de Microsoft IntuneRead Microsoft Intune apps Permite que la aplicación lea las propiedades, asignaciones de grupos y estados de aplicaciones, configuraciones de aplicaciones y directivas de protección de aplicaciones administradas por Microsoft Intune.Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. Yes NoNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Leer y escribir aplicaciones de Microsoft IntuneRead and write Microsoft Intune apps Permite que la aplicación lea y escriba las propiedades, asignaciones de grupos y estados de aplicaciones, configuraciones de aplicaciones y directivas de protección de aplicaciones administradas por Microsoft Intune.Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. Yes NoNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Leer las directivas y configuración de dispositivo de Microsoft IntuneRead Microsoft Intune device configuration and policies Permite que la aplicación lea las propiedades de una configuración de dispositivo administrada por Microsoft Intune y las directivas de cumplimiento de dispositivos y su asignación a grupos.Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. Yes NoNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Leer y escribir las directivas y configuración de dispositivo de Microsoft IntuneRead and write Microsoft Intune device configuration and policies Permite que la aplicación lea y escriba las propiedades de una configuración de dispositivo administrada por Microsoft Intune y las directivas de cumplimiento de dispositivos y su asignación a grupos.Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. Yes NoNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Realizar acciones remotas que repercutan en el usuario en dispositivos de Microsoft IntunePerform user-impacting remote actions on Microsoft Intune devices Permite que la aplicación realice acciones de alto impacto remotas como la eliminación remota de datos del dispositivo o restablecer la contraseña en dispositivos administrados por Microsoft Intune.Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. Yes NoNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Leer dispositivos de Microsoft IntuneRead Microsoft Intune devices Permite que la aplicación lea las propiedades de dispositivos administrados por Microsoft Intune.Allows the app to read the properties of devices managed by Microsoft Intune. Yes NoNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Leer y escribir dispositivos de Microsoft IntuneRead and write Microsoft Intune devices Permite que la aplicación lea y escriba las propiedades de dispositivos administrados por Microsoft Intune. No permite operaciones de alto impacto como la eliminación remota y el restablecimiento de contraseña del propietario del dispositivo.Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. Yes NoNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Leer la configuración de RBAC de Microsoft IntuneRead Microsoft Intune RBAC settings Permite que la aplicación lea las propiedades relacionadas con la configuración del control de acceso basado en roles (RBAC) de Microsoft Intune.Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. Yes NoNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Leer y escribir la configuración de RBAC de Microsoft IntuneRead and write Microsoft Intune RBAC settings Permite que la aplicación lea y escriba las propiedades relacionadas con la configuración del control de acceso basado en roles (RBAC) de Microsoft Intune.Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. Yes NoNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Leer la configuración de Microsoft IntuneRead Microsoft Intune configuration Permite que la aplicación lea las propiedades de servicio de Intune, incluidas la inscripción del dispositivo y la configuración de conexión del servicio de terceros.Allows the app to read Intune service properties including device enrollment and third party service connection configuration. Yes NoNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Leer y escribir la configuración de Microsoft IntuneRead and write Microsoft Intune configuration Permite que la aplicación lea y escriba las propiedades de servicio de Microsoft Intune, incluidas la inscripción del dispositivo y la configuración de conexión del servicio de terceros.Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. Yes NoNo

Permisos de la aplicaciónApplication permissions

Ninguno.None.

ComentariosRemarks

Nota: El uso de las API de Microsoft Graph para configurar las directivas y los controles de Intune requiere que el cliente tenga la licencia correcta para el servicio Intune.Note: Using the Microsoft Graph APIs to configure Intune controls and policies still requires that the Intune service is correctly licensed by the customer.

Estos permisos solo son válidos para las cuentas profesionales o educativas.These permissions are only valid for work or school accounts.

Ejemplos de usoExample usage

DelegadoDelegated

  • DeviceManagementServiceConfiguration.Read.All: Comprobar el estado actual de la suscripción de Intune (GET /deviceManagement/subscriptionState).DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: crear términos y condiciones (POST /deviceManagement/termsAndConditions).DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: encontrar el estado de una configuración de dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: asignar una directiva de cumplimiento de dispositivos a un grupo (POST deviceCompliancePolicies/{id}/assign).DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: buscar todas las aplicaciones de la Tienda Windows publicadas en Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: publicar una aplicación nueva (POST /deviceAppManagement/mobileApps).DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: buscar una asignación de roles por nombre (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: crear un rol personalizado (POST /deviceManagement/roleDefinitions).DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: buscar un dispositivo administrado por nombre (GET /managedDevices/?$filter=deviceName eq 'My Device').DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: eliminar un dispositivo administrado (DELETE /managedDevices/{id}).DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: restablecer el código de acceso del dispositivo administrado de un usuario (POST /managedDevices/{id}/resetPasscode).DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de correoMail permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Mail.ReadMail.Read Leer el correo del usuarioRead user mail  Permite que la aplicación lea el correo electrónico de los buzones del usuario.Allows the app to read email in user mailboxes.  NoNo Yes
Mail.ReadBasicMail.ReadBasic Leer el correo de usuario básico (versión preliminar)Read user basic mail (preview) (Versión preliminar) Permite a la aplicación leer el buzón del usuario que haya iniciado sesión a excepción del cuerpo, previewBody, los datos adjuntos y las propiedades extendidas.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. No incluye permisos para buscar mensajes.Does not include permissions to search messages. NoNo Yes
Mail.ReadWriteMail.ReadWrite Acceso al correo del usuario para la lectura y la escritura Read and write access to user mail  Permite que la aplicación cree, lea, actualice y elimine correos electrónicos en los buzones del usuario. No incluye el permiso para enviar correos.Allows the app to create, read, update, and delete email in user mailboxes. Does not include permission to send mail. NoNo Yes
Mail.Read.SharedMail.Read.Shared Leer el correo del usuario y el correo compartidoRead user and shared mail Permite que la aplicación lea el correo al que tiene acceso el usuario, incluido el correo propio y el compartido del usuario.Allows the app to read mail that the user can access, including the user's own and shared mail.  NoNo NoNo
Mail.ReadWrite.SharedMail.ReadWrite.Shared Leer y escribir el correo del usuario y el correo compartidoRead and write user and shared mail  Permite que la aplicación cree, lea, actualice y elimine el correo para el que el usuario tiene permiso de acceso, incluido el correo propio y compartido del usuario. No incluye el permiso para enviar correos.Allows the app to create, read, update, and delete mail that the user has permission to access, including the user's own and shared mail. Does not include permission to send mail. NoNo NoNo
Mail.SendMail.Send Enviar correo como usuarioSend mail as a user  Permite que la aplicación envíe correos como si fueran usuarios de la organización.Allows the app to send mail as users in the organization.  NoNo Yes
Mail.Send.SharedMail.Send.Shared Enviar correo en nombre de otrosSend mail on behalf of others  Permite que la aplicación envíe correos como el usuario que ha iniciado sesión, incluidos envíos de parte de terceros.Allows the app to send mail as the signed-in user, including sending on-behalf of others.  NoNo NoNo
MailboxSettings.ReadMailboxSettings.Read Leer la configuración del buzón del usuarioRead user mailbox settings  Permite que la aplicación lea la configuración del buzón del usuario. No incluye el permiso para enviar correos.Allows the app to the read user's mailbox settings. Does not include permission to send mail. NoNo Yes
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Leer y escribir la configuración del buzón del usuarioRead and write user mailbox settings  Permite que la aplicación cree, lea, actualice y elimine la configuración del buzón del usuario.Allows the app to create, read, update, and delete user's mailbox settings. No se incluye el permiso para enviar correo directamente, pero permite a la aplicación crear reglas que pueden reenviar o redirigir mensajes.Does not include permission to directly send mail, but allows the app to create rules that can forward or redirect messages. NoNo Yes

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Mail.ReadMail.Read Leer el correo de todos los buzonesRead mail in all mailboxes Permite que la aplicación lea el correo de todos los buzones sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read mail in all mailboxes without a signed-in user. Yes
Mail.ReadWriteMail.ReadWrite Leer y escribir correos en todos los buzonesRead and write mail in all mailboxes Permite que la aplicación cree, lea, actualice y elimine correos en todos los buzones sin un usuario que ha iniciado sesión. No incluye el permiso para enviar correos.Allows the app to create, read, update, and delete mail in all mailboxes without a signed-in user. Does not include permission to send mail. Yes
Mail.SendMail.Send Enviar correo como cualquier usuarioSend mail as any user Permite que la aplicación envíe correos como cualquier usuario sin la necesidad de que un usuario haya iniciado sesión.Allows the app to send mail as any user without a signed-in user. Yes
MailboxSettings.ReadMailboxSettings.Read Leer toda la configuración del buzón del usuarioRead all user mailbox settings  Permite que la aplicación lea la configuración del buzón del usuario sin la necesidad de que un usuario haya iniciado sesión. No incluye el permiso para enviar correos.Allows the app to read user's mailbox settings without a signed-in user. Does not include permission to send mail. NoNo
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Leer y escribir toda la configuración del buzón del usuario.Read and write all user mailbox settings Permite que la aplicación cree, lea, actualice y elimine la configuración del buzón del usuario sin que un usuario haya iniciado sesión. No incluye el permiso para enviar correos.Allows the app to create, read, update, and delete user's mailbox settings without a signed-in user. Does not include permission to send mail. Yes

Los administradores importantes pueden configurar la política de acceso a las aplicaciones para limitarle el acceso a las aplicaciones a buzones de correo específicos y no a todos los buzones de correo de la organización, incluso si a la aplicación se le han otorgado los permisos de aplicación de Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, o MailboxSettings.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, or MailboxSettings.ReadWrite.

ComentariosRemarks

Mail.Read.Shared, Mail.ReadWrite.Shared y Mail.Send.Shared solo son válidos para las cuentas profesionales o educativas. Todos los demás permisos son válidos para las cuentas de Microsoft y para las cuentas profesionales o educativas.Mail.Read.Shared, Mail.ReadWrite.Shared, and Mail.Send.Shared are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Con el permiso Mail.Send o Mail.Send.Shared, una aplicación puede enviar un correo y guardar una copia en la carpeta Elementos enviados del usuario, incluso si la aplicación no usa un permiso Mail.ReadWrite o Mail.ReadWrite.Shared correspondiente.With the Mail.Send or Mail.Send.Shared permission, an app can send mail and save a copy to the user's Sent Items folder, even if the app does not use a corresponding Mail.ReadWrite or Mail.ReadWrite.Shared permission.

Ejemplos de usoExample usage

DelegadoDelegated

  • Mail.Read: enumera los mensajes de la Bandeja de entrada del usuario, ordenados por receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).Mail.Read: List messages in the user's inbox, sorted by receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: buscar todos los mensajes con datos adjuntos en la Bandeja de entrada de un usuario que ha compartido su Bandeja de entrada con el usuario que ha iniciado sesión (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).Mail.Read.Shared: Find all messages with attachments in a user's inbox that has shared their inbox with the signed-in user (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: marcar un mensaje como leído (PATCH /me/messages/{id}).Mail.ReadWrite: Mark a message read (PATCH /me/messages/{id}).
  • Mail.Send: enviar un mensaje (POST /me/sendmail).Mail.Send: Send a message (POST /me/sendmail).
  • MailboxSettings.ReadWrite: actualizar la respuesta automática del usuario (PATCH /me/mailboxSettings).MailboxSettings.ReadWrite: Update the user's automatic reply (PATCH /me/mailboxSettings).

AplicaciónApplication

  • Mail.Read: buscar mensajes de bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').Mail.Read: Find messages from bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: crear una carpeta en la Bandeja de entrada denominada Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).Mail.ReadWrite: Create a new folder in the Inbox named Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: enviar un mensaje (POST /users/{id | userPrincipalName}/sendmail).Mail.Send: Send a message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: obtener la zona horaria predeterminada del buzón del usuario (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone).MailboxSettings.Read: Get the default timezone for the user's mailbox (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de miembroMember permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Member.Read.HiddenMember.Read.Hidden Leer todas las pertenencias ocultasRead hidden memberships Permite a la aplicación leer las pertenencias a grupos ocultos y unidades administrativas en nombre del usuario que inició sesión, para esos grupos ocultos y unidades administrativas a los que dicho usuario tiene acceso.Allows the app to read the memberships of hidden groups and administrative units on behalf of the signed-in user, for those hidden groups and administrative units that the signed-in user has access to. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Member.Read.HiddenMember.Read.Hidden Leer todas las pertenencias ocultasRead all hidden memberships Permite que la aplicación lea las pertenencias de grupos ocultos y unidades administrativas sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read the memberships of hidden groups and administrative units without a signed-in user. Yes

ComentariosRemarks

Member.Read.Hidden solo es válido en las cuentas profesionales o educativas.Member.Read.Hidden is valid only on work or school accounts.

Es posible ocultar la pertenencia a algunos Grupos de Office 365. Esto significa que solo los miembros del grupo pueden ver a los demás miembros. Puede usar esta característica para ayudar a cumplir los reglamentos que exigen que una organización oculte la pertenencia a grupos a usuarios externos (por ejemplo, un Grupo de Office 365 que representa a los alumnos inscritos en una clase).Membership in some Office 365 groups can be hidden. This means that only the members of the group can view its members. This feature can be used to help comply with regulations that require an organization to hide group membership from outsiders (for example, an Office 365 group that represents students enrolled in a class).

Ejemplos de usoExample usage

DelegadoDelegated

  • Member.Read.Hidden: leer los miembros de una unidad administrativa con pertenencia oculta en nombre del usuario que ha iniciado sesión (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership on behalf of the signed-in user (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: leer los miembros de un grupo con pertenencia oculta en nombre del usuario que ha iniciado sesión (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership on behalf of the signed-in user (GET /groups/{id}/members).

AplicaciónApplication

  • Member.Read.Hidden: leer los miembros de una unidad administrativa con pertenencia oculta (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: leer los miembros de un grupo con pertenencia oculta (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership (GET /groups/{id}/members).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permisos de notasNotes permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Notes.ReadNotes.Read Leer blocs de notas de usuario de OneNoteRead user OneNote notebooks Permite que la aplicación lea los títulos de los blocs de notas y las secciones de OneNote y cree páginas, blocs de notas y secciones en nombre del usuario que ha iniciado sesión.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NoNo Yes
Notes.CreateNotes.Create Crear blocs de notas de usuario de OneNoteCreate user OneNote notebooks Permite que la aplicación lea los títulos de los blocs de notas y las secciones de OneNote y cree páginas, blocs de notas y secciones en nombre del usuario que ha iniciado sesión.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NoNo Yes
Notes.ReadWriteNotes.ReadWrite Leer y escribir blocs de notas de usuario de OneNoteRead and write user OneNote notebooks Permite que la aplicación lea, comparta y modifique blocs de notas de OneNote en nombre del usuario que ha iniciado sesión.Allows the app to read, share, and modify OneNote notebooks on behalf of the signed-in user. NoNo Yes
Notes.Read.AllNotes.Read.All Leer todos los blocs de notas de OneNote a los que el usuario puede tener accesoRead all OneNote notebooks that user can access Permite que la aplicación lea blocs de notas de OneNote a los que tiene acceso en la organización el usuario que ha iniciado sesión.Allows the app to read OneNote notebooks that the signed-in user has access to in the organization. NoNo NoNo
Notes.ReadWrite.AllNotes.ReadWrite.All Leer y escribir todos los blocs de notas de OneNote a los que el usuario puede tener accesoRead and write all OneNote notebooks that user can access Permite que la aplicación lea, comparta y modifique blocs de notas de OneNote a los que tiene acceso en la organización el usuario que ha iniciado sesión.Allows the app to read, share, and modify OneNote notebooks that the signed-in user has access to in the organization. NoNo NoNo
Notes.ReadWrite.CreatedByAppNotes.ReadWrite.CreatedByApp Acceso limitado al bloc de notas (en desuso)Limited notebook access (deprecated) En desusoDeprecated
No usar. Este permiso no concede privilegios.Do not use. No privileges are granted by this permission.
NoNo NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Notes.Read.AllNotes.Read.All Leer todos los blocs de notas de OneNoteRead all OneNote notebooks Permite que la aplicación lea todos los blocs de notas de OneNote de la organización, sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read all the OneNote notebooks in your organization, without a signed-in user. Yes
Notes.ReadWrite.AllNotes.ReadWrite.All Leer y escribir todos los blocs de notas de OneNoteRead and write all OneNote notebooks Permite que la aplicación lea, comparta y modifique todos los blocs de notas de OneNote de la organización, sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. Yes

ComentariosRemarks

Notes.Read.All y Notes.ReadWrite.All solo son válidos para las cuentas profesionales o educativas. Todos los demás permisos son válidos para las cuentas de Microsoft y para las cuentas profesionales o educativas.Notes.Read.All and Notes.ReadWrite.All are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Con el permiso Notes.Create, una aplicación puede ver la jerarquía de blocs de notas de OneNote del usuario que ha iniciado sesión y crear contenido de OneNote (blocs de notas, grupos de secciones, secciones, páginas, etc.).With the Notes.Create permission, an app can view the OneNote notebook hierarchy of the signed-in user and create OneNote content (notebooks, section groups, sections, pages, etc.).

Notes.ReadWrite y Notes.ReadWrite.All también permiten que la aplicación modifique los permisos para el contenido de OneNote al que puede tener acceso el usuario que ha iniciado sesión.Notes.ReadWrite and Notes.ReadWrite.All also allow the app to modify the permissions on the OneNote content that can be accessed by the signed-in user.

En el caso de las cuentas profesionales o educativas, Notes.Read.All y Notes.ReadWrite.All permiten que la aplicación tenga acceso al contenido de OneNote de otros usuarios al que tiene permiso de acceso dentro de la organización el usuario que ha iniciado sesión.For work or school accounts, Notes.Read.All and Notes.ReadWrite.All allow the app to access other users' OneNote content that the signed-in user has permission to within the organization.

Ejemplos de usoExample usage

DelegadoDelegated

  • Notes.Create: crear un bloc de notas para el usuario que ha iniciado sesión (POST /me/onenote/notebooks).Notes.Create: Create a new notebooks for the signed-in user (POST /me/onenote/notebooks).
  • Notes.Read: leer el bloc de notas del usuario que ha iniciado sesión (GET /me/onenote/notebooks).Notes.Read: Read the notebooks for the signed-in user (GET /me/onenote/notebooks).
  • Notes.Read.All: obtener todos los blocs de notas a los que tiene acceso en la organización el usuario que ha iniciado sesión (GET /me/onenote/notebooks?includesharednotebooks=true).Notes.Read.All: Get all notebooks that the signed-in user has access to within the organization (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: actualizar la página del usuario que ha iniciado sesión (PATCH /me/onenote/pages/{id}/$value).Notes.ReadWrite: Update the page of the signed-in user (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: crear una página en el bloc de notas de otro usuario al que el usuario que ha iniciado sesión tiene acceso dentro de la organización (POST /users/{id}/onenote/pages).Notes.ReadWrite.All: Create a page in another user's notebook that the signed-in user has access to within the organization (POST /users/{id}/onenote/pages).

AplicaciónApplication

  • Notes.Read.All: leer todos los blocs de notas de los usuarios de un grupo (GET /groups/{id}/onenote/notebooks).Notes.Read.All: Read all users notebooks in a group (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: actualizar la página de un bloc de notas de cualquier usuario de la organización (PATCH /users/{id}/onenote/pages/{id}/$value).Notes.ReadWrite.All: Update the page in a notebook for any user in the organization (PATCH /users/{id}/onenote/pages/{id}/$value).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permisos de notificacionesNotifications permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Notifications.ReadWrite.CreatedByAppNotifications.ReadWrite.CreatedByApp Entregar y administrar las notificaciones para esta aplicación.Deliver and manage notifications for this app. Permite a la aplicación entregar las notificaciones en nombre de los usuarios que hayan iniciado sesión.Allow the app to deliver its notifications on behalf of signed-in users. También permite a la aplicación leer, actualizar y eliminar elementos de notificación del usuario para esta aplicación.Also allows the app to read, update, and delete the user’s notification items for this app. NoNo

ObservacionesRemarks

Notifications.ReadWrite.CreatedByApp es válido tanto para cuentas Microsoft como para cuentas profesionales o educativas.Notifications.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts. La restricción de CreatedByApp asociada a este permiso indica que el servicio aplicará un filtrado implícito en los resultados basándose en la identidad de la aplicación que realiza la llamada, ya sea el id. de la aplicación de la cuenta de Microsoft o un conjunto de id. de aplicaciones configurado para una identidad de aplicación multiplataforma.The CreatedByApp constraint associated with this permission indicates that the service will apply implicit filtering to results based on the identity of the calling app, either the Microsoft account app ID or a set of app IDs configured for a cross-platform application identity.

Ejemplos de usoExample usage

DelegadosDelegated

  • Notifications.ReadWrite.CreatedByApp: publicar una notificación centrada en el usuario, con la posibilidad de que se entregue a varios clientes de la aplicación del usuario que se ejecuta en diferentes extremos.Notifications.ReadWrite.CreatedByApp: Publish a user-centric notification, which might then be delivered to the user’s multiple application clients running on different endpoints. (POST /me/notifications/).(POST /me/notifications/).

Permisos de reuniones en líneaOnline meetings permissions

Permisos delegadosDelegated permissions

Ninguno.None.


Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
OnlineMeetings.Read.AllOnlineMeetings.Read.All Leer detalles de la reunión en línea desde la aplicación (versión preliminar)Read Online Meeting details from the app (preview) Permite a la aplicación leer los detalles de las reuniones en línea de la organización, sin que un usuario haya iniciado sesión.Allows the app to read Online Meeting details in your organization, without a signed-in user. Yes
OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All Leer y crear reuniones en línea desde la aplicación (versión preliminar) en nombre de un usuarioRead and Create Online Meetings from the app (preview) on behalf of a user Permite a la aplicación crear reuniones en línea dentro de la organización en nombre de un usuario, sin que un usuario haya iniciado sesión.Allows the app to create Online Meetings in your organization on behalf of a user, without a signed-in user. Yes

Ejemplos de usoExample usage

AplicaciónApplication

  • OnlineMeetings.Read.All: recuperar las propiedades y relaciones de una reunión en línea (GET /beta/app/onlinemeetings/{id}).OnlineMeetings.Read.All: Retrieve the properties and relationships of an Online Meeting (GET /beta/app/onlinemeetings/{id}).
  • OnlineMeetings.ReadWrite.All: crear una reuniones en línea (POST /beta/app/onlinemeetings).OnlineMeetings.ReadWrite.All: Create an Online Meeting (POST /beta/app/onlinemeetings).

Nota: Crear una reunión en línea crea una reunión en nombre de un usuario especificado en el cuerpo de la solicitud, pero no la muestra en el Calendario del usuario.Note: Creating an Online Meeting creates a meeting on behalf of a user specified in the request body, but does not show it on the user's Calendar.

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de OpenIDOpenID permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
emailemail Ver la dirección de correo electrónico de los usuariosView users' email address Permite que la aplicación lea la dirección de correo electrónico principal de los usuarios.Allows the app to read your users' primary email address. NoNo NoNo
offline_accessoffline_access Acceso a los datos de usuario en cualquier momentoAccess user's data anytime Permite que la aplicación lea y actualice los datos del usuario, incluso cuando no están usando en ese momento la aplicación.Allows the app to read and update user data, even when they are not currently using the app. NoNo NoNo
openidopenid Inicio de sesión de los usuariosSign users in Permite que los usuarios inicien sesión en la aplicación con sus cuentas profesionales o educativas y permite que la aplicación vea la información básica del perfil del usuario.Allows users to sign in to the app with their work or school accounts and allows the app to see basic user profile information. NoNo NoNo
profileprofile Ver el perfil básico de los usuariosView users' basic profile Permite que la aplicación vea el perfil básico de los usuarios (nombre, imagen, nombre de usuario).Allows the app to see your users' basic profile (name, picture, user name). NoNo NoNo

Permisos de la aplicaciónApplication permissions

Ninguno.None.

ComentariosRemarks

Puede usar estos permisos para especificar artefactos que quiera que se devuelvan en solicitudes de token y autorización de Azure AD. Los puntos de conexión de Azure AD v1.0 y v2.0 los admiten de forma diferente.You can use these permissions to specify artifacts that you want returned in Azure AD authorization and token requests. They are supported differently by the Azure AD v1.0 and v2.0 endpoints.

Con el punto de conexión de Azure AD (v1.0), solo se usa el permiso openid. Lo tiene que especificar en el parámetro scope en una solicitud de autorización para devolver un token de identificador al usar el protocolo OpenID Connect para que un usuario inicie sesión en su aplicación. Para obtener más información, consulte Autorización del acceso a aplicaciones web con OpenID Connect y Azure Active Directory. Para devolver correctamente un token de identificador, también debe asegurarse de que se configura el permiso User.Read al registrar la aplicación.With the Azure AD (v1.0) endpoint, only the openid permission is used. You specify it in the scope parameter in an authorization request to return an ID token when you use the OpenID Connect protocol to sign in a user to your app. For more information, see Authorize access to web applications using OpenID Connect and Azure Active Directory. To successfully return an ID token, you must also make sure that the User.Read permission is configured when you register your app.

Con el punto de conexión de Azure AD v2.0, se especifica el permiso offline_access en el parámetro scope para solicitar de forma explícita un token de actualización al usar los protocolos OAuth 2.0 u OpenID Connect. Con OpenID Connect, debe especificar el permiso openid para solicitar un token de identificador. También puede especificar los permisos email y profile, o ambos, para devolver notificaciones adicionales en el token de identificador. No es necesario especificar User.Read para devolver un token de identificador con el punto de conexión v2.0. Para obtener más información, consulte Ámbitos de OpenID Connect.With the Azure AD v2.0 endpoint, you specify the offline_access permission in the scope parameter to explicitly request a refresh token when using the OAuth 2.0 or OpenID Connect protocols. With OpenID Connect, you specify the openid permission to request an ID token. You can also specify the email permission, profile permission, or both to return additional claims in the ID token. You do not need to specify User.Read to return an ID token with the v2.0 endpoint. For more information, see OpenID Connect scopes.

Importante Actualmente, la biblioteca de autenticación de Microsoft (MSAL) especifica offline_access, openid, profile y email de forma predeterminada en las solicitudes de token y autorización. Esto significa que, para el caso predeterminado, si se especifican estos permisos de forma explícita, es posible que Azure AD devuelva un error.Important The Microsoft Authentication Library (MSAL) currently specifies offline_access, openid, profile, and email by default in authorization and token requests. This means that, for the default case, if you specify these permissions explicitly, Azure AD may return an error.


Permisos de personasPeople permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
People.ReadPeople.Read Leer las listas de personas relevantes de los usuariosRead users' relevant people lists Permite que la aplicación lea una lista con puntuación de los contactos relevantes del usuario que ha iniciado sesión. La lista puede incluir contactos locales, contactos de las redes sociales o el directorio de la organización y contactos de comunicaciones recientes (como de correo electrónico y Skype).Allows the app to read a scored list of people relevant to the signed-in user. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). NoNo Yes
People.Read.AllPeople.Read.All Leer las listas de personas relevantes de todos los usuariosRead all users' relevant people lists Permite leer una lista con puntuación de los contactos relevantes para el usuario que ha iniciado sesión o para otros usuarios de la organización del usuario que ha iniciado sesión. La lista puede incluir contactos locales, contactos de las redes sociales o el directorio de la organización y contactos de comunicaciones recientes (como de correo electrónico y Skype). También permite que la aplicación busque en todo el directorio de la organización del usuario que ha iniciado sesión.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Also allows the app to search the entire directory of the signed-in user's organization.  Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
People.Read.AllPeople.Read.All Leer las listas de personas relevantes de todos los usuariosRead all users' relevant people lists Permite leer una lista con puntuación de los contactos relevantes para el usuario que ha iniciado sesión o para otros usuarios de la organización del usuario que ha iniciado sesión.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization.

La lista puede incluir contactos locales, contactos de las redes sociales o el directorio de la organización y contactos de comunicaciones recientes (como de correo electrónico y Skype).The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). También permite que la aplicación busque en todo el directorio de la organización del usuario que ha iniciado sesión.Also allows the app to search the entire directory of the signed-in user's organization. 
Yes

ComentariosRemarks

El permiso People.Read.All solo es válido para las cuentas profesionales y educativas.The People.Read.All permission is only valid for work and school accounts.

Ejemplos de usoExample usage

DelegadoDelegated

  • People.Read: leer una lista de los contactos relevantes (GET /me/people)People.Read: Read a list of relevant people (GET /me/people)
  • People.Read.All: leer una lista de los contactos relevantes para otro usuario de la misma organización (GET /users('{id})/people)People.Read.All: Read a list of relevant people to another user in the same organization (GET /users('{id})/people)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Programas y permisos de controles de programaPrograms and program controls permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
ProgramControl.Read.AllProgramControl.Read.All Leer todos los programasRead all programs Permite que la aplicación lea programas en nombre del usuario que ha iniciado sesión.Allows the app to read programs on behalf of the signed-in user. Yes NoNo
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Administrar todos los programasManage all programs Permite que la aplicación lea y escriba programas en nombre del usuario que ha iniciado sesión.Allows the app to read and write programs on behalf of the signed-in user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
ProgramControl.Read.AllProgramControl.Read.All Leer todos los programasRead all programs Permite que la aplicación lea programas sin tener un usuario que haya iniciado sesión.Allows the app to read programs without a signed-in user. Yes
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Administrar todos los programasManage all programs Permite que la aplicación lea y escriba programas sin tener un usuario que haya iniciado sesión.Allows the app to read and write programs without a signed-in user. Yes

ComentariosRemarks

ProgramControl.Read.All y ProgramControl.ReadWrite.All solo son válidos para las cuentas profesionales o educativas.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Para que una aplicación con permisos delegados pueda leer programas y controles de programas, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad, Lector de seguridad o Administrador usuario.For an app with delegated permissions to read programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Para que una aplicación con permisos delegados pueda escribir programas y controles de programas, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador usuario.For an app with delegated permissions to write programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator. Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Permisos de informesReports permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Reports.Read.AllReports.Read.All Leer todos los informes de usoRead all usage reports Permite a una aplicación leer todos los informes de uso de servicio sin necesidad de que un usuario haya iniciado sesión. Los servicios que proporcionan informes de uso incluyen Office 365 y Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Reports.Read.AllReports.Read.All Leer todos los informes de usoRead all usage reports Permite a una aplicación leer todos los informes de uso de servicio sin necesidad de que un usuario haya iniciado sesión. Los servicios que proporcionan informes de uso incluyen Office 365 y Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. Yes

ComentariosRemarks

Los permisos de informes solo son válidos para las cuentas profesionales o educativas.Reports permissions are only valid for work or school accounts.

Ejemplos de usoExample usage

AplicaciónApplication

  • Reports.Read.All: leer el informe de detalles de uso de las aplicaciones de correo electrónico durante un período de siete días (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).Reports.Read.All: Read usage detail report of email apps with period of 7 days (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All: leer el informe de detalles de actividad de correo electrónico con fecha de 01-01-2017 (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).Reports.Read.All: Read activity detail report of email with date of '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All: leer el informe de detalles de activaciones de Office 365 (GET /reports/Office365Activations(view='Detail')/content).Reports.Read.All: Read Office 365 activations detail report (GET /reports/Office365Activations(view='Detail')/content).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de seguridadSecurity permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
SecurityEvents.Read.AllSecurityEvents.Read.All Leer los eventos de seguridad de la organizaciónRead your organization’s security events Permite a la aplicación leer los eventos de seguridad de la organización en nombre del usuario que ha iniciado sesión.Allows the app to read your organization’s security events on behalf of the signed-in user. Yes NoNo
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Leer y actualizar los eventos de seguridad de la organizaciónRead and update your organization’s security events Permite a la aplicación leer los eventos de seguridad de la organización en nombre del usuario que ha iniciado sesión.Allows the app to read your organization’s security events on behalf of the signed-in user. También le permite actualizar las propiedades editables de los eventos de seguridad en nombre del usuario que ha iniciado sesión.Also allows the app to update editable properties in security events on behalf of the signed-in user. Yes NoNo
SecurityActions.Read.AllSecurityActions.Read.All Leer las acciones de seguridad de la organizaciónRead your organization's security actions Permite a la aplicación leer las acciones de seguridad de la organización en nombre del usuario que ha iniciado sesión.Allows the app to read your organization’s security actions on behalf of the signed-in user. Yes NoNo
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Leer y actualizar las acciones de seguridad de la organizaciónRead and update your organization's security actions Permite a la aplicación leer las acciones de seguridad de la organización en nombre del usuario que ha iniciado sesión.Allows the app to read your organization’s security actions on behalf of the signed-in user. Yes NoNo
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Administrar los indicadores de amenazas que esta aplicación crea o poseeManage threat indicators this app creates or owns Permite a la aplicación leer las acciones de seguridad de la organización en nombre del usuario que ha iniciado sesión.Allows the app to read your organization’s security actions on behalf of the signed-in user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
SecurityEvents.Read.AllSecurityEvents.Read.All Leer los eventos de seguridad de la organizaciónRead your organization’s security events Permite a la aplicación leer los eventos de seguridad de la organizaciónAllows the app to read your organization’s security events. Yes
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Leer y actualizar los eventos de seguridad de la organizaciónRead and update your organization’s security events Permite a la aplicación leer los eventos de seguridad de la organizaciónAllows the app to read your organization’s security events. También permite la aplicación actualizar propiedades editables de los eventos de seguridad.Also allows the app to update editable properties in security events. Yes
SecurityActions.Read.AllSecurityActions.Read.All Leer los eventos de seguridad de la organizaciónRead your organization’s security events Permite a la aplicación leer las acciones de seguridad de la organizaciónAllows the app to read your organization’s security actions. Yes
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Crear y leer las acciones de seguridad de su organizaciónCreate and read your organization's security actions Permite que la aplicación lea o cree acciones de seguridad sin la necesidad de que un usuario haya iniciado sesión.Allows the app to read or create security actions, without a signed-in user. Yes
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Administrar los indicadores de amenazas que esta aplicación crea o poseeManage threat indicators this app creates or owns Permite que la aplicación cree y administre por completo (lea, actualice y elimine) indicadores de amenazas sin necesidad de que un usuario haya iniciado sesión.Allows the app to create threat indicators, and fully manage those threat indicators (read, update and delete), without a signed-in user. No puede actualizar los indicadores de amenazas de los que no sea el propietario.It cannot update any threat indicators it does not own. Yes

ComentariosRemarks

Los permisos de seguridad solo son válidos en las cuentas profesionales o educativas.Security permissions are valid only on work or school accounts.

Ejemplos de usoExample usage

Permisos delegados y de la aplicaciónDelegated and Application

  • SecurityEvents.Read.All: leer la lista completa de alertas de seguridad de todos los proveedores de seguridad con licencia disponibles para su inquilino (GET /beta/security/alerts)SecurityEvents.Read.All: Read the list of all security alerts from all licensed security providers available to your tenant (GET /beta/security/alerts)
  • SecurityEvents.Write.All: actualizar o leer las alertas de seguridad de todos los proveedores de seguridad con licencia disponibles para su inquilino (PATCH /beta/security/alerts/{id})SecurityEvents.ReadWrite.All: Update or read security alerts from all licensed security providers available to your tenant (PATCH /beta/security/alerts/{id})

Permisos de sitiosSites permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Sites.Read.AllSites.Read.All Leer los elementos de todas las colecciones de sitiosRead items in all site collections Permite que la aplicación lea los documentos y enumere los elementos en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión.Allows the app to read documents and list items in all site collections on behalf of the signed-in user. NoNo NoNo
Sites.ReadWrite.AllSites.ReadWrite.All Leer y escribir elementos en todas las colecciones de sitios.Read and write items in all site collections Permite que la aplicación edite o elimine los documentos y enumere los elementos en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión.Allows the app to edit or delete documents and list items in all site collections on behalf of the signed-in user. NoNo NoNo
Sites.Manage.AllSites.Manage.All Leer, editar y eliminar elementos y listas en todas las colecciones de sitiosCreate, edit, and delete items and lists in all site collections Permite que la aplicación administre y cree listas, documentos y elementos de listas en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión.Allows the app to manage and create lists, documents, and list items in all site collections on behalf of the signed-in user. NoNo NoNo
Sites.FullControl.AllSites.FullControl.All Tomar el control total de todas las colecciones de sitiosHave full control of all site collections Permite que la aplicación tenga control total de los sitios de SharePoint en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión.Allows the app to have full control to SharePoint sites in all site collections on behalf of the signed-in user. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
Sites.Read.AllSites.Read.All Leer los elementos de todas las colecciones de sitiosRead items in all site collections Permite que la aplicación lea todos los documentos y elementos de lista de todas las colecciones de sitios sin necesidad de que un usuario haya iniciado sesión.Allows the app to read documents and list items in all site collections without a signed in user. Yes
Sites.ReadWrite.AllSites.ReadWrite.All Leer y escribir elementos en todas las colecciones de sitios.Read and write items in all site collections Permite que la aplicación cree, lea, actualice y elimine documentos y elementos de lista de todas las colecciones de sitios sin necesidad de que un usuario haya iniciado sesión.Allows the app to create, read, update, and delete documents and list items in all site collections without a signed in user. Yes
Sites.Manage.AllSites.Manage.All Crear, editar y eliminar elementos y listas en todas las colecciones de sitiosCreate, edit, and delete items and lists in all site collections Permite a la aplicación administrar y crear listas, documentos y elementos de listas en todas las colecciones de sitios sin que un usuario haya iniciado sesión.Allows the app to manage and create lists, documents, and list items in all site collections without a signed-in user. Yes
Sites.FullControl.AllSites.FullControl.All Tomar el control total de todas las colecciones de sitiosHave full control of all site collections Permite a la aplicación tener control total de los sitios de SharePoint en todas las colecciones de sitios sin que un usuario haya iniciado sesión.Allows the app to have full control to SharePoint sites in all site collections without a signed-in user. Yes

ComentariosRemarks

Los permisos de sitios solo son válidos en las cuentas profesionales o educativas.Sites permissions are valid only on work or school accounts.

Ejemplos de usoExample usage

DelegadoDelegated

  • Sites.Read.All: leer las listas del sitio raíz de SharePoint (GET /v1.0/sites/root/lists).Sites.Read.All: Read the lists on the SharePoint root site (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All: crear elementos de lista en una lista de SharePoint (POST /v1.0/sites/root/lists/123/items).Sites.ReadWrite.All: Create new list items in a SharePoint list (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All: agregar una nueva lista a un sitio de SharePoint (POST /v1.0/sites/root/lists).Sites.Manage.All: Add a new list to a SharePoint site (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All: acceso completo a listas y sitios de SharePoint.Sites.FullControl.All: Complete access to SharePoint sites and lists.

Permisos de tareasTasks permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Tasks.ReadTasks.Read Leer tareas del usuario (versión preliminar)Read user tasks (preview) Permite que la aplicación lea las tareas del usuario.Allows the app to read user tasks. NoNo Yes
Tasks.Read.SharedTasks.Read.Shared Leer tareas del usuario y tareas compartidas (versión preliminar)Read user and shared tasks (preview) Permite que la aplicación lea las tareas para las que el usuario tiene permisos de acceso, incluidas las tareas propias y compartidas del usuario.Allows the app to read tasks a user has permissions to access, including their own and shared tasks. NoNo NoNo
Tasks.ReadWriteTasks.ReadWrite Crear, leer, actualizar y eliminar tareas y contenedores del usuario (versión preliminar)Create, read, update and delete user tasks and containers (preview) Permite que la aplicación cree, lea, actualice y elimine tareas y contenedores (y las tareas en ellos), que se han asignado o que se han compartido con el usuario que ha iniciado sesión.Allows the app to create, read, update and delete tasks and containers (and tasks in them) that are assigned to or shared with the signed-in user. NoNo Yes
Tasks.ReadWrite.SharedTasks.ReadWrite.Shared Leer y escribir las tareas del usuario y tareas compartidas (versión preliminar)Read and write user and shared tasks (preview) Permite que la aplicación cree, lea, actualice y elimine las tareas para las que el usuario tiene permisos, incluidas las tareas propias y compartidas.Allows the app to create, read, update, and delete tasks a user has permissions to, including their own and shared tasks. NoNo NoNo

Permisos de la aplicaciónApplication permissions

Ninguno.None.

ComentariosRemarks

Los permisos Tasks se usan para controlar el acceso a las tareas de Outlook. El acceso a las tareas de Microsoft Planner se controla mediante permisos de grupo.Tasks permissions are used to control access for Outlook tasks. Access for Microsoft Planner tasks is controlled by Group permissions.

Los permisos Shared actualmente solo se admiten para las cuentas profesionales o educativas. Incluso con permisos Shared, puede producirse un error en las lecturas y las escrituras si el usuario que posee el contenido compartido no ha concedido al usuario que tiene acceso los permisos necesarios para modificar el contenido de la carpeta.Shared permissions are currently only supported for work or school accounts. Even with Shared permissions, reads and writes may fail if the user who owns the shared content has not granted the accessing user permissions to modify content within the folder.

Ejemplos de usoExample usage

DelegadoDelegated

  • Tasks.Read: obtener todas las tareas del buzón de un usuario (GET /me/outlook/tasks).Tasks.Read: Get all tasks in a user's mailbox (GET /me/outlook/tasks).
  • Tasks.Read.Shared: tener acceso a las tareas de una carpeta que otro usuario de la organización ha compartido con usted (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).Tasks.Read.Shared: Access tasks in a folder shared to you by another user in your organization (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: agregar un evento a la carpeta de tareas predeterminada del usuario (POST /me/outlook/tasks).Tasks.ReadWrite: Add an event to the user's default task folder (POST /me/outlook/tasks).
  • Tasks.Read: obtener todas las tareas sin completar del buzón de un usuario (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').Tasks.Read: Get all uncompleted tasks in a user's mailbox (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: actualizar una tarea del buzón de un usuario (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).Tasks.ReadWrite: Update a task in a user's mailbox (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: completar una tarea en nombre de otro usuario (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).Tasks.ReadWrite.Shared: Complete a task on behalf of another user (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de términos de usoTerms of use permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Agreement.Read.AllAgreement.Read.All Leer todos los acuerdos de términos de usoRead all terms of use agreements Permite a la aplicación leer los acuerdos de términos de uso en nombre del usuario que inició sesión.Allows the app to read terms of use agreements on behalf of the signed-in user. Yes NoNo
Agreement.ReadWrite.AllAgreement.ReadWrite.All Leer y escribir todos los acuerdos de términos de usoRead and write all terms of use agreements Permite a la aplicación leer y escribir los acuerdos de términos de uso en nombre del usuario que inició sesión.Allows the app to read and write terms of use agreements on behalf of the signed-in user. Yes NoNo
AgreementAcceptance.ReadAgreementAcceptance.Read Leer los estados de aceptación de los términos de uso del usuarioRead user terms of use acceptance statuses Permite a la aplicación leer los estados de aceptación de los términos de uso en nombre del usuario que inició sesión.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. Yes NoNo
AgreementAcceptance.Read.AllAgreementAcceptance.Read.All Leer los estados de aceptación de los términos de uso del usuario a los que el usuario tiene accesoRead terms of use acceptance statuses that user can access Permite a la aplicación leer los estados de aceptación de los términos de uso en nombre del usuario que inició sesión.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. Yes NoNo

ObservacionesRemarks

Todos los permisos anteriores solo son válidos en las cuentas profesionales o educativas.All the permissions above are valid only for work or school accounts.

Para que una aplicación lea o escriba todos los acuerdos o las aceptaciones de acuerdo con permisos delegados, el usuario que ha iniciado sesión debe tener asignado el rol de administrador global, administrador de acceso condicional o administrador de seguridad.For an app to read or write all agreements or agreement acceptances with delegated permissions, the signed-in user must be assigned the Global Administrator, Conditional Access Administrator or Security Administrator role. Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Ejemplos de usoExample usage

DelegadoDelegated

Los siguientes usos son válidos para ambos permisos delegados:The following usages are valid for both delegated permissions:

  • Agreement.Read.All: Leer todos los acuerdos de términos de uso (GET /beta/agreements)Agreement.Read.All: Read all terms of use agreements (GET /beta/agreements)
  • Agreement.ReadWrite.All: Leer y escribir todos los acuerdos de términos de uso (POST /beta/agreements)Agreement.ReadWrite.All: Read and write all terms of use agreements (POST /beta/agreements)
  • AgreementAcceptance.Read: Leer los estados de aceptación de los términos de uso (GET /beta/me/agreementAcceptances)AgreementAcceptance.Read Read user terms of use acceptance statuses (GET /beta/me/agreementAcceptances)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Directivas del marco de confianzaTrust Framework policy permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Leer todas las directivas de trustFrameworkRead all trustFramework Policies Permite a la aplicación leer la lista de directivas TrustFramework de un usuario en nombre del usuario que inició sesión.Allows the app to read all TrustFramework Policies on behalf of the signed-in user. Yes NoNo
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework Leer y escribir todas las directivas de trustFrameworkRead and write all trustFramework policies Permite a la aplicación leer y escribir las directivas TrustFramework en nombre del usuario que inició sesión.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. Yes NoNo

ComentariosRemarks

La cuenta profesional o educativa debe ser un administrador global del espacio empresarial.The work or school account must be a global administrator of the tenant.

Ejemplos de usoExample usage

DelegadoDelegated

Los siguientes usos son válidos para ambos permisos delegados:The following usages are valid for both delegated permissions:

  • Policy.Read.All: Leer todas las directivas de trustFramework (GET /beta/trustFramework/policies)Policy.Read.All: Read all trustFramework policies (GET /beta/trustFramework/policies)
  • Policy.ReadWrite.TrustFramework: Leer y escribir todas las directivas de trustFramework (POST /beta/trustFramework/policies)Policy.ReadWrite.TrustFramework: Read and write all trustFramework policies (POST /beta/trustFramework/policies)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permisos de usuarioUser permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
User.ReadUser.Read Iniciar sesión y leer el perfil del usuarioSign-in and read user profile Permite a los usuarios iniciar sesión en la aplicación y permite a la aplicación leer el perfil de los usuarios que han iniciado sesión. También permite que la aplicación lea la información empresarial básica de los usuarios que han iniciado sesión.Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users. NoNo Yes
User.ReadWriteUser.ReadWrite Acceso de lectura y escritura al perfil del usuarioRead and write access to user profile Permite a la aplicación leer el perfil completo del usuario que inició la sesión.Allows the app to read the signed-in user's full profile. También permite a la aplicación actualizar la información del perfil del usuario que inició la sesión en su nombre.It also allows the app to update the signed-in user's profile information on their behalf. NoNo Yes
User.ReadBasic.AllUser.ReadBasic.All Leer perfiles básicos de todos los usuariosRead all users' basic profiles Permite a la aplicación leer un conjunto básico de propiedades del perfil de otros usuarios de su organización en nombre del usuario que inició la sesión.Allows the app to read a basic set of profile properties of other users in your organization on behalf of the signed-in user. Entre estas propiedades, se incluye el nombre para mostrar, el nombre y los apellidos, la dirección de correo electrónico, las extensiones abiertas y la foto.This includes display name, first and last name, email address, open extensions and photo. También permite a la aplicación leer el perfil completo del usuario que inició la sesión.Also allows the app to read the full profile of the signed-in user. NoNo NoNo
User.Read.AllUser.Read.All Leer los perfiles completos de todos los usuariosRead all users' full profiles Permite que la aplicación lea el conjunto completo de las propiedades del perfil, los informes y los administradores de otros usuarios de su organización, en nombre del usuario que ha iniciado sesión.Allows the app to read the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Yes NoNo
User.ReadWrite.AllUser.ReadWrite.All Leer los perfiles completos de todos los usuarios y escribir en ellosRead and write all users' full profiles Permite que la aplicación lea y escriba el conjunto completo de las propiedades del perfil, los informes y los administradores de otros usuarios de su organización, en nombre del usuario que ha iniciado sesión. También permite que la aplicación cree y elimine usuarios, así como restablecer contraseñas de usuario en nombre del usuario que ha iniciado sesión.Allows the app to read and write the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Also allows the app to create and delete users as well as reset user passwords on behalf of the signed-in user. Yes NoNo
User.Invite.AllUser.Invite.All Invitar a usuarios a la organizaciónInvite guest users to the organization Permite que la aplicación invite a usuarios a la organización en nombre del usuario que ha iniciado sesión.Allows the app to invite guest users to your organization, on behalf of the signed-in user. Yes NoNo
User.Export.AllUser.Export.All Exportar datos de usuariosExport users' data Permite a la aplicación exportar los datos de un usuario de la organización por un administrador de la compañía.Allows the app to export an organizational user's data, when performed by a Company Administrator. Yes NoNo

Permisos de la aplicaciónApplication permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required
User.Read.AllUser.Read.All Leer los perfiles completos de todos los usuariosRead all users' full profiles Permite que la aplicación lea el conjunto completo de las propiedades del perfil, las pertenencias del grupo, los informes y los administradores de otros usuarios de su organización, sin un usuario que ha iniciado sesión.Allows the app to read the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Yes
User.ReadWrite.AllUser.ReadWrite.All Leer los perfiles completos de todos los usuarios y escribir en ellosRead and write all users' full profiles Permite que la aplicación lea y escriba el conjunto completo de las propiedades del perfil, las pertenencias del grupo, los informes y los administradores de otros usuarios de su organización sin la necesidad de que un usuario haya iniciado sesión. También permite que la aplicación cree y elimine usuarios no administrativos. No permite el restablecimiento de contraseñas de usuario.Allows the app to read and write the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Also allows the app to create and delete non-administrative users. Does not allow reset of user passwords. Yes
User.Invite.AllUser.Invite.All Invitar a usuarios a la organizaciónInvite guest users to the organization Permite que la aplicación invite a usuarios a la organización sin la necesidad de que un usuario haya iniciado sesión.Allows the app to invite guest users to your organization, without a signed-in user. Yes
User.Export.AllUser.Export.All Exportar datos de usuariosExport users' data Permite a la aplicación exportar datos de los usuarios de la organización sin un usuario autenticado.Allows the app to export organizational users' data, without a signed-in user. Yes

ComentariosRemarks

Con el permiso User.Read, una aplicación también puede leer información empresarial básica del usuario que ha iniciado sesión para una cuenta profesional o educativa en el recurso de organización. Están disponibles las propiedades siguientes: id, displayName y verifiedDomains.With the User.Read permission, an app can also read the basic company information of the signed-in user for a work or school account through the organization resource. The following properties are available: id, displayName, and verifiedDomains.

En el caso de las cuentas profesionales o educativas, el perfil completo incluye todas las propiedades declaradas del recurso usuario. En las lecturas, solo se devuelve de forma predeterminada un número limitado de propiedades. Para leer las propiedades que no están incluidas en el conjunto predeterminado, use $select. Las propiedades predeterminadas son:For work or school accounts, the full profile includes all of the declared properties of the User resource. On reads, only a limited number of properties are returned by default. To read properties that are not in the default set, use $select. The default properties are:

  • displayNamedisplayName
  • givenNamegivenName
  • jobTitlejobTitle
  • mailmail
  • mobilePhonemobilePhone
  • officeLocationofficeLocation
  • preferredLanguagepreferredLanguage
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Los permisos delegados User.ReadWrite y User.Readwrite.All permiten que la aplicación actualice las siguientes propiedades de perfil para las cuentas profesionales o educativas:User.ReadWrite and User.Readwrite.All delegated permissions allow the app to update the following profile properties for work or school accounts:

  • aboutMeaboutMe
  • birthdaybirthday
  • hireDatehireDate
  • interestsinterests
  • mobilePhonemobilePhone
  • mySitemySite
  • pastProjectspastProjects
  • photophoto
  • preferredNamepreferredName
  • responsibilitiesresponsibilities
  • schoolsschools
  • skillsskills

Con el permiso de la aplicación User.ReadWrite.All, la aplicación puede actualizar todas las propiedades declaradas de las cuentas profesionales o educativas, excepto la contraseña.With the User.ReadWrite.All application permission, the app can update all of the declared properties of work or school accounts except for password.

Con el permiso User.ReadWrite.All de aplicación o delegado, la actualización de la propiedad businessPhones, mobilePhone u otherMails de otro usuario solo está permitida en usuarios que no son administradores o que tienen asignados uno de los siguientes roles: lectores de directorio, invitador de usuarios, lector del centro de mensajes y lector de informes.With the User.ReadWrite.All delegated or application permission, updating another user's businessPhones, mobilePhone or otherMails is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Para obtener más información, consulte administrador de soporte técnico (contraseña) en Roles disponibles de Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles.

Para leer o escribir subordinados directos (directReports) o el administrador (manager) de una cuenta profesional o educativa, la aplicación debe tener el permiso User.Read.All (solo lectura) o User.ReadWrite.All.To read or write direct reports (directReports) or the manager (manager) of a work or school account, the app must have either User.Read.All (read only) or User.ReadWrite.All.

El permiso User.ReadBasic.All restringe el acceso de la aplicación a un conjunto limitado de propiedades conocidas como perfil básico. Esto se debe a que el perfil completo podría contener información confidencial del directorio. El perfil básico incluye solo las propiedades siguientes:The User.ReadBasic.All permission constrains app access to a limited set of properties known as the basic profile. This is because the full profile might contain sensitive directory information. The basic profile includes only the following properties:

  • displayNamedisplayName
  • givenNamegivenName
  • mailmail
  • photophoto
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Para leer las pertenencias a grupos de un usuario (memberOf), la aplicación debe tener el permiso Group.Read.All o Group.ReadWrite.All. Pero si el usuario es también miembro de directoryRole o administrativeUnit, la aplicación necesitará permisos efectivos para leer esos recursos. De lo contrario, Microsoft Graph devolverá un error. Esto significa que la aplicación también necesitará permisos de directorio y, para los permisos delegados, el usuario que ha iniciado sesión también necesitará privilegios suficientes en la organización para obtener acceso a los roles del directorio y las unidades administrativas.To read the group memberships of a user (memberOf), the app must have either Group.Read.All or Group.ReadWrite.All. However, if the user also has membership in a directoryRole or an administrativeUnit, the app will need effective permissions to read those resources too, or Microsoft Graph will return an error. This means the app will also need Directory permissions, and, for delegated permissions, the signed-in user will also need sufficient privileges in the organization to access directory roles and administrative units.

Ejemplos de usoExample usage

DelegadoDelegated

  • User.Read: leer el perfil completo del usuario que ha iniciado sesión (GET /me).User.Read: Read the full profile for the signed-in user (GET /me).
  • User.ReadWrite: actualizar la fotografía del usuario que ha iniciado sesión (PUT /me/photo/$value).User.ReadWrite: Update the photo of the signed-in user (PUT /me/photo/$value).
  • User.ReadBasic.All: buscar todos los usuarios cuyo nombre empieza por "David" (GET /users?$filter=startswith(displayName,'David')).User.ReadBasic.All: Find all users whose name starts with "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: leer el administrador de un usuario (GET /user/{id | userPrincipalName}/manager).User.Read.All: Read a user's manager (GET /user/{id | userPrincipalName}/manager).

AplicaciónApplication

  • User.Read.All: leer todos los usuarios y las relaciones mediante una consulta delta (GET /beta/users/delta?$select=displayName,givenName,surname).User.Read.All: Read all users and relationships through delta query (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: actualizar la fotografía de cualquier usuario de la organización (PUT /user/{id | userPrincipalName}/photo/$value).User.ReadWrite.All: Update the photo for any user in the organization (PUT /user/{id | userPrincipalName}/photo/$value).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permisos de actividad de usuarioUser Activity permissions

Permisos delegadosDelegated permissions

PermisoPermission Cadena para mostrarDisplay String DescripciónDescription Se requiere el consentimiento del administradorAdmin Consent Required Cuenta de Microsoft compatibleMicrosoft Account supported
UserActivity.ReadWrite.CreatedByAppUserActivity.ReadWrite.CreatedByApp Leer y escribir la actividad de la aplicación en la fuente de actividades de los usuariosRead and write app activity to users' activity feed Permite a la aplicación leer la actividad del usuario que inició la sesión en la aplicación e informar sobre las actividades.Allows the app to read and report the signed-in user's activity in the app. NoNo Yes

Permisos de la aplicaciónApplication permissions

Ninguno.None.

ComentariosRemarks

UserActivity.ReadWrite.CreatedByApp es válido tanto para cuentas Microsoft, como para cuentas profesionales o educativas.UserActivity.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts.

La restricción de CreatedByApp asociada a este permiso indica que el servicio aplicará un filtrado implícito en los resultados basándose en la identidad de la aplicación que realiza la llamada, ya sea el id. de la aplicación de MSA o un conjunto de id. de aplicaciones configurado para una identidad de aplicación multiplataforma.The CreatedByApp constraint associated with this permission indicates the service will apply implicit filtering to results based on the identity of the calling app, either the MSA app id or a set of app ids configured for a cross-platform application identity.

Ejemplos de usoExample usage

DelegadoDelegated

  • UserActivity.ReadWrite.CreatedByApp: obtiene una lista de las actividades de usuario únicas recientes basadas en los elementos del historial asociados publicados el último día.UserActivity.ReadWrite.CreatedByApp: Get a list of recent unique user activities based on associated history items published in the last day. (GET /me/activities/recent).(GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: publica o actualiza una actividad de usuario que puede reanudar el usuario de la aplicación.UserActivity.ReadWrite.CreatedByApp: Publish or update a user activity which may be resumed by the user of the application. (PUT /me/activities/%2Farticle%3F12345).(PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: publica o actualizar un elemento del historial para una actividad de usuario especificada con el fin de representar el período de interacción del usuario.UserActivity.ReadWrite.CreatedByApp: Publish or update a history item for a specified user activity in order to represent the period of user engagement. (PUT /me/activities/{id.}/historyItems/{id.}).(PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: elimina una actividad de usuario en respuesta a una solicitud iniciada por el usuario, o con el fin de quitar datos no válidos.UserActivity.ReadWrite.CreatedByApp: Delete a user activity in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id.}).(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: elimina un elemento del historial en respuesta a una solicitud iniciada por el usuario, o bien para quitar datos no válidos.UserActivity.ReadWrite.CreatedByApp: Delete a history item in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id.}/historyItems/{id.}).(DELETE /me/activities/{id}/historyItems/{id}).

Escenarios de permisosPermission scenarios

En esta sección se muestran algunos escenarios comunes destinados a los recursos de usuario y grupo de una organización. En las tablas se muestran los permisos que una aplicación necesita para poder realizar operaciones específicas requeridas por el escenario. Tenga en cuenta que, en algunos casos, la capacidad de la aplicación de realizar operaciones específicas dependerá de si un permiso es un permiso delegado o un permiso de la aplicación. En el caso de los permisos delegados, los permisos efectivos de la aplicación también dependerán de los privilegios del usuario que ha iniciado sesión en la organización. Para obtener más información, vea Permisos delegados, permisos de la aplicación y permisos efectivos.This section shows some common scenarios that target user and group resources in an organization. The tables show the permissions that an app needs to be able to perform specific operations required by the scenario. Note that in some cases the ability of the app to perform specific operations will depend on whether a permission is an application or delegated permission. In the case of delegated permissions, the app's effective permissions will also depend on the privileges of the signed-in user within the organization. For more information, see Delegated permissions, Application permissions, and effective permissions.

Escenarios de acceso en el recurso UserAccess scenarios on the User resource

Tareas de la aplicación que implican el uso del recurso UserApp tasks involving User Permisos necesariosRequired permissions Cadenas de permisoPermission strings
La aplicación quiere leer más información básica de los usuarios (solo el nombre para mostrar y la imagen), por ejemplo, para mostrarla en una experiencia de selección de contactosApp wants to read other users' basic information (only display name and picture), for example to show in a people picking experience User.ReadBasic.AllUser.ReadBasic.All Leer todos los perfiles básicos de usuarioRead all user's basic profiles
La aplicación quiere leer el perfil de usuario completo del usuario que ha iniciado sesión (ver los subordinados directos y el administrador, etc.)App wants to read complete user profile for signed in user (see direct reports, and manager, etc.) User.ReadUser.Read Habilitar el inicio de sesión y leer el perfil del usuarioEnable sign-in and read user profile
La aplicación desea leer el perfil de usuario completo de todos los usuariosApp wants to read complete user profile all users User.Read.AllUser.Read.All Leer todos los perfiles completos del usuarioRead all user's full profiles
La aplicación desea leer archivos, información del calendario y el correo del usuario que ha iniciado sesiónApp wants to read files, mail and calendar information for the signed in user User.Read, Files.Read, Mail.Read, Calendars.ReadUser.Read, Files.Read, Mail.Read, Calendars.Read Habilitar el inicio de sesión y leer el perfil del usuario, Leer los archivos de los usuarios, Leer el correo del usuario, Leer los calendarios del usuarioEnable sign-in and read user profile, Read users' files, Read user mail, Read user calendars
La aplicación desea leer los archivos del usuario que ha iniciado sesión (los míos) y los archivos que otros usuarios han compartido con el usuario que ha iniciado sesión (el mío).App wants to read the signed-in user's (my) files and files that other users have shared with the signed-in user (me). User.Read, Files.Read, Sites.Read.AllUser.Read, Files.Read, Sites.Read.All Habilitar el inicio de sesión y leer el perfil del usuario, Leer los archivos de los usuarios, Leer los elementos de todas las colecciones de sitiosEnable sign-in and read user profile, Read users' files, Read items in all site collections
La aplicación desea leer y escribir en el perfil completo del usuario que ha iniciado sesiónApp wants to read and write complete user profile for signed in user User.ReadWriteUser.ReadWrite Acceso al perfil del usuario para la lectura y la escritura Read and write access to user profile
La aplicación desea leer y escribir en el perfil de usuario completo de todos los usuariosApp wants to read and write complete user profile all users User.ReadWrite.AllUser.ReadWrite.All Leer todos los perfiles completos del usuario y escribir en ellosRead and write all user's full profiles
La aplicación desea leer los archivos, el correo y la información del calendario del usuario que ha iniciado sesión y escribir en ellosApp wants to read and write files, mail and calendar information for the signed in user User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWriteUser.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Acceso de lectura y escritura al perfil del usuario, Acceso de lectura y escritura al perfil del usuario, Acceso de lectura y escritura al correo del usuario, Tener acceso completo a los calendarios del usuarioRead and write access to user profile, Read and write access to user profile, Read and write access to user mail, Have full access to user calendars
La aplicación quiere enviar una solicitud de operación de directiva de datos para exportar los datos personales de un usuario.App wants to submit a data policy operation request to export a user's personal data User.Export.AllUser.Export.All Exportar los datos personales de un usuario.Export a user'a personal data.

Escenarios de acceso en el recurso GroupAccess scenarios on the Group resource

Tareas de la aplicación que implican el uso del recurso GroupApp tasks involving Group Permisos necesariosRequired permissions Cadenas de permisoPermission strings
La aplicación quiere leer la información básica del grupo (solo el nombre para mostrar y la imagen), por ejemplo, para mostrarla en una experiencia de selección de gruposApp wants to read basic group info (only display name and picture), for example to show in a group picking experience Group.Read.AllGroup.Read.All Leer todos los gruposRead all groups
La aplicación quiere leer todo el contenido de todos los grupos de Office 365, incluidos los archivos y las conversaciones. También necesita mostrar las pertenencias a grupos, ser capaz de actualizar las pertenencias a grupos (si es el propietario).App wants to read all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.Read.AllGroup.Read.All Leer los elementos de todas las colecciones de sitios, Leer todos los gruposRead items in all site collections, Read all groups
La aplicación quiere leer y escribir todo el contenido de todos los grupos de Office 365, incluidos los archivos y las conversaciones. También necesita mostrar las pertenencias a grupos, ser capaz de actualizar las pertenencias a grupos (si es el propietario).App wants to read and write all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.ReadWrite.All, Sites.ReadWrite.AllGroup.ReadWrite.All, Sites.ReadWrite.All Leer y escribir en todos los grupos, Editar o eliminar elementos en todas las colecciones de sitiosRead and write all groups, Edit or delete items in all site collections
La aplicación quiere descubrir (buscar) un grupo de Office 365. Permite al usuario buscar un determinado grupo y elegir uno desde la lista enumerada para permitir que el usuario se una al grupo.App wants to discover (find) an Office 365 group. It allows the user to search for a particular group and choose one from the enumerated list to allow the user to join the group. Group.ReadWrite.AllGroup.ReadWrite.All Leer y escribir en todos los gruposRead and write all groups
La aplicación desea crear un grupo a través de AAD GraphApp wants to create a group through AAD Graph Group.ReadWrite.AllGroup.ReadWrite.All Leer y escribir en todos los gruposRead and write all groups