Référence des autorisations de Microsoft Graph

Pour que votre application puisse accéder aux données dans Microsoft Graph, l’utilisateur ou l’administrateur doivent lui accorder les autorisations appropriées via un processus de consentement. Cette rubrique répertorie les autorisations associées à chaque ensemble majeur d’API Microsoft Graph. Elle fournit également des instructions sur l’utilisation des autorisations.

Notes

Il est préférable de demander les autorisations les moins privilégiés dont votre application a besoin pour accéder aux données et fonctionner correctement. La demande d’autorisations autres que les privilèges nécessaires est une pratique de sécurité médiocre, qui peut empêcher les utilisateurs de donner leur consentement et d’affecter l’utilisation de votre application.

Pour en savoir plus sur le fonctionnement des autorisations, consultez Principes de base de l’authentification et de l’autorisation et regardez la vidéo suivante.

Noms d’autorisation de Microsoft Graph

Les noms d’autorisation de Microsoft Graph suivent un modèle simple : ressource.opération.contrainte. Par exemple, User.Read donne l’autorisation de lire le profil de l’utilisateur connecté, User.ReadWrite donne l’autorisation de lire et de modifier le profil de l’utilisateur connecté et Mail.Send donne l’autorisation d’envoyer des messages au nom de l’utilisateur connecté.

L’élément contrainte du nom détermine l’étendue potentielle des droits d’accès de votre application dans le répertoire. Microsoft Graph prend actuellement en charge les contraintes suivantes :

  • All donne l’autorisation à l’application d’effectuer des opérations sur toutes les ressources du type spécifié dans un répertoire. Par exemple, User.Read.All donne potentiellement à l’application le droit de lire les profils de tous les utilisateurs dans un répertoire.
  • Shared donne l’autorisation à l’application d’effectuer des opérations sur des ressources que d’autres utilisateurs ont partagé avec l’utilisateur connecté. Cette contrainte est utilisée principalement avec des ressources Outlook comme des messages, des calendriers et des contacts. Par exemple, Mail.Read.Shared accorde le droit de lire le courrier dans la boîte aux lettres de l’utilisateur connecté, ainsi que le courrier dans les boîtes aux lettres que d’autres utilisateurs de l’organisation ont partagé avec l’utilisateur connecté.
  • AppFolder donne l’autorisation à l’application de lire et d’écrire des fichiers dans un dossier dédié de OneDrive. Cette contrainte est présente uniquement dans les autorisations de fichiers et n’est valable que pour les comptes Microsoft.
  • Si aucune contrainte n’est spécifiée, l’application est limitée pour effectuer des opérations sur les ressources appartenant à l’utilisateur connecté. Par exemple, User.Read accorde des droits pour lire le profil de l’utilisateur connecté uniquement, et Mail.Read donne l’autorisation de lire uniquement le courrier de la boîte aux lettres de l’utilisateur connecté.

Remarque : Dans les configurations avec délégation, les autorisations effectives octroyées à votre application peuvent être limitées par les droits de l’utilisateur connecté dans l’organisation.

Comptes Microsoft et comptes professionnels ou scolaires

Toutes les autorisations ne sont pas valides pour les comptes Microsoft et les comptes professionnels ou scolaires. Consultez la colonne Compte Microsoft pris en charge pour chaque groupe d’autorisations afin de déterminer si une autorisation spécifique est valide pour les comptes Microsoft, les comptes professionnels ou scolaires ou les deux.

État de disponibilité des autorisations

Les autorisations Microsoft Graph dans le Portail Azure sont généralement disponibles et dans l’état Disponibilité générale pour toutes les applications à utiliser, à l’exception de quelques jeux en version d'évaluation ou de version d'évaluation privée. Les autorisations en version d'évaluation sont accessibles au public. Elles peuvent changer et ne pas être promues au statut de Disponibilité générale. Les autorisations ayant le statut de version d'évaluation privée ne sont pas disponibles pour le public. Ne pas utiliser les autorisations ayant le statut de version d'évaluation ou de version d'évaluation privée dans des applications de production.

Limites de recherche de groupes et d’utilisateurs pour les utilisateurs invités dans les organisations

Les fonctions de recherche de groupes et d’utilisateurs permettent à l’application de rechercher un utilisateur ou un groupe dans le répertoire d’une organisation en lançant des requêtes dans les ressources /users ou /groups (par exemple, https://graph.microsoft.com/v1.0/users). Les administrateurs et les utilisateurs disposent de cette fonctionnalité. Toutefois, les utilisateurs invités n’en disposent pas.

Si l’utilisateur connecté est un utilisateur invité, selon les autorisations dont une application bénéficie, il peut lire le profil d’un utilisateur ou d’un groupe spécifique (par exemple, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). Toutefois, il ne peut pas exécuter des requêtes dans les ressources /users ou /groups qui renvoient potentiellement plusieurs ressources.

Avec les autorisations appropriées, l’application peut lire les profils des utilisateurs ou des groupes qu’elle obtient en suivant les liens dans les propriétés de navigation. Par exemple, /users/{id}/directReports ou /groups/{id}/members.

Informations limitées retournées pour les objets membres inaccessibles

Les objets conteneur tels que les groupes prennent en charge les membres de différents types, par exemple, les utilisateurs et les appareils. Lorsqu’une application interroge l’appartenance à un objet conteneur et ne dispose pas des autorisations nécessaires pour lire un certain type, les membres de ce type sont renvoyés, mais avec une information limitée. L’application reçoit une réponse 200 et une collection d’objets. Des informations complètes sont renvoyées pour les types d’objets que l’application a l’autorisation de lire. Pour les types d’objets que l’application n’a pas l’autorisation de lire, seul le type d’objet et l’ID sont renvoyés.

Celle-ci est appliquée à toutes les relations de type directoryObject (pas seulement les liens vers les membres). Voici des exemples :/groups/{id}/members, /users/{id}/memberOf ou me/ownedObjects.

Par exemple, supposons qu’une application a les autorisations User.Read.All et Group.Read.All pour Microsoft Graph. Un groupe a été créé et ce groupe contient un utilisateur, un groupe et un appareil. L’application appelle les membres du groupe de liste. L’application a accès aux objets utilisateur et groupe dans le groupe, mais pas à l’objet appareil. Dans la réponse, toutes les propriétés sélectionnées des objets utilisateur et groupe sont renvoyées. Pour l’objet d’appareil, toutefois, seules des informations limitées sont renvoyées. Le type de données et l’ID d’objet sont renvoyés pour l’appareil, mais toutes les autres propriétés ont une valeur de null. Les applications sans autorisation ne peuvent pas utiliser l’ID pour obtenir l’objet réel.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Voici la réponse JSON :

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Récupération des ID d’autorisation

Si vous devez définir des autorisations à l’aide du Azure CLI, de PowerShell ou de l’infrastructure en tant que frameworks de code, vous pouvez avoir besoin de l’identificateur pour l’autorisation que vous souhaitez utiliser au lieu du nom. Vous pouvez utiliser l’Azure CLI pour récupérer l’identificateur en exécutant az ad sp list. Toutefois, cela génère une liste très longue et il peut être difficile de trouver l’autorisation spécifique souhaitée. Si vous connaissez déjà le nom de l’autorisation dont vous avez besoin, vous pouvez exécuter la commande suivante à l’aide de la Azure CLI :

az ad sp list --query "[?appDisplayName=='Microsoft Graph'].{permissions:oauth2Permissions}[0].permissions[?value=='<NAME OF PERMISSION>'].{id: id, value: value, adminConsentDisplayName: adminConsentDisplayName, adminConsentDescription: adminConsentDescription}[0]" --all

La réponse doit être similaire à l’exemple suivant, qui contient la description, l’identificateur, le nom complet et le nom d’autorisation :

{
  "adminConsentDescription": "Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user.  Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. ",
  "adminConsentDisplayName": "Read all groups",
  "id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
  "value": "Group.Read.All"
}

Autorisations révisions d’accès

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
AccessReview.Read.All Lire toutes les révisions d’accès Permet à l’application de lire des révisions d’accès au nom de l’utilisateur connecté. Oui Non
AccessReview.ReadWrite.All Gérer toutes les révisions d’accès Permet à l’application de lire et écrire des révisions d’accès au nom de l’utilisateur connecté. Oui Non
AccessReview.ReadWrite.Membership Gérer les révisions d’accès pour les adhésions aux groupes et aux applications Permet à l’application de lire et écrire des révisions d’accès au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AccessReview.Read.All Lire toutes les révisions d’accès Permet à l’application de lire des révisions d’accès sans utilisateur connecté. Oui
AccessReview.ReadWrite.Membership Gérer les révisions d’accès pour les adhésions aux groupes et aux applications Permet à l’application de gérer les révisions d’accès aux groupes et aux applications sans utilisateur connecté. Oui

Remarques

AccessReview.Read.All, AccessReview.ReadWrite.All, AccessReview.ReadWrite.Membership sont valides pour les comptes professionnels ou scolaires uniquement.

Pour qu’une application avec des autorisations déléguées puisse lire les informations de groupe ou application, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité ou administrateur utilisateur. Pour qu’une application avec des autorisations déléguées puisse écrire les informations de groupe ou application, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur utilisateur.

Pour qu’une application avec des autorisations déléguées puisse lire les informations de rôle Azure AD, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité, lecteur sécurité ou administrateur rôle privilégié. Pour qu’une application avec des autorisations déléguées puisse écrire les informations de rôle Azure AD, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur rôle privilégié.

Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.


Autorisations pour les unités administratives

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
AdministrativeUnit.Read.All Lire les unités administratives Permet à l’application de lire les unités administratives et l’appartenance à une unité administrative au nom de l’utilisateur connecté. Oui Non
AdministrativeUnit.ReadWrite.All Lire et écrire les unités administratives Permet à l’application de créer, lire, mettre à jour et supprimer des unités administratives et de gérer l’appartenance à une unité administrative au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AdministrativeUnit.Read.All Lire toutes les unités administratives Permet à l’application de lire les unités administratives et l’appartenance à une unité administrative sans utilisateur connecté. Oui
AdministrativeUnit.ReadWrite.All Lire et écrire toutes les unités administratives Permet à l’application de créer, lire, mettre à jour et supprimer des unités administratives et de gérer l’appartenance à une unité administrative sans utilisateur connecté. Oui

Remarques

Avec l'autorisation AdministrativeUnit.Read.All, une application peut lire les informations d’unité administrative, y compris les membres.

Avec l'autorisation AdministrativeUnit.ReadWrite.All, une application peut créer, lire, mettre à jour et supprimer les informations d’unité administrative, y compris les membres.

AdministrativeUnit.Read.All and AdministrativeUnit.ReadWrite.All ne sont valides que pour les comptes professionnels ou scolaires.

Exemple d’utilisation

  • AdministrativeUnit.Read.All : lire les unités administratives (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All : lire la liste des membres d’une unité administrative (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All : créer une unité administrative (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All : mettre à jour une unité administrative (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All : ajouter des membres à une unité administrative (POST /beta/administrativeUnits/<id>/members)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de la ressource Analytics

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Analytics.Read Lire les statistiques d’activité de l’utilisateur. Permet à l’application de lire les statistiques d’activité de l’utilisateur connecté, comme le temps consacré par l’utilisateur aux e-mails, aux réunions ou aux sessions de discussion. Non

Autorisations de l’application

Aucun.

Exemple d’utilisation

Delegated

Application

Aucun.


Autorisations de la ressource AppCatalog

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Un compte Microsoft est nécessaire
AppCatalog.Read.All Accéder en lecture à tous les catalogues d’applications Permet à l’application de lire les applications dans les catalogues d’applications. Non Non
AppCatalog.ReadWrite.All Lire et écrire sur tous les catalogues d’application Permet à l’application de créer, de lire, de mettre à jour et de supprimer des applications dans les catalogues d’application. Oui Non
AppCatalog.Submit Soumettre une application pour révision par l’administrateur Permet à l’utilisateur de soumettre une application pour révision par l’administrateur pour la publication dans le catalogue d’applications d’une organisation et permet aux utilisateurs d’annuler les soumissions précédentes qui n’ont pas été publiées.
𝐍𝐎𝐓𝐄: Les utilisateurs non administrateurs envoient des applications pour révision en incluant le paramètre de requête requiresReview=true.
Oui Non

Autorisations de l’application

Aucun.

Remarques

Actuellement, le seul catalogue est la liste des applications dans Microsoft Teams.

Exemple d’utilisation

Delegated

Application

Aucun.


Autorisations de ressource d’application

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Application.Read.All Lire les applications Permet à l'application de lire les applications et les principes de service pour le compte de l'utilisateur connecté. Oui
Application.ReadWrite.All Lire et écrire toutes les applications Permet à l'application de créer, lire, mettre à jour, et supprimer les applications et les principales de service pour le compte de l’utilisateur connecté. Oui
AppRoleAssignment.ReadWrite.All Gérer les attributions d’autorisation d’application et les attributions de rôle d’application Permet à l’application de gérer les autorisations accordées aux applications pour toutes les API (y compris Microsoft Graph) et les affectations d’application pour une application, au nom de l’utilisateur connecté. Oui
DelegatedPermissionGrant.ReadWrite.All Gérer les attributions d’autorisations déléguées Autorise l’application à gérer les attributions d’autorisations déléguées des API (y compris Microsoft Graph), au nom de l’utilisateur connecté. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Application.Read.All Lire les applications Permet à l'application de lire les applications et les principales de service sans utilisateur connecté. Oui
Application.ReadWrite.All Lire et écrire toutes les applications Permet à l’application appelante de créer et de gérer (lire, mettre à jour, mettre à jour les secrets de l’application et supprimer) des applications et des principaux de service sans qu’aucun utilisateur ne soit connecté. Ne permet pas la gestion des octrois de consentement ou des affectations d’application à des utilisateurs ou à des groupes. Oui
Application.ReadWrite.OwnedBy Gérer les applications que cette application crée ou celles dont elle est propriétaire Permet à l’application appelante de créer d’autres applications et principaux de service, et de les gérer entièrement (lire, mettre à jour, mettre à jour les secrets de l’application et supprimer), sans qu’aucun utilisateur ne soit connecté. Elle ne peut pas mettre à jour les applications dont elle n’est pas propriétaire. Ne permet pas la gestion des octrois de consentement ou des affectations d’application à des utilisateurs ou à des groupes. Oui
AppRoleAssignment.ReadWrite.All Gérer les attributions d’autorisation d’application et les attributions de rôle d’application Permet à l’application de gérer les autorisations accordées aux applications pour toutes les API (y compris Microsoft Graph) et les affectations d’application pour une application, sans utilisateur connecté. Oui
DelegatedPermissionGrant.ReadWrite.All Gérer toutes les attributions d’autorisations déléguées Autorise l’application à accorder ou à révoquer les autorisations déléguées des API (y compris Microsoft Graph), sans utilisateur connecté. Oui

Remarques

L’autorisation Application.ReadWrite.OwnedBy permet les mêmes opérations que l’autorisation Application.ReadWrite.All, sauf que cette dernière permet d’effectuer ces opérations uniquement sur les applications et les principaux de service dont l’application appelante est propriétaire. La propriété est indiquée par la propriété de navigation owners sur la ressource d’application ou de principal de service cible.

REMARQUE : l’utilisation de l’autorisation Application.ReadWrite.OwnedBy pour appeler GET /applications afin de répertorier les applications échouera avec l’erreur 403. Utilisez plutôt GET servicePrincipals/{id}/ownedObjects pour répertorier les applications appartenant à l’application appelante.

Exemple d’utilisation

Déléguée

  • Application.Read.All : répertorier toutes les applications (GET /beta/applications)
  • Application.ReadWrite.All : mettre à jour un principal de service (PATCH /beta/servicePrincipals/{id})

Application

  • Application.Read.All : répertorier toutes les applications (GET /beta/applications)
  • Application.ReadWrite.All : supprimer un principal de service (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy : créer une application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy : répertorier toutes les applications appartenant à l’application appelante (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy : ajouter un autre propriétaire à une application ayant déjà un propriétaire (POST /applications/{id}/owners/$ref).

    REMARQUE : cela peut nécessiter des autorisations supplémentaires.


Autorisations du journal d'audit

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
AuditLog.Read.All Lire les données du journal d'audit Permet à l'application de lire et d'interroger les activités de votre journal d'audit, au nom de l'utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AuditLog.Read.All Lire toutes les données du journal d'audit Permet à l'application de lire et d'interroger les activités de votre journal d'audit, sans qu'un utilisateur soit connecté. Oui

Clé d’autorisations de récupération BitLocker

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
BitlockerKey.ReadBasic.All Lire les informations de base sur les clés BitLocker Permet à une application de lire les propriétés de la clé BitLocker pour tous les appareils dans le client. La clé de récupération n’est pas renvoyée. Oui Non
BitlockerKey.Read.All Lire la clé BitLocker Permet à une application de lire les clés BitLocker pour tous les appareils dans le client. La clé de récupération n’est renvoyée. Oui Non

Autorisations de l’application

Aucun.

Exemple d’utilisation

Déléguée

  • BitlockerKey. ReadBasic. All: Répertorier les clés de récupération BitLocker pour tous les appareils du client sans renvoyer la propriété’key' (GET /bitlocker/recoveryKeys).
  • BitlockerKey. lire. tous les: Obtenir une clé de récupération BitLocker à l’aide de la clé de récupération (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Autorisations Bookings

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Bookings.Read.All Permet à une application de lire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Destiné aux applications en lecture seule. L’utilisateur cible classique est le client d’une entreprise de réservation. Non Non
BookingsAppointment.ReadWrite.All Permet à une application de lire et d’écrire des rendez-vous et des clients Bookings, ainsi que de lire des entreprises, des services et du personnel pour le compte de l’utilisateur connecté. Conçue pour planifier des applications qui doivent gérer des rendez-vous et des clients. Ne peut pas modifier les informations fondamentales sur la réservation professionnelle, ni ses services et membres du personnel. L’utilisateur cible classique est le client d’une réservation professionnelle. Non Non
Bookings.ReadWrite.All Permet à une application de lire et écrire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Ne permet pas de créer, supprimer ni publier d’entreprises Bookings. Conçue pour les applications de gestion qui gèrent des entreprises existantes, leurs services et les membres de leur personnel. Ne peut pas créer, supprimer ni modifier l’état de publication d’une réservation professionnelle. L’utilisateur cible classique est le support technique d’une organisation. Non Non
Bookings.Manage.All Permet à une application de lire, écrire et gérer des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Permet à l’application de disposer d’un accès total.
Conçue pour une expérience de gestion complète. L’utilisateur cible classique est l’administrateur d’une organisation.
Non Non

Autorisations de l’application

Aucun.

Exemple d’utilisation

Déléguée

  • Bookings.Read.All : obtenir l’ID et les noms de la collection d’entreprises Bookings qui a été créée pour un client (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All : créer un rendez-vous pour un service dans une entreprise Bookings (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All : créer un service pour l’entreprise Bookings spécifiée (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All : mettre la page de planification de cette entreprise à disposition des clients externes (POST /bookingBusinesses/{id}/publish).

Autorisations de calendriers

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Calendars.Read Accéder en lecture aux calendriers utilisateur Permet à l’application de lire les événements dans les calendriers utilisateur. Non Oui
Calendars.Read.Shared Accéder en lecture aux calendriers utilisateur et aux calendriers partagés Permet à l’application de lire des événements dans tous les calendriers auxquels l’utilisateur peut accéder, y compris les calendriers délégués et partagés. Non Non
Calendars.ReadWrite Avoir un accès total à des calendriers utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des événements dans des calendriers utilisateur. Non Oui
Calendars.ReadWrite.Shared Accéder en lecture et en écriture aux calendriers utilisateur et aux calendriers partagés Permet à l’application de créer, lire, mettre à jour et supprimer des événements dans tous les calendriers auxquels l’utilisateur peut accéder. Cela comprend les calendriers délégués et partagés. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Calendars.Read Lire les calendriers dans toutes les boîtes aux lettres Permet à l’application de lire les événements de tous les calendriers sans utilisateur connecté. Oui
Calendars.ReadWrite Lire et écrire les calendriers dans toutes les boîtes aux lettres Permet à l’application de créer, lire, mettre à jour et supprimer des événements de tous les calendriers sans utilisateur connecté. Oui

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Calendars.Read ou Calendars.ReadWrite.

Exemple d’utilisation

Déléguée

  • Calendars.Read : Accédez aux événements du calendrier de l’utilisateur compris entre le 23 avril 2017 et le 29 avril 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Recherchez des heures de réunion où tous les participants sont disponibles (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite : Ajoutez un événement au calendrier de l’utilisateur (POST /me/events).

Application

  • Calendars.Read : Recherchez des événements dans le calendrier d’une salle de conférence organisés par bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read : Répertoriez tous les événements du calendrier d’un utilisateur pour le mois de mai (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite : Ajoutez un événement au calendrier d’un utilisateur pour les congés autorisés (POST /users/{id | userPrincipalName}/events).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations des appels

Autorisations déléguées

Aucun.


Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Calls.Initiate.All Lancer les appels sortants 1:1 depuis l’application (aperçu) Permet à l’application de passer des appels sortants à un seul utilisateur et de transférer des appels à des utilisateurs dans l’annuaire de votre organisation, sans utilisateur connecté. Oui
Calls.InitiateGroupCall.All Lancer les appels de groupe sortants 1:1 depuis l’application (aperçu) Permet à l’application de passer des appels sortants à plusieurs utilisateurs et d’ajouter des participants à des réunions dans votre organisation, sans utilisateur connecté. Oui
Calls.JoinGroupCall.All Participer à des réunions et à des appels de groupe en tant qu’application (aperçu) Permet à l’application de rejoindre les appels de groupe et les réunions planifiées dans votre organisation, sans utilisateur connecté. L’application se joindra aux réunions avec les privilèges d’un utilisateur d’annuaire dans votre client. Oui
Calls.JoinGroupCallasGuest.All Participer à des réunions et à des appels de groupe en tant qu’invité (aperçu) Permet à l’application de rejoindre anonymement les appels de groupe et les réunions planifiées dans votre organisation, sans utilisateur connecté. L’application se joindra aux réunions en tant qu’invité dans votre client. Oui
Calls.AccessMedia.All* Accéder aux flux multimédias dans un appel en tant qu’application (aperçu) Permet à l’application d’obtenir un accès direct aux flux multimédias dans un appel, sans utilisateur connecté. Oui

*Important : vous ne pouvez PAS utiliser les API de communication du cloud pour enregistrer voire conserver du contenu multimédia provenant d’appels ou de réunions auxquels votre application a accès ou des données dérivant de ce contenu multimédia. S’assurer que vous respectez les lois et réglementations de votre région en matière de protection des données et de confidentialité des communications. Pour plus d’informations, consultez les Conditions d’utilisation et contactez votre conseiller juridique.


Exemple d’utilisation

Application

  • Calls.Initiate.All : passer un appel pair à pair depuis l’application à un utilisateur de l’organisation (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All : créer un appel de groupe depuis l’application à un groupe d’utilisateurs dans l’organisation (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All: rejoindre un appel de groupe ou une réunion en ligne depuis l’application (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All : rejoindre un appel de groupe ou une réunion en ligne à partir de l’application, mais l’application ne dispose que des privilèges d’invité dans la réunion (POST /beta/communications/calls).
  • Calls.AccessMedia.All : créer ou rejoindre un appel et l’application obtient un accès direct aux flux multimédias des participants de l’appel (POST /beta/communications/calls).

Remarque : pour consulter des exemples de demande, consultez la section Créer un appel.

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations des enregistrements d’appels

Autorisations déléguées

Aucun.


Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
CallRecords.Read.All Lire tous les enregistrements d’appels Permet à l’application de lire les enregistrements d’appels pour l’ensemble des appels et réunions en ligne sans utilisateur connecté. Oui
CallRecord-PstnCalls.Read.All Lire les données de journal des appels de routage direct et RTC Permet à l’application de lire toutes les données de journal des appels de routage direct et RTC sans utilisateur connecté. Oui

Remarques

L’autorisation CallRecords.Read.All octroie un accès privilégié aux applications à callRecords pour chaque appel et réunion en ligne au sein de votre organisation, y compris les appels vers et à partir de numéros de téléphone externes. Cela inclut des détails potentiellement sensibles sur les personnes qui ont participé à l’appel, ainsi que des informations techniques relatives à ces appels et réunions qui peuvent être utilisés pour la résolution des problèmes de réseau, tels que des adresses IP, des détails sur les appareils et d’autres informations relatives au réseau.

L’autorisation CallRecord-PstnCalls.Read.All accorde à une application l’accès au réseau téléphonique (PSTN) et aux journaux d’appels de routage direct. Il s’agit notamment d’informations potentiellement sensibles sur les utilisateurs, ainsi que d’appels vers et à partir de numéros de téléphone externes.

Important : il convient de faire preuve de discrétion lors de l’octroi de ces autorisations aux applications. Les enregistrements d’appels peuvent fournir des informations sur le fonctionnement de votre entreprise et, par conséquent, constituer une cible pour des acteurs malveillants. Accordez ces autorisations uniquement aux applications de confiance pour répondre à vos besoins en matière de protection des données.

Important : assurez-vous que vous respectez les lois et réglementations de votre région en matière de protection des données et de confidentialité des communications. Pour plus d’informations, consultez les Conditions d’utilisation et contactez votre conseiller juridique.


Exemple d’utilisation

Application

  • CallRecords.Read.All : enregistrer un enregistrement d’appel (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All : s’abonner à de nouveaux enregistrements d’appels (POST /v1.0/subscriptions).
  • CallRecords.Read.All : récupérer les enregistrements d’appels de routage direct dans la plage de temps spécifiée (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: récupérer les enregistrements d’appels PSTN dans la plage de temps spécifiée ( GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)) )

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations d’une chaîne

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Channel.ReadBasic.All Accéder en lecture aux noms et les descriptions des canaux. Accéder en lecture aux noms des canaux et les descriptions des canaux au nom de l’utilisateur connecté. Non Non
Channel.Create Créer des chaînes. Créer les canaux d’une équipe au nom de l’utilisateur connecté. Oui Non
Channel.Delete.All Supprimer des canaux. Supprimer les canaux d’une équipe au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Channel.ReadBasic.All Accéder en lecture aux noms et les descriptions de tous les canaux. Accéder en lecture à tous les noms des canaux et descriptions des canaux sans utilisateur connecté. Oui Non
Channel.Create Créer des chaînes. Créer des canaux d’une équipe sans utilisateur connecté. Oui Non
Channel.Delete.All Supprimer des canaux. Supprimer des canaux d’une équipe sans utilisateur connecté. Oui Non
Teamwork.Migrate.All Gérer la migration vers Microsoft Teams Création et gestion de ressources pour la migration vers Microsoft Teams Oui Oui

Autorisations de membre du canal

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMember.Read.All Lisez les membres des canaux. Lisez les membres des canaux au nom de l’utilisateur connecté. Oui Non
ChannelMember.ReadWrite.All Ajoutez et supprimez des membres des canaux. Ajoutez et supprimez des membres de canaux au nom de l’utilisateur connecté. Permet également de modifier le rôle d’un membre, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMember.Read.All Lisez les membres de tous les canaux. Lisez les membres de tous les canaux, sans utilisateur connecté. Oui Non
ChannelMember.ReadWrite.All Ajoutez et supprimez des membres de tous les canaux. Ajoutez et supprimez des membres de tous les canaux, sans utilisateur connecté. Permet également de modifier le rôle d’un membre, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations pour le message de canal

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMessage.Delete (préversion privée) Supprimer les messages de canal des utilisateurs Permet à une application de supprimer des messages du canal dans Microsoft Teams, au nom de l’utilisateur connecté. Oui Non
ChannelMessage.Edit (préversion privée) Modifier les messages de canal des utilisateurs Permet à une application de modifier des messages du canal dans Microsoft Teams, au nom de l’utilisateur connecté. Oui Non
ChannelMessage.Read.All Accéder en lecture aux messages du canal des utilisateurs Permet à une application de lire les messages d’un canal dans Microsoft Teams, au nom de l’utilisateur connecté. Oui Non
ChannelMessage.Send Envoyer des messages du canal Permet à une application d’envoyer des messages du canal dans Microsoft Teams, au nom de l’utilisateur connecté. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMessage.Read.All Lire tous les messages du canal Permet à l’application de lire tous les messages du canal dans Microsoft Teams, sans utilisateur connecté. Oui Non
ChannelMessage.UpdatePolicyViolation.All Marquer des messages du canal en stratégie de violation Permet à l’application de mettre à jour les messages du canal Microsoft Teams en appliquant un correctif sur un groupe de propriétés de violation de stratégie DLP (Protection contre la perte de données) pour gérer la sortie du traitement DLP. Oui Non

Remarque : Voir aussi Group.Read.All.

Autorisations de paramètres de canal

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelSettings.Read.All Accéder en lecture aux noms, descriptions et paramètres des canaux. Accéder en lecture aux noms des canaux, descriptions des canaux et paramètres des canaux au nom de l’utilisateur connecté. Oui Non
ChannelSettings.ReadWrite.All Accéder en lecture et en écriture aux noms, descriptions et paramètres des canaux. Accéder en lecture et en écriture aux noms, descriptions et paramètres de tous les canaux, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelSettings.Read.All Accéder en lecture aux noms, descriptions et paramètres de tous les canaux. Accéder en lecture à tous les noms des canaux, descriptions des canaux et paramètres des canaux sans utilisateur connecté. Oui Non
ChannelSettings.ReadWrite.All Accéder en lecture et en écriture aux noms, descriptions et paramètres de tous les canaux. Accéder en lecture et en écriture aux noms, descriptions et paramètres de tous les canaux, sans utilisateur connecté. Oui Non

Autorisations de conversation

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Chat.Read Lire vos messages de conversation Permet à votre application de lire votre 1:1 ou les messages de conversation de groupe dans Microsoft Teams, en votre nom. Non Non
Chat.ReadBasic Accéder en lecture aux noms et les membres des threads de conversation des utilisateurs Permet à une application de lire les membres et les descriptions des threads de conversation en tête à tête et de groupe, au nom de l’utilisateur connecté. Non Non
Chat.ReadWrite Lire vos messages de conversation et en envoyer de nouveaux Permet à votre application de lire et d’envoyer votre 1:1 ou les messages de conversation de groupe dans Microsoft Teams, en votre nom. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Chat.Read.All Lire tous les messages de conversations. Permet à l’application de lire tous les 1:1 ou les messages de conversation de groupe dans Microsoft Teams, sans utilisateur connecté. Oui Non
Chat.ReadBasic.All Accéder en lecture aux noms et les membres des threads de conversation des utilisateurs Accéder en lecture aux noms et les membres de tous les threads de conversation. Oui Non
Chat.UpdatePolicyViolation.All Marquer des messages de conversation en stratégie de violation Autorise l’application à mettre à jour Microsoft Teams 1:1 ou les messages de conversation de groupe en corrigeant un ensemble de propriétés de violation de la stratégie de protection contre la perte de données (DLP) pour gérer la sortie du traitement de DLP. Oui Non

Remarque : pour les messages dans un canal, voir autorisations de ChannelMessage.

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChatSettings.Read.Chat Lire les paramètres de cette équipe. Permet à l’application de lire les paramètres de cette conversation sans qu’un utilisateur ne soit connecté. Non Non
ChatSettings.ReadWrite.Chat Lire et écrire les paramètres de cette conversation. Permet à l’application de lire et d’écrire tous les paramètres de déploiement de Windows Update pour l’organisation sans un utilisateur connecté. Non Non
ChatMessage.Read.Chat Lire les messages de cette conversation. Permet à une application de lire les messages de cette conversation, sans utilisateur connecté. Non Non
ChatMember.Read.Chat Lisez les membres de ce groupe. Permet à l’application de lire les membres de cette conversation sans que l’utilisateur soit connecté. Non Non
Chat.Manage.Chat Gérer cette conversation. Permet à l’application de gérer la conversation, les membres de la conversation et d’autoriser l’accès aux données de la conversation sans que l’utilisateur soit connecté. Non Non
TeamsTab.Read.Chat Lire les onglets de cette conversation. Permet à l’application de lire les onglets de cette conversation sans que l’utilisateur soit connecté. Non Non
TeamsTab.Create.Chat Créer des onglets au sein cette conversation. Permet à l'application de créer des onglets dans cette conversation, sans utilisateur connecté. Non Non
TeamsTab.Delete.Chat Supprimer les onglets de cette conversation. Permet à l’application de supprimer les onglets de cette conversation sans que l’utilisateur soit connecté. Non Non
TeamsTab.ReadWrite.Chat Gérer les onglets de cette conversation. Permet à l’application de gérer les onglets de cette conversation sans que l’utilisateur soit connecté. Non Non
TeamsAppInstallation.Read.Chat Voir quelles applications sont installées dans cette équipe. Permet à l’application de lire les applications Teams installées dans cette conversation, ainsi que les autorisations consenties à chaque application sans que l’utilisateur soit connecté. Non Non
OnlineMeeting.ReadBasic.Chat Lire les propriétés de base d’une réunion associée à cette conversation. Permet à l’application de lire les propriétés de base, telles que le nom, la planification, l’organisateur et un lien de participation, d’une réunion associée à cette conversation sans que l’utilisateur soit connecté. Non Non
Calls.AccessMedia.Chat Accéder aux flux multimédias dans les appels associés à cette conversation ou réunion Permet à l’application d’accéder aux flux multimédias dans les appels associés à cette conversation ou réunion, sans utilisateur. Non Non
Calls.JoinGroupCalls.Chat Participer aux appels associés à cette conversation ou réunion Permet à l'application de participer aux appels associés à ce chat ou à cette réunion, sans qu'un utilisateur soit connecté. Non Non
TeamsActivity.Send.Chat Envoyer des notifications de flux d’activités aux utilisateurs de ce clavardage. Permet à l'application de créer de nouvelles notifications dans les flux d'activités de travail en équipe des utilisateurs de ce clavardage, sans qu'un utilisateur soit connecté. Non Non

Notes

Actuellement, ces autorisations sont prises en charge uniquement dans la version bêta de Microsoft Graph.

Autorisations ChatMessage (préversion privée)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChatMessage.Send (préversion privée) Envoyer des messages de la conversation aux utilisateurs Permet à une application d’envoyer des messages en tête à tête et de groupe dans Microsoft Teams, au nom de l’utilisateur connecté. Non Non

Autorisations des PC cloud

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
CloudPC.Read.All Lire les PC cloud Permet à l’application de lire les objets des PC cloud tels que les stratégies d’approvisionnement, au nom de l’utilisateur connecté. Non Non
CloudPC.ReadWrite.All Lire et écrire des objets de PC cloud Permet à l’application de créer, lire, mettre à jour et supprimer des objets de PC cloud, tels que des connexions locales, des stratégies d’approvisionnement et des images d’appareils, au nom de l’utilisateur. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
CloudPC.Read.All Lire les PC cloud Permet à l'application de lire les objets du PC en nuage, tels que les stratégies de provisionnement, sans qu'un utilisateur soit connecté. Non Non
CloudPC.ReadWrite.All Lire et écrire des objets de PC cloud Permet à l'application de créer, lire, mettre à jour et supprimer des objets PC en cloud , tels que des connexions sur site, des stratégies de provisionnement et des images de périphériques, sans qu'un utilisateur soit connecté. Oui Non

Exemple d’utilisation

Déléguée

  • CloudPC.Read.All : affichez les propriétés de tous les PC cloud (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All : modifiez la stratégie d’approvisionnement de PC Cloud (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Application

  • CloudPC.Read.All : affichez les propriétés de tous les PC cloud (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All : modifiez la stratégie d’approvisionnement de PC Cloud (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ConsentRequest.Read.All Demandes de consentement de lecture Permet à l’application de lire les demandes et approbations de consentement au nom de l’utilisateur connecté. Oui Non
ConsentRequest.ReadWrite.All Demandes de consentement en lecture et écriture Permet à l’application de lire les demandes et approbations de consentement d’application, et de refuser ou d’approuver ces demandes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ConsentRequest.Read.All Demandes de consentement de lecture Permet à l’application d’accéder en lecture aux demandes et approbations de consentement de l’application sans utilisateur connecté. Oui
ConsentRequest.ReadWrite.All Demandes de consentement en lecture et écriture Permet à l’application d’accéder en lecture aux demandes et approbations de consentement d’application, et de refuser ou d’approuver ces demandes sans utilisateur connecté. Oui

Autorisations de contacts

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Contacts.Read Accéder en lecture aux contacts utilisateur Permet à l’application de lire les contacts de l’utilisateur. Non Oui
Contacts.Read.Shared Accéder en lecture aux contacts utilisateur et aux contacts partagés Permet à l’application de lire les contacts auxquels l’utilisateur peut accéder, notamment les contacts utilisateur et les contacts partagés. Non Non
Contacts.ReadWrite Avoir un accès total à des contacts utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des contacts de l’utilisateur. Non Oui
Contacts.ReadWrite.Shared Accéder en lecture et en écriture aux contacts utilisateur et aux contacts partagés Permet à l’application de créer, lire, mettre à jour et supprimer des contacts auxquels l’utilisateur peut accéder, notamment les contacts utilisateur et les contacts partagés. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Contacts.Read Lire les contacts dans toutes les boîtes aux lettres Permet à l’application de lire tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté. Oui
Contacts.ReadWrite Lire et écrire les contacts dans toutes les boîtes aux lettres Permet à l’application de créer, lire, mettre à jour et supprimer tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté. Oui

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Contacts.Read ou Contacts.ReadWrite.

Exemple d’utilisation

Déléguée

  • Contacts.Read : Lisez un contact à partir de l’un des dossiers de contacts de niveau supérieur de l’utilisateur connecté (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite : Mettez à jour la photo de l’un des contacts de l’utilisateur connecté (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite : Ajoutez des contacts au dossier racine de l’utilisateur connecté (POST /me/contacts).

Application

  • Contacts.Read : Lisez les contacts à partir de l’un des dossiers de contacts de niveau supérieur de tous les utilisateurs de l’organisation (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite : Mettez à jour la photo de n’importe quel contact de tous les utilisateurs d’une organisation (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite : Ajoutez des contacts au dossier racine de tous les utilisateurs de l’organisation (POST /users/{id | userPrincipalName}/contacts).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations de l’appareil

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Device.Read Lire les appareils de l’utilisateur Permet de lire la liste d’appareils d’un utilisateur au nom de l’utilisateur connecté. Non Oui
Device.Read.All Accéder en lecture à tous les appareils Permet à l’application de lire les informations de configuration des appareils de votre organisation pour le compte de l’utilisateur connecté. Oui Oui
Device.Command Communiquer avec les appareils de l’utilisateur Permet à l’application d’en lancer une autre ou de communiquer avec une autre sur l’appareil d’un utilisateur au nom de l’utilisateur connecté. Non Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Device.Read.All Accéder en lecture à tous les appareils Permet à l’application de lire les informations de configuration des appareils de votre organisation sans utilisateur connecté. Oui
Device.ReadWrite.All Accéder en lecture et en écriture à des appareils Permet à l’application de lire et d’écrire toutes les propriétés d’un appareil sans utilisateur connecté. N’autorise pas la création ou la suppression d’un appareil, ni la mise à jour de ses identificateurs de sécurité. Oui

Notes

Avant le 3 décembre 2020, lorsque l’autorisation d’application Device.Read.All était accordée, le rôle d’annuaire des Gestionnaires d’appareils était également attribué au principal du service de l’application. Cette affectation de rôle d’annuaire n’est pas supprimée automatiquement lorsque les autorisations d’application associées sont révoquées. Pour vous assurer que l’accès d’une application en lecture ou en écriture sur les appareils soit supprimé, les clients doivent également supprimer tous les rôles d’annuaire associés qui ont été accordés à l’application.

Le déploiement de la mise à jour de service désactivant ce comportement a commencé le 3 décembre 2020. Le déploiement à tous les clients a pris fin le 11 janvier 2021. Les rôles d’annuaire ne sont plus attribués automatiquement lorsque les autorisations d’application sont accordées.

Exemple d’utilisation

Application

  • Device.ReadWrite.All : Lisez tous les appareils enregistrés de l’organisation (GET /devices).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations du répertoire

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Directory.Read.All Lire les données de l’annuaire Permet à l’application de lire les données dans l’annuaire de votre organisation, comme les utilisateurs, les groupes et les applications. Remarque : les utilisateurs peuvent donner leur consentement aux applications nécessitant cette autorisation si l’application est inscrite dans le client de leur propre organisation. Oui Non
Directory.ReadWrite.All Lire et écrire les données de l’annuaire Permet à l’application de lire et écrire des données dans l’annuaire de votre organisation, telles que les utilisateurs et les groupes. Elle n’autorise pas l’application à supprimer des utilisateurs ou des groupes ou à réinitialiser les mots de passe de l’utilisateur. Oui Non
Directory.AccessAsUser.All Accéder à l’annuaire en tant qu’utilisateur connecté Permet à l’application de disposer du même accès aux informations dans l’annuaire que l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Directory.Read.All Lire les données de l’annuaire Permet à l’application de lire les données dans l’annuaire de votre organisation, comme les utilisateurs, les groupes et les applications, sans utilisateur connecté. Oui
Directory.ReadWrite.All Lire et écrire les données de l’annuaire Permet à l’application de lire et d’écrire des données dans l’annuaire de votre organisation, telles que les utilisateurs et les groupes, sans utilisateur connecté. N’autorise pas la suppression d’un utilisateur ou d’un groupe. Oui

Remarques

Les autorisations du répertoire fournissent le niveau de droits le plus élevé pour accéder aux ressources du répertoire comme Utilisateur, Groupe et Appareil dans une organisation.

Elles contrôlent également exclusivement l’accès aux autres ressources du répertoire comme les contacts de l’organisation, les API d’extension de schéma, les API de PIM, ainsi que de nombreuses ressources et API répertoriées sous le nœud Azure Active Directory dans la documentation de référence de l’API version 1.0 et bêta. Il s’agit notamment des unités administratives, des rôles d’annuaire, des paramètres de répertoire, de la stratégie, etc.

Notes

Avant le 3 décembre 2020, lorsque l’autorisation d’application Directory.Read.All était accordée, le rôle d’annuaire des Lecteurs de répertoire était également attribué au principal du service de l’application. Lorsque Directory.ReadWrite.All était octroyé, le rôle d’annuaire des Lecteurs de répertoire était également accordé. Ces rôles d’annuaire ne sont pas supprimés automatiquement lorsque les autorisations d’application associées sont révoquées. Pour supprimer l’accès d’une application en lecture ou en écriture à l’annuaire, les clients doivent également supprimer les rôles d’annuaire qui ont été accordés à l’application.

Le déploiement de la mise à jour de service désactivant ce comportement a commencé le 3 décembre 2020. Le déploiement à tous les clients a pris fin le 11 janvier 2021. Les rôles d’annuaire ne sont plus attribués automatiquement lorsque les autorisations d’application sont accordées.

L’autorisation Directory.ReadWrite.All accorde les droits suivants :

  • Lecture complète de toutes les ressources du répertoire (propriétés de navigation et propriétés déclarées)
  • Création et mise à jour des utilisateurs
  • Désactivation et activation des utilisateurs (mais pas de l’administrateur de l’entreprise)
  • Définition d’autres ID de sécurité pour l’utilisateur (mais pas pour les administrateurs)
  • Création et mise à jour de groupes
  • Gestion de l’appartenance aux groupes
  • Mise à jour du propriétaire du groupe
  • Gestion des affectations de licence
  • Définition des extensions de schéma sur les applications
  • Gérer les paramètres du répertoire
  • Gérer la configuration du flux de travail de consentement de l’administrateur (mais pas la question de savoir si l’autorisation de l’administrateur est obligatoire ou qui est autorisé à accorder le consentement de l’administrateur)

Remarque :

  • ne dispose pas du droit de réinitialiser les mots de passe utilisateur.
  • La mise à jour de la propriété businessPhones, MobilePhone ou otherMails d’un autre utilisateur est autorisée uniquement pour les utilisateurs qui ne sont pas administrateurs ou qui ont l’un des rôles suivants: lecteurs d’annuaires, inviteur d’invités, lecteur de centre de messages et lecteur de rapports. Pour plus d’informations, voir Administrateur du support technique (Mot de passe) dans Rôles disponibles dans Azure AD. C’est le cas des applications disposant des autorisations déléguées ou applicatives User.ReadWrite.All ou Directory.ReadWrite.All.
  • Ne dispose pas du droit de supprimer des ressources (y compris les utilisateurs ou groupes)
  • Exclut de manière spécifique la création ou la mise à jour des ressources non répertoriées ci-dessus. Cela comprend : l’application, oAauth2Permissiongrant, appRoleAssignment, l’appareil, servicePrincipal, l’organisation, les domaines, etc.

Exemple d’utilisation

Déléguée

  • Directory.Read.All : Répertoriez toutes les unités administratives d’une organisation (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All : Ajoutez des membres à un rôle d’annuaire (POST /directoryRoles/{id}/members/$ref)

Application

  • Directory.Read.All : Répertoriez toutes les appartenances d’un utilisateur, y compris les rôles d’annuaire et les unités administratives (GET /beta/users/{id}/memberOf)
  • Directory.Read.All : Répertoriez tous les membres du groupe, y compris les principaux de service (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All : Ajoutez un propriétaire à un groupe (POST /groups/{id}/owners/$ref)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de domaine

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Domain.ReadWrite.All Lire et en écrire des domaines Permet à l’application de lire et écrire des domaines sans utilisateur connecté. Oui

Attribution d’autorisations eDiscovery

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
eDiscovery.Read.All Lecture de données de cas eDiscovery de l’utilisateur Permet à l'application de lire des objets eDiscovery tels que des cas, des consignataires, des jeux à réviser et d'autres objets connexes au nom de l'utilisateur connecté. Oui Non
eDiscovery.ReadWrite.All Lecture et écriture de données de cas eDiscovery Permet à l'application d’accéder en lecture et en écriture aux objets eDiscovery tels que des cas, des consignataires, des jeux à réviser et d'autres objets connexes au nom de l'utilisateur connecté. Oui Non

Autorisations de l’application

Aucun

Exemple d’utilisation

Déléguée

  • eDiscovery.Read.All : obtenir la liste des cas à la disposition de l’utilisateur (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All : créer une requête de reviewset dans un jeu à réviser (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’enseignement

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
EduAdministration.Read Lire les paramètres d’application d’enseignement Autorise l’application à lire les paramètres d’application d’enseignement au nom de l’utilisateur. Oui Non
EduAdministration.ReadWrite Gérer les paramètres d’application d’enseignement Autorise l’application à gérer les paramètres d’application d’enseignement au nom de l’utilisateur. Oui Non
EduAssignments.ReadBasic Lire les devoirs non notés des utilisateurs Autorise l’application à lire les devoirs non notés de l’utilisateur Oui Non
EduAssignments.ReadWriteBasic Lire et écrire les devoirs non notés des utilisateurs Autorise l’application à lire et à écrire les devoirs non notés pour le compte de l’utilisateur Oui Non
EduAssignments.Read Lire la vue des devoirs et de leurs notes Autorise l’application à lire les devoirs et les notes de l’utilisateur Oui Non
EduAssignments.ReadWrite Lire et écrire la vue des devoirs et de leurs notes Autorise l’application à lire et à écrire les devoirs et les notes de l’utilisateur Oui Non
EduRoster.ReadBasic Lire un sous-ensemble limité de l’affichage de la liste de présence Autorise l’application à lire un sous-ensemble limité de propriétés de la structure des écoles et des classes dans la liste de présence d'une organisation et un sous-ensemble limité de propriétés sur les utilisateurs à lire au nom de l'utilisateur. Comprend le nom, le statut, le rôle éducatif, l'adresse e-mail et la photo. Oui Non
EduRoster.Read Lire l’affichage des utilisateurs de la liste de présence Autorise l’application à lire la structure des écoles et des classes dans la liste de présence d'une organisation et les informations spécifiques à l'éducation des utilisateurs à lire au nom de l'utilisateur. Oui
EduRoster.ReadWrite Lire et écrire l’affichage des utilisateurs de la liste de présence Autorise l’application à lire et à écrire la structure des écoles et des classes dans la liste de présence d'une organisation et les informations spécifiques à l'éducation des utilisateurs à lire au nom de l'utilisateur. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
EduAdministration.Read.All Lire les paramètres d’application d’éducation Lire l’état et les paramètres de toutes les applications d’éducation Microsoft pour le compte de l’utilisateur Oui
EduAdministration.ReadWrite.All Gérer les paramètres d’application d’éducation Gérer l’état et les paramètres de toutes les applications d’éducation Microsoft pour le compte de l’utilisateur oui
EduAssignments.ReadBasic.All Lire les devoirs non notés Autorise l’application à lire les devoirs non notés de tous les utilisateurs Oui
EduAssignments.ReadWriteBasic.All Lire et écrire les devoirs non notés Autorise l’application à lire et à écrire les devoirs non notés de tous les utilisateurs Oui
EduAssignments.Read.All Lire les devoirs notés Autorise l’application à lire les devoirs et les notes de tous les utilisateurs Oui
EduAssignments.ReadWrite.All Lire et écrire les devoirs notés Autorise l’application à lire et à écrire les devoirs et les notes de tous les utilisateurs Oui
EduRoster.ReadBasic.All Lire un sous-ensemble limité de la liste de l’organisation. Autorise l’application à lire un sous-ensemble limité des données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques sur tous les utilisateurs. Oui
EduRoster.Read.All Lire la liste de l’organisation. Autorise l’application à lire les données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire sur tous les utilisateurs. Oui
EduRoster.ReadWrite.All Lire et écrire la liste de l’organisation. Autorise l’application à lire et à écrire les données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire et à écrire sur tous les utilisateurs. Oui

Exemple d’utilisation

Déléguée

  • EduAssignments.Read : obtenir les informations sur le devoir de l’étudiant connecté (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic : soumettre le devoir de l’étudiant connecté (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic : cours auxquels l’utilisateur connecté assiste ou qu’il enseigne (GET /education/classes/{id}/members)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations pour la gestion des droits

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
EntitlementManagement.ReadWrite.All Accéder en lecture et en écriture aux ressources de gestion des droit Autorise l'application à demander l'accès pour lire et gérer les packages d'accès et les ressources de gestion des droits associées pour le compte de l'utilisateur connecté. Oui
EntitlementManagement.Read.All Accéder en lecture aux ressources de gestion des habilitations Autorise l'application à demander l'accès pour lire les packages d'accès et les ressources de gestion des droits associées pour le compte de l'utilisateur connecté. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
EntitlementManagement.ReadWrite.All Accéder en lecture et en écriture aux ressources de gestion des droit Permet à l'application de lire et gérer les packages d'accès et les ressources de gestion des droits associées. Oui
EntitlementManagement.Read.All Accéder en lecture aux ressources de gestion des habilitations Permet à l'application de lire les packages d'accès et les ressources de gestion des droits associées. Oui

Autorisations de fichiers

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Files.Read Lire les fichiers utilisateur Permet à l’application de lire les fichiers de l’utilisateur connecté. Non Oui
Files.Read.All Accéder en lecture à tous les fichiers auxquels cet utilisateur peut accéder Permet à l’application de lire tous les fichiers auxquels l’utilisateur connecté peut accéder. Non Oui
Files.ReadWrite Disposer d’un accès total aux fichiers utilisateur Permet à l’application de lire, créer, mettre à jour et supprimer tous les fichiers de l’utilisateur connecté. Non Oui
Files.ReadWrite.All Disposer d’un accès total à tous les fichiers accessibles par l’utilisateur Permet à l’application de lire, créer, mettre à jour et supprimer tous les fichiers auxquels l’utilisateur connecté peut accéder. Non Oui
Files.ReadWrite.AppFolder Disposer d’un accès total au dossier de l’application (aperçu) (Aperçu) Permet à l’application de lire, créer, mettre à jour et supprimer des fichiers dans le dossier de l’application. Non Oui
Files.Read.Selected Lire des fichiers sélectionnés par l’utilisateur Prise en charge limitée dans Microsoft Graph, consultez les remarques ci-dessous
(Aperçu) Permet à l’application de lire des fichiers sélectionnés par l’utilisateur. L’application dispose d’un accès pendant plusieurs heures une fois que l’utilisateur sélectionne un fichier.
Non Non
Files.ReadWrite.Selected Lire et écrire des fichiers sélectionnés par l’utilisateur Prise en charge limitée dans Microsoft Graph, consultez les remarques ci-dessous
(Aperçu) Permet à l’application de lire et d’écrire des fichiers sélectionnés par l’utilisateur. L’application dispose d’un accès pendant plusieurs heures une fois que l’utilisateur sélectionne un fichier.
Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Files.Read.All Lire les fichiers dans toutes les collections de sites Permet à l’application de lire tous les fichiers dans toutes les collections de sites sans utilisateur connecté. Oui
Files.ReadWrite.All Lire et écrire des fichiers dans toutes les collections de sites Permet à l’application de lire, de créer, de mettre à jour et de supprimer tous les fichiers des collections de sites sans utilisateur connecté. Oui

Remarques

Remarque : pour les comptes personnels, Files.Read et Files.ReadWrite octroient également l’accès aux fichiers partagés avec l’utilisateur connecté.

Les autorisations déléguées Files.Read.Selected et Files.ReadWrite.Selected ne sont valides que sur les comptes professionnels ou scolaires et sont uniquement exposées pour être utilisées avec le gestionnaires de fichiers Office 365 (version 1.0). Elles ne doivent pas être utilisées pour appeler directement les API Microsoft Graph.

L’autorisation déléguée Files.ReadWrite.AppFolder est valide uniquement pour les comptes personnels et est utilisée pour accéder au dossier spécial Racine de l’application avec l’API Microsoft Graph Obtenir le dossier spécial de OneDrive.

Exemple d’utilisation

Déléguée

  • Files.Read : Lire les fichiers stockés dans OneDrive de l’utilisateur connecté (GET /me/drive/root/children)
  • Files.Read.All : Lire les fichiers partagés avec l’utilisateur connecté (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite : Écrire un fichier dans OneDrive de l’utilisateur connecté (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All : Écrire un fichier partagé avec l’utilisateur (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder : Écrire des fichiers dans le dossier de l’application de OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de données financières

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Financials.ReadWrite.All Lire et écrire des données financières Permet à l’application de lire et d’écrire des données financières au nom de l’utilisateur connecté Non

Autorisations de groupes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Group.Read.All Lire tous les groupes Permet à l’application de répertorier les groupes et de lire leurs propriétés et toutes les appartenances au groupe, au nom de l’utilisateur connecté. Permet également à l’application de lire le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes auxquels l’utilisateur connecté peut accéder. Oui Non
Group.ReadWrite.All Lire et écrire tous les groupes Permet à l’application de créer des groupes et de lire toutes les propriétés et les appartenances du groupe, au nom de l’utilisateur connecté. Permet également à l’application de lire et de modifier le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes auxquels l’utilisateur connecté peut accéder. En outre, elle permet aux propriétaires de groupes de gérer leurs groupes et aux membres de groupes de mettre à jour le contenu des groupes. Oui Non
GroupMember.Read.All Consulter les abonnements de groupe Permet à l’application de répertorier des groupes, consulter leurs propriétés de base et voir les abonnements des groupes auxquels l’utilisateur connecté a accès. Oui Non
GroupMember.ReadWrite.All Consulter et inscrire des abonnements de groupes Permet à l’application de répertorier des groupes, consulter leurs propriétés de base et mettre à jour l’abonnement des groupes auxquels l’utilisateur connecté a accès. Il est impossible de mettre à jour les propriétés de groupes ainsi que leurs propriétaires et les groupes ne peuvent pas être supprimés. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Group.Read.All Lire tous les groupes Permet à l’application de lire les appartenances pour tous les groupes sans utilisateur signé. Permet également à l’application de lire le calendrier, les conversations, les fichiers et les autres contenus du groupe pour tous les groupes.

Remarque : toutes les API de groupe ne prennent pas en charge les autorisations d’accès d’application uniquement. Consultez la page des problèmes connus pour obtenir des exemples.
Oui
Group.ReadWrite.All Lire et écrire tous les groupes Permet à l’application de créer des groupes, de lire et de mettre à jour les appartenances à des groupes et de supprimer des groupes. Permet également à l’application de lire et de modifier le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes. Toutes ces opérations peuvent être effectuées par l’application sans utilisateur connecté.

Remarque : toutes les API de groupe ne prennent pas en charge les autorisations d’accès d’application uniquement. Consultez la page des problèmes connus pour obtenir des exemples.
Oui
Group.Selected Accéder aux groupes sélectionnés Remarque : cette autorisation est exposée dans le portail Azure pour une fonctionnalité qui n’est pas disponible pour une utilisation générale. N’utilisez pas cette autorisation, car elle peut faire l’objet de modifications. Oui
GroupMember.Read.All Consulter les abonnements de groupe Permet à l’application de consulter les abonnements et les propriétés de base de chaque groupe sans connexion d’utilisateur. Oui
GroupMember.ReadWrite.All Consulter et inscrire des abonnements de groupes Permet à l’application de répertorier des groupes, consulter leurs propriétés de base et mettre à jour l’abonnement des groupes auxquels l’application a accès sans connexion d’utilisateur. Il est impossible de mettre à jour les propriétés de groupes ainsi que leurs propriétaires et les groupes ne peuvent pas être supprimés. Oui
Group.Create Créer des groupes Permet à l’application appelante de créer des groupes sans connexion d’utilisateur. Ne permet pas la lecture, la mise à jour ou la suppression de groupes. Oui

Remarques

La fonctionnalité de groupe n’est pas prise en charge dans les comptes Microsoft personnels.

Pour les groupes Microsoft 365, les autorisations de groupes donnent à l’application le droit d’accéder au contenu du groupe. Par exemple, les conversations, les fichiers, les notes, etc.

Pour les autorisations de l’application, il existe certaines limites pour les API prises en charge. Pour plus d’informations, reportez-vous à la rubrique Problèmes connus.

Dans certains cas, une application peut nécessiter des autorisations de répertoire pour lire certaines propriétés du groupe comme member et memberOf. Par exemple, si un groupe a un ou plusieurs principaux de service en tant que membres, l’application aura besoin d’autorisations effectives pour lire les principaux de service et devra recevoir pour cela des autorisations de répertoire*. Dans le cas contraire, Microsoft Graph renvoie une erreur. (Dans le cas d’autorisations déléguées, l’utilisateur connecté aura également besoin de droits suffisants au sein de l’organisation pour lire les principaux de service.) La même recommandation s’applique pour la propriété memberOf, qui peut renvoyer administrativeUnits.

Pour définir l’attribut preferredDataLocation d’un groupe Microsoft 365, une autorisation Directory.ReadWrite.All est nécessaire à l’application. Quand un utilisateur dans un environnement multigéographique crée un groupe Microsoft 365, la valeur preferredDataLocation pour le groupe est automatiquement définie sur celle de l’utilisateur. Pour plus d’informations sur l’emplacement de données par défaut d’un groupe, voir Créer un groupe Microsoft 365 avec un Langage de description de page spécifique.

Les autorisations de groupe sont utilisées pour contrôler l’accès aux ressources et aux API de Microsoft Teams. Les comptes Microsoft personnels ne sont pas pris en charge.

Les autorisations de groupes sont également utilisées pour contrôler l’accès aux ressources et aux API de Microsoft Planner. Seules les autorisations déléguées sont prises en charge pour les API Microsoft Planner. Les autorisations de l’application ne sont pas prises en charge. Les comptes Microsoft personnels ne sont pas pris en charge.

Exemple d’utilisation

Delegated

  • Group.Read.All : Lire tous les groupes Microsoft 365 dont l’utilisateur connecté est membre (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All : Lire tout le contenu du groupe Microsoft 365 comme les conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All : mettre à jour les propriétés du groupe, comme une photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: mettre à jour les membres du groupe (POST /groups/{id}/members/$ref).

Remarque :: cela nécessite également que User.ReadBasic.All lise l’utilisateur à ajouter en tant que membre.

Application

  • Group.Read.All : Rechercher tous les groupes dont le nom commence par « Ventes » (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All : Le service démon crée des événements dans le calendrier d’un groupe Microsoft 365 (POST /groups/{id}/events).
  • Group.Create: crée un nouveau groupe (POST /groups).

Pour des scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux Scénarios d’autorisation.


Autorisations de fournisseur d’identité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityProvider.Read.All Lire les informations du fournisseur d’identité Autorise l’application à lire les fournisseurs d’identité configurés dans votre client Azure AD ou Azure AD B2C de la part de l’utilisateur connecté. Oui Non
IdentityProvider.ReadWrite.All Lire et écrire les informations du fournisseur d’identité Autorise l’application à lire ou à écrire les fournisseurs d’identité configurés dans votre client Azure AD ou Azure AD B2C de la part de l’utilisateur connecté. Oui Non

Remarques

IdentityProvider.Read.All et IdentityProvider.ReadWrite.All sont valides pour les comptes professionnels ou scolaires uniquement. Pour autoriser une application à lire ou à écrire des fournisseurs d’identité avec des autorisations déléguées, l’utilisateur connecté doit avoir le rôle Administrateur général. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Déléguée

Les utilisations suivantes sont valides pour les autorisations déléguées :

  • IdentityProvider.Read.All : Lire tous les fournisseurs d’identité configurés dans le client (GET /beta/identityProviders)
  • IdentityProvider.Read.All : Lire un fournisseur d’identité existant (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Créer un fournisseur d’identité (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Mettre à jour un fournisseur d’identité existant (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Supprimer un fournisseur d’identité existant (DELETE /beta/identityProviders/{id})

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’événement de risque d’identité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityRiskEvent.Read.All Accéder en lecture aux informations des événements de risque d’identité Permet à l’application de lire les informations des événements de risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
IdentityRiskEvent.Read.All Accéder en lecture aux informations des événements de risque d’identité Permet à l’application de lire les informations des événements de risque d’identité pour tous les utilisateurs de votre organisation sans aucun utilisateur connecté. Oui

Remarques

IdentityRiskEvent.Read.All est valide uniquement pour les comptes professionnels ou scolaires. Pour qu’une application avec des autorisations déléguées puisse lire les informations de risque d’identité, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : Administrateur global, administrateur de sécurité ou lecteur de sécurité. Pour plus d’informations sur les rôles d’administrateur, voir Attribuer des rôles d’administrateur dans Azure AD.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

  • Lire tous les événements de risque générés pour tous les utilisateurs du client (GET /beta/identityRiskEvents)
  • Lire les événements de risque de programmes malveillants générés par le réseau de robots Dorknet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • Lire les 50 événements de risques les plus récents (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations des utilisateurs à risque d’identité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityRiskyUser.Read.All Lire les informations sur les utilisateurs à risque d’identité Permet à l’application de lire les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté. Oui Non
IdentityRiskyUser.ReadWrite.All Lire et mettre à jour les informations sur les utilisateurs à risque d’identité Permet à l’application de lire et mettre à jour les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
IdentityRiskyUser.Read.All Lire les informations sur les utilisateurs à risque d’identité Permet à l’application de lire les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation sans utilisateur connecté. Oui
IdentityRiskyUser.ReadWrite.All Lire et mettre à jour les informations sur les utilisateurs à risque d’identité Permet à l’application de lire et mettre à jour les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation sans utilisateur connecté. Oui

Remarques

IdentityRiskyUser.Read.All et IdentityRiskyUser.ReadWrite.ALL ne sont valides que pour les comptes professionnels ou scolaires. Pour qu’une application avec des autorisations déléguées puisse lire les informations de risque d’identité, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de la sécurité ou lecteur Sécurité. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

  • Lire l’ensemble des propriétés et des utilisateurs à risque dans le client (GET /beta/riskyUsers)
  • Lire tous les utilisateurs à risque dont le niveau de risque global est moyen (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Lire les informations de risque dans le cadre d’un utilisateur spécifique (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de flux d’utilisateur de l’identité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityUserFlow.Read.All Lecture de tous les flux d’utilisateur de l’identité dans un client Permet à l’application de lire les flux d’utilisateurs de votre organisation. Oui Non
IdentityUserFlow.ReadWrite.All Lecture et écriture de tous les flux d’utilisateur de l’identité dans un client. Cette fonction permet à l’application de lire ou d’écrire les flux d’utilisateurs de votre organisation. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityUserFlow.Read.All Lecture de tous les flux d’utilisateur de l’identité dans un client Permet à l’application de lire les flux d’utilisateurs de votre organisation. Oui Non
IdentityUserFlow.ReadWrite.All Lecture et écriture de tous les flux d’utilisateur de l’identité dans un client. Cette fonction permet à l’application de lire ou d’écrire les flux d’utilisateurs de votre organisation. Oui Non

Remarques

IdentityUserFlow.Read.All and IdentityUserFlow.ReadWrite.ALL est uniquement valide pour les comptes professionnels ou scolaires.

Pour qu’une application avec des autorisations déléguées puisse lire les flux d’utilisateurs, l’utilisateur connecté doit être membre de l’un de ces rôles d’administrateur : administrateur général, administrateur de flux d’utilisateurs des identités externes, ou lecteur général. Pour qu’une application avec des autorisations déléguées puisse écrire les flux d’utilisateurs, l’utilisateur connecté doit être membre de l’un de ces rôles d’administrateur : administrateur général, ou administrateur de flux d’utilisateurs des identités externes.

Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

  • IdentityUserFlow.Read.All : lire tous les flux d’utilisateurs dans un client Azure AD B2C (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All : lire tous les flux d’utilisateurs dans un client Azure Active Directory (Azure AD) (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All : Lire toutes les affectations d’attributs d’utilisateur dans un flux d’utilisateur Azure AD B2C ( GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments )
  • IdentityUserFlow.ReadWrite.All : lire un nouveau flux d’utilisateurs dans un client Azure AD B2C (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All : lire un nouveau flux d’utilisateurs dans un client Azure Active Directory (Azure AD) (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: ajouter un fournisseur d’identité à un flux d’utilisateur Azure AD B2C (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentitytUserFlow.ReadWrite.All: supprimer un fournisseur d’identité à un flux d’utilisateur Azure AD B2C (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: Créer une affectation d’attribut d’utilisateur dans un flux d’utilisateur Azure AD B2C ( POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments )

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de stratégie de protection des informations

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
InformationProtectionPolicy.Read Accéder en lecture aux étiquettes de confidentialité des utilisateurs et aux stratégies d’étiquette Permet à une application de lire les étiquettes de confidentialité de la protection des informations et les paramètres de stratégie d’étiquette, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
InformationProtectionPolicy.Read.All Accéder en lecture à toutes les étiquettes et stratégies d’étiquette publiées pour une organisation Permet à une application de lire les étiquettes de confidentialité et les paramètres de stratégie d’étiquette publiés pour l’ensemble de l’organisation ou un utilisateur spécifique, sans utilisateur connecté. Oui

Autorisations de gestion d'appareils Intune

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
DeviceManagementApps.Read.All Accéder en lecture aux applications Microsoft Intune Permet à l’application de lire les propriétés, les affectations à des groupes, ainsi que le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementApps.ReadWrite.All Accéder en lecture et en écriture aux applications gérées par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés, les affectations à des groupes, le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementConfiguration.Read.All Accéder en lecture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementConfiguration.ReadWrite.All Accéder en lecture et en écriture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementManagedDevices.PrivilegedOperations.All Effectuer des actions à distance à fort impact sur les appareils gérés par Microsoft Intune Permet à l’application d’effectuer des actions à distance à fort impact, telles que la suppression de l’appareil ou la réinitialisation du code secret sur les appareils géré par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.Read.All Accéder en lecture aux appareils gérés par Microsoft Intune Permet à l’application de lire les propriétés des appareils gérés par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.ReadWrite.All Accéder en lecture et en écriture aux appareils gérés par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés des appareils gérés par Microsoft Intune. N’autorise pas les opérations à fort impact, telles que l’effacement à distance et la réinitialisation du mot de passe, sur le propriétaire de l’appareil. Oui Non
DeviceManagementRBAC.Read.All Accéder en lecture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementRBAC.ReadWrite.All Accéder en lecture et en écriture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementServiceConfig.Read.All Accéder en lecture à la configuration de Microsoft Intune Permet à l’application de lire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non
DeviceManagementServiceConfig.ReadWrite.All Accéder en lecture et en écriture à la configuration de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
DeviceManagementApps.Read.All Accéder en lecture aux applications Microsoft Intune Permet à l’application de lire les propriétés, les affectations à des groupes, ainsi que le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementApps.ReadWrite.All Accéder en lecture et en écriture aux applications gérées par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés, les affectations à des groupes, le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementConfiguration.Read.All Accéder en lecture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementConfiguration.ReadWrite.All Accéder en lecture et en écriture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementManagedDevices.PrivilegedOperations.All Effectuer des actions à distance à fort impact sur les appareils gérés par Microsoft Intune Permet à l’application d’effectuer des actions à distance à fort impact, telles que la suppression de l’appareil ou la réinitialisation du code secret sur les appareils géré par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.Read.All Accéder en lecture aux appareils gérés par Microsoft Intune Permet à l’application de lire les propriétés des appareils gérés par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.ReadWrite.All Accéder en lecture et en écriture aux appareils gérés par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés des appareils gérés par Microsoft Intune. N’autorise pas les opérations à fort impact, telles que l’effacement à distance et la réinitialisation du mot de passe, sur le propriétaire de l’appareil. Oui Non
DeviceManagementRBAC.Read.All Accéder en lecture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementRBAC.ReadWrite.All Accéder en lecture et en écriture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementServiceConfig.Read.All Accéder en lecture à la configuration de Microsoft Intune Permet à l’application de lire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non
DeviceManagementServiceConfig.ReadWrite.All Accéder en lecture et en écriture à la configuration de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non

Remarques

Remarque : L’utilisation des API de Microsoft Graph pour configurer les stratégies et les contrôles Intune requiert que le service Intune dispose d’une licence appropriée accordée par le client.

Ces autorisations ne sont valides que pour les comptes professionnels ou scolaires.

Exemple d’utilisation

Déléguée

  • DeviceManagementServiceConfiguration.Read.All : vérifier l’état actuel de l’abonnement Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All : Créer de nouvelles conditions générales (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All : Rechercher l’état de la configuration d’un appareil (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All : Attribuer une stratégie de conformité de l’appareil à un groupe (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All : Rechercher toutes les applications Windows Store publiées sur Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All : Publier une nouvelle application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All : Rechercher une attribution de rôle par nom (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All : Créer un rôle personnalisé (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All : Rechercher un appareil géré par nom (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All : Supprimer un appareil géré (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All : Réinitialiser le mot de passe sur l’appareil géré par un utilisateur (POST /managedDevices/{id}/resetPasscode).

Application

  • DeviceManagementServiceConfiguration.Read.All : Vérifier l’état actuel de l’abonnement Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All : Créer de nouvelles conditions générales (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All : Rechercher l’état de la configuration d’un appareil (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All : Attribuer une stratégie de conformité de l’appareil à un groupe (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All : Rechercher toutes les applications Windows Store publiées sur Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All : Publier une nouvelle application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All : Rechercher une attribution de rôle par nom (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All : Créer un rôle personnalisé (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All : Rechercher un appareil géré par nom (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All : Supprimer un appareil géré (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All : Réinitialiser le mot de passe sur l’appareil géré par un utilisateur (POST /managedDevices/{id}/resetPasscode).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de courrier

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Mail.Read Accéder en lecture aux courriers électroniques utilisateur Permet à l’application de lire les courriers électroniques dans des boîtes aux lettres utilisateur. Non Oui
Mail.ReadBasic Lire le courrier de base utilisateur Permet à l’application de lire un e-mail dans la boîte aux lettres de l’utilisateur connecté, à l’exception de body, bodyPreview, uniqueBody, attachments, extensions et de toutes les propriétés étendues. N’inclut pas les autorisations pour rechercher des messages. Non Non
Mail.ReadWrite Accéder en lecture et en écriture aux courriers électroniques utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des messages électroniques dans des boîtes aux lettres utilisateur. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non Oui
Mail.Read.Shared Accéder en lecture aux e-mails utilisateur et aux e-mails partagés Permet à l’application de lire les e-mails auxquels l’utilisateur peut accéder, notamment ses propres e-mails et les e-mails partagés. Non Non
Mail.ReadWrite.Shared Accéder en lecture et en écriture aux e-mails utilisateur et aux e-mails partagés Permet à l’application de créer, lire, mettre à jour et supprimer les e-mails auxquels l’utilisateur peut accéder, notamment ses propres e-mails et les e-mails partagés. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non Non
Mail.Send Envoyer un courrier électronique en tant qu’utilisateur Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur dans l’organisation. Non Oui
Mail.Send.Shared Envoyer des e-mails de la part d’autres personnes Permet à l’application d’envoyer des e-mails de la part de l’utilisateur connecté et d’autres personnes. Non Non
MailboxSettings.Read Lire les paramètres de boîte aux lettres d’utilisateur Permet à l’application de lire les paramètres de boîte aux lettres d’utilisateur. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non Oui
MailboxSettings.ReadWrite Accéder en lecture et en écriture aux paramètres de boîte aux lettres d’utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des paramètres de boîte aux lettres d’utilisateur. N’inclut pas l’autorisation permettant d’envoyer directement du courrier, mais permet à l’application de créer des règles qui peuvent transférer ou rediriger des messages. Non Oui
IMAP.AccessAsUser.All Lire et écrire l’accès à un courrier d’utilisateur via IMAP Autorise l’application à lire, mettre à jour, créer et supprimer des e-mails dans des boîtes aux lettres d’utilisateurs. N’inclut pas l’autorisation d’envoyer des courriers. Non Oui
POP.AccessAsUser.All Lire et écrire l’accès à un courrier d’utilisateur via POP Autorise l’application à lire, mettre à jour, créer et supprimer des e-mails dans des boîtes aux lettres d’utilisateurs. N’inclut pas l’autorisation d’envoyer des courriers. Non Oui
SMTP.Send Envoyer un message en tant qu’utilisateur à l’aide de l’authentification SMTP Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur dans l’organisation. Non Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Mail.Read Lire les messages dans toutes les boîtes aux lettres Permet à l’application de lire les messages dans toutes les boîtes aux lettres sans utilisateur connecté. Oui
Mail.ReadBasic.All Lire les e-mails de base de tous les utilisateurs Permet à l’application de lire la boîte aux lettres de tous les utilisateurs sauf le corps, l’aperçu du corps, les pièces jointes, les propriétés étendues et les extensions. N’inclut pas les autorisations pour rechercher des messages. Oui
Mail.ReadWrite Lire et écrire les messages dans toutes les boîtes aux lettres Permet à l’application de créer, lire, mettre à jour et supprimer les messages dans toutes les boîtes aux lettres sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques. Oui
Mail.Send Envoyer des messages électroniques en tant qu’utilisateur Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur sans utilisateur connecté. Oui
MailboxSettings.Read Lire tous les paramètres de boîte aux lettres d’utilisateur Permet à l’application de lire les paramètres de boîte aux lettres d’utilisateur sans qu’un utilisateur ne soit connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non
MailboxSettings.ReadWrite Accéder en lecture et en écriture à tous les paramètres de boîte aux lettres d’utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer les paramètres de boîte aux lettres d’utilisateur sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques. Oui

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read ou MailboxSettings.ReadWrite.

Remarques

Mail.Read.Shared, Mail.ReadWrite.Shared et Mail.Send.Shared sont valides uniquement pour les comptes professionnels ou scolaires. Toutes les autres autorisations sont valides pour les comptes Microsoft et les comptes professionnels ou scolaires.

Avec l’autorisation Mail.Send ou Mail.Send.Shared, une application peut envoyer des messages électroniques et enregistrer une copie dans le dossier Éléments envoyés de l’utilisateur, même si l’application n’utilise pas d’autorisation Mail.ReadWrite ou Mail.ReadWrite.Shared correspondante.

Exemple d’utilisation

Déléguée

  • Mail.Read : Répertorier les messages dans la boîte de réception de l’utilisateur, triés par receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared : Rechercher tous les messages comportant des pièces jointes dans la boîte de réception d’un utilisateur qui a partagé sa boîte de réception avec l’utilisateur connecté (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite : Marquer un message comme lu (PATCH /me/messages/{id}).
  • Mail.Send : Envoyer un message (POST /me/sendmail).
  • MailboxSettings.ReadWrite : Mettre à jour la réponse automatique de l’utilisateur (PATCH /me/mailboxSettings).

Application

  • Mail.Read : Rechercher des messages en provenance de bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite : Créer un nouveau dossier dans la boîte de réception intitulée Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send : Envoyer un message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read : Obtenir le fuseau horaire par défaut pour la boîte aux lettres de l’utilisateur (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de membre

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Member.Read.Hidden Lire les appartenances masquées Permet à l’application de lire les appartenances des unités administratives et des groupes masqués de la part de l’utilisateur connecté, sur les unités administratives et les groupes masqués auxquels l’utilisateur connecté est autorisé à accéder. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Member.Read.Hidden Accéder en lecture à toutes les appartenances masquées à des groupes Permet à l’application de lire les appartenances masquées à des groupes et à des unités administratives sans utilisateur connecté. Oui

Remarques

Member.Read.Hidden est valide uniquement sur les comptes professionnels ou scolaires.

L’appartenance à certains groupes Microsoft 365 peut être masquée. Cela signifie que seuls les membres du groupe peuvent accéder à ses membres. Cette fonction peut être utilisée si des réglementations imposent de masquer les membres d’un groupe aux personnes extérieures (par exemple, un groupe Microsoft 365 qui représente des étudiants inscrits à une classe).

Exemple d’utilisation

Déléguée

  • Member.Read.Hidden : Lire les membres d’une unité administrative avec une appartenance masquée de la part de l’utilisateur connecté (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden : Lire les membres d’un groupe avec une appartenance masquée de la part de l’utilisateur connecté (GET /groups/{id}/members).

Application

  • Member.Read.Hidden : Lire les membres d’une unité administrative avec une appartenance masquée (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden : Lire les membres d’un groupe avec une appartenance masquée (GET /groups/{id}/members).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations relatives aux notes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Notes.Read Lire les blocs-notes OneNote pour l’utilisateur Permet à l’application de lire les titres de blocs-notes et de sections OneNote et de créer des pages, des blocs-notes et des sections au nom de l’utilisateur connecté. Non Oui
Notes.Create Créer des blocs-notes OneNote pour l’utilisateur Permet à l’application de lire les titres de blocs-notes et de sections OneNote et de créer des pages, des blocs-notes et des sections au nom de l’utilisateur connecté. Non Oui
Notes.ReadWrite Lire et écrire des blocs-notes OneNote pour l’utilisateur Permet à l’application de lire, partager et modifier des blocs-notes OneNote au nom de l’utilisateur connecté. Non Oui
Notes.Read.All Lire tous les blocs-notes OneNote auxquels cet utilisateur peut accéder Permet à l’application de lire des blocs-notes OneNote auxquels l’utilisateur connecté a accès au sein de l’organisation. Non Non
Notes.ReadWrite.All Lire et écrire tous les blocs-notes OneNote auxquels cet utilisateur peut accéder Permet à l’application de lire, partager et modifier des blocs-notes OneNote auxquels l’utilisateur connecté a accès au sein de l’organisation. Non Non
Notes.ReadWrite.CreatedByApp Accès limité au bloc-notes (déconseillé) Déconseillé
Ne pas utiliser. Aucun droit n’est accordé par cette autorisation.
Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Notes.Read.All Lire tous les blocs-notes OneNote Permet à l’application de lire tous les blocs-notes OneNote dans votre organisation, sans qu’aucun utilisateur ne soit connecté. Oui
Notes.ReadWrite.All Lire et écrire tous les blocs-notes OneNote Permet à l’application de lire, partager et modifier tous les blocs-notes OneNote dans votre organisation, sans qu’aucun utilisateur ne soit connecté. Oui

Remarques

Notes.Read.All et Notes.ReadWrite.All sont valides uniquement pour les comptes professionnels ou scolaires. Toutes les autres autorisations sont valides pour les comptes Microsoft et les comptes professionnels ou scolaires.

Avec l’autorisation Notes.Create, une application peut afficher la hiérarchie du bloc-notes OneNote de l’utilisateur connecté et créer un contenu OneNote (blocs-notes, groupes de sections, sections, pages, etc.).

Notes.ReadWrite et Notes.ReadWrite.All permettent également à l’application de modifier les autorisations relatives au contenu OneNote auquel l’utilisateur connecté peut accéder.

Pour les comptes professionnels ou scolaires, Notes.Read.All et Notes.ReadWrite.All permettent à l’application d’accéder au contenu OneNote d’un autre utilisateur auquel l’utilisateur connecté a accès au sein de l’organisation.

Exemple d’utilisation

Déléguée

  • Notes.Create : Créer un nouveau bloc-notes pour l’utilisateur connecté (POST /me/onenote/notebooks).
  • Notes.Read : Lire les blocs-notes pour l’utilisateur connecté (GET /me/onenote/notebooks).
  • Notes.Read.All : Accéder à tous les blocs-notes auxquels l’utilisateur connecté a accès dans l’organisation (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite : Mettre à jour la page de l’utilisateur connecté (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All : Créer une page dans le bloc-notes d’un autre utilisateur auquel l’utilisateur connecté a accès dans l’organisation (POST /users/{id}/onenote/pages).

Application

  • Notes.Read.All : Lire tous les blocs-notes d’utilisateurs dans un groupe (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All : Mettre à jour la page dans un bloc-notes pour un utilisateur de l’organisation (PATCH /users/{id}/onenote/pages/{id}/$value).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations de notifications

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Notifications.ReadWrite.CreatedByApp Transmettre et gérer les notifications pour cette application. Permet à l’application de fournir des notifications au nom des utilisateurs connectés. Permet également à l’application de lire, de mettre à jour et de supprimer des éléments de notification de l’utilisateur pour cette application. Non

Remarques

Notifications.ReadWrite.CreatedByApp est valide pour les comptes Microsoft et les comptes professionnels ou scolaires. La contrainte CreatedByApp associée à cette autorisation indique que le service appliquera un filtrage implicite aux résultats en fonction de l’identité de l’application appelante, soit l’ID d’application du compte Microsoft, soit un ensemble d’ID d’application configuré pour une identité d’application multiplateforme.

Exemple d’utilisation

Delegated

  • Notifications.ReadWrite.CreatedByApp : publier une notification axée sur les utilisateurs qui peut ensuite être remise à plusieurs clients d’application de l’utilisateur en cours d’exécution sur les différents points de terminaison. (POST /me/notifications/).

Autorisations de réunions en ligne

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OnlineMeetings.Read Lire la Réunion en ligne. Autorise une application à lire les détails d'une réunion en ligne pour le compte de l'utilisateur connecté. Non Non
OnlineMeetings.ReadWrite Lire et créer des réunions en ligne. Autorise une application à créer, lire les réunions en ligne pour le compte de l'utilisateur connecté. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
OnlineMeetings.Read.All Lire les détails de Réunion en ligne depuis l'application Permet à l’application de lire tous les détails de la réunion en ligne dans votre organisation, sans utilisateur connecté. Oui
OnlineMeetings.ReadWrite.All Lire les détails de Réunion en ligne depuis l'application Autorise une application à créer, lire des réunions sans utilisateur connecté. Oui

Important Les administrateurs peuvent configurer une stratégie d’accès aux applications pour autoriser les applications à accéder aux réunions en ligne au nom d’un utilisateur.

Exemple d’utilisation

Déléguée

  • OnlineMeetings.Read : récupérer les propriétés et les relations d’une réunion en ligne (GET /beta/communications/onlinemeetings/{default id}).
  • OnlineMeetings.ReadWrite : créer une réunion en ligne (POST /beta/communications/onlinemeetings).

Application

  • OnlineMeetings.Read.All
    • Récupérez les propriétés et les relations d’une réunion en ligne (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Récupérer une réunion en ligne au nom d’un utilisateur (`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • Créer une réunion en ligne au nom d’un utilisateur (`POST /beta/users/{userId}/onlineMeetings/)
    • Mettre à jour une réunion en ligne au nom d’un utilisateur (`PATCH /beta/users/{userId}/onlineMeetings/{id})
    • Supprimer une réunion en ligne au nom d’un utilisateur (`DELETE /beta/users/{userId}/onlineMeetings/{id})

Remarque: la création d’une réunion en ligne permet de créer une réunion au nom d’un utilisateur, mais pas de la montrer dans le calendrier de l’utilisateur.

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations des profils de publication locaux

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OnPremisesPublishingProfiles.ReadWrite.All Profils de publication locaux Access Permet à l’application de gérer la configuration de service d’identité hybride en créant, en affichant, en mettant à jour et en supprimant des ressources publiées localement, des agents et groupes d’agents locaux, au nom de l’utilisateur connecté. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OnPremisesPublishingProfiles.ReadWrite.All Profils de publication locaux Access Permet à l’application de gérer la configuration de service d’identité hybride en créant, en affichant, en mettant à jour et en supprimant des ressources publiées localement, des agents et groupes d’agents locaux, au nom de l’utilisateur connecté. Non Non

Autorisations OpenID

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
email Afficher l’adresse de messagerie des utilisateurs Permet à l’application de lire l’adresse de messagerie principale de vos utilisateurs. Non Non
offline_access Accéder aux données de l’utilisateur à tout moment Permet à l’application de lire et de mettre à jour les données de l’utilisateur, même si elles n’utilisent pas l’application actuellement. Non Non
openid Connecter des utilisateurs Permet aux utilisateurs de se connecter à l’application avec leurs comptes professionnels ou scolaires et permet à l’application d’afficher les informations de profil utilisateur de base. Non Non
profil Afficher le profil de base des utilisateurs Permet à l’application d’afficher le profil de base de vos utilisateurs (nom, image, nom d’utilisateur). Non Non

Autorisations de l’application

Aucun.

Remarques

Vous pouvez utiliser ces autorisations pour spécifier les artefacts qui doivent être renvoyés dans mes demandes de jeton et d’autorisation Azure Active Directory. Ils sont pris en charge de manières différentes par les points de terminaison des versions 1.0 et 2.0 d’Azure Active Directory.

Avec le point de terminaison Azure Active Directory (version 1.0), seule l’autorisation openid est utilisée. Vous la spécifiez dans le paramètre scope d’une demande d’autorisation afin qu’elle renvoie un jeton d’ID lorsque vous utilisez le protocole OpenID Connect pour connecter un utilisateur à votre application. Pour plus d’informations, voir Autoriser l’accès aux applications web à l’aide d’OpenID Connect et d’Azure Active Directory. Pour que le système renvoie un jeton d’ID, vous devez également vous assurer que l’autorisation User.Read est configurée lorsque vous enregistrez votre application.

Avec le point de terminaison Azure AD v2.0, vous spécifiez l’autorisation offline_access dans le paramètre scope pour demander explicitement un jeton d’actualisation lorsque vous utilisez les protocoles OAuth 2.0 ou OpenID Connect. Avec OpenID Connect, vous spécifiez l’autorisation openid pour demander un jeton d’ID. Vous pouvez également spécifier l’autorisation email, l’autorisation profile ou les deux pour renvoyer des revendications supplémentaires dans le jeton d’ID. Vous ne devez pas spécifier User.Read pour renvoyer un jeton ID avec le point de terminaison de version 2.0. Pour plus d’informations, voir Étendues OpenID Connect.

Important Microsoft Authentication Library (MSAL) définit actuellement les autorisations offline_access, openid, profile et email par défaut dans les demandes d’autorisation et de jetons. Cela signifie que si, avec une configuration par défaut, vous spécifiez ces autorisations explicitement, Azure AD peut renvoyer une erreur.


Autorisations d’organisation

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Organization.Read.All Lire les informations de l’organisation Permet à l’application de lire les ressources de votre organisation et associées, pour le compte de l’utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui Non
Organization.ReadWrite.All Lire et écrire les informations de l’organisation Permet à l’application de lire et écrire les ressources de votre organisation et associées, pour le compte de l’utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Organization.Read.All Lire les informations de l’organisation Permet à l’application de lire les ressources de votre organisation et associées, sans utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui
Organization.ReadWrite.All Lire et écrire les informations de l’organisation Permet à l’application de lire et écrire les ressources de votre organisation et associées, sans utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui

Exemple d’utilisation

Déléguée

  • Organization.Read.All: obtenir les informations d’organisation (GET /organization).
  • Organization.Read.All: obtenez les références SKU auxquelles l’organisation s’est abonnée (GET /subscribedSkus).

Application

  • Organization.ReadWrite.All: mettre à jour les informations d'organisation (par exemple,technicalNotificationMails) (PATCH /organization/{id}).

Autorisations de contact organisationnel

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OrgContact.Read.All Lire les contacts organisationnels Permet à l’application de lire tous les contacts organisationnels pour le compte de l’utilisateur connecté. Ces contacts sont gérés par l’organisation et sont différents des contacts personnels d’un utilisateur. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
OrgContact.Read.All Lire les contacts organisationnels Permet à l’application de lire tous les contacts organisationnels sans un utilisateur connecté.. Ces contacts sont gérés par l’organisation et sont différents des contacts personnels d’un utilisateur. Oui

Exemple d’utilisation

Déléguée

  • OrgContact.Read.All : Obtenir tous les contacts organisationnels (GET /contacts).

Autorisations de personnes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
People.Read Lire les listes des contacts pertinents des utilisateurs Permet à l’application de lire une liste notée de contacts pertinents pour l’utilisateur connecté. La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple). Non Oui
People.Read.All Lire les listes des contacts pertinents de tous les utilisateurs Permet à l’application de lire une liste notée des contacts pertinents pour l’utilisateur connecté ou d’autres utilisateurs dans l’organisation de l’utilisateur connecté. La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple). Permet également à l’application de rechercher dans tout l’annuaire de l’organisation de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
People.Read.All Lire les listes des contacts pertinents de tous les utilisateurs Permet à l’application de lire une liste notée des contacts pertinents pour l’utilisateur connecté ou d’autres utilisateurs dans l’organisation de l’utilisateur connecté.

La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou du répertoire de votre organisation, et les contacts issus de communications récentes ( tels que les e-mails et Skype). Autoriser également l’application à rechercher le répertoire complet de l’organisation de l’utilisateur connecté.
Oui

Remarques

L’autorisation People.Read.All n’est valide que pour les comptes professionnels et scolaires.

Exemple d’utilisation

Déléguée

  • People.Read : Lire une liste de contacts pertinents (GET /me/people)
  • People.Read.All : Lire une liste de contacts appropriés pour un autre utilisateur de la même organisation (GET /users('{id})/people)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’accès privilégié

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
PrivilegedAccess.ReadWrite.AzureAD Lire et écrire des données Privileged Identity Management pour répertoire Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour Azure AD. Oui Non
PrivilegedAccess.ReadWrite.AzureADGroup Lire et écrire des données Privileged Identity Management pour les groupes d’accès privilégié Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour groupes. Oui Non
PrivilegedAccess.ReadWrite.AzureResources Lire et écrire des données Privileged Identity Management pour les ressources Azure Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour les ressources Azure. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
PrivilegedAccess.Read.AzureAD Lire des données Privileged Identity Management pour répertoire Permet à l’application d’accéder en lecture aux API Privileged Identity Management pour Azure AD. Oui
PrivilegedAccess.Read.AzureADGroup Lire des données Privileged Identity Management pour les groupes d’accès privilégié Permet à l’application d’accéder en lecture aux API Privileged Identity Management pour les groupes. Oui
PrivilegedAccess.Read.AzureResources Lire des données Privileged Identity Management pour les ressources Azure Permet à l’application d’accéder en lecture aux API Privileged Identity Management pour les ressources Azure AD. Oui

Autorisations de places

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Place.Read.All Lire toutes les places de la société Permet à l’application de lire les emplacements d’entreprise (salles de conférence et listes de salles) paramétrés dans Exchange Online pour le client. Oui Non
Place.ReadWrite.All Lire et écrire tous les emplacements de la société Permet à l’application de lire et d’entrer des emplacements d’entreprise (salles de conférence et listes de salles) paramétrés dans Exchange Online pour le client. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Place.Read.All Lire toutes les places de la société Permet à l’application de lire les emplacements d’entreprise (salles de conférence et listes de salles) pour les événements de calendrier et les autres applications. Oui

Autorisations de la stratégie

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Policy.Read.All Lire les stratégies de votre organisation Permet à l’application de lire les stratégies de votre organisation pour le compte de l’utilisateur connecté. Oui Non
Policy.Read.PermissionGrant Accéder en lecture aux stratégies d'octroi de consentement et d'autorisation Permet à l’application de lire les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.AccessReview Lire et écrire la stratégie de révision de l’accès de votre organisation Permet à l'application de lire et d'écrire la stratégie d'examen des accès de votre organisation au nom de l'utilisateur connecté. Oui Non
Policy.ReadWrite.ApplicationConfiguration Lecture et écriture des stratégies de configuration d'application de votre organisation Autorise la lecture et l'écriture des stratégies de configuration d'application de votre organisation par l'application pour le compte de l'utilisateur connecté. Oui Non
Policy.ReadWrite.AuthenticationFlows Accéder en lecture et en écriture aux stratégies de flux d’authentification de votre organisation Permet à l’application de lire et d’écrire des Stratégies de flux d’authentification au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.Authorization Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application de lire et d’écrire la stratégie d’autorisation de votre organisation au nom de l’utilisateur connecté. Par exemple, les stratégies d’autorisation peuvent contrôler certaines autorisations définies par défaut pour le rôle d’utilisateur prêt à l’emploi dans la boîte de dialogue. Oui Non
Policy.ReadWrite.ConditionalAccess Lire et écrire les stratégies d’accès conditionnel de votre organisation Permet à l’application de lire et d’écrire les stratégies d’accès conditionnel de votre organisation au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.ConsentRequest Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application de lire et d’écrire la stratégie de demandes de consentement de votre organisation au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.FeatureRollout Lire et écrire les stratégies de déploiement des fonctionnalités de votre organisation Permet à l’application de lire et d’écrire les stratégies de déploiement des fonctionnalités de votre organisation au nom de l’utilisateur connecté. Inclut les capacités permettant d’affecter et de supprimer des utilisateurs et des groupes afin de déployer une fonctionnalité spécifique. Oui Non
Policy.ReadWrite.PermissionGrant Gérer les stratégies d’accord et d’octroi d’autorisations Permet à l’application de gérer les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.TrustFramework Lire et écrire les stratégies d’infrastructure de confiance de votre organisation Permet à l’application de lire et d’écrire les stratégies d’infrastructure de confiance de votre organisation au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.AuthenticationMethod Accéder en lecture et en écriture aux stratégies de méthode d’authentification de votre organisation Permet à l’application de lire et d’écrire des stratégies de méthode d’authentification au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.MobilityManagement Accéder en lecture et en écriture aux stratégies de méthode d’authentification de votre organisation. Permet à l’application de lire et d’écrire les stratégies de gestion de la mobilité au nom de l’utilisateur connecté. Ils contrôlent les paramètres des applications de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM). Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Policy.Read.All Lire les stratégies de votre organisation Permet à l’application de lire toutes les stratégies de votre organisation sans qu’aucun utilisateur ne soit connecté. Oui
Policy.Read.PermissionGrant Accéder en lecture aux stratégies d'octroi de consentement et d'autorisation Permet à l’application de lire les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, sans utilisateur connecté. Oui
Policy.Read.ApplicationConfiguration Lecture des stratégies de configuration d'application de votre organisation Autorise la lecture des stratégies de configuration d'application de votre organisation par l'application sans que l'utilisateur soit connecté. Oui
Policy.ReadWrite.AccessReview Lire et écrire la stratégie de révision de l’accès de votre organisation Permet à l'application de lire et d'écrire la stratégie d'examen des accès de votre organisation, sans utilisateur connecté. Oui Non
Policy.ReadWrite.ApplicationConfiguration Lecture et écriture des stratégies de configuration d'application de votre organisation Permet à l’application de lire et d’écrire les stratégies de configuration de l’application de votre organisation sans qu’aucun utilisateur ne soit connecté. Oui Non
Policy.ReadWrite.AuthenticationFlows Accéder en lecture et en écriture aux stratégies de flux d’authentification de votre organisation Permet à l’application de lire et d’écrire les stratégies de flux d’authentification pour le locataire, sans utilisateur connecté. Oui
Policy.ReadWrite.Authorization Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application de lire et d’écrire la stratégie d’autorisation de votre organisation au nom de l’utilisateur connecté. Par exemple, les stratégies d’autorisation peuvent contrôler certaines autorisations définies par défaut pour le rôle d’utilisateur prêt à l’emploi dans la boîte de dialogue. Oui Non
Policy.ReadWrite.ConsentRequest Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application d’accéder en lecture et en écriture à la stratégie de demandes de consentement de votre organisation sans utilisateur connecté. Oui Non
Policy.ReadWrite.FeatureRollout Lire et écrire les stratégies de déploiement de fonctionnalités Permet à l’application de lire et écrire les stratégies de déploiement de fonctionnalités sans qu’aucun utilisateur ne soit connecté. Inclut les capacités permettant d’affecter et de supprimer des utilisateurs et des groupes afin de déployer une fonctionnalité spécifique. Oui
Policy.ReadWrite.PermissionGrant Gérer les stratégies d’accord et d’octroi d’autorisations Permet à l’application de gérer les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, sans utilisateur connecté. Oui
Policy.ReadWrite.TrustFramework Lire et écrire les stratégies d’infrastructure de confiance de votre organisation Permet à l’application de lire et d’écrire les stratégies d’infrastructure de confiance de votre organisation sans qu’aucun utilisateur ne soit connecté. Oui
Policy.ReadWrite.AuthenticationMethod Accéder en lecture et en écriture aux stratégies de méthode d’authentification de votre organisation Permet à l’application de lire et d’écrire des stratégies de méthode d’authentification sans utilisateur connecté. Oui

Exemple d’utilisation

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

  • Policy.Read.All : Lire les stratégies de votre organisation (GET /policies)
  • Policy.Read.All : Lire les stratégies d’infrastructure de confiance de votre organisation (GET /beta/trustFramework/policies)
  • Policy.Read.All : Lire les stratégies de déploiement des fonctionnalités de votre organisation (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.AccessReview: Lisez et écrivez les stratégies de révision d’accès de votre organisation (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration : lecture et écriture des stratégies de configuration d'application de votre organisation (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows : lire et écrire de la stratégie de flux d’authentification de votre organisation (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.ConditionalAccess : Lire et écrire les stratégies d’accès conditionnel de votre organisation (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.FeatureRollout : Lire et écrire les stratégies de déploiement des fonctionnalités de votre organisation (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: Lire et écrire les stratégies d’infrastructure de confiance de votre organisation (POST /beta/trustFramework/policies)

Pour des scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux Scénarios d’autorisation.


Autorisations de présence

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Presence.Read Lire les informations de présence de l’utilisateur Permet à l’application de lire les informations de présence au nom de l’utilisateur connecté. Les informations de présence incluent l’activité, la disponibilité, la note de statut, le message d’absence du bureau, le fuseau horaire et l’emplacement. Non
Presence.Read.All Lire les informations de présence de tous les utilisateurs au sein de votre organisation Permet à l’application de lire les informations de présence de tous les utilisateurs de l’annuaire au nom de l’utilisateur connecté. Les informations de présence incluent l’activité, la disponibilité, la note de statut, le message d’absence du bureau, le fuseau horaire et l’emplacement. Non

Exemple d’utilisation

  • Presence.Read : si vous êtes connecté, récupérez vos propres informations de présence (GET /me/presence)
  • Presence.Read.All : récupérez les informations de présence d’un autre utilisateur (GET /users/{id}/presence)
  • Presence.Read.All : récupérez les informations de présence de plusieurs utilisateurs (POST /communications/getPresencesByUserId)

Programmes et autorisations des contrôles de programme

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ProgramControl.Read.All Lire tous les programmes Permet à l’application de lire des programmes au nom de l’utilisateur connecté. Oui Non
ProgramControl.ReadWrite.All Gérer tous les programmes Permet à l’application de lire et écrire des programmes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ProgramControl.Read.All Lire tous les programmes Permet à l’application de lire des programmes sans utilisateur connecté. Oui
ProgramControl.ReadWrite.All Gérer tous les programmes Permet à l’application de lire et écrire des programmes sans utilisateur connecté. Oui

Remarques

ProgramControl.Read.All et ProgramControl.ReadWrite.All sont valides pour les comptes professionnels ou scolaires uniquement.

Pour qu’une application avec des autorisations déléguées puisse lire les programmes et contrôles de programmes, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité, lecteur sécurité ou administrateur utilisateur. Pour qu’une application avec des autorisations déléguées puisse écrire les programmes et contrôles de programmes, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur utilisateur. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.


Autorisations de rapports

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Reports.Read.All Accéder en lecture à tous les rapports d’utilisation Autoriser une application à lire tous les rapports d’utilisation du service au nom de l’utilisateur connecté. Les services qui fournissent des rapports d’utilisation incluent Microsoft 365 et Azure Active Directory. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Reports.Read.All Accéder en lecture à tous les rapports d’utilisation Autoriser une application à lire tous les rapports d’utilisation du service sans utilisateur connecté. Les services qui fournissent des rapports d’utilisation incluent Microsoft 365 et Azure Active Directory. Oui

Remarques

  • Les autorisations de rapports sont valides uniquement pour les comptes professionnels ou scolaires.
  • Pour les autorisations déléguées permettant aux applications de lire les rapports d’utilisation des services pour le compte d’un utilisateur, l’administrateur du client doit avoir attribué un rôle d’administrateur Azure AD Limited à l’utilisateur. Si vous souhaitez en savoir plus, veuillez consulter la rubriqueAutorisation pour les API de lire les rapports d'utilisation de Microsoft 365.

Exemple d’utilisation

Application

  • Reports.Read.All : Lire le rapport détaillé sur l’utilisation des applications de messagerie sur une période de 7 jours (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All : Lire le rapport détaillé sur l’activité de la messagerie daté du « 2017-01-01 » (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All : Lire le rapport détaillé des activations de Microsoft 365 (GET /reports/Office365Activations(view='Detail')/content).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations pour la gestion de rôles

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
RoleAssignmentSchedule.Read.Directory Consultez toutes les affectations actives de rôle pour l’annuaire de votre entreprise. Autoriser une application à lire les affectations active du contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Cela inclut la lecture des modèles du rôle du répertoire et les rôles du répertoire. Oui Non
RoleEligibilitySchedule.Read.Directory Consultez toutes les affectations éligibles de rôle pour le répertoire de votre entreprise. Autoriser une application à lire les affectations éligibles du contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Cela inclut la lecture des modèles du rôle du répertoire, les rôles du répertoire et les appartenances. Oui Non
RoleManagement.Read.All Consultez les données de gestion des rôles pour tous les fournisseurs RBAC. Permet à l’application de lire les paramètres de contrôle d’accès en fonction du rôle (RBAC) pour tous les fournisseurs RBAC pris en charge, au nom de l’utilisateur connecté. Cela inclut la lecture des définitions de rôle et des attributions de rôle. Oui Non
RoleManagement.Read.Directory Consultez les données de gestion des rôles pour Azure AD. Autoriser une application à lire les paramètres du contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Cela inclut la lecture des modèles du rôle du répertoire, les rôles du répertoire et les appartenances. Oui Non
RoleManagementPolicy.Read.Directory Consultez toutes les stratégies pour les affectations privilégiées de rôle pour le répertoire de votre entreprise. Permet à l’application de lire les stratégies d’affectations privilégiées de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Oui Non
RoleAssignmentSchedule.ReadWrite.Directory Consultez, mettez à jour et supprimez toutes les affectations actives de rôle pour l’annuaire de votre entreprise. Permet à l'application de lire et de gérer les affectations actives de contrôle d'accès basé sur les rôles (RBAC) pour l'annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut la gestion des adhésions actives aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions actives. Oui Non
RoleEligibilitySchedule.ReadWrite.Directory Consultez, mettez à jour et supprimez toutes les affectations éligibles de rôle pour l’annuaire de votre entreprise. Permet à l'application de lire et de gérer les affectations éligibles de contrôle d'accès basé sur les rôles (RBAC) pour l'annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut l'instanciation des rôles d'annuaire et la gestion des adhésions éligibles aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions éligibles. Oui Non
RoleManagement.ReadWrite.Directory Consultez et écrivez les données de gestion des rôles pour tous Azure AD. Permet à l'application de lire et de gérer les paramètres de contrôle d'accès basé sur les rôles (RBAC) pour l'annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut l'instanciation des rôles d'annuaire et la gestion des adhésions aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions. Oui Non
RoleManagementPolicy.ReadWrite.Directory Consultez, mettez à jour et supprimez toutes les stratégies pour les affectations privilégiées de rôle pour le répertoire de votre entreprise. Permet à l’application de consulter, mettre à jour et supprimer les stratégies de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
RoleManagement.Read.All Consultez les données de gestion des rôles pour tous les fournisseurs RBAC. Permet à l’application de lire les paramètres de contrôle d’accès en fonction du rôle (RBAC) pour tous les fournisseurs RBAC pris en charge, sans utilisateur connecté. Cela inclut la lecture des définitions de rôle et des attributions de rôle. Oui
RoleManagement.Read.Directory Consultez les données de gestion des rôles pour Azure AD. Permet à l'application de lire les paramètres de contrôle d'accès basé sur les rôles (RBAC) de l'annuaire de votre entreprise, sans qu'un utilisateur soit connecté. Cela inclut la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions. Oui
RoleManagement.ReadWrite.Directory Consultez et écrivez les données de gestion des rôles pour tous Azure AD. Permet à l'application de lire, puis de gérer les paramètres de contrôle d'accès en fonction du rôle (RBAC) pour l’annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut l'instanciation des rôles d'annuaire et la gestion des adhésions aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions. Oui

Remarques

Avec l'autorisation RoleManagement.Read.Directory, une application peut lire directoryRoles et directoryRoleTemplates. Cela inclut la lecture des informations d’appartenance pour les rôles d’annuaire.

Avec l'autorisation RoleManagement.ReadWrite.Directory, une application peut lire et écrire directoryRoles (directoryRoleTemplates sont des ressources en lecture seule). Cela inclut l’ajout et la suppression de membres des rôles d’annuaire.

Les autorisations de gestion des rôles sont valides uniquement pour les comptes professionnels ou scolaires.

Exemple d’utilisation

  • RoleManagement.Read.Directory : lire la liste des modèles de rôle disponibles (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory : lire la liste des rôles activés dans votre annuaire (GET /directoryRoles)
  • RoleManagement.Read.Directory : lire la liste des membres pour un rôle (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory : lire la liste des membres étendus de l’unité administrative pour un rôle (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory : activer un rôle de répertoire à partir d’un modèle de rôle (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory : ajouter un membre à un rôle de répertoire (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory : ajouter un membre étendu de l’unité administrative à un rôle de répertoire (POST /directoryRoles/<id>/scopedMembers)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations pour la gestion de planning (version d'évaluation privée)

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Schedule.ReadWrite.All (préversion privée) Lire et écrire des données de service des équipes (Teams) Permet à une application de lire et d’écrire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées sans utilisateur connecté. Oui Non
Schedule.Read.All (préversion privée) Lire des données de service des équipes (Teams) Permet à l’application de lire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées sans utilisateur connecté. Oui Non

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Schedule.ReadWrite.All Lire et écrire des données de service des équipes (Teams) Permet à une application de lire et d’écrire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées au mon de l’utilisateur connecté. Non Non
Schedule.Read.All Lire des données de service des équipes (Teams) Permet à l’application de lire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées au mon de l’utilisateur connecté. Non Non
WorkforceIntegration.ReadWrite.All (préversion privée) Accéder en lecture et en lecture aux intégrations du personnel Permet à l’application de gérer les intégrations du personnel, de synchroniser les données des équipes Microsoft Teams avec un système intégré, au nom de l’utilisateur connecté. Oui Non
WorkforceIntegration.Read.All (préversion privée) Accéder en lecture et en lecture aux intégrations du personnel Permet à l’application de gérer les intégrations du personnel, de synchroniser les données des équipes Microsoft Teams avec un système intégré, au nom de l’utilisateur connecté. Oui Non

Autorisations de recherche

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ExternalConnection.ReadWrite.OwnedBy Lire et écrire des connexions externes et des paramètres de connexion Permet à l’application de lire et d’écrire des connexions externes et leurs paramètres sans utilisateur connecté. L’application peut uniquement lire et écrire des connexions externes auxquelles elle est autorisée, ou elle peut créer de nouvelles connexions externes. Oui Non
ExternalItem.ReadWrite.OwnedBy Lire et écrire des éléments externes Permet à l’application de lire et d’écrire des éléments externes sans utilisateur connecté. L’application peut uniquement lire les éléments externes de la connexion à laquelle elle est autorisée. Oui Non
ExternalItem.ReadWrite.All Lire et écrire tous les éléments externes Permet à l’application de lire et d’écrire tous les éléments externes sans utilisateur connecté. Oui Non

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ExternalItem.Read.All Lire des données externes Permet à une application d’interroger des données ingérées avec les connecteurs Microsoft Graph Oui Non

Remarques

Les autorisations de recherche ne sont valides que pour les comptes professionnels ou scolaires.

Cette autorisation de recherche s’applique uniquement aux données ingérées à partir de l’API d’indexation.

L’accès aux données via la recherche nécessite l’autorisation de lecture dans l’élément. Par exemple : Files.Read.All pour accéder aux fichiers via la recherche.

Exemple d’utilisation

Déléguée

  • ExternalItem.ReadWrite.All : accéder à des données externes à partir de l’API de recherche (POST /search/query).

Autorisations de sécurité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
SecurityEvents.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Oui Non
SecurityEvents.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Permet également à l’application de mettre à jour les propriétés modifiables dans les événements de sécurité pour le compte de l’utilisateur connecté. Oui Non
SecurityActions.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Oui Non
SecurityActions.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisation Permet à l’application de lire ou mettre à jour les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Oui Non
ThreatIndicators.ReadWrite.OwnedBy Gérer les indicateurs contre les menaces cette application crée ou propriétaire Permet à l’application de créer des indicateurs de menaces et de gérer entièrement ces indicateurs de menaces (lire, mettre à jour et supprimer), au nom de l’utilisateur connecté. Oui Non
ThreatIndicators.Read.All Lecture des indicateurs de menace de votre organisation Permet à l’application de lire tous les indicateurs dans votre organisation, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
SecurityEvents.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation. Oui
SecurityEvents.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation. Permet également à l’application de mettre à jour les propriétés modifiables dans les événements de sécurité. Oui
SecurityActions.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation. Oui
SecurityActions.ReadWrite.All Créer et lire les événements de sécurité de votre organisation Permet à l’application lire ou créer des actions de sécurité, sans l’utilisateur connecté. Oui
ThreatIndicators.ReadWrite.OwnedBy Gérer les indicateurs contre les menaces cette application crée ou propriétaire Permet de l’application créer des indicateurs de contre les menaces et entièrement gérer ces indicateurs contre les menaces (lire, mettre à jour et supprimer), sans l’utilisateur connecté. Il ne peut pas mettre à jour les indicateurs contre les menaces dont il n’est pas propriétaire. Oui
ThreatIndicators.Read.All Gérer les indicateurs de menaces que cette application crée ou possède Permet à l’application de lire tous les indicateurs dans votre organisation, sans utilisateur connecté. Oui

Remarques

Les autorisations de sécurité sont valides uniquement sur les comptes professionnels ou scolaires.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

  • SecurityEvents.Read.All : lire la liste de toutes les alertes de sécurité à partir de tous les fournisseurs de sécurité sous licence disponibles à votre client (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All : mettre à jour ou lire les alertes de sécurité à partir de tous les fournisseurs de sécurité sous licence disponibles à votre client (PATCH /beta/security/alerts/{id})

Autorisations de communication de service

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ServiceHealth.Read.All État du service de lecture Permet à l’application de lire les renseignements sur l’état du service de votre locataire au nom de l’utilisateur inscrit. Les renseignements sur l’état peuvent inclure des problèmes de service ou des aperçus de l’état du service. Oui Oui
ServiceMessage.Read.All Messages du service de lecture Permet à l’application de lire les messages d’annonce du service de votre locataire au nom de l’utilisateur inscrit. Les messages peuvent inclure des informations sur les nouvelles fonctionnalités ou les fonctionnalités modifiées. Oui Oui
ServiceMessageViewpoint.Write Mettre à jour l’état de votre utilisateur sur les messages d’annonce de service Permet à l’application de mettre à jour l’état utilisateur des messages d’annonce de service pour le compte de l’utilisateur connecté. L’état du message peut être marqué comme lu, archivé ou favori. Oui Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ServiceHealth.Read.All État du service de lecture Permet à l’application de lire les renseignements sur l’état du service de votre locataire, sans un utilisateur connecté. Les renseignements sur l’état peuvent inclure des problèmes de service ou des aperçus de l’état du service. Oui
ServiceMessage.Read.All Messages du service de lecture Permet à l’application de lire les messages d’annonce du service de votre locataire, sans un utilisateur connecté. Les messages peuvent inclure des informations sur les nouvelles fonctionnalités ou les fonctionnalités modifiées. Oui

Autorisations de brèves notes (préversion privée)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ShortNotes.Read Lire les brèves notes de l’utilisateur connecté Permet à l’application de lire toutes les brèves notes auxquelles l’utilisateur connecté a accès. Non Oui
ShortNotes.ReadWrite Lire, créer, modifier et supprimer de brèves notes de l’utilisateur connecté Permettre à l’application de lire, créer, modifier et supprimer de brèves notes d’un utilisateur connecté. Non Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ShortNotes.Read.All Lire toutes les brèves notes des utilisateurs Permet à l’application de lire toutes les brèves notes, sans utilisateur connecté. Oui
ShortNotes.ReadWrite.All Lire, créer, modifier et supprimer les brèves notes de tous les utilisateurs Permettre à l’application de lire, créer, modifier et supprimer toutes les brèves notes, sans utilisateur connecté. Oui

Autorisations de sites

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Sites.Read.All Lire des éléments dans toutes les collections de sites Permet à l’application de lire des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. Non Non
Sites.ReadWrite.All Accéder en lecture et en écriture aux éléments de toutes les collections de sites Permet à l’application de modifier ou de supprimer des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. Non Non
Sites.Manage.All Créer, modifier et supprimer des éléments et des listes dans toutes les collections de sites Permet à l’application de gérer et de créer des listes, des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. Non Non
Sites.FullControl.All Contrôler pleinement toutes les collections de sites Permet à l’application de contrôler complètement les sites SharePoint dans toutes les collections de sites au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Sites.Read.All Lire des éléments dans toutes les collections de sites Permet à l’application de lire les documents et les éléments de liste dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.ReadWrite.All Accéder en lecture et en écriture aux éléments de toutes les collections de sites Permet à l’application de créer, de lire, de mettre à jour et de supprimer des documents et des éléments de liste dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.Manage.All Créer, modifier et supprimer des éléments et des listes dans toutes les collections de sites Permet à l’application de gérer et de créer les listes, les documents et les éléments de liste dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.FullControl.All Contrôler pleinement toutes les collections de sites Permet à l’application de contrôler complètement les sites SharePoint dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.Selected Accéder aux collections de sites sélectionnées Autoriser l’application à accéder à un sous-ensemble de collections de sites sans utilisateur connecté. Les collections de sites spécifiques et les autorisations octroyées seront configurées dans SharePoint Online. Oui

Remarques

Les autorisations de sites sont valides uniquement dans les comptes professionnels ou scolaires. L’autorisation d’application Sites.Selected est uniquement disponible dans l’API Microsoft Graph.

Exemple d’utilisation

Déléguée

  • Sites.Read.All : Lire les listes sur le site racine de SharePoint (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All : Créer des éléments de liste dans une liste SharePoint (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All : Ajouter une nouvelle liste à un site SharePoint (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All : Accéder à tous les sites SharePoint et à toutes les listes.

Autorisations de tâches

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Tasks.Read Lire les tâches et listes de tâches des utilisateurs (préversion) Permet à l’application de lire les tâches et listes des tâches de l’utilisateur connecté, y compris les partagées avec l’utilisateur. N’inclut pas l’autorisation de créer, supprimer ou mettre à jour quoi que ce soit. Non Oui
Tasks.Read.Shared Accéder en lecture aux tâches utilisateur et aux tâches partagées (aperçu) Permet à l’application de lire les tâches auxquelles un utilisateur peut accéder, qu’il s’agisse des siennes ou de tâches partagées. Non Non
Tasks.ReadWrite Créer, lire, mettre à jour et supprimer des tâches et des listes de tâches d’un utilisateur (préversion) Permet à l’application de créer, lire, mise à jour, et supprimer les tâches et listes des tâches de l’utilisateur connecté, y compris les partagées avec l’utilisateur. Non Oui
Tasks.ReadWrite.Shared Accéder en lecture et en écriture aux tâches utilisateur et aux tâches partagées (aperçu) Permet à l’application de créer, lire, mettre à jour et supprimer les tâches auxquelles un utilisateur peut accéder, qu’il s’agisse des siennes ou de tâches partagées. Non Non

Autorisations de l’application

Aucun.

Remarques

Les tâches autorisations permettent de contrôler l’accès pour les tâches et les tâches Outlook (déconseillées). L’accès aux tâches Microsoft Planner est contrôlé par __ autorisations de groupe.

Les autorisations partagées sont actuellement prises en charge uniquement pour les comptes professionnels ou scolaires. Même avec les autorisations partagées, la lecture et l’écriture peut échouer si l’utilisateur qui possède le contenu partagé n’a pas accordé des autorisations d’accès pour modifier le contenu du dossier.

Exemple d’utilisation

Déléguée

  • Tasks.Read : Obtenir toutes les tâches de la boîte aux lettres d’un utilisateur (GET /me/outlook/tasks).
  • Tasks.Read.Shared : Accéder aux tâches d’un dossier partagé avec vous par un autre utilisateur de votre organisation (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite : Ajouter un événement au dossier de tâches par défaut de l’utilisateur (POST /me/outlook/tasks).
  • Tasks.Read : Obtenir toutes les tâches inachevées dans la boîte aux lettres d’un utilisateur (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite : Mettre à jour une tâche dans la boîte aux lettres d’un utilisateur (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared : Exécuter une tâche au nom d’un autre utilisateur (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de taxonomie

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TermStore.Read.All Lire les données du magasin de termes Permet à l’application de lire plusieurs termes, ensembles et groupes dans le magasin de termes Oui Non
TermStore.ReadWrite.All Lire et écrire toutes les données du magasin de termes Permet à l’application de modifier ou supprimer les termes, ensembles et groupes dans le magasin de termes Oui Non

Remarques

Les autorisations de taxonomie sont valides uniquement sur les comptes professionnels ou scolaires.

Exemple d’utilisation

Delegated

  • TermStore.Read.All : lire le termstore pour le locataire (GET /termStore)
  • TermStore.ReadWrite.All : créer des conditions dans la termStore (POST /termStore/sets/123/children)

Autorisations Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Accéder en lecture aux noms et les descriptions des équipes Accéder en lecture aux noms et les descriptions des équipes au nom de l’utilisateur connecté. Non Non
Team.Create Créer des équipes Créer des équipes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Obtenir la liste de toutes les équipes Obtenir la liste de toutes les équipes, sans utilisateur connecté. Oui Non
Team.Create Créer des équipes Créer des équipes, sans utilisateur connecté. Oui Non
Teamwork.Migrate.All Gérer la migration vers Microsoft Teams Création et gestion de ressources pour la migration vers Microsoft Teams Oui Oui

Autorisations de paramètres des équipes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamSettings.Read.All Accéder en lecture aux paramètres des équipes Accéder en lecture aux paramètres de cette équipe au nom de l’utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Lire et modifier les paramètres des équipes Lire et modifier les paramètres de toutes les équipes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamSettings.Read.All Accéder en lecture à tous les paramètres des équipes Accéder en lecture aux paramètres de cette équipe, sans utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Accéder en lecture et en modification à tous les paramètres des équipes. Accéder en lecture et en modification à tous les paramètres de toutes les équipes sans utilisateur connecté. Oui Non

Autorisations d’activité des équipes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsActivity.Read (préversion privée) Lire le flux d’activités du travail en équipe d’un utilisateur Permet à l’application de lire le flux d’activités du travail en équipe de l’utilisateur connecté. Non Non
TeamsActivity.Send Envoyer une activité de travail d’équipe en tant qu’utilisateur Autorise l’application à créer des notifications dans les flux de travail en équipe des utilisateurs pour le compte de l’utilisateur connecté. Ces notifications peuvent être indétectables ou être retenues ou gouvernées par des stratégies de conformité. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsActivity.Read.All (préversion privée) Lire le flux d’activités du travail en équipe de tous les utilisateurs Permet à l’application de lire le flux d’activités du travail en équipe de tous les utilisateurs, sans utilisateur connecté. Oui Non
TeamsActivity.Send Envoyer une activité de travail d’équipe à un utilisateur Autorise l’application à créer des notifications dans les flux de travail en équipe des utilisateurs sans utilisateur connecté. Ces notifications peuvent être indétectables ou être retenues ou gouvernées par des stratégies de conformité. Oui Non

Autorisations de l'application Teams (déconseillées)

Notes

Ces autorisations sont déconseillées. Utilisez les autorisations TeamsAppInstallation.*.All équivalentes à la place.

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsApp.Read.All (déconseillée) Accéder en lecture aux applications Teams installées Autorise une application à lire les applications Teams installées pour l’utilisateur connecté, et dans toutes les équipes dont l’utilisateur est membre. Ne permet pas la lecture de paramètres spécifiques d’une application. Oui Non
TeamsApp.ReadWrite.All (Déconseillée) Gérer toutes les applications Teams Autorise l’application à lire, installer, mettre à niveau, et désinstaller les applications Teams, pour le compte de l’utilisateur connecté, ainsi que pour les équipes dont l’utilisateur est membre. Ne permet de lire ou d’écrire les paramètres spécifiques d’une application. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsApp.Read.All (déconseillée) Lire les applications Teams installées de tous les utilisateurs Permet à l'application de lire les applications Teams qui sont installées pour n'importe quel utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsApp.ReadWrite.All (Déconseillée) Gérer les applications Teams de tous les utilisateurs Permet à l'application de lire, d'installer, de mettre à niveau et de désinstaller les applications Teams pour tout utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire ou d'écrire les paramètres spécifiques à l'application. Oui Non

Autorisations d’installation pour les applications Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsAppInstallation.ReadForUser Accéder en lecture aux applications Teams installées d’un utilisateur Permet à l'application de lire les applications Teams qui sont installées pour l'utilisateur connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Non Non
TeamsAppInstallation.ReadWriteForUser Gérer les applications Teams installées d’un utilisateur Permet à l'application de lire, installer, mettre à niveau et désinstaller les applications Teams installées pour l'utilisateur connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteSelfForUser (préversion privée) Autoriser l’application à se gérer elle-même dans les équipes Permet à l’application Teams de lire, installer, mettre à jour et se désinstaller elle-même des équipes auxquelles l’utilisateur connecté peut accéder. Non Non
TeamsAppInstallation.ReadForTeam Lire les applications Teams installées dans les équipes Permet à l'application de lire les applications Teams qui sont installées dans les équipes auxquelles l'utilisateur connecté peut accéder. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteForTeam Gérer les applications Teams installées dans les équipes Permet à l'application de lire, installer, mettre à niveau et désinstaller les applications Teams dans les équipes auxquelles l'utilisateur connecté peut accéder. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteSelfForTeam (préversion privée) Autoriser l’application à se gérer elle-même dans les équipes Permet à l’application Teams de lire, installer, mettre à jour et se désinstaller elle-même des équipes auxquelles l’utilisateur connecté peut accéder. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
TeamsAppInstallation.ReadForUser.All Lire les applications Teams installées pour tous les utilisateurs Permet à l'application de lire les applications Teams qui sont installées pour n'importe quel utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteForUser.All Gérer les applications Teams pour tous les utilisateurs Permet à l'application de lire, d'installer, de mettre à niveau et de désinstaller les applications Teams pour tout utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteSelfForUser.All (préversion privée) Autoriser l’application à se gérer elle-même pour tous les utilisateurs Permet à Teams de lire, installer, mettre à jour et se désinstaller elle-même pour n'importe quel utilisateur, sans qu'il soit connecté. Oui
TeamsAppInstallation.ReadForTeam.All Lire les applications Teams installées pour toutes les équipes Permet à l'application de lire les applications Teams qui sont installées dans n'importe quelle équipe, sans qu'un utilisateur soit connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteForTeam.All Gérer les applications Teams pour toutes les équipes Permet à l'application de lire, d'installer, de mettre à niveau, puis de désinstaller les applications Teams de n’importe quelle équipe, sans qu'il soit nécessaire de se connecter. Ne permet pas de lire les paramètres spécifiques à l’application. Oui
TeamsAppInstallation.ReadWriteSelfForTeam.All (préversion privée) Autoriser l’application Teams à se gérer elle-même pour toutes les équipes Permet à Teams de lire, installer, mettre à jour et se désinstaller elle-même dans une équipe, sans utilisateur connecté. Oui

Autorisations de membre del’équipe

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamMember.Read.All Lisez les membres des équipes. Lisez les membres des équipes au nom de l’utilisateur connecté. Oui Non
TeamMember.ReadWrite.All Ajoutez et supprimez des membres des équipes. Ajoutez et supprimez des membres des équipes au nom de l’utilisateur connecté. Permet également de modifier le rôle d’un membre, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamMember.Read.All Lisez les membres de toutes les équipes. Lisez les membres de toutes les équipes, sans utilisateur connecté. Oui Non
TeamMember.ReadWrite.All Ajoutez et supprimez des membres de toutes les équipes. Ajoutez et supprimez des membres de toutes les équipes, sans utilisateur connecté. Permet également de modifier le rôle d’un membre d’équipe, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamSettings.Read.Group Lire les paramètres de cette équipe. Accéder en lecture aux paramètres de cette équipe, sans utilisateur connecté. Non Non
TeamSettings.ReadWrite.Group Mettez à jour les paramètres de cette équipe. Accédez en lecture et en écriture aux paramètres de cette équipe, sans utilisateur connecté. Non Non
ChannelSettings.Read.Group Accéder en lecture aux noms, descriptions et paramètres des canaux de cette équipe. Accéder en lecture aux noms des canaux de cette équipe, descriptions des canaux et paramètres des canaux sans utilisateur connecté. Non Non
ChannelSettings.ReadWrite.Group Mettez à jour les noms, les descriptions et les paramètres des canaux de cette équipe. Mettez à jour les noms des canaux de cette équipe, les descriptions des canaux et les paramètres des canaux sans utilisateur connecté. Non Non
Channel.Create.Group Créer des canaux au sein de cette équipe. Créer des canaux au sein de cette équipe, sans utilisateur connecté. Non Non
Channel.Delete.Group Supprimer les canaux de l’équipe. Supprimer les canaux de cette équipe, sans utilisateur connecté. Non Non
ChannelMessage.Read.Group Lire les messages des canaux de l’équipe. Permet à une application de lire les messages du canal de cette équipe, sans utilisateur connecté. Non Non
TeamsAppInstallation.Read.Group Voir quelles applications sont installées dans cette équipe. Voir quelles applications sont installées dans cette équipe, sans utilisateur connecté. Non Non
TeamsTab.Read.Group Lire les onglets de cette équipe. Accéder en lecture aux onglets de cette équipe, sans utilisateur connecté. Non Non
TeamsTab.Create.Group Créer des onglets au sein cette équipe. Créer des onglets au sein de cette équipe, sans utilisateur connecté. Non Non
TeamsTab.ReadWrite.Group Mettez à jour les onglets de cette équipe. Mettez à jour les onglets de cette équipe, sans utilisateur connecté. Non Non
TeamsTab.Delete.Group Supprimer les onglets de cette équipe. Supprimer les onglets de cette équipe, sans utilisateur connecté. Non Non
TeamMember.Read.Group Lire les membres de cette équipe. Lisez les membres de cette équipe, sans utilisateur connecté. Non Non
Member.Read.Group Lisez les membres de ce groupe. Lire les membres de ce groupe, sans utilisateur connecté. Non Non
Owner.Read.Group Lisez les propriétaires de ce groupe. Lire les propriétaires de ce groupe, sans utilisateur connecté. Non Non
File.Read.Group Lire les fichiers et les dossiers de cette équipe. Support limité
(Aperçu) Lire les fichiers et les dossiers de cette équipe sans utilisateur connecté.
Non Non
TeamsActivity.Send.Group Envoyer des notifications de flux d’activités aux utilisateurs de cette équipe. Permet à l’application de créer des notifications dans les flux d’activités de travail d’équipe des utilisateurs de cette équipe, sans utilisateurs. Non Non

Autorisations de paramètres Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Accéder en lecture aux noms et les descriptions des équipes Accéder en lecture aux noms et les descriptions des équipes au nom de l’utilisateur connecté. Non Non
TeamSettings.Read.All Accéder en lecture aux paramètres des équipes Accéder en lecture aux paramètres de toutes les équipes au nom de l’utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Lire et modifier les paramètres des équipes. Lire et modifier les paramètres de toutes les équipes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Obtenir la liste de toutes les équipes. Obtenir la liste de toutes les équipes, sans utilisateur connecté. Oui Non
TeamSettings.Read.All Accéder en lecture à tous les paramètres des équipes Accéder en lecture aux paramètres de cette équipe, sans utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Accéder en lecture et en modification à tous les paramètres des équipes Accéder en lecture et en modification à tous les paramètres de toutes les équipes sans utilisateur connecté. Non Non

Autorisations de l’onglet Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsTab.Read.All Accéder en lecture aux onglets dans Microsoft Teams. Autorise une application à lire les applications Teams installées pour l’utilisateur connecté, et dans toutes les équipes dont l’utilisateur est membre. Ne permet pas la lecture de paramètres spécifiques d’une application. Oui Non
TeamsTab.ReadWrite.All Accéder en lecture et en écriture aux onglets dans Microsoft Teams. Autorise l’application à lire, installer, mettre à niveau, et désinstaller les applications Teams, pour le compte de l’utilisateur connecté, ainsi que pour les équipes dont l’utilisateur est membre. Ne permet de lire ou d’écrire les paramètres spécifiques d’une application. Oui Non
TeamsTab.Create Créer des onglets dans Microsoft Teams. Permet à l'application de créer des onglets dans une équipe Microsoft Teams, au nom de l’utilisateur connecté. Vous n’avez donc pas la possibilité de lire, modifier ou de supprimer des onglets après leur création, ou d’autoriser l’accès au contenu à l’intérieur des onglets. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsTab.Read.All Accéder en lecture aux onglets dans Microsoft Teams. Lire les noms et paramètres des onglets d'une équipe Microsoft Teams, sans utilisateur connecté. Cela ne donne pas la possibilité d’accéder au contenu à l’intérieur des onglets. Oui Non
TeamsTab.ReadWrite.All Accéder en lecture et en écriture aux onglets dans Microsoft Teams. Lire et écrire des onglets dans une équipe Microsoft Teams, sans utilisateur connecté. Cela ne donne pas la possibilité d’accéder au contenu à l’intérieur des onglets. Oui Non
TeamsTab.Create Créer des onglets dans Microsoft Teams. Permet à l'application de créer des onglets dans une équipe Microsoft Teams, sans utilisateur connecté. Vous n’avez donc pas la possibilité de lire, modifier ou de supprimer des onglets après leur création, ou d’autoriser l’accès au contenu à l’intérieur des onglets. Oui Non

Autorisations de balise Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamworkTag.ReadWrite Balises de lecture et d’écriture dans Microsoft Teams. Balises de lecture et d’écriture dans une équipe Microsoft Teams, sans utilisateur connecté. Oui Non
TeamworkTag.Read Balises de lecture dans Microsoft Teams. Balises de lecture dans une équipe Microsoft Teams, sans utilisateur connecté. Oui Non

Autorisations de conditions d’utilisation

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Agreement.Read.All Lire toutes les conditions d’utilisation Permet à l’application de lire les conditions d’utilisation au nom de l’utilisateur connecté. Oui Non
Agreement.ReadWrite.All Lire et écrire toutes les conditions d’utilisation Permet à l’application de lire et d’écrire les conditions d’utilisation au nom de l’utilisateur connecté. Oui Non
AgreementAcceptance.Read Lire les statuts d’acceptation des conditions d’utilisation Permet à l’application de lire les statuts d’acceptation des conditions d’utilisation au nom de l’utilisateur connecté. Oui Non
AgreementAcceptance.Read.All Lire les statuts d’acceptation des conditions d’utilisation accessibles par l’utilisateur Permet à l’application de lire les statuts d’acceptation des conditions d’utilisation au nom de l’utilisateur connecté. Oui Non

Remarques

Toutes les autorisations ci-dessus sont valides uniquement pour les comptes professionnels ou scolaires.

Pour permettre à une application de lire ou d’écrire tous les accords ou les statuts d’acceptation des accords avec des autorisations déléguées, l’utilisateur connecté doit disposer du rôle Administrateur général, Administrateur de l’accès conditionnel ou Administrateur de la sécurité. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Déléguée

Les utilisations suivantes sont valides pour les autorisations déléguées :

  • Agreement.Read.All : lire toutes les conditions d’utilisation (GET /beta/agreements)
  • Agreement.ReadWrite.All : lire et écrire toutes les conditions d’utilisation (POST /beta/agreements)
  • AgreementAcceptance.Read : lire les statuts d’acceptation des conditions d’utilisation (GET /beta/me/agreementAcceptances)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’installation pour les applications Teams(préversion privée)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsAppInstallation.ReadForUser (préversion privée) Accéder en lecture aux applications Teams installées d’un utilisateur Permet à l'application de lire les applications Teams qui sont installées pour l'utilisateur connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteForUser (préversion privée) Gérer les applications Teams installées d’un utilisateur Permet à l'application de lire, installer, mettre à niveau et désinstaller les applications Teams installées pour l'utilisateur connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Non Non
TeamsAppInstallation.ReadWriteSelfForUser (préversion privée) Autoriser l’application à se gérer elle-même dans les équipes Permet à l’application Teams de lire, installer, mettre à jour et se désinstaller elle-même des équipes auxquelles l’utilisateur connecté peut accéder. Oui Non
TeamsAppInstallation.ReadForTeam (préversion privée) Lire les applications Teams installées dans les équipes Permet à l'application de lire les applications Teams qui sont installées dans les équipes auxquelles l'utilisateur connecté peut accéder. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteForTeam (préversion privée) Gérer les applications Teams installées dans les équipes Permet à l'application de lire, installer, mettre à niveau et désinstaller les applications Teams dans les équipes auxquelles l'utilisateur connecté peut accéder. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteSelfForTeam (préversion privée) Autoriser l’application à se gérer elle-même dans les équipes Permet à l’application Teams de lire, installer, mettre à jour et se désinstaller elle-même des équipes auxquelles l’utilisateur connecté peut accéder. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
TeamsAppInstallation.ReadForUser.All (préversion privée) Lire les applications Teams installées pour tous les utilisateurs Permet à l'application de lire les applications Teams qui sont installées pour n'importe quel utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteForUser.All (préversion privée) Gérer les applications Teams pour tous les utilisateurs Permet à l'application de lire, d'installer, de mettre à niveau et de désinstaller les applications Teams pour tout utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteSelfForUser.All (préversion privée) Autoriser l’application à se gérer elle-même pour tous les utilisateurs Permet à Teams de lire, installer, mettre à jour et se désinstaller elle-même pour n'importe quel utilisateur, sans qu'il soit connecté. Oui
TeamsAppInstallation.ReadForTeam.All (préversion privée) Lire les applications Teams installées pour toutes les équipes Permet à l'application de lire les applications Teams qui sont installées dans n'importe quelle équipe, sans qu'un utilisateur soit connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteForTeam.All (préversion privée) Gérer les applications Teams pour toutes les équipes Permet à l'application de lire, d'installer, de mettre à niveau, puis de désinstaller les applications Teams de n’importe quelle équipe, sans qu'il soit nécessaire de se connecter. Ne permet pas de lire les paramètres spécifiques à l’application. Oui
TeamsAppInstallation.ReadWriteSelfForTeam.All (préversion privée) Autoriser l’application Teams à se gérer elle-même pour toutes les équipes Permet à Teams de lire, installer, mettre à jour et se désinstaller elle-même dans une équipe, sans utilisateur connecté. Oui

Autorisations d’évaluation des menaces

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ThreatAssessment.ReadWrite.All Lire et écrire des demandes d’évaluation des menaces Permet à une application de lire les demandes d’évaluation des menaces de votre organisation à la place de l’utilisateur connecté. Permet également à l’application de créer des demandes pour évaluer les menaces reçues par votre organisation à la place de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ThreatAssessment.Read.All Lire les demandes d’évaluation des menaces Permet à une application de lire les demandes d’évaluation des menaces de votre organisation sans utilisateur connecté. Oui

Remarques

Les autorisations d’évaluation sont valides uniquement dans les comptes professionnels ou scolaires.

Exemple d’utilisation

Déléguée

  • ThreatAssessment.ReadWrite.All : lire et écrire les demandes d’évaluation des menaces (POST /informationProtection/threatAssessmentRequests)

Application

  • ThreatAssessment.Read.All : lire les demandes d’évaluation des menaces (GET /informationProtection/threatAssessmentRequests)

Autorisations d’impression universelle

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Printer.Create Enregistrer des imprimantes Permet à l’application de créer (enregistrer) des imprimantes au nom de l’utilisateur connecté. Oui Non
Printer.FullControl.All Enregistrer, lire, mettre à jour et désinscrire des imprimantes Permet à l'application de créer (enregistrer), lire, mettre à jour, et supprimer (désinscrire) les imprimantes au nom de l’utilisateur connecté. Oui Non
Printer.Read.All Lire des imprimantes Permet à l’application de lire les imprimantes au nom de l’utilisateur connecté. Oui Non
Printer.ReadWrite.All Lire et mettre à jour des imprimantes Permet à l’application de lire et de mettre à jour les imprimantes au nom de l’utilisateur connecté. N’autorise pas la création (inscription) ou la suppression d’imprimantes (désinscription). Oui Non
PrinterShare.ReadBasic.All Lire les informations de base sur les partages d’imprimantes Autorise l’application à lire des informations de base sur les partages d’imprimantes au nom de l’utilisateur connecté. Ne permet pas de lire des informations de contrôle d’accès. Non Non
PrinterShare.Read.All Lire des partages d’imprimantes Permet à l’application de lire les partages d’imprimantes au nom de l’utilisateur connecté. Non Non
PrinterShare.ReadWrite.All Lire et écrire des partages d’imprimantes Permet à l’application de lire et de mettre à jour les partages d’imprimantes au nom de l’utilisateur connecté. Oui Non
PrintJob.Create Créer des tâches d’impression Permet à l’application de créer des tâches d’impression au nom de l’utilisateur connecté et de charger le contenu d’un document dans les tâches d’impression créées par l’utilisateur connecté. Non Non
PrintJob.Read Lire les tâches d’impression de l’utilisateur Permet à l’application de lire les métadonnées et le contenu du document des tâches d’impression créées par l’utilisateur connecté. Non Non
PrintJob.Read.All Lire les tâches d’impression Permet à l’application de lire les métadonnées et le contenu du document des tâches d’impression au nom de l’utilisateur connecté. Oui Non
PrintJob.ReadBasic Lire des informations de base sur les tâches d’impression de l’utilisateur Permet à l’application de lire les métadonnées des tâches d’impression créées par l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Non Non
PrintJob.ReadBasic.All Lire des informations de base sur les tâches d’impression Permet à l’application de lire les métadonnées des tâches d’impression au nom de l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui Non
PrintJob.ReadWrite Lire et écrire des tâches d’impression de l’utilisateur Permet à l’application de lire et de mettre à jour les métadonnées et le contenu du document des tâches d’impression créées par l’utilisateur connecté. Non Non
PrintJob.ReadWrite.All Lire et écrire des tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées et le contenu du document des tâches d’impression au nom de l’utilisateur connecté. Oui Non
PrintJob.ReadWriteBasic Lire et écrire des informations de base sur les tâches d’impression d’un utilisateur Permet à l’application de lire et de mettre à jour les métadonnées des tâches d’impression créées par l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Non Non
PrintJob.ReadWriteBasic.All Lire et écrire des informations de base sur les tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées des tâches d’impression au nom de l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui Non
PrintConnector.Read.All Lire les connecteurs Permet à l’application de lire les connecteurs de la part de l’utilisateur connecté. Oui Non
PrintConnector.ReadWrite.All Lire et écrire des connecteurs d’impression Permet à l’application de lire et d’écrire des connecteurs d’impression au nom de l’utilisateur connecté. Oui Non
PrintSettings.Read.All Lire les paramètres d’impression à l’échelle du client Permet à l’application de lire les paramètres d’impression de la part de l’utilisateur signé. Oui Non
PrintSettings.ReadWrite.All Lire et écrire des paramètres d’impression à l’échelle du client Permet à l’application de lire et de mettre à jour les paramètres d’impression de la part de l’utilisateur inscrit. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Printer.Read.All Lire des imprimantes Permet à l'application de lire les imprimantes sans utilisateur connecté. Oui
Printer.ReadWrite.All Lire et mettre à jour des imprimantes Permet à l'application de lire et de mettre à jour les imprimantes sans utilisateur connecté. N’autorise pas la création (inscription) ou la suppression d’imprimantes (désinscription). Oui
PrintJob.Manage.All Effectuer des opérations avancées sur des tâches d’impression Permet à l’application d’effectuer des opérations avancées telles que la redirection d’une tâche d’impression vers une autre imprimante sans utilisateur connecté. Permet également à l’application de lire et de mettre à jour les métadonnées des tâches d’impression. Oui
PrintJob.Read.All Lire les tâches d’impression Permet à l’application de lire les métadonnées et le contenu du document des tâches d’impression sans utilisateur connecté. Oui
PrintJob.ReadBasic.All Lire des informations de base pour les tâches d’impression Permet à l’application de lire les métadonnées des tâches d’impression sans utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui
PrintJob.ReadWrite.All Lire et écrire des tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées et le contenu du document des tâches d’impression sans utilisateur connecté. Oui
PrintJob.ReadWriteBasic.All Lire et écrire des informations de base pour les tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées des tâches d’impression sans utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui
PrintTaskDefinition.ReadWrite.All Lire, écrire et mettre à jour les définitions de tâche d’impression Permet à l'application de lire et de mettre à jour les définitions des tâches d'impression sans utilisateur connecté. Oui

Remarques

  • Pour utiliser le service d’impression universel, le locataire ou l’utilisateur de l’application doit avoir un abonnement d’impression universelle actif, outre les autorisations précédemment répertoriées.

  • Certaines autorisations font la distinction entre les métadonnées de tâches d’impression et la charge utile. Les métadonnées décrivent la configuration d’une tâche d’impression (son nom et la configuration du document, par exemple, s’il doit être agrafé ou imprimé en couleur). La charge utile représente les données du document proprement dit (fichier PDF ou XPS à imprimer).

  • Les autorisations Toutes les tâches d’impression.* nécessitent également Printer.Read.All (ou une autorisation plus privilégiée), car les tâches d’impression sont stockées dans les imprimantes.

Exemple d’utilisation

Delegated

  • Printer.Read.All : obtenir la liste de toutes les imprimantes chez le client (GET /print/printers)
  • Printer.Read.All : obtenir la liste de toutes les tâches d’impression mises en file d’attente dans une imprimante (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All : supprimer (désinscrire) une imprimante (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All : mettre à jour les métadonnées (par exemple, l’état actuel) des tâches d’impression (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All : créer des tâches d’impression et y charger des données de document (POST /print/printers/{id}/jobs)

Application

  • Printer.Read.All : obtenir la liste de toutes les imprimantes chez le client (GET /print/printers)

Autorisations utilisateur

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
User.Read Activer la connexion et lire le profil utilisateur Permet aux utilisateurs de se connecter à l’application et permet à l’application de lire le profil des utilisateurs connectés. Elle permet également à l’application de lire les informations de base sur la société des utilisateurs connectés. Non Oui
User.ReadWrite Accéder en lecture et en écriture au profil utilisateur Permet à l’application de lire le profil complet de l’utilisateur connecté. Elle permet également à l’application de mettre à jour les informations de profil de l’utilisateur connecté à sa place. Non Oui
User.ReadBasic.All Lire les profils de base de tous les utilisateurs Permet à l’application de lire un ensemble de base de propriétés de profil d’autres utilisateurs de votre organisation au nom de l’utilisateur connecté. Cela inclut le nom d’affichage, le nom et prénom, l’adresse e-mail, les extensions ouvertes et la photo. Permet également à l’application de lire le profil complet de l’utilisateur connecté. Non Non
User.Read.All Lire les profils complets de tous les utilisateurs Permet à l’application de lire l’ensemble complet des propriétés de profil, les rapports et les responsables d’autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. Oui Non
User.ReadWrite.All Lire et écrire les profils complets de tous les utilisateurs Permet à l’application de lire et d’écrire l’ensemble complet des propriétés de profil, les rapports et les responsables d’autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. Permet également à l’application de créer et de supprimer des utilisateurs, ainsi que de réinitialiser les mots de passe au nom de l’utilisateur connecté. Oui Non
User.Invite.All Inviter des utilisateurs à rejoindre l’organisation Permet à l’application d’inviter des utilisateurs à rejoindre votre organisation au nom de l’utilisateur connecté. Oui Non
User.Export.All Exporter les données des utilisateurs Permet à l’application d’exporter les données de l’utilisateur d’une organisation, lorsque l’opération est effectuée par un administrateur de la société. Oui Non
User.ManageIdentities.All Gérer les identités des utilisateurs Autorise une application à lire, de mettre à jour et supprimer les identités associées au compte d’un utilisateur auquel l’utilisateur connecté a accès. Cela contrôle les identités pouvant servir à la connexion de vos utilisateurs. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
User.Read.All Lire les profils complets de tous les utilisateurs Permet à l’application de lire l’ensemble complet des propriétés de profil, l’appartenance à un groupe, les rapports et les responsables d’autres utilisateurs de votre organisation, sans utilisateur connecté. Oui
User.ReadWrite.All Lire et écrire les profils complets de tous les utilisateurs Permet à l’application de lire et d’écrire l’ensemble complet des propriétés de profil, l’appartenance à un groupe, les rapports et les responsables d’autres utilisateurs de votre organisation, sans utilisateur connecté. Permet également à l’application de créer et de supprimer des utilisateurs non administrateurs. N’autorise pas la réinitialisation des mots de passe utilisateur. Oui
User.Invite.All Inviter des utilisateurs à rejoindre l’organisation Permet à l’application d’inviter des utilisateurs à rejoindre votre organisation sans qu’aucun utilisateur ne soit connecté. Oui
User.Export.All Exporter les données des utilisateurs Permet à l’application d’exporter les données de l’utilisateur d’une organisation, sans utilisateur connecté. Oui
User.ManageIdentities.All Gérer toutes les identités des utilisateurs Autorise une application à lire, mettre à jour et supprimer les identités associées au compte d'un utilisateur, sans utilisateur connecté. Cela contrôle les identités pouvant servir à la connexion des utilisateurs. Oui

Remarques

Avec l’autorisation User.Read, une application peut également lire les informations de base de l’entreprise de l’utilisateur connecté pour un compte scolaire ou professionnel via la ressource organisation. Les propriétés suivantes sont disponibles : id, displayName et verifiedDomains.

Pour les comptes professionnels ou scolaires, le profil complet inclut toutes les propriétés déclarées de la ressource Utilisateur. Au cours des lectures, seul un nombre limité de propriétés est renvoyé par défaut. Pour lire les propriétés qui ne se trouvent pas dans l’ensemble par défaut, utilisez $select. Les propriétés par défaut sont :

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

Les autorisations déléguées User.ReadWrite et User.Readwrite.All autorisent l’application à mettre à jour les propriétés de profil suivantes pour les comptes professionnels ou scolaires :

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • Photo
  • preferredName
  • responsibilities
  • schools
  • skills

Avec l’autorisation de l’application User.ReadWrite.All, l’application peut mettre à jour toutes les propriétés déclarées des comptes professionnels ou scolaires à l’exception de votre mot de passe.

Avec l’autorisation déléguée ou applicative User.ReadWrite.All, la mise à jour de la propriété businessPhones, MobilePhone ou otherMails d’un autre utilisateur est autorisée uniquement pour les utilisateurs qui ne sont pas administrateurs ou qui ont l’un des rôles suivants: lecteurs d’annuaires, inviteur d’invités, lecteur de centre de messages et lecteur de rapports. Pour plus d’informations, voir Administrateur du support technique (Mot de passe) dans Rôles disponibles dans Azure AD.

Pour lire ou écrire des rapports directs (directReports) ou le responsable (manager) d’un compte scolaire ou professionnel, l’application doit avoir l’autorisation User.Read.All (lecture seule) ou User.ReadWrite.All.

L’autorisation User.ReadBasic.All limite l’accès de l’application à un ensemble limité de propriétés appelé profil de base. En effet, le profil complet peut contenir des informations sensibles concernant le répertoire. Le profil de base inclut uniquement les propriétés suivantes :

  • displayName
  • givenName
  • mail
  • Photo
  • surname
  • userPrincipalName

Pour lire les appartenances aux groupes d’un utilisateur (memberOf), l’application doit avoir l’autorisation Group.Read.All ou Group.ReadWrite.All. Toutefois, si l’utilisateur a également une appartenance à un rôle d’annuaire ou à une unité administrative, l’application devra obtenir les autorisations effectives pour lire également ces ressources. Dans le cas contraire, Microsoft Graph renvoie une erreur. Cela signifie que l’application aura également besoin des autorisations du répertoire, et, pour les autorisations déléguées, l’utilisateur connecté devra également disposer des droits suffisants dans l’organisation pour accéder aux rôles d’annuaire et aux unités administratives.

Avec l’autorisation User.ManageIdentities.All déléguée ou d’application, il est possible de mettre à jour les identités (identities) d’un utilisateur. Cela inclut les identités fédérées (ou sociales) ou locales avec des noms de connexion par e-mail ou par nom.

Exemple d’utilisation

Déléguée

  • User.Read : Lire le profil complet de l’utilisateur connecté (GET /me).
  • User.ReadWrite : Mettre à jour la photo de l’utilisateur connecté (PUT /me/photo/$value).
  • User.ReadBasic.All : Rechercher tous les utilisateurs dont le nom commence par « David » (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All : Lire le responsable d’un utilisateur (GET /users/{id | userPrincipalName}/manager).

Application

  • User.Read.All : Lire tous les utilisateurs et toutes les relations au moyen de la requête delta (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All : Mettre à jour la photo d’un utilisateur dans l’organisation (PUT /users/{id | userPrincipalName}/photo/$value).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations d’activité utilisateur

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
UserActivity.ReadWrite.CreatedByApp Lire et écrire l’activité de l’application dans le flux d’activités des utilisateurs Permet à l’application de lire et de signaler l’activité de l’utilisateur connecté dans l’application. Non Oui

Autorisations de l’application

Aucun.

Remarques

UserActivity.ReadWrite.CreatedByApp est valide pour les comptes Microsoft et les comptes professionnels ou scolaires.

La contrainte CreatedByApp associée à cette autorisation indique que le service appliquera un filtrage implicite aux résultats en fonction de l’identité de l’application appelante, soit l’ID d’application MSA soit un ensemble d’ID d’application configuré pour une identité d’application multiplateforme.

Exemple d’utilisation

Déléguée

  • UserActivity.ReadWrite.CreatedByApp : obtenir la liste des activités récentes de l’utilisateur unique en fonction des éléments d’historique associés publiés le dernier jour. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp : publier ou mettre à jour une activité utilisateur qui peut être reprise par l’utilisateur de l’application. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp : publier ou mettre à jour un élément d’historique pour une activité utilisateur spécifiée afin de représenter la période d’engagement utilisateur. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp : supprimer une activité utilisateur en réponse à une demande initiée par l’utilisateur ou pour supprimer des données non valides. (DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp : supprimer un élément d’historique en réponse à une demande initiée par l’utilisateur ou pour supprimer des données non valides. (DELETE /me/activities/{id}/historyItems/{id}).

Autorisations des méthodes d’authentification des utilisateurs (aperçu)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
UserAuthenticationMethod.Read (aperçu) Lire ses propres méthodes d'authentification Permet à l’application de lire les méthodes d’authentification de l’utilisateur connecté, y compris les numéros de téléphone et les paramètres d’application d’Authentificateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe de l'utilisateur et ne peut pas se connecter ou utiliser les moyens d'authentification de l'utilisateur connecté. Oui Non
UserAuthenticationMethod.Read.All (aperçu) Lecture des méthodes d'authentification de l'utilisateur Permet à l’application de lire les méthodes d’authentification de tous les utilisateurs de votre organisation auxquelles l’utilisateur connecté a accès. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui Non
UserAuthenticationMethod.ReadWrite (aperçu) Gérer ses propres méthodes d'authentification Permet à l’application de lire et d'écrire les méthodes d’authentification de l’utilisateur connecté, y compris les numéros de téléphone et les paramètres d’application d’Authentificateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe de l'utilisateur et ne peut pas se connecter ou utiliser les moyens d'authentification de l'utilisateur connecté. Oui Non
UserAuthenticationMethod.ReadWrite.All (aperçu) Gestion des méthodes d'authentification de l'utilisateur Permet à l’application de lire et écrire les méthodes d’authentification de tous les utilisateurs de votre organisation auxquelles l’utilisateur connecté a accès. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
UserAuthenticationMethod.Read.All (aperçu) Lecture des méthodes d'authentification de l'utilisateur Permet à l’application de lire les méthodes d’authentification de tous les utilisateurs de votre organisation sans utilisateur connecté. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui
UserAuthenticationMethod.ReadWrite.All (aperçu) Gestion des méthodes d'authentification de l'utilisateur Permet à l’application de lire et écrire les méthodes d’authentification de tous les utilisateurs de votre organisation sans utilisateur connecté. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui

Remarques

Les autorisations d’une méthode d’authentification d’utilisateur sont utilisées pour gérer des méthodes d’authentification d’utilisateurs. Avec ces autorisations un utilisateur délégué ou une application peut enregistrer de nouvelles méthodes d’authentification d’un utilisateur, lire les méthodes d’authentification que l’utilisateur a inscrites, mettre à jour ces méthodes d’authentification, et les supprimer chez l’utilisateur.

Grâce à ces autorisations, toutes les méthodes d’authentification d’un utilisateur peuvent être lues et gérées :

  • Authentification principale (mot de passe)
  • Deuxième facteur de l'authentification multifacteur/MFA (numéros de téléphone)
  • Réinitialisation du mot de passe libre-service/SSPR (adresse e-mail)

Autorisations des mises à jour Windows

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
WindowsUpdates.ReadWrite.All Lire et écrire tous les paramètres de déploiement de Windows Update Permet à l’application de lire et d’écrire tous les paramètres de déploiement de Windows Update pour l’organisation au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
WindowsUpdates.ReadWrite.All Lire et écrire tous les paramètres de déploiement de Windows Update Permet à l’application de lire et d’écrire tous les paramètres de déploiement de Windows Update pour l’organisation sans un utilisateur connecté. Oui

Remarques

Toutes les autorisations ci-dessus sont valides uniquement pour les comptes professionnels ou scolaires.

Pour permettre à une application de lire ou d’écrire tous les paramètres de déploiement Windows Update avec des autorisations déléguées, l’utilisateur connecté doit disposer du rôle Administrateur général, Administrateur intune. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Déléguée

  • WindowsUpdates.ReadWrite.All: Créer un déploiement (POST /beta/admin/windows/updates/deployments).

Application

  • WindowsUpdates.ReadWrite.All: Créer un déploiement (POST /beta/admin/windows/updates/deployments).

Autorisations de stratégie des méthodes d’authentification (aperçu)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Policy.ReadWrite.AuthenticationMethod (aperçu) Lire et écrire toutes les stratégies des méthodes d’authentification. Permet à l’application de lire et d’écrire toutes les stratégies des méthodes d’authentification sur un client Azure AD. En outre, le rôle d’Administrateur général doit être attribué à l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Policy.ReadWrite.AuthenticationMethod (aperçu privé) Lire et écrire toutes les stratégies des méthodes d’authentification. Permet à l’application de lire et d’écrire toutes les stratégies des méthodes d’authentification sur un client Azure AD. Oui

Remarques

Les autorisations de stratégie des méthodes d’authentification sont utilisées pour gérer les paramètres dans la stratégie des méthodes d’authentification, notamment l’activation et la désactivation des méthodes d’authentification, la permission donnée aux utilisateurs et aux groupes d’utiliser ces méthodes, ainsi que la configuration d’autres paramètres liés aux méthodes d’authentification que les utilisateurs peuvent enregistrer et utiliser dans un client.

Scénarios d’autorisation

Cette section présente quelques scénarios courants qui ciblent les ressources utilisateur et groupe dans une organisation. Les tableaux indiquent les autorisations dont une application a besoin pour effectuer des opérations spécifiques requises par le scénario. Notez que, dans certains cas, la possibilité pour l’application d’effectuer des opérations spécifiques dépend de s’il s’agit d’une autorisation de l’application ou d’une autorisation déléguée. Dans le cas d’autorisations déléguées, les autorisations effectives de l’application dépendent également des droits de l’utilisateur connecté au sein de l’organisation. Pour plus d’informations, reportez-vous à la rubrique Autorisations déléguées, autorisations de l’application et autorisations effectives.

Scénarios d’accès relatifs aux ressources de l’utilisateur

Tâches de l’application impliquant l’utilisateur Autorisations requises Chaînes d’autorisation
L’application souhaite lire les informations de base d’autres utilisateurs (nom d’affichage et image uniquement), par exemple pour les afficher dans une expérience de choix de personnes User.ReadBasic.All Lire les profils de base de tous les utilisateurs
L’application souhaite lire le profil utilisateur complet pour l’utilisateur connecté (voir rapports directs, responsable, etc.) User.Read Activer la connexion et lire le profil utilisateur
L’application souhaite lire le profil utilisateur complet de tous les utilisateurs User.Read.All Lire les profils complets de tous les utilisateurs
L’application souhaite lire les fichiers, ainsi que les informations de messagerie et de calendrier de l’utilisateur connecté User.Read, Files.Read, Mail.Read, Calendars.Read Activer la connexion et lire le profil utilisateur, Accéder en lecture aux fichiers utilisateur, Accéder en lecture aux courriers électroniques utilisateur, Accéder en lecture aux calendriers utilisateur
L’application souhaite lire les fichiers (my) de l’utilisateur connecté et les fichiers que d’autres utilisateurs ont partagés avec l’utilisateur connecté (me). User.Read, Files.Read, Sites.Read.All Activer la connexion et lire le profil utilisateur, Accéder en lecture aux fichiers utilisateur, Lire des éléments dans toutes les collections de sites
L’application souhaite lire et écrire le profil complet de l’utilisateur connecté User.ReadWrite Accéder en lecture et en écriture au profil utilisateur
L’application souhaite lire et écrire le profil complet de tous les utilisateurs User.ReadWrite.All Lire et écrire les profils complets de tous les utilisateurs
L’application souhaite lire et écrire les fichiers, ainsi que les informations de messagerie et de calendrier de l’utilisateur connecté User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Accéder en lecture et en écriture au profil utilisateur, Accéder en lecture et en écriture au profil utilisateur, Accéder en lecture et en écriture aux courriers électroniques utilisateur, Avoir un accès total à des calendriers utilisateur
L’application souhaite envoyer une demande d’opération de stratégie de données pour exporter les données personnelles d’un utilisateur User.Export.All Exporter les données personnelles d’un utilisateur.

Scénarios d’accès relatifs aux ressource du groupe

Tâches de l’application impliquant le groupe Autorisations requises Chaînes d’autorisation
L’application souhaite lire les informations du groupe de base (nom d’affichage et image uniquement), par exemple pour les afficher dans une expérience de choix de groupes Group.Read.All Accéder en lecture à tous les groupes
L'application veut lire tout le contenu de tous les groupes Microsoft 365, y compris les fichiers et les conversations. Elle doit également afficher les membres du groupe, être en mesure de mettre à jour les membres du groupe (si propriétaire). Group.Read.All Lire des éléments dans toutes les collections de sites, Lire tous les groupes
L'application veut lire et écrire tout le contenu de tous les groupes Microsoft 365, y compris les fichiers et les conversations. Elle doit également afficher les membres du groupe, être en mesure de mettre à jour les membres du groupe (si propriétaire). Group.ReadWrite.All, Sites.ReadWrite.All Lire et écrire tous les groupes, Modifier ou supprimer des éléments dans toutes les collections de sites
L'application veut découvrir (trouver) un groupe Microsoft 365. Elle permet à l'utilisateur de rechercher un groupe particulier et d'en choisir un dans la liste énumérée pour permettre à l'utilisateur de rejoindre le groupe. Group.ReadWrite.All Lire et écrire tous les groupes
L’application souhaite créer un groupe via AAD Graph Group.ReadWrite.All Lire et écrire tous les groupes