Engedélyhatókörök |} Graph API fogalmak
A következőkre vonatkozik: Graph API |} Az Azure Active Directory (AD)
A Graph API-val való hozzáférést, amelyre az alkalmazást directory ügyféladatok használt OAuth 2.0-engedélyhatókörök mutatja. Fejlesztői az alkalmazás rendelkezik a szükséges megfelelő engedélyhatókörök konfigurálnia. Általában ehhez az Azure portálon keresztül. Bejelentkezéskor felhasználók vagy rendszergazdák kapnak az alkalmazás eléréséhez a címtáradatok konfigurált engedéllyel hatókörként engedélyezése hozzájárul lehetőséget. Emiatt engedélyhatókörök, amely a legkevésbé válasszon az alkalmazás által igényelt jogosultsági szint. További engedélyek az alkalmazás és a hozzájárulási folyamat további információkért lásd: alkalmazások integrálása az Azure Active Directoryval.
Fontos
Határozottan javasoljuk, hogy használjon Microsoft Graph helyett az Azure AD Graph API Azure Active Directory-erőforrások eléréséhez. A fejlesztéshez most összpontosítani Microsoft Graph, és nincs további fejlesztések Azure AD Graph API tervbe van véve. Nagyon korlátozott számú forgatókönyvek, amelyek az Azure AD Graph API továbbra is megfelelő lehet; További információkért lásd: a Microsoft Graph vagy az Azure AD Graph blogbejegyzés az Office-fejlesztői központban.
Engedély hatókör fogalmak
Csak alkalmazáshoz és a delegált hatókörök
Engedélyhatókörök lehet csak alkalmazás- vagy delegált. Csak alkalmazás hatókörök (más néven app szerepkörök) adja meg az alkalmazást, a hatókör által biztosított jogosultságokat állítsa teljes. Csak alkalmazás hatókörök megtalálhatók-e bejelentkezett felhasználó nélküli szolgáltatásként futó alkalmazások által általában használt. Delegált engedélyhatókörök vannak az alkalmazáshoz, amelyet a felhasználó bejelentkezik. Ezek a hatókörök delegálása a bejelentkezett felhasználó az alkalmazáshoz, amely lehetővé teszi az alkalmazásnak, hogy a bejelentkezett felhasználó nevében járhasson jogosultságokkal. Az alkalmazás tényleges jogosultsággal rendelkeznek a minimális jogosultságokkal rendelkező kombinációja (a metszetének) jogosultságot kell hatókörét, és a bejelentkezett felhasználó által birtokolt. Például ha az engedély hatókörhöz engedélyezi a összes címtárobjektumok írási jogosultsággal, de a bejelentkezett felhasználónak nincs jogosultsága csak a saját felhasználói profil frissítése, az alkalmazás csak lesz a bejelentkezett felhasználó profilját, de más objektumok nem írási hozzáférést.
A felhasználók és csoportok teljes és alapvető profilok
A teljes profil (vagy a profil), egy felhasználói vagy egy csoport tartalmazza az összes deklarált Entitástulajdonságok. A profil tartalmazhatnak bizalmas címtáradatok vagy személyes azonosításra alkalmas adatokat (PII), mert több hatókörök korlátozni az egy alapvető profiladataihoz néven tulajdonságok korlátozott számú alkalmazás eléréséhez. A felhasználók számára, az alapszintű profil tartalmaz, csak a következő tulajdonságokkal: név, az utónév és Vezetéknév, az fénykép megjelenítéséhez, és az e-mail cím. A csoportok az alapvető profiladataihoz csak megjelenítendő nevét tartalmazza.
Engedély hatókör részletei
A következő táblázat felsorolja a Graph API-engedélyhatókörök, és ismerteti az egyes által biztosított hozzáférést.
- A hatókör oszlop megjeleníti a hatókör nevét. Hatókör neve érvénybe az űrlap resource.operation.constraint; például Group.ReadWrite.All. Ha a korlátozás "All", a hatókör az alkalmazás számára lehetőséget ad a végrehajtani a műveletet (ReadWrite), a könyvtárban; a megadott erőforrások (csoport) összes a hatókör ellenkező esetben csak a bejelentkezett felhasználó a profilban a művelet lehetővé teszi. Hatókörök adhatnak korlátozott jogosultságokkal a megadott művelethez, tekintse meg a leírás oszlop részleteket.
- A engedély az oszlopban látható a hatóköre hogyan jelenik meg az Azure portálon.
- A leírás oszlop ismerteti a teljes jogosultsággal hatálya. Delegált hatókörök a tényleges hozzáférést biztosít az alkalmazás a hatókör és a bejelentkezett felhasználó jogosultságával által biztosított hozzáférést minimális jogosultságokkal rendelkező (metszetének) kombinációja lesz.
| Hatókör | Engedély | Leírás | Hatókör típusa | Rendszergazda jóváhagyását igényli |
|---|---|---|---|---|
| User.Read | Bejelentkezés engedélyezése és a felhasználói profil olvasása | Lehetővé teszi, hogy a felhasználók bejelentkeznek az alkalmazásba, és lehetővé teszi, hogy az alkalmazás olvassa a bejelentkezett felhasználó teljes profil. A teljes profil tartalmazza az összes deklarált tulajdonságainak a felhasználói entitás. User.Read lehetővé teszi az alkalmazásnak a bejelentkezett felhasználó az alábbi főbb munkahelyi adatainak olvasását (keresztül a TenantDetail objektum): Bérlőazonosító, bérlő megjelenített név és ellenőrzött tartományok. Az alkalmazás nem tudja olvasni a navigálási tulajdonságok, például manager vagy a közvetlen beosztottak. Az alkalmazás nem olvasható be a jelszót. | delegált | Nem |
| User.ReadBasic.All | Olvassa el az összes felhasználó alapvető profilok | Lehetővé teszi, hogy az alkalmazás olvassa a bejelentkezett felhasználó nevében a szervezetben lévő összes felhasználó alapvető profiladataihoz. Az alábbi tulajdonságokat tartalmazzák a felhasználó alapvető profiladataihoz: név, az utónév és Vezetéknév, az fénykép megjelenítéséhez, és az e-mail cím. Olvassa el a csoportokat, amelyek a felhasználó tagja, hogy az alkalmazás is szükséges Group.Read.All vagy Group.ReadWrite.All. | delegált | Nem |
| User.Read.All | Az összes profiladatának olvasása | Ugyanaz, mint User.ReadBasic.All, azzal a különbséggel, hogy lehetővé teszi az alkalmazásnak, hogy navigációs tulajdonságok olvasásakor, olvassa el az összes olyan felhasználó, a szervezet és a teljes profil, például manager és a közvetlen beosztottak. A teljes profil tartalmazza az összes deklarált tulajdonságainak a felhasználói entitás. Olvassa el a csoportokat, amelyek a felhasználó tagja, hogy az alkalmazás is szükséges Group.Read.All vagy Group.ReadWrite.All. Az alkalmazás nem olvasható be a felhasználói jelszavakat. | delegált | Igen |
| Group.Read.All | Olvassa el az összes csoport (előzetes verzió) | Lehetővé teszi, hogy az alkalmazás olvassa a bejelentkezett felhasználó nevében a szervezetben lévő összes csoportot alapvető profiladataihoz. Az alkalmazás is tud olvasni a csoportokat, amelyek egy csoport tagja az alapvető profiladataihoz. Egy csoport alapvető profiladataihoz csak a csoport megjelenített nevét tartalmazza. A profil adatolvasás a csoport tagjait, az alkalmazás is szükséges User.ReadBasic vagy User.Read.All. | delegált | Igen |
| Group.ReadWrite.All | Olvasási és írási összes csoport (előzetes verzió) | Itt engedélyezheti az alkalmazásnak a bejelentkezett felhasználó nevében csoportjainak létrehozása és frissítése, a szervezeten belül, valamint az összes csoportot teljes profil olvasása. Az alkalmazás is tud olvasni a csoportokat, amelyek egy csoport tagja a teljes profiljában. A teljes profil tartalmazza az összes deklarált tulajdonságainak a csoport entitás. A profilok olvasni, vagy frissíteni a csoport tagjai, az alkalmazás is szükséges User.ReadBasic vagy User.Read.All. | delegált | Igen |
| Device.ReadWrite.All | Olvasási és írási minden eszköz | Itt engedélyezheti az alkalmazásnak olvasása és írása az összes eszköz tulajdonságai felhasználói bejelentkezés nélkül. Nem engedélyezi az eszköz létrehozásához, és eszközök törlésére, vagy az eszközök másodlagos biztonsági azonosítóinak frissítése. | csak alkalmazáshoz | Igen |
| Directory.Read.All | Címtáradatok olvasása | Lehetővé teszi, hogy az alkalmazás olvassa a munkahely címtárában, például felhasználók, csoportok és alkalmazások, adatok, és a kapcsolódó navigálási tulajdonságok. Megjegyzés:: felhasználók hozzájárulhat alkalmazásokat, amelyek szüksége van rá, ha az alkalmazás a saját szervezet bérlő regisztrálva van. | csak alkalmazáshoz, a meghatalmazott | Igen |
| Directory.ReadWrite.All | Címtáradatok olvasása és írása | Lehetővé teszi, hogy az alkalmazás olvassa a munkahely címtárában adatok. Lehetővé teszi az alkalmazás létrehozása és frissítése a felhasználók és csoportok, és a navigálási tulajdonságok frissítése, de nem engedélyezi a felhasználó vagy csoport törlése. Lehetővé teszi az alkalmazásnak, hogy a sémakiterjesztések meg az alkalmazások. Jogosultságok részletes listájáért lásd: Directory.ReadWrite.All jogosultságok részletes alatt. | csak alkalmazáshoz, a meghatalmazott | Igen |
| Directory.AccessAsUser.All | Hozzáférés a címtárhoz a bejelentkezett felhasználó | Itt engedélyezheti az alkalmazásnak ugyanolyan szintű hozzáférése legyen az adatokat a munkahely címtárában a bejelentkezett felhasználó nevében. Megjegyzés:: natív ügyfélalkalmazás is kérheti a felhasználótól, azonban ez az engedély hozzájárul, a webes alkalmazás megköveteli a rendszergazda jóváhagyását. | delegált | Igen |
Megjegyzés:: alapértelmezés szerint létrehoz egy alkalmazást az Azure-portált használja, ha az Azure AD rendeli User.Read engedélyt hatókörét.
Directory.ReadWrite.All jogosultságokkal részletei
A Directory.ReadWrite.All engedély hatókörhöz engedélyezi a következő engedélyekkel:
- Olvasási (deklarált tulajdonságok és navigálási Tulajdonságok) directory-objektumok
- Létrehozása és frissítése a felhasználók
- Tiltsa le majd engedélyezze a felhasználók (de nem a vállalati rendszergazda)
- Állítsa be a felhasználó alternatív biztonsági azonosítója (de nem rendszergazda)
- Csoportjainak létrehozása és frissítése
- Csoporttagságok kezelése
- Frissítési csoport tulajdonosa
- A licenc-hozzárendeléseivel kezelése
- Sémakiterjesztések meg az alkalmazások
- Lehetővé teszi, hogy a jelszót kell beállítani, amikor a felhasználó hoz létre.
- Megjegyzés:: nincs jogosultsága felhasználói jelszavak átállítása
- Megjegyzés:: nincs jogosultsága, olvassa el a felhasználói jelszavak
- Megjegyzés:: nincs jogosultsága entitások (beleértve a felhasználók vagy csoportok)
- Megjegyzés:: kifejezetten kizárja létrehozása vagy frissítése a fent nem említett entitások. Ez magában foglalja: Oauth2PermissionGrant, eszköz, alkalmazás, AppRoleAssignment, szolgáltatásnév, TenantDetail, tartományok, stb.
Engedély hatókör forgatókönyvek
Az alábbi táblázat a engedélyhatókörök szükséges az alkalmazásoknak műveleteket végezhet. Vegye figyelembe, hogy egyes esetekben az alkalmazás hajthatnak végre bizonyos műveleteket függenek e engedély hatókörének csak alkalmazást, vagy delegált, és engedélyt replikálástípus a bejelentkezett felhasználó jogosultságával esetén.
| Forgatókönyv | Hozzáférés szükséges | Szükséges engedély hatókör |
|---|---|---|
| Bejelentkezés és egy csempe, amely a felhasználó nevét és a miniatűr fényképre megjelenítése. | A bejelentkezett felhasználó teljes profil olvasása. Főbb munkahelyi adatainak olvasását. |
User.Read |
| Alapszintű személyek kiválasztása. | Olvassa el az összes olyan felhasználó alapvető profiladataihoz a bejelentkezett felhasználó nevében. | User.ReadBasic.All |
| Személyek objektumválasztó teljes profillal. | Ugyanaz a fentiek szerint azonban a felhasználók a bejelentkezett felhasználó nevében teljes profil eléréséhez. | User.Read.All |
| Szervezeti diagram navigator. | A bejelentkezett felhasználó nevében minden felhasználó, a kezelők és a közvetlen beosztottak teljes profil olvasása. | User.Read.All |
| Személyek kiválasztása, amely tartalmazza az alkalmazásához való hozzáférés-vezérléshez csoportok. Csoport és a tagság viewer. |
Olvassa el a bejelentkezett felhasználó nevében összes csoportok és felhasználók alapvető profiladataihoz. Olvassa el az alapvető felhasználói profilok felhasználói manager és a közvetlen beosztottak. Olvassa el a felhasználók csoport tagságának alapvető profiladataihoz. Olvassa el a csoport csoporttagságok alapvető profiladataihoz. Olvassa el a csoport tagjainak alapvető profiladataihoz |
User.ReadBasic.All és Group.Read.All |
| A profil a bejelentkezett felhasználó és a a felhasználó manager, a közvetlen beosztottai és a csoporttagságokat megjelenítése. | Használjon me olvasási műveletek: A teljes profil a bejelentkezett felhasználó. A bejelentkezett felhasználó manager és a közvetlen beosztottak teljes profil. A csoportok, amely a bejelentkezett felhasználó tagja alapvető profiladataihoz. Megjegyzés:: a két hatókörök kombinációja hozzáférést biztosít több mint az itt említett me műveletek. |
User.Read.All és Group.Read.All |
| Csoport felügyeleti szolgáltatás, amely lehetővé teszi, hogy a felhasználók számára csoportok létrehozásához és kezeléséhez. | A bejelentkezett felhasználó nevében összes csoportok és felhasználók teljes profil olvasása. Olvassa el a felhasználók manager és a közvetlen beosztottak teljes profilok. A felhasználók csoport tagságának teljes profil olvasása. Csoportok csoporttagságok teljes profil olvasása. A csoport tagjai teljes profil olvasása. Hozzon létre, és a frissítési csoportok és a navigálási tulajdonságok (tag). |
User.Read.All és Group.ReadWrite.All |
| Olvassa el az összes directory-objektumok (beleértve a navigálási Tulajdonságok). | Directory.Read.All | |
| Olvassa el az összes directory-objektumok (beleértve a navigálási Tulajdonságok). Hozzon létre, és a felhasználók és csoportok objektumokat frissíteni. Nincs felhasználó vagy csoport törlése. Megjegyzés:: az itt felsorolt nem minden jogosultsággal. |
Directory.ReadWrite.All | |
| A bejelentkezett felhasználó nevében járhasson. | Olvasási és írási (beleértve a navigálási Tulajdonságok) címtárobjektumok a bejelentkezett felhasználó nevében. | Directory.AccessAsUser.All |
Alapértelmezett hozzáférési rendszergazdák, a felhasználók és a vendégfelhasználók számára
A következő táblázat az alapértelmezett hozzáférési (globális) rendszergazdák, a felhasználók és a vendégfelhasználók a címtárban. Az alapértelmezett hozzáférési lehet további kibővített vagy korlátozott a konfigurációs beállításokat a directory és/vagy a felhasználó egy vagy több directory szerepkör tagjának kell lennie. A felhasználók és a címtáradatok vendégfelhasználók hozzáférés beállításáról további: létrehozása és módosítása az Azure AD-felhasználók. A különböző directory szerepkörökhöz rendelt hozzáférésével kapcsolatos további információkért lásd: rendszergazdai szerepkörök hozzárendelése az Azure AD.
| Felhasználó típusa | Hozzáférés |
|---|---|
| Globális rendszergazda | Olvassa el az összes directory objektum. Létrehozása, frissítése és törlése az összes |
| Felhasználói | Olvassa el az összes directory objektum. Alkalmazások és a társított szolgáltatás rendszerbiztonsági tagok létrehozása. A profil frissítése. Frissítse a csoportokat, amelyek a saját (és a tagok tulajdonság). Frissítse az alkalmazások és a saját szolgáltatásnevekről. Alkalmazások és az általuk szolgáltatásnevekről törlése. |
| Vendég felhasználó | Olvassa el a teljes profilját. Olvassa el a többi felhasználó alapvető profilok Olvassa el az összes csoport alapvető profiladataihoz. Olvassa el az alkalmazásokat. A profil néhány tulajdonságainak frissítésére. Nincs felhasználó vagy csoport keresési (lásd: felhasználók és csoportok keresése a vendégfelhasználók korlátozások alatt). |
Felhasználók és csoportok keresése a vendégfelhasználók korlátozások
Felhasználó és csoport keresési képességek engedélyezése az alkalmazás által végzett lekérdezések végrehajtása keresendő bármely felhasználónak vagy csoportnak a könyvtárat a felhasználók vagy csoportok erőforráskészlethez (például https://graph.windows.net/myorganization/users?api-version=1.6). Rendszergazdák és felhasználók rendelkeznek ezzel a funkcióval. Vendégfelhasználók azonban nem. A bejelentkezett felhasználó esetén a Vendég felhasználó engedély hatókörétől függően egy alkalmazást az objektum Azonosítóját vagy a felhasználó egyszerű felhasználónév (UPN) a felhasználó vagy csoport Objektumazonosító (például segítségével elolvashatják a profil egy adott felhasználó vagy csoport , https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6); azonban ez nem hajtják végre a lekérdezéseket a felhasználók vagy csoportok egynél több entitáskészlet potenciálisan kérő erőforráskészlethez. Például attól függően, hogy az engedély hatókör, az alkalmazás tudja olvasni a profilokat, a felhasználók vagy csoportok, amely akkor jut hozzá a navigálási tulajdonságok az alábbi hivatkozások által, de azt nem adható ki a lekérdezés visszaadna minden felhasználót vagy csoportot a címtárban.