Référence des autorisations de Microsoft GraphMicrosoft Graph permissions reference

Pour que votre application puisse accéder aux données dans Microsoft Graph, l’utilisateur ou l’administrateur doivent lui accorder les autorisations appropriées via un processus de consentement.For your app to access data in Microsoft Graph, the user or administrator must grant it the correct permissions via a consent process. Cette rubrique répertorie les autorisations associées à chaque ensemble majeur d’API Microsoft Graph.This topic lists the permissions associated with each major set of Microsoft Graph APIs. Elle fournit également des instructions sur l’utilisation des autorisations.It also provides guidance about how to use the permissions.

Pour en savoir plus sur le fonctionnement des autorisations, consultez Principes de base de l’authentification et de l’autorisation et regardez la vidéo suivante.To learn more about how permissions work, see Authentication and authorization basics, and watch the following video.

Noms d’autorisation de Microsoft GraphMicrosoft Graph permission names

Les noms d’autorisation de Microsoft Graph suivent un modèle simple : ressource.opération.contrainte. Par exemple, User.Read donne l’autorisation de lire le profil de l’utilisateur connecté, User.ReadWrite donne l’autorisation de lire et de modifier le profil de l’utilisateur connecté et Mail.Send donne l’autorisation d’envoyer des messages au nom de l’utilisateur connecté.Microsoft Graph permission names follow a simple pattern: resource.operation.constraint. For example, User.Read grants permission to read the profile of the signed-in user, User.ReadWrite grants permission to read and modify the profile of the signed-in user, and Mail.Send grants permission to send mail on behalf of the signed-in user.

L’élément contrainte du nom détermine l’étendue potentielle des droits d’accès de votre application dans le répertoire. Microsoft Graph prend actuellement en charge les contraintes suivantes :The constraint element of the name determines the potential extent of access your app will have within the directory. Currently Microsoft Graph supports the following constraints:

  • All donne l’autorisation à l’application d’effectuer des opérations sur toutes les ressources du type spécifié dans un répertoire. Par exemple, User.Read.All donne potentiellement à l’application le droit de lire les profils de tous les utilisateurs dans un répertoire.All grants permission for the app to perform the operations on all of the resources of the specified type in a directory. For example, User.Read.All potentially grants the app privileges to read the profiles of all of the users in a directory.
  • Shared donne l’autorisation à l’application d’effectuer des opérations sur des ressources que d’autres utilisateurs ont partagé avec l’utilisateur connecté. Cette contrainte est utilisée principalement avec des ressources Outlook comme des messages, des calendriers et des contacts. Par exemple, Mail.Read.Shared accorde le droit de lire le courrier dans la boîte aux lettres de l’utilisateur connecté, ainsi que le courrier dans les boîtes aux lettres que d’autres utilisateurs de l’organisation ont partagé avec l’utilisateur connecté.Shared grants permission for the app to perform the operations on resources that other users have shared with the signed-in user. This constraint is mainly used with Outlook resources like mail, calendars, and contacts. For example, Mail.Read.Shared, grants privileges to read mail in the mailbox of the signed-in user as well as mail in mailboxes that other users in the organization have shared with the signed-in user.
  • AppFolder donne l’autorisation à l’application de lire et d’écrire des fichiers dans un dossier dédié de OneDrive. Cette contrainte est présente uniquement dans les autorisations de fichiers et n’est valable que pour les comptes Microsoft.AppFolder grants permission for the app to read and write files in a dedicated folder in OneDrive. This constraint is only exposed on Files permissions and is only valid for Microsoft accounts.
  • Si aucune contrainte n’est spécifiée, l’application est limitée pour effectuer des opérations sur les ressources appartenant à l’utilisateur connecté. Par exemple, User.Read accorde des droits pour lire le profil de l’utilisateur connecté uniquement, et Mail.Read donne l’autorisation de lire uniquement le courrier de la boîte aux lettres de l’utilisateur connecté.If no constraint is specified the app is limited to performing the operations on the resources owned by the signed-in user. For example, User.Read grants privileges to read the profile of the signed-in user only, and Mail.Read grants permission to read only mail in the mailbox of the signed-in user.

Remarque : Dans les configurations avec délégation, les autorisations effectives octroyées à votre application peuvent être limitées par les droits de l’utilisateur connecté dans l’organisation.Note: In delegated scenarios, the effective permissions granted to your app may be constrained by the privileges of the signed-in user in the organization.

Comptes Microsoft et comptes professionnels ou scolairesMicrosoft accounts and work or school accounts

Toutes les autorisations ne sont pas valides pour les comptes Microsoft et les comptes professionnels ou scolaires.Not all permissions are valid for both Microsoft accounts and work or school accounts. Consultez la colonne Compte Microsoft pris en charge pour chaque groupe d’autorisations afin de déterminer si une autorisation spécifique est valide pour les comptes Microsoft, les comptes professionnels ou scolaires ou les deux.You can check the Microsoft Account Supported column for each permission group to determine whether a specific permission is valid for Microsoft accounts, work or school accounts, or both.

Limites de recherche de groupes et d’utilisateurs pour les utilisateurs invités dans les organisationsUser and group search limitations for guest users in organizations

Les fonctions de recherche de groupes et d’utilisateurs permettent à l’application de rechercher un utilisateur ou un groupe dans le répertoire d’une organisation en lançant des requêtes dans les ressources /users ou /groups (par exemple, https://graph.microsoft.com/v1.0/users).User and group search capabilities allow the app to search for any user or group in an organization's directory by performing queries against the /users or /groups resource set (for example, https://graph.microsoft.com/v1.0/users). Les administrateurs et les utilisateurs disposent de cette fonctionnalité. Toutefois, les utilisateurs invités n’en disposent pas.Both administrators and users have this capability; however, guest users do not.

Si l’utilisateur connecté est un utilisateur invité, selon les autorisations dont une application bénéficie, il peut lire le profil d’un utilisateur ou d’un groupe spécifique (par exemple, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). Toutefois, il ne peut pas exécuter des requêtes dans les ressources /users ou /groups qui renvoient potentiellement plusieurs ressources.If the signed-in user is a guest user, depending on the permissions an app has been granted, it can read the profile of a specific user or group (for example, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); however, it cannot perform queries against the /users or /groups resource set that potentially return more than a single resource.

Avec les autorisations appropriées, l’application peut lire les profils des utilisateurs ou des groupes qu’elle obtient en suivant les liens dans les propriétés de navigation. Par exemple, /users/{id}/directReports ou /groups/{id}/members.With the appropriate permissions, the app can read the profiles of users or groups that it obtains by following links in navigation properties; for example, /users/{id}/directReports or /groups/{id}/members.


Autorisations révisions d’accèsAccess reviews permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
AccessReview.Read.AllAccessReview.Read.All Lire toutes les révisions d’accèsRead all access reviews Permet à l’application de lire des révisions d’accès au nom de l’utilisateur connecté.Allows the app to read access reviews on behalf of the signed-in user. OuiYes NonNo
AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Gérer toutes les révisions d’accèsManage all access reviews Permet à l’application de lire et écrire des révisions d’accès au nom de l’utilisateur connecté.Allows the app to read and write access reviews on behalf of the signed-in user. OuiYes NonNo
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Gérer les révisions d’accès pour les adhésions aux groupes et aux applicationsManage access reviews for group and app memberships Permet à l’application de lire et écrire des révisions d’accès au nom de l’utilisateur connecté.Allows the app to read and write access reviews on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
AccessReview.Read.AllAccessReview.Read.All Lire toutes les révisions d’accèsRead all access reviews Permet à l’application de lire des révisions d’accès sans utilisateur connecté.Allows the app to read access reviews without a signed-in user. OuiYes
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Gérer les révisions d’accès pour les adhésions aux groupes et aux applicationsManage access reviews for group and app memberships Permet à l’application de gérer les révisions d’accès aux groupes et aux applications sans utilisateur connecté.Allows the app to manage access reviews of groups and apps without a signed-in user. OuiYes

RemarquesRemarks

AccessReview.Read.All, AccessReview.ReadWrite.All et AccessReview.ReadWrite.Membership sont valides pour les comptes professionnels ou scolaires uniquement.AccessReview.Read.All and AccessReview.ReadWrite.All are valid only for work or school accounts.

Pour qu’une application avec des autorisations déléguées puisse lire les informations de groupe ou application, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité ou administrateur utilisateur.For an app with delegated permissions to read access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Pour qu’une application avec des autorisations déléguées puisse écrire les informations de groupe ou application, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur utilisateur.For an app with delegated permissions to write access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator.

Pour qu’une application avec des autorisations déléguées puisse lire les informations de rôle Azure AD, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité, lecteur sécurité ou administrateur rôle privilégié.For an app with delegated permissions to read access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator. Pour qu’une application avec des autorisations déléguées puisse écrire les informations de rôle Azure AD, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur rôle privilégié.For an app with delegated permissions to write access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator or Privileged Role Administrator.

Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Autorisations pour les unités administrativesAdministrative Units permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Lire les unités administrativesRead administrative units Permet à l’application de lire les unités administratives et l’appartenance à une unité administrative au nom de l’utilisateur connecté.Allows the app to read administrative units and administrative unit membership on behalf of the signed-in user. OuiYes NonNo
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Lire et écrire les unités administrativesRead and write administrative units Permet à l’application de créer, lire, mettre à jour et supprimer des unités administratives et de gérer l’appartenance à une unité administrative au nom de l’utilisateur connecté.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Lire toutes les unités administrativesRead all administrative units Permet à l’application de lire les unités administratives et l’appartenance à une unité administrative sans utilisateur connecté.Allows the app to read administrative units and administrative unit membership without a signed-in user. OuiYes
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Lire et écrire toutes les unités administrativesRead and write all administrative units Permet à l’application de créer, lire, mettre à jour et supprimer des unités administratives et de gérer l’appartenance à une unité administrative sans utilisateur connecté.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership without a signed-in user. OuiYes

RemarquesRemarks

Avec l'autorisation AdministrativeUnit.Read.All, une application peut lire les informations d’unité administrative, y compris les membres.With the AdministrativeUnit.Read.All permission an application can read administrative unit information including members.

Avec l'autorisation AdministrativeUnit.ReadWrite.All, une application peut créer, lire, mettre à jour et supprimer les informations d’unité administrative, y compris les membres.With the AdministrativeUnit.ReadWrite.All permission an application can create, read, update, and delete administrative unit information including members.

AdministrativeUnit.Read.All and AdministrativeUnit.ReadWrite.All ne sont valides que pour les comptes professionnels ou scolaires.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Exemple d’utilisationExample usage

  • AdministrativeUnit.Read.All : lire les unités administratives (GET /beta/administrativeUnits)AdministrativeUnit.Read.All: Read administrative units (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All : lire la liste des membres d’une unité administrative (GET /beta/administrativeUnits/<id>/members)AdministrativeUnit.Read.All: Read members list of an administrative unit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All : créer une unité administrative (POST /beta/administrativeUnits)AdministrativeUnit.ReadWrite.All: Create an administrative unit (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All : mettre à jour une unité administrative (PATCH /beta/administrativeUnits/<id>)AdministrativeUnit.ReadWrite.All: Update an administrative unit (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All : ajouter des membres à une unité administrative (POST /beta/administrativeUnits/<id>/members)AdministrativeUnit.ReadWrite.All: Add members to an administrative unit (POST /beta/administrativeUnits/<id>/members)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de la ressource AppCatalogAppCatalog resource permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
AppCatalog.ReadWrite.AllAppCatalog.ReadWrite.All Lire et écrire sur tous les catalogues d’applicationRead and write to all app catalogs Permet à l’application de créer, de lire, de mettre à jour et de supprimer des applications dans les catalogues d’application.Allows the app to create, read, update, and delete apps in the app catalogs. OuiYes

Autorisations de l’applicationApplication permissions

Aucun.None.

RemarquesRemarks

Actuellement, le seul catalogue est la liste des applications dans Microsoft Teams.Currently the only catalog is the list of applications in Microsoft Teams.

Exemple d’utilisationExample usage

DelegatedDelegated

ApplicationApplication

Aucun.None.


Autorisations de ressource d’applicationApplication resource permissions

Autorisations déléguéesDelegated permissions

Aucun.None.

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Application.ReadWrite.AllApplication.ReadWrite.All Lire et écrire toutes les applicationsRead and write all apps Permet à l’application appelante de créer et de gérer (lire, mettre à jour, mettre à jour les secrets de l’application et supprimer) des applications et des principaux de service sans qu’aucun utilisateur ne soit connecté.Allows the calling app to create, and manage (read, update, update application secrets and delete) applications and service principals without a signed-in user. Ne permet pas la gestion des octrois de consentement ou des affectations d’application à des utilisateurs ou à des groupes.Does not allow management of consent grants or application assignments to users or groups. OuiYes
Application.ReadWrite.OwnedByApplication.ReadWrite.OwnedBy Gérer les applications que cette application crée ou celles dont elle est propriétaireManage apps that this app creates or owns Permet à l’application appelante de créer d’autres applications et principaux de service, et de les gérer entièrement (lire, mettre à jour, mettre à jour les secrets de l’application et supprimer), sans qu’aucun utilisateur ne soit connecté.Allows the calling app to create other applications and service principals, and fully manage those applications and service principals (read, update, update application secrets and delete), without a signed-in user. Elle ne peut pas mettre à jour les applications dont elle n’est pas propriétaire.It cannot update any applications that it is not an owner of. Ne permet pas la gestion des octrois de consentement ou des affectations d’application à des utilisateurs ou à des groupes.Does not allow management of consent grants or application assignments to users or groups. OuiYes

RemarquesRemarks

L’autorisation Application.ReadWrite.OwnedBy permet les mêmes opérations que l’autorisation Application.ReadWrite.All, sauf que cette dernière permet d’effectuer ces opérations uniquement sur les applications et les principaux de service dont l’application appelante est propriétaire.The Application.ReadWrite.OwnedBy permission allows the same operations as Application.ReadWrite.All except that the former allows these operations only on applications and service principals that the calling app is an owner of. La propriété est indiquée par la propriété de navigation owners sur la ressource d’application ou de principal de service cible.Ownership is indicated by the owners navigation property on the target application or service principal resource.

REMARQUE : l’utilisation de l’autorisation Application.ReadWrite.OwnedBy pour appeler GET /applications afin de répertorier les applications échouera avec l’erreur 403.NOTE: Using the Application.ReadWrite.OwnedBy permission to call GET /applications to list applications will fail with a 403. Utilisez plutôt GET servicePrincipals/{id}/ownedObjects pour répertorier les applications appartenant à l’application appelante.Instead use GET servicePrincipals/{id}/ownedObjects to list the applications owned by the calling application.

Exemple d’utilisationExample usage

DéléguéeDelegated

Aucune.None.

ApplicationApplication

  • Application.ReadWrite.All : répertorier toutes les applications (GET /beta/applications)Application.ReadWrite.All: List all applications (GET /beta/applications)
  • Application.ReadWrite.All : supprimer un principal de service (DELETE /beta/servicePrincipals/{id})Application.ReadWrite.All: Delete a service principal (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy : créer une application (POST /beta/applications)Application.ReadWrite.OwnedBy: Create an application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy : répertorier toutes les applications appartenant à l’application appelante (GET /beta/servicePrincipals/{id}/ownedObjects)Application.ReadWrite.OwnedBy: List all applications owned by the the calling application (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy : ajouter un autre propriétaire à une application ayant déjà un propriétaire (POST /applications/{id}/owners/$ref).Application.ReadWrite.OwnedBy: Add another owner to an owned application (POST /applications/{id}/owners/$ref).

REMARQUE : cela peut nécessiter des autorisations supplémentaires.NOTE: This may require additional permissions.


Autorisations BookingsBookings permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Bookings.Read.AllBookings.Read.All Permet à une application de lire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté.Allows an app to read Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Destinée aux applications en lecture seule.Intended for read-only applications. L’utilisateur cible classique est le client d’une réservation professionnelle.Typical target user is the customer of a booking business. NonNo NonNo
Bookings.ReadWrite.AppointmentsBookings.ReadWrite.Appointments Permet à une application de lire et d’écrire des rendez-vous et des clients Bookings, ainsi que de lire des entreprises, des services et du personnel pour le compte de l’utilisateur connecté.Allows an app to read and write Bookings appointments and customers, and additionally allows reading businesses, services, and staff on behalf of the signed-in user. Conçue pour planifier des applications qui doivent gérer des rendez-vous et des clients.Intended for scheduling applications which need to manipulate appointments and customers. Ne peut pas modifier les informations fondamentales sur la réservation professionnelle, ni ses services et membres du personnel.Cannot change fundamental information about the booking business, nor its services and staff members. L’utilisateur cible classique est le client d’une réservation professionnelle.Typical target user is the customer of a booking business. NonNo NonNo
Bookings.ReadWrite.AllBookings.ReadWrite.All Permet à une application de lire et écrire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté.Allows an app to read and write Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Ne permet pas de créer, supprimer ni publier d’entreprises Bookings.Does not allow create, delete, or publish of Bookings businesses. Conçue pour les applications de gestion qui gèrent des entreprises existantes, leurs services et les membres de leur personnel.Intended for management applications that manipulate existing businesses, their services and staff members. Ne peut pas créer, supprimer ni modifier l’état de publication d’une réservation professionnelle.Cannot create, delete, or change the publishing status of a booking business. L’utilisateur cible classique est le support technique d’une organisation.Typical target user is the support staff of an organization. NonNo NonNo
Bookings.ManageBookings.Manage Permet à une application de lire, écrire et gérer des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté.Allows an app to read, write, and manage Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Permet à l’application de disposer d’un accès total.Allows the app to have full access.
Conçue pour une expérience de gestion complète.Intended for a full management experience. L’utilisateur cible classique est l’administrateur d’une organisation.Typical target user is the administrator of an organization.
NonNo NonNo

Autorisations de l’applicationApplication permissions

Aucun.None.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Bookings.Read.All : obtenir l’ID et les noms de la collection d’entreprises Bookings qui a été créée pour un client (GET /bookingBusinesses).Bookings.Read.All: Get the ID and names of the collection of Bookings businesses that has been created for a tenant (GET /bookingBusinesses).
  • Bookings.ReadWrite.Appointments : créer un rendez-vous pour un service dans une entreprise Bookings (POST /bookingBusinesses/{id}/appointments).Bookings.ReadWrite.Appointments: Create an appointment for a service at a Bookings business (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All : créer un service pour l’entreprise Bookings spécifiée (POST /bookingBusinesses/{id}/services).Bookings.ReadWrite.All: Create a new service for the specified Bookings business (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage : mettre la page de planification de cette entreprise à disposition des clients externes (POST /bookingBusinesses/{id}/publish).Bookings.Manage: Make the scheduling page of this business available to external customers (POST /bookingBusinesses/{id}/publish).

Autorisations de calendriersCalendars permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Calendars.ReadCalendars.Read Accéder en lecture aux calendriers utilisateurRead user calendars Permet à l’application de lire les événements dans les calendriers utilisateur.Allows the app to read events in user calendars. NonNo OuiYes
Calendars.Read.SharedCalendars.Read.Shared Accéder en lecture aux calendriers utilisateur et aux calendriers partagésRead user and shared calendars  Permet à l’application de lire des événements dans tous les calendriers auxquels l’utilisateur peut accéder, y compris les calendriers délégués et partagés.Allows the app to read events in all calendars that the user can access, including delegate and shared calendars.  NonNo NonNo
Calendars.ReadWriteCalendars.ReadWrite Avoir un accès total à des calendriers utilisateurHave full access to user calendars Permet à l’application de créer, lire, mettre à jour et supprimer des événements dans des calendriers utilisateur.Allows the app to create, read, update, and delete events in user calendars. NonNo OuiYes
Calendars.ReadWrite.SharedCalendars.ReadWrite.Shared Accéder en lecture et en écriture aux calendriers utilisateur et aux calendriers partagésRead and write user and shared calendars  Permet à l’application de créer, lire, mettre à jour et supprimer des événements dans tous les calendriers auxquels l’utilisateur peut accéder. Cela comprend les calendriers délégués et partagés.Allows the app to create, read, update and delete events in all calendars the user has permissions to access. This includes delegate and shared calendars. NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Calendars.ReadCalendars.Read Lire les calendriers dans toutes les boîtes aux lettresRead calendars in all mailboxes Permet à l’application de lire les événements de tous les calendriers sans utilisateur connecté.Allows the app to read events of all calendars without a signed-in user. OuiYes
Calendars.ReadWriteCalendars.ReadWrite Lire et écrire les calendriers dans toutes les boîtes aux lettresRead and write calendars in all mailboxes Permet à l’application de créer, lire, mettre à jour et supprimer des événements de tous les calendriers sans utilisateur connecté.Allows the app to create, read, update, and delete events of all calendars without a signed-in user. OuiYes

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Calendars.Read ou Calendars.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Calendars.Read or Calendars.ReadWrite.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Calendars.Read : Accédez aux événements du calendrier de l’utilisateur compris entre le 23 avril 2017 et le 29 avril 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).Calendars.Read: Get events on the user's calendar between April 23, 2017 and April 29, 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Recherchez des heures de réunion où tous les participants sont disponibles (POST /users/{id|userPrincipalName}/findMeetingTimes).Calendars.Read.Shared: Find meeting times where all attendees are available (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite : Ajoutez un événement au calendrier de l’utilisateur (POST /me/events).Calendars.ReadWrite: Add an event to the user's calendar (POST /me/events).

ApplicationApplication

  • Calendars.Read : Recherchez des événements dans le calendrier d’une salle de conférence organisés par bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').Calendars.Read: Find events in a conference room's calendar organized by bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read : Répertoriez tous les événements du calendrier d’un utilisateur pour le mois de mai (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)Calendars.Read: List all events on a user's calendar for the month of May (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite : Ajoutez un événement au calendrier d’un utilisateur pour les congés autorisés (POST /users/{id | userPrincipalName}/events).Calendars.ReadWrite: Add an event to a user's calendar for approved time off (POST /users/{id | userPrincipalName}/events).
  • Calendars.Send : Envoyer un message (POST /users/{id | userPrincipalName}/sendCalendars).Calendars.Send: Send a message (POST /users/{id | userPrincipalName}/sendCalendars).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.

Autorisations des appelsCalls permissions

Autorisations déléguéesDelegated permissions

Aucun.None.


Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Calls.Initiate.AllCalls.Initiate.All Lancer les appels sortants 1:1 depuis l’application (aperçu)Initiate outgoing 1:1 calls from the app (preview) Permet à l’application de passer des appels sortants à un seul utilisateur et de transférer des appels à des utilisateurs dans l’annuaire de votre organisation, sans utilisateur connecté.Allows the app to place outbound calls to a single user and transfer calls to users in your organization’s directory, without a signed-in user. OuiYes
Calls.InitiateGroupCall.AllCalls.InitiateGroupCall.All Lancer les appels de groupe sortants 1:1 depuis l’application (aperçu)Initiate outgoing group calls from the app (preview) Permet à l’application de passer des appels sortants à plusieurs utilisateurs et d’ajouter des participants à des réunions dans votre organisation, sans utilisateur connecté.Allows the app to place outbound calls to multiple users and add participants to meetings in your organization, without a signed-in user. OuiYes
Calls.JoinGroupCall.AllCalls.JoinGroupCall.All Participer à des réunions et à des appels de groupe en tant qu’application (aperçu)Join Group Calls and Meetings as an app (preview) Permet à l’application de rejoindre les appels de groupe et les réunions planifiées dans votre organisation, sans utilisateur connecté.Allows the app to join group calls and scheduled meetings in your organization, without a signed-in user. L’application se joindra aux réunions avec les privilèges d’un utilisateur d’annuaire dans votre client.The app will be joined with the privileges of a directory user to meetings in your tenant. OuiYes
Calls.JoinGroupCallasGuest.AllCalls.JoinGroupCallasGuest.All Participer à des réunions et à des appels de groupe en tant qu’invité (aperçu)Join Group Calls and Meetings as a guest (preview) Permet à l’application de rejoindre anonymement les appels de groupe et les réunions planifiées dans votre organisation, sans utilisateur connecté.Allows the app to anonymously join group calls and scheduled meetings in your organization, without a signed-in user. L’application se joindra aux réunions en tant qu’invité dans votre client.The app will be joined as a guest to meetings in your tenant. OuiYes
Calls.AccessMedia.All*Calls.AccessMedia.All* Accéder aux flux multimédias dans un appel en tant qu’application (aperçu)Access media streams in a call as an app (preview) Permet à l’application d’obtenir un accès direct aux flux multimédias dans un appel, sans utilisateur connecté.Allows the app to get direct access to media streams in a call, without a signed-in user. OuiYes

*Important : vous ne pouvez pas utiliser l’API Microsoft.Graph.Calls.Media pour enregistrer ou conserver de toute autre manière du contenu multimédia à partir d’appels ou de réunions auxquels votre bot a accès.*Important: You may not use the Microsoft.Graph.Calls.Media API to record or otherwise persist media content from calls or meetings that your bot accesses.


Exemple d’utilisationExample usage

ApplicationApplication

  • Calls.Initiate.All : passer un appel pair à pair depuis l’application à un utilisateur de l’organisation (POST /beta/app/calls).Calls.Initiate.All: Make a peer-to-peer call from the application to a user in the organization (POST /beta/app/calls).
  • Calls.InitiateGroupCall.All : créer un appel de groupe depuis l’application à un groupe d’utilisateurs dans l’organisation (POST /beta/app/calls).Calls.InitiateGroupCall.All: Make a group call from the application to a group of users in the organization (POST /beta/app/calls).
  • Calls.JoinGroupCall.All: rejoindre un appel de groupe ou une réunion en ligne depuis l’application (POST /beta/app/calls).Calls.JoinGroupCall.All: Join a group call or online meeting from the application (POST /beta/app/calls).
  • Calls.JoinGroupCallasGuest.All : rejoindre un appel de groupe ou une réunion en ligne à partir de l’application, mais l’application ne dispose que des privilèges d’invité dans la réunion (POST /beta/app/calls).Calls.JoinGroupCallasGuest.All: Join a group call or online meeting from the application, but the application only has guest privileges in the meeting (POST /beta/app/calls).
  • Calls.AccessMedia.All: créer ou rejoindre un appel et l’application obtient un accès direct aux flux multimédias des participants de l’appel (POST /beta/app/calls).Calls.AccessMedia.All: Create or Join a call and the app gets direct access to participant media streams in the call (POST /beta/app/calls).

Remarque : pour consulter des exemples de demande, consultez l’article relatif à la création d’un appel.Note: For request examples, see to Create call.

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.

Autorisations ChannelMessageChannelMessage permissions

Autorisations déléguéesDelegated permissions

Aucun.None.

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
ChannelMessage.Read.AllChannelMessage.Read.All Lire tous les messages du canalRead all chat messages  Permet à l’application de lire tous les messages du canal dans Microsoft Teams, sans utilisateur connecté.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. OuiYes NonNo
ChannelMessage.UpdatePolicyViolation.AllChannelMessage.UpdatePolicyViolation.All Marquer des messages du canal en stratégie de violationFlag channel messages for violating policy Permet à l’application de mettre à jour les messages du canal Microsoft Teams en appliquant un correctif sur un groupe de propriétés de violation de stratégie DLP (Protection contre la perte de données) pour gérer la sortie du traitement DLP.Allows the app to update Microsoft Teams channel messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. OuiYes NonNo

Remarque : Voir aussi Group.Read.All.Note: See also Group.Read.All.

Autorisations de conversationsChats permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Chat.ReadChat.Read Lire vos messages de conversationRead your chat messages  Permet à votre application de lire votre 1:1 ou les messages de conversation de groupe dans Microsoft Teams, en votre nom.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NonNo NonNo
Chat.ReadWriteChat.ReadWrite Lire vos messages de conversation et en envoyer de nouveauxRead your chat messages and send new ones  Permet à votre application de lire et d’envoyer votre 1:1 ou les messages de conversation de groupe dans Microsoft Teams, en votre nom.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Chat.Read.AllChat.Read.All Lire tous les messages de conversations.Read all chat messages  Permet à l’application de lire tous les 1:1 ou les messages de conversation de groupe dans Microsoft Teams, sans utilisateur connecté.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. OuiYes NonNo
Chat.UpdatePolicyViolation.AllChat.UpdatePolicyViolation.All Marquer des messages de conversation en stratégie de violationFlag chat messages for violating policy Autorise l’application à mettre à jour Microsoft Teams 1:1 ou les messages de conversation de groupe en corrigeant un ensemble de propriétés de violation de la stratégie de protection contre la perte de données (DLP) pour gérer la sortie du traitement de DLP.Allows the app to update Microsoft Teams 1:1 or group chat messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. OuiYes NonNo

Remarque : pour les messages dans un canal, voir autorisations de ChannelMessage.Note: For messages in a channel, see Group.Read.All.

Autorisations de contactsContacts permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Contacts.ReadContacts.Read Accéder en lecture aux contacts utilisateurRead user contacts  Permet à l’application de lire les contacts de l’utilisateur.Allows the app to read user contacts. NonNo OuiYes
Contacts.Read.SharedContacts.Read.Shared Accéder en lecture aux contacts utilisateur et aux contacts partagésRead user and shared contacts Permet à l’application de lire les contacts auxquels l’utilisateur peut accéder, notamment les contacts utilisateur et les contacts partagés.Allows the app to read contacts that the user has permissions to access, including the user's own and shared contacts.  NonNo NonNo
Contacts.ReadWriteContacts.ReadWrite Avoir un accès total à des contacts utilisateurHave full access to user contacts Permet à l’application de créer, lire, mettre à jour et supprimer des contacts de l’utilisateur.Allows the app to create, read, update, and delete user contacts. NonNo OuiYes
Contacts.ReadWrite.SharedContacts.ReadWrite.Shared Accéder en lecture et en écriture aux contacts utilisateur et aux contacts partagésRead and write user and shared contacts Permet à l’application de créer, lire, mettre à jour et supprimer des contacts auxquels l’utilisateur peut accéder, notamment les contacts utilisateur et les contacts partagés.Allows the app to create, read, update and delete contacts that the user has permissions to, including the user's own and shared contacts. NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Contacts.ReadContacts.Read Lire les contacts dans toutes les boîtes aux lettresRead contacts in all mailboxes  Permet à l’application de lire tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté.Allows the app to read all contacts in all mailboxes without a signed-in user.  OuiYes
Contacts.ReadWriteContacts.ReadWrite Lire et écrire les contacts dans toutes les boîtes aux lettresRead and write contacts in all mailboxes Permet à l’application de créer, lire, mettre à jour et supprimer tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté.Allows the app to create, read, update, and delete all contacts in all mailboxes without a signed-in user. OuiYes

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Contacts.Read ou Contacts.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not all the mailboxes in the organization, even if the app has been granted the application permissions of Contacts.Read or Contacts.ReadWrite.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Contacts.Read : Lisez un contact à partir de l’un des dossiers de contacts de niveau supérieur de l’utilisateur connecté (GET /me/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read a contact from one of the top-level contact folders of the signed-in user (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite : Mettez à jour la photo de l’un des contacts de l’utilisateur connecté (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the contact photo of one of the signed-in user's contacts (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite : Ajoutez des contacts au dossier racine de l’utilisateur connecté (POST /me/contacts).Contacts.ReadWrite: Add contacts to the root folder of the signed-in user (POST /me/contacts).

ApplicationApplication

  • Contacts.Read : Lisez les contacts à partir de l’un des dossiers de contacts de niveau supérieur de tous les utilisateurs de l’organisation (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read contacts from one of the top-level contact folders of any user in the organization (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite : Mettez à jour la photo de n’importe quel contact de tous les utilisateurs d’une organisation (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the photo for any contact of any user in an organization (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite : Ajoutez des contacts au dossier racine de tous les utilisateurs de l’organisation (POST /users/{id | userPrincipalName}/contacts).Contacts.ReadWrite: Add contacts to the root folder of any user in the organization (POST /users/{id | userPrincipalName}/contacts).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.

Autorisations de l’appareilDevice permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Device.ReadDevice.Read Lire les appareils de l’utilisateurRead user devices Permet de lire la liste d’appareils d’un utilisateur au nom de l’utilisateur connecté.Allows the app to read a user's list of devices on behalf of the signed-in user. NonNo OuiYes
Device.CommandDevice.Command Communiquer avec les appareils de l’utilisateurCommunicate with user devices Permet à l’application d’en lancer une autre ou de communiquer avec une autre sur l’appareil d’un utilisateur au nom de l’utilisateur connecté.Allows the app to launch another app or communicate with another app on a user's device on behalf of the signed-in user. NonNo OuiYes

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Device.ReadWrite.AllDevice.ReadWrite.All Accéder en lecture et en écriture à des appareilsRead and write devices Permet à l’application de lire et d’écrire toutes les propriétés d’un appareil sans utilisateur connecté. N’autorise pas la création ou la suppression d’un appareil, ni la mise à jour de ses identificateurs de sécurité.Allows the app to read and write all device properties without a signed in user. Does not allow device creation, device deletion, or update of device alternative security identifiers. OuiYes

Exemple d’utilisationExample usage

ApplicationApplication

  • Device.ReadWrite.All : Lisez tous les appareils enregistrés de l’organisation (GET /devices).Device.ReadWrite.All: Read all registered devices in the organization (GET /devices).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations du répertoireDirectory permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Directory.Read.AllDirectory.Read.All Lire les données de l’annuaireRead directory data Permet à l’application de lire les données dans l’annuaire de votre organisation, comme les utilisateurs, les groupes et les applications.Allows the app to read data in your organization's directory, such as users, groups and apps. Remarque : les utilisateurs peuvent donner leur consentement aux applications nécessitant cette autorisation si l’application est inscrite dans le client de leur propre organisation.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant. OuiYes NonNo
Directory.ReadWrite.AllDirectory.ReadWrite.All Lire et écrire les données de l’annuaireRead and write directory data Permet à l’application de lire et écrire des données dans l’annuaire de votre organisation, telles que les utilisateurs et les groupes. Elle n’autorise pas l’application à supprimer des utilisateurs ou des groupes ou à réinitialiser les mots de passe de l’utilisateur.Allows the app to read and write data in your organization's directory, such as users, and groups. It does not allow the app to delete users or groups, or reset user passwords. OuiYes NonNo
Directory.AccessAsUser.AllDirectory.AccessAsUser.All Accéder à l’annuaire en tant qu’utilisateur connectéAccess directory as the signed-in user Permet à l’application de disposer du même accès aux informations dans l’annuaire que l’utilisateur connecté.Allows the app to have the same access to information in the directory as the signed-in user. OuiYes NonNo
PrivilegedAccess.ReadWrite.AzureADPrivilegedAccess.ReadWrite.AzureAD Lire et écrire des données Privileged Identity Management pour répertoireRead and write Privileged Identity Management data for Directory Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour Azure AD.Allows the app to have read and write access to Privileged Identity Management APIs for Azure AD. OuiYes NonNo
PrivilegedAccess.ReadWrite.AzureResourcesPrivilegedAccess.ReadWrite.AzureResources Lire et écrire des données Privileged Identity Management pour les ressources AzureRead and write Privileged Identity Management data for Azure Resources Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour les ressources Azure.Allows the app to have read and write access to Privileged Identity Management APIs for Azure resources. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Directory.Read.AllDirectory.Read.All Lire les données de l’annuaireRead directory data Permet à l’application de lire les données dans l’annuaire de votre organisation, comme les utilisateurs, les groupes et les applications, sans utilisateur connecté.Allows the app to read data in your organization's directory, such as users, groups and apps, without a signed-in user. OuiYes
Directory.ReadWrite.AllDirectory.ReadWrite.All Lire et écrire les données de l’annuaireRead and write directory data Permet à l’application de lire et d’écrire des données dans l’annuaire de votre organisation, telles que les utilisateurs et les groupes, sans utilisateur connecté. N’autorise pas la suppression d’un utilisateur ou d’un groupe.Allows the app to read and write data in your organization's directory, such as users, and groups, without a signed-in user. Does not allow user or group deletion. OuiYes

RemarquesRemarks

Les autorisations du répertoire fournissent le niveau de droits le plus élevé pour accéder aux ressources du répertoire comme Utilisateur, Groupe et Appareil dans une organisation.Directory permissions provide the highest level of privilege for accessing directory resources such as User, Group, and Device in an organization.

Elles contrôlent également exclusivement l’accès aux autres ressources du répertoire comme les contacts de l’organisation, les API d’extension de schéma, les API de PIM, ainsi que de nombreuses ressources et API répertoriées sous le nœud Azure Active Directory dans la documentation de référence de l’API version 1.0 et bêta.They also exclusively control access to other directory resources like: organizational contacts, schema extension APIs, Privileged Identity Management (PIM) APIs, as well as many of the resources and APIs listed under the Azure Active Directory node in the v1.0 and beta API reference documentation. Il s’agit notamment des unités administratives, des rôles d’annuaire, des paramètres de répertoire, de la stratégie, etc.These include administrative units, directory roles, directory settings, policy, and many more.

L’autorisation Directory.ReadWrite.All accorde les droits suivants :The Directory.ReadWrite.All permission grants the following privileges:

  • Lecture complète de toutes les ressources du répertoire (propriétés de navigation et propriétés déclarées)Full read of all directory resources (both declared properties and navigation properties)
  • Création et mise à jour des utilisateursCreate and update users
  • Désactivation et activation des utilisateurs (mais pas de l’administrateur de l’entreprise)Disable and enable users (but not company administrator)
  • Définition d’autres ID de sécurité pour l’utilisateur (mais pas pour les administrateurs)Set user alternative security id (but not administrators)
  • Création et mise à jour de groupesCreate and update groups
  • Gestion de l’appartenance aux groupesManage group memberships
  • Mise à jour du propriétaire du groupeUpdate group owner
  • Gestion des affectations de licenceManage license assignments
  • Définition des extensions de schéma sur les applicationsDefine schema extensions on applications

Remarque :Note:

  • ne dispose pas du droit de réinitialiser les mots de passe utilisateur.No rights to reset user passwords
  • La mise à jour de la propriété businessPhones, MobilePhone ou otherMails d’un autre utilisateur est autorisée uniquement pour les utilisateurs qui ne sont pas administrateurs ou qui ont l’un des rôles suivants: lecteurs d’annuaires, inviteur d’invités, lecteur de centre de messages et lecteur de rapports.Updating another user's businessPhones, mobilePhone, or otherMails property is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Pour plus d’informations, voir Administrateur du support technique (Mot de passe) dans Rôles disponibles dans Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles. C’est le cas des applications disposant des autorisations déléguées ou applicatives User.ReadWrite.All ou Directory.ReadWrite.All.This is the case for apps granted either the User.ReadWrite.All or Directory.ReadWrite.All delegated or application permissions.
  • Ne dispose pas du droit de supprimer des ressources (y compris les utilisateurs ou groupes)No rights to delete resources (including users or groups)
  • Exclut la création ou la mise à jour des ressources non répertoriées ci-dessus.Specifically excludes create or update for resources not listed above. Cela comprend : application, oAauth2Permissiongrant, appRoleAssignment, appareil, servicePrincipal, organisation, domaines, etc.This includes: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains, and so on.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Directory.Read.All : Répertoriez toutes les unités administratives d’une organisation (GET /beta/administrativeUnits)Directory.Read.All: List all administrative units in an organization (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All : Ajoutez des membres à un rôle d’annuaire (POST /directoryRoles/{id}/members/$ref)Directory.ReadWrite.All: Add members to a directory role (POST /directoryRoles/{id}/members/$ref)

ApplicationApplication

  • Directory.Read.All : Répertoriez toutes les appartenances d’un utilisateur, y compris les rôles d’annuaire et les unités administratives (GET /beta/users/{id}/memberOf)Directory.Read.All: List all memberships of a user, including directory roles and administrative units (GET /beta/users/{id}/memberOf)
  • Directory.Read.All : Répertoriez tous les membres du groupe, y compris les principaux de service (GET /beta/groups/{id}/members)Directory.Read.All: List all group members, including service principals (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All : Ajoutez un propriétaire à un groupe (POST /groups/{id}/owners/$ref)Directory.ReadWrite.All: Add an owner to a group (POST /groups/{id}/owners/$ref)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations d’enseignementEducation permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
EduAdministration.ReadEduAdministration.Read Lire les paramètres d’application d’enseignementRead education app settings Autorise l’application à lire les paramètres d’application d’enseignement au nom de l’utilisateur.Allows the app to read education app settings on behalf of the user. OuiYes NonNo
EduAdministration.ReadWriteEduAdministration.ReadWrite Gérer les paramètres d’application d’enseignementManage education app settings Autorise l’application à gérer les paramètres d’application d’enseignement au nom de l’utilisateur.Allows the app to manage education app settings on behalf of the user. OuiYes NonNo
EduAssignments.ReadBasicEduAssignments.ReadBasic Lire les devoirs non notés des utilisateursRead users' class assignments without grades Autorise l’application à lire les devoirs non notés de l’utilisateurAllows the app to read assignments without grades on behalf of the user OuiYes NonNo
EduAssignments.ReadWriteBasicEduAssignments.ReadWriteBasic Lire et écrire les devoirs non notés des utilisateursRead and write users' class assignments without grades Autorise l’application à lire et à écrire les devoirs non notés pour le compte de l’utilisateurAllows the app to read and write assignments without grades on behalf of the user OuiYes NonNo
EduAssignments.ReadEduAssignments.Read Lire la vue des devoirs et de leurs notesRead users' view of class assignments and their grades Autorise l’application à lire les devoirs et les notes de l’utilisateurAllows the app to read assignments and their grades on behalf of the user OuiYes NonNo
EduAssignments.ReadWriteEduAssignments.ReadWrite Lire et écrire la vue des devoirs et de leurs notesRead and write users' view of class assignments and their grades Autorise l’application à lire et à écrire les devoirs et les notes de l’utilisateurAllows the app to read and write assignments and their grades on behalf of the user OuiYes NonNo
EduRostering.ReadBasicEduRostering.ReadBasic Lire un sous-ensemble limité de la vue de la listeRead a limited subset of users' view of the roster Autorise l’application à lire un sous-ensemble limité des données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire sur les utilisateurs pour le compte de l’utilisateur.Allows the app to read a limited subset of the data from the structure of schools and classes in an organization's roster and education-specific information about users to be read on behalf of the user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
EduAssignments.ReadBasic.AllEduAssignments.ReadBasic.All Lire les devoirs non notésRead class assignments without grades Autorise l’application à lire les devoirs non notés de tous les utilisateursAllows the app to read assignments without grades for all users OuiYes
EduAssignments.ReadWriteBasic.AllEduAssignments.ReadWriteBasic.All Lire et écrire les devoirs non notésRead and write class assignments without grades Autorise l’application à lire et à écrire les devoirs non notés de tous les utilisateursAllows the app to read and write assignments without grades for all users OuiYes
EduAssignments.Read.AllEduAssignments.Read.All Lire les devoirs notésRead class assignments with grades Autorise l’application à lire les devoirs et les notes de tous les utilisateursAllows the app to read assignments and their grades for all users OuiYes
EduAssignments.ReadWrite.AllEduAssignments.ReadWrite.All Lire et écrire les devoirs notésRead and write class assignments with grades Autorise l’application à lire et à écrire les devoirs et les notes de tous les utilisateursAllows the app to read and write assignments and their grades for all users OuiYes
EduRostering.ReadBasic.AllEduRostering.ReadBasic.All Lire un sous-ensemble limité de la liste de l’organisation.Read a limited subset of the organization's roster. Autorise l’application à lire un sous-ensemble limité des données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques sur tous les utilisateurs.Allows the app to read a limited subset of both the structure of schools and classes in an organization's roster and education-specific information about all users. OuiYes
EduRostering.Read.AllEduRostering.Read.All Lire la liste de l’organisation.Read the organization's roster. Autorise l’application à lire les données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire sur tous les utilisateurs.Allows the app to read the structure of schools and classes in the organization's roster and education-specific information about all users to be read. OuiYes
EduRostering.ReadWrite.AllEduRostering.ReadWrite.All Lire et écrire la liste de l’organisation.Read and write the organization's roster. Autorise l’application à lire et à écrire les données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire et à écrire sur tous les utilisateurs.Allows the app to read and write the structure of schools and classes in the organization's roster and education-specific information about all users to be read and written. OuiYes

Exemple d’utilisationExample usage

DéléguéeDelegated

  • EduAssignments.Read : obtenir les informations sur le devoir de l’étudiant connecté (GET /education/classes/{id}/assignments/{id})EduAssignments.Read: Get the signed-in student's assignment information (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic : soumettre le devoir de l’étudiant connecté (GET /education/classes/{id}/assignments/{id}submit)EduAssignments.ReadWriteBasic: Submit signed-in student assignment (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic : cours auxquels l’utilisateur connecté assiste ou qu’il enseigne (GET /education/classes/{id}/members)EduRoster.ReadBasic: Classes a signed-in user attends or teaches (GET /education/classes/{id}/members)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de fichiersFiles permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Files.ReadFiles.Read Lire les fichiers utilisateurRead user files Permet à l’application de lire les fichiers de l’utilisateur connecté.Allows the app to read the signed-in user's files. NonNo OuiYes
Files.Read.AllFiles.Read.All Accéder en lecture à tous les fichiers auxquels cet utilisateur peut accéderRead all files that user can access Permet à l’application de lire tous les fichiers auxquels l’utilisateur connecté peut accéder.Allows the app to read all files the signed-in user can access. NonNo OuiYes
Files.ReadWriteFiles.ReadWrite Disposer d’un accès total aux fichiers utilisateurHave full access to user files Permet à l’application de lire, créer, mettre à jour et supprimer tous les fichiers de l’utilisateur connecté.Allows the app to read, create, update, and delete the signed-in user's files. NonNo OuiYes
Files.ReadWrite.AllFiles.ReadWrite.All Disposer d’un accès total à tous les fichiers accessibles par l’utilisateurHave full access to all files user can access Permet à l’application de lire, créer, mettre à jour et supprimer tous les fichiers auxquels l’utilisateur connecté peut accéder.Allows the app to read, create, update, and delete all files the signed-in user can access. NonNo OuiYes
Files.ReadWrite.AppFolderFiles.ReadWrite.AppFolder Disposer d’un accès total au dossier de l’application (aperçu)Have full access to the application's folder (preview) (Aperçu) Permet à l’application de lire, créer, mettre à jour et supprimer des fichiers dans le dossier de l’application.(Preview) Allows the app to read, create, update, and delete files in the application's folder. NonNo NonNo
Files.Read.SelectedFiles.Read.Selected Lire des fichiers sélectionnés par l’utilisateurRead files that the user selects Prise en charge limitée dans Microsoft Graph, consultez les remarques ci-dessousLimited support in Microsoft Graph; see Remarks
(Aperçu) Permet à l’application de lire des fichiers sélectionnés par l’utilisateur. L’application dispose d’un accès pendant plusieurs heures une fois que l’utilisateur sélectionne un fichier.(Preview) Allows the app to read files that the user selects. The app has access for several hours after the user selects a file.
NonNo NonNo
Files.ReadWrite.SelectedFiles.ReadWrite.Selected Lire et écrire des fichiers sélectionnés par l’utilisateurRead and write files that the user selects Prise en charge limitée dans Microsoft Graph, consultez les remarques ci-dessousLimited support in Microsoft Graph; see Remarks
(Aperçu) Permet à l’application de lire et d’écrire des fichiers sélectionnés par l’utilisateur. L’application dispose d’un accès pendant plusieurs heures une fois que l’utilisateur sélectionne un fichier.(Preview) Allows the app to read and write files that the user selects. The app has access for several hours after the user selects a file.
NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Files.Read.AllFiles.Read.All Lire les fichiers dans toutes les collections de sitesRead files in all site collections Permet à l’application de lire tous les fichiers dans toutes les collections de sites sans utilisateur connecté.Allows the app to read all files in all site collections without a signed in user. OuiYes
Files.ReadWrite.AllFiles.ReadWrite.All Lire et écrire des fichiers dans toutes les collections de sitesRead and write files in all site collections Permet à l’application de lire, de créer, de mettre à jour et de supprimer tous les fichiers des collections de sites sans utilisateur connecté.Allows the app to read, create, update, and delete all files in all site collections without a signed in user. OuiYes

RemarquesRemarks

Remarque : pour les comptes personnels, Files.Read et Files.ReadWrite octroient également l’accès aux fichiers partagés avec l’utilisateur connecté.Note: For personal accounts, Files.Read and Files.ReadWrite also grant access to files shared with the signed-in user.

Les autorisations déléguées Files.Read.Selected et Files.ReadWrite.Selected ne sont valides que sur les comptes professionnels ou scolaires et sont uniquement exposées pour être utilisées avec le gestionnaires de fichiers Office 365 (version 1.0). Elles ne doivent pas être utilisées pour appeler directement les API Microsoft Graph.The Files.Read.Selected and Files.ReadWrite.Selected delegated permissions are only valid on work or school accounts and are only exposed for working with Office 365 file handlers (v1.0). They should not be used for directly calling Microsoft Graph APIs.

L’autorisation déléguée Files.ReadWrite.AppFolder est valide uniquement pour les comptes personnels et est utilisée pour accéder au dossier spécial Racine de l’application avec l’API Microsoft Graph Obtenir le dossier spécial de OneDrive.The Files.ReadWrite.AppFolder delegated permission is only valid for personal accounts and is used for accessing the App Root special folder with the OneDrive Get special folder Microsoft Graph API.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Files.Read : Lire les fichiers stockés dans OneDrive de l’utilisateur connecté (GET /me/drive/root/children)Files.Read: Read files stored in the signed-in user's OneDrive (GET /me/drive/root/children)
  • Files.Read.All : Lire les fichiers partagés avec l’utilisateur connecté (GET /me/drive/root/sharedWithMe)Files.Read.All: Read files shared with the signed-in user (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite : Écrire un fichier dans OneDrive de l’utilisateur connecté (PUT /me/drive/root/children/filename.txt/content)Files.ReadWrite: Write a file in the signed-in user's OneDrive (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All : Écrire un fichier partagé avec l’utilisateur (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)Files.ReadWrite.All: Write a file shared with the user (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder : Écrire des fichiers dans le dossier de l’application de OneDrive (PUT /me/drive/special/approot/children/file.txt/content)Files.ReadWrite.AppFolder: Write files into the app's folder in OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de données financièresFinancials permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Financials.ReadWrite.AllFinancials.ReadWrite.All Lire et écrire des données financièresRead and write financials data Permet à l’application de lire et d’écrire des données financières au nom de l’utilisateur connectéAllows the app to read and write financials data on behalf of the signed-in user NonNo

Autorisations de groupesGroup permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Group.Read.AllGroup.Read.All Lire tous les groupesRead all groups Permet à l’application de répertorier les groupes et de lire leurs propriétés et toutes les appartenances au groupe, au nom de l’utilisateur connecté. Permet également à l’application de lire le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes auxquels l’utilisateur connecté peut accéder.Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user. Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. OuiYes NonNo
Group.ReadWrite.AllGroup.ReadWrite.All Lire et écrire tous les groupesRead and write all groups Permet à l’application de créer des groupes et de lire toutes les propriétés et les appartenances du groupe, au nom de l’utilisateur connecté.Allows the app to create groups and read all group properties and memberships on behalf of the signed-in user. Permet également à l’application de lire et de modifier le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes auxquels l’utilisateur connecté peut accéder.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. En outre, elle permet aux propriétaires de groupes de gérer leurs groupes et aux membres de groupes de mettre à jour le contenu des groupes.Additionally allows group owners to manage their groups and allows group members to update group content. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Group.Read.AllGroup.Read.All Lire tous les groupesRead all groups Permet à l’application de lire les appartenances à tous les groupes sans utilisateur connecté.Allows the app to read memberships for all groups without a signed-in user. Permet également à l’application de lire le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. > REMARQUE : certaines API de groupe ne prennent pas en charge les autorisations d’accès d’application uniquement. > NOTE: that not all group API supports access using app-only permissions. Consultez la page des problèmes connus pour obtenir des exemples.See known issues for examples. OuiYes
Group.ReadWrite.AllGroup.ReadWrite.All Lire et écrire tous les groupesRead and write all groups Permet à l’application de créer des groupes, de lire et de mettre à jour les appartenances à des groupes et de supprimer des groupes.Allows the app to create groups, read and update group memberships, and delete groups. Permet également à l’application de lire et de modifier le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. Toutes ces opérations peuvent être effectuées par l’application sans utilisateur connecté.All of these operations can be performed by the app without a signed-in user. > REMARQUE : certaines API de groupe ne prennent pas en charge les autorisations d’accès d’application uniquement. > NOTE: that not all group API supports access using app-only permissions. Consultez la page des problèmes connus pour obtenir des exemples.See known issues for examples. OuiYes

RemarquesRemarks

La fonctionnalité de groupe n’est pas prise en charge dans les comptes Microsoft personnels.Group functionality is not supported on personal Microsoft accounts.

Pour les groupes Office 365, les autorisations de groupes donnent à l’application le droit d’accéder au contenu du groupe. Par exemple, les conversations, les fichiers, les notes, etc.For Office 365 groups, Group permissions grant the app access to the contents of the group; for example, conversations, files, notes, and so on.

Pour les autorisations de l’application, il existe certaines limites pour les API prises en charge. Pour plus d’informations, reportez-vous à la rubrique Problèmes connus.For application permissions, there are some limitations for the APIs that are supported. For more information, see known issues.

Dans certains cas, une application peut nécessiter des autorisations de répertoire pour lire certaines propriétés du groupe comme member et memberOf. Par exemple, si un groupe a un ou plusieurs principaux de service en tant que membres, l’application aura besoin d’autorisations effectives pour lire les principaux de service et devra recevoir pour cela des autorisations de répertoire*. Dans le cas contraire, Microsoft Graph renvoie une erreur. (Dans le cas d’autorisations déléguées, l’utilisateur connecté aura également besoin de droits suffisants au sein de l’organisation pour lire les principaux de service.) La même recommandation s’applique pour la propriété memberOf, qui peut renvoyer administrativeUnits.In some cases, an app may need Directory permissions to read some group properties like member and memberOf. For example, if a group has a one or more servicePrincipals as members, the app will need effective permissions to read service principals through being granted one of the Directory.* permissions, otherwise Microsoft Graph will return an error. (In the case of delegated permissions, the signed-in user will also need sufficient privileges in the organization to read service principals.) The same guidance applies for the memberOf property, which can return administrativeUnits.

Les autorisations de groupe sont utilisées pour contrôler l’accès aux ressources et aux APIs de Microsoft Teams.Group permissions are used to control access to Microsoft Teams resources and APIs. Les comptes Microsoft personnels ne sont pas pris en charge.Personal Microsoft accounts are not supported.

Les autorisations de groupes sont également utilisées pour contrôler l’accès aux ressources et aux API de Microsoft Planner. Seules les autorisations déléguées sont prises en charge pour les API Microsoft Planner. Les autorisations de l’application ne sont pas prises en charge. Les comptes Microsoft personnels ne sont pas pris en charge.Group permissions are also used to control access to Microsoft Planner resources and APIs. Only delegated permissions are supported for Microsoft Planner APIs; application permissions are not supported. Personal Microsoft accounts are not supported.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Group.Read.All : Lire tous les groupes Office 365 dont l’utilisateur connecté est membre (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).Group.Read.All: Read all Office 365 groups that the signed-in user is a member of (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All : Lire tout le contenu du groupe Office 365 comme les conversations (GET /groups/{id}/conversations).Group.Read.All: Read all Office 365 group content like conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All : mettre à jour les propriétés du groupe, comme une photo (PUT /groups/{id}/photo/$value).Group.ReadWrite.All: Update group properties, like photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: mettre à jour les membres du groupe (POST /groups/{id}/members/$ref).Group.ReadWrite.All: Update group members (POST /groups/{id}/members/$ref).

Remarque :: cela nécessite également que User.ReadBasic.All lise l’utilisateur à ajouter en tant que membre.Note:: This also requires User.ReadBasic.All to read the user to add as a member.

ApplicationApplication

  • Group.Read.All : Rechercher tous les groupes dont le nom commence par « Ventes » (GET /groups?$filter=startswith(displayName,'Sales')).Group.Read.All: Find all groups with name that starts with 'Sales' (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All : Le service démon crée des événements dans le calendrier d’un groupe Office 365 (POST /groups/{id}/events).Group.ReadWrite.All: Daemon service creates new events on an Office 365 group's calendar (POST /groups/{id}/events).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de fournisseur d’identitéIdentity provider permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
IdentityProvider.Read.AllIdentityProvider.Read.All Lire les informations du fournisseur d’identitéRead identity provider information Autorise l’application à lire les fournisseurs d’identité configurés dans votre client Azure AD ou Azure AD B2C de la part de l’utilisateur connecté.Allows the app to read identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. OuiYes NonNo
IdentityProvider.ReadWrite.AllIdentityProvider.ReadWrite.All Lire et écrire les informations du fournisseur d’identitéRead and write identity provider information Autorise l’application à lire ou à écrire les fournisseurs d’identité configurés dans votre client Azure AD ou Azure AD B2C de la part de l’utilisateur connecté.Allows the app to read or write identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. OuiYes NonNo

RemarquesRemarks

IdentityProvider.Read.All et IdentityProvider.ReadWrite.All sont valides pour les comptes professionnels ou scolaires uniquement.IdentityProvider.Read.All and IdentityProvider.ReadWrite.All are valid only for work or school accounts. Pour autoriser une application à lire ou à écrire des fournisseurs d’identité avec des autorisations déléguées, l’utilisateur connecté doit avoir le rôle Administrateur général.For an app to read or write identity providers with delegated permissions, the signed-in user must be assigned the Global Administrator role. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemple d’utilisationExample usage

DéléguéeDelegated

Les utilisations suivantes sont valides pour les autorisations déléguées :The following usages are valid for both delegated permissions:

  • IdentityProvider.Read.All : Lire tous les fournisseurs d’identité configurés dans le client (GET /beta/identityProviders)IdentityProvider.Read.All: Read all identity providers configured in the tenant (GET /beta/identityProviders)
  • IdentityProvider.Read.All : Lire un fournisseur d’identité existant (GET /beta/identityProviders/{id})IdentityProvider.Read.All: Read an existing identity provider (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Créer un fournisseur d’identité (POST /beta/identityProviders)IdentityProvider.ReadWrite.All Create an identity provider (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Mettre à jour un fournisseur d’identité existant (PATCH /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Update an existing identity provider (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Supprimer un fournisseur d’identité existant (DELETE /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Delete an existing identity provider (DELETE /beta/identityProviders/{id})

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations d’événement de risque d’identitéIdentity Risk Event permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Accéder en lecture aux informations des événements de risque d’identitéRead identity risk event information Permet à l’application de lire les informations des événements de risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté.Allows the app to read identity risk event information for all users in your organization on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Accéder en lecture aux informations des événements de risque d’identitéRead identity risk event information Permet à l’application de lire les informations des événements de risque d’identité pour tous les utilisateurs de votre organisation sans aucun utilisateur connecté.Allows the app to read identity risk event information for all users in your organization without a signed-in user. OuiYes

RemarquesRemarks

IdentityRiskEvent.Read.All est valide uniquement pour les comptes professionnels ou scolaires. Pour qu’une application avec des autorisations déléguées puisse lire les informations de risque d’identité, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : Administrateur global, administrateur de sécurité ou lecteur de sécurité. Pour plus d’informations sur les rôles d’administrateur, voir Attribuer des rôles d’administrateur dans Azure AD.IdentityRiskEvent.Read.All is valid only for work or school accounts. For an app with delegated permissions to read identity risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemple d’utilisationExample usage

Autorisation déléguée et autorisation d’applicationDelegated and Application

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :The following usages are valid for both delegated and application permissions:

  • Lire tous les événements de risque générés pour tous les utilisateurs du client (GET /beta/identityRiskEvents)Read all risk events generated for all users in the tenant (GET /beta/identityRiskEvents)
  • Lire les événements de risque de programmes malveillants générés par le réseau de robots Dorknet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')Read malware risk events generated by the Dorknet botnet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • Lire les 50 événements de risques les plus récents (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)Read most recent 50 risk events (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations des utilisateurs à risque d’identitéIdentity Risky User permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Lire les informations sur les utilisateurs à risque d’identitéRead identity user risk information Permet à l’application de lire les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté.Allows the app to read identity user risk information for all users in your organization on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Lire les informations sur les utilisateurs à risque d’identitéRead identity user risk information Permet à l’application de lire les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation sans utilisateur connecté.Allows the app to read identity user risk information for all users in your organization without a signed-in user. OuiYes

RemarquesRemarks

IdentityRiskyUser.Read.All est valide uniquement pour les comptes professionnels ou scolaires.IdentityRiskyUser.Read.All is valid only for work or school accounts. Pour qu’une application avec des autorisations déléguées puisse lire les informations de risque d’identité, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de la sécurité ou lecteur Sécurité.For an app with delegated permissions to read identity user risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemple d’utilisationExample usage

Autorisation déléguée et autorisation d’applicationDelegated and Application

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :The following usages are valid for both delegated and application permissions:

  • Lire l’ensemble des propriétés et des utilisateurs à risque dans le client (GET /beta/riskyUsers)Read all risky users and properties in the tenant (GET /beta/riskyUsers)
  • Lire tous les utilisateurs à risque dont le niveau de risque global est moyen (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')Read all risky users whose aggregate risk level is Medium (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Lire les informations de risque dans le cadre d’un utilisateur spécifique (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)Read the risk information for a specific user (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de gestion des appareils IntuneIntune Device Management permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Accéder en lecture aux applications Microsoft IntuneRead Microsoft Intune apps Permet à l’application de lire les propriétés, les affectations à des groupes, ainsi que le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune.Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. OuiYes NonNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Accéder en lecture et en écriture aux applications gérées par Microsoft IntuneRead and write Microsoft Intune apps Permet à l’application de lire et d’écrire les propriétés, les affectations à des groupes, le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune.Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. OuiYes NonNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Accéder en lecture à la configuration et aux stratégies de l’appareil géré par Microsoft IntuneRead Microsoft Intune device configuration and policies Permet à l’application de lire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes.Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. OuiYes NonNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Accéder en lecture et en écriture à la configuration et aux stratégies de l’appareil géré par Microsoft IntuneRead and write Microsoft Intune device configuration and policies Permet à l’application de lire et d’écrire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes.Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. OuiYes NonNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Effectuer des actions à distance à fort impact sur les appareils gérés par Microsoft IntunePerform user-impacting remote actions on Microsoft Intune devices Permet à l’application d’effectuer des actions à distance à fort impact, telles que la suppression de l’appareil ou la réinitialisation du code secret sur les appareils géré par Microsoft Intune.Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. OuiYes NonNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Accéder en lecture aux appareils gérés par Microsoft IntuneRead Microsoft Intune devices Permet à l’application de lire les propriétés des appareils gérés par Microsoft Intune.Allows the app to read the properties of devices managed by Microsoft Intune. OuiYes NonNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Accéder en lecture et en écriture aux appareils gérés par Microsoft IntuneRead and write Microsoft Intune devices Permet à l’application de lire et d’écrire les propriétés des appareils gérés par Microsoft Intune. N’autorise pas les opérations à fort impact, telles que l’effacement à distance et la réinitialisation du mot de passe, sur le propriétaire de l’appareil.Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. OuiYes NonNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Accéder en lecture aux paramètres RBAC de Microsoft IntuneRead Microsoft Intune RBAC settings Permet à l’application de lire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune.Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. OuiYes NonNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Accéder en lecture et en écriture aux paramètres RBAC de Microsoft IntuneRead and write Microsoft Intune RBAC settings Permet à l’application de lire et d’écrire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune.Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. OuiYes NonNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Accéder en lecture à la configuration de Microsoft IntuneRead Microsoft Intune configuration Permet à l’application de lire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers.Allows the app to read Intune service properties including device enrollment and third party service connection configuration. OuiYes NonNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Accéder en lecture et en écriture à la configuration de Microsoft IntuneRead and write Microsoft Intune configuration Permet à l’application de lire et d’écrire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers.Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. OuiYes NonNo

Autorisations de l’applicationApplication permissions

Aucun.None.

RemarquesRemarks

Remarque : L’utilisation des API de Microsoft Graph pour configurer les stratégies et les contrôles Intune requiert que le service Intune dispose d’une licence appropriée accordée par le client.Note: Using the Microsoft Graph APIs to configure Intune controls and policies still requires that the Intune service is correctly licensed by the customer.

Ces autorisations ne sont valides que pour les comptes professionnels ou scolaires.These permissions are only valid for work or school accounts.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • DeviceManagementServiceConfiguration.Read.All : vérifier l’état actuel de l’abonnement Intune (GET /deviceManagement/subscriptionState).DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All : Créer de nouvelles conditions générales (POST /deviceManagement/termsAndConditions).DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All : Rechercher l’état de la configuration d’un appareil (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All : Attribuer une stratégie de conformité de l’appareil à un groupe (POST deviceCompliancePolicies/{id}/assign).DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All : Rechercher toutes les applications Windows Store publiées sur Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All : Publier une nouvelle application (POST /deviceAppManagement/mobileApps).DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All : Rechercher une attribution de rôle par nom (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All : Créer un rôle personnalisé (POST /deviceManagement/roleDefinitions).DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All : Rechercher un appareil géré par nom (GET /managedDevices/?$filter=deviceName eq 'My Device').DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All : Supprimer un appareil géré (DELETE /managedDevices/{id}).DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All : Réinitialiser le mot de passe sur l’appareil géré par un utilisateur (POST /managedDevices/{id}/resetPasscode).DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de courrierMail permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Mail.ReadMail.Read Accéder en lecture aux courriers électroniques utilisateurRead user mail  Permet à l’application de lire les courriers électroniques dans des boîtes aux lettres utilisateur. Allows the app to read email in user mailboxes.  NonNo OuiYes
Mail.ReadBasicMail.ReadBasic Lire le courrier de base utilisateur (aperçu)Read user basic mail (preview) (Preview) Permet à l’application de lire la boîte aux lettres de l’utilisateur connecté sauf le corps, l’aperçu du corps, les pièces jointes et tout autre propriété étendue.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. N’inclut pas les autorisations pour rechercher des messages.Does not include permissions to search messages. NonNo OuiYes
Mail.ReadWriteMail.ReadWrite Accéder en lecture et en écriture aux courriers électroniques utilisateurRead and write access to user mail  Permet à l’application de créer, lire, mettre à jour et supprimer des messages électroniques dans des boîtes aux lettres utilisateur. N’inclut pas l’autorisation d’envoyer des messages électroniques.Allows the app to create, read, update, and delete email in user mailboxes. Does not include permission to send mail. NonNo OuiYes
Mail.Read.SharedMail.Read.Shared Accéder en lecture aux e-mails utilisateur et aux e-mails partagésRead user and shared mail Permet à l’application de lire les e-mails auxquels l’utilisateur peut accéder, notamment ses propres e-mails et les e-mails partagés.Allows the app to read mail that the user can access, including the user's own and shared mail.  NonNo NonNo
Mail.ReadWrite.SharedMail.ReadWrite.Shared Accéder en lecture et en écriture aux e-mails utilisateur et aux e-mails partagésRead and write user and shared mail  Permet à l’application de créer, lire, mettre à jour et supprimer les e-mails auxquels l’utilisateur peut accéder, notamment ses propres e-mails et les e-mails partagés. N’inclut pas l’autorisation d’envoyer des messages électroniques.Allows the app to create, read, update, and delete mail that the user has permission to access, including the user's own and shared mail. Does not include permission to send mail. NonNo NonNo
Mail.SendMail.Send Envoyer un courrier électronique en tant qu’utilisateurSend mail as a user  Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur dans l’organisation. Allows the app to send mail as users in the organization.  NonNo OuiYes
Mail.Send.SharedMail.Send.Shared Envoyer des e-mails de la part d’autres personnesSend mail on behalf of others  Permet à l’application d’envoyer des e-mails de la part de l’utilisateur connecté et d’autres personnes.Allows the app to send mail as the signed-in user, including sending on-behalf of others.  NonNo NonNo
MailboxSettings.ReadMailboxSettings.Read Lire les paramètres de boîte aux lettres d’utilisateurRead user mailbox settings  Permet à l’application de lire les paramètres de boîte aux lettres d’utilisateur. N’inclut pas l’autorisation d’envoyer des messages électroniques.Allows the app to the read user's mailbox settings. Does not include permission to send mail. NonNo OuiYes
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Accéder en lecture et en écriture aux paramètres de boîte aux lettres d’utilisateurRead and write user mailbox settings  Permet à l’application de créer, lire, mettre à jour et supprimer des paramètres de boîte aux lettres d’utilisateur.Allows the app to create, read, update, and delete user's mailbox settings. N’inclut pas l’autorisation permettant d’envoyer directement du courrier, mais permet à l’application de créer des règles qui peuvent transférer ou rediriger des messages.Does not include permission to directly send mail, but allows the app to create rules that can forward or redirect messages. NonNo OuiYes

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Mail.ReadMail.Read Lire les messages dans toutes les boîtes aux lettresRead mail in all mailboxes Permet à l’application de lire les messages dans toutes les boîtes aux lettres sans utilisateur connecté.Allows the app to read mail in all mailboxes without a signed-in user. OuiYes
Mail.ReadBasic.AllMail.ReadBasic.All Lire les e-mails de base de tous les utilisateurs (aperçu)Read all users basic mail (preview) (Aperçu) Permet à l’application de lire la boîte aux lettres de tous les utilisateurs sauf le corps, l’aperçu du corps, les pièces jointes et tout autre propriété étendue.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. N’inclut pas les autorisations pour rechercher des messages.Does not include permissions to search messages. OuiYes NonNo
Mail.ReadWriteMail.ReadWrite Lire et écrire les messages dans toutes les boîtes aux lettresRead and write mail in all mailboxes Permet à l’application de créer, lire, mettre à jour et supprimer les messages dans toutes les boîtes aux lettres sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques.Allows the app to create, read, update, and delete mail in all mailboxes without a signed-in user. Does not include permission to send mail. OuiYes
Mail.SendMail.Send Envoyer des messages électroniques en tant qu’utilisateurSend mail as any user Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur sans utilisateur connecté.Allows the app to send mail as any user without a signed-in user. OuiYes
MailboxSettings.ReadMailboxSettings.Read Lire tous les paramètres de boîte aux lettres d’utilisateurRead all user mailbox settings  Permet à l’application de lire les paramètres de boîte aux lettres d’utilisateur sans qu’un utilisateur ne soit connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques.Allows the app to read user's mailbox settings without a signed-in user. Does not include permission to send mail. NonNo
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Accéder en lecture et en écriture à tous les paramètres de boîte aux lettres d’utilisateurRead and write all user mailbox settings Permet à l’application de créer, lire, mettre à jour et supprimer les paramètres de boîte aux lettres d’utilisateur sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques.Allows the app to create, read, update, and delete user's mailbox settings without a signed-in user. Does not include permission to send mail. OuiYes

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read ou MailboxSettings.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, or MailboxSettings.ReadWrite.

RemarquesRemarks

Mail.Read.Shared, Mail.ReadWrite.Shared et Mail.Send.Shared sont valides uniquement pour les comptes professionnels ou scolaires. Toutes les autres autorisations sont valides pour les comptes Microsoft et les comptes professionnels ou scolaires.Mail.Read.Shared, Mail.ReadWrite.Shared, and Mail.Send.Shared are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Avec l’autorisation Mail.Send ou Mail.Send.Shared, une application peut envoyer des messages électroniques et enregistrer une copie dans le dossier Éléments envoyés de l’utilisateur, même si l’application n’utilise pas d’autorisation Mail.ReadWrite ou Mail.ReadWrite.Shared correspondante.With the Mail.Send or Mail.Send.Shared permission, an app can send mail and save a copy to the user's Sent Items folder, even if the app does not use a corresponding Mail.ReadWrite or Mail.ReadWrite.Shared permission.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Mail.Read : Répertorier les messages dans la boîte de réception de l’utilisateur, triés par receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).Mail.Read: List messages in the user's inbox, sorted by receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared : Rechercher tous les messages comportant des pièces jointes dans la boîte de réception d’un utilisateur qui a partagé sa boîte de réception avec l’utilisateur connecté (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).Mail.Read.Shared: Find all messages with attachments in a user's inbox that has shared their inbox with the signed-in user (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite : Marquer un message comme lu (PATCH /me/messages/{id}).Mail.ReadWrite: Mark a message read (PATCH /me/messages/{id}).
  • Mail.Send : Envoyer un message (POST /me/sendmail).Mail.Send: Send a message (POST /me/sendmail).
  • MailboxSettings.ReadWrite : Mettre à jour la réponse automatique de l’utilisateur (PATCH /me/mailboxSettings).MailboxSettings.ReadWrite: Update the user's automatic reply (PATCH /me/mailboxSettings).

ApplicationApplication

  • Mail.Read : Rechercher des messages en provenance de bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').Mail.Read: Find messages from bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite : Créer un nouveau dossier dans la boîte de réception intitulée Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).Mail.ReadWrite: Create a new folder in the Inbox named Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send : Envoyer un message (POST /users/{id | userPrincipalName}/sendmail).Mail.Send: Send a message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read : Obtenir le fuseau horaire par défaut pour la boîte aux lettres de l’utilisateur (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)MailboxSettings.Read: Get the default timezone for the user's mailbox (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de membreMember permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Member.Read.HiddenMember.Read.Hidden Lire les appartenances masquéesRead hidden memberships Permet à l’application de lire les appartenances des unités administratives et des groupes masqués de la part de l’utilisateur connecté, sur les unités administratives et les groupes masqués auxquels l’utilisateur connecté est autorisé à accéder.Allows the app to read the memberships of hidden groups and administrative units on behalf of the signed-in user, for those hidden groups and administrative units that the signed-in user has access to. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Member.Read.HiddenMember.Read.Hidden Accéder en lecture à toutes les appartenances masquées à des groupesRead all hidden memberships Permet à l’application de lire les appartenances masquées à des groupes et à des unités administratives sans utilisateur connecté.Allows the app to read the memberships of hidden groups and administrative units without a signed-in user. OuiYes

RemarquesRemarks

Member.Read.Hidden est valide uniquement sur les comptes professionnels ou scolaires.Member.Read.Hidden is valid only on work or school accounts.

L’appartenance à certains groupes Office 365 peut être masquée. Cela signifie que seuls les membres du groupe peuvent accéder à ses membres. Cette fonction peut être utilisée si des réglementations imposent de masquer les membres d’un groupe aux personnes extérieures (par exemple, un groupe Office 365 qui représente des étudiants inscrits à une classe).Membership in some Office 365 groups can be hidden. This means that only the members of the group can view its members. This feature can be used to help comply with regulations that require an organization to hide group membership from outsiders (for example, an Office 365 group that represents students enrolled in a class).

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Member.Read.Hidden : Lire les membres d’une unité administrative avec une appartenance masquée de la part de l’utilisateur connecté (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership on behalf of the signed-in user (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden : Lire les membres d’un groupe avec une appartenance masquée de la part de l’utilisateur connecté (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership on behalf of the signed-in user (GET /groups/{id}/members).

ApplicationApplication

  • Member.Read.Hidden : Lire les membres d’une unité administrative avec une appartenance masquée (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden : Lire les membres d’un groupe avec une appartenance masquée (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership (GET /groups/{id}/members).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.

Autorisations relatives aux notesNotes permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Notes.ReadNotes.Read Lire les blocs-notes OneNote pour l’utilisateurRead user OneNote notebooks Permet à l’application de lire les titres de blocs-notes et de sections OneNote et de créer des pages, des blocs-notes et des sections au nom de l’utilisateur connecté.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NonNo OuiYes
Notes.CreateNotes.Create Créer des blocs-notes OneNote pour l’utilisateurCreate user OneNote notebooks Permet à l’application de lire les titres de blocs-notes et de sections OneNote et de créer des pages, des blocs-notes et des sections au nom de l’utilisateur connecté.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NonNo OuiYes
Notes.ReadWriteNotes.ReadWrite Lire et écrire des blocs-notes OneNote pour l’utilisateurRead and write user OneNote notebooks Permet à l’application de lire, partager et modifier des blocs-notes OneNote au nom de l’utilisateur connecté.Allows the app to read, share, and modify OneNote notebooks on behalf of the signed-in user. NonNo OuiYes
Notes.Read.AllNotes.Read.All Lire tous les blocs-notes OneNote auxquels cet utilisateur peut accéderRead all OneNote notebooks that user can access Permet à l’application de lire des blocs-notes OneNote auxquels l’utilisateur connecté a accès au sein de l’organisation.Allows the app to read OneNote notebooks that the signed-in user has access to in the organization. NonNo NonNo
Notes.ReadWrite.AllNotes.ReadWrite.All Lire et écrire tous les blocs-notes OneNote auxquels cet utilisateur peut accéderRead and write all OneNote notebooks that user can access Permet à l’application de lire, partager et modifier des blocs-notes OneNote auxquels l’utilisateur connecté a accès au sein de l’organisation.Allows the app to read, share, and modify OneNote notebooks that the signed-in user has access to in the organization. NonNo NonNo
Notes.ReadWrite.CreatedByAppNotes.ReadWrite.CreatedByApp Accès limité au bloc-notes (déconseillé)Limited notebook access (deprecated) DéconseilléDeprecated
Ne pas utiliser. Aucun droit n’est accordé par cette autorisation.Do not use. No privileges are granted by this permission.
NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Notes.Read.AllNotes.Read.All Lire tous les blocs-notes OneNoteRead all OneNote notebooks Permet à l’application de lire tous les blocs-notes OneNote dans votre organisation, sans qu’aucun utilisateur ne soit connecté.Allows the app to read all the OneNote notebooks in your organization, without a signed-in user. OuiYes
Notes.ReadWrite.AllNotes.ReadWrite.All Lire et écrire tous les blocs-notes OneNoteRead and write all OneNote notebooks Permet à l’application de lire, partager et modifier tous les blocs-notes OneNote dans votre organisation, sans qu’aucun utilisateur ne soit connecté.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. OuiYes

RemarquesRemarks

Notes.Read.All et Notes.ReadWrite.All sont valides uniquement pour les comptes professionnels ou scolaires. Toutes les autres autorisations sont valides pour les comptes Microsoft et les comptes professionnels ou scolaires.Notes.Read.All and Notes.ReadWrite.All are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Avec l’autorisation Notes.Create, une application peut afficher la hiérarchie du bloc-notes OneNote de l’utilisateur connecté et créer un contenu OneNote (blocs-notes, groupes de sections, sections, pages, etc.).With the Notes.Create permission, an app can view the OneNote notebook hierarchy of the signed-in user and create OneNote content (notebooks, section groups, sections, pages, etc.).

Notes.ReadWrite et Notes.ReadWrite.All permettent également à l’application de modifier les autorisations relatives au contenu OneNote auquel l’utilisateur connecté peut accéder.Notes.ReadWrite and Notes.ReadWrite.All also allow the app to modify the permissions on the OneNote content that can be accessed by the signed-in user.

Pour les comptes professionnels ou scolaires, Notes.Read.All et Notes.ReadWrite.All permettent à l’application d’accéder au contenu OneNote d’un autre utilisateur auquel l’utilisateur connecté a accès au sein de l’organisation.For work or school accounts, Notes.Read.All and Notes.ReadWrite.All allow the app to access other users' OneNote content that the signed-in user has permission to within the organization.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Notes.Create : Créer un nouveau bloc-notes pour l’utilisateur connecté (POST /me/onenote/notebooks).Notes.Create: Create a new notebooks for the signed-in user (POST /me/onenote/notebooks).
  • Notes.Read : Lire les blocs-notes pour l’utilisateur connecté (GET /me/onenote/notebooks).Notes.Read: Read the notebooks for the signed-in user (GET /me/onenote/notebooks).
  • Notes.Read.All : Accéder à tous les blocs-notes auxquels l’utilisateur connecté a accès dans l’organisation (GET /me/onenote/notebooks?includesharednotebooks=true).Notes.Read.All: Get all notebooks that the signed-in user has access to within the organization (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite : Mettre à jour la page de l’utilisateur connecté (PATCH /me/onenote/pages/{id}/$value).Notes.ReadWrite: Update the page of the signed-in user (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All : Créer une page dans le bloc-notes d’un autre utilisateur auquel l’utilisateur connecté a accès dans l’organisation (POST /users/{id}/onenote/pages).Notes.ReadWrite.All: Create a page in another user's notebook that the signed-in user has access to within the organization (POST /users/{id}/onenote/pages).

ApplicationApplication

  • Notes.Read.All : Lire tous les blocs-notes d’utilisateurs dans un groupe (GET /groups/{id}/onenote/notebooks).Notes.Read.All: Read all users notebooks in a group (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All : Mettre à jour la page dans un bloc-notes pour un utilisateur de l’organisation (PATCH /users/{id}/onenote/pages/{id}/$value).Notes.ReadWrite.All: Update the page in a notebook for any user in the organization (PATCH /users/{id}/onenote/pages/{id}/$value).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.

Autorisations de notificationsNotifications permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Notifications.ReadWrite.CreatedByAppNotifications.ReadWrite.CreatedByApp Transmettre et gérer les notifications pour cette application.Deliver and manage notifications for this app. Permet à l’application de fournir des notifications au nom des utilisateurs connectés.Allow the app to deliver its notifications on behalf of signed-in users. Permet également à l’application de lire, de mettre à jour et de supprimer des éléments de notification de l’utilisateur pour cette application.Also allows the app to read, update, and delete the user’s notification items for this app. NonNo

RemarquesRemarks

Notifications.ReadWrite.CreatedByApp est valide pour les comptes Microsoft et les comptes professionnels ou scolaires.Notifications.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts. La contrainte CreatedByApp associée à cette autorisation indique que le service appliquera un filtrage implicite aux résultats en fonction de l’identité de l’application appelante, soit l’ID d’application du compte Microsoft, soit un ensemble d’ID d’application configuré pour une identité d’application multiplateforme.The CreatedByApp constraint associated with this permission indicates that the service will apply implicit filtering to results based on the identity of the calling app, either the Microsoft account app ID or a set of app IDs configured for a cross-platform application identity.

Exemple d’utilisationExample usage

DelegatedDelegated

  • Notifications.ReadWrite.CreatedByApp : publier une notification axée sur les utilisateurs qui peut ensuite être remise à plusieurs clients d’application de l’utilisateur en cours d’exécution sur les différents points de terminaison.Notifications.ReadWrite.CreatedByApp: Publish a user-centric notification, which might then be delivered to the user’s multiple application clients running on different endpoints. (POST /me/notifications/).(POST /me/notifications/).

Autorisations de réunions en ligneOnline meetings permissions

Autorisations déléguéesDelegated permissions

Aucun.None.


Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
OnlineMeetings.Read.AllOnlineMeetings.Read.All Lire les détails de la réunion en ligne à partir de l’application (aperçu)Read Online Meeting details from the app (preview) Permet à l’application de lire tous les détails de la réunion en ligne dans votre organisation, sans utilisateur connectéé.Allows the app to read Online Meeting details in your organization, without a signed-in user. OuiYes
OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All Lire et créer des réunions en ligne à partir de l’application (aperçu) au nom d’un utilisateurRead and Create Online Meetings from the app (preview) on behalf of a user Permet à l’application de créer des réunions en ligne dans votre organisation au nom d’un utilisateur, sans utilisateur connecté.Allows the app to create Online Meetings in your organization on behalf of a user, without a signed-in user. OuiYes

Exemple d’utilisationExample usage

ApplicationApplication

  • OnlineMeetings.Read.All: récupérer les propriétés et les relations d’une réunion en ligne (GET /beta/app/onlinemeetings/{id}).OnlineMeetings.Read.All: Retrieve the properties and relationships of an Online Meeting (GET /beta/app/onlinemeetings/{id}).
  • OnlineMeetings.ReadWrite.All: créer une réunion en ligne (POST /beta/app/onlinemeetings).OnlineMeetings.ReadWrite.All: Create an Online Meeting (POST /beta/app/onlinemeetings).

Remarque: la création d’une réunion en ligne permet de créer une réunion au nom d’un utilisateur spécifié dans le corps de la demande, mais pas de la montrer dans le calendrier de l’utilisateur.Note: Creating an Online Meeting creates a meeting on behalf of a user specified in the request body, but does not show it on the user's Calendar.

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de profils de publication locauxOn-premises Publishing Profiles permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Profils de publication locaux AccessAccess On-Premises Publishing Profiles Permet à l’application de gérer la configuration de service d’identité hybride en créant, en affichant, en mettant à jour et en supprimant des ressources publiées localement, des agents et groupes d’agents locaux, au nom de l’utilisateur connecté.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Profils de publication locaux AccessAccess On-Premises Publishing Profiles Permet à l’application de gérer la configuration de service d’identité hybride en créant, en affichant, en mettant à jour et en supprimant des ressources publiées localement, des agents et groupes d’agents locaux, au nom de l’utilisateur connecté.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. NonNo NonNo

Autorisations OpenIDOpenID permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
emailemail Afficher l’adresse de messagerie des utilisateursView users' email address Permet à l’application de lire l’adresse de messagerie principale de vos utilisateurs.Allows the app to read your users' primary email address. NonNo NonNo
offline_accessoffline_access Accéder aux données de l’utilisateur à tout momentAccess user's data anytime Permet à l’application de lire et de mettre à jour les données de l’utilisateur, même si elles n’utilisent pas l’application actuellement.Allows the app to read and update user data, even when they are not currently using the app. NonNo NonNo
openidopenid Connecter des utilisateursSign users in Permet aux utilisateurs de se connecter à l’application avec leurs comptes professionnels ou scolaires et permet à l’application d’afficher les informations de profil utilisateur de base.Allows users to sign in to the app with their work or school accounts and allows the app to see basic user profile information. NonNo NonNo
profilprofile Afficher le profil de base des utilisateursView users' basic profile Permet à l’application d’afficher le profil de base de vos utilisateurs (nom, image, nom d’utilisateur).Allows the app to see your users' basic profile (name, picture, user name). NonNo NonNo

Autorisations de l’applicationApplication permissions

Aucun.None.

RemarquesRemarks

Vous pouvez utiliser ces autorisations pour spécifier les artefacts qui doivent être renvoyés dans mes demandes de jeton et d’autorisation Azure Active Directory. Ils sont pris en charge de manières différentes par les points de terminaison des versions 1.0 et 2.0 d’Azure Active Directory.You can use these permissions to specify artifacts that you want returned in Azure AD authorization and token requests. They are supported differently by the Azure AD v1.0 and v2.0 endpoints.

Avec le point de terminaison Azure Active Directory (version 1.0), seule l’autorisation openid est utilisée. Vous la spécifiez dans le paramètre scope d’une demande d’autorisation afin qu’elle renvoie un jeton d’ID lorsque vous utilisez le protocole OpenID Connect pour connecter un utilisateur à votre application. Pour plus d’informations, voir Autoriser l’accès aux applications web à l’aide d’OpenID Connect et d’Azure Active Directory. Pour que le système renvoie un jeton d’ID, vous devez également vous assurer que l’autorisation User.Read est configurée lorsque vous enregistrez votre application.With the Azure AD (v1.0) endpoint, only the openid permission is used. You specify it in the scope parameter in an authorization request to return an ID token when you use the OpenID Connect protocol to sign in a user to your app. For more information, see Authorize access to web applications using OpenID Connect and Azure Active Directory. To successfully return an ID token, you must also make sure that the User.Read permission is configured when you register your app.

Avec le point de terminaison Azure AD v2.0, vous spécifiez l’autorisation offline_access dans le paramètre scope pour demander explicitement un jeton d’actualisation lorsque vous utilisez les protocoles OAuth 2.0 ou OpenID Connect. Avec OpenID Connect, vous spécifiez l’autorisation openid pour demander un jeton d’ID. Vous pouvez également spécifier l’autorisation email, l’autorisation profile ou les deux pour renvoyer des revendications supplémentaires dans le jeton d’ID. Vous ne devez pas spécifier User.Read pour renvoyer un jeton ID avec le point de terminaison de version 2.0. Pour plus d’informations, voir Étendues OpenID Connect.With the Azure AD v2.0 endpoint, you specify the offline_access permission in the scope parameter to explicitly request a refresh token when using the OAuth 2.0 or OpenID Connect protocols. With OpenID Connect, you specify the openid permission to request an ID token. You can also specify the email permission, profile permission, or both to return additional claims in the ID token. You do not need to specify User.Read to return an ID token with the v2.0 endpoint. For more information, see OpenID Connect scopes.

Important  Microsoft Authentication Library (MSAL) définit actuellement les autorisations offline_access, openid, profile et email par défaut dans les demandes d’autorisation et de jetons. Cela signifie que si, avec une configuration par défaut, vous spécifiez ces autorisations explicitement, Azure AD peut renvoyer une erreur.Important The Microsoft Authentication Library (MSAL) currently specifies offline_access, openid, profile, and email by default in authorization and token requests. This means that, for the default case, if you specify these permissions explicitly, Azure AD may return an error.


Autorisations d’organisationOrganization permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Organization.Read.AllOrganization.Read.All Lire les informations de l’organisationRead organization information Permet à l’application de lire les ressources de votre organisation et associées, pour le compte de l’utilisateur connecté.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user.Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Related resources include things like subscribed SKUs and tenant branding information. OuiYes NonNo
Organization.ReadWrite.AllOrganization.ReadWrite.All Lire et écrire les informations de l’organisationRead and write identity provider information Permet à l’application de lire et écrire les ressources de votre organisation et associées, pour le compte de l’utilisateur connecté.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user.Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Related resources include things like subscribed SKUs and tenant branding information. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Organization.Read.AllOrganization.Read.All Lire les informations de l’organisationRead organization information Permet à l’application de lire les ressources de votre organisation et associées, sans utilisateur connecté.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user.Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Related resources include things like subscribed SKUs and tenant branding information. OuiYes
Organization.ReadWrite.AllOrganization.ReadWrite.All Lire et écrire les informations de l’organisationRead and write identity provider information Permet à l’application de lire et écrire les ressources de votre organisation et associées, sans utilisateur connecté.Allows the app to read and write the organization and related resources, without a signed-in user.Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Related resources include things like subscribed SKUs and tenant branding information. OuiYes

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Organization.Read.All: obtenir les informations d’organisation (GET /organization).Organization.Read.All: Get organization information (GET /organization).
  • Organization.Read.All: obtenez les références SKU auxquelles l’organisation s’est abonnée (GET /subscribedSkus).Organization.Read.All: Get the SKUs that the organization has subscribed to (GET /subscribedSkus).

ApplicationApplication

  • Organization.ReadWrite.All: mettre à jour les informations d'organisation (par exemple,technicalNotificationMails) (PATCH /organization/{id}).Organization.ReadWrite.All: Update organization information (such as technicalNotificationMails) (PATCH /organization/{id}).

Autorisations de personnesPeople permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
People.ReadPeople.Read Lire les listes des contacts pertinents des utilisateursRead users' relevant people lists Permet à l’application de lire une liste notée de contacts pertinents pour l’utilisateur connecté. La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple).Allows the app to read a scored list of people relevant to the signed-in user. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). NonNo OuiYes
People.Read.AllPeople.Read.All Lire les listes des contacts pertinents de tous les utilisateursRead all users' relevant people lists Permet à l’application de lire une liste notée des contacts pertinents pour l’utilisateur connecté ou d’autres utilisateurs dans l’organisation de l’utilisateur connecté. La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple). Permet également à l’application de rechercher dans tout l’annuaire de l’organisation de l’utilisateur connecté.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Also allows the app to search the entire directory of the signed-in user's organization.  OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
People.Read.AllPeople.Read.All Lire les listes des contacts pertinents de tous les utilisateursRead all users' relevant people lists Permet à l’application de lire une liste notée des contacts pertinents pour l’utilisateur connecté ou d’autres utilisateurs dans l’organisation de l’utilisateur connecté.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization.

La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple).The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Permet également à l’application de rechercher dans tout l’annuaire de l’organisation de l’utilisateur connecté.Also allows the app to search the entire directory of the signed-in user's organization. 
OuiYes

RemarquesRemarks

L’autorisation People.Read.All n’est valide que pour les comptes professionnels et scolaires.The People.Read.All permission is only valid for work and school accounts.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • People.Read : Lire une liste de contacts pertinents (GET /me/people)People.Read: Read a list of relevant people (GET /me/people)
  • People.Read.All : Lire une liste de contacts appropriés pour un autre utilisateur de la même organisation (GET /users('{id})/people)People.Read.All: Read a list of relevant people to another user in the same organization (GET /users('{id})/people)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de placesPlaces permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Place.Read.AllPlace.Read.All Lire toutes les places de la sociétéRead all company places Permet à l’application de lire les emplacements d’entreprise (salles de conférence et listes de salles) pour les événements de calendrier et les autres applications.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. NonNo NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Place.Read.AllPlace.Read.All Lire toutes les places de la sociétéRead all company places Permet à l’application de lire les emplacements d’entreprise (salles de conférence et listes de salles) pour les événements de calendrier et les autres applications.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. OuiYes

Programmes et autorisations des contrôles de programmePrograms and program controls permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
ProgramControl.Read.AllProgramControl.Read.All Lire tous les programmesRead all programs Permet à l’application de lire des programmes au nom de l’utilisateur connecté.Allows the app to read programs on behalf of the signed-in user. OuiYes NonNo
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Gérer tous les programmesManage all programs Permet à l’application de lire et écrire des programmes au nom de l’utilisateur connecté.Allows the app to read and write programs on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
ProgramControl.Read.AllProgramControl.Read.All Lire tous les programmesRead all programs Permet à l’application de lire des programmes sans utilisateur connecté.Allows the app to read programs without a signed-in user. OuiYes
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Gérer tous les programmesManage all programs Permet à l’application de lire et écrire des programmes sans utilisateur connecté.Allows the app to read and write programs without a signed-in user. OuiYes

RemarquesRemarks

ProgramControl.Read.All et ProgramControl.ReadWrite.All sont valides pour les comptes professionnels ou scolaires uniquement.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Pour qu’une application avec des autorisations déléguées puisse lire les programmes et contrôles de programmes, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité, lecteur sécurité ou administrateur utilisateur.For an app with delegated permissions to read programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Pour qu’une application avec des autorisations déléguées puisse écrire les programmes et contrôles de programmes, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur utilisateur.For an app with delegated permissions to write programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Autorisations de rapportsReports permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Reports.Read.AllReports.Read.All Accéder en lecture à tous les rapports d’utilisationRead all usage reports Permet à l’application de lire tous les rapports d’utilisation du service sans utilisateur connecté. Les services Office 365 et Azure Active Directory fournissent des rapports d’utilisation.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Reports.Read.AllReports.Read.All Accéder en lecture à tous les rapports d’utilisationRead all usage reports Permet à l’application de lire tous les rapports d’utilisation du service sans utilisateur connecté. Les services Office 365 et Azure Active Directory fournissent des rapports d’utilisation.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. OuiYes

RemarquesRemarks

Les autorisations de rapports sont valides uniquement pour les comptes professionnels ou scolaires.Reports permissions are only valid for work or school accounts.

Exemple d’utilisationExample usage

ApplicationApplication

  • Reports.Read.All : Lire le rapport détaillé sur l’utilisation des applications de messagerie sur une période de 7 jours (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).Reports.Read.All: Read usage detail report of email apps with period of 7 days (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All : Lire le rapport détaillé sur l’activité de la messagerie daté du « 2017-01-01 » (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).Reports.Read.All: Read activity detail report of email with date of '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All : Lire le rapport détaillé des activations d’Office 365 (GET /reports/Office365Activations(view='Detail')/content).Reports.Read.All: Read Office 365 activations detail report (GET /reports/Office365Activations(view='Detail')/content).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations pour la gestion des rôlesRole management permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Lire les paramètres RBAC du répertoireRead directory RBAC settings Permet à l’application de lire les paramètres de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté.Allows the app to read the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. Cela inclut la lecture de modèles de rôles d’annuaire, de rôles d’annuaire et d’appartenances.This includes reading directory role templates, directory roles and memberships. OuiYes NonNo
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Lire et écrire les paramètres RBAC du répertoireRead and write Microsoft Intune RBAC settings Permet à l’application de lire et gérer les paramètres de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté.Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. Cela inclut l’instanciation des rôles d’annuaire et la gestion de l’appartenance aux rôles d’annuaire, et la lecture des modèles de rôles d’annuaire, des rôles d’annuaire et des appartenances.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Lire tous les paramètres RBAC du répertoireRead all directory RBAC settings Permet à l’application de lire les paramètres de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, sans utilisateur connecté.Allows the app to read the role-based access control (RBAC) settings for your company's directory, without a signed-in user. Cela inclut la lecture de modèles de rôles d’annuaire, de rôles d’annuaire et d’appartenances.This includes reading directory role templates, directory roles and memberships. OuiYes
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Lire et écrire tous les paramètres RBAC du répertoireRead and write all directory RBAC settings Permet à l’application de lire et gérer les paramètres de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, sans utilisateur connecté.Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, without a signed-in user. Cela inclut l’instanciation des rôles d’annuaire et la gestion de l’appartenance aux rôles d’annuaire, et la lecture des modèles de rôles d’annuaire, des rôles d’annuaire et des appartenances.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. OuiYes

RemarquesRemarks

Avec l'autorisation RoleManagement.Read.Directory, une application peut lire directoryRoles et directoryRoleTemplates.With the RoleManagement.Read.Directory permission an application can read directoryRoles and directoryRoleTemplates. Cela inclut la lecture des informations d’appartenance pour les rôles d’annuaire.This includes reading membership information for directory roles.

Avec l'autorisation RoleManagement.ReadWrite.Directory, une application peut lire et écrire directoryRoles (directoryRoleTemplates sont des ressources en lecture seule).With the RoleManagement.ReadWrite.Directory permission an application can read and write directoryRoles (directoryRoleTemplates are readonly resources). Cela inclut l’ajout et la suppression de membres des rôles d’annuaire.This includes adding and removing members to and from directory roles.

Les autorisations de gestion des rôles sont valides uniquement pour les comptes professionnels ou scolaires.Reports permissions are only valid for work or school accounts.

Exemple d’utilisationExample usage

  • RoleManagement.Read.Directory : lire la liste des modèles de rôle disponibles (GET /directoryRoleTemplates)RoleManagement.Read.Directory: Read the list of available role templates (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory : lire la liste des rôles activés dans votre annuaire (GET /directoryRoles)RoleManagement.Read.Directory: Read the list of activated roles in your directory (GET /directoryRoles)
  • RoleManagement.Read.Directory : lire la liste des membres pour un rôle (GET /directoryRoles/<id>/members)RoleManagement.Read.Directory: Read the list of members for a role (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory : lire la liste des membres étendus de l’unité administrative pour un rôle (GET /directoryRoles/<id>/scopedMembers)RoleManagement.Read.Directory: Read the list of administrative unit-scoped members for a role (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory : activer un rôle de répertoire à partir d’un modèle de rôle (POST /directoryRoles)RoleManagement.ReadWrite.Directory: Activate a directory role from a role template (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory : ajouter un membre à un rôle de répertoire (POST /directoryRoles/<id>/members)RoleManagement.ReadWrite.Directory: Add a member to a directory role (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory : ajouter un membre étendu de l’unité administrative à un rôle de répertoire (POST /directoryRoles/<id>/scopedMembers)RoleManagement.ReadWrite.Directory: Add an administrative unit-scoped member to a directory role (POST /directoryRoles/<id>/scopedMembers)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de sécuritéSecurity permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
SecurityEvents.Read.AllSecurityEvents.Read.All Lire les événements de sécurité de votre organisationRead your organization’s security events Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security events on behalf of the signed-in user. OuiYes NonNo
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisationRead and update your organization’s security events Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security events on behalf of the signed-in user. Permet également à l’application de mettre à jour les propriétés modifiables dans les événements de sécurité pour le compte de l’utilisateur connecté.Also allows the app to update editable properties in security events on behalf of the signed-in user. OuiYes NonNo
SecurityActions.Read.AllSecurityActions.Read.All Lire les événements de sécurité de votre organisationRead your organization's security actions Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security actions on behalf of the signed-in user. OuiYes NonNo
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisationRead and update your organization's security actions Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security actions on behalf of the signed-in user. OuiYes NonNo
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Gérer les indicateurs contre les menaces cette application crée ou propriétaireManage threat indicators this app creates or owns Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security actions on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
SecurityEvents.Read.AllSecurityEvents.Read.All Lire les événements de sécurité de votre organisationRead your organization’s security events Permet à l’application de lire les événements de sécurité de votre organisation.Allows the app to read your organization’s security events. OuiYes
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisationRead and update your organization’s security events Permet à l’application de lire les événements de sécurité de votre organisation.Allows the app to read your organization’s security events. Permet également à l’application de mettre à jour les propriétés modifiables dans les événements de sécurité.Also allows the app to update editable properties in security events. OuiYes
SecurityActions.Read.AllSecurityActions.Read.All Lire les événements de sécurité de votre organisationRead your organization’s security events Permet à l’application de lire les événements de sécurité de votre organisation.Allows the app to read your organization’s security actions. OuiYes
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Créer et lire les événements de sécurité de votre organisationCreate and read your organization's security actions Permet à l’application lire ou créer des actions de sécurité, sans l’utilisateur connecté.Allows the app to read or create security actions, without a signed-in user. OuiYes
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Gérer les indicateurs contre les menaces cette application crée ou propriétaireManage threat indicators this app creates or owns Permet de l’application créer des indicateurs de contre les menaces et entièrement gérer ces indicateurs contre les menaces (lire, mettre à jour et supprimer), sans l’utilisateur connecté.Allows the app to create threat indicators, and fully manage those threat indicators (read, update and delete), without a signed-in user. Il ne peut pas mettre à jour les indicateurs contre les menaces dont il n’est pas propriétaire.It cannot update any threat indicators it does not own. OuiYes

RemarquesRemarks

Les autorisations de sécurité sont valides uniquement sur les comptes professionnels ou scolaires.Security permissions are valid only on work or school accounts.

Exemple d’utilisationExample usage

Autorisation déléguée et autorisation d’applicationDelegated and Application

  • SecurityEvents.Read.All : lire la liste de toutes les alertes de sécurité à partir de tous les fournisseurs de sécurité sous licence disponibles à votre client (GET /beta/security/alerts)SecurityEvents.Read.All: Read the list of all security alerts from all licensed security providers available to your tenant (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All : mettre à jour ou lire les alertes de sécurité à partir de tous les fournisseurs de sécurité sous licence disponibles à votre client (PATCH /beta/security/alerts/{id})SecurityEvents.ReadWrite.All: Update or read security alerts from all licensed security providers available to your tenant (PATCH /beta/security/alerts/{id})

Autorisations de sitesSites permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Sites.Read.AllSites.Read.All Lire des éléments dans toutes les collections de sitesRead items in all site collections Permet à l’application de lire des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté.Allows the app to read documents and list items in all site collections on behalf of the signed-in user. NonNo NonNo
Sites.ReadWrite.AllSites.ReadWrite.All Accéder en lecture et en écriture aux éléments de toutes les collections de sitesRead and write items in all site collections Permet à l’application de modifier ou de supprimer des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté.Allows the app to edit or delete documents and list items in all site collections on behalf of the signed-in user. NonNo NonNo
Sites.Manage.AllSites.Manage.All Créer, modifier et supprimer des éléments et des listes dans toutes les collections de sitesCreate, edit, and delete items and lists in all site collections Permet à l’application de gérer et de créer des listes, des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté.Allows the app to manage and create lists, documents, and list items in all site collections on behalf of the signed-in user. NonNo NonNo
Sites.FullControl.AllSites.FullControl.All Contrôler pleinement toutes les collections de sitesHave full control of all site collections Permet à l’application de contrôler complètement les sites SharePoint dans toutes les collections de sites au nom de l’utilisateur connecté.Allows the app to have full control to SharePoint sites in all site collections on behalf of the signed-in user. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
Sites.Read.AllSites.Read.All Lire des éléments dans toutes les collections de sitesRead items in all site collections Permet à l’application de lire les documents et les éléments de liste dans toutes les collections de sites sans utilisateur connecté.Allows the app to read documents and list items in all site collections without a signed in user. OuiYes
Sites.ReadWrite.AllSites.ReadWrite.All Accéder en lecture et en écriture aux éléments de toutes les collections de sitesRead and write items in all site collections Permet à l’application de créer, de lire, de mettre à jour et de supprimer des documents et des éléments de liste dans toutes les collections de sites sans utilisateur connecté.Allows the app to create, read, update, and delete documents and list items in all site collections without a signed in user. OuiYes
Sites.Manage.AllSites.Manage.All Créer, modifier et supprimer des éléments et des listes dans toutes les collections de sitesCreate, edit, and delete items and lists in all site collections Permet à l’application de gérer et de créer les listes, les documents et les éléments de liste dans toutes les collections de sites sans utilisateur connecté.Allows the app to manage and create lists, documents, and list items in all site collections without a signed-in user. OuiYes
Sites.FullControl.AllSites.FullControl.All Contrôler pleinement toutes les collections de sitesHave full control of all site collections Permet à l’application de contrôler complètement les sites SharePoint dans toutes les collections de sites sans utilisateur connecté.Allows the app to have full control to SharePoint sites in all site collections without a signed-in user. OuiYes

RemarquesRemarks

Les autorisations de sites sont valides uniquement dans les comptes professionnels ou scolaires.Sites permissions are valid only on work or school accounts.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Sites.Read.All : Lire les listes sur le site racine de SharePoint (GET /v1.0/sites/root/lists)Sites.Read.All: Read the lists on the SharePoint root site (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All : Créer des éléments de liste dans une liste SharePoint (POST /v1.0/sites/root/lists/123/items)Sites.ReadWrite.All: Create new list items in a SharePoint list (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All : Ajouter une nouvelle liste à un site SharePoint (POST /v1.0/sites/root/lists)Sites.Manage.All: Add a new list to a SharePoint site (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All : Accéder à tous les sites SharePoint et à toutes les listes.Sites.FullControl.All: Complete access to SharePoint sites and lists.

Autorisations de tâchesTasks permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Tasks.ReadTasks.Read Accéder en lecture aux tâches utilisateur (aperçu)Read user tasks (preview) Permet à l’application de lire les tâches utilisateur.Allows the app to read user tasks. NonNo OuiYes
Tasks.Read.SharedTasks.Read.Shared Accéder en lecture aux tâches utilisateur et aux tâches partagées (aperçu)Read user and shared tasks (preview) Permet à l’application de lire les tâches auxquelles un utilisateur peut accéder, qu’il s’agisse des siennes ou de tâches partagées.Allows the app to read tasks a user has permissions to access, including their own and shared tasks. NonNo NonNo
Tasks.ReadWriteTasks.ReadWrite Créer, lire, mettre à jour et supprimer des conteneurs et des tâches de l’utilisateur (aperçu)Create, read, update and delete user tasks and containers (preview) Permet à l’application de créer, lire, mettre à jour et supprimer des tâches et des conteneurs (et des tâches qu’ils contiennent) qui sont affectés ou partagés avec l’utilisateur connecté.Allows the app to create, read, update and delete tasks and containers (and tasks in them) that are assigned to or shared with the signed-in user. NonNo OuiYes
Tasks.ReadWrite.SharedTasks.ReadWrite.Shared Accéder en lecture et en écriture aux tâches utilisateur et aux tâches partagées (aperçu)Read and write user and shared tasks (preview) Permet à l’application de créer, lire, mettre à jour et supprimer les tâches auxquelles un utilisateur peut accéder, qu’il s’agisse des siennes ou de tâches partagées.Allows the app to create, read, update, and delete tasks a user has permissions to, including their own and shared tasks. NonNo NonNo

Autorisations de l’applicationApplication permissions

Aucun.None.

RemarquesRemarks

Les autorisations de tâches sont utilisées pour contrôler l’accès aux tâches Outlook. L’accès aux tâches Microsoft Planner est contrôlé par des autorisations de groupe.Tasks permissions are used to control access for Outlook tasks. Access for Microsoft Planner tasks is controlled by Group permissions.

Les autorisations partagées sont actuellement prises en charge uniquement pour les comptes professionnels ou scolaires. Même avec les autorisations partagées, la lecture et l’écriture peut échouer si l’utilisateur qui possède le contenu partagé n’a pas accordé des autorisations d’accès pour modifier le contenu du dossier.Shared permissions are currently only supported for work or school accounts. Even with Shared permissions, reads and writes may fail if the user who owns the shared content has not granted the accessing user permissions to modify content within the folder.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • Tasks.Read : Obtenir toutes les tâches de la boîte aux lettres d’un utilisateur (GET /me/outlook/tasks).Tasks.Read: Get all tasks in a user's mailbox (GET /me/outlook/tasks).
  • Tasks.Read.Shared : Accéder aux tâches d’un dossier partagé avec vous par un autre utilisateur de votre organisation (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).Tasks.Read.Shared: Access tasks in a folder shared to you by another user in your organization (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite : Ajouter un événement au dossier de tâches par défaut de l’utilisateur (POST /me/outlook/tasks).Tasks.ReadWrite: Add an event to the user's default task folder (POST /me/outlook/tasks).
  • Tasks.Read : Obtenir toutes les tâches inachevées dans la boîte aux lettres d’un utilisateur (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').Tasks.Read: Get all uncompleted tasks in a user's mailbox (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite : Mettre à jour une tâche dans la boîte aux lettres d’un utilisateur (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).Tasks.ReadWrite: Update a task in a user's mailbox (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared : Exécuter une tâche au nom d’un autre utilisateur (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).Tasks.ReadWrite.Shared: Complete a task on behalf of another user (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations de conditions d’utilisationTerms of use permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Agreement.Read.AllAgreement.Read.All Lire toutes les conditions d’utilisationRead all terms of use agreements Permet à l’application de lire les conditions d’utilisation au nom de l’utilisateur connecté.Allows the app to read terms of use agreements on behalf of the signed-in user. OuiYes NonNo
Agreement.ReadWrite.AllAgreement.ReadWrite.All Lire et écrire toutes les conditions d’utilisationRead and write all terms of use agreements Permet à l’application de lire et d’écrire les conditions d’utilisation au nom de l’utilisateur connecté.Allows the app to read and write terms of use agreements on behalf of the signed-in user. OuiYes NonNo
AgreementAcceptance.ReadAgreementAcceptance.Read Lire les statuts d’acceptation des conditions d’utilisationRead user terms of use acceptance statuses Permet à l’application de lire les statuts d’acceptation des conditions d’utilisation au nom de l’utilisateur connecté.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. OuiYes NonNo
AgreementAcceptance.Read.AllAgreementAcceptance.Read.All Lire les statuts d’acceptation des conditions d’utilisation accessibles par l’utilisateurRead terms of use acceptance statuses that user can access Permet à l’application de lire les statuts d’acceptation des conditions d’utilisation au nom de l’utilisateur connecté.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. OuiYes NonNo

RemarquesRemarks

Toutes les autorisations ci-dessus sont valides uniquement pour les comptes professionnels ou scolaires.All the permissions above are valid only for work or school accounts.

Pour permettre à une application de lire ou d’écrire tous les accords ou les statuts d’acceptation des accords avec des autorisations déléguées, l’utilisateur connecté doit disposer du rôle Administrateur général, Administrateur de l’accès conditionnel ou Administrateur de la sécurité.For an app to read or write all agreements or agreement acceptances with delegated permissions, the signed-in user must be assigned the Global Administrator, Conditional Access Administrator or Security Administrator role. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemple d’utilisationExample usage

DéléguéeDelegated

Les utilisations suivantes sont valides pour les autorisations déléguées :The following usages are valid for both delegated permissions:

  • Agreement.Read.All : lire toutes les conditions d’utilisation (GET /beta/agreements)Agreement.Read.All: Read all terms of use agreements (GET /beta/agreements)
  • Agreement.ReadWrite.All : lire et écrire toutes les conditions d’utilisation (POST /beta/agreements)Agreement.ReadWrite.All: Read and write all terms of use agreements (POST /beta/agreements)
  • AgreementAcceptance.Read : lire les statuts d’acceptation des conditions d’utilisation (GET /beta/me/agreementAcceptances)AgreementAcceptance.Read Read user terms of use acceptance statuses (GET /beta/me/agreementAcceptances)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Stratégie d’infrastructure de confianceTrust Framework policy permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Lire les stratégies de votre organisationRead your organization's policies Permet à l’application de lire les stratégies de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security events on behalf of the signed-in user. OuiYes NonNo
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework Lire et écrire les stratégies d’infrastructure de confiance de votre organisationRead and write your organization's trust framework policies Permet à l’application de lire et d’écrire les stratégies d’infrastructure de confiance de votre organisation au nom de l’utilisateur connecté.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. OuiYes NonNo

RemarquesRemarks

Le compte professionnel ou scolaire doit être un administrateur général du client.The work or school account must be a global administrator of the tenant.

Exemple d’utilisationExample usage

DéléguéeDelegated

Les utilisations suivantes sont valides pour les autorisations déléguées :The following usages are valid for both delegated permissions:

  • Policy.Read.All: Lire les stratégies de votre organisation (GET /beta/trustFramework/policies)Policy.Read.All: Read all trustFramework policies (GET /beta/trustFramework/policies)
  • Policy.ReadWrite.TrustFramework: Lire et écrire les stratégies d’infrastructure de confiance de votre organisation (POST /beta/trustFramework/policies)Policy.ReadWrite.TrustFramework: Read and write your organization's trust framework policies (POST /beta/trustFramework/policies)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Autorisations utilisateurUser permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
User.ReadUser.Read Activer la connexion et lire le profil utilisateurSign-in and read user profile Permet aux utilisateurs de se connecter à l’application et permet à l’application de lire le profil des utilisateurs connectés. Elle permet également à l’application de lire les informations de base sur la société des utilisateurs connectés.Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users. NonNo OuiYes
User.ReadWriteUser.ReadWrite Accéder en lecture et en écriture au profil utilisateurRead and write access to user profile Permet à l’application de lire le profil complet de l’utilisateur connecté.Allows the app to read the signed-in user's full profile. Elle permet également à l’application de mettre à jour les informations de profil de l’utilisateur connecté à sa place.It also allows the app to update the signed-in user's profile information on their behalf. NonNo OuiYes
User.ReadBasic.AllUser.ReadBasic.All Lire les profils de base de tous les utilisateursRead all users' basic profiles Permet à l’application de lire un ensemble de base de propriétés de profil d’autres utilisateurs de votre organisation au nom de l’utilisateur connecté.Allows the app to read a basic set of profile properties of other users in your organization on behalf of the signed-in user. Cela inclut le nom d’affichage, le nom et prénom, l’adresse e-mail, les extensions ouvertes et la photo.This includes display name, first and last name, email address, open extensions and photo. Permet également à l’application de lire le profil complet de l’utilisateur connecté.Also allows the app to read the full profile of the signed-in user. NonNo NonNo
User.Read.AllUser.Read.All Lire les profils complets de tous les utilisateursRead all users' full profiles Permet à l’application de lire l’ensemble complet des propriétés de profil, les rapports et les responsables d’autres utilisateurs de votre organisation, au nom de l’utilisateur connecté.Allows the app to read the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. OuiYes NonNo
User.ReadWrite.AllUser.ReadWrite.All Lire et écrire les profils complets de tous les utilisateursRead and write all users' full profiles Permet à l’application de lire et d’écrire l’ensemble complet des propriétés de profil, les rapports et les responsables d’autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. Permet également à l’application de créer et de supprimer des utilisateurs, ainsi que de réinitialiser les mots de passe au nom de l’utilisateur connecté.Allows the app to read and write the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Also allows the app to create and delete users as well as reset user passwords on behalf of the signed-in user. OuiYes NonNo
User.Invite.AllUser.Invite.All Inviter des utilisateurs à rejoindre l’organisationInvite guest users to the organization Permet à l’application d’inviter des utilisateurs à rejoindre votre organisation au nom de l’utilisateur connecté.Allows the app to invite guest users to your organization, on behalf of the signed-in user. OuiYes NonNo
User.Export.AllUser.Export.All Exporter les données des utilisateursExport users' data Permet à l’application d’exporter les données de l’utilisateur d’une organisation, lorsque l’opération est effectuée par un administrateur de la société.Allows the app to export an organizational user's data, when performed by a Company Administrator. OuiYes NonNo

Autorisations de l’applicationApplication permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required
User.Read.AllUser.Read.All Lire les profils complets de tous les utilisateursRead all users' full profiles Permet à l’application de lire l’ensemble complet des propriétés de profil, l’appartenance à un groupe, les rapports et les responsables d’autres utilisateurs de votre organisation, sans utilisateur connecté.Allows the app to read the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. OuiYes
User.ReadWrite.AllUser.ReadWrite.All Lire et écrire les profils complets de tous les utilisateursRead and write all users' full profiles Permet à l’application de lire et d’écrire l’ensemble complet des propriétés de profil, l’appartenance à un groupe, les rapports et les responsables d’autres utilisateurs de votre organisation, sans utilisateur connecté. Permet également à l’application de créer et de supprimer des utilisateurs non administrateurs. N’autorise pas la réinitialisation des mots de passe utilisateur.Allows the app to read and write the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Also allows the app to create and delete non-administrative users. Does not allow reset of user passwords. OuiYes
User.Invite.AllUser.Invite.All Inviter des utilisateurs à rejoindre l’organisationInvite guest users to the organization Permet à l’application d’inviter des utilisateurs à rejoindre votre organisation sans qu’aucun utilisateur ne soit connecté.Allows the app to invite guest users to your organization, without a signed-in user. OuiYes
User.Export.AllUser.Export.All Exporter les données des utilisateursExport users' data Permet à l’application d’exporter les données de l’utilisateur d’une organisation, sans utilisateur connecté.Allows the app to export organizational users' data, without a signed-in user. OuiYes

RemarquesRemarks

Avec l’autorisation User.Read, une application peut également lire les informations de base de l’entreprise de l’utilisateur connecté pour un compte scolaire ou professionnel via la ressource organisation. Les propriétés suivantes sont disponibles : id, displayName et verifiedDomains.With the User.Read permission, an app can also read the basic company information of the signed-in user for a work or school account through the organization resource. The following properties are available: id, displayName, and verifiedDomains.

Pour les comptes professionnels ou scolaires, le profil complet inclut toutes les propriétés déclarées de la ressource Utilisateur. Au cours des lectures, seul un nombre limité de propriétés est renvoyé par défaut. Pour lire les propriétés qui ne se trouvent pas dans l’ensemble par défaut, utilisez $select. Les propriétés par défaut sont :For work or school accounts, the full profile includes all of the declared properties of the User resource. On reads, only a limited number of properties are returned by default. To read properties that are not in the default set, use $select. The default properties are:

  • displayNamedisplayName
  • givenNamegivenName
  • jobTitlejobTitle
  • mailmail
  • mobilePhonemobilePhone
  • officeLocationofficeLocation
  • preferredLanguagepreferredLanguage
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Les autorisations déléguées User.ReadWrite et User.Readwrite.All autorisent l’application à mettre à jour les propriétés de profil suivantes pour les comptes professionnels ou scolaires :User.ReadWrite and User.Readwrite.All delegated permissions allow the app to update the following profile properties for work or school accounts:

  • aboutMeaboutMe
  • birthdaybirthday
  • hireDatehireDate
  • interestsinterests
  • mobilePhonemobilePhone
  • mySitemySite
  • pastProjectspastProjects
  • Photophoto
  • preferredNamepreferredName
  • responsibilitiesresponsibilities
  • schoolsschools
  • skillsskills

Avec l’autorisation de l’application User.ReadWrite.All, l’application peut mettre à jour toutes les propriétés déclarées des comptes professionnels ou scolaires à l’exception de votre mot de passe.With the User.ReadWrite.All application permission, the app can update all of the declared properties of work or school accounts except for password.

Avec l’autorisation déléguée ou applicative User.ReadWrite.All, la mise à jour de la propriété businessPhones, MobilePhone ou otherMails d’un autre utilisateur est autorisée uniquement pour les utilisateurs qui ne sont pas administrateurs ou qui ont l’un des rôles suivants: lecteurs d’annuaires, inviteur d’invités, lecteur de centre de messages et lecteur de rapports.With the User.ReadWrite.All delegated or application permission, updating another user's businessPhones, mobilePhone or otherMails is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Pour plus d’informations, voir Administrateur du support technique (Mot de passe) dans Rôles disponibles dans Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles.

Pour lire ou écrire des rapports directs (directReports) ou le responsable (manager) d’un compte scolaire ou professionnel, l’application doit avoir l’autorisation User.Read.All (lecture seule) ou User.ReadWrite.All.To read or write direct reports (directReports) or the manager (manager) of a work or school account, the app must have either User.Read.All (read only) or User.ReadWrite.All.

L’autorisation User.ReadBasic.All limite l’accès de l’application à un ensemble limité de propriétés appelé profil de base. En effet, le profil complet peut contenir des informations sensibles concernant le répertoire. Le profil de base inclut uniquement les propriétés suivantes :The User.ReadBasic.All permission constrains app access to a limited set of properties known as the basic profile. This is because the full profile might contain sensitive directory information. The basic profile includes only the following properties:

  • displayNamedisplayName
  • givenNamegivenName
  • mailmail
  • Photophoto
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Pour lire les appartenances aux groupes d’un utilisateur (memberOf), l’application doit avoir l’autorisation Group.Read.All ou Group.ReadWrite.All. Toutefois, si l’utilisateur a également une appartenance à un rôle d’annuaire ou à une unité administrative, l’application devra obtenir les autorisations effectives pour lire également ces ressources. Dans le cas contraire, Microsoft Graph renvoie une erreur. Cela signifie que l’application aura également besoin des autorisations du répertoire, et, pour les autorisations déléguées, l’utilisateur connecté devra également disposer des droits suffisants dans l’organisation pour accéder aux rôles d’annuaire et aux unités administratives.To read the group memberships of a user (memberOf), the app must have either Group.Read.All or Group.ReadWrite.All. However, if the user also has membership in a directoryRole or an administrativeUnit, the app will need effective permissions to read those resources too, or Microsoft Graph will return an error. This means the app will also need Directory permissions, and, for delegated permissions, the signed-in user will also need sufficient privileges in the organization to access directory roles and administrative units.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • User.Read : Lire le profil complet de l’utilisateur connecté (GET /me).User.Read: Read the full profile for the signed-in user (GET /me).
  • User.ReadWrite : Mettre à jour la photo de l’utilisateur connecté (PUT /me/photo/$value).User.ReadWrite: Update the photo of the signed-in user (PUT /me/photo/$value).
  • User.ReadBasic.All : Rechercher tous les utilisateurs dont le nom commence par « David » (GET /users?$filter=startswith(displayName,'David')).User.ReadBasic.All: Find all users whose name starts with "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All : Lire le responsable d’un utilisateur (GET /user/{id | userPrincipalName}/manager).User.Read.All: Read a user's manager (GET /user/{id | userPrincipalName}/manager).

ApplicationApplication

  • User.Read.All : Lire tous les utilisateurs et toutes les relations au moyen de la requête delta (GET /beta/users/delta?$select=displayName,givenName,surname).User.Read.All: Read all users and relationships through delta query (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All : Mettre à jour la photo d’un utilisateur dans l’organisation (PUT /user/{id | userPrincipalName}/photo/$value).User.ReadWrite.All: Update the photo for any user in the organization (PUT /user/{id | userPrincipalName}/photo/$value).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.

Autorisations d’activité utilisateurUser Activity permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
UserActivity.ReadWrite.CreatedByAppUserActivity.ReadWrite.CreatedByApp Lire et écrire l’activité de l’application dans le flux d’activités des utilisateursRead and write app activity to users' activity feed Permet à l’application de lire et de signaler l’activité de l’utilisateur connecté dans l’application.Allows the app to read and report the signed-in user's activity in the app. NonNo OuiYes

Autorisations de l’applicationApplication permissions

Aucun.None.

RemarquesRemarks

UserActivity.ReadWrite.CreatedByApp est valide pour les comptes Microsoft et les comptes professionnels ou scolaires.UserActivity.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts.

La contrainte CreatedByApp associée à cette autorisation indique que le service appliquera un filtrage implicite aux résultats en fonction de l’identité de l’application appelante, soit l’ID d’application MSA soit un ensemble d’ID d’application configuré pour une identité d’application multiplateforme.The CreatedByApp constraint associated with this permission indicates the service will apply implicit filtering to results based on the identity of the calling app, either the MSA app id or a set of app ids configured for a cross-platform application identity.

Exemple d’utilisationExample usage

DéléguéeDelegated

  • UserActivity.ReadWrite.CreatedByApp : obtenir la liste des activités récentes de l’utilisateur unique en fonction des éléments d’historique associés publiés le dernier jour.UserActivity.ReadWrite.CreatedByApp: Get a list of recent unique user activities based on associated history items published in the last day. (GET /me/activities/recent).(GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp : publier ou mettre à jour une activité utilisateur qui peut être reprise par l’utilisateur de l’application.UserActivity.ReadWrite.CreatedByApp: Publish or update a user activity which may be resumed by the user of the application. (PUT /me/activities/%2Farticle%3F12345).(PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp : publier ou mettre à jour un élément d’historique pour une activité utilisateur spécifiée afin de représenter la période d’engagement utilisateur.UserActivity.ReadWrite.CreatedByApp: Publish or update a history item for a specified user activity in order to represent the period of user engagement. (PUT /me/activities/{id}/historyItems/{id}).(PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp : supprimer une activité utilisateur en réponse à une demande initiée par l’utilisateur ou pour supprimer des données non valides.UserActivity.ReadWrite.CreatedByApp: Delete a user activity in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}).(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp : supprimer un élément d’historique en réponse à une demande initiée par l’utilisateur ou pour supprimer des données non valides.UserActivity.ReadWrite.CreatedByApp: Delete a history item in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}/historyItems/{id}).(DELETE /me/activities/{id}/historyItems/{id}).

Autorisations de stratégie de déploiement de fonctionnalitéFeature rollout policy permissions

Autorisations déléguéesDelegated permissions

AutorisationPermission Chaîne d’affichageDisplay String DescriptionDescription Autorisation de l’administrateur requiseAdmin Consent Required Compte Microsoft pris en chargeMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Lire les stratégies de votre organisationRead your organization's policies Permet à l’application de lire les stratégies de votre organisation pour le compte de l’utilisateur connecté.Allows the app to read your organization’s security events on behalf of the signed-in user. OuiYes NonNo
Policy.ReadWrite.FeatureRolloutPolicy.ReadWrite.FeatureRollout Lire et écrire les stratégies de déploiement des fonctionnalités de votre organisationRead and write your organization's feature rollout policies Permet à l’application de lire et d’écrire les stratégies de déploiement des fonctionnalités de votre organisation au nom de l’utilisateur connecté.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. Inclut les capacités permettant d’affecter et de supprimer des utilisateurs et des groupes afin de déployer une fonctionnalité spécifique.Includes abilities to assign and remove users and groups to rollout of a specific feature. OuiYes NonNo

Autorisations de l’applicationApplication permissions

Aucun.None.

RemarquesRemarks

Le compte professionnel ou scolaire doit être un administrateur général du client.The work or school account must be a global administrator of the tenant.

Exemple d’utilisationExample usage

DéléguéeDelegated

Les utilisations suivantes sont valides pour les autorisations déléguées :The following usages are valid for both delegated permissions:

  • Policy.Read.All: Lire les stratégies de votre organisation (GET /beta/directory/featureRolloutPolicies)Policy.Read.All: Read all trustFramework policies (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.FeatureRollout : Lire et écrire les stratégies de déploiement des fonctionnalités de votre organisation (POST /beta/directory/featureRolloutPolicies)Policy.ReadWrite.FeatureRollout: Read and write your organization's feature rollout policies (POST /beta/directory/featureRolloutPolicies)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.For more complex scenarios involving multiple permissions, see Permission scenarios.


Scénarios d’autorisationPermission scenarios

Cette section présente quelques scénarios courants qui ciblent les ressources utilisateur et groupe dans une organisation. Les tableaux indiquent les autorisations dont une application a besoin pour effectuer des opérations spécifiques requises par le scénario. Notez que, dans certains cas, la possibilité pour l’application d’effectuer des opérations spécifiques dépend de s’il s’agit d’une autorisation de l’application ou d’une autorisation déléguée. Dans le cas d’autorisations déléguées, les autorisations effectives de l’application dépendent également des droits de l’utilisateur connecté au sein de l’organisation. Pour plus d’informations, reportez-vous à la rubrique Autorisations déléguées, autorisations de l’application et autorisations effectives.This section shows some common scenarios that target user and group resources in an organization. The tables show the permissions that an app needs to be able to perform specific operations required by the scenario. Note that in some cases the ability of the app to perform specific operations will depend on whether a permission is an application or delegated permission. In the case of delegated permissions, the app's effective permissions will also depend on the privileges of the signed-in user within the organization. For more information, see Delegated permissions, Application permissions, and effective permissions.

Scénarios d’accès relatifs aux ressources de l’utilisateurAccess scenarios on the User resource

Tâches de l’application impliquant l’utilisateurApp tasks involving User Autorisations requisesRequired permissions Chaînes d’autorisationPermission strings
L’application souhaite lire les informations de base d’autres utilisateurs (nom d’affichage et image uniquement), par exemple pour les afficher dans une expérience de choix de personnesApp wants to read other users' basic information (only display name and picture), for example to show in a people picking experience User.ReadBasic.AllUser.ReadBasic.All Lire les profils de base de tous les utilisateursRead all user's basic profiles
L’application souhaite lire le profil utilisateur complet pour l’utilisateur connecté (voir rapports directs, responsable, etc.)App wants to read complete user profile for signed in user (see direct reports, and manager, etc.) User.ReadUser.Read Activer la connexion et lire le profil utilisateurEnable sign-in and read user profile
L’application souhaite lire le profil utilisateur complet de tous les utilisateursApp wants to read complete user profile all users User.Read.AllUser.Read.All Lire les profils complets de tous les utilisateursRead all user's full profiles
L’application souhaite lire les fichiers, ainsi que les informations de messagerie et de calendrier de l’utilisateur connectéApp wants to read files, mail and calendar information for the signed in user User.Read, Files.Read, Mail.Read, Calendars.ReadUser.Read, Files.Read, Mail.Read, Calendars.Read Activer la connexion et lire le profil utilisateur, Accéder en lecture aux fichiers utilisateur, Accéder en lecture aux courriers électroniques utilisateur, Accéder en lecture aux calendriers utilisateurEnable sign-in and read user profile, Read users' files, Read user mail, Read user calendars
L’application souhaite lire les fichiers (my) de l’utilisateur connecté et les fichiers que d’autres utilisateurs ont partagés avec l’utilisateur connecté (me).App wants to read the signed-in user's (my) files and files that other users have shared with the signed-in user (me). User.Read, Files.Read, Sites.Read.AllUser.Read, Files.Read, Sites.Read.All Activer la connexion et lire le profil utilisateur, Accéder en lecture aux fichiers utilisateur, Lire des éléments dans toutes les collections de sitesEnable sign-in and read user profile, Read users' files, Read items in all site collections
L’application souhaite lire et écrire le profil complet de l’utilisateur connectéApp wants to read and write complete user profile for signed in user User.ReadWriteUser.ReadWrite Accéder en lecture et en écriture au profil utilisateurRead and write access to user profile
L’application souhaite lire et écrire le profil complet de tous les utilisateursApp wants to read and write complete user profile all users User.ReadWrite.AllUser.ReadWrite.All Lire et écrire les profils complets de tous les utilisateursRead and write all user's full profiles
L’application souhaite lire et écrire les fichiers, ainsi que les informations de messagerie et de calendrier de l’utilisateur connectéApp wants to read and write files, mail and calendar information for the signed in user User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWriteUser.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Accéder en lecture et en écriture au profil utilisateur, Accéder en lecture et en écriture au profil utilisateur, Accéder en lecture et en écriture aux courriers électroniques utilisateur, Avoir un accès total à des calendriers utilisateurRead and write access to user profile, Read and write access to user profile, Read and write access to user mail, Have full access to user calendars
L’application souhaite envoyer une demande d’opération de stratégie de données pour exporter les données personnelles d’un utilisateurApp wants to submit a data policy operation request to export a user's personal data User.Export.AllUser.Export.All Exporter les données personnelles d’un utilisateur.Export a user'a personal data.

Scénarios d’accès relatifs aux ressource du groupeAccess scenarios on the Group resource

Tâches de l’application impliquant le groupeApp tasks involving Group Autorisations requisesRequired permissions Chaînes d’autorisationPermission strings
L’application souhaite lire les informations du groupe de base (nom d’affichage et image uniquement), par exemple pour les afficher dans une expérience de choix de groupesApp wants to read basic group info (only display name and picture), for example to show in a group picking experience Group.Read.AllGroup.Read.All Lire tous les groupesRead all groups
L’application souhaite lire tout le contenu de tous les groupes Office 365, y compris les fichiers et les conversations. Elle doit également afficher les appartenances de groupe et pouvoir mettre à jour les membres du groupe (si propriétaire).App wants to read all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.Read.AllGroup.Read.All Lire des éléments dans toutes les collections de sites, Lire tous les groupesRead items in all site collections, Read all groups
L’application souhaite lire et écrire tout le contenu dans tous les groupes Office 365, y compris les fichiers et les conversations. Elle doit également afficher les appartenances de groupe et pouvoir mettre à jour les membres du groupe (si propriétaire).App wants to read and write all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.ReadWrite.All, Sites.ReadWrite.AllGroup.ReadWrite.All, Sites.ReadWrite.All Lire et écrire tous les groupes, Modifier ou supprimer des éléments dans toutes les collections de sitesRead and write all groups, Edit or delete items in all site collections
L’application souhaite découvrir (trouver) un groupe Office 365. Cela permet à l’utilisateur de rechercher un groupe particulier et d’en choisir un dans la liste répertoriée pour autoriser l’utilisateur à rejoindre le groupe.App wants to discover (find) an Office 365 group. It allows the user to search for a particular group and choose one from the enumerated list to allow the user to join the group. Group.ReadWrite.AllGroup.ReadWrite.All Lire et écrire tous les groupesRead and write all groups
L’application souhaite créer un groupe via AAD GraphApp wants to create a group through AAD Graph Group.ReadWrite.AllGroup.ReadWrite.All Lire et écrire tous les groupesRead and write all groups