Microsoft Graph のアクセス許可のリファレンス

アプリから Microsoft Graph のデータにアクセスする場合、ユーザーまたは管理者は、同意のプロセスを通してそのアプリに正しいアクセス許可を付与する必要があります。 このトピックでは、Microsoft Graph API の各主要なセットに関連付けられているアクセス許可について説明します。 また、アクセス許可の使用方法に関するガイダンスを提供しています。

注意

ベスト プラクティスとして、データにアクセスして正しく機能するためにアプリに必要な最小限のアクセス許可を要求します。 必要以上の権限でアクセス許可を要求することはセキュリティ対策としては不十分であり、ユーザーが同意を控え、アプリの使用に影響を与える可能性があります。

アクセス許可の詳細については、「認証と承認の基本」と、次に示すビデオを参照してください。

Microsoft Graph のアクセス許可名

Microsoft Graph のアクセス許可名は、「リソース.操作.制約」という簡単なパターンに従います。たとえば、User.Read ではサインインしているユーザーのプロファイルを読み取るためのアクセス許可を付与し、User.ReadWrite ではサインインしているユーザーのプロファイルを読み取りおよび変更するためのアクセス許可を付与します。また、Mail.Send ではサインインしているユーザーの代わりにメールを送信するためのアクセス許可を付与します。

名前の 制約 要素は、ディレクトリ内でアプリがアクセスする可能性のある範囲を決定します。現在、Microsoft Graph は次に示す制約をサポートしています。

  • All: ディレクトリ内にある指定した種類のすべてのリソースに対して操作を実行するためのアクセス許可をアプリに付与します。たとえば、User.Read.All は、ディレクトリ内のすべてのユーザーのプロファイルを読み取るための特権をアプリに付与することになります。
  • Shared: サインインしているユーザーと共有している別のユーザーのリソースに対して操作を実行するためアクセス許可をアプリに付与します。この制約は、主に Outlook のリソース (メール、カレンダー、連絡先など) に使用されます。たとえば、Mail.Read.Shared は、サインインしているユーザーのメールボックス内のメールを読み取る特権に加えて、サインインしているユーザーと共有している組織内の別のユーザーのメールボックス内のメールも読み取る特権を付与します。
  • AppFolder: OneDrive の専用フォルダー内でファイルを読み取りおよび書き込みするためのアクセス許可をアプリに付与します。この制約は、ファイルのアクセス許可でのみ公開され、Microsoft アカウントでのみ有効です。
  • 制限なし が指定されると、アプリは、サインインしているユーザーが所有するリソースに限定した操作を実行するようになります。たとえば、User.Read ではサインインしているユーザーのプロファイルのみを読み取る特権を付与し、Mail.Read ではサインインしているユーザーのメールボックス内のメールのみを読み取るアクセス許可を付与します。

:委任されたシナリオでは、アプリに付与される有効なアクセス許可が、組織内のサインインしているユーザーの特権によって制限されることがあります。

Microsoft アカウントと職場または学校アカウント

すべてのアクセス許可が、Microsoft アカウントと職場または学校アカウントの両方で有効になるわけではない点に注意してください。 各アクセス許可グループについては、「Microsoft アカウントのサポート」列を確認して、特定のアクセス許可が Microsoft アカウントと職場または学校アカウントのどちらで有効になるか、または両方で有効になるかを判断してください。

アクセス許可の提供状況

Azure portal の Microsoft Graph のアクセス許可は、プレビュー状態またはプライベート プレビュー状態であるいくつかのセットを除き、一般提供が開始されており、すべてのアプリで使用できる GA 状態です。 プレビュー状態のアクセス許可は、公開されていますが、変更される可能性があり、GA 状態には昇格されない可能性もあります。 プライベート プレビュー状態のアクセス許可は、公開されておらず、今後も公開されません。 プレビュー状態やプライベート プレビュー状態のアクセス許可は、製品版アプリでは使用しないでください。

組織のゲスト ユーザーに対するユーザーとグループの検索の制限事項

ユーザーとグループの検索機能を使用すると、/users または /groups リソース セットに対するクエリ (例: https://graph.microsoft.com/v1.0/users) を実行して、アプリで組織のディレクトリ内のユーザーまたはグループを検索できるようになります 管理者とユーザーは、どちらもこの機能を使用でますが、ゲスト ユーザーは使用できません。

サインインしているユーザーがゲスト ユーザーの場合、アプリに付与されたアクセス許可に応じて、特定のユーザーまたはグループのプロファイルを読み取ることはできますが (例: https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531)、複数のリソースを返す可能性のある /users または /groups リソース セットに対するクエリは実行できません。

適切なアクセス許可があるアプリは、ナビゲーション プロパティのリンク (たとえば、/users/{id}/directReports/groups/{id}/members) に従って取得するユーザーまたはグループのプロファイルの読み取りが可能になります。

アクセスできないメンバー オブジェクトについて、限定された情報が返される

グループなどのコンテナー オブジェクトは、ユーザーやデバイスなど、さまざまな型のメンバーをサポートしています。 アプリケーションがコンテナー オブジェクトのメンバーシップーに対してクエリを実行する際に、特定の型を読み取るためのアクセス許可を持っていない場合、その型のメンバーは返されますが、情報は限定的なものとなります。 アプリケーションは、応答 200 とオブジェクトのコレクションを受け取ります。 アプリケーションが読み取り権限を持っているオブジェクト型の完全な情報が返されます。 アプリケーションが読み取り権限を持っていないオブジェクト型の場合、オブジェクト型 と ID だけが返されます。

これは、(メンバー リンクだけでなく) directoryObject 型のすべてのリレーションシップに適用されます。 例として、/groups/{id}/members/users/{id}/memberOfme/ownedObjects などがあります。

たとえば、アプリケーションには、Microsoft Graph に対する User.Read.All アクセス許可と Group.Read.All アクセス許可が付与されているとします。 グループが作成され、そのグループにはユーザー、グループ、およびデバイスが含まれてます。 アプリケーションがリスト グループメンバーを呼び出します。 アプリケーションは、グループ内のユーザー オブジェクトとグループ オブジェクトにはアクセスできますが、デバイス オブジェクトにはアクセスできません。 応答では、ユーザー オブジェクトとグループ オブジェクトの選択したすべてのプロパティが返されます。 一方、デバイス オブジェクトの場合は、限定的な情報のみが返されます。 デバイスのデータ型とオブジェクト ID は返されますが、その他のすべてのプロパティの値は null となります。 アクセス許可が付与されていないアプリは、ID を使用して実際のオブジェクトを取得することはできません。

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

JSON 応答は次のようになります。

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

アクセス許可 ID を取得しています

Azure CLI、PowerShell、またはインフラストラクチャをコード フレームワークとして使用してアクセス許可を設定する必要がある場合は、名前の代わりに使用するアクセス許可の識別子が必要になる場合があります。 Azure コマンド ライン インターフェイス を使用して、 az ad sp listを実行して識別子を取得できます。 ただし、これは非常に長いリストを生成するため、必要な特定のアクセス許可を見つけるのは困難な場合があります。 必要なアクセス許可の名前がわかっている場合は、Azure コマンド ライン インターフェイス を使用して次のコマンドを実行できます。

az ad sp list --query "[?appDisplayName=='Microsoft Graph'].{permissions:oauth2Permissions}[0].permissions[?value=='<NAME OF PERMISSION>'].{id: id, value: value, adminConsentDisplayName: adminConsentDisplayName, adminConsentDescription: adminConsentDescription}[0]" --all

応答は、説明、識別子、表示名、およびアクセス許可名を含む次の例のようになります。

{
  "adminConsentDescription": "Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user.  Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. ",
  "adminConsentDisplayName": "Read all groups",
  "id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
  "value": "Group.Read.All"
}

アクセス レビューのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AccessReview.Read.All すべてのアクセス レビューを読み取る サインインしているユーザーの代わりに、アプリでアクセス レビューの読み取りを実行できるようにします。 はい いいえ
AccessReview.ReadWrite.All すべてのアクセス レビューを管理する サインインしているユーザーの代わりに、アプリでアクセス レビューの読み取りと書き込みを実行できるようにします。 はい いいえ
AccessReview.ReadWrite.Membership グループとアプリのメンバーシップのアクセス レビューを管理する サインインしているユーザーの代わりに、アプリでグループとアプリのアクセス レビューの読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AccessReview.Read.All すべてのアクセス レビューを読み取る サインインしているユーザーなしで、アプリでアクセス レビューの読み取りを実行できるようにします。 はい
AccessReview.ReadWrite.Membership グループとアプリのメンバーシップのアクセス レビューを管理する サインイン ユーザーなしで、アプリでグループとアプリのアクセス レビューを管理できます。 はい

解説

AccessReview.Read.AllAccessReview.ReadWrite.AllAccessReview.ReadWrite.Membership は、職場または学校アカウントに対してのみ有効です。

委任されたアクセス許可があるアプリの場合、ID ユーザー リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。 グループまたはアプリのアクセス レビューを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。

Azure AD ロールのアクセス レビューを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、「セキュリティ閲覧者」、または「特権ロール管理者」のいずれかの管理者ロールのメンバーになっている必要があります。 Azure AD ロールのアクセス レビューを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」または「特権ロール管理者」のいずれかの管理者ロールのメンバーになっている必要があります。

管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。


管理単位のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AdministrativeUnit.Read.All 管理単位を読み取る サインインしているユーザーの代わりに、アプリで管理単位および管理単位のメンバーシップの読み取りを実行できるようにします。 はい いいえ
AdministrativeUnit.ReadWrite.All 管理単位の読み取りと書き込み サインインしたユーザーの代わりに、アプリで管理単位の作成、読み取り、更新、削除および管理単位のメンバーシップの管理を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AdministrativeUnit.Read.All すべての管理単位を読み取る サインインしているユーザーがいない場合でも、アプリで管理単位および管理単位のメンバーシップの読み取りを実行できるようにします。 はい
AdministrativeUnit.ReadWrite.All すべての管理単位の読み取りと書き込み サインインしたユーザーがいない場合でも、アプリで管理単位の作成、読み取り、更新、削除および管理単位のメンバーシップの管理を実行できるようにします。 はい

Remarks

AdministrativeUnit.Read.All のアクセス許可を持つアプリケーションでは、メンバーを含む管理単位情報を読み取ることができます。

AdministrativeUnit.ReadWrite.All のアクセス許可を持つアプリケーションでは、メンバーを含む管理単位情報の作成、読み取り、更新、削除を行うことができます。

AdministrativeUnit.Read.All および AdministrativeUnit.ReadWrite.All は、職場または学校のアカウントでのみ有効です。

使用例

  • AdministrativeUnit.Read.All: 管理単位を読み取ります (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: 管理単位のメンバーの一覧を読み取ります (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: 管理単位を作成します (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: 管理単位を更新します (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: 管理単位にメンバーを追加します (POST /beta/administrativeUnits/<id>/members)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


分析リソースのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Analytics.Read ユーザー アクティビティの統計情報を読み取ります。 ユーザーがメール、会議、チャット セッションに費やした時間など、サインインしているユーザーのアクティビティ統計を読み取ることをアプリに許可します。 いいえ

アプリケーションのアクセス許可

なし。

使用例

委任

アプリケーション

なし。


AppCatalog リソースのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントが必要です
AppCatalog.Read.All すべてのアプリ カタログの読み取り このアプリがアプリ カタログのアプリを読み取れるようにします。 いいえ いいえ
AppCatalog.ReadWrite.All すべてのアプリ カタログの読み取りと書き込み アプリで、アプリ カタログ内のアプリを作成、読み取り、更新、削除できるようにします。 はい いいえ
AppCatalog.Submit 管理者レビューのためにアプリを提出する ユーザーは、組織のアプリ カタログに掲載するために、管理者の確認用に、申請とアプリの送信を行うことができ、公開されていない過去の申請をキャンセルすることができます。
𝐍𝐎𝐓𝐄: 管理者以外のユーザーは、requiresReview=true クエリ パラメータを含めて、レビューのためにアプリを送信します。
はい いいえ

アプリケーションのアクセス許可

なし。

解説

現在のところ、唯一のカタログは Microsoft Teams のアプリケーション一覧です。

使用例

Delegated

アプリケーション

なし。


アプリケーション リソースのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Application.Read.All アプリケーションを読み取る サインインしたユーザーの代理としてアプリとサービスプリンシパルを読み取ることをアプリに許可します。 はい
Application.ReadWrite.All 全アプリの読み取りと書き込み サインインしているユーザーの代わりに、アプリケーションとサービス プリンシパルを作成、読み取り、更新、削除することをアプリに許可します。 はい
AppRoleAssignment.ReadWrite.All アプリのアクセス許可の付与とアプリの役割の割り当ての管理 サインインしているユーザーの代わりに、アプリで任意の API (Microsoft Graph を含む) へのアプリケーションのアクセス許可の付与と、任意のアプリへのアプリケーション割り当てを管理できるようにします。 はい
DelegatedPermissionGrant.ReadWrite.All 委任された権限の付与の管理 サインインしているユーザーに代わって、アプリが任意の API (Microsoft Graph を含む) の委任されたアクセス許可の付与を管理できるようにします。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Application.Read.All アプリケーションを読み取る サインインしているユーザーなしで、アプリケーションとサービス プリンシパルを読み取ることをアプリに許可します。 はい
Application.ReadWrite.All 全アプリの読み取りと書き込み 呼び出し元アプリが、ユーザーのサインインなしでアプリケーションおよびサービス プリンシパルの作成と管理 (読み取り、更新、アプリケーション シークレットの更新、および削除) をすることを可能にします。 同意付与管理やユーザーやグループへのアプリケーション割り当ては許可されません。 はい
Application.ReadWrite.OwnedBy このアプリの作成または所有するアプリを管理 呼び出し元アプリが、ユーザー サインインなしで他のアプリケーションおよびサービス プリンシパルを作成したり、それらのアプリケーションおよびサービス プリンシパルをあらゆる方法で管理 (読み取り、更新、アプリケーション シークレットの更新、および削除) したりできるようにします。 所有者として所有していないアプリケーションの更新はできません。 同意付与管理やユーザーやグループへのアプリケーション割り当ては許可されません。 はい
AppRoleAssignment.ReadWrite.All アプリのアクセス許可の付与とアプリの役割の割り当ての管理 ユーザーがサインインしていない状態で、アプリで任意の API (Microsoft Graph を含む) へのアプリケーションのアクセス許可の付与と、任意のアプリへのアプリケーション割り当てを管理できるようにします。 はい
DelegatedPermissionGrant.ReadWrite.All 委任されたすべての権限の付与の管理 ユーザーがサインインしていない状態で、アプリが任意の API (Microsoft Graph を含む) の委任されたアクセス許可を付与または取り消すことができるようにします。 はい

解説

Application.ReadWrite.OwnedBy アクセス許可は、Application.ReadWrite.All と同じ操作を許可しますが、前者の場合、それらの操作は呼び出し元アプリが所有者となっているアプリケーションおよびサービス プリンシパルに対してのみ可能です。 所有権は、ターゲットのアプリケーションまたはサービス プリンシパル リソースの owners ナビゲーション プロパティによって示されます。

注: Application.ReadWrite.OwnedBy アクセス許可を使用することにより、GET /applications を呼び出してアプリケーションのリストを取得しようとすると、403 のエラーになります。 呼び出し元アプリケーションの所有するアプリケーションのリストを取得するには、GET servicePrincipals/{id}/ownedObjects を使用してください。

使用例

委任

  • Application.Read.All: 全アプリケーションのリストを取得する (GET /beta/applications)
  • Application.ReadWrite.All: サービス プリンシパルを更新する (PATCH /beta/servicePrincipals/{id})

アプリケーション

  • Application.Read.All: 全アプリケーションのリストを取得する (GET /beta/applications)
  • Application.ReadWrite.All: サービス プリンシパルを削除する (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: アプリケーションを作成する (POST /beta/applications)
  • Application.ReadWrite.OwnedBy: 呼び出し元アプリケーションによって所有されている全アプリケーションのリストを取得する (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: 所有されているアプリケーションに別の所有者を追加する (POST /applications/{id}/owners/$ref)。

    注: これにはさらに追加のアクセス許可が必要になる場合があります。


監査ログのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AuditLog.Read.All 監査ログ データの読み取り サインインしているユーザーの代わりに、アプリで監査ログ アクティビティの読み取りとクエリを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AuditLog.Read.All すべての監査ログ データの読み取り アプリでサインインしているユーザーがいなくても、監査ログ アクティビティの読み取りとクエリを実行できるようにします。 はい

BitLocker 回復キーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
BitlockerKey.ReadBasic.All 基本 BitLocker キー情報の読み取り アプリが、テナント内のすべてのデバイスに対する BitLocker キーのプロパティを読み取れるようにします。 回復キーは返されません。 はい いいえ
BitlockerKey.Read.All BitLocker キーを読み取る アプリが、テナント内のすべてのデバイスに対する BitLocker キーを読み取れるようにします。 回復キーが返されます。 はい いいえ

アプリケーションのアクセス許可

なし。

使用例

委任

  • BitlockerKey.ReadBasic.All: 「キー」プロパティ (GET /bitlocker/recoveryKeys) を返さずに、テナント内のすべてのデバイスに対する BitLocker 回復キーを一覧表示します。
  • BitlockerKey.Read.All: 回復キー (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key) を使用して BitLocker 回復キーを取得します

予約のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Bookings.Read.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。 読み取り専用アプリケーションを対象としています。一般的なターゲット ユーザーは、予約業務の顧客です。 いいえ いいえ
BookingsAppointment.ReadWrite.All アプリで、予約の予定と顧客を読み書きできるようにします。さらに、業務、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。 予定と顧客を操作する必要があるスケジュール設定アプリケーションを対象としています。 予約の業務、サービス、およびスタッフ メンバーに関する基本的な情報を変更することはできません。 一般的なターゲット ユーザーは、予約業務の顧客です。 いいえ いいえ
Bookings.ReadWrite.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み書きできるようにします。 予約業務の作成、削除、発行はできません。 既存の業務、サービス、およびスタッフ メンバーを操作する管理アプリケーションを対象としています。 予約業務の発行状態の作成、削除、変更はできません。 一般的なターゲット ユーザーは、組織のサポート スタッフです。 いいえ いいえ
Bookings.Manage.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取り、書き込み、および管理できるようにします。 アプリにフル アクセスを許可します。
完全な管理操作環境を対象としています。 一般的なターゲット ユーザーは、組織の管理者です。
いいえ いいえ

アプリケーションのアクセス許可

なし。

使用例

委任

  • Bookings.Read.All: あるテナントのために作成された予約業務のコレクションの ID と名前を取得します (GET /bookingBusinesses)。
  • BookingsAppointment.ReadWrite.All: ある予約業務のサービスの予定を作成します (POST /bookingBusinesses/{id}/appointments)。
  • Bookings.ReadWrite.All: 指定した予約業務の新しいサービスを作成します (POST /bookingBusinesses/{id}/services)。
  • Bookings.Manage.All: この業務のスケジュール設定ページを外部の顧客が使用できるようにします (POST /bookingBusinesses/{id}/publish)。

カレンダーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Calendars.Read ユーザーのカレンダーの読み取り アプリは、ユーザーの予定表内のイベントを読み取ることができます。 いいえ はい
Calendars.Read.Shared ユーザーのカレンダーと共有のカレンダーの読み取り ユーザーがアクセスできるすべてのカレンダー (委任されたカレンダーと共有のカレンダーを含む) のイベントをアプリで読み取りできるようにします。 いいえ いいえ
Calendars.ReadWrite ユーザーのカレンダーへのフル アクセス ユーザーのカレンダー内のイベントをアプリで作成、読み取り、更新、削除できるようにします。 いいえ はい
Calendars.ReadWrite.Shared ユーザーのカレンダーと共有のカレンダーの読み取りと書き込み アプリで、ユーザーがアクセス許可を得ているすべてのカレンダー内のイベントを作成、読み取り、更新、および削除できるようにします。これには、委任されたカレンダーと共有のカレンダーが含まれます。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Calendars.Read すべてのメールボックスにあるカレンダーの読み取り サインインしているユーザーなしで、すべてのカレンダーのイベントをアプリで読み取れるようにします。 必要
Calendars.ReadWrite すべてのメールボックスにあるカレンダーの読み取りと書き込み サインインしているユーザーなしで、すべての予定表のイベントをアプリで作成、読み取り、更新、および削除できるようにします。 はい

重要 アプリケーションに Calendars.Read または Calendars.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者は アプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく 特定 のメールボックスにアプリケーション アクセスを制限することができます。

使用例

委任

  • Calendars.Read:ユーザーのカレンダーについて、2017 年 4 月 23 日から 2017 年 4 月 29 日までのイベントを取得します (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00)。
  • Calendars.Read.Shared: すべての出席者が出席可能な会議の日時を検索します (POST /users/{id|userPrincipalName}/findMeetingTimes)。
  • Calendars.ReadWrite:ユーザーの予定表にイベントを追加します (POST /me/events)。

アプリケーション

  • Calendars.Read:bob@contoso.com が編成した会議室のカレンダーのイベントを検索します (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com')。
  • Calendars.Read: ユーザーのカレンダーにある 5 月のイベントをすべてリストします (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite:承認済みの休暇について、ユーザーのカレンダーにイベントを追加します (POST /users/{id | userPrincipalName}/events)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

通話のアクセス許可

委任されたアクセス許可

なし。


アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Calls.Initiate.All アプリからの発信 1 対 1 通話の開始 (プレビュー) アプリで、サインインしているユーザーがいなくても、1 人のユーザーに発信し、組織のディレクトリ内のユーザーに通話を転送することができるようにします。 はい
Calls.InitiateGroupCall.All アプリからの発信グループ通話の開始 (プレビュー) アプリで、サインインしているユーザーがいなくても、複数のユーザーに発信し、組織内の会議に参加者を追加することができるようにします。 はい
Calls.JoinGroupCall.All グループ通話と会議にアプリとして参加する (プレビュー) アプリで、サインインしているユーザーがいなくても、組織のグループ通話やスケジュールされた会議に参加することができるようにします。 このアプリは、ディレクトリ ユーザーの特権を使用してテナントの会議に参加します。 はい
Calls.JoinGroupCallasGuest.All グループ通話と会議にゲストとして参加する (プレビュー) アプリで、サインインしているユーザーがいなくても、組織のグループ通話とスケジュールされた会議に匿名で参加することができるようにします。 このアプリは、テナントの会議にゲストとして参加します。 はい
Calls.AccessMedia.All* 通話内のメディア ストリームにアプリとしてアクセスする (プレビュー) アプリで、サインインしているユーザーがいなくても、通話内のメディア ストリームに直接アクセスすることができるようにします。 はい

*重要: アプリケーションでアクセスする通話または会議のメディア コンテンツ、またはそのメディア コンテンツから派生したデータの記録またはその他の方法の永続化に、クラウド コミュニケーション API を使用できない可能性があります。 データ保護および通信の秘密に関する領域の法律および規制を必ず遵守してください。 詳細については、利用規約 を確認して、法律顧問にご相談ください。


使用例

アプリケーション

  • Calls.Initiate.All: アプリケーションから組織内のユーザーにピアツーピアで発信します (POST /beta/communications/calls)。
  • Calls.InitiateGroupCall.All: アプリケーションから組織内のユーザーのグループにグループ発信を行います (POST /beta/communications/calls)。
  • Calls.JoinGroupCall.All: アプリケーションからグループ通話またはオンライン会議に参加します (POST /beta/communications/calls)。
  • Calls.JoinGroupCallasGuest.All: アプリケーションからグループ通話またはオンライン会議に参加しますが、アプリケーションには会議のゲスト特権のみが付与されます (POST /beta/communications/calls)。
  • Calls.AccessMedia.All: 通話の作成または参加を行い、通話内の参加者のメディア ストリームにアプリから直接アクセスします (POST /beta/communications/calls)。

注: 要求の例については、「通話の作成」を参照してください。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

通話レコードのアクセス許可

委任されたアクセス許可

なし。


アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
CallRecords.Read.All すべての通話レコードを読み取る アプリが、サインイン ユーザーなしですべての通話およびオンライン会議の通話レコードを読み取ることができるようにします。 はい
CallRecord-PstnCalls.Read.All PSTN および ダイレクト ルーティングの通話記録データの読み取り サインインしたユーザーがいない PSTN およびダイレクトルーティングのすべての通話記録データを読み取ることができます。 はい

備考

CallRecords.Read.All アクセス許可によって、組織内のすべての通話とオンライン会議 (外部の電話番号との通話を含む) に使用する callRecords へのアクセス権がアプリケーションに与えられます。 これには、通話への参加者に関する機密情報の詳細や、IPアドレス、デバイスの詳細、その他のネットワーク情報など、ネットワークのトラブルシューティングに使用できる、これらの通話と会議に関する技術情報があります。

CallRecord-PstnCalls.Read.All のアクセス許可によって、アプリケーションに PSTN (通話プラン)ダイレクトルーティング 通話記録へのアクセス許可が与えられます。 これには、外部電話番号を経由した通話も含むユーザーに関する機密情報がある可能性が含まれます。

重要: アプリケーションにこれらのアクセス許可を付与する場合は、慎重に行う必要があります。 通話記録は、ビジネスの運用に関する分析情報を提供できるため、悪意のある人物のターゲットになる可能性があります。 これらのアクセス許可は、データ保護要件を満たすと信頼できるアプリケーションにのみ許可してください。

重要: データ保護および通信の秘密に関する領域の法律および規制を必ず遵守してください。 詳細については、利用規約 を確認して、法律顧問にご相談ください。


使用例

アプリケーション

  • CallRecords.Read.All: 通話レコードを取得する (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All: 新しい通話レコードを購読する (POST /v1.0/subscriptions).
  • CallRecords.Read.All: 指定された時間範囲内でダイレクトルーティング通話記録を取得する (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: 指定した時間範囲内の PSTN 通話記録を取得する (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)))

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

チャネルのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Channel.ReadBasic.All チャネル名とチャネルの説明を読み取ります。 サインインしているユーザーの代わりに、チャネル名とチャネルの説明を読み取ります。 いいえ いいえ
Channel.Create チャネルを作成します。 サインインしているユーザーの代わりに、任意のチームのチャネルを作成します。 はい いいえ
Channel.Delete.All チャネルを削除します。 サインインしているユーザーの代わりに、任意のチームのチャネルを削除します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Channel.ReadBasic.All すべてのチャネルの名前と説明を読み取ります。 ユーザーがサインインしていない状態で、すべてのチャネルの名前と説明を読み取ります。 はい いいえ
Channel.Create チャネルを作成します。 ユーザーがサインインしていない状態で、任意のチームのチャネルを作成します。 はい いいえ
Channel.Delete.All チャネルを削除します。 ユーザーがサインインしていない状態で、任意のチームのチャネルを削除します。 はい いいえ
Teamwork.Migrate.All Microsoft Teams への移行の管理 Microsoft Teams に移行するためのリソースを作成して管理する はい 必要

チャネル メンバーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMember.Read.All チャネルのメンバーを読み取ります。 サインインしたユーザーの代わりに、チャネルのメンバーを読み取ります。 はい いいえ
ChannelMember.ReadWrite.All チャネルからメンバーを追加および削除します。 サインインしたユーザーの代わりに、チャネルからメンバーを追加および削除します。 また、たとえば所有者から非所有者にメンバーの役割を変更できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMember.Read.All すべてのチャネルのメンバーを読み取ります。 サインインしたユーザーなしに、すべてのチャネルのメンバーを読み取ります。 はい いいえ
ChannelMember.ReadWrite.All すべてのチャネルからメンバーを追加および削除します。 サインインしたユーザーなしに、すべてのチャネルからメンバーを追加および削除します。 また、たとえば所有者から非所有者にメンバーの役割を変更できます。 はい いいえ

チャネル メッセージのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMessage.Delete (プライベート プレビュー) ユーザーのチャネル メッセージの削除 サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージを削除できるようにします。 はい いいえ
ChannelMessage.Edit (プライベート プレビュー) ユーザーのチャネル メッセージの編集 サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージを編集できるようにします。 はい いいえ
ChannelMessage.Read.All ユーザー チャネル メッセージの読み取り サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージの読み取りを実行できるようにします。 はい いいえ
ChannelMessage.Send チャネル メッセージを送信する サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージを送信できるようにします。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMessage.Read.All すべてのチャネル メッセージを読み取る サインイン ユーザーなしで、アプリで Microsoft Teams のすべてのチャネル メッセージを読み取ることができます。 はい いいえ
ChannelMessage.UpdatePolicyViolation.All ポリシー違反のチャネル メッセージにフラグを設定する アプリで、一連のデータ損失防止 (DLP) ポリシーの違反プロパティにパッチを適用して DLP 処理の出力を処理し、Microsoft Teams のチャネル メッセージを更新できるようにします。 はい いいえ

注:Group.Read.All」も参照してください。

チャンネル設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelSettings.Read.All チャネルの名前、説明、設定を読み取ります。 サインインしているユーザーの代わりに、すべてのチャネル名、チャネルの説明、チャネルの設定を読み取ります。 はい いいえ
ChannelSettings.ReadWrite.All チャネルの名前、説明、設定の読み取りと書き込みをします。 サインインしているユーザーの代わりに、すべてのチャネルの名前、説明、設定を読み取り、書き込みます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelSettings.Read.All すべてのチャネルの名前、説明、設定を読み取ります。 ユーザーがサインインしていない状態で、すべてのチャネル名、チャネルの説明、チャネルの設定を読み取ります。 はい いいえ
ChannelSettings.ReadWrite.All すべてのチャネルの名前、説明、設定の読み取りと書き込みをします。 ユーザーがサインインしていない状態で、すべてのチャネルの名前、説明、設定を読み取り、書き込みます。 はい いいえ

チャットのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Chat.Read チャット メッセージを読み取る Microsoft Teams で 1 対 1 のメッセージまたグループ チャット メッセージをユーザーに代わってアプリが読み取ることを許可します。 いいえ いいえ
Chat.ReadBasic ユーザーのチャット スレッドの名前とメンバーの読み取り サインインしているユーザーに代わり、1 対 1 のチャットとグループ チャットのメンバーと説明をアプリが読み取れるようにします。 いいえ いいえ
Chat.ReadWrite チャットのメッセージを読んで、新しいメッセージを送信する Microsoft Teams での 1 対 1 またはグループ チャット メッセージを、あなたに代わってアプリが送受信することを許可します。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Chat.Read.All すべてのチャット メッセージの読み取り Microsoft Teams ですべての 1 対 1 のメッセージまたはグループ チャット メッセージを、アプリがサインイン ユーザーなしで読み取ることを許可します。 はい いいえ
Chat.ReadBasic.All ユーザーのチャット スレッドの名前とメンバーの読み取り すべてのチャット スレッドの名前とメンバーを読み取ります。 はい いいえ
Chat.UpdatePolicyViolation.All ポリシー違反のチャット メッセージにフラグを設定する アプリで、一連のデータ損失防止 (DLP) ポリシーの違反プロパティにパッチを適用して DLP 処理の出力を処理し、Microsoft Teams の 1:1 またはグループ チャット メッセージを更新できるようにします。 はい いいえ

注: チャネル内のメッセージの詳細については、「ChannelMessage のアクセス許可」を参照してください。

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChatSettings.Read.Chat このチャットの設定を読み取ります。 アプリでサインインしているユーザーがいなくても、チャットの設定をアプリで読み取れるようにします。 いいえ いいえ
ChatSettings.ReadWrite.Chat このチャットの設定の読み取りおよび書き込みを行います。 アプリでサインインしているユーザーがいなくても、チャットの設定をアプリで読み取りおよび書き取りができるようにします。 いいえ いいえ
ChatMessage.Read.Chat このチャットのメッセージを読み取ります。 アプリでサインインしているユーザーがいなくても、チャットのメッセージをアプリで読み取れるようにします。 いいえ いいえ
ChatMember.Read.Chat このチャットのメンバーを読み取ります。 アプリでサインインしているユーザーがいなくても、チャットのメンバーをアプリで読み取れるようにします。 いいえ いいえ
Chat.Manage.Chat このチャットを管理します。 アプリでチャット、チャットのメンバーを管理できるようにし、サインインしたユーザーがいない場合でもチャットのデータにアクセス許可を付与します。 いいえ いいえ
TeamsTab.Read.Chat このチャットのタブを読み取ります。 アプリでサインインしているユーザーがいなくても、チャットのタブをアプリで読み取れるようにします。 いいえ いいえ
TeamsTab.Create.Chat このチャットでタブを作成します。 サインインしたユーザーがいない場合でも、アプリがこのチャットでタブを作成できるようにします。 いいえ いいえ
TeamsTab.Delete.Chat このチャットのタブを削除します。 アプリでサインインしているユーザーがいなくても、チャットのタブをアプリ削除できるようにします。 いいえ いいえ
TeamsTab.ReadWrite.Chat このチャットのタブを管理します。 アプリでサインインしているユーザーがいなくても、チャットのタブをアプリ管理できるようにします。 いいえ いいえ
TeamsAppInstallation.Read.Chat このチャットにインストールされているアプリを読み取ります。 アプリでサインインしているユーザーがいなくても、アクセス許可を付与して、このチャットにインストールされている Teams アプリの読み取りを行えるようにします。 いいえ いいえ
OnlineMeeting.ReadBasic.Chat このチャットに関連付けられた会議の基本的なプロパティを読み取ります。 アプリでサインインしているユーザーがいなくても、このチャットに関連付けられた会議の名前、スケジュール、開催者、参加リンクなどの基本的なプロパティを読み取れるようにします。 いいえ 不要
Calls.AccessMedia.Chat このチャットまたは会議に関連付けられた通話でメディア ストリームにアクセスします。 アプリでサインインしているユーザーがいなくても、このチャットまたは会議に関連付けられている通話のメディア ストリームにアクセスできるようにします。 不要 不要
Calls.JoinGroupCalls.Chat このチャットまたは会議に関連付けられた通話に参加します。 アプリでサインインしているユーザーがいなくても、このチャットまたは会議に関連付けられている通話に接続できるようにします。 不要 いいえ
TeamsActivity.Send.Chat このチャットのユーザーにアクティビティ フィード通知を送信します。 サインインしているユーザーなしで、このチャットのユーザーのチームワーク アクティビティ フィードに新しい通知を作成することをアプリに許可します。 いいえ いいえ

注意

現在、これらのアクセス許可は、Microsoft Graph のベータ版でのみサポートされています。

ChatMessage のアクセス許可 (プライベート プレビュー)

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChatMessage.Send (プライベート プレビュー) ユーザーのチャット メッセージを送信 サインインしているユーザーに代わり、アプリが Microsoft Teams で 1 対 1 のチャットとグループ チャットを送信できるようにします。 いいえ いいえ

Cloud PC のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
CloudPC.Read.All Cloud PC の読み取り サインインしたユーザーに代わり、プロビジョニング ポリシーなどの Cloud PC オブジェクトをアプリが読み取れるようにします。 いいえ いいえ
CloudPC.ReadWrite.All Cloud PC の読み取りと書き込み ユーザーに代わり、オンプレミス接続、プロビジョニング ポリシー、デバイス イメージなどの Cloud PC オブジェクトを、作成、読み取り、更新、および削除することをアプリに許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
CloudPC.Read.All Cloud PC の読み取り ユーザーがサインインしていない状態で、プロビジョニング ポリシーなどの Cloud PC オブジェクトをアプリが読み取れるようにします。 いいえ いいえ
CloudPC.ReadWrite.All Cloud PC の読み取りと書き込み ユーザーがサインインしていない状態で、オンプレミス接続、プロビジョニング ポリシー、デバイス イメージなどの Cloud PC オブジェクトを、作成、読み取り、更新、および削除することをアプリに許可します。 はい いいえ

使用例

委任

  • CloudPC.Read.All: すべての Cloud PC のプロパティを表示します (GET /deviceManagement/virtualEndpoint/cloudPCs)。
  • CloudPC.ReadWrite.All: Cloud PC のプロビジョニング ポリシーを編集します (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id})。

アプリケーション

  • CloudPC.Read.All: すべての Cloud PC のプロパティを表示します (GET /deviceManagement/virtualEndpoint/cloudPCs)。
  • CloudPC.ReadWrite.All: Cloud PC のプロビジョニング ポリシーを編集します (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id})。

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ConsentRequest.Read.All 同意要求の読み取り サインインしているユーザーの代わりに、アプリで同意要求と承認の読み取りを実行できるようにします。 はい いいえ
ConsentRequest.ReadWrite.All 同意要求の読み取りと書き込み サインインしているユーザーの代わりに、アプリでアプリの同意要求と承認の読み取り、およびそれらの要求の拒否または承認を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
ConsentRequest.Read.All 同意要求の読み取り サインインしたユーザーなしで、アプリの同意要求と承認の読み取りをアプリに許可します。 はい
ConsentRequest.ReadWrite.All 同意要求の読み取りと書き込み サインインしたユーザーなしで、アプリの同意要求と承認の読み取り、およびそれらの要求の拒否または承認の実行をアプリに許可します。 はい

連絡先のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Contacts.Read ユーザーの連絡先の読み取り アプリは、ユーザーの連絡先を読み取ることができます。 いいえ はい
Contacts.Read.Shared ユーザーの連絡先と共有の連絡先の読み取り アプリで、ユーザー自身の連絡先と共有の連絡先を含む、ユーザーがアクセス許可を得ている連絡先を読み取ることができるようにします。 いいえ いいえ
Contacts.ReadWrite ユーザーの連絡先へのフル アクセス アプリで、ユーザーの連絡先の作成、読み取り、更新、削除を行えるようにします。 いいえ はい
Contacts.ReadWrite.Shared ユーザーの連絡先と共有の連絡先の読み取りと書き込み アプリで、ユーザー自身の連絡先と共有の連絡先を含むユーザーがアクセス許可を得ている連絡先の作成、読み取り、更新、削除を行えるようにします。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Contacts.Read すべてのメールボックスにある連絡先の読み取り サインインしているユーザーなしで、すべてのメールボックス内のすべての連絡先をアプリで読み取りできるようにします。 必要
Contacts.ReadWrite すべてのメールボックスにある連絡先の読み取りと書き込み サインインしているユーザーなしで、すべてのメールボックス内のすべての連絡先をアプリで作成、読み取り、更新、および削除できるようにします。 はい

重要 アプリケーションに Contacts.Read または Contacts.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者は アプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく 特定 のメールボックスにアプリケーション アクセスを制限することができます。

使用例

委任

  • Contacts.Read:サインインしているユーザーの最上位レベルの連絡先フォルダーの 1 つから連絡先を読み取ります (GET /me/contactfolders/{Id}/contacts/{id})。
  • Contacts.ReadWrite:サインインしているユーザーの連絡先のうち、1 つの連絡先の写真を更新します (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。
  • Contacts.ReadWrite:サインインしているユーザーのルート フォルダーに連絡先を追加します (POST /me/contacts)。

アプリケーション

  • Contacts.Read:組織内の任意のユーザーの最上位レベルの 1 つのフォルダーから連絡先を読み取ります (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id})。
  • Contacts.ReadWrite:組織内の任意のユーザーの連絡先の写真を更新します (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。
  • Contacts.ReadWrite:組織内の任意のユーザーのルート フォルダーに連絡先を追加します (POST /users/{id | userPrincipalName}/contacts)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

デバイス アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Device.Read ユーザー デバイスの読み取り サインインしているユーザーの代わりに、アプリでユーザーのデバイスの一覧を読み取ることができるようにします。 いいえ はい
Device.Read.All すべてのデバイスの読み取り サインインしているユーザーの代わりに、アプリで組織のデバイス構成情報の読み取りを実行できるようにします。 はい はい
Device.Command ユーザーのデバイスとの通信 サインインしているユーザーの代わりに、アプリで、別のアプリを起動するか、ユーザーのデバイス上にある別のアプリと通信できるようにします。 いいえ はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Device.Read.All すべてのデバイスの読み取り サインインしているユーザーがいなくても、アプリで組織のデバイス構成情報の読み取りを実行できるようにします。 はい
Device.ReadWrite.All デバイスの読み取りと書き込み アプリで、サインインしているユーザーなしで、すべてのデバイス プロパティの読み取りと書き込みができるようにします。デバイスの作成、デバイスの削除、デバイスの代替セキュリティ識別子の更新はできません。 はい

注意

2020 年 12 月 3 日以前、アプリケーションのアクセス許可 Device.ReadWrite.All が付与されたとき、デバイス マネージャー ディレクトリの役割もアプリのサービス プリンシパルに割り当てられました。 このディレクトリの役割の割り当ては、関連するアプリケーションのアクセス許可が取り消されても自動的に削除されません。 デバイスへの読み取りまたは書き込みへのアプリケーションのアクセスを確実に削除するには、顧客は、アプリケーションに付与された関連するディレクトリロールもすべて削除する必要があります。

この動作を無効にするサービス更新は、2020 年 12 月 3 日に開始されました。 2021 年 1 月 11 日にすべての顧客への展開が完了しました。 アプリケーションのアクセス許可が付与されたときに、ディレクトリの役割が自動的に割り当てられなくなりました。

使用例

アプリケーション

  • Device.ReadWrite.All:組織内のすべての登録済デバイスを読み取ります (GET /devices)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ディレクトリのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Directory.Read.All ディレクトリ データの読み取り アプリで、ユーザー、グループ、アプリなどの組織のディレクトリ内のデータを読み取ることができるようにします。 : ユーザーが所属する組織のテナントにアプリケーションが登録されている場合、このアクセス許可を必要とするアプリケーションにユーザーが同意することがあります。 はい いいえ
Directory.ReadWrite.All ディレクトリ データの読み取りおよび書き込み アプリで、ユーザーやグループなどの組織のディレクトリ内のデータを読み書きできるようにします。アプリでユーザーまたはグループの削除や、ユーザー パスワードのリセットはできません。 はい いいえ
Directory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセス サインインしているユーザーと同じように、アプリでディレクトリ内の情報にアクセスできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Directory.Read.All ディレクトリ データの読み取り サインインしているユーザーなしで、ユーザー、グループ、アプリなどの組織のディレクトリ内のデータをアプリで読み取りできるようにします。 必要
Directory.ReadWrite.All ディレクトリ データの読み取りおよび書き込み アプリで、サインインしているユーザーなしで、ユーザー、グループなどの組織のディレクトリ内のデータを読み取りと書き込みができるようにします。ユーザーまたはグループの削除はできません。 必要

解説

ディレクトリのアクセス許可は、組織内のディレクトリ リソース (ユーザーグループデバイスなど) に対する最上位レベルの特権を提供します。

また、その他のディレクトリ リソースへのアクセスを排他的に制御します。このリソースには、組織の連絡先スキーマ拡張 APIPrivileged Identity Management (PIM) API などに加え、v1.0 およびベータの API リファレンス ドキュメントの Azure Active Directory ノードにリストされる多数のリソースや API があります。 これには、管理単位、ディレクトリ ロール、ディレクトリ設定、ポリシーなど多くのものが含まれます。

注意

2020 年 12 月 3 日以前、アプリケーション権限 Directory.Read.All が付与されると、非推奨の ディレクトリ リーダー ディレクトリの役割もアプリのサービス プリンシパルに割り当てられました。 Directory.ReadWrite.All が付与されると、ディレクトリ ライター ディレクトリの役割も割り当てられました。 これらのディレクトリ ロールは、関連するアプリケーションのアクセス許可が取り消されても自動的に削除されません。 ディレクトリの読み取りまたは書き込みに対するアプリケーションのアクセスを削除するには、アプリケーションに付与されているディレクトリ ロールもすべて削除する必要があります。

この動作を無効にするサービス更新は、2020 年 12 月 3 日に開始されました。 2021 年 1 月 11 日にすべての顧客への展開が完了しました。 アプリケーションのアクセス許可が付与されたときに、ディレクトリの役割が自動的に割り当てられなくなりました。

Directory.ReadWrite.All アクセス許可は、次に示す特権を付与します。

  • すべてのディレクトリ リソースの完全な読み取り (宣言されたプロパティとナビゲーション プロパティの両方)
  • ユーザーの作成と更新
  • ユーザー (会社管理者以外) の無効化と有効化
  • ユーザーの代替セキュリティ ID の設定 (管理者以外)
  • グループの作成と更新
  • グループ メンバーシップの管理
  • グループ所有者の更新
  • ライセンス割り当ての管理
  • アプリケーションのスキーマ拡張の定義
  • ディレクトリの設定を管理
  • 管理者の同意のワークフロー構成を管理する (ただし、管理者の同意の必要性、権限を与えるユーザーは管理できません)

:

  • ユーザーのパスワードを再設定する権限はありません。
  • 他のユーザーの businessPhonesmobilePhone、または otherMails のプロパティの更新を許可されているのは、管理者以外のユーザーまたは次のロールのいずれかを割り当てられたユーザーのみになります。ディレクトリ閲覧者、ゲスト招待元、メッセージ センター閲覧者およびレポート閲覧者。 詳細については、「Azure AD で使用できるロール」のヘルプデスク (パスワード) 管理者を参照してください。 User.ReadWrite.All または Directory.ReadWrite.All の委任またはアプリケーションのアクセス許可のいずれかが与えられているアプリの場合、これに該当します。
  • リソース (ユーザーまたはグループを含む) を削除する権限はありません。
  • 具体的には、上記の一覧に示されていないリソースの作成と更新が除外されます。これには、application、oAauth2Permissiongrant、appRoleAssignment、device、servicePrincipal、organization、domains などが含まれます。

使用例

委任

  • Directory.Read.All:組織内のすべての管理単位をリストします (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All:ディレクトリ ロールにメンバーを追加します (POST /directoryRoles/{id}/members/$ref)

アプリケーション

  • Directory.Read.All:ディレクトリ ロールと管理単位を含むユーザーのメンバーシップをすべてリストします (GET /beta/users/{id}/memberOf)
  • Directory.Read.All:サービス プリンシパルを含むグループ メンバーをすべてリストします (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All:グループに所有者を追加します (POST /groups/{id}/owners/$ref)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ドメインのアクセス許可

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Domain.ReadWrite.All ドメインの読み取りと書き込み サインインしているユーザーなしで、アプリでドメインの読み取りと書き込みを実行できるようにします。 はい

電子情報開示のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
eDiscovery.Read.All ユーザーの電子情報開示ケース データを読み取る サインインしたユーザーに代わって、ケース、カストディアン、レビュー セット、その他の関連オブジェクトなどの電子情報開示オブジェクトの読み取りをアプリに許可します。 はい いいえ
eDiscovery.ReadWrite.All 電子情報開示ケース データの読み取りおよび書き込み サインインしたユーザーに代わって、ケース、カストディアン、レビュー セット、その他の関連オブジェクトなどの電子情報開示オブジェクトの読み取りと書き込みをアプリに許可します。 はい いいえ

アプリケーションのアクセス許可

なし

使用例

委任

  • eDiscovery.Read.All: ユーザーが利用可能なケースの一覧を取得する (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: レビュー セットでレビューセット クエリを作成する (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


教育機関アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
EduAdministration.Read 教育機関向けアプリの設定を読む ユーザーに代わって教育機関向けアプリ設定をアプリが読み取ることを許可します。 はい いいえ
EduAdministration.ReadWrite 教育機関向けアプリ設定の管理 ユーザーに代わって教育機関向けアプリ設定をアプリが管理することを許可します。 はい いいえ
EduAssignments.ReadBasic 成績を含まないユーザーのクラスの課題の読み取り 対象ユーザーのために、成績を含めずに課題を読み取ることをアプリに許可します はい いいえ
EduAssignments.ReadWriteBasic 成績を含まないユーザーのクラスの課題の読み取りと書き込み 対象ユーザーのために、成績を含めずに課題を読み取ることと書き込むことをアプリに許可します はい いいえ
EduAssignments.Read クラスの課題とその成績のユーザー ビューの読み取り 対象ユーザーのために、課題と成績を読み取ることをアプリに許可します はい いいえ
EduAssignments.ReadWrite クラスの課題とその成績のユーザー ビューの読み取りと書き込み 対象ユーザーのために、課題と成績を読み取ることと書き込むことをアプリに許可します はい いいえ
EduRoster.ReadBasic 名簿のユーザー ビューの限定された一部の読み取り アプリに許可を与えて、組織の名簿内にある学校とクラスの構造のプロパティの限定された一部、およびユーザーの代理として読み込めるユーザーに関するプロパティの限定された一部を読み取ります。 名前、ステータス、教育の役割、メール アドレス、写真が含まれます。 はい いいえ
EduRoster.Read 名簿のユーザー ビューの読み取り アプリに許可を与えて、組織の名簿内にある学校とクラスの構造、およびユーザーの代理として読み込めるユーザーに関する教育機関固有の情報を読み取ります。 はい
EduRoster.ReadWrite 名簿のユーザー ビューの読み取りと書き込み アプリに許可を与えて、組織の名簿内にある学校とクラスの構造、およびユーザーの代理として読み取りと書き込みが行われるユーザーに関する教育機関固有の情報を読み取りおよび書き込みます。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
EduAdministration.Read.All 教育機関向けアプリの設定の読み取り ユーザーの代理としてすべての Microsoft 教育機関向けアプリの状態と設定を読み取る はい
EduAdministration.ReadWrite.All 教育機関向けアプリの設定の管理 ユーザーの代理としてすべての Microsoft 教育機関向けアプリの状態と設定を管理する はい
EduAssignments.ReadBasic.All 成績を含まないクラスの課題の読み取り すべてのユーザーについて、成績を含めずに課題を読み取ることをアプリに許可します はい
EduAssignments.ReadWriteBasic.All 成績を含まないクラスの課題の読み取りと書き込み すべてのユーザーについて、成績を含めずに課題を読み取ることと書き込むことをアプリに許可します はい
EduAssignments.Read.All クラスの課題と成績の読み取り すべてのユーザーについて、課題と成績を読み取ることをアプリに許可します はい
EduAssignments.ReadWrite.All クラスの課題と成績の読み取りと書き込み すべてのユーザーについて、課題と成績を読み取ることと書き込むことをアプリに許可します はい
EduRoster.ReadBasic.All 組織の名簿の限定された一部の読み取り。 組織の名簿に含まれている学校とクラスの構造の両方の限定された一部と、すべてのユーザーについての教育に関する特定の情報を読み取ることをアプリに許可します。 はい
EduRoster.Read.All 組織の名簿の読み取り。 組織の名簿に含まれている学校とクラスの両方の構造と、読み取り対象のすべてのユーザーについての教育に関する特定の情報を読み取ることをアプリに許可します。 はい
EduRoster.ReadWrite.All 組織の名簿の読み取りと書き込み。 組織の名簿に含まれている学校とクラスの構造と、読み取りと書き込みの対象となるすべてのユーザーについての教育に関する特定の情報を読み取ることと書き込むことをアプリに許可します。 はい

使用例

委任

  • EduAssignments.Read: サインインしている学生の課題情報を取得します (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: サインインしている学生の課題を送信します (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: サインインしているユーザーを参加者または教師としてクラス分けします (GET /education/classes/{id}/members)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


エンタイトルメント管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
EntitlementManagement.ReadWrite.All エンタイトルメント管理リソースの読み取りと書き込み アクセス パッケージと関連するエンタイトルメント管理リソースを読み取り管理するためのアクセスを、サインインしているユーザーの代理としてアプリが要求することを許可します。 はい
EntitlementManagement.Read.All エンタイトルメント管理リソースの読み取り アクセス パッケージと関連するエンタイトルメント管理リソースを読み取るためのアクセスを、サインインしているユーザーの代理としてアプリが要求することを許可します。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
EntitlementManagement.ReadWrite.All エンタイトルメント管理リソースの読み取りと書き込み アプリでアクセス パッケージと関連するエンタイトルメント管理リソースの読み取りと管理を実行できるようにします。 はい
EntitlementManagement.Read.All エンタイトルメント管理リソースの読み取り アプリでアクセス パッケージと関連するエンタイトルメント管理リソースの読み取りを実行できるようにします。 はい

ファイルのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Files.Read ユーザー ファイルの読み取り アプリで、サインインしているユーザーのファイルを読み取れるようにします。 いいえ はい
Files.Read.All ユーザーがアクセスできるすべてのファイルの読み取り アプリで、サインしているユーザーがアクセスできるすべてのファイルを読み取ることができるようにします。 いいえ はい
Files.ReadWrite ユーザー ファイルへのフル アクセスを持つ アプリで、サインインしているユーザーのファイルを読み取り、作成、更新、および削除できるようにします。 いいえ はい
Files.ReadWrite.All ユーザーがアクセスできるすべてのファイルへのフル アクセス アプリで、サインインしているユーザーがアクセス可能なすべてのファイルを読み取り、作成、更新、および削除できるようにします。 いいえ はい
Files.ReadWrite.AppFolder アプリケーションのフォルダーへのフル アクセス (プレビュー) (プレビュー) アプリで、アプリケーションのフォルダー内のファイルを読み取り、作成、更新、および削除できるようにします。 いいえ はい
Files.Read.Selected ユーザーが選んだファイルの読み取り Microsoft Graph の限定的なサポートについては、注釈を参照してください
(プレビュー) ユーザーが選んだファイルをアプリで読み取りできるようにします。アプリは、ユーザーがファイルを選んでから数時間後までアクセス許可を持ちます。
いいえ いいえ
Files.ReadWrite.Selected ユーザーが選んだファイルの読み取りと書き込み Microsoft Graph の限定的なサポートについては、注釈を参照してください
(プレビュー) ユーザーが選んだファイルをアプリで読み書きできるようにします。アプリは、ユーザーがファイルを選んでから数時間後までアクセス許可を持ちます。
いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Files.Read.All すべてのサイト コレクションにおけるファイルの読み取り アプリで、サインインしているユーザーなしで、すべてのサイト コレクション内のすべてのファイルを読み取れるようにします。 はい
Files.ReadWrite.All すべてのサイト コレクションにおけるファイルの読み取りと書き込み サインイン ユーザーなしで、アプリがすべてのサイト コレクション内のすべてのファイルの読み取り、作成、更新、削除を行えるようにします。 はい

解説

: 個人用アカウントの場合、Files.Read および Files.ReadWrite はサインインしているユーザーと共有しているファイルへのアクセスも許可されます。

委任されたアクセス許可の Files.Read.Selected および Files.ReadWrite.Selected は、職場または学校アカウントでのみ有効です。また、Office 365 ファイル ハンドラー (v1.0) を使用している場合にのみ公開されます。これらは、Microsoft Graph API を直接呼び出すために使用しないでください。

委任されたアクセス許可の Files.ReadWrite.AppFolder は、個人用アカウントでのみ有効です。また、OneDrive の特殊フォルダーを取得する Microsoft Graph API で App Root 特殊フォルダーにアクセスする場合に使用します。

使用例

委任

  • Files.Read:サインインしているユーザーの OneDrive に保存されているファイルを読み取ります (GET /me/drive/root/children)
  • Files.Read.All:サインインしているユーザーと共有しているファイルを読み取ります (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite:サインインしているユーザーの OneDrive にファイルを書き込みます (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All:ユーザーと共有するファイルを書き込みます (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder:OneDrive 内のアプリのフォルダーにファイルを書き込みます (PUT /me/drive/special/approot/children/file.txt/content)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


財務のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Financials.ReadWrite.All 財務データの読み取りと書き込み アプリで、サインインしているユーザーの代わりに、財務データの読み取りと書き込みを行うことができるようにします。 いいえ

グループのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Group.Read.All すべてのグループの読み取り アプリで、サインインしているユーザーの代わりに、グループを一覧表示し、グループのプロパティとすべてのグループ メンバーシップを読み取ることができるようにします。アプリで、サインインしているユーザーがアクセスできるすべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツを読み取ることができるようにします。 はい いいえ
Group.ReadWrite.All すべてのグループの読み取りと書き込み アプリで、サインインしているユーザーの代わりに、グループを作成したり、すべてのグループのプロパティとメンバーシップを読み取ったりできるようにします。 アプリで、サインインしているユーザーがアクセスできるすべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツの読み取りと書き込みができるようにします。 さらに、グループの所有者が自身のグループを管理できるよう、またグループ メンバーがグループのコンテンツを更新できるようにします。 はい いいえ
GroupMember.Read.All グループ メンバーシップを読み取る グループのリスト、基本的なグループ プロパティの読み取り、およびサインインしているユーザーがアクセスできるすべてのグループのメンバーシップの読み取りをアプリに許可します。 はい いいえ
GroupMember.ReadWrite.All グループ メンバーシップを読み取り、書き込みます。 サインインしているユーザーがアクセスできるグループのリスト、基本的なプロパティの読み取り、およびすべてのグループのメンバーシップの読み取りと更新をアプリに許可します。 グループのプロパティと所有者を更新したり、グループを削除したりすることはできません。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Group.Read.All すべてのグループの読み取り サインインしたユーザーがなくても、アプリがすべてのグループのメンバーシップを読み取ることができるようにします。 また、アプリがすべてのグループのカレンダー、会話、ファイル、およびその他のグループ コンテンツを読み取ることを許可します。

注: すべてのグループ API が、アプリ専用のアクセス許可を使用したアクセスをサポートするわけではありません。 例については、「既知の問題」を参照してください。
はい
Group.ReadWrite.All すべてのグループの読み取りと書き込み アプリで、グループの作成、グループ メンバーシップの読み取りと更新、グループの削除ができるようにします。 アプリで、すべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツの読み取りと書き込みができるようにします。 これらの操作はすべて、サインインしているユーザーがいなくても、アプリで実行できます。

注: すべてのグループ API が、アプリ専用のアクセス許可を使用したアクセスをサポートするわけではありません。 例については、「既知の問題」を参照してください。
はい
Group.Selected 選択したグループへのアクセス 注: このアクセス許可は、一般向けには使用できない機能用に Azure portal に表示されます。このアクセス許可は変更されることがあるため、使用しないでください。 はい
GroupMember.Read.All グループ メンバーシップを読み取る アプリで、サインインしているユーザーがいなくても、すべてのグループのメンバーシップおよび基本的なグループのプロパティを読み取れるようにします。 はい
GroupMember.ReadWrite.All グループ メンバーシップを読み取り、書き込みます。 サインインしているユーザーがいなくても、グループのリスト、基本的なプロパティの読み取り、およびこのアプリのグループのメンバーシップの読み取りと更新をアプリに許可します。 グループのプロパティと所有者を更新したり、グループを削除したりすることはできません。 はい
Group.Create グループを作成する サインインしているユーザーがいなくても通話アプリがグループを作成できるようにします。 グループの読み取り、更新、または削除を許可しません。 はい

注釈

グループ機能は、個人用 Microsoft アカウントではサポートされません。

Microsoft 365 グループの場合は、グループのアクセス許可により、グループのコンテンツ (会話、ファイル、メモなど) へのアクセスがアプリに許可されます。

アプリケーションのアクセス許可については、サポートされる API についていくつかの制限があります。詳細については、「既知の問題」を参照してください。

場合によっては、アプリは一部のグループ プロパティ (membermemberOf など) の読み取りに ディレクトリのアクセス許可を必要とすることがあります。たとえば、グループにメンバーとして 1 つ以上の servicePrincipals が含まれている場合、アプリは Directory.* アクセス許可のいずれかによって付与されるサービス プリンシパルを読み取るための有効なアクセス許可が必要になります。このアクセス許可がない場合、Microsoft Graph はエラーを返します (委任されたアクセス許可の場合、サインインしているユーザーも、サービス プリンシパルを読み取るために、組織内の十分な権限が必要です)。同様のガイダンスは、administrativeUnits を返す memberOf プロパティにも当てはまります。

Microsoft 365 グループの preferredDataLocation 属性を設定するには、アプリに Directory.ReadWrite.All アクセス許可が必要です。 複数地域環境のユーザーが Microsoft 365 グループを作成すると、グループの preferredDataLocation の値は自動的にそのユーザーの場所に設定されます。 グループの優先データの場所の詳細については、「特定のPDL を使用して Microsoft 365 グループを作成」 を参照してください。

グループのアクセス許可は、Microsoft Teams のリソースと API へのアクセスを制御するために使用されます。個人用 Microsoft アカウントは、サポートされていません。

また、グループのアクセス許可は、Microsoft Planner のリソースと API へのアクセスを制御するためにも使用されます。Microsoft Planner API では委任されたアクセス許可のみがサポートされます。アプリケーション アクセス許可はサポートされません。個人用 Microsoft アカウントはサポートされません。

使用例

委任

  • Group.Read.All: サインインしているユーザーが (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')) のメンバーになっているすべての Microsoft 365 グループを読み取ります。
  • Group.Read.All: すべての Microsoft 365 グループ コンテンツ (会話など) を読み取ります (GET /groups/{id}/conversations)。
  • Group.ReadWrite.All: グループ プロパティ (photo など) を更新します (PUT /groups/{id}/photo/$value)。
  • GroupMember.ReadWrite.All:: グループ メンバーを更新します (POST /groups/{id}/members/$ref)。

注: これには、メンバーとして追加するユーザーを読み取るための User.ReadBasic.All も必要になります。

アプリケーション

  • Group.Read.All:名前が 'Sales' で始まるグループをすべて検索します (GET /groups?$filter=startswith(displayName,'Sales'))。
  • Group.ReadWrite.All: デーモン サービスにより、Microsoft 365 グループの予定表に新しいイベントを作成します (POST /groups/{id}/events)。
  • Group.Create: 新しいグループを作成します (POST /groups)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID プロバイダーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityProvider.Read.All ID プロバイダー情報の読み取り Azure AD または Azure AD B2C テナントで構成された ID プロバイダーを、サインインしているユーザーの代わりにアプリが読み取れるようにします。 はい いいえ
IdentityProvider.ReadWrite.All ID プロバイダー情報の読み取りと書き込み Azure AD または Azure AD B2C テナントで構成された ID プロバイダーを、サインインしているユーザーの代わりにアプリが読み取りおよび書き込みできるようにします。 はい いいえ

解説

IdentityProvider.Read.AllIdentityProvider.ReadWrite.All は、職場または学校アカウントに対してのみ有効です。 アプリが委任されたアクセス許可で ID プロバイダーを読み取りおよび書き込みするには、サインインしているユーザーにグローバル管理者ロールを割り当てる必要があります。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任

次に示す使用法は、委任されたアクセス許可に対して有効です。

  • IdentityProvider.Read.All:テナントで構成されたすべての ID プロバイダーを読み取ります (GET /beta/identityProviders)
  • IdentityProvider.Read.All:既存の ID プロバイダーを読み取ります (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: ID プロバイダーを作成します (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All: 既存の ID プロバイダーを更新します (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: 既存の ID プロバイダーを削除します (DELETE /beta/identityProviders/{id})

複数のアクセス許可を伴うより複雑なシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID リスク イベントのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityRiskEvent.Read.All ID リスク イベント情報の読み取り アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID リスク イベント情報を読み取れるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
IdentityRiskEvent.Read.All ID リスク イベント情報の読み取り サインインしているユーザーなしで、組織内のすべてのユーザーの ID リスク イベント情報をアプリで読み取れるようにします。 必要

注釈

IdentityRiskEvent.Read.All は、職場または学校アカウントでのみ有効です。委任されたアクセス許可があるアプリの場合、ID リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任およびアプリケーション

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

  • テナント内のすべてのユーザーに対して生成されたすべてのリスク イベントを読み取ります (GET /beta/identityRiskEvents)
  • Dorknet ボンネットで生成されたマルウェア リスク イベントを読み取ります (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • 最新の 50 件のリスク イベントを読み取ります (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID のリスクが高いユーザーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityRiskyUser.Read.All ID ユーザー リスク情報の読み取り アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID ユーザー リスク情報を読み取ることができるようにします。 はい いいえ
IdentityRiskyUser.ReadWrite.All ID ユーザー リスク情報の読み取りと更新 アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID ユーザー リスク情報の読み取りおよび更新ができるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
IdentityRiskyUser.Read.All ID ユーザー リスク情報の読み取り アプリで、サインインしているユーザーがいなくても、組織内のすべてのユーザーの ID リスク イベント情報を読み取れるようにします。 はい
IdentityRiskyUser.ReadWrite.All ID ユーザー リスク情報の読み取りと更新 アプリで、サインインしているユーザーがいなくても、組織内のすべてのユーザーの ID リスク イベント情報の読み取りおよび更新ができるようにします。 はい

解説

IdentityRiskyUser.Read.All および IdentityRiskyUser.ReadWrite.ALL は、職場または学校アカウントでのみ有効です。 委任されたアクセス許可があるアプリの場合、ID ユーザー リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任およびアプリケーション

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

  • テナント内のリスクが高いユーザーとプロパティをすべて読み取ります (GET /beta/riskyUsers)
  • 集計リスク レベルが中のリスクが高いユーザーをすべて読み取ります (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • 特定のユーザーのリスク情報を読み取ります (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID ユーザー フローのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityUserFlow.Read.All テナントのすべての ID ユーザー フローの読み取り アプリで、組織のユーザー フローの読み取りを実行できるようにします。 はい いいえ
IdentityUserFlow.ReadWrite.All テナントのすべての ID ユーザー フローの読み取りと書き込み。 アプリで、組織のユーザー フローを読み取りまたは書き込みできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityUserFlow.Read.All テナントのすべての ID ユーザー フローの読み取り アプリで、組織のユーザー フローの読み取りを実行できるようにします。 はい いいえ
IdentityUserFlow.ReadWrite.All テナントのすべての ID ユーザー フローの読み取りと書き込み。 アプリで、組織のユーザー フローを読み取りまたは書き込みできるようにします。 はい いいえ

解説

IdentityUserFlow.Read.AllIdentityUserFlow.ReadWrite.ALL は、職場または学校アカウントでのみ有効です。

ユーザー フローを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが "全体管理者"、"外部 ID ユーザー フロー管理者"、または "グローバル閲覧者" のいずれかの管理者ロールのメンバーになっている必要があります。 ユーザー フローを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが "全体管理者"、または "外部 ID ユーザー フロー管理者" のいずれかの管理者ロールのメンバーになっている必要があります。

管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任およびアプリケーション

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

  • IdentityUserFlow.Read.All: Azure AD B2C テナントのすべてのユーザー フローの読み取り (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: Azure Active Directory (Azure AD) テナントのすべてのユーザー フローの読み取り (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All: Azure AD B2C ユーザー フローのすべてのユーザー属性の割り当ての読み取り (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
  • IdentityUserFlow.ReadWrite.All: Azure AD B2C テナントの新しいユーザー フローの作成 (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: Azure Active Directory (Azure AD) テナントの新しいユーザー フローの作成 (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: Azure AD B2C ユーザー フローへの ID プロバイダーの追加 (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentitytUserFlow.ReadWrite.All: Azure AD B2C ユーザー フローからの ID プロバイダーの削除 (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: Azure AD B2C ユーザー フローのユーザー属性の割り当ての作成 ( POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments )

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


情報保護ポリシーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
InformationProtectionPolicy.Read ユーザーの機密ラベルとラベル ポリシーの読み取り サインインしているユーザーの代わりに、アプリで情報保護の機密ラベルとラベル ポリシー設定の読み取りを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
InformationProtectionPolicy.Read.All 組織のすべての発行済みラベルとラベル ポリシーの読み取り ユーザーがサインインしていない状態で、組織全体または特定ユーザーの発行済み機密ラベルとラベル ポリシー設定の読み取りをアプリに許可します。 はい

Intune デバイス管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
DeviceManagementApps.Read.All Microsoft Intune アプリの読み取り アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み取れるようにします。 はい いいえ
DeviceManagementApps.ReadWrite.All Microsoft Intune アプリの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み書きできるようにします。 はい いいえ
DeviceManagementConfiguration.Read.All Microsoft Intune のデバイスの構成とポリシーの読み取り アプリで、Microsoft Intune で管理されるデバイス構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み取れるようにします。 はい いいえ
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune のデバイスの構成とポリシーの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスの構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み書きできるようにします。 はい いいえ
DeviceManagementManagedDevices.PrivilegedOperations.All Microsoft Intune デバイスでユーザーに影響を与えるリモート操作を実行する アプリで、デバイスのワイプや Microsoft Intune で管理されるデバイスのパスコードのリセットなど、影響の大きいリモート操作を実行できるようにします。 はい いいえ
DeviceManagementManagedDevices.Read.All Microsoft Intune デバイスの読み取り アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune デバイスの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み書きできるようにします。リモート ワイプやデバイスの所有者のパスワードのリセットなど、影響の大きい操作は許可されません。 はい いいえ
DeviceManagementRBAC.Read.All Microsoft Intune RBAC の設定の読み取り アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み取れるようにします。 はい いいえ
DeviceManagementRBAC.ReadWrite.All Microsoft Intune RBAC の設定の読み取りおよび書き込み アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み書きできるようにします。 はい いいえ
DeviceManagementServiceConfig.Read.All Microsoft Intune 構成の読み取り アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Intune サービスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune 構成の読み取りおよび書き込み アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Microsoft Intune サービスのプロパティを読み書きできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
DeviceManagementApps.Read.All Microsoft Intune アプリの読み取り アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み取れるようにします。 はい いいえ
DeviceManagementApps.ReadWrite.All Microsoft Intune アプリの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み書きできるようにします。 はい いいえ
DeviceManagementConfiguration.Read.All Microsoft Intune のデバイスの構成とポリシーの読み取り アプリで、Microsoft Intune で管理されるデバイス構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み取れるようにします。 はい いいえ
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune のデバイスの構成とポリシーの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスの構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み書きできるようにします。 はい いいえ
DeviceManagementManagedDevices.PrivilegedOperations.All Microsoft Intune デバイスでユーザーに影響を与えるリモート操作を実行する アプリで、デバイスのワイプや Microsoft Intune で管理されるデバイスのパスコードのリセットなど、影響の大きいリモート操作を実行できるようにします。 はい いいえ
DeviceManagementManagedDevices.Read.All Microsoft Intune デバイスの読み取り アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune デバイスの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み書きできるようにします。リモート ワイプやデバイスの所有者のパスワードのリセットなど、影響の大きい操作は許可されません。 はい いいえ
DeviceManagementRBAC.Read.All Microsoft Intune RBAC の設定の読み取り アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み取れるようにします。 はい いいえ
DeviceManagementRBAC.ReadWrite.All Microsoft Intune RBAC の設定の読み取りおよび書き込み アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み書きできるようにします。 はい いいえ
DeviceManagementServiceConfig.Read.All Microsoft Intune 構成の読み取り アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Intune サービスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune 構成の読み取りおよび書き込み アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Microsoft Intune サービスのプロパティを読み書きできるようにします。 はい いいえ

注釈

注: Intune のコントロールおよびポリシーの構成に Microsoft Graph API を使用するには、これまでどおりに顧客が Intune サービスの 適切なライセンスを持っている必要があります。

これらのアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • DeviceManagementServiceConfiguration.Read.All:Intune サブスクリプションの現在の状態を確認します (GET /deviceManagement/subscriptionState)。
  • DeviceManagementServiceConfiguration.ReadWrite.All:新しい条項および条件を作成します (POST /deviceManagement/termsAndConditions)。
  • DeviceManagementConfiguration.Read.All:デバイス構成の状態を検索します (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。
  • DeviceManagementConfiguration.ReadWrite.All:デバイス コンプライアンス ポリシーをグループに割り当てます (POST deviceCompliancePolicies/{id}/assign)。
  • DeviceManagementApps.Read.All:Intune に公開したすべての Windows ストア アプリを検索します (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。
  • DeviceManagementApps.ReadWrite.All:新しいアプリケーションを公開します (POST /deviceAppManagement/mobileApps)。
  • DeviceManagementRBAC.Read.All:ロールの割り当てを名前で検索します (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。
  • DeviceManagementRBAC.ReadWrite.All:新しいカスタム ロールを作成します (POST /deviceManagement/roleDefinitions)。
  • DeviceManagementManagedDevices.Read.All:管理対象デバイスを名前で検索します (GET /managedDevices/?$filter=deviceName eq 'My Device')。
  • DeviceManagementManagedDevices.ReadWrite.All:管理対象デバイスを削除します (DELETE /managedDevices/{id})。
  • DeviceManagementManagedDevices.PrivilegedOperations.All:ユーザーの管理対象デバイスのパスコードをリセットします (POST /managedDevices/{id}/resetPasscode)。

アプリケーション

  • DeviceManagementServiceConfiguration.Read.All:Intune サブスクリプションの現在の状態を確認します (GET /deviceManagement/subscriptionState)。
  • DeviceManagementServiceConfiguration.ReadWrite.All:新しい条項および条件を作成します (POST /deviceManagement/termsAndConditions)。
  • DeviceManagementConfiguration.Read.All:デバイス構成の状態を検索します (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。
  • DeviceManagementConfiguration.ReadWrite.All:デバイス コンプライアンス ポリシーをグループに割り当てます (POST deviceCompliancePolicies/{id}/assign)。
  • DeviceManagementApps.Read.All:Intune に公開したすべての Windows ストア アプリを検索します (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。
  • DeviceManagementApps.ReadWrite.All:新しいアプリケーションを公開します (POST /deviceAppManagement/mobileApps)。
  • DeviceManagementRBAC.Read.All:ロールの割り当てを名前で検索します (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。
  • DeviceManagementRBAC.ReadWrite.All:新しいカスタム ロールを作成します (POST /deviceManagement/roleDefinitions)。
  • DeviceManagementManagedDevices.Read.All:管理対象デバイスを名前で検索します (GET /managedDevices/?$filter=deviceName eq 'My Device')。
  • DeviceManagementManagedDevices.ReadWrite.All:管理対象デバイスを削除します (DELETE /managedDevices/{id})。
  • DeviceManagementManagedDevices.PrivilegedOperations.All:ユーザーの管理対象デバイスのパスコードをリセットします (POST /managedDevices/{id}/resetPasscode)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


メールのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Mail.Read ユーザー メールの読み取り アプリで、ユーザー メールボックス内のメールを読み取ることができるようにします。 いいえ はい
Mail.ReadBasic 基本的なメールを読む アプリに、本文BodyPreviewUniqueBody添付ファイル拡張子、および拡張プロパティを除く、サインインしているユーザーのメールボックスを読み取ることを許可します。 メッセージを検索するアクセス許可は含まれていません。 いいえ いいえ
Mail.ReadWrite ユーザーのメールの読み取りおよび書き込みアクセス許可 アプリで、ユーザー メールボックス内のメールの作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。 いいえ はい
Mail.Read.Shared ユーザーのメールと共有のメールの読み取り アプリで、ユーザー自身のメールと共有のメールを含む、ユーザーがアクセス許可を得ているメールを読み取れるようにします。 いいえ いいえ
Mail.ReadWrite.Shared ユーザーのメールと共有のメールの読み取りと書き込み アプリで、ユーザー自身のメールと共有のメールを含むユーザーがアクセス許可を得ているメールの作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。 いいえ いいえ
Mail.Send ユーザーからのメールとして送信 アプリで、組織内のユーザーとしてメールを送信できるようにします。 いいえ はい
Mail.Send.Shared 他のユーザーに代わってメールを送信 アプリで、他のユーザーの代理としての送信を含め、サインインしているユーザーとしてメールを送信できるようにします。 いいえ いいえ
MailboxSettings.Read ユーザーのメールボックス設定の読み取り ユーザーのメールボックス設定をアプリで読み取れるようにします。メールを送信するためのアクセス許可は含まれません。 いいえ はい
MailboxSettings.ReadWrite ユーザーのメールボックス設定の読み取りと書き込み アプリで、ユーザーのメールボックス設定を作成、読み取り、更新、削除できるようにします。 メールを直接送信するためのアクセス許可は含まれていませんが、アプリでメッセージの転送やリダイレクトのルールを作成できるようになります。 いいえ はい
IMAP.AccessAsUser.All IMAP を介したユーザーのメールの読み取りおよび書き込みアクセス許可 アプリで、ユーザー メールボックス内のメールの読み取り、更新、作成、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。 いいえ はい
POP.AccessAsUser.All POP を介したユーザーのメールの読み取りおよび書き込みアクセス許可 アプリで、ユーザー メールボックス内のメールの読み取り、更新、作成、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。 いいえ はい
SMTP.Send SMTP 認証を使用して、ユーザーとしてメールを送信する アプリで、組織内のユーザーとしてメールを送信できるようにします。 いいえ はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Mail.Read すべてのメールボックスにあるメールの読み取り サインインしているユーザーなしで、すべてのメールボックス内のメールをアプリで読み取れるようにします。 はい
Mail.ReadBasic.All すべてのユーザーの基本メールを読む アプリに、本文、BodyPreview、UniqueBody、添付ファイル、ExtendedProperties、拡張子を除く、すべてのユーザーのメールボックスを読み取ることを許可します。 メッセージを検索するアクセス許可は含まれていません。 はい
Mail.ReadWrite すべてのメールボックスにあるメールの読み取りと書き込み サインインしているユーザーなしで、アプリですべてのメールボックス内のメールの作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。 必要
Mail.Send 任意のユーザーからのメールを送信 サインインしているユーザーなしで、任意のユーザーとしてアプリでメールを送信できるようにします。 必要
MailboxSettings.Read すべてのユーザーのメールボックス設定の読み取り サインインしているユーザーなしで、ユーザーのメールボックス設定をアプリで読み取れるようにします。メールを送信するためのアクセス許可は含まれません。 いいえ
MailboxSettings.ReadWrite ユーザーのすべてのメールボックス設定の読み取りと書き込み サインインしているユーザーなしで、アプリでユーザーのメールボックス設定の作成、読み取り、更新、削除を行えるようにします。メールを送信するためのアクセス許可は含まれません。 はい

重要 アプリケーションに Mail.Read、Mail.ReadWrite、Mail.Send、MailboxSettings.Read、または MailboxSettings.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者は アプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく 特定 のメールボックスにアプリケーション アクセスを制限することができます。

注釈

Mail.Read.SharedMail.ReadWrite.Shared、および Mail.Send.Shared は、職場または学校アカウントでのみ有効です。その他すべてのアクセス許可は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。

アクセス許可の Mail.Send または Mail.Send.Shared があるアプリは、対応するアクセス許可の Mail.ReadWrite または Mail.ReadWrite.Shared を使用しない場合でも、メールの送信とユーザーの [送信済みアイテム] フォルダーへのコピーが可能になります。

使用例

委任

  • Mail.Read:ユーザーの受信トレイ内のメッセージを receivedDateTime で並べ替えてリストします (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC)。
  • Mail.Read.Shared: サインインしているユーザーと受信トレイを共有しているユーザーのメールボックス内にある添付ファイル付きのメッセージをすべて検索します (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true)。
  • Mail.ReadWrite:メッセージに既読のマークを付けます (PATCH /me/messages/{id})。
  • Mail.Send: メッセージを送信します (POST /me/sendmail)。
  • MailboxSettings.ReadWrite:ユーザーの自動応答を更新します (PATCH /me/mailboxSettings)。

アプリケーション

  • Mail.Read:bob@contoso.com からメッセージを検索します (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com')。
  • Mail.ReadWrite:Expense Reports という名前の受信トレイに新しいフォルダーを作成します (POST /users/{id | userPrincipalName}/mailfolders)。
  • Mail.Send: メッセージを送信します (POST /users/{id | userPrincipalName}/sendmail)。
  • MailboxSettings.Read: ユーザーのメールボックスの既定のタイムゾーンを取得します (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


メンバーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Member.Read.Hidden 非表示のメンバーシップの読み取り サインインしているユーザーのために、非表示のグループおよび管理単位のメンバーシップをアプリケーションが読み取ることを許可します。サインインしているユーザーがアクセス権を持つ非表示のグループおよび管理単位が対象です。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Member.Read.Hidden すべての非表示のメンバーシップの読み取り サインインしているユーザーなしで、非表示のグループのメンバーシップと管理単位をアプリで読み取れるようにします。 必要

注釈

Member.Read.Hidden は、職場または学校のアカウントでのみ有効です。

一部の Microsoft 365 グループのメンバーシップは非表示にできます。これは、そのメンバーを表示できるのは、そのグループのメンバーのみになるということです。この機能は、部外者にはグループのメンバーシップを隠すことを要求する組織の規制に従う際に役立ちます (たとえば、クラスに登録した学生を表す Microsoft 365 グループなど)。

使用例

委任

  • Member.Read.Hidden:サインインしているユーザーのために、メンバーシップが非表示になっている管理単位のメンバーを読み取ります (GET /administrativeUnits/{id}/members)。
  • Member.Read.Hidden:サインインしているユーザーのために、メンバーシップが非表示になっているグループのメンバーを読み取ります (GET /groups/{id}/members)。

アプリケーション

  • Member.Read.Hidden:メンバーシップが非表示になっている管理単位のメンバーを読み取ります (GET /administrativeUnits/{id}/members)。
  • Member.Read.Hidden:メンバーシップが非表示になっているグループのメンバーを読み取ります (GET /groups/{id}/members)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

メモのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Notes.Read ユーザーの OneNote ノートブックの読み取り サインインしているユーザーの代わりに、アプリで OneNote ノートブックとセクションのタイトルの読み取りと、新しいページ、ノートブック、セクションの作成を実行できるようにします。 いいえ はい
Notes.Create ユーザーの OneNote ノートブックの作成 サインインしているユーザーの代わりに、アプリで OneNote ノートブックとセクションのタイトルの読み取りと、新しいページ、ノートブック、セクションの作成を実行できるようにします。 いいえ はい
Notes.ReadWrite ユーザーの OneNote ノートブックの読み取りと書き込み サインインしているユーザーの代わりに、アプリで OneNote ノートブックの読み取り、共有、および変更を実行できるようにします。 いいえ はい
Notes.Read.All ユーザーがアクセスできるすべての OneNote ノートブックの読み取り サインインしているユーザーがアクセスできる組織内の OneNote ノートブックをアプリで読み取れるようにします。 いいえ いいえ
Notes.ReadWrite.All ユーザーがアクセスできるすべての OneNote ノートブックの読み取りと書き込み サインインしているユーザーがアクセスできる組織内の OneNote ノートブックの読み取り、共有、および変更をアプリで実行できるようにします。 いいえ いいえ
Notes.ReadWrite.CreatedByApp ノートブックへの限定的なアクセス (非推奨) 非推奨
使用しないでください。このアクセス許可によって付与される特権はありません。
いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Notes.Read.All すべての OneNote ノートブックの読み取り サインインしているユーザーなしで、組織内のすべての OneNote ノートブックをアプリで読み取れるようにします。 はい
Notes.ReadWrite.All すべての OneNote ノートブックの読み取りと書き込み サインインしているユーザーなしで、組織内のすべての OneNote ノートブックをアプリで読み取り、共有、および変更できるようにします。 必要

注釈

Notes.Read.All および Notes.ReadWrite.All は、職場または学校アカウントでのみ有効です。その他すべてのアクセス許可は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。

Notes.Create のアクセス許可があるアプリは、サインインしているユーザーの OneNote ノートブック階層の表示と、OneNote コンテンツ (ノートブック、セクション グループ、セクション、ページなど) の作成を実行できます。

また、Notes.ReadWrite および Notes.ReadWrite.All によって、アプリはサインインしているユーザーがアクセス可能な OneNote コンテンツのアクセス許可を変更することもできるようになります。

職場または学校アカウントの場合、Notes.Read.All および Notes.ReadWrite.All により、アプリは、サインインしているユーザーが組織内でアクセス許可を持つ別のユーザーの OneNote コンテンツにアクセスできるようになります。

使用例

委任

  • Notes.Create:サインインしているユーザー用に新しいノートブックを作成します (POST /me/onenote/notebooks)。
  • Notes.Read:サインインしているユーザーのノートブックを読み取ります (GET /me/onenote/notebooks)。
  • Notes.Read.All:サインインしているユーザーが組織内でアクセス可能なすべてのノートブックを取得します (GET /me/onenote/notebooks?includesharednotebooks=true)。
  • Notes.ReadWrite:サインインしているユーザーのページを更新します (PATCH /me/onenote/pages/{id}/$value)。
  • Notes.ReadWrite.All:サインインしているユーザーが組織内でアクセス可能な別のユーザーのノートブックにページを作成します (POST /users/{id}/onenote/pages)。

アプリケーション

  • Notes.Read.All:グループ内のすべてのユーザーのノートブックを読み取ります (GET /groups/{id}/onenote/notebooks)。
  • Notes.ReadWrite.All:組織内の任意のユーザーのノートブックのページを更新します (PATCH /users/{id}/onenote/pages/{id}/$value)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

通知のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Notifications.ReadWrite.CreatedByApp このアプリの通知を配信および管理します。 アプリで、サインインしているユーザーの代わりに、通知を配信することができるようにします。 また、アプリで、このアプリのユーザーの通知項目の読み取り、更新、削除が行えるようにします。 いいえ

解説

Notifications.ReadWrite.CreatedByApp は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。 このアクセス許可に関連付けられている CreatedByApp 制約は、このサービスが呼び出し元アプリの ID (Microsoft アカウント アプリ ID またはクロスプラットフォーム アプリケーション ID 用に構成されたアプリ ID のセットのいずれか) に基づいて結果に暗黙的なフィルター処理を適用することを示しています。

使用例

Delegated

  • Notifications.ReadWrite.CreatedByApp: ユーザー指向の通知を発行します。この通知は、異なるエンドポイントで実行されているユーザーの複数のアプリケーション クライアントに配信することができます (POST /me/notifications/)。

オンライン会議のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OnlineMeetings.Read オンライン会議を読み取ります。 アプリにサインインしたユーザーの代理としてオンライン会議の詳細を読み取ることを許可します。 いいえ いいえ
OnlineMeetings.ReadWrite オンライン会議の読み取りおよび作成を行います。 アプリにサインインしたユーザーの代理としてオンライン会議の作成、および読み取りを行うことを許可します。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
OnlineMeetings.Read.All アプリからオンライン会議の詳細を読み取る アプリで、サインインしているユーザーがいなくても、組織内のオンライン会議の詳細を読み取ることができるようにします。 はい
OnlineMeetings.ReadWrite.All アプリからオンライン会議の詳細を読み取る サインインしているユーザーなしで、オンライン会議の作成、および読み取りを行うことをアプリで許可します。 はい

重要 管理者は アプリケーションアクセスポリシー を構成して、ユーザーに代わってアプリがオンライン会議にアクセスできるようにすることができます。

使用例

委任

  • OnlineMeetings.Read: オンライン会議 のプロパティとリレーションシップを取得します (GET /beta/communications/onlinemeetings/{default id})。
  • OnlineMeetings.ReadWrite: オンライン会議 を作成します (POST /beta/communications/onlinemeetings)。

アプリケーション

  • OnlineMeetings.Read.All
    • オンライン会議 (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}')のプロパティと関係を取得します。
    • ユーザーの代理としてオンライン会議 を取得する(`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • ユーザーの代理としてオンライン会議 を作成する(`投稿する /beta/users/{userId}/onlineMeetings/)
    • ユーザーの代理で オンライン会議の をパッチする (' パッチ/beta/ユーザー/{userId}/onlineMeetings/{id})
    • ユーザーの代理として オンライン会議 を削除する(`削除する /beta/users/{userId}/onlineMeetings/{id})

: オンライン会議を作成すると、ユーザーの代理として会議が作成されますが、ユーザーの予定表には表示されません。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


オンプレミスの発行プロファイルのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OnPremisesPublishingProfiles.ReadWrite.All オンプレミスの発行プロファイルにアクセスする サインインしたユーザーの代理としてオンプレミスの発行済みリソース、オンプレミスのエージェントおよびエージェント グループを作成、表示、更新、削除することで、アプリがハイブリッド ID サービスの構成を管理できるようにします。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OnPremisesPublishingProfiles.ReadWrite.All オンプレミスの発行プロファイルにアクセスする サインインしたユーザーの代理としてオンプレミスの発行済みリソース、オンプレミスのエージェントおよびエージェント グループを作成、表示、更新、削除することで、アプリがハイブリッド ID サービスの構成を管理できるようにします。 いいえ いいえ

OpenID のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
email ユーザーのメール アドレスの表示 ユーザーのプライマリ電子メール アドレスをアプリで読み取れるようにします。 いいえ いいえ
offline_access ユーザーのデータへの常時アクセス 現在アプリを使用していない場合も、アプリでユーザー データの読み取りと更新ができるようにします。 いいえ いいえ
openid ユーザーのサインイン ユーザーが職場または学校アカウントでアプリにサインインできるようにします。またアプリで、ユーザーの基本的なプロファイル情報を読み取れるようにします。 いいえ いいえ
profile ユーザーの基本プロファイルの表示 ユーザーの基本プロファイル (名前、写真、ユーザー名) をアプリで確認できるようにします。 いいえ いいえ

アプリケーションのアクセス許可

なし。

注釈

これらのアクセス許可を使用すると、Azure AD の承認とトークン要求で返される成果物を指定できます。これらは Azure AD v1.0 エンドポイントと v2.0 エンドポイントでは異なる方法でサポートされます。

Azure AD (v1.0) エンドポイントでは、openid アクセス許可のみが使用されます。これを承認要求で scope パラメーターに指定して、ユーザーがアプリにサインインするときに OpenID Connect プロトコルを使用する場合に ID トークンが返されるようにします。詳細については、「OpenID Connect と Azure Active Directory を使用する Web アプリケーションへのアクセスの承認」を参照してください。ID トークンが正常に返されるようにするには、アプリを登録するときに User.Read アクセス許可も必ず構成します。

Azure AD v2.0 エンドポイントでは、scope パラメーターで offline_access アクセス許可を指定して、OAuth 2.0 または OpenID Connect プロトコルを使用するときに明示的に更新トークンを要求します。OpenID Connect では、openid アクセス許可を指定して ID トークンを要求します。email アクセス許可、profile アクセス許可、あるいはその両方で ID トークンに追加の要求が返されるように指定できます。v2.0 エンドポイントでは、ID トークンを返すよう User.Read を指定する必要はありません。詳細については、「OpenID Connect のスコープ」を参照してください。

重要 Microsoft Authentication Library (MSAL) では現在、承認要求およびトークン要求に既定で offline_accessopenidprofileemail が指定されています。つまり、既定では、これらのアクセス許可を明示的に指定すると、Azure AD ではエラーが返される場合があります。


組織のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Organization.Read.All 会社情報の読み取り サインインしたユーザーの代理として、アプリで組織および関連するリソースの読み取りを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい いいえ
Organization.ReadWrite.All 組織情報の読み取りと書き込み サインインしたユーザーの代理として、アプリで組織および関連するリソースの読み取りと書き込みを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Organization.Read.All 会社情報の読み取り サインインしたユーザーがいない場合でも、アプリで組織および関連するリソースの読み取りを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい
Organization.ReadWrite.All 組織情報の読み取りと書き込み サインインしたユーザーがいない場合でも、アプリで組織および関連するリソースの読み取りと書き込みを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい

使用例

委任

  • Organization.Read.All: 組織情報を取得 (GET /organization)。
  • Organization.Read.All: 組織が購読した SKU を取得 (GET /subscribedSkus)。

アプリケーション

  • Organization.ReadWrite.All: 組織情報を更新 (technicalNotificationMails など) (PATCH /organization/{id})。

組織の連絡先のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OrgContact.Read.All 組織の連絡先の読み取り サインインしているユーザーの代わりに、アプリですべての組織の連絡先を読み取れるようにします。 これらは組織によって管理されている連絡先であり、ユーザー個人の連絡先とは異なります。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
OrgContact.Read.All 組織の連絡先の読み取り ユーザーのサインインなしで、アプリですべての組織の連絡先を読み取れるようにします。 これらは組織によって管理されている連絡先であり、ユーザー個人の連絡先とは異なります。 はい

使用例

委任

  • OrgContact.Read.All: すべての組織の連絡先を取得 (GET /contacts)。

People のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
People.Read ユーザーに関係する連絡先リストの読み取り アプリで、サインインしているユーザーに関連する人物のスコアの付いたリストを読み取れるようにします。リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。 いいえ はい
People.Read.All すべてのユーザーに関係する連絡先リストの読み取り サインインしたユーザー、またはサインインしているユーザーの組織内の他のユーザーに関連する、ユーザーのスコアの付いたリストを、アプリで読み取れるようにします。リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。また、サインインしているユーザーの組織のディレクトリ全体を、アプリで検索することもできます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
People.Read.All すべてのユーザーに関係する連絡先リストの読み取り サインインしたユーザー、またはサインインしているユーザーの組織内の他のユーザーに関連する、ユーザーのスコアの付いたリストを、アプリで読み取れるようにします。

リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。また、サインインしているユーザーの組織のディレクトリ全体を、アプリで検索することもできます。
必要

注釈

People.Read.All アクセス許可は会社用および学校用のアカウントにのみ有効です。

使用例

委任

  • People.Read:関連する人物のリストを読み取ります (GET /me/people)
  • People.Read.All:同じ組織内の他のユーザーに関連する人物のリストを読み取ります (GET /users('{id})/people)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


特権アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
PrivilegedAccess.ReadWrite.AzureAD ディレクトリの Privileged Identity Management データの読み取りと書き込み Azure AD の Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 はい いいえ
PrivilegedAccess.ReadWrite.AzureADGroup 特権アクセス グループの Privileged Identity Management データの読み取りと書き込み グループの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 はい いいえ
PrivilegedAccess.ReadWrite.AzureResources Azure リソースの Privileged Identity Management データの読み取りと書き込み Azure リソースの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
PrivilegedAccess.Read.AzureAD ディレクトリの Privileged Identity Management データの読み取り Azure AD の Privileged Identity Management API に対する読み取りアクセス権をアプリに付与できます。 必要
PrivilegedAccess.Read.AzureADGroup 特権アクセス グループの Privileged Identity Management データの読み取り Azure AD の Privileged Identity Management API に対する読み取りアクセス権をアプリに付与できます。 必要
PrivilegedAccess.Read.AzureResources Azure リソースの Privileged Identity Management データの読み取り Azure AD リソースの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 必要

場所のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Place.Read.All 会社全体の場所を読み取る アプリでテナント用に Exchange Online でセットアップされた会社内の場所 (会議室や会議室一覧) の読み取りを実行できるようにします。 はい いいえ
Place.ReadWrite.All すべての会社の場所の読み取りと書き込み アプリでテナント用に Exchange Online でセットアップされた会社内の場所 (会議室や会議室一覧) の読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Place.Read.All 会社全体の場所を読み取る アプリでカレンダー イベントやその他のアプリケーション用に会社内の場所 (会議室や会議室一覧) の読み取りを実行できるようにします。 はい

ポリシー許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Policy.Read.All 組織のポリシーの読み取り サインインしているユーザーの代わりに、アプリで組織のポリシーを読み取れるようにします。 はい いいえ
Policy.Read.PermissionGrant 同意とアクセス許可付与ポリシーの読み取り サインインしているユーザーに代わり、アプリケーションが、同意とアクセス許可付与ポリシーを読み取れるようにします。 はい いいえ
Policy.ReadWrite.AccessReview 組織のアクセス レビュー ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織のアクセス レビュー ポリシーの読み取りと書き込みを実行できるようにします。 はい いいえ
Policy.ReadWrite.ApplicationConfiguration 組織のアプリケーション構成ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織のアプリケーション構成ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.AuthenticationFlows 組織の認証フロー ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで認証フロー ポリシーの読み取りと書き込みを実行できるようにします。 はい いいえ
Policy.ReadWrite.Authorization 組織の承認ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の承認ポリシーの読み取りと書き込みを実行できるようにします。 たとえば、承認ポリシーでは既定のユーザー ロールに既定で割り当てられるアクセス許可の一部を制御できます。 必要 いいえ
Policy.ReadWrite.ConditionalAccess 組織の条件付きアクセス ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の条件付きアクセス ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.ConsentRequest 組織の同意要求ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の同意要求ポリシーの読み取りと書き込みを実行できるようにします。 はい いいえ
Policy.ReadWrite.FeatureRollout 組織の機能ロールアウト ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の機能ロールアウト ポリシーの読み取りと書き込みを行えるようにします。 特定の機能のロールアウトにユーザーとグループを割り当てたり、除去したりできます。 はい いいえ
Policy.ReadWrite.PermissionGrant 同意とアクセス許可付与ポリシーの管理 サインインしているユーザーに代わり、アプリケーションが、同意とアクセス許可付与ポリシーを管理できるようにします。 はい いいえ
Policy.ReadWrite.TrustFramework 組織の信頼フレームワーク ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の信頼フレームワーク ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.AuthenticationMethod 組織の認証方法ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリが認証方法ポリシーの読み取りと書き込みを実行できるようにします。 必要 いいえ
Policy.ReadWrite.MobilityManagement 組織のモビリティ管理ポリシーの読み取りと書き込みを行います。 サインインしているユーザーの代わりに、アプリにモビリティ管理ポリシーの読み取りおよび書き取りを許可します。 これらは、モバイル デバイス管理 (MDM) およびモバイル アプリケーション管理 (MAM) アプリケーションの設定を制御します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Policy.Read.All 組織のポリシーを読み取る サインインしているユーザーなしで、組織のすべてのポリシーをアプリで読み取れるようにします。 はい
Policy.Read.PermissionGrant 同意とアクセス許可付与ポリシーの読み取り ユーザーがサインインしていない状態で、アプリケーションが、同意とアクセス許可付与ポリシーを読み取れるようにします。 はい
Policy.Read.ApplicationConfiguration 組織のアプリケーション構成ポリシーの読み取り サインインしているユーザーなしに、アプリですべての組織のアプリケーション構成ポリシーの読み取りを行えるようにします。 はい
Policy.ReadWrite.AccessReview 組織のアクセス レビュー ポリシーの読み取りと書き込み サインインしたユーザーなしで、組織のアクセス レビュー ポリシーの読み取りと書き込みをアプリに許可します。 はい いいえ
Policy.ReadWrite.ApplicationConfiguration 組織のアプリケーション構成ポリシーの読み取りと書き込み ユーザーがサインインしていない状態で、アプリですべての組織のアプリケーション構成ポリシーの読み取りと書き込みを実行できるようにします。 はい いいえ
Policy.ReadWrite.AuthenticationFlows 組織の認証フロー ポリシーの読み取りと書き込み ユーザーがサインインしていない状態で、アプリで認証フロー ポリシーの読み取りと書き込みを実行できるようにします。 必要
Policy.ReadWrite.Authorization 組織の承認ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の承認ポリシーの読み取りと書き込みを実行できるようにします。 たとえば、承認ポリシーでは既定のユーザー ロールに既定で割り当てられるアクセス許可の一部を制御できます。 必要 いいえ
Policy.ReadWrite.ConsentRequest 組織の同意要求ポリシーの読み取りと書き込み サインインしたユーザーなしで、組織の同意要求ポリシーの読み取りと書き込みをアプリに許可します。 はい いいえ
Policy.ReadWrite.FeatureRollout 機能ロールアウト ポリシーの読み取りと書き込み サインインしているユーザーなしで、機能ロールアウト ポリシーの読み取りと書き込みがアプリでできるようにします。 特定の機能のロールアウトにユーザーとグループを割り当てたり、除去したりできます。 はい
Policy.ReadWrite.PermissionGrant 同意とアクセス許可付与ポリシーの管理 ユーザーがサインインしていない状態で、アプリケーションが、同意とアクセス許可付与ポリシーを管理できるようにします。 はい
Policy.ReadWrite.TrustFramework 組織の信頼フレームワーク ポリシーの読み取りと書き込み サインインしているユーザーなしで、アプリで組織の信頼フレームワーク ポリシーの読み取りと書き込みを行えるようにします。 必要
Policy.ReadWrite.AuthenticationMethod 組織の認証方法ポリシーの読み取りと書き込み ユーザーがサインインしていなくても、アプリが認証方法ポリシーを読み書きできるようにします。 はい

使用例

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

  • Policy.Read.All: 組織のポリシーの読み取り (GET /policies)
  • Policy.Read.All: 組織の信頼フレームワーク ポリシーの読み取り (GET /beta/trustFramework/policies)
  • Policy.Read.All: 組織の機能ロールアウト ポリシーの読み取り (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.ConditionalAccess: 組織のアクセス レビュー ポリシーの読み取りと書き込み (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: 組織のアプリケーション構成ポリシーの読み取りと書き込み (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows: 組織の認証フロー ポリシーを読み取り書き込みます (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.ConditionalAccess: 組織の条件付きアクセス ポリシーの読み取りと書き込み (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.FeatureRollout: 組織の機能ロールアウト ポリシーの読み取りと書き込み (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: 組織の信頼フレームワーク ポリシーの読み取りと書き込み (POST /beta/trustFramework/policies)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


プレゼンスのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Presence.Read ユーザーのプレゼンス情報を読み取る サインインしているユーザーの代わりに、プレゼンス情報の読み取りを実行できるようにします。 プレゼンス情報には、アクティビティ、可用性、ステータス メモ、カレンダーの不在メッセージ、タイムゾーン、場所が含まれます。 いいえ
Presence.Read.All 組織内のすべてのユーザーのプレゼンス情報を読み取る サインインしているユーザーの代わりに、ディレクトリ内のすべてのユーザーのプレゼンス情報の読み取りを実行できるようにします。 プレゼンス情報には、アクティビティ、可用性、ステータス メモ、カレンダーの不在メッセージ、タイムゾーン、場所が含まれます。 いいえ

使用例

  • Presence.Read: サインインしている場合は、自分のプレゼンス情報を取得する (GET /me/presence)
  • Presence.Read.All: 別のユーザーのプレゼンス情報を取得する (GET /users/{id}/presence)
  • Presence.Read.All: 複数のユーザーのプレゼンス情報を取得する (POST /communications/getPresencesByUserId)

プログラムおよびプログラム コントロールのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ProgramControl.Read.All すべてのプログラムを読み取る サインインしているユーザーの代わりに、アプリでプログラムの読み取りを実行できるようにします。 はい いいえ
ProgramControl.ReadWrite.All すべてのプログラムを管理する サインインしているユーザーの代わりに、アプリでプログラムの読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ProgramControl.Read.All すべてのプログラムを読み取る サインインしているユーザーなしで、アプリでプログラムの読み取りを実行できるようにします。 はい
ProgramControl.ReadWrite.All すべてのプログラムを管理する サインインしているユーザーなしで、アプリでプログラムの読み取りと書き込みを実行できるようにします。 はい

注釈

ProgramControl.Read.AllProgramControl.ReadWrite.All は、職場または学校アカウントに対してのみ有効です。

プログラムおよびプログラム コントロールを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、「セキュリティ閲覧者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。 プログラムとプログラム コントロールに書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。


レポートのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Reports.Read.All すべての利用状況レポートの読み取り アプリで、サインインしているユーザーの代理で、すべてのサービス利用状況レポートの読み取りができるようにします。利用状況レポートを提供するサービスには、Microsoft 365 と Azure Active Directory が含まれます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Reports.Read.All すべての利用状況レポートの読み取り アプリで、サインインしているユーザーなしで、すべてのサービス利用状況レポートの読み取りができるようにします。利用状況レポートを提供するサービスには、Microsoft 365 と Azure Active Directory が含まれます。 はい

備考

  • レポートのアクセス許可は、職場または学校アカウントでのみ有効です。
  • アプリがユーザーの代わりにサービス利用状況レポートを読み込むことを許可するための委任されたアクセス許可については、テナント管理者は Azure AD の制限付き管理者ロールをユーザーに割り当てておく必要があります。 詳細については、「Microsoft 365 利用状況レポートを読み込むための API 用の承認」 を参照してください。

使用例

アプリケーション

  • Reports.Read.All:7 日間の期間で電子メール アプリの利用状況詳細レポートを読み取ります (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)。
  • Reports.Read.All:'2017-01-01' の日付で電子メールのアクティビティ詳細レポートを読み取ります (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)。
  • Reports.Read.All: Microsoft 365 ライセンス認証詳細レポートを読み取ります (GET /reports/Office365Activations(view='Detail')/content)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


役割管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
RoleAssignmentSchedule.Read.Directory 会社のディレクトリのアクティブなロールの割り当てをすべて読み取ります。 サインインしたユーザーの代わりに、アプリでディレクトリのアクティブな役割ベースのアクセス制御 (RBAC) 割り当てを読み取れるようにします。これには、ディレクトリ ロール テンプレートとディレクトリ ロールが含まれます。 はい いいえ
RoleEligibilitySchedule.Read.Directory 会社のディレクトリの資格のあるロールの割り当てをすべて読み取ります。 サインインしたユーザーの代わりに、アプリでディレクトリの資格のある役割ベースのアクセス制御 (RBAC) 割り当てを読み取れるようにします。これには、ディレクトリ ロール テンプレートとディレクトリ ロールが含まれます。 はい いいえ
RoleManagement.Read.All すべての RBAC プロバイダーのロール管理データを読み取ります。 サインインしたユーザーに代わって、サポートされているすべての RBAC プロバイダーのロールベースのアクセス制御 (RBAC) 設定をアプリが読み取ることができるようにします。 これには、ロール定義の読み取り、およびロールの割り当ても含まれます。 はい いいえ
RoleManagement.Read.Directory Azure AD のロール管理データを読み取ります。 サインインしたユーザーの代わりに、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。これには、ディレクトリ ロール テンプレート、ディレクトリ ロール、およびメンバーシップの読み取りが含まれます。 はい いいえ
RoleManagementPolicy.Read.Directory 会社のディレクトリの特権ロールの割り当てをすべて読み取ります。 サインインしたユーザーの代わりに、アプリで会社のディレクトリの役割ベースのアクセス制御 (RBAC) 割り当てを読み取れるようにします。 はい いいえ
RoleAssignmentSchedule.ReadWrite.Directory 会社のディレクトリのアクティブなロールの割り当てをすべて読み取り、更新、削除します。 サインインしたユーザーの代わりに、アプリで会社のディレクトリのアクティブな役割ベースのアクセス制御 (RBAC) 割り当ての読み取りと管理を実行できるようにします。これには、アクティブなディレクトリ ロール メンバーシップの管理、ディレクトリ ロール テンプレート、ディレクトリ ロール、アクティブなメンバーシップの読み取りが含まれます。 はい いいえ
RoleEligibilitySchedule.ReadWrite.Directory 会社のディレクトリの資格のあるロールの割り当てをすべて読み取り、更新、削除します。 サインインしたユーザーの代わりに、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 割り当ての読み取りと管理を実行できるようにします。これには、資格のあるディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。 はい いいえ
RoleManagement.ReadWrite.Directory Azure AD のロール管理データの読み取りと書き込みを行います。 サインインしたユーザーの代わりに、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。これには、ディレクトリ ロールのインスタンスの作成、ディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。 はい いいえ
RoleManagementPolicy.ReadWrite.Directory 会社のディレクトリに対する特権ロールの割り当てポリシーをすべて読み取り、更新、削除します。 サインインしたユーザーの代わりに、アプリで会社のディレクトリに対する特権役割ベースのアクセス制御 (RBAC) 割り当ての読み取りと管理を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
RoleManagement.Read.All すべての RBAC プロバイダーのロール管理データを読み取ります。 サインインしたユーザーなしで、サポートされているすべての RBAC プロバイダーのロールベースのアクセス制御 (RBAC) 設定をアプリが読み取ることができるようにします。 これには、ロール定義の読み取り、およびロールの割り当ても含まれます。 はい
RoleManagement.Read.Directory Azure AD のロール管理データを読み取ります。 サインインしたユーザーがいない場合でも、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。これには、ディレクトリ ロール テンプレート、ディレクトリ ロール、およびメンバーシップの読み取りが含まれます。 はい
RoleManagement.ReadWrite.Directory Azure AD のロール管理データの読み取りと書き込みを行います。 サインインしたユーザーがいない状態で、アプリでディレクトリのロール ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。これには、ディレクトリ ロールのインスタンスの作成、ディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。 はい

Remarks

RoleManagement.Read.Directory のアクセス許可を持つアプリケーションでは、directoryRoles および directoryRoleTemplates を読み取ることができます。 これには、ディレクトリ ロールのメンバーシップ情報の読み取りが含まれます。

RoleManagement.ReadWrite.Directory のアクセス許可を持つアプリケーションでは、directoryRoles (directoryRoleTemplates は読み取り専用リソースです) の読み取りと書き込みを行えます。 これには、ディレクトリ ロールでのメンバーの追加と削除が含まれます。

役割管理のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

  • RoleManagement.Read.Directory: 利用可能なロール テンプレートの一覧を読み取ります (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: ディレクトリで有効化された役割の一覧を読み取ります (GET /directoryRoles)
  • RoleManagement.Read.Directory: 役割のメンバーの一覧を読み取ります (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: 役割の、管理単位の対象メンバーの一覧を読み取ります (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: ロール テンプレートからディレクトリ ロールを有効化します (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: メンバーをディレクトリ ロールに追加します (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: 管理単位の対象メンバーをディレクトリ ロールに追加します (POST /directoryRoles/<id>/scopedMembers)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


スケジュール管理のアクセス許可 (プライベート プレビュー)

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Schedule.ReadWrite.All (プライベート プレビュー) シフト サービス (Teams) データの読み取りと書き込み サインインしているユーザーがいない場合でも、スケジュール、スケジュール グループ、シフト、およびシフト アプリケーションの関連エンティティの読み取りと書き込みをアプリが実行できるようにします。 必要 いいえ
Schedule.Read.All (プライベート プレビュー) シフト サービス (Teams) データの読み取り サインインしているユーザーがいない場合でも、スケジュール、スケジュール グループ、シフト、およびシフト アプリケーションの関連エンティティの読み取りをアプリが実行できるようにします。 必要 いいえ

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Schedule.ReadWrite.All シフト サービス (Teams) データの読み取りと書き込み サインインしたユーザーに代わって、アプリがスケジュール、スケジュールグループ、シフト、およびシフトアプリケーション内の関連エンティティを読み取りおよび書き出しできるようにします。 いいえ いいえ
Schedule.Read.All シフト サービス (Teams) データの読み取り サインインしたユーザーに代わって、アプリがスケジュール、スケジュールグループ、シフト、およびシフトアプリケーション内の関連エンティティを読み取ることができるようにします。 いいえ いいえ
WorkforceIntegration.ReadWrite.All (プライベートプレビュー) 従業員の統合の読み取りと書き込み サインインしたユーザーに代わってアプリが従業員の統合を管理し、Microsoft Teams Shifts からのデータを統合システムと同期できるようにします。 必要 いいえ
WorkforceIntegration.Read.All (プライベートプレビュー) 従業員の統合の読み取りと書き込み サインインしたユーザーに代わってアプリが従業員の統合を管理し、Microsoft Teams Shifts からのデータを統合システムと同期できるようにします。 必要 いいえ

検索アクセス許可

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ExternalConnection.ReadWrite.OwnedBy 外部接続と接続設定の読み取りおよび書き込み サインインしているユーザーなしで、外部接続およびその設定の読み取りと書き込みを実行できるようにします。 アプリは、承認されている外部接続の読み取りと書き込みのみが可能であるか、新しい外部接続を作成することができます。 はい いいえ
ExternalItem.ReadWrite.OwnedBy 外部アイテムの読み取りと書き込み サインインしているユーザーなしで、外部アイテムの読み取りと書き込みを実行できるようにします。 アプリは、承認されている接続の外部アイテムのみを読み取ることができます。 はい いいえ
ExternalItem.ReadWrite.All すべての外部アイテムの読み取りと書き込み サインインしているユーザーなしで、すべての外部アイテムの読み取りと書き込みを実行できるようにします。 はい いいえ

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ExternalItem.Read.All 外部データの読み取り アプリが Microsoft Graph コネクタで取得されたデータをクエリすることを許可します はい いいえ

注釈

検索アクセス許可は、職場または学校アカウントでのみ有効です。

この検索アクセス許可は、インデックス API から取得したデータにのみ適用されます。

検索を介してデータにアクセスするには、アイテムの読み取り権限が必要です。 例: 検索を使用してファイルにアクセスする場合は Files.Read.All

使用例

委任

  • ExternalItem.Read.All: search API (POST /search/query) から外部データにアクセスします。

セキュリティのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
SecurityEvents.Read.All 組織のセキュリティ イベントの読み取り サインインしているユーザーの代わりに、アプリで組織のセキュリティ イベントを読み取れるようにします。 はい いいえ
SecurityEvents.ReadWrite.All 組織のセキュリティ イベントの読み取りおよび更新 サインインしているユーザーの代わりに、アプリで組織のセキュリティ イベントを読み取れるようにします。 また、サインインしているユーザーの代わりに、アプリでセキュリティ イベントの編集可能なプロパティを更新できるようにします。 はい いいえ
SecurityActions.Read.All 組織のセキュリティ アクションの読み取り サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを読み取れるようにします。 はい いいえ
SecurityActions.ReadWrite.All 組織のセキュリティ アクションの読み取りおよび更新 サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを、読み取ったり更新したりできるようにします。 はい いいえ
ThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理 サインインしているユーザーの代わりに、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。 はい いいえ
ThreatIndicators.Read.All 組織の脅威インジケーターを読む サインインしているユーザーの代わりに、アプリで組織のすべての脅威インジケーターの読み取りを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
SecurityEvents.Read.All 組織のセキュリティ イベントの読み取り アプリで、組織のセキュリティ イベントを読み取れるようにします。 はい
SecurityEvents.ReadWrite.All 組織のセキュリティ イベントの読み取りおよび更新 アプリで、組織のセキュリティ イベントを読み取れるようにします。 また、アプリでセキュリティ イベントの編集可能なプロパティを更新できるようにします。 はい
SecurityActions.Read.All 組織のセキュリティ イベントの読み取り アプリで、組織のセキュリティ アクションを読み取れるようにします。 はい
SecurityActions.ReadWrite.All 組織のセキュリティ アクションの作成と読み取り ユーザーがサインインしなくても、アプリによってセキュリティ アクションを読み取りまたは作成できるようにします。 はい
ThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理 ユーザーがサインインしなくても、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。 アプリが所有していない脅威の指標を更新することはできません。 はい
ThreatIndicators.Read.All このアプリによって作成または所有される脅威インジケーターを管理する サインインしているユーザーなしで、組織のすべての脅威インジケーターをアプリで読み取れるようにします。 はい

注釈

セキュリティのアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任およびアプリケーション

  • SecurityEvents.Read.All: テナントで利用可能なすべてのライセンスされたセキュリティ プロバイダーからすべてのセキュリティの警告のリストを読み取ります (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: テナントで利用可能なすべてのライセンスされたセキュリティ プロバイダーからすべてのセキュリティの警告の読み取りまたは更新を行います (PATCH /beta/security/alerts/{id})

サービス通信アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ServiceHealth.Read.All サービスの正常性を読む サインインしているユーザーの代わりに、アプリがテナントのサービスの正常性情報を読み取れるようにします。 正常性情報には、サービスの問題やサービスの正常性の概要が含まれます。 はい はい
ServiceMessage.Read.All サービス メッセージを読む サインインしたユーザーの代わりに、アプリがテナントのサービスのお知らせメッセージを読み取れるようにします。 メッセージには、新規または変更された機能に関する情報を含めることができます。 はい はい
ServiceMessageViewpoint.Write サービスのお知らせメッセージのユーザー状態を更新する サインインしたユーザーの代わりに、アプリがサービスのお知らせメッセージのユーザー状態を更新できるようにします。 メッセージの状態は、既読、アーカイブ、またはお気に入りとしてマークできます。 はい はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ServiceHealth.Read.All サービスの正常性を読む サインインしたユーザーがいない場合でも、アプリがテナントのサービスの正常性情報を読み取れるようにします。 正常性情報には、サービスの問題やサービスの正常性の概要が含まれます。 はい
ServiceMessage.Read.All サービス メッセージを読む サインインしているユーザーがいなくても、アプリがテナントのサービスのお知らせメッセージを読み取れるようにします。 メッセージには、新規または変更された機能に関する情報を含めることができます。 はい

短いメモのアクセス許可 (プライベートプレビュー)

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ShortNotes.Read サインインしたユーザーの短いノートを読む サインインユーザーがにアクセスしているすべての短いメモを、アプリで読み取ることができます。 いいえ はい
ShortNotes.ReadWrite サインインしているユーザーの短いノートを読み取り、作成、編集、削除する サインインしているユーザーの短いノートをアプリに読み取り、作成、編集、削除させる。 いいえ はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ShortNotes.Read.All すべてのユーザーの短いノートを読む サインインしているユーザーがいない場合でも、アプリがすべての短いノートを読み取れるようにします。 はい
ShortNotes.ReadWrite.All すべてのユーザーの短いノートを読み取り、作成、編集、削除する サインインしたユーザーがいない場合でも、アプリがすべての短いノートを読み取り、作成、編集、および削除することができます。 はい

サイトのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Sites.Read.All すべてのサイト コレクションに含まれるアイテムの読み取り アプリは、サインインしているユーザーに代わって、すべてのサイト コレクション内のドキュメントを読み取り、アイテムを一覧表示できます。 いいえ いいえ
Sites.ReadWrite.All すべてのサイト コレクション内のアイテムの読み取りおよび書き込み サインイン ユーザーの代わりに、すべてのサイト コレクションに含まれるドキュメントとリスト アイテムをアプリで編集または削除できるようにします。 いいえ いいえ
Sites.Manage.All すべてのサイト コレクションにおけるアイテムとリストの作成、編集、および削除 サインイン ユーザーの代わりに、すべてのサイト コレクションに含まれるリスト、ドキュメント、およびリスト アイテムをアプリで管理および作成できるようにします。 いいえ いいえ
Sites.FullControl.All すべてのサイト コレクションのフル コントロール サインイン ユーザーに代わって、アプリはすべてのサイト コレクション内の SharePoint サイトをフル コントロールできます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Sites.Read.All すべてのサイト コレクションに含まれるアイテムの読み取り アプリは、サインインしているユーザーなしで、すべてのサイト コレクション内のドキュメントを読み取り、アイテムを一覧表示できます。 はい
Sites.ReadWrite.All すべてのサイト コレクション内のアイテムの読み取りおよび書き込み アプリは、サインインしているユーザーなしで、すべてのサイト コレクション内のドキュメントの作成、読み取り、更新、削除と、アイテムの一覧表示を行うことができます。 はい
Sites.Manage.All すべてのサイト コレクションにおけるアイテムとリストの作成、編集、および削除 アプリで、サインインしているユーザーがいなくても、すべてのサイト コレクションに含まれるリスト、ドキュメント、およびリスト アイテムを管理および作成できるようにします。 はい
Sites.FullControl.All すべてのサイト コレクションのフル コントロール アプリで、サインインしているユーザーがいなくても、すべてのサイト コレクション内の SharePoint サイトをフル コントロールできるようにします。 はい
Sites.Selected 選択したサイト コレクションにアクセスする サインインしたユーザーなしで、アプリケーションがサイト コレクションの一部にアクセスできるようにします。 特定のサイト コレクションと与えられたアクセス許可は、SharePoint Online で構成されます。 はい

注釈

サイトのアクセス許可は、職場または学校アカウントでのみ有効です。 Sites.Selected アプリケーションのアクセス許可は、Microsoft Graph API でのみ使用できます。

使用例

委任

  • Sites.Read.All:SharePoint ルート サイトのリストを読み取ります (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All:SharePoint リストに新しいリスト アイテムを作成します (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All:新しいリストを SharePoint サイトに追加します (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All:SharePoint サイトとリストへのアクセスを完了します。

タスクのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Tasks.Read ユーザーのタスクおよびタスク リストを読み取る (プレビュー) アプリで、サインインしているユーザーのタスクと、そのユーザーと共有されているものを含むタスク リスト読み取ることができるようにします。 作成、削除、または更新のアクセス許可は含まれません。 いいえ はい
Tasks.Read.Shared ユーザー タスクと共有のタスクの読み取り (プレビュー) アプリで、ユーザー自身のタスクと共有のタスクを含む、ユーザーがアクセス許可を得ているタスクを読み取れるようにします。 いいえ いいえ
Tasks.ReadWrite ユーザーのタスクとタスク リストの作成、読み取り、更新、削除 (プレビュー) アプリで、サインインしているユーザーのタスクと、そのユーザーと共有されているものを含むタスク リストの作成、読み取り、更新、削除を行うことができるようにします。 いいえ はい
Tasks.ReadWrite.Shared ユーザー タスクと共有のタスクの読み取りと書き込み (プレビュー) アプリで、ユーザー自身のタスクと共有のタスクを含むユーザーがアクセス許可を得ているタスクの作成、読み取り、更新、削除を行えるようにします。 いいえ いいえ

アプリケーションのアクセス許可

なし。

注釈

タスク のアクセス許可は、To do タスクおよび Outlook タスクのアクセスを制御するために使用します。 Microsoft Planner のタスクへのアクセスは、グループ のアクセス許可で制御します。

共有 のアクセス許可は、現時点では職場または学校アカウントでのみサポートされます。共有 のアクセス許可がある場合でも、共有コンテンツを所有するユーザーが、そのコンテンツにアクセスするユーザーに、フォルダー内のコンテンツを変更するアクセス許可を付与していないと、読み取りと書き込みが失敗することがあります。

使用例

委任

  • Tasks.Read:ユーザーのメールボックス内のすべてのタスクを取得します (GET /me/outlook/tasks)。
  • Tasks.Read.Shared:組織内の別のユーザーによって共有されているフォルダー内のタスクにアクセスします (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks)。
  • Tasks.ReadWrite:ユーザーの既定のタスク フォルダーにイベントを追加します (POST /me/outlook/tasks)。
  • Tasks.Read:ユーザーのメールボックス内にある未完了のタスクをすべて取得します (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed')。
  • Tasks.ReadWrite:ユーザーのメールボックス内のタスクを更新します (PATCH /users/{id | userPrincipalName}/outlook/tasks/id)。
  • Tasks.ReadWrite.Shared:別のユーザーの代わりにタスクを完了します (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


分類のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TermStore.Read.All 用語ストアのデータを読む 用語ストアのさまざまな用語、セット、グループをアプリで読み取ることができるようにします。 はい いいえ
TermStore.ReadWrite.All 用語ストアのすべてのデータの読み取りと書き込み アプリが用語ストアの用語、セット、グループを編集または削除することを許可します はい いいえ

注釈

分類のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • TermStore.Read.All: テナントの termStore を読む (GET /termStore)
  • TermStore.ReadWrite.All:termStore で新しい用語を作成する (POST /termStore/sets/123/children)

Teams のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All チーム名とチームの説明の読み取り サインインしているユーザーの代わりに、チーム名とチームの説明を読み取ります。 いいえ いいえ
Team.Create チームを作成する サインインしているユーザーの代わりに、チームを作成します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All すべてのチームのリストの取得 ユーザーがサインインしていない状態で、すべてのチームのリストを取得します。 はい いいえ
Team.Create チームを作成する ユーザーがサインインしていない状態で、チームを作成します。 はい いいえ
Teamwork.Migrate.All Microsoft Teams への移行の管理 Microsoft Teams に移行するためのリソースを作成して管理する はい はい

チーム設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamSettings.Read.All チームの設定の読み取り サインインしているユーザーの代わりに、このチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All チームの設定の読み取りと変更 サインインしているユーザーの代わりに、すべてのチームの設定を読み取り変更します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamSettings.Read.All すべてのチームの設定の読み取り ユーザーがサインインしていない状態で、このチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All すべてのチームの設定を読み取り変更します。 ユーザーがサインインしていない状態で、すべてのチームの設定の読み取りと変更を実行します。 はい いいえ

Teams アクティビティのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsActivity.Read (プライベート プレビュー) ユーザーのチームワーク アクティビティ フィードを読み取る アプリで、サインインしているユーザーのチームワーク アクティビティ フィードを読み取れるようにします。 いいえ いいえ
TeamsActivity.Send ユーザーとしてチームワーク アクティビティを送信する サインインしたユーザーの代わりに、このアプリでユーザーのチームワーク アクティビティ フィードに新しい通知を作成できるようになります。 これらの通知は、コンプライアンス ポリシーで検出、保持、管理できない場合があります。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsActivity.Read.All (プライベート プレビュー) すべてのユーザーのチームワーク アクティビティ フィードを読み取る アプリで、すべてのユーザーのチームワーク アクティビティ フィードを、サインインしているユーザーなしで読み取れるようにします。 はい いいえ
TeamsActivity.Send すべてのユーザーにチームワーク アクティビティを送信する サインインしたユーザーではなく、このアプリでユーザーのチームワーク アクティビティ フィードに新しい通知を作成できるようになります。 これらの通知は、コンプライアンス ポリシーで検出、保持、管理できない場合があります。 はい いいえ

Teams アプリの権限 (非推奨)

注意

これらの権限は廃止されます。 等価の TeamsAppInstallation.*.All 権限を代わりに使用します。

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsApp.Read.All (非推奨) インストールされているすべての Teams アプリの読み取り サインインしているユーザーのために、またユーザーがメンバーであるすべてのチームにインストールされた Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsApp.ReadWrite.All (非推奨) すべての Teams アプリの管理 サインインしているユーザーに代わって、またユーザーがメンバーであるチームのために、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsApp.Read.All (非推奨) すべてのユーザーのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsApp.ReadWrite.All (非推奨) すべてのユーザーの Teams アプリを管理する ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ

Teams アプリのインストールのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsAppInstallation.ReadForUser ユーザーのインストールされている Teams アプリの読み取り アプリでサインインしているユーザーにインストールされている Teams アプリの読み取りを実行できるようにします。アプリケーション固有の設定の読み取りはできません。 いいえ いいえ
TeamsAppInstallation.ReadWriteForUser ユーザーのインストールされている Teams アプリを管理する サインインしているユーザー用にインストールされている Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリに許可します。アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ
TeamsAppInstallation.ReadWriteSelfForUser (プライベート プレビュー) チームでアプリが自分自身を管理することを許可する サインインしているユーザーがアクセスできるチームに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 いいえ いいえ
TeamsAppInstallation.ReadForTeam チームでインストールされている Teams アプリを読み取る サインインしているユーザーがアクセスできるチームにインストールされている Teams アプリの読み取りをアプリに許可します。アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsAppInstallation.ReadWriteForTeam インストールされている Teams アプリをチームで管理する サインインしているユーザーがアクセスできるチーム内の Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリに許可します。アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ
TeamsAppInstallation.ReadWriteSelfForTeam (プライベート プレビュー) チームでアプリが自分自身を管理することを許可する サインインしているユーザーがアクセスできるチームに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
TeamsAppInstallation.ReadForUser.All すべてのユーザーのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteForUser.All すべてのユーザーの Teams アプリを管理する サインインしているユーザーに代わって、またユーザーがメンバーであるチームのために、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteSelfForUser.All (プライベート プレビュー) すべてのユーザーに対してアプリが自分自身を管理することを許可する ユーザーがサインインしていない状態で、すべてのユーザーに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい
TeamsAppInstallation.ReadForTeam.All すべてのチームのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのチームにもインストールされている Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteForTeam.All すべてのチームの Teams アプリを管理する ユーザーがサインインしていなくても、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteSelfForTeam.All (プライベート プレビュー) すべてのチームに対して Teams アプリが自分自身を管理することを許可する ユーザーがサインインしていない状態で、すべてのチームに対して Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい

チーム メンバーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamMember.Read.All チームのメンバーを読み取ります。 サインインしたユーザーの代わりに、チームのメンバーを読み取ります。 はい いいえ
TeamMember.ReadWrite.All チームからメンバーを追加および削除します。 サインインしたユーザーの代わりに、チームからメンバーを追加および削除します。 また、たとえば所有者から非所有者にメンバーの役割を変更できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamMember.Read.All すべてのチームのメンバーを読み取ります。 サインインしたユーザーなしに、すべてのチームのメンバーを読み取ります。 はい いいえ
TeamMember.ReadWrite.All すべてのチームからメンバーを追加および削除します。 サインインしたユーザーなしに、すべてのチームからメンバーを追加および削除します。 また、たとえば所有者から非所有者にチーム メンバーの役割を変更できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamSettings.Read.Group このチームの設定を読み取ります。 ユーザーがサインインしていない状態で、このチームの設定を読み取ります。 いいえ いいえ
TeamSettings.ReadWrite.Group このチームの設定を更新します。 ユーザーがサインインしていない状態で、このチームの設定を読み取りと書き込みをします。 いいえ いいえ
ChannelSettings.Read.Group このチームのチャネルの名前、説明、設定を読み取ります。 ユーザーがサインインしていない状態で、このチームのチャネル名、チャネルの説明、チャネルの設定を読み取ります。 いいえ いいえ
ChannelSettings.ReadWrite.Group このチームのチャネルの名前、説明、設定を更新します。 ユーザーがサインインしていない状態で、このチームのチャネル名、チャネルの説明、チャネルの設定を更新します。 いいえ いいえ
Channel.Create.Group このチームのチャネルを作成します。 ユーザーがサインインしていない状態で、このチームのチャネルを作成します。 いいえ いいえ
Channel.Delete.Group このチームのチャネルを削除します。 ユーザーがサインインしていない状態で、このチームのチャネルを削除します。 いいえ いいえ
ChannelMessage.Read.Group チームのチャネル メッセージを読み取ります。 ユーザーがサインインしていない状態で、このチームのチャネル メッセージの読み取りをアプリに許可します。 いいえ いいえ
TeamsAppInstallation.Read.Group このチームにインストールされているアプリを確認します。 ユーザーがサインインしていない状態で、このチームにインストールされているアプリを確認します。 いいえ いいえ
TeamsTab.Read.Group このチームのタブを読み取ります。 ユーザーがサインインしていない状態で、このチームのタブを読み取ります。 いいえ いいえ
TeamsTab.Create.Group このチームのタブを作成します。 ユーザーがサインインしていない状態で、このチームのタブを作成します。 いいえ いいえ
TeamsTab.ReadWrite.Group このチームのタブを更新します。 ユーザーがサインインしていない状態で、このチームのタブを更新します。 いいえ いいえ
TeamsTab.Delete.Group このチームのタブを削除します。 ユーザーがサインインしていない状態で、このチームのタブを削除します。 いいえ いいえ
TeamMember.Read.Group このチームのメンバーを読み取ります。 ユーザーがサインインしていない状態で、このグループのメンバーを読み取ります。 いいえ いいえ
Member.Read.Group このグループのメンバーを読み取ります。 ユーザーがサインインしていない状態で、このグループのメンバーを読み取ります。 いいえ いいえ
Owner.Read.Group このグループの所有者を読み取ります。 ユーザーがサインインしていない状態で、このグループの所有者を読み取ります。 いいえ いいえ
File.Read.Group このチームのファイルおよびフォルダーを読み取ります。 限定サポート
(プレビュー) ユーザーがサインインしていない状態で、このチームのファイルおよびフォルダーを読み取ります。
いいえ いいえ
TeamsActivity.Send.Group このチームのユーザーにアクティビティ フィード通知を送信します。 サインインしているユーザーなしで、このチームのユーザーのチームワーク アクティビティ フィードに新しい通知を作成することをアプリに許可します。 いいえ いいえ

Teams 設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All チーム名とチームの説明の読み取り サインインしているユーザーの代わりに、チーム名とチームの説明を読み取ります。 いいえ いいえ
TeamSettings.Read.All チームの設定の読み取り サインインしているユーザーの代わりに、すべてのチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All チームの設定を読み取り変更します。 サインインしているユーザーの代わりに、すべてのチームの設定を読み取り変更します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All すべてのチームのリストを取得します。 ユーザーがサインインしていない状態で、すべてのチームのリストを取得します。 はい いいえ
TeamSettings.Read.All すべてのチームの設定の読み取り ユーザーがサインインしていない状態で、このチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All すべてのチームの設定の読み取りと変更 ユーザーがサインインしていない状態で、すべてのチームの設定の読み取りと変更を実行します。 いいえ いいえ

Teams タブのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsTab.Read.All Microsoft Teams でタブを読み取ります。 サインインしているユーザーのために、またユーザーがメンバーであるすべてのチームにインストールされた Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsTab.ReadWrite.All Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーに代わって、またユーザーがメンバーであるチームのために、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ
TeamsTab.Create Microsoft Teams でタブを作成します。 サインインしているユーザーの代わりに、アプリが Microsoft Teams の任意のチームでタブを作成できるようにします。 この操作によって、タブの作成後にタブの読み取り、変更、削除を許可したり、またタブ内のコンテンツへのアクセスを許可したりすることはできません。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsTab.Read.All Microsoft Teams でタブを読み取ります。 サインインしているユーザーなしで、Microsoft Teams の任意のチーム内のタブの名前と設定を読み取ります。 これは、タブ内のコンテンツへのアクセスを許可しません。 はい いいえ
TeamsTab.ReadWrite.All Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーなしで、Microsoft Teams の任意のチームでタブの読み取りおよび書き込みを行うことができます。 これは、タブ内のコンテンツへのアクセスを許可しません。 はい いいえ
TeamsTab.Create Microsoft Teams でタブを作成します。 サインインしているユーザーなしで、アプリが Microsoft Teams の任意のチームでタブを作成できるようにします。 この操作によって、タブの作成後にタブの読み取り、変更、削除を許可したり、またタブ内のコンテンツへのアクセスを許可したりすることはできません。 はい いいえ

Teams タブのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamworkTag.ReadWrite Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーなしで、Microsoft Teams の任意のチームでタブの読み取りおよび書き込みを行います。 必要 いいえ
TeamworkTag.Read Microsoft Teams でタブを読み取ります。 サインインしているユーザーなしで、Microsoft Teams の任意のチームでタブの読み取りを行います。 必要 いいえ

アクセス許可の使用条件

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Agreement.Read.All すべての利用規約の読み取り サインインしているユーザーの代わりに、アプリで利用規約を読み取ることができるようにします。 はい いいえ
Agreement.ReadWrite.All すべての利用規約の読み取りと書き込み サインインしているユーザーの代わりに、アプリで利用規約の読み取りと書き込みを行えるようにします。 はい いいえ
AgreementAcceptance.Read 利用規約に対するユーザー承認状態の読み取り サインインしているユーザーの代わりに、アプリで利用規約に対するユーザー承認状態を読み取ることができるようにします。 はい いいえ
AgreementAcceptance.Read.All ユーザーがアクセスできる、利用規約に対するユーザー承認状態の読み取り サインインしているユーザーの代わりに、アプリで利用規約に対するユーザー承認状態を読み取ることができるようにします。 はい いいえ

解説

上記のすべてのアクセス許可は、職場または学校のアカウントでのみ有効です。

アクセス許可を委任したアプリですべての利用規約または利用規約に対する承認状態の読み取りまたは書き込みを行うには、サインインしているユーザーにグローバル管理者、条件付きアクセス管理者、またはセキュリティ管理者のロールが割り当てられていなければなりません。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任

次に示す使用法は、両方の委任されたアクセス許可に対して有効です。

  • Agreement.Read.All: すべての利用規約の読み取り (GET /beta/agreements)
  • Agreement.ReadWrite.All: すべての利用規約の読み取りと書き込み (POST /beta/agreements)
  • AgreementAcceptance.Read: 利用規約に対するユーザー承認状態の読み取り (GET /beta/me/agreementAcceptances)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


Teams アプリのインストールのアクセス許可 (プライベート プレビュー)

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsAppInstallation.ReadForUser (プライベート プレビュー) ユーザーのインストールされている Teams アプリの読み取り アプリでサインインしているユーザーにインストールされている Teams アプリの読み取りを実行できるようにします。アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsAppInstallation.ReadWriteForUser (プライベート プレビュー) ユーザーのインストールされている Teams アプリを管理する サインインしているユーザー用にインストールされている Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリに許可します。アプリケーション固有の設定の読み取りまたは書き込みはできません。 いいえ いいえ
TeamsAppInstallation.ReadWriteSelfForUser (プライベート プレビュー) チームでアプリが自分自身を管理することを許可する サインインしているユーザーがアクセスできるチームに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい いいえ
TeamsAppInstallation.ReadForTeam (プライベート プレビュー) チームでインストールされている Teams アプリを読み取る サインインしているユーザーがアクセスできるチームにインストールされている Teams アプリの読み取りをアプリに許可します。アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsAppInstallation.ReadWriteForTeam (プライベート プレビュー) インストールされている Teams アプリをチームで管理する サインインしているユーザーがアクセスできるチーム内の Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリに許可します。アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ
TeamsAppInstallation.ReadWriteSelfForTeam (プライベート プレビュー) チームでアプリが自分自身を管理することを許可する サインインしているユーザーがアクセスできるチームに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
TeamsAppInstallation.ReadForUser.All (プライベート プレビュー) すべてのユーザーのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteForUser.All (プライベート プレビュー) すべてのユーザーの Teams アプリを管理する サインインしているユーザーに代わって、またユーザーがメンバーであるチームのために、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteSelfForUser.All (プライベート プレビュー) すべてのユーザーに対してアプリが自分自身を管理することを許可する ユーザーがサインインしていない状態で、すべてのユーザーに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい
TeamsAppInstallation.ReadForTeam.All (プライベート プレビュー) すべてのチームのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのチームにもインストールされている Teams アプリをアプリが読み取ることができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteForTeam.All (プライベート プレビュー) すべてのチームの Teams アプリを管理する ユーザーがサインインしていなくても、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteSelfForTeam.All (プライベート プレビュー) すべてのチームに対して Teams アプリが自分自身を管理することを許可する ユーザーがサインインしていない状態で、すべてのチームに対して Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい

脅威評価へのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ThreatAssessment.ReadWrite.All 脅威評価要求の読み取りと書き込み アプリがサインインしたユーザーの代わりに組織の脅威評価要求を読み取ることを許可します。 また、アプリがサインインしたユーザーの代わりに、組織が受け取った脅威を評価するための新しい要求を作成することも許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ThreatAssessment.Read.All 脅威評価要求の読み取り サインインしたユーザーがいない場合でも、アプリが組織の脅威評価要求を読み取ることを許可します。 はい

注釈

脅威評価のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • ThreatAssessment.ReadWrite.All: 脅威評価要求の読み取りと書き込み (POST /informationProtection/threatAssessmentRequests)

アプリケーション

  • ThreatAssessment.Read.All: 脅威評価結果の読み取りと書き込み (GET /informationProtection/threatAssessmentRequests)

ユニバーサル印刷のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Printer.Create プリンターの登録 サインインしているユーザーの代わりに、アプリケーションがプリンターを作成 (登録) することを許可します。 はい いいえ
Printer.FullControl.All プリンターの登録、読み取り、更新、登録解除 サインインしているユーザーの代わりに、アプリケーションがプリンターを作成 (登録)、読み取り、更新、削除 (登録解除) できるようにします。 はい いいえ
Printer.Read.All プリンターの読み取り サインインしているユーザーの代わりに、アプリケーションがプリンターを読み取ることを許可します。 はい いいえ
Printer.ReadWrite.All プリンターの読み取りと更新 サインインしているユーザーの代わりに、アプリケーションがプリンターを読み取って更新することを許可します。 プリンターの作成 (登録) または削除 (登録解除) はできません。 はい いいえ
PrinterShare.ReadBasic.All プリンター共有に関する基本情報を読み取る サインインしたユーザーに代わって、アプリケーションがプリンター共有に関する基本情報を読み取ることができるようにします。アクセス制御情報の読み取りを許可しません。 いいえ いいえ
PrinterShare.Read.All プリンター共有の読み取り サインインしているユーザーの代わりに、アプリケーションがプリンター共有を読み取ることを許可します。 いいえ いいえ
PrinterShare.ReadWrite.All プリンター共有を読み書きする サインインしているユーザーの代わりに、アプリケーションがプリンター共有を読み取って更新することを許可します。 はい いいえ
PrintJob.Create 印刷ジョブを作成する サインインしたユーザーに代わってアプリケーションが印刷ジョブを作成し、ドキュメントのコンテンツをアップロードして、サインインしたユーザーが作成した印刷ジョブを印刷できるようにします。 いいえ いいえ
PrintJob.Read ユーザーの印刷ジョブを読み取る サインインしているユーザーが作成した印刷ジョブのメタデータとドキュメント コンテンツの読み取りをアプリケーションに許可します。 いいえ いいえ
PrintJob.Read.All 印刷ジョブを読み取る サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取ることを許可します。 はい いいえ
PrintJob.ReadBasic ユーザーの印刷ジョブの基本情報を読み取る サインインしているユーザーが作成した印刷ジョブのメタデータの読み取りをアプリケーションに許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 いいえ いいえ
PrintJob.ReadBasic.All 印刷ジョブの基本情報を読み取る サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータを読み取ることを許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい いいえ
PrintJob.ReadWrite ユーザーの印刷ジョブの読み取りと書き込み サインインしているユーザーが作成した印刷ジョブのメタデータとドキュメント コンテンツの読み取りと更新をアプリケーションに許可します。 いいえ いいえ
PrintJob.ReadWrite.All 印刷ジョブの読み取りと書き込み サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取って更新することを許可します。 はい いいえ
PrintJob.ReadWriteBasic ユーザーの印刷ジョブの基本情報を読み書きする サインインしているユーザーが作成した印刷ジョブのメタデータの読み取りと更新をアプリケーションに許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 いいえ いいえ
PrintJob.ReadWriteBasic.All 印刷ジョブの基本情報を読み書きする サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータを読み取って更新することを許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい いいえ
PrintConnector.Read.All 閲覧コネクタ サインインしたユーザーに代わって、アプリケーションがコネクタを読み取れるようにします。 はい いいえ
PrintConnector.ReadWrite.All 印刷コネクタの読み取りと書き込み サインインしたユーザーに代わって、アプリケーションが印刷コネクタの読み取りと書き込みを行えるようにします。 はい いいえ
PrintSettings.Read.All テナント全体の印刷設定を読み取る サインインしているユーザーの代わりに、アプリケーションが印刷設定を読み取ることを許可します。 はい いいえ
PrintSettings.ReadWrite.All テナント全体の印刷設定の読み取りと書き込み サインインしているユーザーの代わりに、アプリケーションが印刷設定を読み取って更新することを許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Printer.Read.All プリンターの読み取り ユーザーがサインインしなくても、アプリケーションがプリンターを読み取ることを許可します。 はい
Printer.ReadWrite.All プリンターの読み取りと更新 ユーザーがサインインしていない状態で、アプリケーションがプリンターを読み取り更新できるようにします。 プリンターの作成 (登録) または削除 (登録解除) はできません。 はい
PrintJob.Manage.All 印刷ジョブで高度な操作を実行する ユーザーがサインインしなくても、印刷ジョブを別のプリンターにリダイレクトするなどの高度な操作をアプリケーションで実行できるようにします。 また、アプリケーションが印刷ジョブのメタデータを読み取って更新することを許可します。 はい
PrintJob.Read.All 印刷ジョブを読み取る ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取れるようにします。 はい
PrintJob.ReadBasic.All 印刷ジョブの基本情報を読み取る ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータを読み取れるようにします。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい
PrintJob.ReadWrite.All 印刷ジョブの読み取りと書き込み ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取り更新できるようにします。 はい
PrintJob.ReadWriteBasic.All 印刷ジョブの基本情報を読み書きする ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータを読み取り更新できるようにします。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい
PrintTaskDefinition.ReadWrite.All 印刷タスク定義を読み取り、書き込み、更新する ユーザーがサインインしなくても、アプリケーションが印刷タスク定義を読み取って更新できるようにします。 はい

注釈

  • ユニバーサル印刷サービスを使用するには、ユーザーまたはアプリのテナントに、以前記載されたアクセス許可以外に、アクティブなユニバーサル印刷のサブスクリプションが必要です。

  • 一部のアクセス許可は、印刷ジョブのメタデータとペイロードを区別します。 メタデータは、印刷ジョブ (ホチキス止めするか、カラーで印刷するかなど、その名前やドキュメント構成) の構成を記述します。 ペイロードは、ドキュメント データそのもの (印刷する PDF または XPS ファイル) です。

  • また、印刷ジョブはプリンター内に保存されるため、All PrintJob.* アクセス許可には、少なくとも Printer.Read.All (または、より特権のあるアクセス許可) も必要です。

使用例

委任

  • Printer.Read.All: テナント内にあるすべてのプリンターの一覧を取得する (GET /print/printers)
  • PrintJob.Read.All: プリンターに登録されているすべての印刷ジョブの一覧を取得する (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: プリンターを削除(登録解除) する (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: 印刷ジョブのメタデータ (現在の状態など) を更新する (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: 印刷ジョブを作成し、そこにドキュメント データをアップロードする (POST /print/printers/{id}/jobs)

アプリケーション

  • Printer.Read.All: テナント内にあるすべてのプリンターの一覧を取得する (GET /print/printers)

ユーザーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
User.Read サインインとユーザー プロファイルの読み取り ユーザーがアプリにサインインできるようにします。またサインインしているユーザーのプロファイルをアプリで読み取ることができるようにします。また、サインインしているユーザーの基本会社情報をアプリで読み取れるようにします。 いいえ はい
User.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可 アプリで、サインインしているユーザーの完全なプロファイルを読み取れるようにします。 また、サインインしているユーザーの代わりに、アプリでプロファイル情報を更新できるようにします。 いいえ はい
User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り サインインしているユーザーの代わりに、アプリで組織内の他のユーザーのプロファイル プロパティの基本的なセットを読み取れるようにします。 これには表示名、氏名、メール アドレス、オープン拡張機能、写真が含まれます。 また、アプリで、サインインしているユーザーの完全なプロファイルを読み取れるようにします。 いいえ いいえ
User.Read.All すべてのユーザーの完全なプロファイルの読み取り アプリで、サインインしているユーザーの代わりに、組織内の他のユーザーのプロファイル プロパティ、部下、および上司の完全なセットを読み取れるようにします。 はい いいえ
User.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込み アプリで、サインインしているユーザーの代わりに、組織内の他のユーザーのプロファイル プロパティ、部下、上司の完全なセットを読み書きできるようにします。また、サインインしているユーザーの代わりに、アプリでユーザーの作成および削除ができるようにするとともに、パスワードのリセットもできるようにします。 はい いいえ
User.Invite.All 組織へのゲスト ユーザーの招待 サインインしているユーザーの代わりに、アプリで組織にゲスト ユーザーを招待できるようにします。 はい いいえ
User.Export.All ユーザーのデータのエクスポート アプリが会社の管理者によって実行されたときに、組織ユーザーのデータをエクスポートできるようにします。 はい いいえ
User.ManageIdentities.All ユーザー ID の管理 サインインしたユーザーがアクセス権を持つユーザーのアカウントに関連付けられた ID の読み取り、更新、削除をアプリケーションに許可します。これで、ユーザーがサインインに使用できる ID を制御します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
User.Read.All すべてのユーザーの完全なプロファイルの読み取り サインインしているユーザーなしで、アプリで組織内の他のユーザーのプロファイル プロパティ、グループ メンバーシップ、部下、上司の完全なセットを読み取ることができるようにします。 はい
User.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込み サインインしているユーザーなしで、組織内の別のユーザーのプロファイル プロパティ、グループ メンバーシップ、部下、上司の完全なセットをアプリで読み書きできるようにします。また、アプリで非管理ユーザーの作成と削除もできるようにします。ユーザーのパスワードのリセットはできません。 はい
User.Invite.All 組織へのゲスト ユーザーの招待 サインインしているユーザーなしで、ゲスト ユーザーをアプリで組織に招待できるようにします。 はい
User.Export.All ユーザーのデータのエクスポート アプリで、サインインしているユーザーなしで、組織ユーザーのデータをエクスポートできるようにします。 はい
User.ManageIdentities.All すべてのユーザー ID の管理 サインインしたユーザーなしでユーザーのアカウントに関連付けられた ID の読み取り、更新、削除をアプリケーションに許可します。これで、ユーザーがサインインに使用できる ID を制御します。 はい

注釈

User.Read のアクセス許可があるアプリは、組織リソースを通じて職場または学校アカウントでサインインしているユーザーの基本会社情報を読み取ることもできます。使用可能なプロパティは、id、displayName、および verifiedDomains です。

職場または学校アカウントの場合は、完全なプロファイルにユーザー リソースの宣言されたプロパティがすべて含まれます。既定では、読み取り時に制限された数のプロパティのみが返されます。既定のセットに含まれていないプロパティを読み取るには、$select を使用します。既定のプロパティは、次のとおりです。

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

委任されたアクセス許可の User.ReadWrite および User.Readwrite.All により、アプリは、次に示す職場または学校アカウントのプロファイル プロパティを更新できるようになります。

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • photo
  • preferredName
  • responsibilities
  • schools
  • skills

アプリケーションのアクセス許可の User.ReadWrite.All があるアプリは、職場または学校アカウントのすべての宣言されたプロパティ (パスワードを除く) を更新できるようになります。

User.ReadWrite.All の委任またはアプリケーションのアクセス許可とともに、他のユーザーの businessPhonesmobilePhone または otherMails の更新を許可されているのは、管理者以外のユーザーまたは次のロールのいずれかを割り当てられたユーザーのみになります。ディレクトリ閲覧者、ゲスト招待元、メッセージ センター閲覧者およびレポート閲覧者。 詳細については、「Azure AD で使用できるロール」のヘルプデスク (パスワード) 管理者を参照してください。

職場または学校アカウントの直属の部下 (directReports) または上司 (manager) を読み取りまたは書き込みするには、アプリに User.Read.All (読み取り専用) または User.ReadWrite.All が付与されている必要があります。

User.ReadBasic.All アクセス許可では、基本プロファイルと呼ばれる限定されたプロパティのセットにアプリのアクセスを制限します。これは、完全なプロファイルには機密性の高い情報が含まれている可能性があるためです。基本プロパティには、次に示すプロパティのみが含まれています。

  • displayName
  • givenName
  • mail
  • photo
  • surname
  • userPrincipalName

ユーザーのグループ メンバーシップ (memberOf) を読み取るには、アプリに Group.Read.All または Group.ReadWrite.All のどちらかが付与されている必要があります。ただし、ユーザーに directoryRole または administrativeUnit のメンバーシップもある場合、アプリにはそれらのリソースを読み取るための有効なアクセス許可も必要になります。このアクセス許可がない場合、Microsoft Graph はエラーを返します。つまり、アプリは ディレクトリのアクセス許可も必要とし、委任されたアクセス許可の場合は、サインインしているユーザーにも組織内でディレクトリ ロールと管理単位にアクセスするための十分な特権も必要とするということです。

User.ManageIdentities.All を委任するか、アプリケーションのアクセス許可を使用することにより、ユーザーの ID (identities) を更新できます。 これには、メールや名前ベースのサインイン名を使用しているフェデレーション ID (またはソーシャル ID) やローカル ID も含まれます。

使用例

委任

  • User.Read:サインインしているユーザーの完全なプロファイルを読み取ります (GET /me)。
  • User.ReadWrite:サインインしているユーザーの写真を更新します (PUT /me/photo/$value)。
  • User.ReadBasic.All:名前が "David" で始まるユーザーをすべて検索します (GET /users?$filter=startswith(displayName,'David'))。
  • User.Read.All:ユーザーの上司を読み取ります (GET /users/{id | userPrincipalName}/manager)。

アプリケーション

  • User.Read.All:デルタ クエリによってすべてのユーザーとリレーションシップを読み取ります (GET /beta/users/delta?$select=displayName,givenName,surname)。
  • User.ReadWrite.All:組織内の任意のユーザーの写真を更新します (PUT /users/{id | userPrincipalName}/photo/$value)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

ユーザー アクティビティのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
UserActivity.ReadWrite.CreatedByApp ユーザーのアクティビティ フィードへのアプリのアクティビティの読み取りと書き込み アプリで、サインインしているユーザーのアプリ内でのアクティビティを読み取りおよび報告できるようにします。 いいえ はい

アプリケーションのアクセス許可

なし。

注釈

UserActivity.ReadWrite.CreatedByApp は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。

このアクセス許可に関連付けられている CreatedByApp 制約は、このサービスが呼び出し元アプリの ID (MSA アプリ ID またはクロスプラットフォーム アプリケーション ID 用に構成されたアプリ ID のセットのいずれか) に基づいて結果に暗黙的なフィルター処理を適用することを示しています。

使用例

委任

  • UserActivity.ReadWrite.CreatedByApp: 最後の日に発行された関連する履歴項目に基づいて、最近の一意のユーザー アクティビティのリストを取得します (GET /me/activities/recent)。
  • UserActivity.ReadWrite.CreatedByApp: アプリケーションのユーザーによって再開される可能性があるユーザー アクティビティを発行または更新します (PUT /me/activities/%2Farticle%3F12345)。
  • UserActivity.ReadWrite.CreatedByApp: ユーザー契約の期間を表すため、指定したユーザー アクティビティの履歴項目を発行または更新します (PUT /me/activities/{id}/historyItems/{id})。
  • UserActivity.ReadWrite.CreatedByApp: ユーザーによって開始された要求への応答でユーザー アクティビティを削除します。または、無効なデータを削除します (DELETE /me/activities/{id})。
  • UserActivity.ReadWrite.CreatedByApp: ユーザーによって開始された要求への応答で履歴項目を削除します。または、無効なデータを削除します (DELETE /me/activities/{id}/historyItems/{id})。

ユーザー認証方法のアクセス許可 (プレビュー)

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
UserAuthenticationMethod.Read (プレビュー) 自己の認証方法を読み取ります サインイン ユーザーの認証方法 (電話番号や Authenticator アプリの設定など) の読み取りをアプリに許可します。 このアクセス許可では、アプリには、サインイン ユーザーのパスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法でサインイン ユーザーの認証方法を使用する許可も与えられません。 必要 いいえ
UserAuthenticationMethod.Read.All (プレビュー) ユーザーの認証方法を読み取ります サインイン ユーザーがアクセス許可を持つ、組織内のすべてのユーザーの認証方法の読み取りをアプリに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要 いいえ
UserAuthenticationMethod.ReadWrite (プレビュー) 自己の認証方法を管理します サインイン ユーザーの認証方法 (電話番号や Authenticator アプリの設定など) の読み取りと書き込みをアプリに許可します。 このアクセス許可では、アプリには、サインイン ユーザーのパスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法でサインイン ユーザーの認証方法を使用する許可も与えられません。 必要 いいえ
UserAuthenticationMethod.ReadWrite.All (プレビュー) ユーザーの認証方法を管理します サインイン ユーザーがアクセス許可を持つ、組織内のすべてのユーザーの認証方法の読み取りと書き込みをアプリに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要 いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
UserAuthenticationMethod.Read.All (プレビュー) ユーザーの認証方法を読み取ります サインイン ユーザーがいない場合でも、組織内のすべてのユーザーの認証方法の読み取りをアプリに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要
UserAuthenticationMethod.ReadWrite.All (プレビュー) ユーザーの認証方法を管理します サインイン ユーザーがいない場合でも、組織内のすべてのユーザーの認証方法の読み取りと書き込みをアプリケーションに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要

解説

ユーザー認証方法のアクセス許可は、ユーザーに関する認証方法を管理するために使用されます。これらのアクセス許可を使用すると、委任されたユーザーやアプリケーションは、ユーザーに関する新しい認証方法の登録、ユーザーが既に登録している認証方法の読み取り、それらの認証方法の更新、認証方法のユーザーからの削除を行なえます。

これらのアクセス許可を使用すると、ユーザーに関してすべての認証方法を読み取って管理することができます。これには、以下のメソッドが含まれます。

  • プライマリ認証 (パスワード)
  • 多要素認証 (MFA) の第 2 要素 (電話番号)
  • セルフ サービス パスワード リセット (SSPR) (メール アドレス)

Windows の更新プログラムのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントがサポートされています
WindowsUpdates.ReadWrite.All Windows 更新プログラムのすべての展開設定の読み取りおよび書き込み サインインしているユーザーの代わりに、アプリに組織のすべての Windows 更新プログラム展開設定の読み取りおよび書き込みを許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
WindowsUpdates.ReadWrite.All Windows 更新プログラムのすべての展開設定の読み取りおよび書き込み サインインしているユーザーがいなくても、アプリに組織のすべての Windows 更新プログラム展開設定の読み取りおよび書き込みを許可します。 はい

解説

上記のすべてのアクセス許可は、職場または学校のアカウントでのみ有効です。

アクセス許可を委任したアプリですべての Windows 更新プログラム展開設定の読み取りまたは書き込みを行うには、サインインしているユーザーにグローバル管理者、または Microsoft Intune の管理者のロールが割り当てられていなければなりません。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任

  • WindowsUpdates.ReadWrite.All: 展開を作成します (POST /beta/admin/windows/updates/deployments)。

アプリケーション

  • WindowsUpdates.ReadWrite.All: 展開を作成します (POST /beta/admin/windows/updates/deployments)。

認証方法ポリシーのアクセス許可 (プレビュー)

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Policy.ReadWrite.AuthenticationMethod (プレビュー) すべての認証方法ポリシーを読み取り、書き込みます。 アプリが Azure AD テナントのすべての認証方法ポリシーを読み取り、書き込むことを許可します。 さらに、サインインしたユーザーには、グローバル管理者の役割が割り当てられている必要があります。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Policy.ReadWrite.AuthenticationMethod (非公開プレビュー) すべての認証方法ポリシーを読み取り、書き込みます。 アプリが Azure AD テナントのすべての認証方法ポリシーを読み取り、書き込むことを許可します。 はい

解説

認証方法ポリシーのアクセス許可は、認証方法の有効化と無効化、ユーザーとグループによるこれらの方法の使用の許可、ユーザーがテナントに登録して使用できる認証方法に関連するその他の設定の構成など、認証方法ポリシーの設定を管理するために使用されます。

アクセス許可のシナリオ

ここでは、組織内のユーザー リソースとグループ リソースを対象とした、いくつかの一般的なシナリオを示します。この表には、シナリオごとに必要になる特定の操作を実行するために、アプリが必要とするアクセス許可を示しています。場合によっては、特定の操作をアプリが実行できるかどうかは、アクセス許可が、アプリケーションのアクセス許可か、委任されたアクセス許可かによって決まります。委任されたアクセス許可の場合、アプリの有効なアクセス許可は、サインインしているユーザーの組織内の特権にも依存します。詳細については、「委任されたアクセス許可、アプリケーションのアクセス許可、有効なアクセス許可」を参照してください。

ユーザー リソースに対するアクセスのシナリオ

ユーザーが関与するアプリ タスク 必要なアクセス許可 アクセス許可文字列
アプリの目的は、人材選択画面への表示などのために、他のユーザーの基本情報 (表示名と写真のみ) を読み取ること User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り
アプリの目的は、サインインしているユーザーの完全なユーザー プロファイルを読み取ること (直属の部下や上司を表示するなど) User.Read サインインを有効にし、ユーザー プロファイルを読み取ります
アプリの目的は、すべてのユーザーの完全なユーザー プロファイルを読み取ること User.Read.All すべてのユーザーの完全なプロファイルの読み取り
アプリの目的は、サインインしているユーザーのファイル、メール、カレンダー情報を読み取ること User.Read, Files.Read, Mail.Read, Calendars.Read サインインの有効化とユーザー プロファイルの読み取り、ユーザー ファイルの読み取り、ユーザー メールの読み取り、ユーザーのカレンダーの読み取り
アプリの目的は、サインインしているユーザー (自分) のファイルと、サインインしているユーザー (自分) が他のユーザーから共有してもらっているファイルを読み取ること User.Read, Files.Read, Sites.Read.All サインインを有効にし、ユーザー プロファイルを読み取ります、ユーザー ファイルの読み取り、すべてのサイト コレクションにあるアイテムの読み取り
アプリの目的は、サインインしているユーザーの完全なユーザー プロファイルを読み書きすること User.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可
アプリの目的は、すべてのユーザーの完全なユーザー プロファイルを読み書きすること User.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込み
アプリの目的は、サインインしているユーザーのファイル、メール、カレンダー情報を読み書きすること User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可、ユーザーのプロファイルの読み取りおよび書き込みアクセス許可、ユーザーのメールの読み取りおよび書き込みアクセス許可、ユーザーのカレンダーへのフル アクセス
アプリの目的は、ユーザーの個人データをエクスポートするためにデータ ポリシー操作要求を送信すること User.Export.All ユーザーの個人データをエクスポートします。

グループ リソースに対するアクセスのシナリオ

グループが関与するアプリ タスク 必要なアクセス許可 アクセス許可文字列
アプリの目的は、グループ選択画面への表示などのために、基本グループ情報 (表示名と写真のみ) を読み取ること Group.Read.All すべてのグループの読み取り
アプリの目的は、ファイルや会話を含むすべての Microsoft 365 グループ内のすべてのコンテンツを読み取ることです。グループ メンバーシップを表示したり、グループ メンバーシップを更新できたり (所有者の場合) する必要もあります。 Group.Read.All すべてのサイト コレクションにあるアイテムの読み取り、すべてのグループの読み取り
アプリの目的は、ファイルや会話を含むすべての Microsoft 365 グループ内のすべてのコンテンツを読み書きすることです。グループ メンバーシップを表示したり、グループ メンバーシップを更新できたり (所有者の場合) する必要もあります。 Group.ReadWrite.All, Sites.ReadWrite.All すべてのグループの読み取りと書き込み、すべてのサイト コレクション内のアイテムの編集または削除
アプリの目的は、Microsoft 365 グループを検出 (検索) することです。ユーザーが、特定のグループから検索し、一覧表から選択して、グループに参加できるようにします。 Group.ReadWrite.All すべてのグループの読み取りと書き込み
アプリの目的は、AAD グラフを経由してグループを作成すること Group.ReadWrite.All すべてのグループの読み取りと書き込み