Autorización para que las API lean los informes de uso de Microsoft 365Authorization for APIs to read Microsoft 365 usage reports

Los datos de informes accesibles a través de la API de informes de Microsoft Graph son confidenciales.Report data accessible via the Microsoft Graph reports API is sensitive. En particular, los informes de uso de Microsoft 365 están protegidos por permisos y roles de Azure Active Directory (Azure AD).In particular, Microsoft 365 usage reports are protected by both permissions and Azure Active Directory (Azure AD) roles. La información de este artículo se aplica a la API de informes que lee los informes de uso de Microsoft 365.The information in this article applies to the reports API that reads Microsoft 365 usage reports.

Las API que leen los informes de uso de Microsoft 365 son compatibles con dos tipos de autorización:The APIs to read Microsoft 365 usage reports support two types of authorization:

  • Autorización de nivel de aplicación: Permite a una aplicación leer todos los informes de uso de servicio sin necesidad de que un usuario haya iniciado sesión.Application-level authorization - Allows an app to read all service usage reports without a signed-in user. Los permisos otorgados a la aplicación determinan la autorización.The permissions granted to the application determine authorization.
  • Autorización de usuario delegado: Permite a una aplicación leer todos los informes de uso de servicio en nombre del usuario que ha iniciado sesión.User delegated authorization - Allows an app to read all service usage reports on behalf of the signed-in user. Además de que la aplicación debe contar con los permisos necesarios, el usuario debe ser miembro de un rol de administrador limitado de Azure AD.In addition to the app having been granted the required permissions, the user must be a member of an Azure AD limited administrator role. Puede ser uno de los siguientes roles: administrador de la empresa, administrador de Exchange, administrador de SharePoint, administrador de Lync, administrador del servicio Teams, administrador de comunicaciones de Teams, lector global o lector de informes.This can be one of the following roles: company administrator, Exchange administrator, SharePoint administrator, Lync administrator, Teams Service Administrator, Teams Communications Administrator, global reader, or reports reader.

Si realiza una llamada a la API desde el Explorador de Graph:If you're calling the APIs from Graph Explorer:

  • El administrador del espacio empresarial de Azure AD debe conceder explícitamente los permisos solicitados a la aplicación del Explorador de Graph.The Azure AD tenant administrator must explicitly grant consent for the requested permissions to the Graph Explorer application.
  • El usuario debe ser un miembro de un rol de administrador limitado en Azure AD, indicado arriba para la autorización delegada por el usuario.The user must be a member of a limited administrator role in Azure AD, listed above for user-delegated authorization.

Nota: el Explorador de Graph no admite la autorización a nivel de aplicación.Note: Graph Explorer does not support application-level authorization.

Si realiza una llamada a la API desde una aplicación:If you're calling the APIs from an application:

  • El administrador del espacio empresarial de Azure AD debe conceder explícitamente los permisos a su aplicación.The Azure AD tenant administrator must explicitly grant consent to your application. Esto es necesario tanto para las autorizaciones a nivel de aplicación como para las delegadas por usuarios.This is required both for application-level authorization and user delegated authorization.
  • Si utiliza una autorización delegada, el usuario debe ser un miembro de un rol de administrador limitado en Azure AD.If you're using user delegated authorization, the signed-in user must be a member of a limited administrator role in Azure AD.

Asignar roles de Azure AD a usuariosAssign Azure AD roles to users

Después de que se conceden permisos a una aplicación, todos los usuarios con acceso a ella (es decir, los miembros del espacio empresarial de Azure AD) reciben los permisos concedidos.After an application is granted permissions, everyone with access to the application (that is, members of the Azure AD tenant) receives the granted permissions. Para una mayor protección de los datos de los informes confidenciales, los administradores del espacio empresarial deben asignar a los usuarios los correspondientes roles de Azure AD.To further protect sensitive reports data, tenant administrators must assign users of the application the appropriate Azure AD roles. Para obtener más información, vea Permisos de roles de administrador en Azure Active Directory y Asignar roles de administrador y no administrador a los usuarios con Azure Active Directory.For details, see Administrator role permissions in Azure Active Directory and Assign administrator and non-administrator roles to users with Azure Active Directory.

Nota: Debe ser administrador de un espacio empresarial para realizar este paso.Note: You must be a tenant administrator to perform this step.

Para asignar un rol a un usuario:To assign a role to a user:

  1. Inicie sesión en Azure Portal (https://portal.azure.com)).Sign in to the Azure portal (https://portal.azure.com).
  2. Haga clic en el icono de la esquina superior izquierda para expandir el menú de Azure Portal.Click the icon in the top left to expand the Azure portal menu. Seleccione Azure Active Directory > Usuarios.Select Azure Active Directory > Users.
  3. Haga clic en el nombre del usuario.Click the name of the user.
  4. Elija Roles asignados y, después, Agregar tarea.Choose Assigned roles, and then Add assignment.
  5. Seleccione el rol adecuado y haga clic en Agregar.Select the appropriate role, and click Add.