Microsoft Graph のアクセス許可のリファレンスMicrosoft Graph permissions reference

アプリから Microsoft Graph のデータにアクセスする場合、ユーザーまたは管理者は、同意のプロセスを通してそのアプリに正しいアクセス許可を付与する必要があります。For your app to access data in Microsoft Graph, the user or administrator must grant it the correct permissions via a consent process. このトピックでは、Microsoft Graph API の各主要なセットに関連付けられているアクセス許可について説明します。This topic lists the permissions associated with each major set of Microsoft Graph APIs. また、アクセス許可の使用方法に関するガイダンスを提供しています。It also provides guidance about how to use the permissions.

アクセス許可の詳細については、「認証と承認の基本」と、次に示すビデオを参照してください。To learn more about how permissions work, see Authentication and authorization basics, and watch the following video.

Microsoft Graph のアクセス許可名Microsoft Graph permission names

Microsoft Graph のアクセス許可名は、「リソース.操作.制約」という簡単なパターンに従います。たとえば、User.Read ではサインインしているユーザーのプロファイルを読み取るためのアクセス許可を付与し、User.ReadWrite ではサインインしているユーザーのプロファイルを読み取りおよび変更するためのアクセス許可を付与します。また、Mail.Send ではサインインしているユーザーの代わりにメールを送信するためのアクセス許可を付与します。Microsoft Graph permission names follow a simple pattern: resource.operation.constraint. For example, User.Read grants permission to read the profile of the signed-in user, User.ReadWrite grants permission to read and modify the profile of the signed-in user, and Mail.Send grants permission to send mail on behalf of the signed-in user.

名前の_制約_要素は、ディレクトリ内でアプリがアクセスする可能性のある範囲を決定します。現在、Microsoft Graph は次に示す制約をサポートしています。The constraint element of the name determines the potential extent of access your app will have within the directory. Currently Microsoft Graph supports the following constraints:

  • All: ディレクトリ内にある指定した種類のすべてのリソースに対して操作を実行するためのアクセス許可をアプリに付与します。たとえば、User.Read.All は、ディレクトリ内のすべてのユーザーのプロファイルを読み取るための特権をアプリに付与することになります。All grants permission for the app to perform the operations on all of the resources of the specified type in a directory. For example, User.Read.All potentially grants the app privileges to read the profiles of all of the users in a directory.
  • Shared: サインインしているユーザーと共有している別のユーザーのリソースに対して操作を実行するためアクセス許可をアプリに付与します。この制約は、主に Outlook のリソース (メール、カレンダー、連絡先など) に使用されます。たとえば、Mail.Read.Shared は、サインインしているユーザーのメールボックス内のメールを読み取る特権に加えて、サインインしているユーザーと共有している組織内の別のユーザーのメールボックス内のメールも読み取る特権を付与します。Shared grants permission for the app to perform the operations on resources that other users have shared with the signed-in user. This constraint is mainly used with Outlook resources like mail, calendars, and contacts. For example, Mail.Read.Shared, grants privileges to read mail in the mailbox of the signed-in user as well as mail in mailboxes that other users in the organization have shared with the signed-in user.
  • AppFolder: OneDrive の専用フォルダー内でファイルを読み取りおよび書き込みするためのアクセス許可をアプリに付与します。この制約は、ファイルのアクセス許可でのみ公開され、Microsoft アカウントでのみ有効です。AppFolder grants permission for the app to read and write files in a dedicated folder in OneDrive. This constraint is only exposed on Files permissions and is only valid for Microsoft accounts.
  • 制限なしが指定されると、アプリは、サインインしているユーザーが所有するリソースに限定した操作を実行するようになります。たとえば、User.Read ではサインインしているユーザーのプロファイルのみを読み取る特権を付与し、Mail.Read ではサインインしているユーザーのメールボックス内のメールのみを読み取るアクセス許可を付与します。If no constraint is specified the app is limited to performing the operations on the resources owned by the signed-in user. For example, User.Read grants privileges to read the profile of the signed-in user only, and Mail.Read grants permission to read only mail in the mailbox of the signed-in user.

:委任されたシナリオでは、アプリに付与される有効なアクセス許可が、組織内のサインインしているユーザーの特権によって制限されることがあります。Note: In delegated scenarios, the effective permissions granted to your app may be constrained by the privileges of the signed-in user in the organization.

Microsoft アカウントと職場または学校アカウントMicrosoft accounts and work or school accounts

すべてのアクセス許可が、Microsoft アカウントと職場または学校アカウントの両方で有効になるわけではない点に注意してください。Not all permissions are valid for both Microsoft accounts and work or school accounts. 各アクセス許可グループについては、「Microsoft アカウントのサポート」列を確認して、特定のアクセス許可が Microsoft アカウントと職場または学校アカウントのどちらで有効になるか、または両方で有効になるかを判断してください。You can check the Microsoft Account Supported column for each permission group to determine whether a specific permission is valid for Microsoft accounts, work or school accounts, or both.

組織のゲスト ユーザーに対するユーザーとグループの検索の制限事項User and group search limitations for guest users in organizations

ユーザーとグループの検索機能を使用すると、/users または /groups リソース セットに対するクエリ (例: https://graph.microsoft.com/v1.0/users) を実行して、アプリで組織のディレクトリ内のユーザーまたはグループを検索できるようになりますUser and group search capabilities allow the app to search for any user or group in an organization's directory by performing queries against the /users or /groups resource set (for example, https://graph.microsoft.com/v1.0/users). 管理者とユーザーは、どちらもこの機能を使用でますが、ゲスト ユーザーは使用できません。Both administrators and users have this capability; however, guest users do not.

サインインしているユーザーがゲスト ユーザーの場合、アプリに付与されたアクセス許可に応じて、特定のユーザーまたはグループのプロファイルを読み取ることはできますが (例: https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531)、複数のリソースを返す可能性のある /users または /groups リソース セットに対するクエリは実行できません。If the signed-in user is a guest user, depending on the permissions an app has been granted, it can read the profile of a specific user or group (for example, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); however, it cannot perform queries against the /users or /groups resource set that potentially return more than a single resource.

適切なアクセス許可があるアプリは、ナビゲーション プロパティのリンク (たとえば、/users/{id}/directReports/groups/{id}/members) に従って取得するユーザーまたはグループのプロファイルの読み取りが可能になります。With the appropriate permissions, the app can read the profiles of users or groups that it obtains by following links in navigation properties; for example, /users/{id}/directReports or /groups/{id}/members.


アクセス レビューのアクセス許可Access reviews permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
AccessReview.Read.AllAccessReview.Read.All すべてのアクセス レビューを読み取るRead all access reviews サインインしているユーザーの代わりに、アプリでアクセス レビューの読み取りを実行できるようにします。Allows the app to read access reviews on behalf of the signed-in user. はいYes いいえNo
AccessReview.ReadWrite.AllAccessReview.ReadWrite.All すべてのアクセス レビューを管理するManage all access reviews サインインしているユーザーの代わりに、アプリでアクセス レビューの読み取りと書き込みを実行できるようにします。Allows the app to read and write access reviews on behalf of the signed-in user. はいYes いいえNo
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership グループとアプリのメンバーシップのアクセス レビューを管理するManage access reviews for group and app memberships サインインしているユーザーの代わりに、アプリでグループとアプリのアクセス レビューの読み取りと書き込みを実行できるようにします。Allows the app to read and write access reviews on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
AccessReview.Read.AllAccessReview.Read.All すべてのアクセス レビューを読み取るRead all access reviews サインインしているユーザーなしで、アプリでアクセス レビューの読み取りを実行できるようにします。Allows the app to read access reviews without a signed-in user. はいYes
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership グループとアプリのメンバーシップのアクセス レビューを管理するManage access reviews for group and app memberships サインイン ユーザーなしで、アプリでグループとアプリのアクセス レビューを管理できます。Allows the app to manage access reviews of groups and apps without a signed-in user. はいYes

RemarksRemarks

AccessReview.Read.AllAccessReview.ReadWrite.AllAccessReview.ReadWrite.Membership は、職場または学校アカウントに対してのみ有効です。AccessReview.Read.All and AccessReview.ReadWrite.All are valid only for work or school accounts.

委任されたアクセス許可があるアプリの場合、ID ユーザー リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to read access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. グループまたはアプリのアクセス レビューを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to write access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator.

Azure AD ロールのアクセス レビューを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、「セキュリティ閲覧者」、または「特権ロール管理者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to read access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator. Azure AD ロールのアクセス レビューを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」または「特権ロール管理者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to write access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator or Privileged Role Administrator.

管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


分析リソースのアクセス許可Analytics resource permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
Analytics.ReadAnalytics.Read すべてのユーザー アクティビティの統計情報の読み取り。Read all user activities statistics. サインイン ユーザーなしで、ユーザー アクティビティの統計情報をアプリで読み取れるようにします。Allows the app to read user profiles without a signed in user. はいYes

アプリケーションのアクセス許可Application permissions

なし。None.

使用例Example usage

委任Delegated

ApplicationApplication

なし。None.


管理単位のアクセス許可Administrative Units permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All 管理単位を読み取るRead administrative units サインインしているユーザーの代わりに、アプリで管理単位および管理単位のメンバーシップの読み取りを実行できるようにします。Allows the app to read administrative units and administrative unit membership on behalf of the signed-in user. はいYes いいえNo
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All 管理単位の読み取りと書き込みRead and write administrative units サインインしたユーザーの代わりに、アプリで管理単位の作成、読み取り、更新、削除および管理単位のメンバーシップの管理を実行できるようにします。Allows the app to create, read, update, and delete administrative units and manage administrative unit membership on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All すべての管理単位を読み取るRead all administrative units サインインしているユーザーがいない場合でも、アプリで管理単位および管理単位のメンバーシップの読み取りを実行できるようにします。Allows the app to read administrative units and administrative unit membership without a signed-in user. はいYes
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All すべての管理単位の読み取りと書き込みRead and write all administrative units サインインしたユーザーがいない場合でも、アプリで管理単位の作成、読み取り、更新、削除および管理単位のメンバーシップの管理を実行できるようにします。Allows the app to create, read, update, and delete administrative units and manage administrative unit membership without a signed-in user. はいYes

RemarksRemarks

AdministrativeUnit.Read.All のアクセス許可を持つアプリケーションでは、メンバーを含む管理単位情報を読み取ることができます。 With the AdministrativeUnit.Read.All permission an application can read administrative unit information including members.

AdministrativeUnit.ReadWrite.All のアクセス許可を持つアプリケーションでは、メンバーを含む管理単位情報の作成、読み取り、更新、削除を行うことができます。With the AdministrativeUnit.ReadWrite.All permission an application can create, read, update, and delete administrative unit information including members.

AdministrativeUnit.Read.All および AdministrativeUnit.ReadWrite.All は、職場または学校のアカウントでのみ有効です。ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

使用例Example usage

  • AdministrativeUnit.Read.All: 管理単位を読み取ります (GET /beta/administrativeUnits)AdministrativeUnit.Read.All: Read administrative units (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: 管理単位のメンバーの一覧を読み取ります (GET /beta/administrativeUnits/<id>/members)AdministrativeUnit.Read.All: Read members list of an administrative unit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: 管理単位を作成します (POST /beta/administrativeUnits)AdministrativeUnit.ReadWrite.All: Create an administrative unit (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: 管理単位を更新します (PATCH /beta/administrativeUnits/<id>)AdministrativeUnit.ReadWrite.All: Update an administrative unit (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: 管理単位にメンバーを追加します (POST /beta/administrativeUnits/<id>/members)AdministrativeUnit.ReadWrite.All: Add members to an administrative unit (POST /beta/administrativeUnits/<id>/members)

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


AppCatalog リソースのアクセス許可AppCatalog resource permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
AppCatalog.ReadWrite.AllAppCatalog.ReadWrite.All すべてのアプリ カタログの読み取りと書き込みRead and write to all app catalogs アプリで、アプリ カタログ内のアプリを作成、読み取り、更新、削除できるようにします。Allows the app to create, read, update, and delete apps in the app catalogs. はいYes

アプリケーションのアクセス許可Application permissions

なし。None.

解説Remarks

現在のところ、唯一のカタログは Microsoft Teams のアプリケーション一覧です。Currently the only catalog is the list of applications in Microsoft Teams.

使用例Example usage

DelegatedDelegated

アプリケーションApplication

なし。None.


アプリケーション リソースのアクセス許可Application resource permissions

委任されたアクセス許可Delegated permissions

なし。None.

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Application.ReadWrite.AllApplication.ReadWrite.All 全アプリの読み取りと書き込みRead and write all apps 呼び出し元アプリが、ユーザーのサインインなしでアプリケーションおよびサービス プリンシパルの作成と管理 (読み取り、更新、アプリケーション シークレットの更新、および削除) をすることを可能にします。Allows the calling app to create, and manage (read, update, update application secrets and delete) applications and service principals without a signed-in user. 同意付与管理やユーザーやグループへのアプリケーション割り当ては許可されません。Does not allow management of consent grants or application assignments to users or groups. はいYes
Application.ReadWrite.OwnedByApplication.ReadWrite.OwnedBy このアプリの作成または所有するアプリを管理Manage apps that this app creates or owns 呼び出し元アプリが、ユーザー サインインなしで他のアプリケーションおよびサービス プリンシパルを作成したり、それらのアプリケーションおよびサービス プリンシパルをあらゆる方法で管理 (読み取り、更新、アプリケーション シークレットの更新、および削除) したりできるようにします。Allows the calling app to create other applications and service principals, and fully manage those applications and service principals (read, update, update application secrets and delete), without a signed-in user. 所有者として所有していないアプリケーションの更新はできません。It cannot update any applications that it is not an owner of. 同意付与管理やユーザーやグループへのアプリケーション割り当ては許可されません。Does not allow management of consent grants or application assignments to users or groups. はいYes

解説Remarks

Application.ReadWrite.OwnedBy アクセス許可は、Application.ReadWrite.All と同じ操作を許可しますが、前者の場合、それらの操作は呼び出し元アプリが所有者となっているアプリケーションおよびサービス プリンシパルに対してのみ可能です。The Application.ReadWrite.OwnedBy permission allows the same operations as Application.ReadWrite.All except that the former allows these operations only on applications and service principals that the calling app is an owner of. 所有権は、ターゲットのアプリケーションまたはサービス プリンシパル リソースの owners ナビゲーション プロパティによって示されます。Ownership is indicated by the owners navigation property on the target application or service principal resource.

注: Application.ReadWrite.OwnedBy アクセス許可を使用することにより、GET /applications を呼び出してアプリケーションのリストを取得しようとすると、403 のエラーになります。NOTE: Using the Application.ReadWrite.OwnedBy permission to call GET /applications to list applications will fail with a 403. 呼び出し元アプリケーションの所有するアプリケーションのリストを取得するには、GET servicePrincipals/{id}/ownedObjects を使用してください。Instead use GET servicePrincipals/{id}/ownedObjects to list the applications owned by the calling application.

使用例Example usage

委任Delegated

なし。None.

アプリケーションApplication

  • Application.ReadWrite.All: 全アプリケーションのリストを取得する (GET /beta/applications)Application.ReadWrite.All: List all applications (GET /beta/applications)
  • Application.ReadWrite.All: サービス プリンシパルを削除する (DELETE /beta/servicePrincipals/{id})Application.ReadWrite.All: Delete a service principal (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: アプリケーションを作成する (POST /beta/applications)Application.ReadWrite.OwnedBy: Create an application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy: 呼び出し元アプリケーションによって所有されている全アプリケーションのリストを取得する (GET /beta/servicePrincipals/{id}/ownedObjects)Application.ReadWrite.OwnedBy: List all applications owned by the the calling application (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: 所有されているアプリケーションに別の所有者を追加する (POST /applications/{id}/owners/$ref)。Application.ReadWrite.OwnedBy: Add another owner to an owned application (POST /applications/{id}/owners/$ref).

注: これにはさらに追加のアクセス許可が必要になる場合があります。NOTE: This may require additional permissions.


予約のアクセス許可Bookings permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Bookings.Read.AllBookings.Read.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。Allows an app to read Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. 読み取り専用アプリケーションを対象としています。Intended for read-only applications. 一般的なターゲット ユーザーは、予約業務の顧客です。Typical target user is the customer of a booking business. いいえNo いいえNo
Bookings.ReadWrite.AppointmentsBookings.ReadWrite.Appointments アプリで、予約の予定と顧客を読み書きできるようにします。さらに、業務、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。Allows an app to read and write Bookings appointments and customers, and additionally allows reading businesses, services, and staff on behalf of the signed-in user. 予定と顧客を操作する必要があるスケジュール設定アプリケーションを対象としています。Intended for scheduling applications which need to manipulate appointments and customers. 予約の業務、サービス、およびスタッフ メンバーに関する基本的な情報を変更することはできません。Cannot change fundamental information about the booking business, nor its services and staff members. 一般的なターゲット ユーザーは、予約業務の顧客です。Typical target user is the customer of a booking business. いいえNo いいえNo
Bookings.ReadWrite.AllBookings.ReadWrite.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み書きできるようにします。Allows an app to read and write Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. 予約業務の作成、削除、発行はできません。Does not allow create, delete, or publish of Bookings businesses. 既存の業務、サービス、およびスタッフ メンバーを操作する管理アプリケーションを対象としています。Intended for management applications that manipulate existing businesses, their services and staff members. 予約業務の発行状態の作成、削除、変更はできません。Cannot create, delete, or change the publishing status of a booking business. 一般的なターゲット ユーザーは、組織のサポート スタッフです。Typical target user is the support staff of an organization. いいえNo いいえNo
Bookings.ManageBookings.Manage アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取り、書き込み、および管理できるようにします。Allows an app to read, write, and manage Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. アプリにフル アクセスを許可します。Allows the app to have full access.
完全な管理操作環境を対象としています。Intended for a full management experience. 一般的なターゲット ユーザーは、組織の管理者です。Typical target user is the administrator of an organization.
いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

なし。None.

使用例Example usage

委任Delegated

  • Bookings.Read.All: あるテナントのために作成された予約業務のコレクションの ID と名前を取得します (GET /bookingBusinesses)。Bookings.Read.All: Get the ID and names of the collection of Bookings businesses that has been created for a tenant (GET /bookingBusinesses).
  • Bookings.ReadWrite.Appointments: ある予約業務のサービスの予定を作成します (POST /bookingBusinesses/{id}/appointments)。Bookings.ReadWrite.Appointments: Create an appointment for a service at a Bookings business (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: 指定した予約業務の新しいサービスを作成します (POST /bookingBusinesses/{id}/services)。Bookings.ReadWrite.All: Create a new service for the specified Bookings business (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage: この業務のスケジュール設定ページを外部の顧客が使用できるようにします (POST /bookingBusinesses/{id}/publish)。Bookings.Manage: Make the scheduling page of this business available to external customers (POST /bookingBusinesses/{id}/publish).

カレンダーのアクセス許可Calendars permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Calendars.ReadCalendars.Read ユーザーのカレンダーの読み取りRead user calendars アプリは、ユーザーの予定表内のイベントを読み取ることができます。Allows the app to read events in user calendars. いいえNo はいYes
Calendars.Read.SharedCalendars.Read.Shared ユーザーのカレンダーと共有のカレンダーの読み取りRead user and shared calendars  ユーザーがアクセスできるすべてのカレンダー (委任されたカレンダーと共有のカレンダーを含む) のイベントをアプリで読み取りできるようにします。Allows the app to read events in all calendars that the user can access, including delegate and shared calendars.  いいえNo いいえNo
Calendars.ReadWriteCalendars.ReadWrite ユーザーのカレンダーへのフル アクセスHave full access to user calendars ユーザーのカレンダー内のイベントをアプリで作成、読み取り、更新、削除できるようにします。Allows the app to create, read, update, and delete events in user calendars. いいえNo はいYes
Calendars.ReadWrite.SharedCalendars.ReadWrite.Shared ユーザーのカレンダーと共有のカレンダーの読み取りと書き込みRead and write user and shared calendars  アプリで、ユーザーがアクセス許可を得ているすべてのカレンダー内のイベントを作成、読み取り、更新、および削除できるようにします。これには、委任されたカレンダーと共有のカレンダーが含まれます。Allows the app to create, read, update and delete events in all calendars the user has permissions to access. This includes delegate and shared calendars. いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Calendars.ReadCalendars.Read すべてのメールボックスにあるカレンダーの読み取りRead calendars in all mailboxes サインインしているユーザーなしで、すべてのカレンダーのイベントをアプリで読み取れるようにします。Allows the app to read events of all calendars without a signed-in user. 必要Yes
Calendars.ReadWriteCalendars.ReadWrite すべてのメールボックスにあるカレンダーの読み取りと書き込みRead and write calendars in all mailboxes サインインしているユーザーなしで、すべての予定表のイベントをアプリで作成、読み取り、更新、および削除できるようにします。Allows the app to create, read, update, and delete events of all calendars without a signed-in user. はいYes

重要 アプリケーションに Calendars.Read または Calendars.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者はアプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく_特定_のメールボックスにアプリケーション アクセスを制限することができます。Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Calendars.Read or Calendars.ReadWrite.

使用例Example usage

委任Delegated

  • Calendars.Read:ユーザーのカレンダーについて、2017 年 4 月 23 日から 2017 年 4 月 29 日までのイベントを取得します (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00)。Calendars.Read: Get events on the user's calendar between April 23, 2017 and April 29, 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: すべての出席者が出席可能な会議の日時を検索します (POST /users/{id|userPrincipalName}/findMeetingTimes)。Calendars.Read.Shared: Find meeting times where all attendees are available (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite:ユーザーの予定表にイベントを追加します (POST /me/events)。Calendars.ReadWrite: Add an event to the user's calendar (POST /me/events).

アプリケーションApplication

  • Calendars.Read:bob@contoso.com が編成した会議室のカレンダーのイベントを検索します (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com')。Calendars.Read: Find events in a conference room's calendar organized by bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: ユーザーのカレンダーにある 5 月のイベントをすべてリストします (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)Calendars.Read: List all events on a user's calendar for the month of May (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite:承認済みの休暇について、ユーザーのカレンダーにイベントを追加します (POST /users/{id | userPrincipalName}/events)。Calendars.ReadWrite: Add an event to a user's calendar for approved time off (POST /users/{id | userPrincipalName}/events).
  • Calendars.Send: メッセージを送信します (POST /users/{id | userPrincipalName}/sendCalendars)。Calendars.Send: Send a message (POST /users/{id | userPrincipalName}/sendCalendars).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.

通話のアクセス許可Calls permissions

委任されたアクセス許可Delegated permissions

なし。None.


アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
Calls.Initiate.AllCalls.Initiate.All アプリからの発信 1 対 1 通話の開始 (プレビュー)Initiate outgoing 1:1 calls from the app (preview) アプリで、サインインしているユーザーがいなくても、1 人のユーザーに発信し、組織のディレクトリ内のユーザーに通話を転送することができるようにします。Allows the app to place outbound calls to a single user and transfer calls to users in your organization’s directory, without a signed-in user. はいYes
Calls.InitiateGroupCall.AllCalls.InitiateGroupCall.All アプリからの発信グループ通話の開始 (プレビュー)Initiate outgoing group calls from the app (preview) アプリで、サインインしているユーザーがいなくても、複数のユーザーに発信し、組織内の会議に参加者を追加することができるようにします。Allows the app to place outbound calls to multiple users and add participants to meetings in your organization, without a signed-in user. はいYes
Calls.JoinGroupCall.AllCalls.JoinGroupCall.All グループ通話と会議にアプリとして参加する (プレビュー)Join Group Calls and Meetings as an app (preview) アプリで、サインインしているユーザーがいなくても、組織のグループ通話やスケジュールされた会議に参加することができるようにします。Allows the app to join group calls and scheduled meetings in your organization, without a signed-in user. このアプリは、ディレクトリ ユーザーの特権を使用してテナントの会議に参加します。The app will be joined with the privileges of a directory user to meetings in your tenant. はいYes
Calls.JoinGroupCallasGuest.AllCalls.JoinGroupCallasGuest.All グループ通話と会議にゲストとして参加する (プレビュー)Join Group Calls and Meetings as a guest (preview) アプリで、サインインしているユーザーがいなくても、組織のグループ通話とスケジュールされた会議に匿名で参加することができるようにします。Allows the app to anonymously join group calls and scheduled meetings in your organization, without a signed-in user. このアプリは、テナントの会議にゲストとして参加します。The app will be joined as a guest to meetings in your tenant. はいYes
Calls.AccessMedia.All*Calls.AccessMedia.All* 通話内のメディア ストリームにアプリとしてアクセスする (プレビュー)Access media streams in a call as an app (preview) アプリで、サインインしているユーザーがいなくても、通話内のメディア ストリームに直接アクセスすることができるようにします。Allows the app to get direct access to media streams in a call, without a signed-in user. はいYes

*重要: Microsoft.Graph.Calls.Media API は、録音や、ボッドがアクセスする通話や会議のメディア コンテンツを保存することには使用できません。*Important: You may not use the Microsoft.Graph.Calls.Media API to record or otherwise persist media content from calls or meetings that your bot accesses.


使用例Example usage

アプリケーションApplication

  • Calls.Initiate.All: アプリケーションから組織内のユーザーにピアツーピアで発信します (POST /beta/app/calls)。Calls.Initiate.All: Make a peer-to-peer call from the application to a user in the organization (POST /beta/app/calls).
  • Calls.InitiateGroupCall.All: アプリケーションから組織内のユーザーのグループにグループ発信を行います (POST /beta/app/calls)。Calls.InitiateGroupCall.All: Make a group call from the application to a group of users in the organization (POST /beta/app/calls).
  • Calls.JoinGroupCall.All: アプリケーションからグループ通話またはオンライン会議に参加します (POST /beta/app/calls)。Calls.JoinGroupCall.All: Join a group call or online meeting from the application (POST /beta/app/calls).
  • Calls.JoinGroupCallasGuest.All: アプリケーションからグループ通話またはオンライン会議に参加しますが、アプリケーションには会議のゲスト特権のみが付与されます (POST /beta/app/calls)。Calls.JoinGroupCallasGuest.All: Join a group call or online meeting from the application, but the application only has guest privileges in the meeting (POST /beta/app/calls).
  • Calls.AccessMedia.All: 通話の作成または参加を行い、通話内の参加者のメディア ストリームにアプリから直接アクセスします (POST /beta/app/calls)。Calls.AccessMedia.All: Create or Join a call and the app gets direct access to participant media streams in the call (POST /beta/app/calls).

注: 要求の例については、「Create call」(通話の作成) を参照してください。Note: For request examples, see to Create call.

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.

ChannelMessage のアクセス許可ChannelMessage permissions

委任されたアクセス許可Delegated permissions

なし。None.

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
ChannelMessage.Read.AllChannelMessage.Read.All すべてのチャネル メッセージを読み取るRead all chat messages  サインイン ユーザーなしで、アプリで Microsoft Teams のすべてのチャネル メッセージを読み取ることができます。Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. はいYes 不要No
ChannelMessage.UpdatePolicyViolation.AllChannelMessage.UpdatePolicyViolation.All ポリシー違反のチャネル メッセージにフラグを設定するFlag channel messages for violating policy アプリで、一連のデータ損失防止 (DLP) ポリシーの違反プロパティにパッチを適用して DLP 処理の出力を処理し、Microsoft Teams のチャネル メッセージを更新できるようにします。Allows the app to update Microsoft Teams channel messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. はいYes 不要No

注:Group.Read.All」も参照してください。Note: See also Group.Read.All.

チャットのアクセス許可Chats permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Chat.ReadChat.Read チャット メッセージを読み取るRead your chat messages  Microsoft Teams で 1 対 1 のメッセージまたグループ チャット メッセージをユーザーに代わってアプリが読み取ることを許可します。Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. いいえNo いいえNo
Chat.ReadWriteChat.ReadWrite チャットのメッセージを読んで、新しいメッセージを送信するRead your chat messages and send new ones  Microsoft Teams での 1 対 1 またはグループ チャット メッセージを、あなたに代わってアプリが送受信することを許可します。Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Chat.Read.AllChat.Read.All すべてのチャット メッセージの読み取りRead all chat messages  Microsoft Teams ですべての 1 対 1 のメッセージまたはグループ チャット メッセージを、アプリがサインイン ユーザーなしで読み取ることを許可します。Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. はいYes 不要No
Chat.UpdatePolicyViolation.AllChat.UpdatePolicyViolation.All ポリシー違反のチャット メッセージにフラグを設定するFlag chat messages for violating policy アプリで、一連のデータ損失防止 (DLP) ポリシーの違反プロパティにパッチを適用して DLP 処理の出力を処理し、Microsoft Teams の 1:1 またはグループ チャット メッセージを更新できるようにします。Allows the app to update Microsoft Teams 1:1 or group chat messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. はいYes いいえNo

注: チャネル内のメッセージの詳細については、「ChannelMessage のアクセス許可」を参照してください。Note: For messages in a channel, see Group.Read.All.

連絡先のアクセス許可Contacts permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Contacts.ReadContacts.Read ユーザーの連絡先の読み取りRead user contacts  アプリは、ユーザーの連絡先を読み取ることができます。Allows the app to read user contacts. いいえNo はいYes
Contacts.Read.SharedContacts.Read.Shared ユーザーの連絡先と共有の連絡先の読み取りRead user and shared contacts アプリで、ユーザー自身の連絡先と共有の連絡先を含む、ユーザーがアクセス許可を得ている連絡先を読み取ることができるようにします。Allows the app to read contacts that the user has permissions to access, including the user's own and shared contacts.  いいえNo いいえNo
Contacts.ReadWriteContacts.ReadWrite ユーザーの連絡先へのフル アクセスHave full access to user contacts アプリで、ユーザーの連絡先の作成、読み取り、更新、削除を行えるようにします。Allows the app to create, read, update, and delete user contacts. いいえNo はいYes
Contacts.ReadWrite.SharedContacts.ReadWrite.Shared ユーザーの連絡先と共有の連絡先の読み取りと書き込みRead and write user and shared contacts アプリで、ユーザー自身の連絡先と共有の連絡先を含むユーザーがアクセス許可を得ている連絡先の作成、読み取り、更新、削除を行えるようにします。Allows the app to create, read, update and delete contacts that the user has permissions to, including the user's own and shared contacts. いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Contacts.ReadContacts.Read すべてのメールボックスにある連絡先の読み取りRead contacts in all mailboxes  サインインしているユーザーなしで、すべてのメールボックス内のすべての連絡先をアプリで読み取りできるようにします。Allows the app to read all contacts in all mailboxes without a signed-in user.  必要Yes
Contacts.ReadWriteContacts.ReadWrite すべてのメールボックスにある連絡先の読み取りと書き込みRead and write contacts in all mailboxes サインインしているユーザーなしで、すべてのメールボックス内のすべての連絡先をアプリで作成、読み取り、更新、および削除できるようにします。Allows the app to create, read, update, and delete all contacts in all mailboxes without a signed-in user. はいYes

重要 アプリケーションに Contacts.Read または Contacts.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者はアプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく_特定_のメールボックスにアプリケーション アクセスを制限することができます。Important Administrators can configure application access policy to limit app access to specific mailboxes and not all the mailboxes in the organization, even if the app has been granted the application permissions of Contacts.Read or Contacts.ReadWrite.

使用例Example usage

委任Delegated

  • Contacts.Read:サインインしているユーザーの最上位レベルの連絡先フォルダーの 1 つから連絡先を読み取ります (GET /me/contactfolders/{Id}/contacts/{id})。Contacts.Read: Read a contact from one of the top-level contact folders of the signed-in user (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite:サインインしているユーザーの連絡先のうち、1 つの連絡先の写真を更新します (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。Contacts.ReadWrite: Update the contact photo of one of the signed-in user's contacts (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite:サインインしているユーザーのルート フォルダーに連絡先を追加します (POST /me/contacts)。Contacts.ReadWrite: Add contacts to the root folder of the signed-in user (POST /me/contacts).

アプリケーションApplication

  • Contacts.Read:組織内の任意のユーザーの最上位レベルの 1 つのフォルダーから連絡先を読み取ります (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id})。Contacts.Read: Read contacts from one of the top-level contact folders of any user in the organization (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite:組織内の任意のユーザーの連絡先の写真を更新します (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。Contacts.ReadWrite: Update the photo for any contact of any user in an organization (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite:組織内の任意のユーザーのルート フォルダーに連絡先を追加します (POST /users/{id | userPrincipalName}/contacts)。Contacts.ReadWrite: Add contacts to the root folder of any user in the organization (POST /users/{id | userPrincipalName}/contacts).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.

デバイス アクセス許可Device permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Device.ReadDevice.Read ユーザー デバイスの読み取りRead user devices サインインしているユーザーの代わりに、アプリでユーザーのデバイスの一覧を読み取ることができるようにします。Allows the app to read a user's list of devices on behalf of the signed-in user. いいえNo はいYes
Device.CommandDevice.Command ユーザーのデバイスとの通信Communicate with user devices サインインしているユーザーの代わりに、アプリで、別のアプリを起動するか、ユーザーのデバイス上にある別のアプリと通信できるようにします。Allows the app to launch another app or communicate with another app on a user's device on behalf of the signed-in user. いいえNo はいYes

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Device.ReadWrite.AllDevice.ReadWrite.All デバイスの読み取りと書き込みRead and write devices アプリで、サインインしているユーザーなしで、すべてのデバイス プロパティの読み取りと書き込みができるようにします。デバイスの作成、デバイスの削除、デバイスの代替セキュリティ識別子の更新はできません。Allows the app to read and write all device properties without a signed in user. Does not allow device creation, device deletion, or update of device alternative security identifiers. はいYes

使用例Example usage

アプリケーションApplication

  • Device.ReadWrite.All:組織内のすべての登録済デバイスを読み取ります (GET /devices)。Device.ReadWrite.All: Read all registered devices in the organization (GET /devices).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


ディレクトリのアクセス許可Directory permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Directory.Read.AllDirectory.Read.All ディレクトリ データの読み取りRead directory data アプリで、ユーザー、グループ、アプリなどの組織のディレクトリ内のデータを読み取ることができるようにします。Allows the app to read data in your organization's directory, such as users, groups and apps. : ユーザーが所属する組織のテナントにアプリケーションが登録されている場合、このアクセス許可を必要とするアプリケーションにユーザーが同意することがあります。Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant. はいYes いいえNo
Directory.ReadWrite.AllDirectory.ReadWrite.All ディレクトリ データの読み取りおよび書き込みRead and write directory data アプリで、ユーザーやグループなどの組織のディレクトリ内のデータを読み書きできるようにします。アプリでユーザーまたはグループの削除や、ユーザー パスワードのリセットはできません。Allows the app to read and write data in your organization's directory, such as users, and groups. It does not allow the app to delete users or groups, or reset user passwords. はいYes いいえNo
Directory.AccessAsUser.AllDirectory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセスAccess directory as the signed-in user サインインしているユーザーと同じように、アプリでディレクトリ内の情報にアクセスできるようにします。Allows the app to have the same access to information in the directory as the signed-in user. はいYes いいえNo
PrivilegedAccess.ReadWrite.AzureADPrivilegedAccess.ReadWrite.AzureAD ディレクトリの Privileged Identity Management データの読み取りと書き込みRead and write Privileged Identity Management data for Directory Azure AD の Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。Allows the app to have read and write access to Privileged Identity Management APIs for Azure AD. はいYes いいえNo
PrivilegedAccess.ReadWrite.AzureResourcesPrivilegedAccess.ReadWrite.AzureResources Azure リソースの Privileged Identity Management データの読み取りと書き込みRead and write Privileged Identity Management data for Azure Resources Azure リソースの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。Allows the app to have read and write access to Privileged Identity Management APIs for Azure resources. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Directory.Read.AllDirectory.Read.All ディレクトリ データの読み取りRead directory data サインインしているユーザーなしで、ユーザー、グループ、アプリなどの組織のディレクトリ内のデータをアプリで読み取りできるようにします。Allows the app to read data in your organization's directory, such as users, groups and apps, without a signed-in user. 必要Yes
Directory.ReadWrite.AllDirectory.ReadWrite.All ディレクトリ データの読み取りおよび書き込みRead and write directory data アプリで、サインインしているユーザーなしで、ユーザー、グループなどの組織のディレクトリ内のデータを読み取りと書き込みができるようにします。ユーザーまたはグループの削除はできません。Allows the app to read and write data in your organization's directory, such as users, and groups, without a signed-in user. Does not allow user or group deletion. 必要Yes

解説Remarks

ディレクトリのアクセス許可は、組織内のディレクトリ リソース (ユーザーグループデバイスなど) に対する最上位レベルの特権を提供します。Directory permissions provide the highest level of privilege for accessing directory resources such as User, Group, and Device in an organization.

また、その他のディレクトリ リソースへのアクセスを排他的に制御します。このリソースには、組織の連絡先スキーマ拡張 APIPrivileged Identity Management (PIM) API などに加え、v1.0 およびベータの API リファレンス ドキュメントの Azure Active Directory ノードにリストされる多数のリソースや API があります。They also exclusively control access to other directory resources like: organizational contacts, schema extension APIs, Privileged Identity Management (PIM) APIs, as well as many of the resources and APIs listed under the Azure Active Directory node in the v1.0 and beta API reference documentation. これには、管理単位、ディレクトリ ロール、ディレクトリ設定、ポリシーなど多くのものが含まれます。These include administrative units, directory roles, directory settings, policy, and many more.

Directory.ReadWrite.All アクセス許可は、次に示す特権を付与します。The Directory.ReadWrite.All permission grants the following privileges:

  • すべてのディレクトリ リソースの完全な読み取り (宣言されたプロパティとナビゲーション プロパティの両方) Full read of all directory resources (both declared properties and navigation properties)
  • ユーザーの作成と更新Create and update users
  • ユーザー (会社管理者以外) の無効化と有効化Disable and enable users (but not company administrator)
  • ユーザーの代替セキュリティ ID の設定 (管理者以外)Set user alternative security id (but not administrators)
  • グループの作成と更新Create and update groups
  • グループ メンバーシップの管理Manage group memberships
  • グループ所有者の更新Update group owner
  • ライセンス割り当ての管理Manage license assignments
  • アプリケーションのスキーマ拡張の定義Define schema extensions on applications

:Note:

  • ユーザーのパスワードを再設定する権限はありません。No rights to reset user passwords
  • 他のユーザーのbusinessPhonesmobilePhone、またはotherMails のプロパティの更新を許可されているのは、管理者以外のユーザーまたは次のロールのいずれかを割り当てられたユーザーのみになります。ディレクトリ閲覧者、ゲスト招待元、メッセージ センター閲覧者およびレポート閲覧者。Updating another user's businessPhones, mobilePhone, or otherMails property is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. 詳細については、「Azure AD で使用できるロール」のヘルプデスク (パスワード) 管理者を参照してください。For more details, see Helpdesk (Password) Administrator in Azure AD available roles. User.ReadWrite.All または Directory.ReadWrite.All の委任またはアプリケーションのアクセス許可のいずれかが与えられているアプリの場合、これに該当します。This is the case for apps granted either the User.ReadWrite.All or Directory.ReadWrite.All delegated or application permissions.
  • リソース (ユーザーまたはグループを含む) を削除する権限はありません。No rights to delete resources (including users or groups)
  • 具体的には、上記の一覧に示されていないリソースの作成と更新が除外されます。Specifically excludes create or update for resources not listed above. これには、application、oAauth2Permissiongrant、appRoleAssignment、device、servicePrincipal、organization、domains などが含まれます。This includes: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains, and so on.

使用例Example usage

委任Delegated

  • Directory.Read.All:組織内のすべての管理単位をリストします (GET /beta/administrativeUnits)Directory.Read.All: List all administrative units in an organization (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All:ディレクトリ ロールにメンバーを追加します (POST /directoryRoles/{id}/members/$ref)Directory.ReadWrite.All: Add members to a directory role (POST /directoryRoles/{id}/members/$ref)

アプリケーションApplication

  • Directory.Read.All:ディレクトリ ロールと管理単位を含むユーザーのメンバーシップをすべてリストします (GET /beta/users/{id}/memberOf)Directory.Read.All: List all memberships of a user, including directory roles and administrative units (GET /beta/users/{id}/memberOf)
  • Directory.Read.All:サービス プリンシパルを含むグループ メンバーをすべてリストします (GET /beta/groups/{id}/members)Directory.Read.All: List all group members, including service principals (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All:グループに所有者を追加します (POST /groups/{id}/owners/$ref)Directory.ReadWrite.All: Add an owner to a group (POST /groups/{id}/owners/$ref)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


教育機関アクセス許可Education permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
EduAdministration.ReadEduAdministration.Read 教育機関向けアプリの設定を読むRead education app settings ユーザーに代わって教育機関向けアプリ設定をアプリが読み取ることを許可します。Allows the app to read education app settings on behalf of the user. はいYes いいえNo
EduAdministration.ReadWriteEduAdministration.ReadWrite 教育機関向けアプリ設定の管理Manage education app settings ユーザーに代わって教育機関向けアプリ設定をアプリが管理することを許可します。Allows the app to manage education app settings on behalf of the user. はいYes いいえNo
EduAssignments.ReadBasicEduAssignments.ReadBasic 成績を含まないユーザーのクラスの課題の読み取りRead users' class assignments without grades 対象ユーザーのために、成績を含めずに課題を読み取ることをアプリに許可しますAllows the app to read assignments without grades on behalf of the user はいYes いいえNo
EduAssignments.ReadWriteBasicEduAssignments.ReadWriteBasic 成績を含まないユーザーのクラスの課題の読み取りと書き込みRead and write users' class assignments without grades 対象ユーザーのために、成績を含めずに課題を読み取ることと書き込むことをアプリに許可しますAllows the app to read and write assignments without grades on behalf of the user はいYes いいえNo
EduAssignments.ReadEduAssignments.Read クラスの課題とその成績のユーザー ビューの読み取りRead users' view of class assignments and their grades 対象ユーザーのために、課題と成績を読み取ることをアプリに許可しますAllows the app to read assignments and their grades on behalf of the user はいYes いいえNo
EduAssignments.ReadWriteEduAssignments.ReadWrite クラスの課題とその成績のユーザー ビューの読み取りと書き込みRead and write users' view of class assignments and their grades 対象ユーザーのために、課題と成績を読み取ることと書き込むことをアプリに許可しますAllows the app to read and write assignments and their grades on behalf of the user はいYes いいえNo
EduRostering.ReadBasicEduRostering.ReadBasic 名簿のユーザー ビューの限定された一部の読み取りRead a limited subset of users' view of the roster 組織の名簿に含まれている学校とクラスの構造からデータの限定された一部と、読み取るユーザーに関する教育に関する特定の情報をそのユーザーのために読み取ることをアプリに許可します。Allows the app to read a limited subset of the data from the structure of schools and classes in an organization's roster and education-specific information about users to be read on behalf of the user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
EduAssignments.ReadBasic.AllEduAssignments.ReadBasic.All 成績を含まないクラスの課題の読み取りRead class assignments without grades すべてのユーザーについて、成績を含めずに課題を読み取ることをアプリに許可しますAllows the app to read assignments without grades for all users はいYes
EduAssignments.ReadWriteBasic.AllEduAssignments.ReadWriteBasic.All 成績を含まないクラスの課題の読み取りと書き込みRead and write class assignments without grades すべてのユーザーについて、成績を含めずに課題を読み取ることと書き込むことをアプリに許可しますAllows the app to read and write assignments without grades for all users はいYes
EduAssignments.Read.AllEduAssignments.Read.All クラスの課題と成績の読み取りRead class assignments with grades すべてのユーザーについて、課題と成績を読み取ることをアプリに許可しますAllows the app to read assignments and their grades for all users はいYes
EduAssignments.ReadWrite.AllEduAssignments.ReadWrite.All クラスの課題と成績の読み取りと書き込みRead and write class assignments with grades すべてのユーザーについて、課題と成績を読み取ることと書き込むことをアプリに許可しますAllows the app to read and write assignments and their grades for all users はいYes
EduRostering.ReadBasic.AllEduRostering.ReadBasic.All 組織の名簿の限定された一部の読み取り。Read a limited subset of the organization's roster. 組織の名簿に含まれている学校とクラスの構造の両方の限定された一部と、すべてのユーザーについての教育に関する特定の情報を読み取ることをアプリに許可します。Allows the app to read a limited subset of both the structure of schools and classes in an organization's roster and education-specific information about all users. はいYes
EduRostering.Read.AllEduRostering.Read.All 組織の名簿の読み取り。Read the organization's roster. 組織の名簿に含まれている学校とクラスの両方の構造と、読み取り対象のすべてのユーザーについての教育に関する特定の情報を読み取ることをアプリに許可します。Allows the app to read the structure of schools and classes in the organization's roster and education-specific information about all users to be read. はいYes
EduRostering.ReadWrite.AllEduRostering.ReadWrite.All 組織の名簿の読み取りと書き込み。Read and write the organization's roster. 組織の名簿に含まれている学校とクラスの構造と、読み取りと書き込みの対象となるすべてのユーザーについての教育に関する特定の情報を読み取ることと書き込むことをアプリに許可します。Allows the app to read and write the structure of schools and classes in the organization's roster and education-specific information about all users to be read and written. はいYes

使用例Example usage

委任Delegated

  • EduAssignments.Read: サインインしている学生の課題情報を取得します (GET /education/classes/{id}/assignments/{id})EduAssignments.Read: Get the signed-in student's assignment information (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: サインインしている学生の課題を送信します (GET /education/classes/{id}/assignments/{id}submit)EduAssignments.ReadWriteBasic: Submit signed-in student assignment (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: サインインしているユーザーを参加者または教師としてクラス分けします (GET /education/classes/{id}/members)EduRoster.ReadBasic: Classes a signed-in user attends or teaches (GET /education/classes/{id}/members)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


ファイルのアクセス許可Files permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Files.ReadFiles.Read ユーザー ファイルの読み取りRead user files アプリで、サインインしているユーザーのファイルを読み取れるようにします。Allows the app to read the signed-in user's files. いいえNo はいYes
Files.Read.AllFiles.Read.All ユーザーがアクセスできるすべてのファイルの読み取りRead all files that user can access アプリで、サインしているユーザーがアクセスできるすべてのファイルを読み取ることができるようにします。Allows the app to read all files the signed-in user can access. いいえNo はいYes
Files.ReadWriteFiles.ReadWrite ユーザー ファイルへのフル アクセスを持つHave full access to user files アプリで、サインインしているユーザーのファイルを読み取り、作成、更新、および削除できるようにします。Allows the app to read, create, update, and delete the signed-in user's files. いいえNo はいYes
Files.ReadWrite.AllFiles.ReadWrite.All ユーザーがアクセスできるすべてのファイルへのフル アクセスHave full access to all files user can access アプリで、サインインしているユーザーがアクセス可能なすべてのファイルを読み取り、作成、更新、および削除できるようにします。Allows the app to read, create, update, and delete all files the signed-in user can access. いいえNo はいYes
Files.ReadWrite.AppFolderFiles.ReadWrite.AppFolder アプリケーションのフォルダーへのフル アクセス (プレビュー)Have full access to the application's folder (preview) (プレビュー) アプリで、アプリケーションのフォルダー内のファイルを読み取り、作成、更新、および削除できるようにします。(Preview) Allows the app to read, create, update, and delete files in the application's folder. いいえNo いいえNo
Files.Read.SelectedFiles.Read.Selected ユーザーが選んだファイルの読み取りRead files that the user selects Microsoft Graph の限定的なサポートについては、注釈を参照してくださいLimited support in Microsoft Graph; see Remarks
(プレビュー) ユーザーが選んだファイルをアプリで読み取りできるようにします。アプリは、ユーザーがファイルを選んでから数時間後までアクセス許可を持ちます。(Preview) Allows the app to read files that the user selects. The app has access for several hours after the user selects a file.
いいえNo いいえNo
Files.ReadWrite.SelectedFiles.ReadWrite.Selected ユーザーが選んだファイルの読み取りと書き込みRead and write files that the user selects Microsoft Graph の限定的なサポートについては、注釈を参照してくださいLimited support in Microsoft Graph; see Remarks
(プレビュー) ユーザーが選んだファイルをアプリで読み書きできるようにします。アプリは、ユーザーがファイルを選んでから数時間後までアクセス許可を持ちます。(Preview) Allows the app to read and write files that the user selects. The app has access for several hours after the user selects a file.
いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Files.Read.AllFiles.Read.All すべてのサイト コレクションにおけるファイルの読み取りRead files in all site collections アプリで、サインインしているユーザーなしで、すべてのサイト コレクション内のすべてのファイルを読み取れるようにします。Allows the app to read all files in all site collections without a signed in user. はいYes
Files.ReadWrite.AllFiles.ReadWrite.All すべてのサイト コレクションにおけるファイルの読み取りと書き込みRead and write files in all site collections サインイン ユーザーなしで、アプリがすべてのサイト コレクション内のすべてのファイルの読み取り、作成、更新、削除を行えるようにします。Allows the app to read, create, update, and delete all files in all site collections without a signed in user. はいYes

解説Remarks

: 個人用アカウントの場合、Files.Read および Files.ReadWrite はサインインしているユーザーと共有しているファイルへのアクセスも許可されます。Note: For personal accounts, Files.Read and Files.ReadWrite also grant access to files shared with the signed-in user.

委任されたアクセス許可の Files.Read.Selected および Files.ReadWrite.Selected は、職場または学校アカウントでのみ有効です。また、Office 365 ファイル ハンドラー (v1.0) を使用している場合にのみ公開されます。これらは、Microsoft Graph API を直接呼び出すために使用しないでください。The Files.Read.Selected and Files.ReadWrite.Selected delegated permissions are only valid on work or school accounts and are only exposed for working with Office 365 file handlers (v1.0). They should not be used for directly calling Microsoft Graph APIs.

委任されたアクセス許可の Files.ReadWrite.AppFolder は、個人用アカウントでのみ有効です。また、OneDrive の特殊フォルダーを取得する Microsoft Graph API で App Root 特殊フォルダーにアクセスする場合に使用します。The Files.ReadWrite.AppFolder delegated permission is only valid for personal accounts and is used for accessing the App Root special folder with the OneDrive Get special folder Microsoft Graph API.

使用例Example usage

委任Delegated

  • Files.Read:サインインしているユーザーの OneDrive に保存されているファイルを読み取ります (GET /me/drive/root/children)Files.Read: Read files stored in the signed-in user's OneDrive (GET /me/drive/root/children)
  • Files.Read.All:サインインしているユーザーと共有しているファイルを読み取ります (GET /me/drive/root/sharedWithMe)Files.Read.All: Read files shared with the signed-in user (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite:サインインしているユーザーの OneDrive にファイルを書き込みます (PUT /me/drive/root/children/filename.txt/content)Files.ReadWrite: Write a file in the signed-in user's OneDrive (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All:ユーザーと共有するファイルを書き込みます (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)Files.ReadWrite.All: Write a file shared with the user (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder:OneDrive 内のアプリのフォルダーにファイルを書き込みます (PUT /me/drive/special/approot/children/file.txt/content)Files.ReadWrite.AppFolder: Write files into the app's folder in OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


財務のアクセス許可Financials permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
Financials.ReadWrite.AllFinancials.ReadWrite.All 財務データの読み取りと書き込みRead and write financials data アプリで、サインインしているユーザーの代わりに、財務データの読み取りと書き込みを行うことができるようにします。Allows the app to read and write financials data on behalf of the signed-in user いいえNo

グループのアクセス許可Group permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Group.Read.AllGroup.Read.All すべてのグループの読み取りRead all groups アプリで、サインインしているユーザーの代わりに、グループを一覧表示し、グループのプロパティとすべてのグループ メンバーシップを読み取ることができるようにします。アプリで、サインインしているユーザーがアクセスできるすべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツを読み取ることができるようにします。Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user. Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. はいYes いいえNo
Group.ReadWrite.AllGroup.ReadWrite.All すべてのグループの読み取りと書き込みRead and write all groups アプリで、サインインしているユーザーの代わりに、グループを作成したり、すべてのグループのプロパティとメンバーシップを読み取ったりできるようにします。Allows the app to create groups and read all group properties and memberships on behalf of the signed-in user. アプリで、サインインしているユーザーがアクセスできるすべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツの読み取りと書き込みができるようにします。Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. さらに、グループの所有者が自身のグループを管理できるよう、またグループ メンバーがグループのコンテンツを更新できるようにします。Additionally allows group owners to manage their groups and allows group members to update group content. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Group.Read.AllGroup.Read.All すべてのグループの読み取りRead all groups アプリで、サインインしているユーザーがいなくても、すべてのグループのメンバーシップを読み取れるようにします。Allows the app to read memberships for all groups without a signed-in user. アプリで、すべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツを読み取ることができるようにします。Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. > 注: すべてのグループ API が、アプリ専用のアクセス許可を使用したアクセスをサポートするわけではありません。 > NOTE: that not all group API supports access using app-only permissions. 例については、「既知の問題」を参照してください。See known issues for examples. はいYes
Group.ReadWrite.AllGroup.ReadWrite.All すべてのグループの読み取りと書き込みRead and write all groups アプリで、グループの作成、グループ メンバーシップの読み取りと更新、グループの削除ができるようにします。Allows the app to create groups, read and update group memberships, and delete groups. アプリで、すべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツの読み取りと書き込みができるようにします。Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. これらの操作はすべて、サインインしているユーザーがいなくても、アプリで実行できます。All of these operations can be performed by the app without a signed-in user. > 注: すべてのグループ API が、アプリ専用のアクセス許可を使用したアクセスをサポートするわけではありません。 > NOTE: that not all group API supports access using app-only permissions. 例については、「既知の問題」を参照してください。See known issues for examples. はいYes

注釈Remarks

グループ機能は、個人用 Microsoft アカウントではサポートされません。Group functionality is not supported on personal Microsoft accounts.

Office 365 グループの場合は、グループのアクセス許可により、グループのコンテンツ (会話、ファイル、メモなど) へのアクセスがアプリに許可されます。For Office 365 groups, Group permissions grant the app access to the contents of the group; for example, conversations, files, notes, and so on.

アプリケーションのアクセス許可については、サポートされる API についていくつかの制限があります。詳細については、「既知の問題」を参照してください。For application permissions, there are some limitations for the APIs that are supported. For more information, see known issues.

場合によっては、アプリは一部のグループ プロパティ (membermemberOf など) の読み取りにディレクトリのアクセス許可を必要とすることがあります。たとえば、グループにメンバーとして 1 つ以上の servicePrincipals が含まれている場合、アプリは Directory.* アクセス許可のいずれかによって付与されるサービス プリンシパルを読み取るための有効なアクセス許可が必要になります。このアクセス許可がない場合、Microsoft Graph はエラーを返します (委任されたアクセス許可の場合、サインインしているユーザーも、サービス プリンシパルを読み取るために、組織内の十分な権限が必要です)。同様のガイダンスは、administrativeUnits を返す memberOf プロパティにも当てはまります。In some cases, an app may need Directory permissions to read some group properties like member and memberOf. For example, if a group has a one or more servicePrincipals as members, the app will need effective permissions to read service principals through being granted one of the Directory.* permissions, otherwise Microsoft Graph will return an error. (In the case of delegated permissions, the signed-in user will also need sufficient privileges in the organization to read service principals.) The same guidance applies for the memberOf property, which can return administrativeUnits.

グループのアクセス許可は、Microsoft Teams のリソースと API へのアクセスを制御するために使用されます。Group permissions are used to control access to Microsoft Teams resources and APIs. 個人用 Microsoft アカウントはサポートされません。Personal Microsoft accounts are not supported.

また、グループのアクセス許可は、Microsoft Planner のリソースと API へのアクセスを制御するためにも使用されます。Microsoft Planner API では委任されたアクセス許可のみがサポートされます。アプリケーション アクセス許可はサポートされません。個人用 Microsoft アカウントはサポートされません。Group permissions are also used to control access to Microsoft Planner resources and APIs. Only delegated permissions are supported for Microsoft Planner APIs; application permissions are not supported. Personal Microsoft accounts are not supported.

使用例Example usage

委任Delegated

  • Group.Read.All:サインインしているユーザーがメンバーになっているすべての Office 365 グループを読み取ります (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified'))。Group.Read.All: Read all Office 365 groups that the signed-in user is a member of (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All:すべての Office 365 グループ コンテンツ (会話など) を読み取ります (GET /groups/{id}/conversations)。Group.Read.All: Read all Office 365 group content like conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: グループ プロパティ (photo など) を更新します (PUT /groups/{id}/photo/$value)。Group.ReadWrite.All: Update group properties, like photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: グループ メンバーを更新します (POST /groups/{id}/members/$ref)。Group.ReadWrite.All: Update group members (POST /groups/{id}/members/$ref).

注: これには、メンバーとして追加するユーザーを読み取るための User.ReadBasic.All も必要になります。Note:: This also requires User.ReadBasic.All to read the user to add as a member.

アプリケーションApplication

  • Group.Read.All:名前が 'Sales' で始まるグループをすべて検索します (GET /groups?$filter=startswith(displayName,'Sales'))。Group.Read.All: Find all groups with name that starts with 'Sales' (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All:デーモン サービスにより、Office 365 グループの予定表に新しいイベントを作成します (POST /groups/{id}/events)。Group.ReadWrite.All: Daemon service creates new events on an Office 365 group's calendar (POST /groups/{id}/events).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


ID プロバイダーのアクセス許可Identity provider permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
IdentityProvider.Read.AllIdentityProvider.Read.All ID プロバイダー情報の読み取りRead identity provider information Azure AD または Azure AD B2C テナントで構成された ID プロバイダーを、サインインしているユーザーの代わりにアプリが読み取れるようにします。Allows the app to read identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. はいYes いいえNo
IdentityProvider.ReadWrite.AllIdentityProvider.ReadWrite.All ID プロバイダー情報の読み取りと書き込みRead and write identity provider information Azure AD または Azure AD B2C テナントで構成された ID プロバイダーを、サインインしているユーザーの代わりにアプリが読み取りおよび書き込みできるようにします。Allows the app to read or write identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. はいYes いいえNo

解説Remarks

IdentityProvider.Read.AllIdentityProvider.ReadWrite.All は、職場または学校アカウントに対してのみ有効です。IdentityProvider.Read.All and IdentityProvider.ReadWrite.All are valid only for work or school accounts. アプリが委任されたアクセス許可で ID プロバイダーを読み取りおよび書き込みするには、サインインしているユーザーにグローバル管理者ロールを割り当てる必要があります。For an app to read or write identity providers with delegated permissions, the signed-in user must be assigned the Global Administrator role. 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

使用例Example usage

委任Delegated

次に示す使用法は、委任されたアクセス許可に対して有効です。The following usages are valid for both delegated permissions:

  • IdentityProvider.Read.All:テナントで構成されたすべての ID プロバイダーを読み取ります (GET /beta/identityProviders)IdentityProvider.Read.All: Read all identity providers configured in the tenant (GET /beta/identityProviders)
  • IdentityProvider.Read.All:既存の ID プロバイダーを読み取ります (GET /beta/identityProviders/{id})IdentityProvider.Read.All: Read an existing identity provider (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: ID プロバイダーを作成します (POST /beta/identityProviders)IdentityProvider.ReadWrite.All Create an identity provider (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All: 既存の ID プロバイダーを更新します (PATCH /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Update an existing identity provider (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: 既存の ID プロバイダーを削除します (DELETE /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Delete an existing identity provider (DELETE /beta/identityProviders/{id})

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


ID リスク イベントのアクセス許可Identity Risk Event permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All ID リスク イベント情報の読み取りRead identity risk event information アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID リスク イベント情報を読み取れるようにします。Allows the app to read identity risk event information for all users in your organization on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All ID リスク イベント情報の読み取りRead identity risk event information サインインしているユーザーなしで、組織内のすべてのユーザーの ID リスク イベント情報をアプリで読み取れるようにします。Allows the app to read identity risk event information for all users in your organization without a signed-in user. 必要Yes

注釈Remarks

IdentityRiskEvent.Read.All は、職場または学校アカウントでのみ有効です。委任されたアクセス許可があるアプリの場合、ID リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。IdentityRiskEvent.Read.All is valid only for work or school accounts. For an app with delegated permissions to read identity risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

使用例Example usage

委任およびアプリケーションDelegated and Application

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。The following usages are valid for both delegated and application permissions:

  • テナント内のすべてのユーザーに対して生成されたすべてのリスク イベントを読み取ります (GET /beta/identityRiskEvents)Read all risk events generated for all users in the tenant (GET /beta/identityRiskEvents)
  • Dorknet ボンネットで生成されたマルウェア リスク イベントを読み取ります (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')Read malware risk events generated by the Dorknet botnet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • 最新の 50 件のリスク イベントを読み取ります (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)Read most recent 50 risk events (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


ID のリスクが高いユーザーのアクセス許可Identity Risky User permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All ID ユーザー リスク情報の読み取りRead identity user risk information アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID ユーザー リスク情報を読み取ることができるようにします。Allows the app to read identity user risk information for all users in your organization on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All ID ユーザー リスク情報の読み取りRead identity user risk information アプリで、サインインしているユーザーがいなくても、組織内のすべてのユーザーの ID リスク イベント情報を読み取れるようにします。Allows the app to read identity user risk information for all users in your organization without a signed-in user. はいYes

解説Remarks

IdentityRiskyUser.Read.All は、職場または学校アカウントでのみ有効です。IdentityRiskyUser.Read.All is valid only for work or school accounts. 委任されたアクセス許可があるアプリの場合、ID ユーザー リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to read identity user risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

使用例Example usage

委任およびアプリケーションDelegated and Application

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。The following usages are valid for both delegated and application permissions:

  • テナント内のリスクが高いユーザーとプロパティをすべて読み取ります (GET /beta/riskyUsers)Read all risky users and properties in the tenant (GET /beta/riskyUsers)
  • 集計リスク レベルが中のリスクが高いユーザーをすべて読み取ります (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')Read all risky users whose aggregate risk level is Medium (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • 特定のユーザーのリスク情報を読み取ります (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)Read the risk information for a specific user (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


Intune デバイス管理のアクセス許可Intune Device Management permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Microsoft Intune アプリの読み取りRead Microsoft Intune apps アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み取れるようにします。Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. はいYes いいえNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Microsoft Intune アプリの読み取りおよび書き込みRead and write Microsoft Intune apps アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み書きできるようにします。Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. はいYes いいえNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Microsoft Intune のデバイスの構成とポリシーの読み取りRead Microsoft Intune device configuration and policies アプリで、Microsoft Intune で管理されるデバイス構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み取れるようにします。Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. はいYes いいえNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Microsoft Intune のデバイスの構成とポリシーの読み取りおよび書き込みRead and write Microsoft Intune device configuration and policies アプリで、Microsoft Intune で管理されるデバイスの構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み書きできるようにします。Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. はいYes いいえNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Microsoft Intune デバイスでユーザーに影響を与えるリモート操作を実行するPerform user-impacting remote actions on Microsoft Intune devices アプリで、デバイスのワイプや Microsoft Intune で管理されるデバイスのパスコードのリセットなど、影響の大きいリモート操作を実行できるようにします。Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. はいYes いいえNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Microsoft Intune デバイスの読み取りRead Microsoft Intune devices アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み取れるようにします。Allows the app to read the properties of devices managed by Microsoft Intune. はいYes いいえNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Microsoft Intune デバイスの読み取りおよび書き込みRead and write Microsoft Intune devices アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み書きできるようにします。リモート ワイプやデバイスの所有者のパスワードのリセットなど、影響の大きい操作は許可されません。Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. はいYes いいえNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Microsoft Intune RBAC の設定の読み取りRead Microsoft Intune RBAC settings アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み取れるようにします。Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. はいYes いいえNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Microsoft Intune RBAC の設定の読み取りおよび書き込みRead and write Microsoft Intune RBAC settings アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み書きできるようにします。Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. はいYes いいえNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Microsoft Intune 構成の読み取りRead Microsoft Intune configuration アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Intune サービスのプロパティを読み取れるようにします。Allows the app to read Intune service properties including device enrollment and third party service connection configuration. はいYes いいえNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Microsoft Intune 構成の読み取りおよび書き込みRead and write Microsoft Intune configuration アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Microsoft Intune サービスのプロパティを読み書きできるようにします。Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

なし。None.

注釈Remarks

注: Intune のコントロールおよびポリシーの構成に Microsoft Graph API を使用するには、これまでどおりに顧客が Intune サービスの適切なライセンスを持っている必要があります。Note: Using the Microsoft Graph APIs to configure Intune controls and policies still requires that the Intune service is correctly licensed by the customer.

これらのアクセス許可は、職場または学校アカウントでのみ有効です。These permissions are only valid for work or school accounts.

使用例Example usage

委任Delegated

  • DeviceManagementServiceConfiguration.Read.All:Intune サブスクリプションの現在の状態を確認します (GET /deviceManagement/subscriptionState)。DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All:新しい条項および条件を作成します (POST /deviceManagement/termsAndConditions)。DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All:デバイス構成の状態を検索します (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All:デバイス コンプライアンス ポリシーをグループに割り当てます (POST deviceCompliancePolicies/{id}/assign)。DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All:Intune に公開したすべての Windows ストア アプリを検索します (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All:新しいアプリケーションを公開します (POST /deviceAppManagement/mobileApps)。DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All:ロールの割り当てを名前で検索します (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All:新しいカスタム ロールを作成します (POST /deviceManagement/roleDefinitions)。DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All:管理対象デバイスを名前で検索します (GET /managedDevices/?$filter=deviceName eq 'My Device')。DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All:管理対象デバイスを削除します (DELETE /managedDevices/{id})。DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All:ユーザーの管理対象デバイスのパスコードをリセットします (POST /managedDevices/{id}/resetPasscode)。DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


メールのアクセス許可Mail permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Mail.ReadMail.Read ユーザー メールの読み取りRead user mail  アプリで、ユーザー メールボックス内のメールを読み取ることができるようにします。Allows the app to read email in user mailboxes.  いいえNo はいYes
Mail.ReadBasicMail.ReadBasic 基本的なメールを読む(プレビュー)Read user basic mail (preview) (プレビュー) アプリでは、本文、PreviewBody、添付書類や他の拡張プロパティ以外の、サインインしているユーザーのメールボックスを読み上げることができます。(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. メッセージを検索するアクセス許可は含まれていません。Does not include permissions to search messages. いいえNo はいYes
Mail.ReadWriteMail.ReadWrite ユーザーのメールの読み取りおよび書き込みアクセス許可Read and write access to user mail  アプリで、ユーザー メールボックス内のメールの作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。Allows the app to create, read, update, and delete email in user mailboxes. Does not include permission to send mail. いいえNo はいYes
Mail.Read.SharedMail.Read.Shared ユーザーのメールと共有のメールの読み取りRead user and shared mail アプリで、ユーザー自身のメールと共有のメールを含む、ユーザーがアクセス許可を得ているメールを読み取れるようにします。Allows the app to read mail that the user can access, including the user's own and shared mail.  いいえNo いいえNo
Mail.ReadWrite.SharedMail.ReadWrite.Shared ユーザーのメールと共有のメールの読み取りと書き込みRead and write user and shared mail  アプリで、ユーザー自身のメールと共有のメールを含むユーザーがアクセス許可を得ているメールの作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。Allows the app to create, read, update, and delete mail that the user has permission to access, including the user's own and shared mail. Does not include permission to send mail. いいえNo いいえNo
Mail.SendMail.Send ユーザーからのメールとして送信Send mail as a user  アプリで、組織内のユーザーとしてメールを送信できるようにします。Allows the app to send mail as users in the organization.  いいえNo はいYes
Mail.Send.SharedMail.Send.Shared 他のユーザーに代わってメールを送信Send mail on behalf of others  アプリで、他のユーザーの代理としての送信を含め、サインインしているユーザーとしてメールを送信できるようにします。Allows the app to send mail as the signed-in user, including sending on-behalf of others.  いいえNo いいえNo
MailboxSettings.ReadMailboxSettings.Read ユーザーのメールボックス設定の読み取りRead user mailbox settings  ユーザーのメールボックス設定をアプリで読み取れるようにします。メールを送信するためのアクセス許可は含まれません。Allows the app to the read user's mailbox settings. Does not include permission to send mail. いいえNo はいYes
MailboxSettings.ReadWriteMailboxSettings.ReadWrite ユーザーのメールボックス設定の読み取りと書き込みRead and write user mailbox settings  アプリで、ユーザーのメールボックス設定を作成、読み取り、更新、削除できるようにします。Allows the app to create, read, update, and delete user's mailbox settings. メールを直接送信するためのアクセス許可は含まれていませんが、アプリでメッセージの転送やリダイレクトのルールを作成できるようになります。Does not include permission to directly send mail, but allows the app to create rules that can forward or redirect messages. いいえNo はいYes

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Mail.ReadMail.Read すべてのメールボックスにあるメールの読み取りRead mail in all mailboxes サインインしているユーザーなしで、すべてのメールボックス内のメールをアプリで読み取れるようにします。Allows the app to read mail in all mailboxes without a signed-in user. はいYes
Mail.ReadBasic.AllMail.ReadBasic.All すべてのユーザーの基本メールの読み取り (プレビュー)Read all users basic mail (preview) (プレビュー) アプリでは、本文、PreviewBody、添付書類や他の拡張プロパティ以外の、すべてのユーザーのメールボックスを読み上げることができます。(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. メッセージを検索するアクセス許可は含まれていません。Does not include permissions to search messages. はいYes いいえNo
Mail.ReadWriteMail.ReadWrite すべてのメールボックスにあるメールの読み取りと書き込みRead and write mail in all mailboxes サインインしているユーザーなしで、アプリですべてのメールボックス内のメールの作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。Allows the app to create, read, update, and delete mail in all mailboxes without a signed-in user. Does not include permission to send mail. 必要Yes
Mail.SendMail.Send 任意のユーザーからのメールを送信Send mail as any user サインインしているユーザーなしで、任意のユーザーとしてアプリでメールを送信できるようにします。Allows the app to send mail as any user without a signed-in user. 必要Yes
MailboxSettings.ReadMailboxSettings.Read すべてのユーザーのメールボックス設定の読み取りRead all user mailbox settings  サインインしているユーザーなしで、ユーザーのメールボックス設定をアプリで読み取れるようにします。メールを送信するためのアクセス許可は含まれません。Allows the app to read user's mailbox settings without a signed-in user. Does not include permission to send mail. いいえNo
MailboxSettings.ReadWriteMailboxSettings.ReadWrite ユーザーのすべてのメールボックス設定の読み取りと書き込みRead and write all user mailbox settings サインインしているユーザーなしで、アプリでユーザーのメールボックス設定の作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。Allows the app to create, read, update, and delete user's mailbox settings without a signed-in user. Does not include permission to send mail. はいYes

重要 アプリケーションに Mail.Read、Mail.ReadWrite、Mail.Send、MailboxSettings.Read、または MailboxSettings.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者はアプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく_特定_のメールボックスにアプリケーション アクセスを制限することができます。Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, or MailboxSettings.ReadWrite.

注釈Remarks

Mail.Read.SharedMail.ReadWrite.Shared、および Mail.Send.Shared は、職場または学校アカウントでのみ有効です。その他すべてのアクセス許可は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。Mail.Read.Shared, Mail.ReadWrite.Shared, and Mail.Send.Shared are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

アクセス許可の Mail.Send または Mail.Send.Shared があるアプリは、対応するアクセス許可の Mail.ReadWrite または Mail.ReadWrite.Shared を使用しない場合でも、メールの送信とユーザーの [送信済みアイテム] フォルダーへのコピーが可能になります。With the Mail.Send or Mail.Send.Shared permission, an app can send mail and save a copy to the user's Sent Items folder, even if the app does not use a corresponding Mail.ReadWrite or Mail.ReadWrite.Shared permission.

使用例Example usage

委任Delegated

  • Mail.Read:ユーザーの受信トレイ内のメッセージを receivedDateTime で並べ替えてリストします (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC)。Mail.Read: List messages in the user's inbox, sorted by receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: サインインしているユーザーと受信トレイを共有しているユーザーのメールボックス内にある添付ファイル付きのメッセージをすべて検索します (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true)。Mail.Read.Shared: Find all messages with attachments in a user's inbox that has shared their inbox with the signed-in user (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite:メッセージに既読のマークを付けます (PATCH /me/messages/{id})。Mail.ReadWrite: Mark a message read (PATCH /me/messages/{id}).
  • Mail.Send: メッセージを送信します (POST /me/sendmail)。Mail.Send: Send a message (POST /me/sendmail).
  • MailboxSettings.ReadWrite:ユーザーの自動応答を更新します (PATCH /me/mailboxSettings)。MailboxSettings.ReadWrite: Update the user's automatic reply (PATCH /me/mailboxSettings).

アプリケーションApplication

  • Mail.Read:bob@contoso.com からメッセージを検索します (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com')。Mail.Read: Find messages from bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite:Expense Reports という名前の受信トレイに新しいフォルダーを作成します (POST /users/{id | userPrincipalName}/mailfolders)。Mail.ReadWrite: Create a new folder in the Inbox named Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: メッセージを送信します (POST /users/{id | userPrincipalName}/sendmail)。Mail.Send: Send a message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: ユーザーのメールボックスの既定のタイムゾーンを取得します (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)MailboxSettings.Read: Get the default timezone for the user's mailbox (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


メンバーのアクセス許可Member permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Member.Read.HiddenMember.Read.Hidden 非表示のメンバーシップの読み取りRead hidden memberships サインインしているユーザーのために、非表示のグループおよび管理単位のメンバーシップをアプリケーションが読み取ることを許可します。サインインしているユーザーがアクセス権を持つ非表示のグループおよび管理単位が対象です。Allows the app to read the memberships of hidden groups and administrative units on behalf of the signed-in user, for those hidden groups and administrative units that the signed-in user has access to. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Member.Read.HiddenMember.Read.Hidden すべての非表示のメンバーシップの読み取りRead all hidden memberships サインインしているユーザーなしで、非表示のグループのメンバーシップと管理単位をアプリで読み取れるようにします。Allows the app to read the memberships of hidden groups and administrative units without a signed-in user. 必要Yes

注釈Remarks

Member.Read.Hidden は、職場または学校のアカウントでのみ有効です。Member.Read.Hidden is valid only on work or school accounts.

一部の Office 365 グループのメンバーシップは非表示にできます。これは、そのメンバーを表示できるのは、そのグループのメンバーのみになるということです。この機能は、部外者にはグループのメンバーシップを隠すことを要求する組織の規制に従う際に役立ちます (たとえば、クラスに登録した学生を表す Office 365 グループなど)。Membership in some Office 365 groups can be hidden. This means that only the members of the group can view its members. This feature can be used to help comply with regulations that require an organization to hide group membership from outsiders (for example, an Office 365 group that represents students enrolled in a class).

使用例Example usage

委任Delegated

  • Member.Read.Hidden:サインインしているユーザーのために、メンバーシップが非表示になっている管理単位のメンバーを読み取ります (GET /administrativeUnits/{id}/members)。Member.Read.Hidden: Read the members of an administrative unit with hidden membership on behalf of the signed-in user (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden:サインインしているユーザーのために、メンバーシップが非表示になっているグループのメンバーを読み取ります (GET /groups/{id}/members)。Member.Read.Hidden: Read the members of a group with hidden membership on behalf of the signed-in user (GET /groups/{id}/members).

アプリケーションApplication

  • Member.Read.Hidden:メンバーシップが非表示になっている管理単位のメンバーを読み取ります (GET /administrativeUnits/{id}/members)。Member.Read.Hidden: Read the members of an administrative unit with hidden membership (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden:メンバーシップが非表示になっているグループのメンバーを読み取ります (GET /groups/{id}/members)。Member.Read.Hidden: Read the members of a group with hidden membership (GET /groups/{id}/members).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.

メモのアクセス許可Notes permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Notes.ReadNotes.Read ユーザーの OneNote ノートブックの読み取りRead user OneNote notebooks サインインしているユーザーの代わりに、アプリで OneNote ノートブックとセクションのタイトルの読み取りと、新しいページ、ノートブック、セクションの作成を実行できるようにします。Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. いいえNo はいYes
Notes.CreateNotes.Create ユーザーの OneNote ノートブックの作成Create user OneNote notebooks サインインしているユーザーの代わりに、アプリで OneNote ノートブックとセクションのタイトルの読み取りと、新しいページ、ノートブック、セクションの作成を実行できるようにします。Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. いいえNo はいYes
Notes.ReadWriteNotes.ReadWrite ユーザーの OneNote ノートブックの読み取りと書き込みRead and write user OneNote notebooks サインインしているユーザーの代わりに、アプリで OneNote ノートブックの読み取り、共有、および変更を実行できるようにします。Allows the app to read, share, and modify OneNote notebooks on behalf of the signed-in user. いいえNo はいYes
Notes.Read.AllNotes.Read.All ユーザーがアクセスできるすべての OneNote ノートブックの読み取りRead all OneNote notebooks that user can access サインインしているユーザーがアクセスできる組織内の OneNote ノートブックをアプリで読み取れるようにします。Allows the app to read OneNote notebooks that the signed-in user has access to in the organization. いいえNo いいえNo
Notes.ReadWrite.AllNotes.ReadWrite.All ユーザーがアクセスできるすべての OneNote ノートブックの読み取りと書き込みRead and write all OneNote notebooks that user can access サインインしているユーザーがアクセスできる組織内の OneNote ノートブックの読み取り、共有、および変更をアプリで実行できるようにします。Allows the app to read, share, and modify OneNote notebooks that the signed-in user has access to in the organization. いいえNo いいえNo
Notes.ReadWrite.CreatedByAppNotes.ReadWrite.CreatedByApp ノートブックへの限定的なアクセス (非推奨)Limited notebook access (deprecated) 非推奨Deprecated
使用しないでください。このアクセス許可によって付与される特権はありません。Do not use. No privileges are granted by this permission.
いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Notes.Read.AllNotes.Read.All すべての OneNote ノートブックの読み取りRead all OneNote notebooks サインインしているユーザーなしで、組織内のすべての OneNote ノートブックをアプリで読み取れるようにします。Allows the app to read all the OneNote notebooks in your organization, without a signed-in user. 必要Yes
Notes.ReadWrite.AllNotes.ReadWrite.All すべての OneNote ノートブックの読み取りと書き込みRead and write all OneNote notebooks サインインしているユーザーなしで、組織内のすべての OneNote ノートブックをアプリで読み取り、共有、および変更できるようにします。Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. 必要Yes

RemarksRemarks

Notes.Read.All および Notes.ReadWrite.All は、職場または学校アカウントでのみ有効です。その他すべてのアクセス許可は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。Notes.Read.All and Notes.ReadWrite.All are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Notes.Create のアクセス許可があるアプリは、サインインしているユーザーの OneNote ノートブック階層の表示と、OneNote コンテンツ (ノートブック、セクション グループ、セクション、ページなど) の作成を実行できます。With the Notes.Create permission, an app can view the OneNote notebook hierarchy of the signed-in user and create OneNote content (notebooks, section groups, sections, pages, etc.).

また、Notes.ReadWrite および Notes.ReadWrite.All によって、アプリはサインインしているユーザーがアクセス可能な OneNote コンテンツのアクセス許可を変更することもできるようになります。Notes.ReadWrite and Notes.ReadWrite.All also allow the app to modify the permissions on the OneNote content that can be accessed by the signed-in user.

職場または学校アカウントの場合、Notes.Read.All および Notes.ReadWrite.All により、アプリは、サインインしているユーザーが組織内でアクセス許可を持つ別のユーザーの OneNote コンテンツにアクセスできるようになります。For work or school accounts, Notes.Read.All and Notes.ReadWrite.All allow the app to access other users' OneNote content that the signed-in user has permission to within the organization.

使用例Example usage

委任Delegated

  • Notes.Create:サインインしているユーザー用に新しいノートブックを作成します (POST /me/onenote/notebooks)。Notes.Create: Create a new notebooks for the signed-in user (POST /me/onenote/notebooks).
  • Notes.Read:サインインしているユーザーのノートブックを読み取ります (GET /me/onenote/notebooks)。Notes.Read: Read the notebooks for the signed-in user (GET /me/onenote/notebooks).
  • Notes.Read.All:サインインしているユーザーが組織内でアクセス可能なすべてのノートブックを取得します (GET /me/onenote/notebooks?includesharednotebooks=true)。Notes.Read.All: Get all notebooks that the signed-in user has access to within the organization (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite:サインインしているユーザーのページを更新します (PATCH /me/onenote/pages/{id}/$value)。Notes.ReadWrite: Update the page of the signed-in user (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All:サインインしているユーザーが組織内でアクセス可能な別のユーザーのノートブックにページを作成します (POST /users/{id}/onenote/pages)。Notes.ReadWrite.All: Create a page in another user's notebook that the signed-in user has access to within the organization (POST /users/{id}/onenote/pages).

アプリケーションApplication

  • Notes.Read.All:グループ内のすべてのユーザーのノートブックを読み取ります (GET /groups/{id}/onenote/notebooks)。Notes.Read.All: Read all users notebooks in a group (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All:組織内の任意のユーザーのノートブックのページを更新します (PATCH /users/{id}/onenote/pages/{id}/$value)。Notes.ReadWrite.All: Update the page in a notebook for any user in the organization (PATCH /users/{id}/onenote/pages/{id}/$value).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.

通知のアクセス許可Notifications permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
Notifications.ReadWrite.CreatedByAppNotifications.ReadWrite.CreatedByApp このアプリの通知を配信および管理します。Deliver and manage notifications for this app. アプリで、サインインしているユーザーの代わりに、通知を配信することができるようにします。Allow the app to deliver its notifications on behalf of signed-in users. また、アプリで、このアプリのユーザーの通知項目の読み取り、更新、削除が行えるようにします。Also allows the app to read, update, and delete the user’s notification items for this app. いいえNo

解説Remarks

Notifications.ReadWrite.CreatedByApp は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。Notifications.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts. このアクセス許可に関連付けられている CreatedByApp 制約は、このサービスが呼び出し元アプリの ID (Microsoft アカウント アプリ ID またはクロスプラットフォーム アプリケーション ID 用に構成されたアプリ ID のセットのいずれか) に基づいて結果に暗黙的なフィルター処理を適用することを示しています。The CreatedByApp constraint associated with this permission indicates that the service will apply implicit filtering to results based on the identity of the calling app, either the Microsoft account app ID or a set of app IDs configured for a cross-platform application identity.

使用例Example usage

DelegatedDelegated

  • Notifications.ReadWrite.CreatedByApp: ユーザー指向の通知を発行します。この通知は、異なるエンドポイントで実行されているユーザーの複数のアプリケーション クライアントに配信することができますNotifications.ReadWrite.CreatedByApp: Publish a user-centric notification, which might then be delivered to the user’s multiple application clients running on different endpoints. (POST /me/notifications/)。(POST /me/notifications/).

オンライン会議のアクセス許可Online meetings permissions

委任されたアクセス許可Delegated permissions

なし。None.


アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
OnlineMeetings.Read.AllOnlineMeetings.Read.All アプリからオンライン会議の詳細を読み取る (プレビュー)Read Online Meeting details from the app (preview) アプリで、サインインしているユーザーがいなくても、組織内のすべてのオンライン会議を読み取ることができるようにします。Allows the app to read Online Meeting details in your organization, without a signed-in user. はいYes
OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All サインインしているユーザーの代わりにアプリが行うオンライン会議の読み取りと作成 (プレビュー)Read and Create Online Meetings from the app (preview) on behalf of a user アプリで、サインインしているユーザーがいなくても、ユーザーの代わりに、組織内のオンライン会議を作成することができるようにします。Allows the app to create Online Meetings in your organization on behalf of a user, without a signed-in user. はいYes

使用例Example usage

アプリケーションApplication

  • OnlineMeetings.Read.All: オンライン会議のプロパティとリレーションシップを取得します (GET /beta/app/onlinemeetings/{id})。OnlineMeetings.Read.All: Retrieve the properties and relationships of an Online Meeting (GET /beta/app/onlinemeetings/{id}).
  • OnlineMeetings.ReadWrite.All: オンライン会議 を作成します (POST /beta/app/onlinemeetings)。OnlineMeetings.ReadWrite.All: Create an Online Meeting (POST /beta/app/onlinemeetings).

: オンライン会議を作成すると、要求の本文に指定されたユーザーの代わりに会議が作成されますが、ユーザーの予定表には表示されません。Note: Creating an Online Meeting creates a meeting on behalf of a user specified in the request body, but does not show it on the user's Calendar.

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


オンプレミスの発行プロファイルのアクセス許可On-premises Publishing Profiles permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All オンプレミスの発行プロファイルにアクセスするAccess On-Premises Publishing Profiles サインインしたユーザーの代理としてオンプレミスの発行済みリソース、オンプレミスのエージェントおよびエージェント グループを作成、表示、更新、削除することで、アプリがハイブリッド ID サービスの構成を管理できるようにします。Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. 不要No いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All オンプレミスの発行プロファイルにアクセスするAccess On-Premises Publishing Profiles サインインしたユーザーの代理としてオンプレミスの発行済みリソース、オンプレミスのエージェントおよびエージェント グループを作成、表示、更新、削除することで、アプリがハイブリッド ID サービスの構成を管理できるようにします。Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. 不要No いいえNo

OpenID のアクセス許可OpenID permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
emailemail ユーザーのメール アドレスの表示View users' email address ユーザーのプライマリ電子メール アドレスをアプリで読み取れるようにします。Allows the app to read your users' primary email address. いいえNo いいえNo
offline_accessoffline_access ユーザーのデータへの常時アクセスAccess user's data anytime 現在アプリを使用していない場合も、アプリでユーザー データの読み取りと更新ができるようにします。Allows the app to read and update user data, even when they are not currently using the app. いいえNo いいえNo
openidopenid ユーザーのサインインSign users in ユーザーが職場または学校アカウントでアプリにサインインできるようにします。またアプリで、ユーザーの基本的なプロファイル情報を読み取れるようにします。Allows users to sign in to the app with their work or school accounts and allows the app to see basic user profile information. いいえNo いいえNo
profileprofile ユーザーの基本プロファイルの表示View users' basic profile ユーザーの基本プロファイル (名前、写真、ユーザー名) をアプリで確認できるようにします。Allows the app to see your users' basic profile (name, picture, user name). いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

なし。None.

注釈Remarks

これらのアクセス許可を使用すると、Azure AD の承認とトークン要求で返される成果物を指定できます。これらは Azure AD v1.0 エンドポイントと v2.0 エンドポイントでは異なる方法でサポートされます。You can use these permissions to specify artifacts that you want returned in Azure AD authorization and token requests. They are supported differently by the Azure AD v1.0 and v2.0 endpoints.

Azure AD (v1.0) エンドポイントでは、openid アクセス許可のみが使用されます。これを承認要求で scope パラメーターに指定して、ユーザーがアプリにサインインするときに OpenID Connect プロトコルを使用する場合に ID トークンが返されるようにします。詳細については、「OpenID Connect と Azure Active Directory を使用する Web アプリケーションへのアクセスの承認」を参照してください。ID トークンが正常に返されるようにするには、アプリを登録するときに User.Read アクセス許可も必ず構成します。With the Azure AD (v1.0) endpoint, only the openid permission is used. You specify it in the scope parameter in an authorization request to return an ID token when you use the OpenID Connect protocol to sign in a user to your app. For more information, see Authorize access to web applications using OpenID Connect and Azure Active Directory. To successfully return an ID token, you must also make sure that the User.Read permission is configured when you register your app.

Azure AD v2.0 エンドポイントでは、scope パラメーターで_offline_access_ アクセス許可を指定して、OAuth 2.0 または OpenID Connect プロトコルを使用するときに明示的に更新トークンを要求します。OpenID Connect では、openid アクセス許可を指定して ID トークンを要求します。email アクセス許可、profile アクセス許可、あるいはその両方で ID トークンに追加の要求が返されるように指定できます。v2.0 エンドポイントでは、ID トークンを返すよう User.Read を指定する必要はありません。詳細については、「OpenID Connect のスコープ」を参照してください。With the Azure AD v2.0 endpoint, you specify the offline_access permission in the scope parameter to explicitly request a refresh token when using the OAuth 2.0 or OpenID Connect protocols. With OpenID Connect, you specify the openid permission to request an ID token. You can also specify the email permission, profile permission, or both to return additional claims in the ID token. You do not need to specify User.Read to return an ID token with the v2.0 endpoint. For more information, see OpenID Connect scopes.

重要Microsoft Authentication Library (MSAL) では現在、承認要求およびトークン要求に既定で offline_accessopenidprofileemail が指定されています。つまり、既定では、これらのアクセス許可を明示的に指定すると、Azure AD ではエラーが返される場合があります。Important The Microsoft Authentication Library (MSAL) currently specifies offline_access, openid, profile, and email by default in authorization and token requests. This means that, for the default case, if you specify these permissions explicitly, Azure AD may return an error.


組織のアクセス許可Organization permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Organization.Read.AllOrganization.Read.All 会社情報の読み取りRead organization information サインインしたユーザーの代理として、アプリで組織および関連するリソースの読み取りを実行できるようにします。Allows the app to read and write TrustFramework Policies on behalf of the signed-in user.関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 Related resources include things like subscribed SKUs and tenant branding information. はいYes いいえNo
Organization.ReadWrite.AllOrganization.ReadWrite.All 組織情報の読み取りと書き込みRead and write identity provider information サインインしたユーザーの代理として、アプリで組織および関連するリソースの読み取りと書き込みを実行できるようにします。Allows the app to read and write TrustFramework Policies on behalf of the signed-in user.関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 Related resources include things like subscribed SKUs and tenant branding information. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
Organization.Read.AllOrganization.Read.All 会社情報の読み取りRead organization information サインインしたユーザーがいない場合でも、アプリで組織および関連するリソースの読み取りを実行できるようにします。Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user.関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 Related resources include things like subscribed SKUs and tenant branding information. はいYes
Organization.ReadWrite.AllOrganization.ReadWrite.All 組織情報の読み取りと書き込みRead and write identity provider information サインインしたユーザーがいない場合でも、アプリで組織および関連するリソースの読み取りと書き込みを実行できるようにします。Allows the app to read and write the organization and related resources, without a signed-in user.関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 Related resources include things like subscribed SKUs and tenant branding information. はいYes

使用例Example usage

委任Delegated

  • Organization.Read.All: 組織情報を取得 (GET /organization)。Organization.Read.All: Get organization information (GET /organization).
  • Organization.Read.All: 組織が購読した SKU を取得 (GET /subscribedSkus)。Organization.Read.All: Get the SKUs that the organization has subscribed to (GET /subscribedSkus).

アプリケーションApplication

  • Organization.ReadWrite.All: 組織情報を更新 (technicalNotificationMails など) (PATCH /organization/{id})。Organization.ReadWrite.All: Update organization information (such as technicalNotificationMails) (PATCH /organization/{id}).

組織の連絡先のアクセス許可Organizational contact permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
OrgContact.Read.AllOrgContact.Read.All 組織の連絡先の読み取りRead organizational contacts サインインしているユーザーの代わりに、アプリですべての組織の連絡先を読み取れるようにします。Allows the app to read all TrustFramework Policies on behalf of the signed-in user. これらは組織によって管理されている連絡先であり、ユーザー個人の連絡先とは異なります。These contacts are managed by the organization and are different from a user's personal contacts. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
OrgContact.Read.AllOrgContact.Read.All 組織の連絡先の読み取りRead organizational contacts ユーザーのサインインなしで、アプリですべての組織の連絡先を読み取れるようにします。Allows the app to read all contacts in all mailboxes without a signed-in user. これらは組織によって管理されている連絡先であり、ユーザー個人の連絡先とは異なります。These contacts are managed by the organization and are different from a user's personal contacts. はいYes

使用例Example usage

委任Delegated

  • OrgContact.Read.All: すべての組織の連絡先を取得 (GET /contacts)。OrgContact.Read.All: Get all organizational contacts (GET /contacts).

People のアクセス許可People permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
People.ReadPeople.Read ユーザーに関係する連絡先リストの読み取りRead users' relevant people lists アプリで、サインインしているユーザーに関連する人物のスコアの付いたリストを読み取れるようにします。リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。Allows the app to read a scored list of people relevant to the signed-in user. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). いいえNo はいYes
People.Read.AllPeople.Read.All すべてのユーザーに関係する連絡先リストの読み取りRead all users' relevant people lists サインインしたユーザー、またはサインインしているユーザーの組織内の他のユーザーに関連する、ユーザーのスコアの付いたリストを、アプリで読み取れるようにします。リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。また、サインインしているユーザーの組織のディレクトリ全体を、アプリで検索することもできます。Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Also allows the app to search the entire directory of the signed-in user's organization.  はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
People.Read.AllPeople.Read.All すべてのユーザーに関係する連絡先リストの読み取りRead all users' relevant people lists サインインしたユーザー、またはサインインしているユーザーの組織内の他のユーザーに関連する、ユーザーのスコアの付いたリストを、アプリで読み取れるようにします。Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization.

リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). また、サインインしているユーザーの組織のディレクトリ全体を、アプリで検索することもできます。Also allows the app to search the entire directory of the signed-in user's organization. 
必要Yes

注釈Remarks

People.Read.All アクセス許可は会社用および学校用のアカウントにのみ有効です。The People.Read.All permission is only valid for work and school accounts.

使用例Example usage

委任Delegated

  • People.Read:関連する人物のリストを読み取ります (GET /me/people)People.Read: Read a list of relevant people (GET /me/people)
  • People.Read.All:同じ組織内の他のユーザーに関連する人物のリストを読み取ります (GET /users('{id})/people)People.Read.All: Read a list of relevant people to another user in the same organization (GET /users('{id})/people)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


場所のアクセス許可Places permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Place.Read.AllPlace.Read.All 会社全体の場所を読み取るRead all company places アプリでカレンダー イベントやその他のアプリケーション用に会社内の場所 (会議室や会議室一覧) の読み取りを実行できるようにします。Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. 不要No いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
Place.Read.AllPlace.Read.All 会社全体の場所を読み取るRead all company places アプリでカレンダー イベントやその他のアプリケーション用に会社内の場所 (会議室や会議室一覧) の読み取りを実行できるようにします。Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. はいYes

プログラムおよびプログラム コントロールのアクセス許可Programs and program controls permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
ProgramControl.Read.AllProgramControl.Read.All すべてのプログラムを読み取るRead all programs サインインしているユーザーの代わりに、アプリでプログラムの読み取りを実行できるようにします。Allows the app to read programs on behalf of the signed-in user. はいYes いいえNo
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All すべてのプログラムを管理するManage all programs サインインしているユーザーの代わりに、アプリでプログラムの読み取りと書き込みを実行できるようにします。Allows the app to read and write programs on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
ProgramControl.Read.AllProgramControl.Read.All すべてのプログラムを読み取るRead all programs サインインしているユーザーなしで、アプリでプログラムの読み取りを実行できるようにします。Allows the app to read programs without a signed-in user. はいYes
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All すべてのプログラムを管理するManage all programs サインインしているユーザーなしで、アプリでプログラムの読み取りと書き込みを実行できるようにします。Allows the app to read and write programs without a signed-in user. はいYes

注釈Remarks

ProgramControl.Read.AllProgramControl.ReadWrite.All は、職場または学校アカウントに対してのみ有効です。ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

プログラムおよびプログラム コントロールを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、「セキュリティ閲覧者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to read programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. プログラムとプログラム コントロールに書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。For an app with delegated permissions to write programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator. 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


レポートのアクセス許可Reports permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Reports.Read.AllReports.Read.All すべての利用状況レポートの読み取りRead all usage reports アプリで、サインインしているユーザーなしで、すべてのサービス利用状況レポートの読み取りができるようにします。利用状況レポートを提供するサービスには、Office 365 と Azure Active Directory が含まれます。Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Reports.Read.AllReports.Read.All すべての利用状況レポートの読み取りRead all usage reports アプリで、サインインしているユーザーなしで、すべてのサービス利用状況レポートの読み取りができるようにします。利用状況レポートを提供するサービスには、Office 365 と Azure Active Directory が含まれます。Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. 必要Yes

備考Remarks

レポートのアクセス許可は、職場または学校アカウントでのみ有効です。Reports permissions are only valid for work or school accounts.

使用例Example usage

アプリケーションApplication

  • Reports.Read.All:7 日間の期間で電子メール アプリの利用状況詳細レポートを読み取ります (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)。Reports.Read.All: Read usage detail report of email apps with period of 7 days (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All:'2017-01-01' の日付で電子メールのアクティビティ詳細レポートを読み取ります (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)。Reports.Read.All: Read activity detail report of email with date of '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All:Office 365 ライセンス認証詳細レポートを読み取ります (GET /reports/Office365Activations(view='Detail')/content)。Reports.Read.All: Read Office 365 activations detail report (GET /reports/Office365Activations(view='Detail')/content).

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


役割管理のアクセス許可Role management permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
RoleManagement.Read.DirectoryRoleManagement.Read.Directory ディレクトリの RBAC 設定を読み取るRead directory RBAC settings サインインしたユーザーの代わりに、アプリで会社のディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りを実行できるようにします。Allows the app to read the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. これには、ディレクトリ ロール テンプレート、ディレクトリ ロール、およびメンバーシップの読み取りが含まれます。This includes reading directory role templates, directory roles and memberships. はいYes いいえNo
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory ディレクトリの RBAC 設定の読み取りと書き込みRead and write Microsoft Intune RBAC settings サインインしたユーザーの代わりに、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. これには、ディレクトリ ロールのインスタンスの作成、ディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required
RoleManagement.Read.DirectoryRoleManagement.Read.Directory ディレクトリのすべての RBAC 設定を読み取るRead all directory RBAC settings サインインしているユーザーがいない場合でも、アプリで会社のディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りを実行できるようにします。Allows the app to read the role-based access control (RBAC) settings for your company's directory, without a signed-in user. これには、ディレクトリ ロール テンプレート、ディレクトリ ロール、およびメンバーシップの読み取りが含まれます。This includes reading directory role templates, directory roles and memberships. はいYes
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory ディレクトリのすべての RBAC 設定の読み取りと書き込みRead and write all directory RBAC settings サインインしているユーザーがいない場合でも、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, without a signed-in user. これには、ディレクトリ ロールのインスタンスの作成、ディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. はいYes

RemarksRemarks

RoleManagement.Read.Directory のアクセス許可を持つアプリケーションでは、directoryRoles および directoryRoleTemplates を読み取ることができます。With the RoleManagement.Read.Directory permission an application can read directoryRoles and directoryRoleTemplates. これには、ディレクトリ ロールのメンバーシップ情報の読み取りが含まれます。This includes reading membership information for directory roles.

RoleManagement.ReadWrite.Directory のアクセス許可を持つアプリケーションでは、directoryRoles (directoryRoleTemplates は読み取り専用リソースです) の読み取りと書き込みを行えます。With the RoleManagement.ReadWrite.Directory permission an application can read and write directoryRoles (directoryRoleTemplates are readonly resources). これには、ディレクトリ ロールでのメンバーの追加と削除が含まれます。This includes adding and removing members to and from directory roles.

役割管理のアクセス許可は、職場または学校アカウントでのみ有効です。Reports permissions are only valid for work or school accounts.

使用例Example usage

  • RoleManagement.Read.Directory: 利用可能なロール テンプレートの一覧を読み取ります (GET /directoryRoleTemplates)RoleManagement.Read.Directory: Read the list of available role templates (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: ディレクトリで有効化された役割の一覧を読み取ります (GET /directoryRoles)RoleManagement.Read.Directory: Read the list of activated roles in your directory (GET /directoryRoles)
  • RoleManagement.Read.Directory: 役割のメンバーの一覧を読み取ります (GET /directoryRoles/<id>/members)RoleManagement.Read.Directory: Read the list of members for a role (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: 役割の、管理単位の対象メンバーの一覧を読み取ります (GET /directoryRoles/<id>/scopedMembers)RoleManagement.Read.Directory: Read the list of administrative unit-scoped members for a role (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: ロール テンプレートからディレクトリ ロールを有効化します (POST /directoryRoles)RoleManagement.ReadWrite.Directory: Activate a directory role from a role template (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: メンバーをディレクトリ ロールに追加します (POST /directoryRoles/<id>/members)RoleManagement.ReadWrite.Directory: Add a member to a directory role (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: 管理単位の対象メンバーをディレクトリ ロールに追加します (POST /directoryRoles/<id>/scopedMembers)RoleManagement.ReadWrite.Directory: Add an administrative unit-scoped member to a directory role (POST /directoryRoles/<id>/scopedMembers)

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


セキュリティのアクセス許可Security permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
SecurityEvents.Read.AllSecurityEvents.Read.All 組織のセキュリティ イベントの読み取りRead your organization’s security events サインインしているユーザーの代わりに、アプリで組織のセキュリティ イベントを読み取れるようにします。Allows the app to read your organization’s security events on behalf of the signed-in user. はいYes いいえNo
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All 組織のセキュリティ イベントの読み取りおよび更新Read and update your organization’s security events サインインしているユーザーの代わりに、アプリで組織のセキュリティ イベントを読み取れるようにします。Allows the app to read your organization’s security events on behalf of the signed-in user. また、サインインしているユーザーの代わりに、アプリでセキュリティ イベントの編集可能なプロパティを更新できるようにします。Also allows the app to update editable properties in security events on behalf of the signed-in user. はいYes いいえNo
SecurityActions.Read.AllSecurityActions.Read.All 組織のセキュリティ アクションの読み取りRead your organization's security actions サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを読み取れるようにします。Allows the app to read your organization’s security actions on behalf of the signed-in user. はいYes いいえNo
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All 組織のセキュリティ アクションの読み取りおよび更新Read and update your organization's security actions サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを読み取れるようにします。Allows the app to read your organization’s security actions on behalf of the signed-in user. はいYes いいえNo
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理Manage threat indicators this app creates or owns サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを読み取れるようにします。Allows the app to read your organization’s security actions on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
SecurityEvents.Read.AllSecurityEvents.Read.All 組織のセキュリティ イベントの読み取りRead your organization’s security events アプリで、組織のセキュリティ イベントを読み取れるようにします。Allows the app to read your organization’s security events. 必要Yes
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All 組織のセキュリティ イベントの読み取りおよび更新Read and update your organization’s security events アプリで、組織のセキュリティ イベントを読み取れるようにします。Allows the app to read your organization’s security events. また、アプリでセキュリティ イベントの編集可能なプロパティを更新できるようにします。Also allows the app to update editable properties in security events. はいYes
SecurityActions.Read.AllSecurityActions.Read.All 組織のセキュリティ イベントの読み取りRead your organization’s security events アプリで、組織のセキュリティ アクションを読み取れるようにします。Allows the app to read your organization’s security actions. はいYes
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All 組織のセキュリティ アクションの作成と読み取りCreate and read your organization's security actions ユーザーがサインインしなくても、アプリによってセキュリティ アクションを読み取りまたは作成できるようにします。Allows the app to read or create security actions, without a signed-in user. はいYes
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理Manage threat indicators this app creates or owns ユーザーがサインインしなくても、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。Allows the app to create threat indicators, and fully manage those threat indicators (read, update and delete), without a signed-in user. アプリが所有していない脅威の指標を更新することはできません。It cannot update any threat indicators it does not own. はいYes

注釈Remarks

セキュリティのアクセス許可は、職場または学校アカウントでのみ有効です。Security permissions are valid only on work or school accounts.

使用例Example usage

委任およびアプリケーションDelegated and Application

  • SecurityEvents.Read.All: テナントで利用可能なすべてのライセンスされたセキュリティ プロバイダーからすべてのセキュリティの警告のリストを読み取ります (GET /beta/security/alerts)SecurityEvents.Read.All: Read the list of all security alerts from all licensed security providers available to your tenant (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: テナントで利用可能なすべてのライセンスされたセキュリティ プロバイダーからすべてのセキュリティの警告の読み取りまたは更新を行います (PATCH /beta/security/alerts/{id})SecurityEvents.ReadWrite.All: Update or read security alerts from all licensed security providers available to your tenant (PATCH /beta/security/alerts/{id})

サイトのアクセス許可Sites permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Sites.Read.AllSites.Read.All すべてのサイト コレクションに含まれるアイテムの読み取りRead items in all site collections アプリは、サインインしているユーザーに代わって、すべてのサイト コレクション内のドキュメントを読み取り、アイテムを一覧表示できます。Allows the app to read documents and list items in all site collections on behalf of the signed-in user. 不要No いいえNo
Sites.ReadWrite.AllSites.ReadWrite.All すべてのサイト コレクション内のアイテムの読み取りおよび書き込みRead and write items in all site collections サインイン ユーザーの代わりに、すべてのサイト コレクションに含まれるドキュメントとリスト アイテムをアプリで編集または削除できるようにします。Allows the app to edit or delete documents and list items in all site collections on behalf of the signed-in user. いいえNo いいえNo
Sites.Manage.AllSites.Manage.All すべてのサイト コレクションにおけるアイテムとリストの作成、編集、および削除Create, edit, and delete items and lists in all site collections サインイン ユーザーの代わりに、すべてのサイト コレクションに含まれるリスト、ドキュメント、およびリスト アイテムをアプリで管理および作成できるようにします。Allows the app to manage and create lists, documents, and list items in all site collections on behalf of the signed-in user. いいえNo いいえNo
Sites.FullControl.AllSites.FullControl.All すべてのサイト コレクションのフル コントロールHave full control of all site collections サインイン ユーザーに代わって、アプリはすべてのサイト コレクション内の SharePoint サイトをフル コントロールできます。Allows the app to have full control to SharePoint sites in all site collections on behalf of the signed-in user. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
Sites.Read.AllSites.Read.All すべてのサイト コレクションに含まれるアイテムの読み取りRead items in all site collections アプリは、サインインしているユーザーなしで、すべてのサイト コレクション内のドキュメントを読み取り、アイテムを一覧表示できます。Allows the app to read documents and list items in all site collections without a signed in user. はいYes
Sites.ReadWrite.AllSites.ReadWrite.All すべてのサイト コレクション内のアイテムの読み取りおよび書き込みRead and write items in all site collections アプリは、サインインしているユーザーなしで、すべてのサイト コレクション内のドキュメントの作成、読み取り、更新、削除と、アイテムの一覧表示を行うことができます。Allows the app to create, read, update, and delete documents and list items in all site collections without a signed in user. はいYes
Sites.Manage.AllSites.Manage.All すべてのサイト コレクションにおけるアイテムとリストの作成、編集、および削除Create, edit, and delete items and lists in all site collections アプリで、サインインしているユーザーがいなくても、すべてのサイト コレクションに含まれるリスト、ドキュメント、およびリスト アイテムを管理および作成できるようにします。Allows the app to manage and create lists, documents, and list items in all site collections without a signed-in user. はいYes
Sites.FullControl.AllSites.FullControl.All すべてのサイト コレクションのフル コントロールHave full control of all site collections アプリで、サインインしているユーザーがいなくても、すべてのサイト コレクション内の SharePoint サイトをフル コントロールできるようにします。Allows the app to have full control to SharePoint sites in all site collections without a signed-in user. はいYes

注釈Remarks

サイトのアクセス許可は、職場または学校アカウントでのみ有効です。Sites permissions are valid only on work or school accounts.

使用例Example usage

委任Delegated

  • Sites.Read.All:SharePoint ルート サイトのリストを読み取ります (GET /v1.0/sites/root/lists)Sites.Read.All: Read the lists on the SharePoint root site (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All:SharePoint リストに新しいリスト アイテムを作成します (POST /v1.0/sites/root/lists/123/items)Sites.ReadWrite.All: Create new list items in a SharePoint list (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All:新しいリストを SharePoint サイトに追加します (POST /v1.0/sites/root/lists)Sites.Manage.All: Add a new list to a SharePoint site (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All:SharePoint サイトとリストへのアクセスを完了します。Sites.FullControl.All: Complete access to SharePoint sites and lists.

タスクのアクセス許可Tasks permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Tasks.ReadTasks.Read ユーザー タスクの読み取り (プレビュー)Read user tasks (preview) アプリで、ユーザー タスクを読み取れるようにします。Allows the app to read user tasks. いいえNo はいYes
Tasks.Read.SharedTasks.Read.Shared ユーザー タスクと共有のタスクの読み取り (プレビュー)Read user and shared tasks (preview) アプリで、ユーザー自身のタスクと共有のタスクを含む、ユーザーがアクセス許可を得ているタスクを読み取れるようにします。Allows the app to read tasks a user has permissions to access, including their own and shared tasks. いいえNo いいえNo
Tasks.ReadWriteTasks.ReadWrite ユーザーのタスクとコンテナーの作成、読み取り、更新、削除 (プレビュー)Create, read, update and delete user tasks and containers (preview) タスクとコンテナー (およびコンテナー内のタスク) のうち、サインインしているユーザーに割り当てられたもの、またはサインインしているユーザーと共有するものをアプリで作成、読み取り、更新および削除できるようにします。Allows the app to create, read, update and delete tasks and containers (and tasks in them) that are assigned to or shared with the signed-in user. いいえNo はいYes
Tasks.ReadWrite.SharedTasks.ReadWrite.Shared ユーザー タスクと共有のタスクの読み取りと書き込み (プレビュー)Read and write user and shared tasks (preview) アプリで、ユーザー自身のタスクと共有のタスクを含むユーザーがアクセス許可を得ているタスクの作成、読み取り、更新、削除を行えるようにします。Allows the app to create, read, update, and delete tasks a user has permissions to, including their own and shared tasks. いいえNo いいえNo

アプリケーションのアクセス許可Application permissions

なし。None.

注釈Remarks

_タスク_のアクセス許可は、Outlook タスクのアクセスを制御するために使用します。Microsoft Planner のタスクは、_グループ_のアクセス許可で制御します。Tasks permissions are used to control access for Outlook tasks. Access for Microsoft Planner tasks is controlled by Group permissions.

_共有_のアクセス許可は、現時点では職場または学校アカウントでのみサポートされます。_共有_のアクセス許可がある場合でも、共有コンテンツを所有するユーザーが、そのコンテンツにアクセスするユーザーに、フォルダー内のコンテンツを変更するアクセス許可を付与していないと、読み取りと書き込みが失敗することがあります。Shared permissions are currently only supported for work or school accounts. Even with Shared permissions, reads and writes may fail if the user who owns the shared content has not granted the accessing user permissions to modify content within the folder.

使用例Example usage

委任Delegated

  • Tasks.Read:ユーザーのメールボックス内のすべてのタスクを取得します (GET /me/outlook/tasks)。Tasks.Read: Get all tasks in a user's mailbox (GET /me/outlook/tasks).
  • Tasks.Read.Shared:組織内の別のユーザーによって共有されているフォルダー内のタスクにアクセスします (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks)。Tasks.Read.Shared: Access tasks in a folder shared to you by another user in your organization (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite:ユーザーの既定のタスク フォルダーにイベントを追加します (POST /me/outlook/tasks)。Tasks.ReadWrite: Add an event to the user's default task folder (POST /me/outlook/tasks).
  • Tasks.Read:ユーザーのメールボックス内にある未完了のタスクをすべて取得します (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed')。Tasks.Read: Get all uncompleted tasks in a user's mailbox (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite:ユーザーのメールボックス内のタスクを更新します (PATCH /users/{id | userPrincipalName}/outlook/tasks/id)。Tasks.ReadWrite: Update a task in a user's mailbox (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared:別のユーザーの代わりにタスクを完了します (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete)。Tasks.ReadWrite.Shared: Complete a task on behalf of another user (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


アクセス許可の使用条件Terms of use permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Agreement.Read.AllAgreement.Read.All すべての利用規約の読み取りRead all terms of use agreements サインインしているユーザーの代わりに、アプリで利用規約を読み取ることができるようにします。Allows the app to read terms of use agreements on behalf of the signed-in user. はいYes いいえNo
Agreement.ReadWrite.AllAgreement.ReadWrite.All すべての利用規約の読み取りと書き込みRead and write all terms of use agreements サインインしているユーザーの代わりに、アプリで利用規約の読み取りと書き込みを行えるようにします。Allows the app to read and write terms of use agreements on behalf of the signed-in user. はいYes いいえNo
AgreementAcceptance.ReadAgreementAcceptance.Read 利用規約に対するユーザー承認状態の読み取りRead user terms of use acceptance statuses サインインしているユーザーの代わりに、アプリで利用規約に対するユーザー承認状態を読み取ることができるようにします。Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. はいYes いいえNo
AgreementAcceptance.Read.AllAgreementAcceptance.Read.All ユーザーがアクセスできる、利用規約に対するユーザー承認状態の読み取りRead terms of use acceptance statuses that user can access サインインしているユーザーの代わりに、アプリで利用規約に対するユーザー承認状態を読み取ることができるようにします。Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. はいYes いいえNo

解説Remarks

上記のすべてのアクセス許可は、職場または学校のアカウントでのみ有効です。All the permissions above are valid only for work or school accounts.

アクセス許可を委任したアプリですべての利用規約または利用規約に対する承認状態の読み取りまたは書き込みを行うには、サインインしているユーザーにグローバル管理者、条件付きアクセス管理者、またはセキュリティ管理者のロールが割り当てられていなければなりません。For an app to read or write all agreements or agreement acceptances with delegated permissions, the signed-in user must be assigned the Global Administrator, Conditional Access Administrator or Security Administrator role. 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

使用例Example usage

委任Delegated

次に示す使用法は、両方の委任されたアクセス許可に対して有効です。The following usages are valid for both delegated permissions:

  • Agreement.Read.All: すべての利用規約の読み取り (GET /beta/agreements)Agreement.Read.All: Read all terms of use agreements (GET /beta/agreements)
  • Agreement.ReadWrite.All: すべての利用規約の読み取りと書き込み (POST /beta/agreements)Agreement.ReadWrite.All: Read and write all terms of use agreements (POST /beta/agreements)
  • AgreementAcceptance.Read: 利用規約に対するユーザー承認状態の読み取り (GET /beta/me/agreementAcceptances)AgreementAcceptance.Read Read user terms of use acceptance statuses (GET /beta/me/agreementAcceptances)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


信頼フレームワーク ポリシーのアクセス許可Trust Framework policy permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Policy.Read.AllPolicy.Read.All 組織のポリシーの読み取りRead your organization's policies サインインしているユーザーの代わりに、アプリで組織のポリシーを読み取れるようにします。Allows the app to read your organization’s security events on behalf of the signed-in user. はいYes いいえNo
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework 組織の信頼フレームワーク ポリシーの読み取りと書き込みRead and write your organization's trust framework policies サインインしているユーザーの代わりに、アプリで組織の信頼フレームワーク ポリシーの読み取りと書き込みを行えるようにします。Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. はいYes いいえNo

注釈Remarks

職場または学校のアカウントは、テナントのグローバル管理者のものである必要があります。The work or school account must be a global administrator of the tenant.

使用例Example usage

委任Delegated

次に示す使用法は、両方の委任されたアクセス許可に対して有効です。The following usages are valid for both delegated permissions:

  • Policy.Read.All: 組織のポリシーの読み取り (GET /beta/trustFramework/policies)Policy.Read.All: Read all trustFramework policies (GET /beta/trustFramework/policies)
  • Policy.ReadWrite.TrustFramework: 組織の信頼フレームワーク ポリシーの読み取りと書き込み (POST /beta/trustFramework/policies)Policy.ReadWrite.TrustFramework: Read and write your organization's trust framework policies (POST /beta/trustFramework/policies)

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


ユーザーのアクセス許可User permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
User.ReadUser.Read サインインとユーザー プロファイルの読み取りSign-in and read user profile ユーザーがアプリにサインインできるようにします。またサインインしているユーザーのプロファイルをアプリで読み取ることができるようにします。また、サインインしているユーザーの基本会社情報をアプリで読み取れるようにします。Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users. いいえNo はいYes
User.ReadWriteUser.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可Read and write access to user profile アプリで、サインインしているユーザーの完全なプロファイルを読み取れるようにします。Allows the app to read the signed-in user's full profile. また、サインインしているユーザーの代わりに、アプリでプロファイル情報を更新できるようにします。It also allows the app to update the signed-in user's profile information on their behalf. いいえNo はいYes
User.ReadBasic.AllUser.ReadBasic.All すべてのユーザーの基本プロファイルの読み取りRead all users' basic profiles サインインしているユーザーの代わりに、アプリで組織内の他のユーザーのプロファイル プロパティの基本的なセットを読み取れるようにします。Allows the app to read a basic set of profile properties of other users in your organization on behalf of the signed-in user. これには表示名、氏名、メール アドレス、オープン拡張機能、写真が含まれます。This includes display name, first and last name, email address, open extensions and photo. また、アプリで、サインインしているユーザーの完全なプロファイルを読み取れるようにします。Also allows the app to read the full profile of the signed-in user. いいえNo いいえNo
User.Read.AllUser.Read.All すべてのユーザーの完全なプロファイルの読み取りRead all users' full profiles アプリで、サインインしているユーザーの代わりに、組織内の他のユーザーのプロファイル プロパティ、部下、および上司の完全なセットを読み取れるようにします。Allows the app to read the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. はいYes いいえNo
User.ReadWrite.AllUser.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込みRead and write all users' full profiles アプリで、サインインしているユーザーの代わりに、組織内の他のユーザーのプロファイル プロパティ、部下、上司の完全なセットを読み書きできるようにします。また、サインインしているユーザーの代わりに、アプリでユーザーの作成および削除ができるようにするとともに、パスワードのリセットもできるようにします。Allows the app to read and write the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Also allows the app to create and delete users as well as reset user passwords on behalf of the signed-in user. はいYes いいえNo
User.Invite.AllUser.Invite.All 組織へのゲスト ユーザーの招待Invite guest users to the organization サインインしているユーザーの代わりに、アプリで組織にゲスト ユーザーを招待できるようにします。Allows the app to invite guest users to your organization, on behalf of the signed-in user. はいYes いいえNo
User.Export.AllUser.Export.All ユーザーのデータのエクスポートExport users' data アプリが会社の管理者によって実行されたときに、組織ユーザーのデータをエクスポートできるようにします。Allows the app to export an organizational user's data, when performed by a Company Administrator. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意の要不要Admin Consent Required
User.Read.AllUser.Read.All すべてのユーザーの完全なプロファイルの読み取りRead all users' full profiles サインインしているユーザーなしで、アプリで組織内の他のユーザーのプロファイル プロパティ、グループ メンバーシップ、部下、上司の完全なセットを読み取ることができるようにします。Allows the app to read the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. 必要Yes
User.ReadWrite.AllUser.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込みRead and write all users' full profiles サインインしているユーザーなしで、組織内の別のユーザーのプロファイル プロパティ、グループ メンバーシップ、部下、上司の完全なセットをアプリで読み書きできるようにします。また、アプリで非管理ユーザーの作成と削除もできるようにします。ユーザーのパスワードのリセットはできません。Allows the app to read and write the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Also allows the app to create and delete non-administrative users. Does not allow reset of user passwords. はいYes
User.Invite.AllUser.Invite.All 組織へのゲスト ユーザーの招待Invite guest users to the organization サインインしているユーザーなしで、ゲスト ユーザーをアプリで組織に招待できるようにします。Allows the app to invite guest users to your organization, without a signed-in user. 必要Yes
User.Export.AllUser.Export.All ユーザーのデータのエクスポートExport users' data アプリで、サインインしているユーザーなしで、組織ユーザーのデータをエクスポートできるようにします。Allows the app to export organizational users' data, without a signed-in user. 必要Yes

注釈Remarks

User.Read のアクセス許可があるアプリは、組織リソースを通じて職場または学校アカウントでサインインしているユーザーの基本会社情報を読み取ることもできます。使用可能なプロパティは、id、displayName、および verifiedDomains です。With the User.Read permission, an app can also read the basic company information of the signed-in user for a work or school account through the organization resource. The following properties are available: id, displayName, and verifiedDomains.

職場または学校アカウントの場合は、完全なプロファイルにユーザー リソースの宣言されたプロパティがすべて含まれます。既定では、読み取り時に制限された数のプロパティのみが返されます。既定のセットに含まれていないプロパティを読み取るには、$select を使用します。既定のプロパティは、次のとおりです。For work or school accounts, the full profile includes all of the declared properties of the User resource. On reads, only a limited number of properties are returned by default. To read properties that are not in the default set, use $select. The default properties are:

  • displayNamedisplayName
  • givenNamegivenName
  • jobTitlejobTitle
  • mailmail
  • mobilePhonemobilePhone
  • officeLocationofficeLocation
  • preferredLanguagepreferredLanguage
  • surnamesurname
  • userPrincipalNameuserPrincipalName

委任されたアクセス許可の User.ReadWrite および User.Readwrite.All により、アプリは、次に示す職場または学校アカウントのプロファイル プロパティを更新できるようになります。User.ReadWrite and User.Readwrite.All delegated permissions allow the app to update the following profile properties for work or school accounts:

  • aboutMeaboutMe
  • birthdaybirthday
  • hireDatehireDate
  • interestsinterests
  • mobilePhonemobilePhone
  • mySitemySite
  • pastProjectspastProjects
  • photophoto
  • preferredNamepreferredName
  • responsibilitiesresponsibilities
  • schoolsschools
  • skillsskills

アプリケーションのアクセス許可の User.ReadWrite.All があるアプリは、職場または学校アカウントのすべての宣言されたプロパティ (パスワードを除く) を更新できるようになります。With the User.ReadWrite.All application permission, the app can update all of the declared properties of work or school accounts except for password.

_User.ReadWrite.All_の委任またはアプリケーションのアクセス許可とともに、他のユーザーのbusinessPhonesmobilePhoneまたはotherMailsの更新を許可されているのは、管理者以外のユーザーまたは次のロールのいずれかを割り当てられたユーザーのみになります。ディレクトリ閲覧者、ゲスト招待元、メッセージ センター閲覧者およびレポート閲覧者。With the User.ReadWrite.All delegated or application permission, updating another user's businessPhones, mobilePhone or otherMails is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. 詳細については、「Azure AD で使用できるロール」のヘルプデスク (パスワード) 管理者を参照してください。For more details, see Helpdesk (Password) Administrator in Azure AD available roles.

職場または学校アカウントの直属の部下 (directReports) または上司 (manager) を読み取りまたは書き込みするには、アプリに User.Read.All (読み取り専用) または User.ReadWrite.All が付与されている必要があります。To read or write direct reports (directReports) or the manager (manager) of a work or school account, the app must have either User.Read.All (read only) or User.ReadWrite.All.

User.ReadBasic.All アクセス許可では、基本プロファイルと呼ばれる限定されたプロパティのセットにアプリのアクセスを制限します。これは、完全なプロファイルには機密性の高い情報が含まれている可能性があるためです。基本プロパティには、次に示すプロパティのみが含まれています。The User.ReadBasic.All permission constrains app access to a limited set of properties known as the basic profile. This is because the full profile might contain sensitive directory information. The basic profile includes only the following properties:

  • displayNamedisplayName
  • givenNamegivenName
  • mailmail
  • photophoto
  • surnamesurname
  • userPrincipalNameuserPrincipalName

ユーザーのグループ メンバーシップ (memberOf) を読み取るには、アプリに Group.Read.All または Group.ReadWrite.All のどちらかが付与されている必要があります。ただし、ユーザーに directoryRole または administrativeUnit のメンバーシップもある場合、アプリにはそれらのリソースを読み取るための有効なアクセス許可も必要になります。このアクセス許可がない場合、Microsoft Graph はエラーを返します。つまり、アプリはディレクトリのアクセス許可も必要とし、委任されたアクセス許可の場合は、サインインしているユーザーにも組織内でディレクトリ ロールと管理単位にアクセスするための十分な特権も必要とするということです。To read the group memberships of a user (memberOf), the app must have either Group.Read.All or Group.ReadWrite.All. However, if the user also has membership in a directoryRole or an administrativeUnit, the app will need effective permissions to read those resources too, or Microsoft Graph will return an error. This means the app will also need Directory permissions, and, for delegated permissions, the signed-in user will also need sufficient privileges in the organization to access directory roles and administrative units.

使用例Example usage

委任Delegated

  • User.Read:サインインしているユーザーの完全なプロファイルを読み取ります (GET /me)。User.Read: Read the full profile for the signed-in user (GET /me).
  • User.ReadWrite:サインインしているユーザーの写真を更新します (PUT /me/photo/$value)。User.ReadWrite: Update the photo of the signed-in user (PUT /me/photo/$value).
  • User.ReadBasic.All:名前が "David" で始まるユーザーをすべて検索します (GET /users?$filter=startswith(displayName,'David'))。User.ReadBasic.All: Find all users whose name starts with "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All:ユーザーの上司を読み取ります (GET /user/{id | userPrincipalName}/manager)。User.Read.All: Read a user's manager (GET /user/{id | userPrincipalName}/manager).

アプリケーションApplication

  • User.Read.All:デルタ クエリによってすべてのユーザーとリレーションシップを読み取ります (GET /beta/users/delta?$select=displayName,givenName,surname)。User.Read.All: Read all users and relationships through delta query (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All:組織内の任意のユーザーの写真を更新します (PUT /user/{id | userPrincipalName}/photo/$value)。User.ReadWrite.All: Update the photo for any user in the organization (PUT /user/{id | userPrincipalName}/photo/$value).

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.

ユーザー アクティビティのアクセス許可User Activity permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
UserActivity.ReadWrite.CreatedByAppUserActivity.ReadWrite.CreatedByApp ユーザーのアクティビティ フィードへのアプリのアクティビティの読み取りと書き込みRead and write app activity to users' activity feed アプリで、サインインしているユーザーのアプリ内でのアクティビティを読み取りおよび報告できるようにします。Allows the app to read and report the signed-in user's activity in the app. いいえNo はいYes

アプリケーションのアクセス許可Application permissions

なし。None.

注釈Remarks

UserActivity.ReadWrite.CreatedByApp は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。UserActivity.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts.

このアクセス許可に関連付けられている CreatedByApp 制約は、このサービスが呼び出し元アプリの ID (MSA アプリ ID またはクロスプラットフォーム アプリケーション ID 用に構成されたアプリ ID のセットのいずれか) に基づいて結果に暗黙的なフィルター処理を適用することを示しています。The CreatedByApp constraint associated with this permission indicates the service will apply implicit filtering to results based on the identity of the calling app, either the MSA app id or a set of app ids configured for a cross-platform application identity.

使用例Example usage

委任Delegated

  • UserActivity.ReadWrite.CreatedByApp: 最後の日に発行された関連する履歴項目に基づいて、最近の一意のユーザー アクティビティのリストを取得します UserActivity.ReadWrite.CreatedByApp: Get a list of recent unique user activities based on associated history items published in the last day. (GET /me/activities/recent)。(GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: アプリケーションのユーザーによって再開される可能性があるユーザー アクティビティを発行または更新します UserActivity.ReadWrite.CreatedByApp: Publish or update a user activity which may be resumed by the user of the application. (PUT /me/activities/%2Farticle%3F12345)。(PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: ユーザー契約の期間を表すため、指定したユーザー アクティビティの履歴項目を発行または更新します UserActivity.ReadWrite.CreatedByApp: Publish or update a history item for a specified user activity in order to represent the period of user engagement. (PUT /me/activities/{id}/historyItems/{id})。(PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: ユーザーによって開始された要求への応答でユーザー アクティビティを削除します。または、無効なデータを削除します UserActivity.ReadWrite.CreatedByApp: Delete a user activity in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id})。(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: ユーザーによって開始された要求への応答で履歴項目を削除します。または、無効なデータを削除します UserActivity.ReadWrite.CreatedByApp: Delete a history item in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}/historyItems/{id})。(DELETE /me/activities/{id}/historyItems/{id}).

機能ロールアウト ポリシーのアクセス許可Feature rollout policy permissions

委任されたアクセス許可Delegated permissions

アクセス許可Permission 表示文字列Display String 説明Description 管理者の同意が必要Admin Consent Required Microsoft アカウントのサポートMicrosoft Account supported
Policy.Read.AllPolicy.Read.All 組織のポリシーの読み取りRead your organization's policies サインインしているユーザーの代わりに、アプリで組織のポリシーを読み取れるようにします。Allows the app to read your organization’s security events on behalf of the signed-in user. はいYes いいえNo
Policy.ReadWrite.FeatureRolloutPolicy.ReadWrite.FeatureRollout 組織の機能ロールアウト ポリシーの読み取りと書き込みRead and write your organization's feature rollout policies サインインしているユーザーの代わりに、アプリで組織の機能ロールアウト ポリシーの読み取りと書き込みを行えるようにします。Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. 特定の機能のロールアウトにユーザーとグループを割り当てたり、除去したりできます。Includes abilities to assign and remove users and groups to rollout of a specific feature. はいYes いいえNo

アプリケーションのアクセス許可Application permissions

なし。None.

RemarksRemarks

職場または学校のアカウントは、テナントのグローバル管理者のものである必要があります。The work or school account must be a global administrator of the tenant.

使用例Example usage

委任Delegated

次に示す使用法は、両方の委任されたアクセス許可に対して有効です。The following usages are valid for both delegated permissions:

  • Policy.Read.All: 組織のポリシーの読み取り (GET /beta/directory/featureRolloutPolicies)Policy.Read.All: Read all trustFramework policies (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.FeatureRollout: 組織の機能ロールアウト ポリシーの読み取りと書き込み (POST /beta/directory/featureRolloutPolicies)Policy.ReadWrite.FeatureRollout: Read and write your organization's feature rollout policies (POST /beta/directory/featureRolloutPolicies)

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。For more complex scenarios involving multiple permissions, see Permission scenarios.


アクセス許可のシナリオPermission scenarios

ここでは、組織内のユーザー リソースとグループ リソースを対象とした、いくつかの一般的なシナリオを示します。この表には、シナリオごとに必要になる特定の操作を実行するために、アプリが必要とするアクセス許可を示しています。場合によっては、特定の操作をアプリが実行できるかどうかは、アクセス許可が、アプリケーションのアクセス許可か、委任されたアクセス許可かによって決まります。委任されたアクセス許可の場合、アプリの有効なアクセス許可は、サインインしているユーザーの組織内の特権にも依存します。詳細については、「委任されたアクセス許可、アプリケーションのアクセス許可、有効なアクセス許可」を参照してください。This section shows some common scenarios that target user and group resources in an organization. The tables show the permissions that an app needs to be able to perform specific operations required by the scenario. Note that in some cases the ability of the app to perform specific operations will depend on whether a permission is an application or delegated permission. In the case of delegated permissions, the app's effective permissions will also depend on the privileges of the signed-in user within the organization. For more information, see Delegated permissions, Application permissions, and effective permissions.

ユーザー リソースに対するアクセスのシナリオAccess scenarios on the User resource

ユーザーが関与するアプリ タスクApp tasks involving User 必要なアクセス許可Required permissions アクセス許可文字列Permission strings
アプリの目的は、人材選択画面への表示などのために、他のユーザーの基本情報 (表示名と写真のみ) を読み取ることApp wants to read other users' basic information (only display name and picture), for example to show in a people picking experience User.ReadBasic.AllUser.ReadBasic.All すべてのユーザーの基本プロファイルの読み取りRead all user's basic profiles
アプリの目的は、サインインしているユーザーの完全なユーザー プロファイルを読み取ること (直属の部下や上司を表示するなど)App wants to read complete user profile for signed in user (see direct reports, and manager, etc.) User.ReadUser.Read サインインを有効にし、ユーザー プロファイルを読み取りますEnable sign-in and read user profile
アプリの目的は、すべてのユーザーの完全なユーザー プロファイルを読み取ることApp wants to read complete user profile all users User.Read.AllUser.Read.All すべてのユーザーの完全なプロファイルの読み取りRead all user's full profiles
アプリの目的は、サインインしているユーザーのファイル、メール、カレンダー情報を読み取ることApp wants to read files, mail and calendar information for the signed in user User.Read, Files.Read, Mail.Read, Calendars.ReadUser.Read, Files.Read, Mail.Read, Calendars.Read サインインの有効化とユーザー プロファイルの読み取り、ユーザー ファイルの読み取り、ユーザー メールの読み取り、ユーザーのカレンダーの読み取りEnable sign-in and read user profile, Read users' files, Read user mail, Read user calendars
アプリの目的は、サインインしているユーザー (自分) のファイルと、サインインしているユーザー (自分) が他のユーザーから共有してもらっているファイルを読み取ることApp wants to read the signed-in user's (my) files and files that other users have shared with the signed-in user (me). User.Read, Files.Read, Sites.Read.AllUser.Read, Files.Read, Sites.Read.All サインインを有効にし、ユーザー プロファイルを読み取ります、ユーザー ファイルの読み取り、すべてのサイト コレクションにあるアイテムの読み取りEnable sign-in and read user profile, Read users' files, Read items in all site collections
アプリの目的は、サインインしているユーザーの完全なユーザー プロファイルを読み書きすることApp wants to read and write complete user profile for signed in user User.ReadWriteUser.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可Read and write access to user profile
アプリの目的は、すべてのユーザーの完全なユーザー プロファイルを読み書きすることApp wants to read and write complete user profile all users User.ReadWrite.AllUser.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込みRead and write all user's full profiles
アプリの目的は、サインインしているユーザーのファイル、メール、カレンダー情報を読み書きすることApp wants to read and write files, mail and calendar information for the signed in user User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWriteUser.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可、ユーザーのプロファイルの読み取りおよび書き込みアクセス許可、ユーザーのメールの読み取りおよび書き込みアクセス許可、ユーザーのカレンダーへのフル アクセスRead and write access to user profile, Read and write access to user profile, Read and write access to user mail, Have full access to user calendars
アプリの目的は、ユーザーの個人データをエクスポートするためにデータ ポリシー操作要求を送信することApp wants to submit a data policy operation request to export a user's personal data User.Export.AllUser.Export.All ユーザーの個人データをエクスポートします。Export a user'a personal data.

グループ リソースに対するアクセスのシナリオAccess scenarios on the Group resource

グループが関与するアプリ タスクApp tasks involving Group 必要なアクセス許可Required permissions アクセス許可文字列Permission strings
アプリの目的は、グループ選択画面への表示などのために、基本グループ情報 (表示名と写真のみ) を読み取ることApp wants to read basic group info (only display name and picture), for example to show in a group picking experience Group.Read.AllGroup.Read.All すべてのグループの読み取りRead all groups
アプリの目的は、ファイルや会話を含むすべての Office 365 グループ内のすべてのコンテンツを読み取ることです。グループ メンバーシップを表示したり、グループ メンバーシップを更新できたり (所有者の場合) する必要もあります。App wants to read all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.Read.AllGroup.Read.All すべてのサイト コレクションにあるアイテムの読み取り、すべてのグループの読み取りRead items in all site collections, Read all groups
アプリの目的は、ファイルや会話を含むすべての Office 365 グループ内のすべてのコンテンツを読み書きすることです。グループ メンバーシップを表示したり、グループ メンバーシップを更新できたり (所有者の場合) する必要もあります。App wants to read and write all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.ReadWrite.All, Sites.ReadWrite.AllGroup.ReadWrite.All, Sites.ReadWrite.All すべてのグループの読み取りと書き込み、すべてのサイト コレクション内のアイテムの編集または削除Read and write all groups, Edit or delete items in all site collections
アプリの目的は、Office 365 グループを検出 (検索) することです。ユーザーが、特定のグループから検索し、一覧表から選択して、グループに参加できるようにします。App wants to discover (find) an Office 365 group. It allows the user to search for a particular group and choose one from the enumerated list to allow the user to join the group. Group.ReadWrite.AllGroup.ReadWrite.All すべてのグループの読み取りと書き込みRead and write all groups
アプリの目的は、AAD グラフを経由してグループを作成することApp wants to create a group through AAD Graph Group.ReadWrite.AllGroup.ReadWrite.All すべてのグループの読み取りと書き込みRead and write all groups