Referência de permissões do Microsoft Graph

Para que o aplicativo acesse os dados no Microsoft Graph, o usuário ou administrador deve conceder a ele as permissões corretas por meio de um processo de consentimento. Este tópico lista as permissões associadas a cada grande conjunto de APIs do Microsoft Graph. Ele também fornece orientações sobre como usar as permissões.

Observação

Como melhor prática, solicite as permissões com menos privilégios de que seu aplicativo precisa para acessar os dados e funcionar corretamente. Solicitar permissões com mais do que os privilégios necessários é uma prática de segurança ruim, o que pode fazer com que os usuários evitem o consentimento e afetem o uso do aplicativo.

Para saber mais sobre como funcionam as permissões, Confira noções básicas de autenticação e autorização e assista ao vídeo a seguir.

Nomes de permissões do Microsoft Graph

Os nomes de permissões do Microsoft Graph seguem um padrão simples: resource.operation.constraint. Por exemplo, User.Read concede permissão para ler o perfil do usuário conectado, User.ReadWrite concede permissão para ler e modificar o perfil do usuário conectado e Mail.Send concede permissão para enviar emails em nome do usuário conectado.

O elemento constraint do nome determina a extensão potencial do acesso que o aplicativo terá dentro do diretório. No momento, o Microsoft Graph é compatível com as seguintes restrições:

  • Todos concede permissão para o aplicativo realizar as operações em todos os recursos do tipo especificado em um diretório. Por exemplo, User.Read.All potencialmente concede privilégios ao aplicativo para ler os perfis de todos os usuários em um diretório.
  • Compartilhado concede permissão para o aplicativo realizar as operações em recursos que outros usuários compartilharam com o usuário conectado. Essa restrição é usada principalmente com recursos como emails, calendários e contatos do Outlook. Por exemplo, Mail.Read.Shared concede privilégios para ler email na caixa de correio do usuário conectado e emails em caixas de correio que outros usuários na organização compartilharam com o usuário conectado.
  • AppFolder concede permissão para o aplicativo ler e gravar arquivos em uma pasta dedicada no OneDrive. Essa restrição é exposta somente em Permissões de arquivos e só é válida para contas da Microsoft.
  • Se sem restrição estiver especificado, o aplicativo estará limitado a executar as operações nos recursos pertencentes ao usuário conectado. Por exemplo, User.Read concede privilégios para ler o perfil apenas do usuário conectado e Mail.Read concede permissão para ler apenas os emails na caixa de correio do usuário conectado.

Observação: Em cenários delegados, as permissões efetivas concedidas ao aplicativo podem ser limitadas pelos privilégios do usuário conectado na organização.

Contas da Microsoft e contas corporativas e de estudante

Nem todas as permissões são válidas para contas da Microsoft e contas corporativas ou estudante. Você pode verificar a coluna da Conta com Suporte da Microsoft para cada grupo de permissão para determinar se uma permissão específica é válida para contas Microsoft, contas corporativas ou de estudante, ou ambas.

Status de disponibilidade de permissões

As permissões do Microsoft Graph no portal do Azure geralmente estão disponíveis e no status DG para todos os aplicativos usarem, exceto alguns conjuntos que estão no status de visualização ou visualização privada. As permissões na visualização estão disponíveis para o público; elas podem mudar e podem não ser promovidas ao status DG. As permissões no status de visualização privada não estão disponíveis e talvez nunca sejam disponibilizadas ao público. Não use as permissões no status de visualização ou visualização privada em aplicativos de produção.

Limitações de pesquisa de usuário e grupo para usuários convidados em organizações

Os recursos de pesquisa de usuário e grupo permitem que o aplicativo pesquise qualquer usuário ou grupo no diretório de uma organização, executando consultas no conjunto de recursos /users ou /groups (por exemplo, https://graph.microsoft.com/v1.0/users). Tanto administradores quanto usuários têm esse recurso; no entanto, os usuários convidados não.

Se o usuário conectado for um usuário convidado, dependendo das permissões que recebeu um aplicativo, ele pode ler o perfil de um usuário específico ou grupo (por exemplo, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). No entanto, o usuário não pode executar consultas no conjunto de recursos /users ou /groups que, potencialmente, retornam mais de um recurso.

Com as permissões apropriadas, o aplicativo pode ler os perfis de usuários ou grupos que ele obtém seguindo os links nas propriedades de navegação. Por exemplo, /users/{id}/directReports ou /groups/{id}/members.

Informações limitadas retornadas para objetos membro inacessíveis

Objetos de contêiner, como grupos, oferecem suporte a membros de vários tipos; por exemplo, usuários e dispositivos. Quando um aplicativo consulta a associação de um objeto contêiner e não tem permissão para ler um determinado tipo, os membros desse tipo são retornados, mas com informações limitadas. O aplicativo recebe umas 200 respostas e uma coleção de objetos. Informações completas são retornadas para os tipos de objetos que o aplicativo tem permissões para ler. Para os tipos de objetos que o aplicativo não tem permissão para ler, apenas o tipo e a ID do objeto são retornados.

Isso é aplicado a todos as relações que são do tipo directoryObject (não apenas aos links de membro). Os exemplos incluem /groups/{id}/members, /users/{id}/memberOf ou me/ownedObjects.

Por exemplo, digamos que um aplicativo tenha as permissões de User.Read.All e Group.Read.All do Microsoft Graph. Um grupo foi criado e esse grupo contém um usuário, um grupo e um dispositivo. O aplicativo chama aos membros do grupo de listas. O aplicativo tem acesso aos objetos de usuário e grupo no grupo, mas não ao objeto do dispositivo. Na resposta, todas as propriedades selecionadas dos objetos de usuário e grupo são retornadas. No entanto, para o objeto de dispositivo, apenas as informações limitadas são retornadas. O tipo de dados e a ID do objeto são retornados para o dispositivo, mas todas as outras propriedades têm um valor nulo. Os aplicativos sem permissão não poderão usar a ID para obter o objeto real.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Segue a resposta de JSON:

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Recuperando as IDs de permissão

Se precisar definir permissões usando a CLI do Azure, PowerShell ou infraestrutura como estruturas de código, talvez seja necessário o identificador da permissão que deseja usar em vez do nome. Você pode usar a CLI do Azure para recuperar o identificador executando az ad sp list. No entanto, isso gera uma lista muito longa e pode ser difícil encontrar a permissão específica desejada. Se você já sabe o nome da permissão de que precisa, pode executar o seguinte comando usando a CLI do Azure:

az ad sp list --query "[?appDisplayName=='Microsoft Graph'].{permissions:oauth2Permissions}[0].permissions[?value=='<NAME OF PERMISSION>'].{id: id, value: value, adminConsentDisplayName: adminConsentDisplayName, adminConsentDescription: adminConsentDescription}[0]" --all

A resposta deve ser semelhante ao exemplo a seguir, que contém a descrição, identificador, nome de exibição e nome da permissão:

{
  "adminConsentDescription": "Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user.  Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. ",
  "adminConsentDisplayName": "Read all groups",
  "id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
  "value": "Group.Read.All"
}

Permissões de revisões de acesso

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
AccessReview.Read.All Ler todas as revisões de acesso Permite que o aplicativo leia as revisões de acesso em nome do usuário conectado. Sim Não
AccessReview.ReadWrite.All Gerenciar todas as revisões de acesso Permite que o aplicativo leia e grave revisões de acesso em nome do usuário conectado. Sim Não
AccessReview.ReadWrite.Membership Gerenciar revisões de acesso para participações em grupo e aplicativos Permite que o aplicativo leia e grave revisões de acesso de grupos e aplicativos em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
AccessReview.Read.All Ler todas as revisões de acesso Permite que o aplicativo leia revisões de acesso sem um usuário conectado. Sim
AccessReview.ReadWrite.Membership Gerenciar revisões de acesso para participações em grupo e aplicativos Permite que o aplicativo gerencie o acesso a revisões de aplicativos e grupos sem um usuário conectado. Sim

Comentários

AccessReview.Read.All, AccessReview.ReadWrite.All, AccessReview.ReadWrite.Membership são válidos apenas para contas corporativas ou de estudante.

Para um aplicativo com permissões delegadas para ler as revisões de acesso de um grupo ou aplicativo, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuários. Para um aplicativo com permissões delegadas para gravar revisões de acesso de um grupo ou aplicativo, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global ou Administrador de Usuários.

Para um aplicativo com permissões delegadas para ler revisões de acesso de uma função do Azure AD, o usuário conectado deve ser um membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Função Privilegiada. Para um aplicativo com permissões delegadas para gravar revisões de acesso de uma função do Azure AD, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global ou Administrador de Função Privilegiada.

Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.


Permissões de unidades administrativas

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
AdministrativeUnit.Read.All Ler unidades administrativas Permite que o aplicativo leia as unidades administrativas e a associação de unidade administrativa em nome do usuário conectado. Sim Não
AdministrativeUnit.ReadWrite.All Ler e gravar unidades administrativas Permite que o aplicativo crie, leia, atualize e exclua unidades administrativas e gerencie a associação de unidade administrativa em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
AdministrativeUnit.Read.All Ler todas as unidades administrativas Permite que o aplicativo leia as unidades administrativas e a associação de unidade administrativa sem um usuário conectado. Sim
AdministrativeUnit.ReadWrite.All Ler e gravar todas as unidades administrativas Permite que o aplicativo crie, leia, atualize e exclua as unidades administrativas e gerencie a participação em unidades administrativas sem um usuário conectado. Sim

Comentários

Com a permissão AdministrativeUnit.Read.All um aplicativo pode ler informações sobre a unidade administrativa, incluindo membros.

Com a permissão AdministrativeUnit.Read.All um aplicativo pode cria, ler, atualizar e deletar informações sobre a unidade administrativa, incluindo membros.

AdministrativeUnit.Read.All e AdministrativeUnit. ReadWrite.All só são válidos para contas corporativas ou de estudante.

Exemplo de uso

  • AdministrativeUnit.Read.All: Ler unidades administrativas (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: Ler lista de membros de uma unidade administrativa (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: Criar uma unidade administrativa (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: Atualizar uma unidade administrativa (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: Adicionar membros a uma unidade administrativa (POST /beta/administrativeUnits/<id>/members)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de recurso do Analytics

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Analytics.Read Leia as estatísticas das atividades do usuário. Permite que o aplicativo leia as estatísticas das atividades do usuário conectado, como quanto tempo o usuário gastou em e-mails, em reuniões ou em sessões de chat. Não

Permissões de aplicativos

Nenhuma.

Exemplo de uso

Delegado

Application

Nenhum


Permissões de recurso AppCatalog

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Conta da Microsoft necessária
AppCatalog.Read.All Ler todos os catálogos de aplicativos Permite que o aplicativo leia os aplicativos no catálogo de aplicativos. Não Não
AppCatalog.ReadWrite.All Ler e gravar em todos os catálogos de aplicativo Permite que o aplicativo crie, leia, atualize e exclua aplicativos nos catálogos do aplicativo. Sim Não
AppCatalog.Submit Envie um aplicativo para análise do administrador Permite que o usuário envie um aplicativo para revisão do administrador para publicação no catálogo de aplicativos de uma organização e permite que o usuário cancele envios anteriores que não foram publicados.
𝐍𝐎𝐓𝐄: Usuários não administradores enviam aplicativos para revisão incluindo o parâmetro de consulta requiresReview=true.
Sim Não

Permissões de aplicativos

Nenhum.

Comentários

No momento o único catálogo é a lista de aplicativos no Microsoft Teams.

Exemplo de uso

Delegated

Aplicativo

Nenhum.


Permissões de recursos de aplicação

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Application.Read.All Ler aplicativos Permite que o aplicativo leia aplicativos e entidades de serviço em nome do usuário conectado. Sim
Application.ReadWrite.All Ler e gravar todos os aplicativos Permite que o aplicativo crie, leia, atualize e exclua aplicativos e entidades de serviço em nome do usuário conectado. Sim
AppRoleAssignment.ReadWrite.All Gerenciar concessões de permissão de aplicativo e atribuições de função de aplicativo Permite que o aplicativo gerencie concessões de permissão para permissões de aplicativos para qualquer API (incluindo o Microsoft Graph) e atribuições de aplicativos para qualquer aplicativo, em nome do usuário conectado. Sim
DelegatedPermissionGrant.ReadWrite.All Gerenciar concessões de permissão delegadas Permite que o aplicativo gerencie concessões de permissão para permissões de representante expostas por qualquer API (incluindo o Microsoft Graph), em nome do usuário conectado. Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Application.Read.All Ler aplicativos Permite que o aplicativo leia aplicativos e entidades de serviço sem um usuário conectado. Sim
Application.ReadWrite.All Ler e gravar todos os aplicativos Permite que o aplicativo de chamada crie e gerencie (leia, atualize, atualize segredos do aplicativo e exclua) aplicativos e serviços sem um usuário conectado. Não permite o gerenciamento de concessões de autorizações ou atribuições de aplicativos a usuários ou grupos. Sim
Application.ReadWrite.OwnedBy Gerenciar aplicativos que este aplicativo criar ou possuir Permite que o aplicativo de chamada crie outros aplicativos e entidades de serviço, e gerencie completamente esses aplicativos e entidades de serviço (leia, atualize, atualize os segredos do aplicativo e exclua), sem um usuário conectado. Ele não poderá atualizar os aplicativos que não pertencem a ele. Não permite o gerenciamento de concessões de autorizações ou atribuições de aplicativos a usuários ou grupos. Sim
AppRoleAssignment.ReadWrite.All Gerenciar concessões de permissão de aplicativo e atribuições de função de aplicativo Permite que o aplicativo gerencie concessões de permissão para permissões de aplicativos para qualquer API (incluindo o Microsoft Graph) e atribuições de aplicativos para qualquer aplicativo, sem um usuário conectado. Sim
DelegatedPermissionGrant.ReadWrite.All Gerenciar todas as concessões de permissão de representante Permite que o aplicativo conceda ou revogue qualquer permissão delegada para qualquer API (incluindo Microsoft Graph), sem um usuário conectado. Sim

Comentários

A permissão Application.ReadWrite.OwnedBy permite as mesmas operações que Application.ReadWrite.All, exceto que a primeira permite essas operações apenas em aplicativos e entidades de serviço dos quais o aplicativo de chamada é proprietário. A propriedade é indicada pela owners propriedade de navegação no aplicativo de destino ou no recurso principal de serviço.

OBSERVAÇÃO: o uso da permissão Application.ReadWrite.OwnedBy para chamar GET /applications para listar aplicativos falhará com um erro 403. Use GET servicePrincipals/{id}/ownedObjects para listar os aplicativos que pertencem ao aplicativo da chamada.

Exemplo de uso

Delegado

  • Application.Read.All: listar todos os aplicativos (GET /v1.0/applications)
  • Application.ReadWrite.All: atualizar uma entidade de serviço (PATCH /v1.0/servicePrincipals/{id})

Aplicativo

  • Application.Read.All: listar todos os aplicativos (GET /v1.0/applications)
  • Application.ReadWrite.All: excluir uma entidade de serviço (DELETE /v1.0/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: criar um aplicativo (POST /v1.0/applications)
  • Application.ReadWrite.OwnedBy: Listar todos os aplicativos pertencentes ao aplicativo da chamada (GET /v1.0/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: adicionar outro proprietário a um aplicativo próprio (POST /v1.0/applications/{id}/owners/$ref).

    OBSERVAÇÃO: isso pode exigir permissões adicionais.


Permissões de log de auditoria

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
AuditLog.Read.All Ler dados de log de auditoria Permite que o aplicativo leia e consulte suas atividades de log de auditoria, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
AuditLog.Read.All Ler todos os dados do log de auditoria Permite que o aplicativo leia e consulte suas atividades de log de auditoria, sem um usuário conectado. Sim

Permissões da chave de recuperação do BitLocker

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
BitlockerKey.ReadBasic.All Ler as informações básicas das chaves do BitLocker Permite que um aplicativo leia as propriedades da chave do BitLocker para todos os dispositivos no locatário. A chave de recuperação não será retornada. Sim Não
BitlockerKey.Read.All Ler a chave do BitLocker Permite que um aplicativo leia as chaves do BitLocker para todos os dispositivos no locatário. A chave de recuperação será retornada. Sim Não

Permissões de aplicativos

Nenhuma.

Exemplo de uso

Delegado

  • BitlockerKey.ReadBasic.All: Listar as chaves de recuperação do BitLocker para todos os dispositivos no locatário sem retornar a propriedade 'key' (GET /bitlocker/recoveryKeys).
  • BitlockerKey.Read.All: Obter uma chave de recuperação do BitLocker com a chave de recuperação (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Permissões do Bookings

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Bookings.Read.All Permite que um aplicativo leia compromissos, empresas, clientes, serviços e funcionários do Bookings em nome do usuário conectado. Destinados a aplicativos somente leitura. O usuário-alvo típico é o cliente de uma empresa de reservas. Não Não
BookingsAppointment.ReadWrite.All Permite que um aplicativo leia e grave compromissos e clientes do Bookings, permitindo também a leitura de empresas, serviços e funcionários em nome do usuário conectado. Desenvolvido para aplicativos de agendamento que precisam manipular compromissos e clientes. Não pode alterar informações fundamentais sobre a empresa de reservas, nem seus serviços e funcionários. O usuário-alvo típico é o cliente de uma empresa de reservas. Não Não
Bookings.ReadWrite.All Permite que um aplicativo leia e grave compromissos, empresas, clientes, serviços e funcionários do Bookings em nome do usuário conectado. Não permite criar, excluir ou publicar de empresas do Bookings. Voltado a aplicativos de gerenciamento que manipulam empresas existentes, seus serviços e seus funcionários. Não pode criar, excluir ou alterar o status de publicação de uma empresa de reservas. O usuário-alvo típico é o funcionário de suporte de uma organização. Não Não
Bookings.Manage.All Permite que um aplicativo leia, grave e gerencie compromissos, empresas, clientes, serviços e funcionários do Bookings em nome do usuário conectado. Permite que o aplicativo tenha acesso total.
Voltado a uma experiência de gerenciamento completa. O usuário-alvo típico é o administrador de uma organização.
Não Não

Permissões de aplicativos

Nenhuma.

Exemplo de uso

Delegado

  • Bookings.Read.All: obter a ID e os nomes do conjunto de empresas do Bookings que foi criado para um locatário (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All: criar um compromisso para um serviço em uma empresa de reservas (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: criar um novo serviço para as empresas especificadas de reservas (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All: disponibilizar a página de agendamento dessa empresa para clientes externos (POST /bookingBusinesses/{id}/publish).

Permissões de calendários

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Calendars.Read Ler calendários do usuário Permite ao aplicativo ler eventos nos calendários do usuário. Não Sim
Calendars.Read.Shared Ler usuários e calendários compartilhados Permite que o aplicativo leia os eventos em todos os calendários a que o usuário tem acesso, incluindo os delegados e os calendários compartilhados. Não Não
Calendars.ReadWrite Ter acesso total aos calendários do usuário Permite ao aplicativo criar, ler, atualizar e excluir eventos em calendários do usuário. Não Sim
Calendars.ReadWrite.Shared Ler e registrar usuário e calendários compartilhados Permite ao aplicativo criar, ler, atualizar e excluir eventos de todos os calendários que o usuário tenha permissão para acessar. Isso inclui o delegado e os calendários compartilhados. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Calendars.Read Ler calendários em todas as caixas de correio Permite ao aplicativo ler eventos de todos os calendários sem um usuário conectado. Sim
Calendars.ReadWrite Ler e gravar calendários em todas as caixas de correio Permite ao aplicativo criar, ler, atualizar e excluir eventos de todos os calendários sem um usuário conectado. Sim

Os Administradores Importantes podem configurar a política de acesso ao aplicativo para limitar o acesso do aplicativo às caixas de correio específicas e não a todas as caixas de correio na organização, mesmo que as permissões de aplicativo do Calendars.Read ou Calendars.ReadWrite sejam concedidas ao aplicativo.

Exemplo de uso

Delegado

  • Calendars.Read: Obter eventos do calendário do usuário entre 23 de abril de 2017 e 29 de abril de 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Encontrar horários de reuniões onde todos os participantes estejam disponíveis (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: Adicionar um evento ao calendário do usuário (POST /me/events).

Aplicativo

  • Calendars.Read: Localizar eventos do calendário de uma sala de conferências organizado por pedro@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: Listar todos os eventos do mês de maio do calendário de um usuário (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: Adicionar um evento de folga aprovada (POST /users/{id | userPrincipalName}/events) ao calendário de um usuário.

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões de chamadas

Permissões delegadas

Nenhum.


Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Calls.Initiate.All Iniciar chamadas de saída 1:1 do aplicativo (visualização) Permite que o aplicativo faça chamadas de saída para um único usuário e transfira chamadas para usuários no diretório da sua organização, sem um usuário conectado. Sim
Calls.InitiateGroupCall.All Iniciar a saída de chamadas de grupo do aplicativo (visualização) Permite que o aplicativo faça chamadas para vários usuários e adicione participantes a reuniões em sua organização, sem um usuário conectado. Sim
Calls.JoinGroupCall.All Ingressar em reuniões e chamadas de grupo como um aplicativo (visualização) Permite que o aplicativo ingresse em reuniões agendadas e chamadas de grupo em sua organização, sem um usuário conectado. O aplicativo será associado aos privilégios de um usuário do diretório para reuniões em seu locatário. Sim
Calls.JoinGroupCallasGuest.All Ingressar em reuniões e chamadas de grupo como um convidado (visualização) Permite que o aplicativo ingresse anonimamente no grupo chamadas e em reuniões agendadas em sua organização, sem um usuário conectado. O aplicativo ingressará como convidado para reuniões em seu locatário. Sim
Calls.AccessMedia.All* Acessar fluxos de mídia em uma chamada como um aplicativo (visualização) Permite que o aplicativo obtenha acesso direto aos fluxos de mídia em uma chamada sem um usuário conectado. Sim

*Importante: NÃO é possível usar as APIs de comunicações na nuvem para gravar ou persistir o conteúdo de mídia de chamadas ou reuniões que seu aplicativo acessa ou dados derivados desse conteúdo de mídia. Certifique-se de que você está em conformidade com as leis e regulamentações de sua área em relação à proteção de dados e à confidencialidade das comunicações. Confira os Termos de Uso e converse com sua assessoria jurídica para saber mais.


Exemplo de uso

Aplicativo

  • Calls.Initiate.All: fazer uma chamada de ponto a ponto do aplicativo para um usuário na organização (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All: Faça uma chamada em grupo do aplicativo para um grupo de usuários na organização (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All: ingressar em uma chamada de grupo ou em uma reunião online do aplicativo (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All: Ingresse em uma chamada de grupo ou em uma reunião online do aplicativo, mas o aplicativo só tem privilégios de convidado na reunião (POST /beta/communications/calls).
  • Calls.AccessMedia.All: criar ou ingressar em uma chamada e o aplicativo é o acesso direto aos fluxos de participantes de mídia na chamada (POST /beta/communications/calls).

Observação: para obter exemplos solicitação, confira Criar chamada.

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões dos registros de chamadas

Permissões delegadas

Nenhum.


Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
CallRecords.Read.All Ler todos os registros de chamadas Permite que o aplicativo leia registros de chamadas de todas as chamadas e reuniões on-line sem um usuário conectado. Sim
CallRecord-PstnCalls.Read.All Ler PSTN e dados de log de chamadas de roteamento direto Permite que o aplicativo leia todos os dados de registro de chamadas PSTN e roteamento direto sem um usuário conectado. Sim

Comentários

A permissão CallRecords.Read.All concede a um aplicativo acesso privilegiado ao callRecords para todas as chamadas e reuniões online dentro da organização, incluindo chamadas de e para números de telefone externos. Isso inclui detalhes potencialmente confidenciais sobre quem participou da chamada, bem como informações técnicas referentes a essas chamadas e reuniões, que podem ser usadas para solucionar problemas de rede, como endereços IP, detalhes do dispositivo e outras informações de rede.

A permissão CallRecord-PstnCalls.Read.All concede a um aplicativo acesso a PSTN (planos de chamadas) e registros de chamadas de roteamento direto. Isso inclui informações potencialmente confidenciais sobre os usuários, bem como chamadas de e para números de telefone externos.

Importante: A discrição deve ser usada ao conceder essas permissões aos aplicativos. Os registros de chamadas podem fornecer informações sobre a operação de seus negócios e, portanto, podem ser um alvo para agentes mal-intencionados. Conceda essas permissões apenas aos aplicativos em que você confia para atender aos seus requisitos de proteção de dados.

Importante: certifique-se de que está em conformidade com as leis e regulamentos da sua área em relação à proteção de dados e à confidencialidade das comunicações. Confira os Termos de Uso e converse com sua assessoria jurídica para saber mais.


Exemplo de uso

Aplicativo

  • CallRecords.Read.All: recuperar um registro de chamada (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All: assinar novos registros de chamadas (POST /v1.0/subscriptions).
  • CallRecords.Read.All: recuperar os registros de chamadas de roteamento direto no intervalo de tempo especificado (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: recupera registros de chamadas PSTN dentro do intervalo de tempo especificado (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)))

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões de canal

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Channel.ReadBasic.All Ler os nomes e descrições dos canais. Ler os nomes e as descrições dos canais, em nome do usuário conectado. Não Não
Channel.Create Criar canais. Criar canais em qualquer equipe, em nome do usuário conectado. Sim Não
Channel.Delete.All Excluir canais. Excluir os canais de qualquer equipe, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Channel.ReadBasic.All Ler os nomes e as descrições de todos os canais. Ler todos os nomes e descrições do canal, sem um usuário conectado. Sim Não
Channel.Create Criar canais. Criar canais em qualquer equipe, sem um usuário conectado. Sim Não
Channel.Delete.All Excluir canais. Excluir os canais de qualquer equipe, sem um usuário conectado. Sim Não
Teamwork.Migrate.All Gerenciar a migração do Microsoft Teams Criar e gerenciar recursos de migração do Microsoft Teams Sim Sim

Permissões de membro do canal

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChannelMember.Read.All Leia os membros dos canais. Leia os membros dos canais em nome do usuário conectado. Sim Não
ChannelMember.ReadWrite.All Adicione e remova membros dos canais. Adicione e remova membros dos canais em nome do usuário conectado. Também permite alterar a função de um membro. Por exemplo: de proprietário para não proprietário. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChannelMember.Read.All Leia os membros dos canais. Leia os membros dos canais sem um usuário conectado. Sim Não
ChannelMember.ReadWrite.All Adicione e remova membros dos canais. Adicione e remova membros dos canais sem um usuário conectado. Também permite alterar a função de um membro. Por exemplo: de proprietário para não proprietário. Sim Não

Permissões de mensagem de canal

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChannelMessage.Delete (visualização privada) Excluir mensagens de canal do usuário Permite que um aplicativo exclua mensagens de canal no Microsoft Teams, em nome do usuário conectado. Sim Não
ChannelMessage.Edit (visualização privada) Editar mensagens de canal do usuário Permite que um aplicativo edite mensagens de canal no Microsoft Teams, em nome do usuário conectado. Sim Não
ChannelMessage.Read.All Ler mensagens do canal do usuário Permite que um aplicativo leia as mensagens de um canal no Microsoft Teams, em nome do usuário conectado. Sim Não
ChannelMessage.Send Enviar a mensagem do canal Permite que um aplicativo envie mensagens de canal no Microsoft Teams, em nome do usuário conectado. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChannelMessage.Read.All Listar mensagens do canal Permite que um aplicativo leia todas as mensagens de canal do Microsoft Teams, sem um usuário conectado. Sim Não
ChannelMessage.UpdatePolicyViolation.All Sinalizar mensagens de canal para a política de violação Permite que o aplicativo atualize as mensagens do canal do Microsoft Teams, aplicando um conjunto de propriedades de violação da política de prevenção contra perda de dados (DLP) para controlar a saída de processamento DLP. Sim Não

Observação: consulte também Group. Read. All.

Permissões de configurações de canal

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChannelSettings.Read.All Ler os nomes, descrições e configurações dos canais. Ler todos os nomes, descrições e configurações dos canais, em nome do usuário conectado. Sim Não
ChannelSettings.ReadWrite.All Ler e gravar os nomes, descrições e configurações dos canais. Ler e gravar os nomes, descrições e configurações de todos os canais, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChannelSettings.Read.All Ler os nomes, descrições e configurações de todos os canais. Ler todos os nomes, descrições e configurações do canal, sem um usuário conectado. Sim Não
ChannelSettings.ReadWrite.All Ler e gravar os nomes, descrições e configurações de todos os canais. Ler e gravar os nomes, descrições e configurações de todos os canais, sem um usuário conectado. Sim Não

Permissões de chat

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Chat.Read Ler suas mensagens de bate-papo Permite que um aplicativo leia, em seu nome, suas mensagens de bate-papo de um para um ou de grupo no Microsoft Teams. Não Não
Chat.ReadBasic Ler nomes e membros de threads de chat do usuário Permite que um aplicativo leia os membros e as descrições de threads de chat individuais e de grupo, em nome do usuário conectado. Não Não
Chat.ReadWrite Leia as suas mensagens de chat e envie novas mensagens Permite que um aplicativo leia e envie, em seu nome, suas mensagens de chat individual ou em grupo no Microsoft Teams. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Chat.Read.All Ler todas as mensagens de bate-papo Permite que um aplicativo leia, sem um usuário conectado, suas mensagens de bate-papo de um para um ou de grupo no Microsoft Teams. Sim Não
Chat.ReadBasic.All Ler nomes e membros de threads de chat do usuário Ler nomes e membros de todos os threads de chat. Sim Não
Chat.UpdatePolicyViolation.All Sinalizar mensagens de chat para a política de violação Permite que o aplicativo atualize as mensagens de chat de grupo ou Microsoft Teams 1:1, aplicando um conjunto de propriedades de violação da política de prevenção contra perda de dados (DLP) para controlar a saída de processamento DLP. Sim Não

Observação: para mensagens em um canal, consulte permissões ChannelMessage.

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChatSettings.Read.Chat Leia as configurações deste chat. Permite que o aplicativo leia as configurações deste chat, sem um usuário conectado. Não Não
ChatSettings.ReadWrite.Chat Leia e escreva as configurações deste chat. Permite que o aplicativo leia e grave as configurações deste chat, sem um usuário conectado. Não Não
ChatMessage.Read.Chat Leia as mensagens deste chat. Permite que o aplicativo leia as mensagens deste chat, sem um usuário conectado. Não Não
ChatMember.Read.Chat Leia os membros deste chat. Permite que o aplicativo leia os membros deste chat, sem um usuário conectado. Não Não
Chat.Manage.Chat Gerenciar este chat Permite que o aplicativo gerencie o chat, os membros do chat e conceda acesso aos dados do chat, sem um usuário conectado. Não Não
TeamsTab.Read.Chat Leia as guias deste chat. Permite que o aplicativo leia as guias deste chat, sem um usuário conectado. Não Não
TeamsTab.Create.Chat Criar as guias neste chat. Permite que o aplicativo crie guias neste chat, sem um usuário conectado. Não Não
TeamsTab.Delete.Chat Exclua as guias deste chat. Permite que o aplicativo exclua as guias deste chat, sem um usuário conectado. Não Não
TeamsTab.ReadWrite.Chat Gerenciar as guias deste chat. Permite que o aplicativo gerencie as guias deste chat, sem um usuário conectado. Não Não
TeamsAppInstallation.Read.Chat Leia quais aplicativos estão instalados neste chat. Permite que o aplicativo leia os aplicativos Teams que estão instalados neste chat junto com as permissões concedidas a cada aplicativo, sem um usuário conectado. Não Não
OnlineMeeting.ReadBasic.Chat Leia as propriedades básicas de uma reunião associada a este chat. Permite que o aplicativo leia as propriedades básicas - como nome, programação, organizador e link de ingresso - de uma reunião associada a este chat, sem um usuário conectado. Não Não
Calls.AccessMedia.Chat Acesse fluxos de mídia em chamadas associadas a esse chat ou reunião. Permite que o aplicativo acesse fluxos de mídia em chamadas associadas a esse chat ou reunião, sem um usuário conectado. Não Não
Calls.JoinGroupCalls.Chat Participe de chamadas associadas a esse chat ou reunião. Permite que o aplicativo leia as propriedades básicas - como nome, programação, organizador e link de ingresso - de uma reunião associada a este chat, sem um usuário conectado. Não Não
TeamsActivity.Send.Chat Envie notificações de feed de atividades para usuários neste chat. Permite que o aplicativo crie novas notificações nos feeds de atividades de trabalho em equipe dos usuários neste chat, sem um usuário conectado. Não Não

Observação

Atualmente, estas permissões são suportadas apenas na versão beta do Microsoft Graph.

Permissões chatMessage

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ChatMessage.Send Enviar mensagens de chat do usuário Permite que o aplicativo envie mensagens de chat individuais e de grupo no Microsoft Teams, em nome do usuário conectado. Não Não

Permissões do PC na nuvem

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
CloudPC.Read.All Leia PCs na Internet Permite que o aplicativo leia objetos do PC na Internet, como políticas de provisionamento, em nome do usuário conectado. Não Não
CloudPC.ReadWrite.All Ler e escrever PCs na Internet Permite que o aplicativo crie, leia, atualize e exclua objetos do PC na Internet, como conexões locais, políticas de provisionamento e imagens do dispositivo, em nome do usuário. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
CloudPC.Read.All Leia PCs na Internet Permite que o aplicativo leia objetos do PC na Internet, como políticas de provisionamento, sem um usuário conectado. Não Não
CloudPC.ReadWrite.All Ler e escrever PCs na Internet Permite que o aplicativo crie, leia, atualize e exclua objetos do PC na Internet, como conexões locais, políticas de provisionamento e imagens de dispositivo, sem um usuário conectado. Sim Não

Exemplo de uso

Delegado

  • CloudPC.Read.All: visualize as propriedades de todos os PCs na Internet(GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: edite a política de provisionamento do PC na Internet(PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Aplicativo

  • CloudPC.Read.All: visualize as propriedades de todos os PCs na Internet(GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: edite a política de provisionamento do PC na Internet(PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ConsentRequest.Read.All Ler solicitações de consentimento Permite que o aplicativo leia solicitações e aprovações de consentimento, em nome do usuário conectado. Sim Não
ConsentRequest.ReadWrite.All Ler e gravar solicitações de consentimento Permite que o aplicativo leia solicitações e aprovações de consentimento e negue ou aprove essas solicitações em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
ConsentRequest.Read.All Ler solicitações de consentimento Permite que o aplicativo leia as solicitações e aprovações de consentimento do aplicativo sem um usuário conectado. Sim
ConsentRequest.ReadWrite.All Ler e gravar solicitações de consentimento Permite que o aplicativo leia solicitações e aprovações de consentimento de aplicativo e negue ou aprove essas solicitações sem um usuário conectado. Sim

Permissões de contatos

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Contacts.Read Ler contatos do usuário Permite ao aplicativo ler os contatos do usuário. Não Sim
Contacts.Read.Shared Ler usuário e contatos compartilhados Permite que o aplicativo leia os contatos que o usuário tem permissão de acessar, incluindo os próprios contatos do usuário e os contatos compartilhados. Não Não
Contacts.ReadWrite Ter acesso total aos contatos do usuário Permite ao aplicativo criar, ler, atualizar e excluir contatos do usuário. Não Sim
Contacts.ReadWrite.Shared Ler e registrar usuário e contatos compartilhados Permite que o aplicativo crie, leia, atualize e exclua os contatos para os quais o usuário tem permissão, incluindo os próprios contatos do usuário e os contatos compartilhados. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Contacts.Read Ler contatos em todas as caixas de correio Permite ao aplicativo ler todos os contatos em todas as caixas de correio sem um usuário conectado. Sim
Contacts.ReadWrite Ler e gravar contatos em todas as caixas de correio Permite ao aplicativo criar, ler, atualizar e excluir todos os contatos em todas as caixas de correio sem um usuário conectado. Sim

Os Administradores Importantes podem configurar a política de acesso ao aplicativo para limitar o acesso do aplicativo às caixas de correio específicas e não a todas as caixas de correio na organização, mesmo que as permissões de aplicativo do Contacts.Read or Contacts.ReadWrite sejam concedidas ao aplicativo.

Exemplo de uso

Delegado

  • Contacts.Read: Ler um contato a partir de uma das pastas de contatos de nível superior do usuário conectado (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Atualizar a foto de contato de um dos contatos do usuário conectado (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Adicionar contatos à pasta raiz do usuário conectado (POST /me/contacts).

Aplicativo

  • Contacts.Read: Ler contatos a parir de uma das pastas de contatos de nível superior de qualquer usuário da organização (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Atualizar a foto de qualquer contato de qualquer usuário em uma organização (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Adicionar contatos à pasta raiz de qualquer usuário da organização (POST /users/{id | userPrincipalName}/contacts).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de atributos de segurança personalizados

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
CustomSecAttributeAssignment.ReadWrite.All Ler e escrever atribuições de atributos de segurança personalizados Permite que o aplicativo leia e grave atribuições de atributos de segurança personalizados para todos os principais no locatário em nome de um usuário conectado. Sim Não
CustomSecAttributeDefinition.ReadWrite.All Ler e escrever definições de atributos de segurança personalizados Permite que o aplicativo leia e grave definições de atributo de segurança personalizadas para o locatário em nome de um usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
CustomSecAttributeAssignment.ReadWrite.All Ler e escrever atribuições de atributos de segurança personalizados Permite que o aplicativo leia e grave atribuições de atributos de segurança personalizados para todos os principais no locatário sem um usuário conectado. Sim
CustomSecAttributeDefinition.ReadWrite.All Ler e escrever definições de atributos de segurança personalizados Permite que o aplicativo leia e grave definições de atributos de segurança personalizados para o locatário sem um usuário conectado. Sim

Permissões de dispositivos

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Device.Read Ler os dispositivos do usuário Permite ao aplicativo ler a lista de dispositivos do usuário em nome do usuário conectado. Não Sim
Device.Read.All Leia todos os dispositivos Permite que o aplicativo leia as informações de configuração dos dispositivos da sua organização, em nome do usuário conectado. Sim Sim
Device.Command Comunicar-se com os dispositivos do usuário Permite ao aplicativo se comunicar ou inicializar outro aplicativo no dispositivo do usuário em nome do usuário conectado. Não Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Device.Read.All Leia todos os dispositivos Permite que o aplicativo leia as informações de configuração dos dispositivos da sua organização sem um usuário conectado. Sim
Device.ReadWrite.All Ler e registrar dispositivos Permite que o aplicativo leia e registre todas as propriedades dos dispositivos sem um usuário conectado. Não permite a criação de dispositivos, exclusão de dispositivos ou atualização de identificadores de segurança de dispositivo alternativo. Sim

Observação

Antes de 3 de dezembro de 2020, quando a permissão de solicitação do aplicativo Device.ReadWrite.All foi concedida, a função do diretório Gerenciadores de Diretório também foi atribuída ao diretor de serviços do aplicativo. Essa atribuição de função de diretório não é removida automaticamente quando as permissões de aplicativo associadas são revogadas. Para garantir que o acesso de um aplicativo a leitura ou gravação nos dispositivos seja removido, os clientes também devem remover as funções de diretório que foram concedidas ao aplicativo.

Uma atualização de serviço desativando esse comportamento começou a ser lançada em 3 de dezembro de 2020. Implantação para todos os clientes concluída em 11 de janeiro de 2021. As funções de diretório não são mais atribuídas automaticamente quando as permissões do aplicativo são concedidas.

Exemplo de uso

Aplicativo

  • Device.ReadWrite.All: Ler todos os dispositivos registrados na organização (GET /devices).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões do diretório

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Directory.Read.All Ler dados do diretório Permite ao aplicativo ler dados no diretório da sua organização, como usuários, grupos e aplicativos. Observação: os usuários poderão dar o consentimento aos aplicativos que exigem essa permissão se o aplicativo estiver registrado no locatário da própria organização. Sim Não
Directory.ReadWrite.All Ler e gravar dados de diretório Permite ao aplicativo ler e gravar dados no diretório da sua organização, como usuários e grupos. Não permite ao aplicativo excluir usuários ou grupos, ou redefinir senhas de usuário. Sim Não
Directory.AccessAsUser.All Access Directory como o usuário conectado Permite ao aplicativo ter o mesmo acesso que o usuário conectado a informações no diretório. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Directory.Read.All Ler dados do diretório Permite ao aplicativo ler dados no diretório da sua organização, como usuários, grupos e aplicativos, sem um usuário conectado. Sim
Directory.ReadWrite.All Ler e gravar dados de diretório Permite ao aplicativo ler e registrar dados no diretório de sua organização, como usuários e grupos, sem um usuário conectado. Não permite a exclusão de usuários ou grupos. Sim

Comentários

As permissões de diretório fornecem o nível mais alto de privilégio para acessar recursos de diretório, como usuário, grupo e dispositivo em uma organização.

Eles também controlam exclusivamente o acesso a outros recursos de diretório, como: contatos organizacionais, APIs de extensão de esquema, APIs de gerenciamento de identidade privilegiada (PIM), bem como muitos dos recursos e APIs listados no nó Azure Active Directory na documentação de referência da API v1.0 e beta. Isso inclui unidades administrativas, funções de diretório, configurações de diretório, política e muito mais.

Observação

Antes de 3 de dezembro de 2020, quando a permissão do aplicativo Directory.Read.All foi concedido, o Leitores de diretório a função de diretório também foi atribuída ao principal de serviço do aplicativo. Quando Directory.ReadWrite.All foi concedido, o Escritores de diretórioa função de diretório também foi atribuída. Essas funções de diretório não são removidas automaticamente quando as permissões de aplicativo associadas são revogadas. Para remover o acesso de um aplicativo para ler ou gravar no diretório, os clientes também deve remover as funções de diretório que foram concedidas ao aplicativo.

Uma atualização de serviço desativando esse comportamento começou a ser lançada em 3 de dezembro de 2020. Implantação para todos os clientes concluída em 11 de janeiro de 2021. As funções de diretório não são mais atribuídas automaticamente quando as permissões do aplicativo são concedidas.

A permissão Directory.ReadWrite.All concede os seguintes privilégios:

  • Leitura completa de todos os recursos de diretório (propriedades declaradas e propriedades de navegação)
  • Criar e atualizar usuários
  • Desabilitar e habilitar usuários (mas não o Administrador da Empresa)
  • Definir o identificador de segurança alternativa do usuário (mas não administradores)
  • Criar e atualizar grupos
  • Gerenciar associações do grupo
  • Atualizar o proprietário do grupo
  • Gerenciar as atribuições de licença
  • Definir as extensões de esquema em aplicativos
  • Gerenciar configurações de diretório
  • Gerenciar a configuração do fluxo de trabalho de consentimento do administrador (mas não se o consentimento do administrador é necessário ou quem está autorizado a conceder o consentimento do administrador)

Observação:

  • Nenhum direito de redefinir senhas de usuários.
  • A atualização das propriedades businessPhones, mobilePhone ou otherMails de outro usuário é permitida somente para usuários que não sejam administradores ou que tenham uma das seguintes funções atribuídas: Leitor de Diretório, Emissor de Convites Independente, Leitor do Centro de Mensagens e Leitor de Relatórios. Para obter mais detalhes, confira Administrador de suporte técnico (senha) nas funções disponíveis do Azure AD. Esse é o caso de aplicativos que receberam as permissões User.ReadWrite.All ou Directory.ReadWrite.All delegadas ou de aplicativo.
  • Nenhum direito de excluir recursos (incluindo usuários ou grupos).
  • Exclui especificamente a criação ou a atualização de recursos que não estão listados acima. Isso inclui: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains e assim por diante.

Exemplo de uso

Delegado

  • Directory.Read.All: Listar todas as unidades administrativas em uma organização (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All: Adicionar membros a uma função de diretório (POST /directoryRoles/{id}/members/$ref)

Aplicativo

  • Directory.Read.All: Listar todas as associações de um usuário, incluindo funções de diretório e unidades administrativas (GET /beta/users/{id}/memberOf)
  • Directory.Read.All: Listar todos os membros do grupo, incluindo as entidades de serviço (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All: Adicionar um proprietário a um grupo (POST /groups/{id}/owners/$ref)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de domínio

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Domain.ReadWrite.All Ler e registrar domínios Permite que o aplicativo leia e escreva domínios sem um usuário conectado. Sim

Permissões de eDiscovery

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
eDiscovery.Read.All Ler dados de casos de eDiscovery do usuário Permite que o aplicativo leia objetos de eDiscovery, como casos, custodiantes, conjuntos de revisão e outros objetos relacionados em nome do usuário conectado.. Sim Não
eDiscovery.ReadWrite.All Ler e gravar dados de casos de eDiscovery Permite que o aplicativo leia e grave objetos de descoberta eletrônica, como casos, custodiantes, conjuntos de revisão e outros objetos relacionados em nome do usuário conectado. Sim Não

Permissões de aplicativos

Nenhum

Exemplo de uso

Delegado

  • eDiscovery.Read.All: Obtenha a lista de casos disponíveis para o (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: Criar uma consulta de conjunto de revisões em um conjunto de revisões (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de educação

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
EduAdministration.Read Ler configurações do aplicativo educacional Permite que o aplicativo leia as configurações do aplicativo de educação em nome do usuário. Sim Não
EduAdministration.ReadWrite Gerenciar as configurações do aplicativo educacional Permite que o aplicativo gerencie as configurações do aplicativo de educação em nome do usuário. Sim Não
EduAssignments.ReadBasic Ler as tarefas de classe sem notas dos usuários Permite ao aplicativo ler as tarefas sem notas em nome do usuário Sim Não
EduAssignments.ReadWriteBasic Ler e gravar as tarefas de classe sem notas dos usuários Permite ao aplicativo ler e gravar as tarefas sem notas em nome do usuário Sim Não
EduAssignments.Read Ler o modo de exibição de tarefas de classe e as notas delas dos usuários Permite ao aplicativo ler as tarefas e as notas delas em nome do usuário Sim Não
EduAssignments.ReadWrite Ler e gravar o modo de exibição de tarefas da classe e as notas delas dos usuários Permite ao aplicativo ler e gravar as tarefas e as notas delas em nome do usuário Sim Não
EduRoster.ReadBasic Ler um subconjunto limitado do modo de exibição dos usuários da lista de participantes Permite que o aplicativo leia um subconjunto limitado das propriedades da estrutura de escolas e classes da lista de participantes de uma organização e um subconjunto limitado das propriedades dos usuários a serem lidos em nome do usuário. Inclui nome, status, função de formação, endereço de email e foto. Sim Não
EduRoster. Read Ler modo de exibição dos usuários da lista de participantes Permite ao aplicativo ler a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre os usuários a serem lidas em nome do usuário. Sim
EduRoster.ReadWrite Ler e escrever o modo de exibição dos usuários da lista de participantes Permite ao aplicativo ler e escrever a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre os usuários a serem lidas e escritas em nome do usuário. Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
EduAdministration.Read.All Ler configurações do aplicativo ducacional Ler o estado e as configurações de todos os aplicativos educacionais da Microsoft em nome do usuário Sim
EduAdministration.ReadWrite.All Gerenciar as configurações do aplicativo educacional Gerenciar o estado e as configurações de todos os aplicativos educacionais da Microsoft em nome do usuário sim
EduAssignments.ReadBasic.All Ler as tarefas de classe sem notas Permite ao aplicativo ler as tarefas sem notas para todos os usuários Sim
EduAssignments.ReadWriteBasic.All Ler e gravar as tarefas de classe sem notas Permite ao aplicativo ler e gravar as tarefas sem notas para todos os usuários Sim
EduAssignments.Read.All Ler as tarefas de classe com notas Permite ao aplicativo ler as tarefas e as notas delas para todos os usuários Sim
EduAssignments.ReadWrite.All Ler e gravar as tarefas de classe com notas Permite ao aplicativo ler e gravar as tarefas e as notas delas para todos os usuários Sim
EduRoster.ReadBasic.All Ler um subconjunto limitado da lista de participação da organização. Permite ao aplicativo ler um subconjunto limitado de estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre todos os usuários. Sim
EduRoster.Read.All Ler a lista de participação da organização. Permite ao aplicativo ler a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre todos os usuários a serem lidas. Sim
EduRoster.ReadWrite.All Ler e gravar a lista de participação da organização. Permite ao aplicativo ler e gravar a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre todos os usuários a serem lidas e gravadas. Sim

Exemplo de uso

Delegado

  • EduAssignments.Read: extrair as informações de atribuição do aluno conectado (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: enviar a tarefa do aluno conectado (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: aulas de que um usuário conectado participa como aluno ou professor (GET /education/classes/{id}/members)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de gerenciamento de direitos

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
EntitlementManagement.ReadWrite.All Ler e gravar os recursos de gerenciamento de direitos Permite ao aplicativo solicitar acesso para ler e gerenciar pacotes de acesso e recursos de gerenciamento de direitos relacionados em nome do usuário conectado. Sim
EntitlementManagement.Read.All Ler os recursos de gerenciamento de direitos Permite ao aplicativo solicitar acesso para ler pacotes de acesso e recursos de gerenciamento de direitos relacionados em nome do usuário conectado. Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
EntitlementManagement.ReadWrite.All Ler e gravar os recursos de gerenciamento de direitos Permite que o aplicativo leia e gerencie pacotes de acesso e recursos de gerenciamento de direitos relacionados. Sim
EntitlementManagement.Read.All Ler os recursos de gerenciamento de direitos Permite que o aplicativo leia pacotes de acesso e recursos de gerenciamento de direitos relacionados. Sim

Permissões de arquivos

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Files.Read Ler arquivos do usuário Permite que o aplicativo leia todos os arquivos do usuário conectado. Não Sim
Files.Read.All Ler todos os arquivos que o usuário pode acessar Permite que o aplicativo para leia todos os arquivos que o usuário conectado pode acessar. Não Sim
Files.ReadWrite Ter acesso total aos arquivos do usuário Permite que o aplicativo leia, crie, atualize e exclua os arquivos do usuário conectado. Não Sim
Files.ReadWrite.All Ter acesso total a todos os arquivos que o usuário pode acessar Permite que o aplicativo leia, crie, atualize e exclua todos os arquivos que o usuário conectado pode acessar. Não Sim
Files.ReadWrite.AppFolder Ter acesso total à pasta do aplicativo (prévia) (Prévia) Permite que o aplicativo leia, crie, atualize exclua arquivos na pasta do aplicativo. Não Sim
Files.Read.Selected Ler arquivos selecionados pelo usuário Suporte limitado no Microsoft Graph – confira Comentários
(Visualização) Permite ao aplicativo ler arquivos selecionados pelo usuário. O aplicativo tem acesso por várias horas depois que o usuário tiver selecionado um arquivo.
Não Não
Files.ReadWrite.Selected Ler e gravar arquivos selecionados pelo usuário Suporte limitado no Microsoft Graph – confira Comentários
(Visualização) Permite ao aplicativo ler e gravar arquivos selecionados pelo usuário. O aplicativo tem acesso por várias horas depois que o usuário tiver selecionado um arquivo.
Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Files.Read.All Ler arquivos em todos os conjuntos de sites Permite ao aplicativo ler todos os arquivos em todos os conjuntos de sites sem um usuário conectado. Sim
Files.ReadWrite.All Ler e gravar arquivos em todos os conjuntos de sites Permite ao aplicativo ler, criar, atualizar e excluir todos os arquivos em todos os conjuntos de sites sem um usuário conectado. Sim

Comentários

Observe que nas contas pessoais,Files.Read e Files.ReadWrite também concedem acesso a arquivos compartilhados com o usuário conectado.

As permissões delegadas Files.Read.Selected e Files.ReadWrite.Selected são válidas apenas em contas corporativas ou de estudante e são expostas apenas para trabalhar com manipuladores (v1.0) de arquivos do Office 365. Elas não devem ser usadas para chamar diretamente as APIs do Microsoft Graph.

A permissão delegada Files.ReadWrite.AppFolder só é válida para contas pessoais e é usada para acessar a pasta especial da Raiz de Aplicativo com a API do Microsoft Graph Obter pasta especial do OneDrive.

Exemplo de uso

Delegado

  • Files.Read: Ler arquivos armazenados no OneDrive do usuário conectado (GET /me/drive/root/children)
  • Files.Read.All: Ler arquivos compartilhados com o usuário conectado (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite: Gravar um arquivo no OneDrive do usuário conectado (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All: Gravar um arquivo compartilhado com o usuário (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder: Gravar arquivos na pasta do aplicativo do OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de finanças

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Financials.ReadWrite.All Ler e gravar dados de finanças Permite que o aplicativo leia e grave dados de finanças em nome do usuário conectado. Não

Permissões de grupo

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Group.Read.All Ler todos os grupos Permite ao aplicativo listar grupos, e ler suas propriedades e todas as associações do grupo em nome do usuário conectado. Também permite ao aplicativo ler calendário, conversas, arquivos e outros tipos de conteúdo de todos os grupos que o usuário conectado pode acessar. Sim Não
Group.ReadWrite.All Ler e gravar todos os grupos Permite ao aplicativo criar grupos e ler todas as propriedades e associações do grupo em nome do usuário conectado. Também permite ao aplicativo ler calendário, conversas, arquivos e outros tipos de conteúdo de todos os grupos que o usuário conectado pode acessar. Além disso, permite aos proprietários do grupo gerenciar seus grupos, e permite aos membros do grupo atualizar o conteúdo do grupo. Sim Não
GroupMember.Read.All Ler associações de grupo Permite que o aplicativo liste grupos, leia as propriedades básicas do grupo e leia a associação de todos os grupos aos quais o usuário conectado tenha acesso. Sim Não
GroupMember.ReadWrite.All Ler e gravar associações de grupo Permite que o aplicativo liste grupos, leia propriedades básicas, leia e atualize a associação dos grupos aos quais o usuário conectado tem acesso. As propriedades e os proprietários do grupo não podem ser atualizados e os grupos não podem ser excluídos. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Group.Read.All Ler todos os grupos Permite que o aplicativo leia as associações de todos os grupos sem um usuário conectado. Também permite que o aplicativo leia o calendário, conversas, arquivos e outros conteúdos de grupo para todos os grupos.

Observação: nem todas as APIs de grupo oferecem suporte ao acesso usando permissões somente de aplicativo. Confira exemplos nos problemas conhecidos.
Sim
Group.ReadWrite.All Ler e gravar todos os grupos Permite que o aplicativo crie grupos, leia e atualize as associações do grupo e exclua grupos. Também permite ao aplicativo ler e escrever o calendário, as conversas, os arquivos e outros tipos de conteúdo de grupos para todos os grupos. Todas essas operações podem ser executadas pelo aplicativo sem um usuário conectado.

Observação: nem todas as APIs de grupo oferecem suporte ao acesso usando permissões somente de aplicativo. Confira exemplos nos problemas conhecidos.
Sim
Group.Selected Acessar grupos selecionados Observação: Essa permissão está exposta no portal do Azure para um recurso que não está disponível para uso geral. Não use essa permissão, pois ela está sujeita a alterações. Sim
GroupMember.Read.All Ler associações de grupo Permite que o aplicativo leia grupos e as propriedades básicas do grupo para todos os grupos sem um usuário conectado. Sim
GroupMember.ReadWrite.All Ler e gravar associações de grupo Permite que o aplicativo liste grupos, leia propriedades básicas, leia e atualize a associação dos grupos sem um usuário conectado. As propriedades e os proprietários do grupo não podem ser atualizados e os grupos não podem ser excluídos. Sim
Group.Create Criar grupos Permite que o aplicativo de chamada crie grupos sem um usuário conectado. Não permite ler, atualizar ou excluir grupos. Sim

Comentários

A funcionalidade de grupo não é compatível com contas pessoais da Microsoft.

Para grupos do Microsoft 365, as permissões de grupo concedem ao aplicativo acesso ao conteúdo do grupo. Por exemplo, conversas, arquivos, anotações e assim por diante.

No caso de Permissões de aplicativo, há algumas limitações para APIs com suporte. Confira mais informações em problemas conhecidos.

Em alguns casos, um aplicativo pode precisar de Permissões de diretório para ler algumas propriedades do grupo como member e memberOf. Por exemplo, se um grupo tiver um ou mais servicePrincipals como membros, o aplicativo precisará de permissões eficazes para ler as entidades de serviço através do recebimento de uma das Permissões de diretório*, caso contrário, o Microsoft Graph retornará um erro. No caso de Permissões Delegadas, o usuário conectado deve ter privilégios suficientes na organização para ler as entidades de serviço. A mesma orientação se aplica à propriedade memberOf que pode retornar administrativeUnits.

Para definir o atributo preferredDataLocation de um grupo do Microsoft 365, um aplicativo precisa da permissão Directory.ReadWrite.All. Quando os usuários em um ambiente multigeográfico criam um grupo do Microsoft 365, o valor preferredDataLocation para o grupo é definido automaticamente como sendo igual ao do usuário. Para saber mais sobre o local de dados preferencial dos grupos, confira Criar um grupo do Microsoft 365 com uma PDL específica.

As permissões de grupo são usadas para controlar o acesso aos recursos e APIs do Microsoft Teams. Não há suporte para as contas pessoais da Microsoft.

As Permissões de grupo também são usadas para controlar o acesso a APIs e recursos do Microsoft Planner. Somente as permissões delegadas são suportadas pelas APIs do Microsoft Planner; as permissões de aplicativo não são suportadas. Contas pessoais da Microsoft não são suportadas.

Exemplo de uso

Delegado

  • Group.Read.All: Ler todos os grupos do Microsoft 365 dos quais o usuário conectado é membro (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: Ler todo o conteúdo do grupo do Microsoft 365, como conversas (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: Atualizar propriedades do grupo, como fotografias (PUT /groups/{id}/photo/$value).
  • GroupMember.ReadWrite.All: Atualizar os membros do grupo (POST /groups/{id}/members/$ref).

Observação: Isso também requer o User.ReadBasic.All para ler o usuário para adicionar como membro.

Aplicativo

  • Group.Read.All: Localizar todos os grupos com nomes que começam com "Vendas" (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: O serviço daemon cria novos eventos no calendário de um grupo do Microsoft 365 (POST /groups/{id}/events).
  • Group.Create: Criar um novo grupo (POST /groups).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões do provedor de identidade

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
IdentityProvider.Read.All Leia as informações do provedor de identidade Permite que o aplicativo leia os provedores de identidade configurados em seu Azure AD ou no locatário do Azure AD B2C em nome do usuário conectado. Sim Não
IdentityProvider.ReadWrite.All Leia e grave informações do provedor de identidade Permite que o aplicativo leia ou grave provedores de identidade configurados no seu Azure AD ou no locatário do Azure AD B2C em nome do usuário conectado. Sim Não

Comentários

IdentityProvider.Read.All e IdentityProvider.ReadWrite.All são válidos apenas para contas corporativas ou de estudante. Para que um aplicativo leia ou grave provedores de identidade com permissões delegadas, o usuário conectado deve receber a função de Administrador Global. Para obter mais informações sobre funções de administrador, confira Atribuição de funções de administrador no Azure Active Directory.

Exemplo de uso

Delegado

Os seguintes usos são válidos para permissões delegadas:

  • IdentityProvider.Read.All: Leia todos os provedores de identidade configurados no locatário (GET /beta/identityProviders)
  • IdentityProvider.Read.All: Leia um provedor de identidade existente (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Crie um provedor de identidade (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Atualize um provedor de identidade existente (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Exclua um provedor de identidade existente (DELETE /beta/identityProviders/{id})

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de eventos de risco de identidade

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
IdentityRiskEvent.Read.All Leia as informações de evento de risco de identidade Permite que o aplicativo para leia as informações de evento de risco de identidade para todos os usuários em sua organização em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
IdentityRiskEvent.Read.All Leia as informações de evento de risco de identidade Permite que o aplicativo leia as informações do evento de risco de identidade para todos os usuários em sua organização sem um usuário conectado. Sim

Comentários

IdentityRiskEvent.Read.All é válido apenas para contas corporativas ou de estudante. No caso de um aplicativo com permissões delegadas para ler as informações de risco de identidade, o usuário conectado deve ser um membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança ou funções do Leitor de Segurança. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.

Exemplo de uso

Permissões delegadas e de aplicativo

Os seguintes usos são válidos para Permissões Delegadas e Permissões de aplicativo:

  • Ler todos os eventos de risco gerados para todos os usuários do locatário (GET /beta/identityRiskEvents)
  • Ler todos os eventos de risco de malware gerados pelo botnet Dorknet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • Ler os mais recentes 50 eventos de risco (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de usuário com risco de identidade

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
IdentityRiskyUser.Read.All Leia as informações de risco de identidade do usuário. Permite que o aplicativo para leia as informações de risco de identidade do usuário para todos os usuários em sua organização em nome do usuário conectado. Sim Não
IdentityRiskyUser.ReadWrite.All Ler e atualizar as informações de risco de identidade do usuário. Permite que o aplicativo leia as informações de risco de identidade do usuário para todos os usuários em sua organização em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
IdentityRiskyUser.Read.All Leia as informações de risco de identidade do usuário. Permite que o aplicativo leia as informações de risco de identidade do usuário para todos os usuários em sua organização sem um usuário conectado. Sim
IdentityRiskyUser.ReadWrite.All Ler e atualizar as informações de risco de identidade do usuário. Permite que o aplicativo leia as informações de risco de identidade do usuário para todos os usuários em sua organização sem um usuário conectado. Sim

Comentários

IdentityRiskyUser.Read.All e IdentityRiskyUser.ReadWrite.ALL é válido apenas para contas de trabalho ou estudante. Para um aplicativo com permissões delegadas para ler informações de risco do usuário de identidade, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança ou Leitor de Segurança. Para obter mais informações sobre funções de administrador, confira Atribuição de funções de administrador no Azure Active Directory.

Exemplo de uso

Permissões delegadas e de aplicativo

Os seguintes usos são válidos para Permissões Delegadas e Permissões de aplicativo:

  • Ler todos os usuários de risco e propriedades no locatário (GET /beta/riskyUsers)
  • Ler todos os usuários de risco cujo nível de risco agregação é Médio (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Leia as informações de riscos de um usuário específico (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Identidade de permissões de fluxo de usuário

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
IdentityUserFlow.Read.All Ler todos os fluxos de usuário de identidade em um locatário Permite que o aplicativo leia os fluxos de usuários da sua organização. Sim Não
IdentityUserFlow.ReadWrite.All Ler e gravar todos os fluxos de usuário de identidade em um locatário. Permite que o aplicativo leia ou grave os fluxos de usuário da sua organização. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
IdentityUserFlow.Read.All Ler todos os fluxos de usuário de identidade em um locatário Permite que o aplicativo leia os fluxos de usuários da sua organização. Sim Não
IdentityUserFlow.ReadWrite.All Ler e gravar todos os fluxos de usuário de identidade em um locatário. Permite que o aplicativo leia ou grave os fluxos de usuário da sua organização. Sim Não

Comentários

IdentityUserFlow.Read.All e IdentityUserFlow.ReadWrite.ALL são válidos apenas para contas corporativas ou de estudante.

Para um aplicativo com permissões delegadas para ler fluxos de usuários, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador global, Administrador de Fluxo de usuário de Identidades Externas ou Leitor Global. Para um aplicativo com permissões delegadas para gravar fluxos de usuário, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador global ou Administrador de Fluxo de usuário de Identidades Externas.

Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.

Exemplo de uso

Permissões delegadas e de aplicativo

Os seguintes usos são válidos para Permissões Delegadas e Permissões de aplicativo:

  • IdentityUserFlow.Read.All: ler todos os fluxos de usuário em um locatário do Azure AD B2C (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: ler todos os fluxos de usuário em um locatário do Azure Active Directory (Azure AD) (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow. Read. All: ler todas as atribuições de atributo de usuário em um fluxo de usuário do Azure Active Directory B2C (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
  • IdentityUserFlow.ReadWrite.All: criar um novo fluxo de usuário em um locatário do Azure AD B2C (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: criar um novo fluxo de usuário em um locatário do Azure Active Directory (Azure AD) (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: adicionar um provedor de identidade a um fluxo de usuário do Azure AD B2C (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentityUserFlow.ReadWrite.All: remover um provedor de identidade de um usuário do Active Directory B2C (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow. ReadWrite. All: criar uma atribuição de atributo de usuário em um fluxo de usuário do Azure Active Directory B2C ( POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments )

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de política de proteção de informações

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
InformationProtectionPolicy. Read Ler rótulos de confidencialidade do usuário e políticas de rótulos Permite que um aplicativo leia rótulos de confidencialidade de proteção de informações e configurações de política de rótulo, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
InformationProtectionPolicy.Read.All Ler todos os rótulos e políticas de rótulo publicados para uma organização Permite que um aplicativo leia rótulos de confidencialidade e configurações de política de rótulo publicados de toda a organização ou de um usuário específico, sem um usuário conectado. Sim

Permissões de Gerenciamento de Dispositivo do Intune

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
DeviceManagementApps.Read.All Ler aplicativos do Microsoft Intune Permite que o aplicativo leia as propriedades, as atribuições de grupo, o status de aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune. Sim Não
DeviceManagementApps.ReadWrite.All Ler e registrar os aplicativos do Microsoft Intune Permite que aplicativo leia e registre s propriedades, as atribuições de grupo, o status dos aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune. Sim Não
DeviceManagementConfiguration.Read.All Ler a configuração de dispositivo e as políticas do Microsoft Intune Permite que o aplicativo leia as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos. Sim Não
DeviceManagementConfiguration.ReadWrite.All Ler e escrever as configurações de dispositivo e as políticas do Microsoft Intune Permite que o aplicativo leia e registre as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos. Sim Não
DeviceManagementManagedDevices.PrivilegedOperations.All Executar ações remotas de impacto no usuário nos dispositivos do Microsoft Intune Permite que o aplicativo execute ações remotas de alto impacto como apagar dispositivo ou redefinir a senha em dispositivos gerenciados pelo Microsoft Intune. Sim Não
DeviceManagementManagedDevices.Read.All Ler dispositivos do Microsoft Intune Permite que o aplicativo leia as propriedades de dispositivos gerenciados pelo Microsoft Intune. Sim Não
DeviceManagementManagedDevices.ReadWrite.All Ler e registrar dispositivos do Microsoft Intune Permite que o aplicativo leia e registre as propriedades de dispositivos gerenciados pelo Microsoft Intune. Não permite operações de alto impacto como apagamento remoto e a redefinição de senha no proprietário do dispositivo. Sim Não
DeviceManagementRBAC.Read.All Ler as configurações RBAC (Controle de Acesso com Base em Função) do Microsoft Intune Permite que o aplicativo leia as propriedades relacionadas às configurações RBAC do Microsoft Intune. Sim Não
DeviceManagementRBAC.ReadWrite.All Ler e registrar as configurações RBAC do Microsoft Intune Permite que o aplicativo leia e registre as propriedades relacionadas às configurações RBAC do Microsoft Intune. Sim Não
DeviceManagementServiceConfig.Read.All Configuração de leitura Microsoft Intune Permite que o aplicativo leia as propriedades do serviço do Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros. Sim Não
DeviceManagementServiceConfig.ReadWrite.All Ler e registrar o Microsoft Intune Permite que o aplicativo leia e registre propriedades do serviço do Microsoft Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
DeviceManagementApps.Read.All Ler aplicativos do Microsoft Intune Permite que o aplicativo leia as propriedades, as atribuições de grupo, o status de aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune. Sim Não
DeviceManagementApps.ReadWrite.All Ler e registrar os aplicativos do Microsoft Intune Permite que aplicativo leia e registre s propriedades, as atribuições de grupo, o status dos aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune. Sim Não
DeviceManagementConfiguration.Read.All Ler a configuração de dispositivo e as políticas do Microsoft Intune Permite que o aplicativo leia as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos. Sim Não
DeviceManagementConfiguration.ReadWrite.All Ler e escrever as configurações de dispositivo e as políticas do Microsoft Intune Permite que o aplicativo leia e registre as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos. Sim Não
DeviceManagementManagedDevices.PrivilegedOperations.All Executar ações remotas de impacto no usuário nos dispositivos do Microsoft Intune Permite que o aplicativo execute ações remotas de alto impacto como apagar dispositivo ou redefinir a senha em dispositivos gerenciados pelo Microsoft Intune. Sim Não
DeviceManagementManagedDevices.Read.All Ler dispositivos do Microsoft Intune Permite que o aplicativo leia as propriedades de dispositivos gerenciados pelo Microsoft Intune. Sim Não
DeviceManagementManagedDevices.ReadWrite.All Ler e registrar dispositivos do Microsoft Intune Permite que o aplicativo leia e registre as propriedades de dispositivos gerenciados pelo Microsoft Intune. Não permite operações de alto impacto como apagamento remoto e a redefinição de senha no proprietário do dispositivo. Sim Não
DeviceManagementRBAC.Read.All Ler as configurações RBAC (Controle de Acesso com Base em Função) do Microsoft Intune Permite que o aplicativo leia as propriedades relacionadas às configurações RBAC do Microsoft Intune. Sim Não
DeviceManagementRBAC.ReadWrite.All Ler e registrar as configurações RBAC do Microsoft Intune Permite que o aplicativo leia e registre as propriedades relacionadas às configurações RBAC do Microsoft Intune. Sim Não
DeviceManagementServiceConfig.Read.All Configuração de leitura Microsoft Intune Permite que o aplicativo leia as propriedades do serviço do Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros. Sim Não
DeviceManagementServiceConfig.ReadWrite.All Ler e registrar o Microsoft Intune Permite que o aplicativo leia e registre propriedades do serviço do Microsoft Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros. Sim Não

Comentários

Observação: O uso das APIs do Microsoft Graph para configurar controles e políticas do Intune ainda exige que o serviço do Intune seja corretamente licenciado pelo cliente.

Essas permissões só são válidas para contas corporativas ou de estudante.

Exemplo de uso

Delegado

  • DeviceManagementServiceConfiguration.Read.All: Verificar o estado atual da assinatura do Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Criar novos Termos e Condições (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Localizar o status da configuração de um dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Atribuir uma política de conformidade do dispositivo para um grupo (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Localizar todos os aplicativos da Windows Store publicados no Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Publicar um novo aplicativo (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Localizar uma atribuição de função pelo nome (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Criar uma nova função personalizada (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Localizar um dispositivo gerenciado pelo nome (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Remover um dispositivo gerenciado (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Redefinir a senha em um dispositivo gerenciado do usuário (POST /managedDevices/{id}/resetPasscode).

Aplicativo

  • DeviceManagementServiceConfiguration.Read.All: Verificar o estado atual da assinatura do Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Criar novos Termos e Condições (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Localizar o status da configuração de um dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Atribuir uma política de conformidade do dispositivo para um grupo (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Localizar todos os aplicativos da Windows Store publicados no Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Publicar um novo aplicativo (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Localizar uma atribuição de função pelo nome (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Criar uma nova função personalizada (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Localizar um dispositivo gerenciado pelo nome (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Remover um dispositivo gerenciado (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Redefinir a senha em um dispositivo gerenciado do usuário (POST /managedDevices/{id}/resetPasscode).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de email

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Mail.Read Ler emails do usuário Permite ao aplicativo ler emails em caixas de correio do usuário. Não Sim
Mail.ReadBasic Ler emails básicos do usuário Permite que o aplicativo leia e-mails na caixa de correio do usuário conectado, exceto body, bodyPreview, uniqueBody, anexos, extensões, e quaisquer propriedades estendidas. Não inclui permissões para pesquisar mensagens. Não Não
Mail.ReadWrite Acesso de leitura e gravação aos emails do usuário Permite ao aplicativo criar, ler, atualizar e excluir emails em caixas de correio do usuário. Não inclui a permissão para enviar emails. Não Sim
Mail.Read.Shared Ler email compartilhado e de usuário Permite que o aplicativo leia os emails que o usuário pode acessar, incluindo os próprios contatos do usuário e os emails compartilhados. Não Não
Mail.ReadWrite.Shared Ler e registrar usuário e emails compartilhados Permite que o aplicativo crie, leia, atualize e exclua emails que o usuário tem permissão de acessar, incluindo os emails compartilhados e os do próprio usuário. Não inclui a permissão para enviar emails. Não Não
Mail.Send Enviar email como um usuário Permite ao aplicativo enviar emails como usuários na organização. Não Sim
Mail.Send.Shared Enviar email em nome de outras pessoas Permite que o aplicativo enviar emails como o usuário conectado no, incluindo o envio de nome de terceiros. Não Não
MailboxSettings.Read Ler as configurações da caixa de correio do usuário Permite ao aplicativo ler as configurações da caixa de correio do usuário. Não inclui a permissão para enviar emails. Não Sim
MailboxSettings.ReadWrite Leia e grave as configurações de caixa de correio do usuário Permite ao aplicativo criar, ler, atualizar e excluir as configurações da caixa de correio do usuário. Não inclui permissão para enviar emails diretamente, mas permite que o aplicativo crie regras que podem encaminhar ou redirecionar mensagens. Não Sim
IMAP.AccessAsUser.All Acesso de leitura e gravação aos emails do usuário via IMAP Permite ao aplicativo ler, atualizar, criar e excluir emails das caixas de correio do usuário. Não inclui a permissão para enviar emails. Não Sim
POP.AccessAsUser.All Acesso de leitura e gravação aos emails do usuário via POP Permite ao aplicativo ler, atualizar, criar e excluir emails das caixas de correio do usuário. Não inclui a permissão para enviar emails. Não Sim
SMTP.Send Enviar email como um usuário usando SMTP AUTH Permite ao aplicativo enviar emails como usuários na organização. Não Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Mail.Read Ler emails em todas as caixas de correio Permite ao aplicativo ler emails em todas as caixas de correio sem um usuário conectado. Sim
Mail.ReadBasic.All Ler emails básicos de todos usuários Permite que o aplicativo leia as caixas de correio de todos os usuários, exceto Body, BodyPreview, UniqueBody, Attachments, ExtendedProperties e Extensions. Não inclui permissões para pesquisar mensagens. Sim
Mail.ReadWrite Ler e gravar emails em todas as caixas de correio Permite ao aplicativo criar, ler, atualizar e excluir emails em todas as caixas de correio sem um usuário conectado. Não inclui a permissão para enviar emails. Sim
Mail.Send Enviar email como qualquer usuário Permite ao aplicativo enviar emails como qualquer usuário sem um usuário conectado. Sim
MailboxSettings.Read Ler as configurações de caixa de correio do usuário Permite que o aplicativo leia configurações da caixa de correio do usuário sem um usuário conectado. Não inclui a permissão para enviar emails. Não
MailboxSettings.ReadWrite Ler e gravar todas as configurações de caixa de correio do usuário Permite que o aplicativo crie, leia, atualize e exclua as configurações da caixa de correio sem um usuário conectado. Não inclui a permissão para enviar emails. Sim

Os Administradores Importantes podem configurar a política de acesso ao aplicativo para limitar o acesso do aplicativo às caixas de correio específicas e não a todas as caixas de correio na organização, mesmo que as permissões de aplicativo do Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, ou MailboxSettings.ReadWrite sejam concedidas ao aplicativo.

Comentários

Mail.Read.Shared, Mail.ReadWrite.Shared, e Mail.Send.Shared só são válidos para contas corporativas ou de estudante. Todas as demais permissões são válidas tanto para contas da Microsoft como para contas corporativas e de estudante.

Com a permissão Mail.Send ou Mail.Send.Shared, um aplicativo pode enviar emails e salvar uma cópia na pasta Itens Enviados do usuário, mesmo se o aplicativo não usar uma permissão Mail.ReadWrite ou Mail.ReadWrite.Shared correspondente.

Exemplo de uso

Delegado

  • Mail.Read: Listar mensagens na caixa de entrada do usuário classificadas por receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: Localizar todas as mensagens com anexos na caixa de entrada de um usuário que compartilhou sua caixa de entrada com o usuário conectado (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: Marcar uma mensagem lida (PATCH /me/messages/{id}).
  • Mail.Send: Enviar uma mensagem (POST /me/sendmail).
  • MailboxSettings.ReadWrite: Atualizar a resposta automática do usuário (PATCH /me/mailboxSettings).

Aplicativo

  • Mail.Read: Localizar mensagens de pedro@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: Criar uma nova pasta na Caixa de Entrada chamada Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: Enviar uma mensagem (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: Obter o fuso horário padrão para a caixa de correio do usuário (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de membro

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Member.Read.Hidden Ler associações ocultas Permite que o aplicativo leia as associações de grupos e unidades administrativas ocultos em nome do usuário conectado para aqueles grupos e unidades administrativas ocultos aos quais o usuário conectado tem acesso. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Member.Read.Hidden Ler todas as associações ocultas Permite que o aplicativo leia as associações de grupos ocultos e unidades administrativas sem um usuário conectado. Sim

Comentários

Member.Read.Hidden é válida somente para contas corporativas ou de estudante.

A associação pode estar oculta em alguns grupos do Office 365. Isso significa que somente os membros do grupo podem exibir seus membros. Esse recurso pode ser usado para ajudar a cumprir regulamentos que exijam que uma organização oculte a associação ao grupo de pessoas externas (por exemplo, um grupo do Microsoft 365 que representa os alunos registrados em uma classe).

Exemplo de uso

Delegado

  • Member.Read.Hidden: Ler os membros de uma unidade administrativa com associação oculta em nome do usuário conectado (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Ler os membros de um grupo com associação oculta em nome do usuário conectado (GET /groups/{id}/members).

Aplicativo

  • Member.Read.Hidden: Ler os membros de uma unidade administrativa com associação oculta (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Ler os membros de um grupo com associação oculta (GET /groups/{id}/members).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões de anotações

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Notes.Read Ler blocos de anotações do OneNote do usuário Permite ao aplicativo ler os títulos dos blocos de anotações e seções do OneNote e criar novas páginas, blocos de anotações e seções em nome do usuário conectado. Não Sim
Notes.Create Criar blocos de anotações do OneNote do usuário Permite ao aplicativo ler os títulos dos blocos de anotações e seções do OneNote e criar novas páginas, blocos de anotações e seções em nome do usuário conectado. Não Sim
Notes.ReadWrite Ler e gravar blocos de anotações do OneNote do usuário Permite ao aplicativo ler, compartilhar e modificar blocos de anotações do OneNote em nome do usuário conectado. Não Sim
Notes.Read.All Ler todos os blocos de anotações do OneNote que o usuário pode acessar Permite que o aplicativo leia os blocos de anotações do OneNote aos quais o usuário conectado tem acesso dentro da organização. Não Não
Notes.ReadWrite.All Ler e gravar todos os blocos de anotações do OneNote que o usuário pode acessar Permite que o aplicativo leia, compartilhe e modifique blocos de anotações do OneNote aos quais o usuário conectado tem acesso dentro da organização. Não Não
Notes.ReadWrite.CreatedByApp Acesso limitado ao bloco de anotações (preterido) Preterido
Não usar. Essa permissão não concede privilégios.
Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Notes.Read.All Ler todos os blocos de anotações do OneNote Permite que o aplicativo leia todos os blocos de anotações do OneNote em sua organização sem um usuário conectado. Sim
Notes.ReadWrite.All Ler e gravar todos os blocos de anotações do OneNote Permite que o aplicativo leia, compartilhe e modifique todos os blocos de anotações do OneNote em sua organização sem um usuário conectado. Sim

Comentários

Notes.Read.All e Notes.ReadWrite.All só são válidos para contas corporativas ou de estudante. Todas as demais permissões são válidas tanto para contas da Microsoft como para contas corporativas e de estudante.

Com a permissão Notes.Create, um aplicativo pode exibir a hierarquia do bloco de anotações do OneNote do usuário conectado e criar conteúdo do OneNote (blocos de anotações, grupos de seção, seções, páginas, etc.).

Notes.ReadWrite e Notes.ReadWrite.All também permitem que o aplicativo modifique as permissões no conteúdo do OneNote que pode ser acessado pelo usuário conectado.

Para contas corporativas ou de estudante, Notes.Read.All e Notes.ReadWrite.All permitem que o aplicativo acesse o conteúdo do OneNote de outros usuários ao qual o usuário conectado tenha permissão dentro da organização.

Exemplo de uso

Delegated

  • Notes.Create: Criar novos blocos de anotações para o usuário conectado (POST /me/onenote/notebooks).
  • Notes.Read: Criar blocos de anotações para o usuário conectado (GET /me/onenote/notebooks).
  • Notes.Read.All: Obter todos os blocos de anotações aos quais o usuário conectado tenha acesso dentro da organização (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: Atualizar a página do usuário conectado (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: Criar uma página no bloco de anotações de outro usuário ao qual o usuário conectado tenha acesso dentro da organização (POST /users/{id}/onenote/pages).

Aplicativo

  • Notes.Read.All: Ler todos os blocos de anotações de usuários em um grupo (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: Atualizar a página em um bloco de anotações para qualquer usuário da organização (PATCH /users/{id}/onenote/pages/{id}/$value).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões de notificações

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Notifications.ReadWrite.CreatedByApp Exibir e gerenciar notificações para esse aplicativo. Permitir que o aplicativo forneça notificações em nome de usuários conectados. Também permite que o aplicativo leia, atualize e exclua itens de notificação do usuário para este aplicativo. Não

Comentários

Notifications.ReadWrite.CreatedByApp é válido para contas Microsoft e contas de trabalho ou estudante. A restrição CreatedByApp associada a esta permissão indica que o serviço aplicará a filtragem implícita aos resultados com base na identidade do aplicativo de chamada, seja o ID do aplicativo da conta Microsoft ou um conjunto de IDs do aplicativo configurado para uma plataforma cruzada identidade do aplicativo.

Exemplo de uso

Delegated

  • Notifications.ReadWrite.CreatedByApp: publica uma notificação centrada no usuário, que pode então ser entregue a vários clientes de aplicativos do usuário em execução em terminais diferentes.(POST/me/notificações/).

Permissões de reuniões online

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
OnlineMeetings.Read Ler Reunião Online. Permite que um aplicativo leia detalhes da reunião online em nome do usuário conectado. Não Não
OnlineMeetings.ReadWrite Leia e Crie Reuniões Online. Permite que um aplicativo crie e leia as reuniões online em nome do usuário conectado. Não Não
OnlineMeetingArtifact.Read.All Ler artefatos de Reunião Online. Permite que o aplicativo leia os artefatos da reunião online em nome do usuário conectado. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
OnlineMeetings.Read.All Ler detalhes de Reunião Online do aplicativo Permite que o aplicativo leia os detalhes da Reunião Online em sua organização, sem um usuário conectado. Sim
OnlineMeetings.ReadWrite.All Ler detalhes de Reunião Online a partir do aplicativo Permite que um aplicativo crie e leia as Reuniões Online sem um usuário conectado. Sim
OnlineMeetingArtifact.Read.All Ler artefatos de Reunião Online do aplicativo Permite que o aplicativo leia os artefatos da Reunião Online em sua organização, sem um usuário conectado. Sim

Importante os administradores podem configurar política de acesso a aplicativos para permitir que os aplicativos acessem as reuniões online em nome de um usuário.

Exemplo de uso

Delegado

  • OnlineMeetings.Read: recuperar as propriedades e as relações de uma reunião online (GET /beta/communications/onlinemeetings/{default id}).
  • OnlineMeetings.ReadWrite: criar um reunião online (POST /beta/communications/onlinemeetings).

Aplicativo

  • OnlineMeetings.Read.All
    • Recuperar as propriedades e os relacionamentos de umareunião online (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Recuperar uma reunião online em nome de um usuário(`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • Criar uma reunião online em nome de um usuário (`POST /beta/users/{userId}/onlineMeetings/)
    • Atualizar uma reunião online em nome de um usuário(`PATCH /beta/users/{userId}/onlineMeetings/{id})
    • Excluir uma reunião online em nome de um usuário (`DELETE /beta/users/{userId}/onlineMeetings/{id})

Observação: criar uma reunião online cria uma reunião em nome de um usuário, mas não a mostra no Calendário do usuário.

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de Perfis de Publicações Locais

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
OnPremisesPublishingProfiles.ReadWrite.All Acessar Perfis de Publicações Locais Permite que o aplicativo gerencie a configuração do serviço de identidade híbrida criando, exibindo, atualizando e excluindo recursos de publicações locais, agentes locais e grupos de agentes, em nome do usuário conectado. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
OnPremisesPublishingProfiles.ReadWrite.All Acessar Perfis de Publicações Locais Permite que o aplicativo gerencie a configuração do serviço de identidade híbrida criando, exibindo, atualizando e excluindo recursos de publicações locais, agentes locais e grupos de agentes, em nome do usuário conectado. Não Não

Permissões do OpenID

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
email Exibir o endereço de email do usuário Permite ao aplicativo ler o endereço de email principal do usuário. Não Não
offline_access Acessar dados do usuário a qualquer momento Permite ao aplicativo ler e atualizar dados do usuário, mesmo quando eles não estiver usando o aplicativo. Não Não
openid Conectar os usuários Permite aos usuários entrar no aplicativo com contas corporativas ou de estudante e permite ao aplicativo ver informações básicas do perfil do usuário. Não Não
profile Exibir os perfis básicos dos usuários Permite que o aplicativo veja o perfil básico do usuário (nome, foto, nome de usuário). Não Não

Permissões de aplicativos

Nenhum.

Comentários

Você pode usar essas permissões para especificar os artefatos que deseja que sejam retornados nas solicitações de token e de autorização do Azure AD. O suporte a elas é oferecido de formas diferentes nos pontos de extremidade v 1.0 e v 2.0. do Azure AD.

Com o ponto de extremidade (v 1.0) do Azure AD, somente a permissão openid é usada. Você especifica no parâmetro scope, na solicitação de autorização, para retornar um token de ID quando usar o protocolo OpenID Connect para conectar um usuário ao seu aplicativo. Para saber mais, confira o artigo Autorizar o acesso aos aplicativos web usando o OpenID Connect e o Azure Active Directory. Para retornar com êxito um token de ID, você também deve garantir que a permissão User.Read esteja configurada quando você registrar seu aplicativo.

Com o ponto de extremidade v 2.0 do Azure AD, você especifica a permissão offline_access no parâmetro scope para solicitar explicitamente um token de atualização quando estiver usando os protocolos OAuth 2.0 ou OpenID Connect. Com o OpenID Connect, você especifica a permissão openid para solicitar um token de ID. Também é possível especificar a permissão email, a permissão profile, ou ambas, para retornar declarações adicionais no token de ID. Você não precisa especificar a User.Read para retornar um token de ID com o ponto de extremidade v 2.0. Para saber mais, confira os escopos do OpenID Connect.

Importante A Biblioteca de Autenticação da Microsoft (MSAL) atualmente especifica as permissões offline_access, openid, profile e email por padrão nas solicitações de autorização e de token. Isso significa que, para o caso padrão, se você especificar explicitamente essas permissões, o Azure AD pode retornar um erro.


Permissões da organização

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Organization.Read.All Ler informações da organização Permite que o aplicativo leia a organização e os recursos relacionados em nome do usuário conectado. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Sim Não
Organization.ReadWrite.All Ler e gravar informações da organização Permite que o aplicativo leia e grave a organização e os recursos relacionados em nome do usuário conectado. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Organization.Read.All Ler informações da organização Permite que o aplicativo leia a organização e os recursos relacionados sem um usuário conectado. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Sim
Organization.ReadWrite.All Ler e gravar informações da organização Permite que o aplicativo leia e grave a organização e os recursos relacionados sem um usuário conectado. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Sim

Exemplo de uso

Delegado

  • Organization.Read.All: Obter informações da organização (GET /organization).
  • Organization.Read.All: Obter as SKUs inscritas pela organização (GET /subscribedSkus).

Aplicação

  • Organization.ReadWrite.All: Atualizar as informações da organização (como technicalNotificationMails) (PATCH /organization/{id}).

Permissões de contato organizacional

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
OrgContact.Read.All Contatos organizacionais Permite ao aplicativo ler todos os contatos organizacionais em nome do usuário conectado. Esses contatos são gerenciados pela organização e são diferentes dos contatos pessoais de um usuário. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
OrgContact.Read.All Contatos organizacionais Permite ao aplicativo ler todos os contatos organizacionais sem um usuário conectado. Esses contatos são gerenciados pela organização e são diferentes dos contatos pessoais de um usuário. Sim

Exemplo de uso

Delegado

  • OrgContact.Read.All: Obter todos os contatos organizacionais (GET /contacts).

Permissões de pessoas

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
People.Read Ler listas de pessoas relevantes dos usuários Permite ao aplicativo ler uma lista pontuada de pessoas relevantes para o usuário conectado. A lista pode incluir contatos locais, contatos das redes sociais ou do diretório da sua organização e as pessoas de comunicações recentes (como emails e Skype). Não Sim
People.Read.All Ler listas de pessoas relevantes de todos os usuários Permite ao aplicativo ler uma lista pontuada de pessoas relevantes para o usuário conectado ou para outros usuários da organização do usuário conectado. A lista pode incluir contatos locais, contatos das redes sociais ou do diretório da sua organização e as pessoas de comunicações recentes (como emails e Skype). Também permite que o aplicativo pesquise todo o diretório da organização do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
People.Read.All Ler listas de pessoas relevantes de todos os usuários Permite ao aplicativo ler uma lista pontuada de pessoas relevantes para o usuário conectado ou para outros usuários da organização do usuário conectado.

A lista pode incluir contatos locais, contatos de redes sociais ou do diretório da organização, e pessoas de comunicações recentes (como email e Skype). Também permite que o aplicativo pesquise todo o diretório da organização do usuário conectado.
Sim

Comentários

A permissão People.Read.All só é válida para contas corporativas ou de estudante.

Exemplo de uso

Delegado

  • People.Read: Ler uma lista de pessoas relevantes (GET /me/people)
  • People.Read.All: Ler uma lista de pessoas relevantes para outro usuário na mesma organização (GET /users('{id})/people)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de acesso privilegiadas

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
PrivilegedAccess.ReadWrite.AzureAD Ler e gravar dados do Privileged Identity Management para diretório Permite que o aplicativo tenha acesso de leitura e gravação nas APIs do Privileged Identity Management do Azure AD. Sim Não
PrivilegedAccess.ReadWrite.AzureADGroup Leitura e escrita de dados do Privileged Identity Management para grupos de acesso privilegiado Permite que o aplicativo tenha acesso de leitura e escrita às APIs de Privileged Identity Management para grupos. Sim Não
PrivilegedAccess.ReadWrite.AzureResources Ler e gravar dados Privileged Identity Management de recursos do Azure Permite que o aplicativo tenha acesso de leitura e gravação nas APIs do Privileged Identity Management dos recursos do Azure. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
PrivilegedAccess.Read.AzureAD Leitura do Privileged Identity Management para Diretório Permite que o aplicativo tenha acesso de leitura às APIs do Privileged Identity Management para o Microsoft Azure AD. Sim
PrivilegedAccess.Read.AzureADGroup Leitura do Privileged Identity Management para grupos de acesso privilegiado Permite que o aplicativo tenha acesso de leitura às APIs do Privileged Identity Management para grupos. Sim
PrivilegedAccess.Read.AzureResources Leitura do Privileged Identity Management para recursos do Azure Permite que o aplicativo tenha acesso de leitura às APIs do Privileged Identity Management para os recursos do Microsoft Azure AD. Sim

Permissões de locais

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Place.Read.All Ler todos os locais da empresa Permite que o aplicativo leia os locais da empresa (salas de conferência e listas de salas) que foram configurados pelo locatário no Exchange Online. Sim Não
Place.ReadWrite.All Ler e gravar todos os locais da empresa Permite que o aplicativo leia e grave os locais da empresa (salas de conferência e listas de salas) que foram configurados pelo locatário no Exchange Online. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Place.Read.All Ler todos os locais da empresa Permite que o aplicativo leia os locais da empresa (salas de conferência e listas de salas) para eventos de calendário e outros aplicativos. Sim

Permissões de política

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Policy.Read.All Ler as políticas da sua organização Permite ao aplicativo ler as políticas da sua organização em nome do usuário conectado. Sim Não
Policy.Read.PermissionGrant Ler políticas de concessão de consentimento e permissão Permite que o aplicativo leia políticas relacionadas a concessões de consentimento e permissão para aplicativos, em nome do usuário conectado. Sim Não
Policy.ReadWrite.AccessReview Ler e gravar a política de autorização da sua organização Permite ao aplicativo ler e gravar a política de revisão de acesso da sua organização em nome do usuário conectado. Sim Não
Policy.ReadWrite.ApplicationConfiguration Leia e escreva as políticas de configuração dos aplicativos da sua organização Permite que o aplicativo leia e grave as políticas de configuração dos aplicativos da sua organização em nome do usuário conectado. Sim Não
Policy.ReadWrite.AuthenticationFlows Ler e gravar as políticas de fluxo de autenticação da sua organização Permite que o aplicativo leia e grave as políticas de fluxo de autenticação, em nome do usuário conectado. Sim Não
Policy.ReadWrite.AuthenticationMethod Ler e gravar políticas do método de autenticação Permite que o aplicativo leia e grave as políticas do método de autenticação, em nome do usuário conectado. O usuário conectado também deve ser atribuído a função de Administrador Global. Sim Não
Policy.ReadWrite.Authorization Ler e gravar a política de autorização da sua organização Permite que o aplicativo leia e grave a política de autorização da sua organização, em nome do usuário conectado. Por exemplo, as políticas de autorização podem controlar algumas das permissões que a função do usuário pronto tem por padrão. Sim Não
Policy.ReadWrite.ConditionalAccess Ler e gravar as políticas de acesso condicional da sua organização Permite que o aplicativo leia e grave todas as políticas de acesso condicional em nome do usuário conectado. Sim Não
Policy.ReadWrite.ConsentRequest Ler e escrever a política de solicitações de consentimento da sua organização Permite que o aplicativo leia e grave a política de solicitações de consentimento da sua organização, em nome do usuário conectado. Sim Não
Policy.ReadWrite.FeatureRollout Ler e gravar as políticas de implantação de novos recursos da sua organização Permite que o aplicativo leia e grave todas as políticas de implantação de novos recursos em nome do usuário conectado. Inclui habilidades para atribuir e remover usuários e grupos para a implantação de um recurso específico. Sim Não
Policy.ReadWrite.PermissionGrant Gerenciar as políticas de concessão de consentimento e permissão Permite que o aplicativo gerencie as políticas relacionadas a concessões de consentimento e permissão para aplicativos, em nome do usuário conectado. Sim Não
Policy.ReadWrite.TrustFramework Ler e gravar as políticas TrustFramework (Estrutura de Confiança) da sua organização Permite que o aplicativo leia e grave todas as políticas de TrustFramework da sua organização em nome do usuário conectado. Sim Não
Policy.ReadWrite.AuthenticationMethod Ler e gravar as políticas de método de autenticação da sua organização Permite que o aplicativo leia e grave as políticas do método de autenticação, em nome do usuário conectado. Sim Não
Policy.ReadWrite.MobilityManagement Ler e gravar as políticas de gerenciamento de mobilidade da sua organização. Permite ao aplicativo ler e gravar as políticas de gerenciamento de mobilidade da sua organização em nome do usuário conectado. Controlam as configurações para MDM (gerenciamento de dispositivo móvel) e aplicativos de gerenciamento de aplicativo móvel (MAM). Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Policy.Read.All Leia as políticas da sua organização Permite que o aplicativo leia todas as políticas da sua organização sem um usuário conectado. Sim
Policy.Read.PermissionGrant Ler políticas de concessão de consentimento e permissão Permite que o aplicativo leia políticas relacionadas a concessões de consentimento e permissão para aplicativos, sem um usuário conectado. Sim
Policy.Read.ApplicationConfiguration Leia as políticas de configuração dos aplicativos da sua organização Permite que o aplicativo leia todas as políticas de configuração dos aplicativos da sua organização sem um usuário conectado. Sim
Policy.ReadWrite.AccessReview Ler e gravar a política de autorização da sua organização Permite ao aplicativo ler e gravar a política de revisão de acesso da sua organização, sem um usuário conectado. Sim
Policy.ReadWrite.ApplicationConfiguration Leia e escreva as políticas de configuração dos aplicativos da sua organização Permite que o aplicativo leia e grave as políticas de configuração dos aplicativos da sua organização, sem um usuário conectado. Sim
Policy.ReadWrite.AuthenticationFlows Ler e gravar as políticas de fluxo de autenticação da sua organização Permite que o aplicativo leia e grave todas as políticas de fluxo de autenticação do locatário, sem um usuário conectado. Sim
Policy.ReadWrite.AuthenticationMethod Ler e gravar todas as políticas de método de autenticação Permite que o aplicativo leia e grave todas as políticas de método de autenticação do locatário, sem um usuário conectado. Sim
Policy.ReadWrite.Authorization Ler e gravar a política de autorização da sua organização Permite que o aplicativo leia e grave a política de autorização da sua organização, em nome do usuário conectado. Por exemplo, as políticas de autorização podem controlar algumas das permissões que a função do usuário pronto tem por padrão. Sim
Policy.ReadWrite.ConsentRequest Ler e escrever a política de solicitações de consentimento da sua organização Permite que o aplicativo leia e escreva a política de solicitações de consentimento da sua organização sem um usuário conectado. Sim
Policy.ReadWrite.FeatureRollout Políticas de distribuição de recursos de leitura e gravação Permite que o aplicativo leia e grave todas as políticas de distribuição de recursos sem um usuário conectado. Inclui habilidades para atribuir e remover usuários e grupos para a implantação de um recurso específico. Sim
Policy.ReadWrite.PermissionGrant Gerenciar as políticas de concessão de consentimento e permissão Permite que o aplicativo gerencie as políticas relacionadas às concessões de consentimento e permissão para aplicativos, sem um usuário conectado. Sim
Policy.ReadWrite.TrustFramework Ler e gravar as políticas da estrutura de confiança da sua organização Permite que o aplicativo leia e grave todas as políticas da estrutura de confiança da sua organização sem um usuário conectado. Sim

Exemplo de uso

Os seguintes usos são válidos para permissões delegadas e permissões de aplicativo:

  • Policy.Read.All: Ler as políticas da sua organização (GET /policies)
  • Policy.Read.All: Ler as políticas da estrutura de confiança da sua organização (GET /beta/trustFramework/policies)
  • Policy.Read.All: Ler as políticas de distribuição de recursos da sua organização (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.AccessReview: Ler e gravar as políticas de revisão de acesso da sua organização (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: Leia e grave as políticas de configuração dos aplicativos da sua organização (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows: Ler e gravar a política de fluxos de autenticação da sua organização (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod: use as permissões para gerenciar as configurações na política de métodos de autenticação, incluindo habilitar e desabilitar métodos de autenticação, permitir que usuários e grupos usem esses métodos e definir outras configurações relacionadas aos métodos de autenticação que os usuários podem registrar e usar em um locatário.
  • Policy.ReadWrite.ConditionalAccess: Leia e escreva as políticas de acesso condicional da sua organização (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.FeatureRollout: Ler e gravar todas as políticas de distribuição de recursos da sua organização (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: Leitura e gravação de todas as políticas da estrutura de confiança da sua organização (POST /beta/trustFramework/policies)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de presença

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Presence.Read Ler as informações de presença do usuário Permite que o aplicativo leia as informações de presença em nome do usuário conectado. As informações de presença incluem atividade, disponibilidade, nota de status, calendário de mensagens de ausência temporária, fuso horário e local. Não
Presence.Read.All Ler as informações de presença de todos os usuários em sua organização Permite que o aplicativo leia as informações de presença de todos os usuário do diretório em nome do usuário conectado. As informações de presença incluem atividade, disponibilidade, nota de status, calendário de mensagens de ausência temporária, fuso horário e local. Não

Exemplo de uso

  • Presence.Read: se você estiver conectado, recupere a sua própria informação de presença (GET /me/presence)
  • Presence.Read.All: Recupere as informações de presença de outro usuário (GET /users/{id}/presence)
  • Presence.Read.All: Recupere as informações de presença de vários usuários (POST /communications/getPresencesByUserId)

Permissões de programas e controles de programas

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ProgramControl.Read.All Ler todos os programas Permite que o aplicativo leia programas em nome do usuário conectado. Sim Não
ProgramControl.ReadWrite.All Gerenciar todos os programas Permite que o aplicativo leia e escreva programas em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
ProgramControl.Read.All Ler todos os programas Permite que o aplicativo leia programas sem um usuário conectado. Sim
ProgramControl.ReadWrite.All Gerenciar todos os programas Permite que o aplicativo leia e escreva programas sem um usuário conectado. Sim

Comentários

ProgramControl.Read.All e ProgramControl.ReadWrite.All são válidos apenas para contas de trabalho ou escola.

Para um aplicativo com permissões delegadas para ler programas e controles de programas, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuário. Para um aplicativo com permissões delegadas para gravar programas e controles de programas, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global ou Administrador do Usuário. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.


Permissões de relatórios

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Reports.Read.All Ler todos os relatórios de uso Permite que um aplicativo leia todos os relatórios de uso de serviço em nome do usuário conectado. Serviços que fornecem relatórios de uso incluem o Microsoft 365 e o Azure Active Directory. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Reports.Read.All Ler todos os relatórios de uso Permite que um aplicativo leia todos os relatórios de uso de serviço sem um usuário conectado. Serviços que fornecem relatórios de uso incluem o Microsoft 365 e o Azure Active Directory. Sim

Comentários

  • As permissões de relatórios só são válidas para contas corporativas ou de estudante.
  • Para que as permissões delegadas permitam que os aplicativos leiam relatórios de uso do serviço em nome de um usuário, o administrador do locatário deve ter atribuído ao usuário uma função de administrador limitada do Azure Active Directory. Para obter mais detalhes, confira Autorização para APIs para ler relatórios de uso do Microsoft 365.

Exemplo de uso

Aplicativo

  • Reports.Read.All: Ler o relatório de detalhes de uso de aplicativos de email com período de 7 dias (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All: Ler o relatório de detalhes de atividade de email com data de '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All: Ler o relatório de detalhes de ativações do Microsoft 365 (GET /reports/Office365Activations(view='Detail')/content).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões do Gerenciamento de Funções

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
RoleAssignmentSchedule.Read.Directory Leia todas as atribuições de funções ativas para o diretório da sua empresa. Permite que o aplicativo leia as atribuições ativas de controle de acesso baseado em função (RBAC) para o diretório da sua empresa, em nome do usuário conectado. Isso inclui a leitura de modelos de função de diretório e funções de diretório. Sim Não
RoleEligibilitySchedule.Read.Directory Leia todas as atribuições de funções elegíveis para o diretório da sua empresa. Permite que o aplicativo leia as atribuições qualificadas de controle de acesso baseado em função (RBAC) para o diretório da sua empresa, em nome do usuário conectado. Isso inclui a leitura de modelos de função de diretório e funções de diretório. Sim Não
RoleManagement.Read.All Leia os dados de gerenciamento de função para todos os provedores RBAC. Permite que o aplicativo leia as configurações de controle de acesso baseado em função (RBAC) para todos os provedores RBAC com suporte, em nome do usuário conectado. Isso inclui a leitura de definições de funções e atribuições de funções. Sim Não
RoleManagement.Read.Directory Leia os dados de gerenciamento de função para o Azure Active Directory. Permite que o aplicativo leia e gerencie as configurações de controle de acesso baseado em função (RBAC) da sua empresa, em nome do usuário conectado. Isso inclui a leitura de modelos de função de diretório, funções de diretório e associações. Sim Não
RoleManagementPolicy.Read.Directory Leia todas as políticas para tarefas de funções privilegiadas para o diretório da sua empresa. Permite que o aplicativo leia políticas para tarefas de controle de acesso baseado em função privilegiada (RBAC) para o diretório de sua empresa, em nome do usuário conectado. Sim Não
RoleAssignmentSchedule.ReadWrite.Directory Leia, atualize e exclua todas as atribuições de funções ativas para o diretório da sua empresa. Permite que o aplicativo leia e gerencie as atribuições ativas de controle de acesso baseado em função (RBAC) para o diretório da sua empresa, em nome do usuário conectado. Isso inclui o gerenciamento de associações de função de diretório ativo e leitura de modelos de função de diretório, funções de diretório e associações ativas. Sim Não
RoleEligibilitySchedule.ReadWrite.Directory Leia, atualize e exclua todas as tarefas de funções elegíveis para o diretório da sua empresa. Permite que o aplicativo leia e gerencie as tarefas de controle de acesso baseado em função (RBAC) qualificadas para o diretório da sua empresa, em nome do usuário conectado. Isso inclui o gerenciamento de associações de funções de diretório elegíveis e a leitura de modelos de funções de diretórios, funções de diretórios e associações elegíveis. Sim Não
RoleManagement.ReadWrite.Directory Ler e gravar dados de gerenciamento de função para o Azure Active Directory. Permite que o aplicativo leia e gerencie as configurações de RBAC (controle de acesso baseado em função) da sua empresa, em nome do usuário conectado. Isso inclui a instanciação das funções de diretório, o gerenciamento de associação da função de diretório, a leitura dos modelos da função de diretório, as associações e as funções de diretório. Sim Não
RoleManagementPolicy.ReadWrite.Directory Leia, atualize e exclua todas as políticas para tarefas de funções privilegiadas para o diretório da sua empresa. Permite que o aplicativo leia, atualize e exclua políticas para tarefas de controle de acesso baseado em função privilegiada (RBAC) para o diretório de sua empresa, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
RoleManagement.Read.All Leia os dados de gerenciamento de função para todos os provedores RBAC. Permite que o aplicativo leia as configurações de controle de acesso baseado em função (RBAC) para todos os provedores RBAC com suporte, sem um usuário conectado. isso inclui a leitura de definições de funções e atribuições de funções. Sim
RoleManagement.Read.Directory Leia os dados de gerenciamento de função para o Azure Active Directory. Permite que o aplicativo leia e gerencie as configurações de RBAC (controle de acesso baseado em função) da sua empresa, em nome do usuário conectado. Isso inclui a leitura de modelos da função de diretório, as associações e as funções de diretório. Sim
RoleManagement.ReadWrite.Directory Ler e gravar dados de gerenciamento de função para o Azure Active Directory. Permite que o aplicativo leia e gerencie as configurações de controle de acesso baseado em função (RBAC) para o diretório da sua empresa, sem um usuário conectado. Isso inclui instanciar funções de diretório e gerenciamento de associação de função de diretório e leitura de modelos de função de diretório, funções de diretório e associações. Sim

Comentários

Com a permissão RoleManagement.Read.Directory um aplicativo pode ler directoryRoles e directoryRoleTemplates. Isso inclui a leitura de informações de associação para funções de diretório.

Com a permissão RoleManagement.ReadWrite.Directory, um aplicativo pode ler e gravar directoryRoles (directoryRoleTemplates são recursos somente leitura). Isso inclui adicionar e remover membros de funções de diretório.

As permissões de relatórios só são válidas para contas corporativas ou de estudante.

Exemplo de uso

  • RoleManagement.Read.Directory: Ler a lista de modelos de função disponíveis(GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: Ler a lista de funções ativadas em seu diretório(GET /directoryRoles)
  • RoleManagement.Read.Directory: Ler a lista de membros para uma função (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: Ler a lista de membros com escopo de unidade administrativa para uma função (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: Ativar uma função de diretório a partir de um modelo de função (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: Adicionar um membro a uma função de diretório (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: Adicionar um membro de escopo de unidade administrativa a uma função de diretório(POST /directoryRoles/<id>/scopedMembers)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões do gerenciamento de agenda (visualização privada)

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Schedule.ReadWrite.All (visualização privada) Dados do serviço de Turnos de Leitura e Gravação (Teams) Permite que um aplicativo leia e grave a agenda, grupos de agendamento, turnos e entidades associadas em aplicativos de turnos sem um usuário conectado. Sim Não
Schedule.Read.All (visualização privada) Dados do serviço de Turnos de Leitura (Teams) Permite que o aplicativo leia a agenda, grupos de agendamento, turnos e entidades associadas em aplicativos de turnos sem um usuário conectado. Sim Não

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Schedule.ReadWrite.All Dados do serviço de Turnos de Leitura e Gravação (Teams) Permite que um aplicativo leia e escreva agenda, grupos de agendas, turnos e entidades associadas em aplicativos de turnos em nome do usuário conectado. Não Não
Schedule.Read.All Dados do serviço de Turnos de Leitura (Teams) Permite que um aplicativo leia a agenda, grupos de agenda, turnos e entidades associadas em aplicativos de turnos em nome do usuário conectado. Não Não
WorkforceIntegration.ReadWrite.All (visualização particular) Ler e gravar integrações de força de trabalho Permite que o aplicativo gerencie integrações de força de trabalho, para sincronizar dados do Microsoft Teams, com um sistema integrado, em nome do usuário conectado. Sim Não
WorkforceIntegration.Read.All (visualização privada) Ler e gravar integrações de força de trabalho Permite que o aplicativo gerencie integrações de força de trabalho, para sincronizar dados do Microsoft Teams, com um sistema integrado, em nome do usuário conectado. Sim Não

Permissões de pesquisa

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ExternalConnection.ReadWrite.OwnedBy Leitura e gravação de conexões externas e configurações de conexão Permite que o aplicativo faça leitura e gravação de conexões externas e suas configurações sem um usuário conectado. O aplicativo somente pode ler e gravar conexões externas às qual está autorizado ou pode criar novas conexões externas. Sim Não
ExternalItem.ReadWrite.OwnedBy Ler e gravar itens externos Permite que o aplicativo leia e grave itens externos sem um usuário conectado. O aplicativo somente pode ler itens externos da conexão à qual está autorizado. Sim Não
ExternalItem.ReadWrite.All Leitura e gravação de todos os itens externos Permite que o aplicativo faça leitura e gravação de todos os itens externos sem um usuário conectado. Sim Não

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ExternalItem.Read.All Ler os dados externos Permite que um aplicativo consulte dados ingeridos com conectores Microsoft Graph Sim Não

Comentários

As permissões de pesquisa só são válidas para contas corporativas ou de estudante.

Esta permissão de pesquisa só se aplica aos dados ingeridos da API de indexação.

O acesso aos dados por meio de pesquisa requer permissão de leitura para o item. Por exemplo, Files.Read.All para acessar arquivos por meio da pesquisa.

Exemplo de uso

Delegado

  • ExternalItem.Read.All _: Acessar dados externos da API de pesquisa (POST /search/query).

Permissões de segurança

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
SecurityEvents.Read.All Ler os eventos de segurança da organização Permite ao aplicativo ler os eventos de segurança da sua organização em nome do usuário conectado. Sim Não
SecurityEvents.ReadWrite.All Ler e atualizar os eventos de segurança da organização Permite ao aplicativo ler os eventos de segurança da sua organização em nome do usuário conectado. Também permite ao aplicativo atualizar as propriedades editáveis em eventos de segurança em nome do usuário conectado. Sim Não
SecurityActions.Read.All Ler as ações de segurança da organização Permite que o aplicativo leia as ações de segurança da sua organização em nome do usuário conectado. Sim Não
SecurityActions.ReadWrite.All Ler e atualizar as ações de segurança da organização Permite que o aplicativo leia ou atualize as ações de segurança da sua organização em nome do usuário conectado. Sim Não
ThreatIndicators.ReadWrite.OwnedBy Gerenciar indicadores de ameaças que este aplicativo cria ou é proprietário Permite que o aplicativo crie indicadores de ameaças e gerencie totalmente esses indicadores de ameaças (ler, atualizar e excluir) em nome do usuário conectado. Sim Não
ThreatIndicators.Read.All Leia os indicadores de ameaças da sua organização Permite que o aplicativo leia todos os indicadores de ameaça para sua organização, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
SecurityEvents.Read.All Ler os eventos de segurança da organização Permite ao aplicativo ler os eventos de segurança da sua organização. Sim
SecurityEvents.ReadWrite.All Ler e atualizar os eventos de segurança da organização Permite ao aplicativo ler os eventos de segurança da sua organização. Também permite ao aplicativo atualizar as propriedades editáveis em eventos de segurança. Sim
SecurityActions.Read.All Ler os eventos de segurança da organização Permite que o aplicativo leia os eventos de segurança da sua organização. Sim
SecurityActions.ReadWrite.All Criar e ler ações de segurança da sua organização Permite que o aplicativo leia ou crie ações de segurança, sem um usuário ter entrado. Sim
ThreatIndicators.ReadWrite.OwnedBy Gerenciar indicadores de ameaças que este aplicativo cria ou é proprietário Permite que o aplicativo crie indicadores de ameaças e gerencie totalmente esses indicadores de ameaças (ler, atualizar e excluir) sem um usuário ter entrado. Ele não atualizará os indicadores de ameaças que não possui. Sim
ThreatIndicators.Read.All Gerenciar indicadores de ameaças que este aplicativo cria ou é proprietário Permite que o aplicativo leia todos os indicadores de ameaça para sua organização, sem um usuário assinado. Sim

Comentários

As permissões de segurança só são válidas para contas corporativas ou de estudante.

Exemplo de uso

Permissões delegadas e de aplicativo

  • SecurityEvents.Read.All: Ler a lista de todos os alertas de segurança de todos os provedores de segurança licenciados disponíveis para o seu locatário (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: Atualize ou leia os alertas de segurança de todos os provedores de segurança licenciados disponíveis para o seu locatário (PATCH /beta/security/alerts/{id})

Permissões de comunicações de serviço

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ServiceHealth.Read.All Ler a integridade do serviço Permite que o aplicativo leia as informações de integridade de serviço do seu locatário em nome do usuário inscrito. As informações de integridade podem incluir os problemas de serviço ou a visão geral de integridade do serviço. Sim Sim
ServiceMessage.Read.All Ler mensagens de serviço Permite que o aplicativo leia as mensagens de anúncio de serviço do seu locatário em nome do usuário conectado. As mensagens podem incluir informações sobre os recursos novos ou alterados. Sim Sim
ServiceMessageViewpoint.Write Atualize seu status de usuário nas mensagens de anúncio de serviço Permite que o aplicativo atualize o status do usuário das mensagens de anúncio de serviço em nome do usuário conectado. O status da mensagem pode ser marcado como lido, arquivo ou favorito. Sim Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
ServiceHealth.Read.All Ler a integridade do serviço Permite que o aplicativo leia as informações de integridade do serviço do seu locatário, sem um usuário conectado. As informações de integridade podem incluir os problemas de serviço ou a visão geral de integridade do serviço. Sim
ServiceMessage.Read.All Ler mensagens de serviço Permite que o aplicativo leia as mensagens de anúncio de serviço do seu locatário, sem um usuário conectado. As mensagens podem incluir informações sobre os recursos novos ou alterados. Sim

Permissões de Anotações Curtas (visualização privada)

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ShortNotes.Read Ler anotações curtas do usuário conectado Permite que o aplicativo leia todas as anotações curtas às quais um usuário conectado tenha acesso. Não Sim
ShortNotes.ReadWrite Ler, criar, editar e excluir anotações curtas do usuário conectado Permite que o aplicativo leia, crie, edite e exclua anotações curtas de um usuário conectado. Não Sim

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
ShortNotes.Read.All Ler as anotações curtas de todos os usuários Permite que o aplicativo leia todas as anotações curtas sem um usuário conectado. Sim
ShortNotes.ReadWrite.All Ler, criar, editar e excluir anotações curtas de todos os usuários Permite ao aplicativo ler, criar, editar e excluir todas as anotações curtas sem um usuário conectado. Sim

Permissões de sites

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Sites.Read.All Ler itens em todos os conjuntos de sites Permite ao aplicativo ler documentos e listar itens em todos os conjuntos de sites em nome do usuário conectado. Não Não
Sites.ReadWrite.All Ler e gravar itens em todos os conjuntos de sites Permite ao aplicativo editar ou excluir documentos e listar itens em todos os conjuntos de sites em nome do usuário conectado. Não Não
Sites.Manage.All Criar, editar e excluir itens e listas em todos os conjuntos de sites Permite ao aplicativo gerenciar e criar listas, documentos e listar itens em todos os conjuntos de sites em nome do usuário conectado. Não Não
Sites.FullControl.All Ter controle total de todos os conjuntos de sites Permite ao aplicativo ter controle total nos sites do SharePoint em todos os conjuntos de sites em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Sites.Read.All Ler itens em todos os conjuntos de sites Permite ao aplicativo ler documentos e listar itens em todos os conjuntos de sites sem um usuário conectado. Sim
Sites.ReadWrite.All Ler e gravar itens em todos os conjuntos de sites Permite ao aplicativo criar, ler, atualizar e excluir documentos e listar itens em todos os conjuntos de sites sem um usuário conectado. Sim
Sites.Manage.All Criar, editar e excluir itens e listas em todos os conjuntos de sites Permite ao aplicativo gerenciar e criar listas, documentos e listar itens em todos os conjuntos de sites sem um usuário conectado. Sim
Sites.FullControl.All Ter controle total de todos os conjuntos de sites Permite ao aplicativo ter controle total nos sites do SharePoint em todos os conjuntos de sites sem um usuário conectado. Sim
Sites.Selecionados Acessar conjuntos de sites selecionados Permitir que o aplicativo acesse um subconjunto de conjuntos de sites sem um usuário conectado. Os conjuntos de sites específicos e as permissões concedidas serão configurados no SharePoint Online. Sim

Comentários

Essas permissões de sites só são válidas para contas corporativas ou de estudante. A permissão do aplicativo Sites.Selected está disponível apenas na API do Microsoft Graph.

Exemplo de uso

Delegado

  • Sites.Read.All: Ler as listas no site raiz do SharePoint (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All: Criar novos itens de lista em uma lista do SharePoint (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All: Adicionar uma nova lista a um site do SharePoint (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All: Acesso completo a sites e listas do SharePoint.

Permissões de solicitação de direitos de entidade

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
SubjectRightsRequest.Read.All* Ler solicitações de direitos da entidade Permite que o aplicativo leia solicitações de direitos de entidade em nome do usuário conectado. Sim Não
SubjectRightsRequest.ReadWrite.All* Ler e gravar solicitações de direitos da entidade Permite que o aplicativo leia e grave solicitações de direitos de entidade em nome do usuário conectado. Sim Não

Importante As permissões marcadas com um asterisco (*) não estão disponíveis no momento. Para mais detalhes, confira Problemas conhecidos.

Permissões de aplicativos

Nenhuma.

Exemplo de uso

Delegated

  • SubjectRightsRequest.Read.All_: obter a lista de solicitações de direitos de entidade disponíveis para o usuário (GET /privacy/subjectrightsrequests).
  • SubjectRightsRequest.ReadWrite.All: criar uma solicitação de direitos de entidade (POST /privacy/subjectrightsrequests).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões de tarefas

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Tasks.Read Ler tarefas e listas de tarefas do usuário (visualização) Permite ao aplicativo ler as tarefas e listas de tarefas do usuário conectado, incluindo qualquer compartilhamento com o usuário. Não inclui a permissão para criar, excluir ou atualizar qualquer coisa. Não Sim
Tasks.Read.Shared Ler as tarefas do usuário e as tarefas compartilhadas (visualização) Permite que o aplicativo leia as tarefas que o usuário tem permissão de acessar, incluindo as próprias tarefas e as tarefas compartilhadas. Não Não
Tasks.ReadWrite Criar, ler, atualizar e excluir tarefas e listas de tarefas do usuário (visualização) Permite ao aplicativo criar, ler, atualizar, e excluir as tarefas e listas de tarefas do usuário conectado, incluindo qualquer compartilhamento com o usuário. Não Sim
Tasks.ReadWrite.Shared Ler e registrar as tarefas do usuário e as tarefas compartilhadas (visualização) Permite que o aplicativo crie, leia, atualize e exclua as tarefas permitidas para um usuário, incluindo suas próprias tarefas e as compartilhadas. Não Não

Permissões de aplicativos

Nenhum.

Comentários

As permissões de Tarefas são usadas para controlar o acesso a tarefas pendentes e tarefas do Outlook (obsoleto). O acesso às tarefas do Microsoft Planner é controlado pelas permissões de Grupo.

As permissões Compartilhadas atualmente só são compatíveis com contas corporativas ou de estudante. Mesmo com permissões Compartilhadas, as leituras e gravações podem falhar se o usuário que possui o conteúdo compartilhado não tiver concedido as permissões de usuário de acesso para modificar o conteúdo dentro da pasta.

Exemplo de uso

Delegado

  • Tasks.Read: Obter todas as tarefas na caixa de correio do usuário (GET /me/outlook/tasks).
  • Tasks.Read.Shared: Acessar tarefas em uma pasta compartilhada com você por outro usuário em sua organização (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: Adicionar um evento à pasta de tarefas padrão do usuário (POST /me/outlook/tasks).
  • Tasks.Read: Obter todas as tarefas não concluídas na caixa de correio do usuário (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: Atualizar uma tarefa na caixa de correio do usuário (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: Concluir uma tarefa em nome de outro usuário (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de taxonomia

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TermStore.Read.All Ler dados do repositório de termos Permitir que o aplicativo leia vários termos, definições e grupos no repositório de termos Sim Não
TermStore.ReadWrite.All Ler e gravar todos os dados do repositório de termos Permitir que o aplicativo edite ou exclua termos, definições e grupos no repositório de termos Sim Não

Comentários

As permissões de taxonomia só são válidas para contas do trabalho ou da escola.

Exemplo de uso

Delegado

  • TermStore.Read.All: Ler o termstore para o locatário (GET /termStore)
  • TermStore.ReadWrite.All: Criar novos termos no termStore (POST /termStore/sets/123/children)

Permissões de equipes

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Team.ReadBasic.All Ler os nomes e as descrições das equipes Ler os nomes e as descrições das equipes, em nome do usuário conectado. Não Não
Team.Create Criar equipes Criar equipes, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Team.ReadBasic.All Obter uma lista de todas as equipes Obter uma lista de todas as equipes, sem um usuário conectado. Sim Não
Team.Create Criar equipes Criar equipes, sem um usuário conectado. Sim Não
Teamwork.Migrate.All Gerenciar a migração do Microsoft Teams Criar e gerenciar recursos de migração do Microsoft Teams Sim Sim

Permissões de configurações de equipe

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamSettings.Read.All Ler as configurações das equipes Ler as configurações dessa equipe, em nome do usuário conectado. Sim Não
TeamSettings.ReadWrite.All Ler e alterar configurações das equipes Ler e alterar as configurações de todas as equipes, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamSettings.Read.All Ler as configurações de todas as equipes Ler as configurações dessa equipe, sem um usuário conectado. Sim Não
TeamSettings.ReadWrite.All Ler e alterar as configurações de todas as equipes. Ler e alterar as configurações de todas as equipes, sem um usuário conectado. Sim Não

Permissões de atividades das equipes

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsActivity.Read (versão prévia privada) Ler o feed de atividades do trabalho em equipe Permite que o aplicativo leia o feed de atividade em equipe do usuário conectado. Não Não
TeamsActivity.Send Enviar uma atividade de trabalho em equipe como o usuário Permite que o aplicativo crie novas notificações nos feeds de atividades de trabalho em equipe dos usuários em nome do usuário conectado. Essas notificações podem não ser detectáveis ​​ou mantidas, ou controladas por políticas de conformidade. Não Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsActivity.Read.All (versão prévia privada) Ler o feed de atividades do trabalho em equipe de todos os usuários. Permite que o aplicativo leia o feed de atividade em equipe de todos os usuários sem um usuário conectado. Sim Não
TeamsActivity.Send Enviar uma atividade de trabalho em equipe para qualquer usuário Permite que o aplicativo crie novas notificações nos feeds de atividades de trabalho em equipe dos usuários sem um usuário conectado. Essas notificações podem não ser detectáveis ​​ou mantidas, ou controladas por políticas de conformidade. Sim Não

Permissões do aplicativo do Teams (preteridas)

Observação

Essas permissões foram preteridas. Use o TeamsAppInstallation equivalente.*. Em vez disso, todas as permissões.

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsApp.Read.All (Preterido) Ler todos os aplicativos do Teams instalados Permite que o aplicativo leia os aplicativos do Teams instalados para o usuário conectado, e em todas as equipes que o usuário é membro. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsApp.ReadWrite.All (Preterido) Gerenciar todos os aplicativos do Teams Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams em nome do usuário conectado, e também das equipes que o usuário é membro. Não dá a capacidade de ler ou gravar as configurações específicas do aplicativo. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsApp.Read.All (Preterido) Lê os aplicativos do Teams instalados de todos os usuários Permite que o aplicativo leia os aplicativos do Teams instalados para qualquer usuário, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsApp.ReadWrite.All (Preterido) Gerencia os aplicativos do Teams de todos os usuários Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams para qualquer usuário, sem um usuário conectado. Não dá a capacidade de ler ou gravar as configurações específicas do aplicativo. Sim Não

Permissões de instalação do aplicativo do Teams

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsAppInstallation.ReadForUser Ler os aplicativos do Teams instalados do usuário Permite que o aplicativo leia os aplicativos do Teams instalados para o usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Não Não
TeamsAppInstallation.ReadWriteForUser Gerenciar os aplicativos do Teams instalados do usuário Permite que o aplicativo leia instale, atualize e desinstale os aplicativos do Teams instalados para o usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsAppInstallation.ReadWriteSelfForUser Permitir que o aplicativo se gerencie nas equipes Permite que um aplicativo do Teams se leia, se instale, se atualize e se desinstale para as equipes as quais o usuário conectado possa acessar. Não Não
TeamsAppInstallation.ReadForTeam Ler os seus aplicativos do Teams instalados nas equipes Permite que o aplicativo leia os aplicativos do Teams instalados nas equipes que o usuário conectado pode acessar. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsAppInstallation.ReadWriteForTeam Gerenciar os aplicativos do Teams instalados nas equipes Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams nas equipes que o usuário conectado pode acessar. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsAppInstallation.ReadWriteSelfForTeam Permitir que o aplicativo se gerencie nas equipes Permite que um aplicativo do Teams se leia, se instale, se atualize e se desinstale para as equipes as quais o usuário conectado possa acessar. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
TeamsAppInstallation.ReadForUser.All Ler os aplicativos do Teams instalados para todos os usuários Permite que o aplicativo leia os aplicativos do Teams instalados para qualquer usuário, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteForUser.All Gerenciar aplicativos do Teams para todos os usuários Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams para qualquer usuário, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteSelfForUser.All Permitir que o aplicativo se gerencie para todos os usuários Permite que o aplicativo do Teams se leia, se instale, se atualize e se desinstale para qualquer usuário, sem um usuário conectado. Sim
TeamsAppInstallation.ReadForTeam.All Ler os aplicativos do Teams instalados para todas as equipes Permite que o aplicativo leia os aplicativos do Teams instalados para qualquer equipe, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteForTeam.All Gerenciar aplicativos de Teams para todas as equipes Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams em qualquer equipe, sem um usuário conectado. Não permite ler configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteSelfForTeam.All Permitir que o aplicativo do Teams se gerencie para todas as equipes Permite que o aplicativo do Teams se leia, se instale, se atualize e se desinstale em qualquer equipe, sem um usuário conectado. Sim

Permissões de membro da equipe

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamMember.Read.All Leia os membros das equipes. Leia os membros das equipes em nome do usuário conectado. Sim Não
TeamMember.ReadWrite.All Adicione e remova membros das equipes. Adicione e remova membros das equipes em nome do usuário conectado. Também permite alterar a função de um membro. Por exemplo: de proprietário para não proprietário. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamMember.Read.All Leia os membros das equipes. Leia os membros das equipes sem um usuário conectado. Sim Não
TeamMember.ReadWrite.All Adicione e remova membros das equipes. Adicione e remova membros das equipes sem um usuário conectado. Também permite alterar a função de um membro da equipe. Por exemplo: de proprietário para não proprietário. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamSettings.Read.Group Leia as configurações dessa equipe. Ler as configurações dessa equipe, sem um usuário conectado. Não Não
TeamSettings.ReadWrite.Group Atualizar as configurações para esta equipe. Leia e grave as configurações desta equipe, sem um usuário está conectado. Não Não
ChannelSettings.Read.Group Ler os nomes, descrições e configurações dos canais dessa equipe. Leia os nomes dos canais, as descrições e as configurações dos canais desta equipe, sem um usuário conectado. Não Não
ChannelSettings.ReadWrite.Group Atualize os nomes, descrições e configurações dos canais desta equipe. Atualize os nomes dos canais, as descrições e as configurações dos canais desta equipe, sem um usuário conectado. Não Não
Channel.Create.Group Criar canais nesta equipe. Crie canais nesta equipe, sem um usuário conectado. Não Não
Channel.Delete.Group Excluir os canais dessa equipe. Exclua os canais desta equipe, sem um usuário conectado. Não Não
ChannelMessage.Read.Group Ler as mensagens de canal da equipe. Permite que um aplicativo leia as mensagens do canal desta equipe, sem um usuário conectado. Não Não
TeamsAppInstallation.Read.Group Veja quais aplicativos estão instalados nessa equipe. Veja quais aplicativos estão instalados nesta equipe, sem um usuário conectado. Não Não
TeamsTab.Read.Group Leia as guias dessa equipe. Leia as guias desta equipe, sem um usuário conectado. Não Não
TeamsTab.Create.Group Criar guias nesta equipe. Crie guias nesta equipe, sem um usuário conectado. Não Não
TeamsTab.ReadWrite.Group Atualize as guias desta equipe. Atualize as guias desta equipe, sem um usuário conectado. Não Não
TeamsTab.Delete.Group Excluir as guias dessa equipe. Exclua as guias desta equipe, sem um usuário conectado. Não Não
TeamMember.Read.Group Leia os membros desta equipe. Leia os membros desta equipe, sem um usuário está conectado. Não Não
Member.Read.Group Leia os membros deste grupo. Excluir os membros desse grupo, sem um usuário conectado. Não Não
Owner.Read.Group Leia os proprietários deste grupo. Ler os proprietários desse grupo, sem um usuário conectado. Não Não
File.Read.Group Leia os arquivos e pastas desta equipe. Suporte limitado
(Visualização) Leia os arquivos e pastas desta equipe, sem usuários conectados.
Não Não
TeamsActivity.Send.Group Envie notificações de feed de atividades aos usuários desta equipe. Permite que o aplicativo crie novas notificações nos feeds de atividades de trabalho em equipe dos usuários desta equipe, sem um usuário conectado. Não Não

Permissões de configurações do Teams

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Team.ReadBasic.All Ler os nomes e as descrições das equipes Ler os nomes e descrições das equipes, em nome do usuário conectado. Não Não
TeamSettings.Read.All Ler as configurações das equipes Ler as configurações de todas as equipes, em nome do usuário conectado. Sim Não
TeamSettings.ReadWrite.All Ler e alterar configurações das equipes. Ler e alterar as configurações de todas as equipes, em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Team.ReadBasic.All Obter uma lista de todas as equipes. Obter uma lista de todas as equipes, sem um usuário conectado. Sim Não
TeamSettings.Read.All Ler as configurações de todas as equipes Ler as configurações dessa equipe, sem um usuário conectado. Sim Não
TeamSettings.ReadWrite.All Ler e alterar todas as configurações das equipes Ler e alterar as configurações de todas as equipes, sem um usuário conectado. Não Não

Permissões de guia no Teams

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsTab.Read.All Lê guias no Microsoft Teams. Permite que o aplicativo leia os aplicativos do Teams instalados para o usuário conectado, e em todas as equipes que o usuário é membro. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsTab.ReadWrite.All Lê e grava guias no Microsoft Teams. Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams em nome do usuário conectado, e também das equipes que o usuário é membro. Não dá a capacidade de ler ou gravar as configurações específicas do aplicativo. Sim Não
TeamsTab.Create Cria guias no Microsoft Teams. Permite que o aplicativo crie guias em qualquer equipe do Microsoft Teams, em nome do usuário conectado. Isso não concede a capacidade de ler, modificar ou excluir guias depois de criá-las ou conceder acesso ao conteúdo nas guias. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsTab.Read.All Lê guias no Microsoft Teams. Lê os nomes e as configurações de guias dentro de qualquer equipe do Microsoft Teams, sem um usuário conectado. Isso não dá acesso ao conteúdo nas guias. Sim Não
TeamsTab.ReadWrite.All Lê e grava guias no Microsoft Teams. Lê e escreve as guias em qualquer equipe do Microsoft Teams, sem um usuário conectado. Isso não dá acesso ao conteúdo nas guias. Sim Não
TeamsTab.Create Cria guias no Microsoft Teams. Permite que o aplicativo crie guias em qualquer equipe do Microsoft Teams, sem um usuário conectado. Isso não concede a capacidade de ler, modificar ou excluir guias depois de criá-las ou conceder acesso ao conteúdo nas guias. Sim Não

Permissões de rótulos do Teams

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamworkTag.ReadWrite Lê e grava rótulos no Microsoft Teams. Lê e escreve os rótulos em qualquer equipe do Microsoft Teams, sem um usuário conectado. Sim Não
TeamworkTag.Read Lê rótulos no Microsoft Teams. Lê os rótulos em qualquer equipe do Microsoft Teams, sem um usuário conectado. Sim Não

Permissões de termos de uso

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Agreement.Read.All Ler todos os acordos de termos de uso Permite que o aplicativo leia acordos de termos de uso em nome do usuário conectado. Sim Não
Agreement.ReadWrite.All Ler e gravar todos os acordos de termos de uso Permite que o aplicativo leia e grave acordos de termos de uso em nome do usuário conectado. Sim Não
AgreementAcceptance.Read Ler os status de aceitação de termos de uso do usuário Permite que o aplicativo leia status de aceitação de termos de uso em nome do usuário conectado. Sim Não
AgreementAcceptance.Read.All Ler os status de aceitação de termos de uso que o usuário pode acessar Permite que o aplicativo leia status de aceitação de termos de uso em nome do usuário conectado. Sim Não

Comentários

Todas as permissões acima são válidas apenas para contas corporativas ou de estudante.

Para que um aplicativo leia ou grave todos os contratos ou aceitações de contrato com permissões delegadas, o usuário conectado deve receber a função de Administrador Global, Administrador de Acesso Condicional ou Administrador de Segurança. Para obter mais informações sobre funções de administrador, confira Atribuição de funções de administrador no Azure Active Directory.

Exemplo de uso

Delegado

Os seguintes usos são válidos para permissões delegadas:

  • Agreement.Read.All: ler todos os acordos de termos de uso (GET /beta/agreements)
  • Agreement.ReadWrite.All: ler e gravar todos os acordos de termos de uso (POST /beta/agreements)
  • AgreementAcceptance.Read: ler os status de aceitação de termos de uso do usuário (GET /beta/me/agreementAcceptances)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.


Permissões de instalação do aplicativo do Teams

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
TeamsAppInstallation.ReadForUser Ler os aplicativos do Teams instalados do usuário Permite que o aplicativo leia os aplicativos do Teams instalados para o usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsAppInstallation.ReadWriteForUser Gerenciar os aplicativos do Teams instalados do usuário Permite que o aplicativo leia instale, atualize e desinstale os aplicativos do Teams instalados para o usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Não Não
TeamsAppInstallation.ReadWriteSelfForUser Permitir que o aplicativo se gerencie nas equipes Permite que um aplicativo do Teams se leia, se instale, se atualize e se desinstale para as equipes as quais o usuário conectado possa acessar. Sim Não
TeamsAppInstallation.ReadForTeam Ler os seus aplicativos do Teams instalados nas equipes Permite que o aplicativo leia os aplicativos do Teams instalados nas equipes que o usuário conectado pode acessar. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsAppInstallation.ReadWriteForTeam Gerenciar os aplicativos do Teams instalados nas equipes Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams nas equipes que o usuário conectado pode acessar. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim Não
TeamsAppInstallation.ReadWriteSelfForTeam Permitir que o aplicativo se gerencie nas equipes Permite que um aplicativo do Teams se leia, se instale, se atualize e se desinstale para as equipes as quais o usuário conectado possa acessar. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
TeamsAppInstallation.ReadForUser.All Ler os aplicativos do Teams instalados para todos os usuários Permite que o aplicativo leia os aplicativos do Teams instalados para qualquer usuário, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteForUser.All Gerenciar aplicativos do Teams para todos os usuários Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams para qualquer usuário, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteSelfForUser.All Permitir que o aplicativo se gerencie para todos os usuários Permite que o aplicativo do Teams se leia, se instale, se atualize e se desinstale para qualquer usuário, sem um usuário conectado. Sim
TeamsAppInstallation.ReadForTeam.All Ler os aplicativos do Teams instalados para todas as equipes Permite que o aplicativo leia os aplicativos do Teams instalados para qualquer equipe, sem um usuário conectado. Não dá a capacidade de ler as configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteForTeam.All Gerenciar aplicativos de Teams para todas as equipes Permite que o aplicativo leia, instale, atualize e desinstale aplicativos do Teams em qualquer equipe, sem um usuário conectado. Não permite ler configurações específicas do aplicativo. Sim
TeamsAppInstallation.ReadWriteSelfForTeam.All Permitir que o aplicativo do Teams se gerencie para todas as equipes Permite que o aplicativo do Teams se leia, se instale, se atualize e se desinstale em qualquer equipe, sem um usuário conectado. Sim

Permissões de avaliação de ameaças

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
ThreatAssessment.ReadWrite.All Solicitações de avaliação de ameaças de leitura e gravação Permite que o aplicativo leia os eventos de segurança da sua organização em nome do usuário conectado. Também permite que o aplicativo crie novas solicitações para avaliar as ameaças recebidas por sua organização em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
ThreatAssessment.Read.All Solicitações de avaliação de ameaças de leitura Permite que o aplicativo leia os eventos de segurança da sua organização em nome do usuário conectado. Sim

Comentários

Essas permissões só são válidas para contas corporativas ou de estudante.

Exemplo de uso

Delegado

  • ThreatAssessment. ReadWrite.All: ler e gravar solicitações de avaliação de ameaças (POST /informationProtection/threatAssessmentRequests)

Aplicativo

  • ThreatAssessment. ReadWrite.All: ler e gravar solicitações de avaliação de ameaças (GET /informationProtection/threatAssessmentRequests)

Permissões Universais de Impressão

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
Printer.Create Impressoras registradas Permite que o aplicativo crie (cadastre) impressoras em nome do usuário conectado. Sim Não
Printer.FullControl.All Registre, leia, atualize e cancele o registro de impressoras Permite que o aplicativo crie (registre), leia, atualize e exclua (cancele o registro) de impressoras em nome do usuário conectado. Sim Não
Printer.Read.All Ler impressoras Permite que o aplicativo leia impressoras em nome do usuário conectado. Sim Não
Printer.ReadWrite.All Ler e atualizar as impressoras Permite que o aplicativo leia e atualize impressoras em nome do usuário conectado. Não permite a criação (registro) ou a exclusão (cancelamento do registro) de impressoras. Sim Não
PrinterShare.ReadBasic.All Leia as informações básicas sobre compartilhamentos de impressoras Permite que o aplicativo leia informações básicas sobre os compartilhamentos da impressora em nome do usuário conectado. Não permite a leitura de informações de controle de acesso. Não Não
PrinterShare.Read.All Ler compartilhamentos de impressora Permite que o aplicativo leia os compartilhamentos da impressora em nome do usuário conectado. Não Não
PrinterShare.ReadWrite.All Ler e gravar compartilhamentos de impressora Permite que o aplicativo leia e atualize compartilhamentos de impressora em nome do usuário conectado. Sim Não
PrintJob.Create Crie trabalhos de impressão Permite que o aplicativo crie trabalhos de impressão em nome do usuário conectado e carregue o conteúdo do documento para imprimir os trabalhos que o usuário conectado criou. Não Não
PrintJob.Read Ler os trabalhos de impressão do usuário Permite que o aplicativo leia os metadados e o conteúdo do documento dos trabalhos de impressão criados pelo usuário conectado. Não Não
PrintJob.Read.All Ler os trabalhos de impressão Permite que o aplicativo leia os metadados e o conteúdo do documento dos trabalhos de impressão em nome do usuário conectado. Sim Não
PrintJob.ReadBasic Ler informações básicas dos trabalhos de impressão do usuário Permite que o aplicativo leia os metadados dos trabalhos de impressão criados pelo usuário conectado. Não permite acesso ao conteúdo do documento do trabalho de impressão. Não Não
PrintJob.ReadBasic.All Ler informações básicas dos trabalhos de impressão Permite que o aplicativo leia os metadados dos trabalhos de impressão em nome do usuário conectado. Não permite acesso ao conteúdo do documento do trabalho de impressão. Sim Não
PrintJob.ReadWrite Ler e gravar os trabalhos de impressão do usuário Permite que o aplicativo leia e atualize os metadados e o conteúdo do documento dos trabalhos de impressão criados pelos usuário conectado. Não Não
PrintJob.ReadWrite.All Ler e gravar trabalhos de impressão Permite que o aplicativo leia e atualize os metadados e o conteúdo do documento dos trabalhos de impressão em nome do usuário conectado. Sim Não
PrintJob.ReadWriteBasic Ler e gravar informações básicas de trabalhos de impressão do usuário Permite que o aplicativo leia e atualize os metadados dos trabalhos de impressão que o usuário conectado criou. Não permite acesso ao conteúdo do documento do trabalho de impressão. Não Não
PrintJob.ReadWriteBasic.All Ler e gravar informações básicas de trabalhos de impressão Permite que o aplicativo leia e atualize os metadados dos trabalhos de impressão em nome do usuário conectado. Não permite acesso ao conteúdo do documento do trabalho de impressão. Sim Não
PrintConnector.Read.All Conectores de leitura Permite que o aplicativo leia os conectores em nome do usuário conectado. Sim Não
PrintConnector.ReadWrite.All Leia e grave os conectores de impressão Permite que o aplicativo leia e escreva conectores de impressão em nome do usuário conectado. Sim Não
PrintSettings.Read.All Leia as configurações de impressão em todo o locatário Permite que o aplicativo leia os compartilhamentos da impressora em nome do usuário conectado. Sim Não
PrintSettings.ReadWrite.All Leia e grave as configurações de impressão em todo o locatário Permite que o aplicativo leia e atualize impressoras em nome do usuário conectado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
Printer.Read.All Ler impressoras Permite que o aplicativo leia as impressoras sem um usuário conectado. Sim
Printer.ReadWrite.All Ler e atualizar as impressoras Permite que o aplicativo leia e atualize as impressoras sem um usuário conectado. Não permite a criação (registro) ou a exclusão (cancelamento do registro) de impressoras. Sim
PrintJob.Manage.All Executar operações avançadas nos trabalhos de impressão Permite que o aplicativo execute operações avançadas, como redirecionar um trabalho de impressão para outra impressora sem um usuário conectado. Também, permite que o aplicativo leia e atualize os metadados dos trabalhos de impressão. Sim
PrintJob.Read.All Ler os trabalhos de impressão Permite que o aplicativo leia os metadados e o conteúdo do documento dos trabalhos de impressão sem um usuário conectado. Sim
PrintJob.ReadBasic.All Ler informações básicas de trabalhos para impressão Permite que o aplicativo leia os metadados dos trabalhos de impressão sem um usuário conectado. Não permite acesso ao conteúdo do documento do trabalho de impressão. Sim
PrintJob.ReadWrite.All Ler e gravar trabalhos de impressão Permite que o aplicativo leia e atualize os metadados e o conteúdo do documento dos trabalhos de impressão sem um usuário conectado. Sim
PrintJob.ReadWriteBasic.All Ler e gravar informações básicas para trabalhos de impressão Permite que o aplicativo leia e atualize os metadados dos trabalhos de impressão sem um usuário conectado. Não permite acesso ao conteúdo do documento do trabalho de impressão. Sim
PrintTaskDefinition.ReadWrite.All Ler, gravar e atualizar definições das tarefas de impressão Permite que o aplicativo leia e atualize as definições das tarefas de impressão sem um usuário conectado. Sim

Comentários

  • Para utilizar o serviço Universal Print, o usuário ou locatário do aplicativo deve ter uma assinatura ativa do Universal Print, além das permissões anteriormente listadas.

  • Algumas permissões distinguem entre metadados de trabalho de impressão e conteúdo. Os metadados descrevem a configuração de um trabalho de impressão (seu nome e configuração do documento, por exemplo, se ele deve ser grampeado ou impresso em cores). Conteúdo são os próprios dados do documento (o arquivo PDF ou XPS a serem impresso).

  • Todas as permissões PrintJob.* Também exigem pelo menos Printer.Read.All (ou uma permissão mais reservada) porque os trabalhos de impressão são armazenados nas impressoras.

Exemplo de uso

Delegado

  • Printer.Read.All: Obtenha uma lista de todas as impressoras do locatário (GET /print/printers)
  • PrintJob.Read.All: Obtenha uma lista de todos os trabalhos de impressão enfileirados em uma impressora (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: Eliminar uma impressora (sem registro) (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: Atualizar metadados (como o status atual) de trabalhos de impressão (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: Crie trabalhos de impressão e carregue os dados de documentos para eles (POST /print/printers/{id}/jobs)

Aplicativo

  • Printer.Read.All: Obtenha uma lista de todas as impressoras do locatário (GET /print/printers)

Permissões do usuário

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
User.Read Entrar e ler o perfil do usuário Permite aos usuários entrar no aplicativo e permite ao aplicativo ler o perfil de usuários conectados. Também permite que o aplicativo leia as informações básicas da empresa sobre os usuários conectados. Não Sim
User.ReadWrite Acesso de leitura e gravação ao perfil de usuário Permite que o aplicativo leia o perfil completo do usuário conectado. Também possibilita que o aplicativo atualize as informações de perfil do usuário conectado em seu nome. Não Sim
User.ReadBasic.All Ler os perfis básicos de todos usuários Permite ao aplicativo ler um conjunto básico de propriedades de perfil de outros usuários em sua organização em nome do usuário conectado. Inclui o nome para exibição, nome e sobrenome, endereço de email, extensões abertas e foto. Também permite que o aplicativo leia o perfil completo do usuário conectado. Não Não
User.Read.All Ler os perfis completos de todos os usuários Permite ao aplicativo ler o conjunto completo de propriedades do perfil, relatórios e gerentes de outros usuários em sua organização, em nome do usuário conectado. Sim Não
User.ReadWrite.All Ler e gravar os perfis completos de todos os usuários Permite ao aplicativo ler e gravar o conjunto completo de propriedades do perfil, relatórios e gerentes de outros usuários na sua organização, em nome do usuário conectado. Também permite que o aplicativo crie e exclua usuários, além de redefinir senhas de usuário em nome do usuário conectado. Sim Não
User.Invite.All Convidar usuários convidados para a organização Permite que o aplicativo convide usuários para sua organização em nome do usuário conectado. Sim Não
User.Export.All Exportar dados de usuários Permite que o aplicativo exporte os dados de um usuário organizacional, quando executado por um administrador da empresa. Sim Não
User.ManageIdentities.All Gerenciar identidades de usuário Permite que um aplicativo leia, atualize e exclua identidades associadas a uma conta de usuário, a qual o usuário conectado tenha acesso. Isso controla com quais identidades seus usuários podem se conectar. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
User.Read.All Ler os perfis completos de todos os usuários Permite ao aplicativo ler o conjunto completo de propriedades do perfil, relatórios e gerenciadores de outros usuários na sua organização, sem um usuário conectado. Sim
User.ReadWrite.All Ler e gravar os perfis completos de todos os usuários Permite ao aplicativo ler e gravar o conjunto completo de propriedades do perfil, relatórios e gerentes de outros usuários na sua organização, sem um usuário conectado. Também permite que o aplicativo crie e exclua usuários não administrativos. Não permite a redefinição de senhas de usuário. Sim
User.Invite.All Convidar usuários convidados para a organização Permite que o aplicativo convide usuários para sua organização sem um usuário conectado. Sim
User.Export.All Exportar dados de usuários Permite que o aplicativo exporte dados de usuários organizacionais, sem um usuário conectado. Sim
User.ManageIdentities.All Gerenciar todas as identidades de usuário Permite que um aplicativo leia, atualize e exclua identidades associadas a uma conta de usuário, sem um usuário conectado. Isso controla com quais identidades os usuários podem se conectar. Sim

Comentários

Com a permissão User.Read, um aplicativo também pode ler as informações básicas da empresa do usuário conectado de uma conta corporativa ou de estudante através do recurso Organização. As propriedades a seguir estão disponíveis: id, displayName e verifiedDomains.

Para contas corporativas ou de estudante, o perfil completo inclui todas as propriedades declaradas do recurso Usuário. No caso das leituras, somente um número limitado de propriedades é retornado por padrão. Para ler propriedades que não estão no conjunto padrão, use $select. As propriedades padrão são:

  • displayName
  • givenName
  • jobTitle
  • Email
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

As Permissões Delegadas User.ReadWrite e User.Readwrite.All permitem ao aplicativo atualizar as seguintes propriedades de perfil de contas corporativas ou de estudante:

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • photo
  • preferredName
  • responsibilities
  • schools
  • skills

Com a Permissão de aplicativo User.ReadWrite.All, o aplicativo pode atualizar todas as propriedades declaradas das contas corporativas ou de estudante, com exceção da senha.

Com a permissão User.ReadWrite.All delegada ou de aplicativo, a atualização de businessPhones, mobilePhone ou otherMails de outro usuário é permitida apenas em usuários que não são administradores ou que tenham uma das seguintes funções: Leitor de Diretório, Emissor de Convites Independente, Leitor do Centro de Mensagens e Leitor de Relatórios. Para obter mais detalhes, confira Administrador de suporte técnico (senha) nas funções disponíveis do Azure AD.

Para ler ou gravar os subordinados diretos (directReports) ou o gerente (manager) de uma conta corporativa ou de estudante, o aplicativo deve ter as permissões User.Read.All (somente leitura) ou User.ReadWrite.All.

A permissão User.ReadBasic.All restringe o acesso do aplicativo a um conjunto limitado de propriedades conhecido como o perfil básico. Isso ocorre porque o perfil completo pode conter informações de diretório confidenciais. O perfil básico inclui apenas as seguintes propriedades:

  • displayName
  • givenName
  • Email
  • photo
  • surname
  • userPrincipalName

Para ler as associações de grupos de um usuário (memberOf), o aplicativo deve ter o Group.Read.All ou o Group.ReadWrite.All. No entanto, se o usuário também tiver uma associação a um directoryRole ou administrativeUnit, o aplicativo também precisará de permissões efetivas para ler esses recursos ou o Microsoft Graph retornará um erro. Isso significa que o aplicativo deve ter também Permissões do diretório; para as Permissões Delegadas, o usuário conectado deve ter privilégios suficientes na organização para acessar unidades administrativas e funções de diretório.

Com o User.ManageIdentities.All delegado ou as permissões de aplicativo, é possível atualizar as identidades (identities) de um usuário. Isso inclui as identidades federadas (ou identidades sociais) ou as identidades locais com nomes de entrada com base em nome ou email.

Exemplo de uso

Delegado

  • User.Read: Ler o perfil completo para o usuário conectado (GET /me).
  • User.ReadWrite: Atualizar a foto do usuário conectado (PUT /me/photo/$value).
  • User.ReadBasic.All: Localizar todos os usuários cujos nomes começam com "Davi" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: Ler o gerente de um usuário (GET /users/{id | userPrincipalName}/manager).

Aplicativo

  • User.Read.All: Ler todos os usuários e relações usando a consulta delta (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: Atualizar a foto de qualquer usuário na organização (PUT /users/{id | userPrincipalName}/photo/$value).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.

Permissões de Atividades do Usuário

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
UserActivity.ReadWrite.CreatedByApp Ler e gravar a atividades de aplicativos no feed de atividades de usuários Permite que o aplicativo leia e relate as atividades do usuário conectado no aplicativo. Não Sim

Permissões de aplicativos

Nenhum.

Comentários

UserActivity.ReadWrite.CreatedByApp é válida tanto para contas da Microsoft como para contas corporativas e de estudante.

A restrição CreatedByApp associada a essa permissão indica que o serviço aplicará filtragem implícita aos resultados com base na identidade aplicativo que realizar a chamada, seja a ID de aplicativo MSA ou um conjunto de IDs de aplicativos configurados para uma identidade de aplicativo de plataformas cruzadas.

Exemplo de uso

Delegado

  • UserActivity.ReadWrite.CreatedByApp: obtenha uma lista de atividades de usuário exclusivas recentes com base em itens de histórico associados publicados no último dia. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: publicar ou atualizar uma atividade do usuário que pode ser retomada pelo usuário do aplicativo. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: publicar ou atualizar um item de histórico para uma atividade de usuário especificada, a fim de representar o período de engajamento do usuário. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: exclua uma atividade do usuário em resposta a uma solicitação iniciada pelo usuário ou para remover dados inválidos. (DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: exclua um item do histórico em resposta à solicitação iniciada pelo usuário ou para remover dados inválidos. (DELETE /me/activities/{id}/historyItems/{id}).

Permissões do método de autenticação do usuário (visualização)

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Suporte da conta da Microsoft
UserAuthenticationMethod.Read (visualização) Ler os próprios métodos de autenticação Permitir que o aplicativo leia os métodos de autenticação do usuário conectado, incluindo números de telefone e configurações do aplicativo Authenticator. Isso não permite que o aplicativo veja informações secretas, como senhas do usuário conectado, entrar ou usar métodos de autenticação do usuário conectado. Sim Não
UserAuthenticationMethod.Read.All (visualização) Ler os métodos de autenticação dos usuários Permite que o aplicativo leia os métodos de autenticação de todos os usuários em sua organização aos quais o usuário têm acesso. Os métodos de autenticação incluem coisas como o número de telefone do usuário e as configurações do aplicativo Authenticator. Isso não permite que o aplicativo veja informações secretas, como senhas, entrar ou usar métodos de autenticação. Sim Não
UserAuthenticationMethod.ReadWrite (visualização) Gerenciar os próprios métodos de autenticação Permite que o aplicativo leia e grave os métodos de autenticação do usuário conectado, incluindo números de telefone e as configurações do aplicativo Authenticator. Isso não permite que o aplicativo veja informações secretas, como senhas do usuário conectado, entrar ou usar métodos de autenticação do usuário conectado. Sim Não
UserAuthenticationMethod.ReadWrite.All (visualização) Gerenciar os métodos de autenticação dos usuários Permite que o aplicativo leia e grave os métodos de autenticação de todos os usuários em sua organização aos quais o usuário conectado têm acesso. Os métodos de autenticação incluem coisas como o número de telefone do usuário e as configurações do aplicativo Authenticator. Isso não permite que o aplicativo veja informações secretas, como senhas, entrar ou usar métodos de autenticação. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
UserAuthenticationMethod.Read.All (visualização) Ler os métodos de autenticação dos usuários Permite que o aplicativo leia os métodos de autenticação de todos os usuários em sua organização sem um usuário conectado. Os métodos de autenticação incluem coisas como o número de telefone do usuário e as configurações do aplicativo Authenticator. Isso não permite que o aplicativo veja informações secretas, como senhas, entrar ou usar métodos de autenticação. Sim
UserAuthenticationMethod.ReadWrite.All (visualização) Gerenciar os métodos de autenticação dos usuários Permite que o aplicativo leia e grave os métodos de autenticação de todos os usuários em sua organização sem um usuário conectado. Os métodos de autenticação incluem coisas como o número de telefone do usuário e as configurações do aplicativo Authenticator. Isso não permite que o aplicativo veja informações secretas, como senhas, entrar ou usar métodos de autenticação. Sim

Comentários

As permissões do método de autenticação do usuário são usadas para gerenciar os métodos de autenticação dos usuários. Com essas permissões, um usuário ou aplicativo delegado pode registrar novos métodos de autenticação em um usuário, ler os métodos de autenticação que o usuário já registrou, atualizar estes métodos de autenticação e removê-los do usuário.

Com essas permissões, todos os métodos de autenticação podem ser lidos e gerenciados em um usuário. Isso inclui os métodos usados para:

  • Autenticação primária (senha)
  • Segundo fator de autenticação multifator/MFA (números de telefone)
  • Redefinição de senha de autoatendimento/SSPR (endereço de email)

Permissões de atualizações do Windows

Permissões delegadas

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador Conta Microsoft com Suporte
WindowsUpdates.ReadWrite.All Ler e gravar todas as configurações de implantação de atualização do Windows Permite ao aplicativo ler e gravar todas as configurações de implantação de atualização do Windows para a organização em nome do usuário que está assinado. Sim Não

Permissões de aplicativos

Permissão Exibir Cadeia de Caracteres Descrição Consentimento Obrigatório do Administrador
WindowsUpdates.ReadWrite.All Ler e gravar todas as configurações de implantação de atualização do Windows Permite que o aplicativo leia e grave todas as configurações de implantação de atualização do Windows para a organização sem um usuário conectado. Sim

Comentários

Todas as permissões acima são válidas apenas para contas corporativas ou de estudante.

Para que um aplicativo leia ou grave todas as configurações de implantação com permissões delegadas, o usuário conectado deve receber a função de Administrador Global, Administrador do Intune ou Administrador de Implantação do Windows Update Para obter mais informações sobre funções de administrador, consulte Atribuindo funções de administrador no Azure Active Directory.

Exemplo de uso

Delegated

  • WindowsUpdates.ReadWrite.All: crie uma implantação (POST /beta/admin/windows/updates/deployments).

Aplicativo

  • WindowsUpdates.ReadWrite.All: crie uma implantação (POST /beta/admin/windows/updates/deployments).

Cenários de permissão

Esta seção mostra alguns cenários comuns direcionados aos recursos usuário e grupo em uma organização. As tabelas mostram as permissões que um aplicativo precisa para conseguir executar operações específicas necessárias para o cenário. Observe que, em alguns casos, a capacidade do aplicativo de executar operações específicas dependerá se uma permissão é uma Permissão de aplicativo ou Permissão Delegada. No caso de Permissões Delegadas, as Permissões Efetivas do aplicativo também dependerão dos privilégios do usuário conectado na organização. Para obter mais informações, confira Permissões delegadas, Permissões de aplicativo e permissões efetivas.

Cenários de acesso do recurso Usuário

Tarefas do aplicativo envolvendo o Usuário Permissões necessárias Cadeias de caracteres de permissão
O aplicativo deseja ler as informações básicas de outros usuários (somente o nome para exibição e a imagem), por exemplo, para mostrar uma experiência de seleção de pessoas User.ReadBasic.All Ler todos os perfis básicos do usuário
O aplicativo deseja ler o perfil completo do usuário de um usuário conectado (ver subordinados diretos, gerente etc.) User.Read Habilitar entrada e ler o perfil de usuário
O aplicativo deseja ler o perfil completo de todos os usuários User.Read.All Ler os perfis completos de todos os usuários
O aplicativo deseja ler informações de arquivos, email e calendário do usuário conectado User.Read, Files.Read, Mail.Read, Calendars.Read Habilitar entrada e ler o perfil de usuário, ler arquivos dos usuários, ler email do usuário, ler calendários do usuário
O aplicativo deseja ler os arquivos dos usuários (meus) conectados e os arquivos que outros usuários compartilharam com o usuário conectado (eu). User.Read, Files.Read, Sites.Read.All Habilitar entrada e ler o perfil de usuário, ler arquivos dos usuários, ler itens em todos os conjuntos de sites
O aplicativo deseja ler e gravar o perfil completo do usuário conectado User.ReadWrite Acesso de leitura e gravação ao perfil de usuário
O aplicativo deseja ler e gravar o perfil completo de todos os usuários User.ReadWrite.All Ler e gravar os perfis completos de todos os usuários
O aplicativo deseja ler e gravar informações de arquivos, de email e de calendário do usuário conectado User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Acesso de leitura e gravação ao perfil de usuário, acesso de leitura e gravação ao perfil de usuário, acesso de leitura e gravação ao email do usuário, acesso total a calendários do usuário
O aplicativo deseja enviar uma solicitação de operação de política de dados para exportar dados pessoais de um usuário User.Export.All Exportar os dados pessoais e de um usuário.

Cenários de acesso do recurso Grupo

Tarefas do aplicativo envolvendo o Grupo Permissões necessárias Cadeias de caracteres de permissão
O aplicativo deseja ler as informações básicas do grupo (somente o nome para exibição e a imagem), por exemplo, para mostrar uma experiência de seleção de um grupo Group.Read.All Ler todos os grupos
O aplicativo deseja ler todo o conteúdo em todos os grupos do Microsoft 365, incluindo arquivos, conversas. Ele também precisa mostrar associações de grupo, conseguir atualizar associações de grupo (caso seja o proprietário). Group.Read.All Ler itens em todos os conjuntos de sites, ler todos os grupos
O aplicativo deseja ler e gravar todo o conteúdo em todos os grupos do Microsoft 365, incluindo arquivos, conversas. Ele também precisa mostrar associações de grupo, conseguir atualizar associações de grupo (caso seja o proprietário). Group.ReadWrite.All, Sites.ReadWrite.All Ler e gravar todos os grupos, editar ou excluir itens em todos os conjuntos de sites
O aplicativo deseja descobrir (localizar) um grupo do Microsoft 365. Permite ao usuário procurar um grupo específico e escolher um deles na lista enumerada para permitir a sua entrada no grupo. Group.ReadWrite.All Ler e gravar todos os grupos
O aplicativo deseja criar um grupo por meio do AAD Graph Group.ReadWrite.All Ler e gravar todos os grupos