Autorización para que las API lean los informes de uso de Microsoft 365
Los datos de informes accesibles a través de la API de informes de Microsoft Graph son confidenciales. En concreto, los informes de uso de Microsoft 365 están protegidos por permisos y roles de Microsoft Entra. La información de este artículo se aplica a la API de informes que lee los informes de uso de Microsoft 365.
Las API que leen los informes de uso de Microsoft 365 son compatibles con dos tipos de autorización:
- Autorización de nivel de aplicación: Permite a una aplicación leer todos los informes de uso de servicio sin necesidad de que un usuario haya iniciado sesión. Los permisos otorgados a la aplicación determinan la autorización.
- Autorización de usuario delegado: Permite a una aplicación leer todos los informes de uso de servicio en nombre del usuario que ha iniciado sesión. Además de que a la aplicación se le hayan concedido los permisos necesarios, el usuario debe ser miembro de un rol de administrador limitado Microsoft Entra ID. Este puede ser uno de los siguientes roles: Administrador de empresa, Administrador de Exchange, Administrador de SharePoint, Administrador de Lync, Administrador de servicios de Teams, Administrador de comunicaciones de Teams, Lector global, Lector de informes de resumen de uso, o Lector de informes. Los roles Lector global y de Lector de informes de resumen de uso solo tendrán acceso a datos de nivel de inquilino, sin visibilidad de métricas detalladas.
Si realiza una llamada a la API desde el Explorador de Graph:
- El administrador de inquilinos de Microsoft Entra debe conceder explícitamente el consentimiento para los permisos solicitados a la aplicación Graph Explorer.
- El usuario debe ser miembro de un rol de administrador limitado en Microsoft Entra ID, enumerado anteriormente para la autorización delegada por el usuario.
Nota:
El Explorador de Graph no admite la autorización a nivel de aplicación.
Si realiza una llamada a la API desde una aplicación:
- El administrador de inquilinos Microsoft Entra debe conceder explícitamente el consentimiento a la aplicación. Esto es necesario tanto para las autorizaciones a nivel de aplicación y delegadas por usuarios.
- Si usa la autorización delegada por el usuario, el usuario que ha iniciado sesión debe ser miembro de un rol de administrador limitado en Microsoft Entra ID.
Asignación de roles Microsoft Entra a los usuarios
Una vez que se conceden permisos a una aplicación, todos los usuarios con acceso a la aplicación (es decir, los miembros del inquilino de Microsoft Entra) reciben los permisos concedidos. Para proteger aún más los datos de informes confidenciales, los administradores de inquilinos deben asignar a los usuarios de la aplicación los roles de Microsoft Entra adecuados. Para obtener más información, consulte Permisos de rol de administrador en Microsoft Entra ID y Asignación de roles de administrador y no administrador a usuarios con Microsoft Entra ID.
Nota:
Debe ser administrador de un espacio empresarial para realizar este paso.
Para asignar un rol a un usuario:
- Inicie sesión en el Centro de administración Microsoft Entra.
- Expanda el menú >IdentidadLos usuarios seleccionan>Todos los usuarios.
- Seleccione el usuario.
- Elija Roles asignados y, después, Agregar tarea.
- Seleccione el rol adecuado y haga clic en Agregar.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de