Referência de permissões do Microsoft GraphMicrosoft Graph permissions reference

Para que o aplicativo acesse os dados no Microsoft Graph, o usuário ou administrador deve conceder a ele as permissões corretas por meio de um processo de consentimento.For your app to access data in Microsoft Graph, the user or administrator must grant it the correct permissions via a consent process. Este tópico lista as permissões associadas a cada grande conjunto de APIs do Microsoft Graph.This topic lists the permissions associated with each major set of Microsoft Graph APIs. Ele também fornece orientações sobre como usar as permissões.It also provides guidance about how to use the permissions.

Para saber mais sobre como funcionam as permissões, Confira noções básicas de autenticação e autorização e assista ao vídeo a seguir.To learn more about how permissions work, see Authentication and authorization basics, and watch the following video.

Nomes de permissões do Microsoft GraphMicrosoft Graph permission names

Os nomes de permissões do Microsoft Graph seguem um padrão simples: resource.operation.constraint. Por exemplo, User.Read concede permissão para ler o perfil do usuário conectado, User.ReadWrite concede permissão para ler e modificar o perfil do usuário conectado e Mail.Send concede permissão para enviar emails em nome do usuário conectado.Microsoft Graph permission names follow a simple pattern: resource.operation.constraint. For example, User.Read grants permission to read the profile of the signed-in user, User.ReadWrite grants permission to read and modify the profile of the signed-in user, and Mail.Send grants permission to send mail on behalf of the signed-in user.

O elemento constraint do nome determina a extensão potencial do acesso que o aplicativo terá dentro do diretório. No momento, o Microsoft Graph é compatível com as seguintes restrições:The constraint element of the name determines the potential extent of access your app will have within the directory. Currently Microsoft Graph supports the following constraints:

  • Todos concede permissão para o aplicativo realizar as operações em todos os recursos do tipo especificado em um diretório. Por exemplo, User.Read.All potencialmente concede privilégios ao aplicativo para ler os perfis de todos os usuários em um diretório.All grants permission for the app to perform the operations on all of the resources of the specified type in a directory. For example, User.Read.All potentially grants the app privileges to read the profiles of all of the users in a directory.
  • Compartilhado concede permissão para o aplicativo realizar as operações em recursos que outros usuários compartilharam com o usuário conectado. Essa restrição é usada principalmente com recursos como emails, calendários e contatos do Outlook. Por exemplo, Mail.Read.Shared concede privilégios para ler email na caixa de correio do usuário conectado e emails em caixas de correio que outros usuários na organização compartilharam com o usuário conectado.Shared grants permission for the app to perform the operations on resources that other users have shared with the signed-in user. This constraint is mainly used with Outlook resources like mail, calendars, and contacts. For example, Mail.Read.Shared, grants privileges to read mail in the mailbox of the signed-in user as well as mail in mailboxes that other users in the organization have shared with the signed-in user.
  • AppFolder concede permissão para o aplicativo ler e gravar arquivos em uma pasta dedicada no OneDrive. Essa restrição é exposta somente em Permissões de arquivos e só é válida para contas da Microsoft.AppFolder grants permission for the app to read and write files in a dedicated folder in OneDrive. This constraint is only exposed on Files permissions and is only valid for Microsoft accounts.
  • Se sem restrição estiver especificado, o aplicativo estará limitado a executar as operações nos recursos pertencentes ao usuário conectado. Por exemplo, User.Read concede privilégios para ler o perfil apenas do usuário conectado e Mail.Read concede permissão para ler apenas os emails na caixa de correio do usuário conectado.If no constraint is specified the app is limited to performing the operations on the resources owned by the signed-in user. For example, User.Read grants privileges to read the profile of the signed-in user only, and Mail.Read grants permission to read only mail in the mailbox of the signed-in user.

Observação: Em cenários delegados, as permissões efetivas concedidas ao aplicativo podem ser limitadas pelos privilégios do usuário conectado na organização.Note: In delegated scenarios, the effective permissions granted to your app may be constrained by the privileges of the signed-in user in the organization.

Contas da Microsoft e contas corporativas e de estudanteMicrosoft accounts and work or school accounts

Nem todas as permissões são válidas tanto para contas da Microsoft como para contas corporativas e de estudante.Not all permissions are valid for both Microsoft accounts and work or school accounts. Você pode escolher Conta de suporte da Microsoft para cada grupo de permissão para determinar se uma permissão específica é válida para contas da Microsoft, contas corporativas ou de estudante ou ambas.You can check the Microsoft Account Supported column for each permission group to determine whether a specific permission is valid for Microsoft accounts, work or school accounts, or both.

Limitações de pesquisa de usuário e grupo para usuários convidados em organizaçõesUser and group search limitations for guest users in organizations

Os recursos de pesquisa de usuário e grupo permitem que o aplicativo pesquise usuários ou grupos em um diretório da organização executando consultas no conjunto de recursos /users ou /groups (por exemplo, https://graph.microsoft.com/v1.0/users).User and group search capabilities allow the app to search for any user or group in an organization's directory by performing queries against the /users or /groups resource set (for example, https://graph.microsoft.com/v1.0/users). Os administradores e os usuários têm esse recurso. No entanto, os usuários convidados não.Both administrators and users have this capability; however, guest users do not.

Se o usuário conectado for um usuário convidado, dependendo das permissões que recebeu um aplicativo, ele pode ler o perfil de um usuário específico ou grupo (por exemplo, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). No entanto, o usuário não pode executar consultas no conjunto de recursos /users ou /groups que, potencialmente, retornam mais de um recurso.If the signed-in user is a guest user, depending on the permissions an app has been granted, it can read the profile of a specific user or group (for example, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); however, it cannot perform queries against the /users or /groups resource set that potentially return more than a single resource.

Com as permissões apropriadas, o aplicativo pode ler os perfis de usuários ou grupos que ele obtém seguindo os links nas propriedades de navegação. Por exemplo, /users/{id}/directReports ou /groups/{id}/members.With the appropriate permissions, the app can read the profiles of users or groups that it obtains by following links in navigation properties; for example, /users/{id}/directReports or /groups/{id}/members.


Permissões de revisões de acessoAccess reviews permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
AccessReview.Read.AllAccessReview.Read.All Ler todas as revisões de acessoRead all access reviews Permite que o aplicativo leia as revisões de acesso em nome do usuário conectado.Allows the app to read access reviews on behalf of the signed-in user. SimYes NãoNo
AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Gerenciar todas as revisões de acessoManage all access reviews Permite que o aplicativo leia e grave revisões de acesso em nome do usuário conectado.Allows the app to read and write access reviews on behalf of the signed-in user. SimYes NãoNo
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Gerenciar revisões de acesso para participações em grupo e aplicativosManage access reviews for group and app memberships Permite que o aplicativo leia e grave revisões de acesso de grupos e aplicativos em nome do usuário conectado.Allows the app to read and write access reviews of groups and apps on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
AccessReview.Read.AllAccessReview.Read.All Ler todas as revisões de acessoRead all access reviews Permite que o aplicativo leia revisões de acesso sem um usuário conectado.Allows the app to read access reviews without a signed-in user. SimYes
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Gerenciar revisões de acesso para participações em grupo e aplicativosManage access reviews for group and app memberships Permite que o aplicativo gerencie o acesso a revisões de aplicativos e grupos sem um usuário conectado.Allows the app to manage access reviews of groups and apps without a signed-in user. SimYes

ComentáriosRemarks

AccessReview.Read.All, AccessReview.ReadWrite. All e _AccessReview.ReadWrite.Membership _ são válidos apenas para contas corporativas ou de estudante.AccessReview.Read.All, AccessReview.ReadWrite.All and AccessReview.ReadWrite.Membership are valid only for work or school accounts.

Para um aplicativo com permissões delegadas para ler as revisões de acesso de um grupo ou aplicativo, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuários.For an app with delegated permissions to read access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Para um aplicativo com permissões delegadas para gravar revisões de acesso de um grupo ou aplicativo, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global ou Administrador de Usuários.For an app with delegated permissions to write access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator.

Para um aplicativo com permissões delegadas para ler revisões de acesso de uma função do Azure AD, o usuário conectado deve ser um membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Função Privilegiada.For an app with delegated permissions to read access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator. Para um aplicativo com permissões delegadas para gravar revisões de acesso de uma função do Azure AD, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global ou Administrador de Função Privilegiada.For an app with delegated permissions to write access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator or Privileged Role Administrator.

Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Permissões de recurso do AnalyticsAnalytics resource permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Analytics.ReadAnalytics.Read Ler todas as estatísticas de atividades do usuário.Read all user activities statistics. Permite que o aplicativo leia as estatísticas das atividades do usuário sem um usuário conectado.Allows the app to read user activities statistics without a signed-in user. SimYes

Permissões de aplicativosApplication permissions

Nenhuma.None.

Exemplo de usoExample usage

Delegado Delegated

AplicativoApplication

Nenhum.None.


Permissões de Unidades AdministrativasAdministrative Units permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Ler unidades administrativasRead administrative units Permite que o aplicativo leia as unidades administrativas e a associação de unidade administrativa em nome do usuário conectado.Allows the app to read administrative units and administrative unit membership on behalf of the signed-in user. SimYes NãoNo
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Ler e gravar unidades administrativasRead and write administrative units Permite que o aplicativo crie, leia, atualize e exclua unidades administrativas e gerencie a associação de unidade administrativa em nome do usuário conectado.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Ler todas as unidades administrativasRead all administrative units Permite que o aplicativo leia as unidades administrativas e a associação de unidade administrativa sem um usuário conectado.Allows the app to read administrative units and administrative unit membership without a signed-in user. SimYes
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Ler e gravar todas as unidades administrativasRead and write all administrative units Permite que o aplicativo crie, leia, atualize e exclua as unidades administrativas e gerencie a participação em unidades administrativas sem um usuário conectado.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership without a signed-in user. SimYes

ComentáriosRemarks

Com a permissão AdministrativeUnit.Read.All um aplicativo pode ler informações sobre a unidade administrativa, incluindo membros. With the AdministrativeUnit.Read.All permission an application can read administrative unit information including members.

Com a permissão AdministrativeUnit.Read.All um aplicativo pode cria, ler, atualizar e deletar informações sobre a unidade administrativa, incluindo membros. With the AdministrativeUnit.ReadWrite.All permission an application can create, read, update, and delete administrative unit information including members.

AdministrativeUnit.Read.All e AdministrativeUnit. ReadWrite.All só são válidos para contas corporativas ou de estudante.AdministrativeUnit.Read.All and AdministrativeUnit.ReadWrite.All are valid only for work or school accounts.

Exemplo de usoExample usage

  • AdministrativeUnit.Read.All: Ler unidades administrativas (GET /beta/administrativeUnits)AdministrativeUnit.Read.All: Read administrative units (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: Ler lista de membros de uma unidade administrativa (GET /beta/administrativeUnits/<id>/members)AdministrativeUnit.Read.All: Read members list of an administrative unit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: Criar uma unidade administrativa (POST /beta/administrativeUnits)AdministrativeUnit.ReadWrite.All: Create an administrative unit (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: Atualizar uma unidade administrativa (PATCH /beta/administrativeUnits/<id>)AdministrativeUnit.ReadWrite.All: Update an administrative unit (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: Adicionar membros a uma unidade administrativa (POST /beta/administrativeUnits/<id>/members)AdministrativeUnit.ReadWrite.All: Add members to an administrative unit (POST /beta/administrativeUnits/<id>/members)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de recurso AppCatalogAppCatalog resource permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
AppCatalog.ReadWrite.AllAppCatalog.ReadWrite.All Ler e gravar em todos os catálogos de aplicativoRead and write to all app catalogs Permite que o aplicativo crie, leia, atualize e exclua aplicativos nos catálogos do aplicativo.Allows the app to create, read, update, and delete apps in the app catalogs. SimYes

Permissões de aplicativosApplication permissions

Nenhum.None.

ComentáriosRemarks

No momento o único catálogo é a lista de aplicativos no Microsoft Teams.Currently the only catalog is the list of applications in Microsoft Teams.

Exemplo de usoExample usage

DelegatedDelegated

AplicativoApplication

Nenhum.None.


Permissões de recursos de aplicaçãoApplication resource permissions

Permissões delegadasDelegated permissions

Nenhum.None.

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Application.ReadWrite.AllApplication.ReadWrite.All Ler e gravar todos os aplicativosRead and write all apps Permite que o aplicativo de chamada crie e gerencie (leia, atualize, atualize segredos do aplicativo e exclua) aplicativos e serviços sem um usuário conectado.Allows the calling app to create, and manage (read, update, update application secrets and delete) applications and service principals without a signed-in user. Não permite o gerenciamento de concessões de autorizações ou atribuições de aplicativos a usuários ou grupos.Does not allow management of consent grants or application assignments to users or groups. SimYes
Application.ReadWrite.OwnedByApplication.ReadWrite.OwnedBy Gerenciar aplicativos que este aplicativo criar ou possuirManage apps that this app creates or owns Permite que o aplicativo de chamada crie outros aplicativos e entidades de serviço, e gerencie completamente esses aplicativos e entidades de serviço (leia, atualize, atualize os segredos do aplicativo e exclua), sem um usuário conectado.Allows the calling app to create other applications and service principals, and fully manage those applications and service principals (read, update, update application secrets and delete), without a signed-in user. Ele não poderá atualizar os aplicativos que não pertencem a ele.It cannot update any applications that it is not an owner of. Não permite o gerenciamento de concessões de autorizações ou atribuições de aplicativos a usuários ou grupos.Does not allow management of consent grants or application assignments to users or groups. SimYes

ComentáriosRemarks

A permissão Application.ReadWrite.OwnedBy admite as mesmas operações que Application.ReadWrite.All, exceto que a anterior só permite essas operações em aplicativos e entidades de serviço que pertencem ao aplicativo de chamada.The Application.ReadWrite.OwnedBy permission allows the same operations as Application.ReadWrite.All except that the former allows these operations only on applications and service principals that the calling app is an owner of. O proprietário é indicado pela propriedade de navegação owners no recurso do aplicativo ou da entidade de serviço de destino.Ownership is indicated by the owners navigation property on the target application or service principal resource.

OBSERVAÇÃO: o uso da permissão Application.ReadWrite.OwnedBy para chamar GET /applications para listar aplicativos falhará com um erro 403.NOTE: Using the Application.ReadWrite.OwnedBy permission to call GET /applications to list applications will fail with a 403. Use GET servicePrincipals/{id}/ownedObjects para listar os aplicativos que pertencem ao aplicativo da chamada.Instead use GET servicePrincipals/{id}/ownedObjects to list the applications owned by the calling application.

Exemplo de usoExample usage

DelegadoDelegated

Nenhum.None.

AplicativoApplication

  • Application.ReadWrite.All: listar todos os aplicativos (GET /beta/applications)Application.ReadWrite.All: List all applications (GET /beta/applications)
  • Application.ReadWrite.All: excluir uma entidade de serviço (DELETE /beta/servicePrincipals/{id})Application.ReadWrite.All: Delete a service principal (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: criar um aplicativo (POST /beta/applications)Application.ReadWrite.OwnedBy: Create an application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy: Listar todos os aplicativos pertencentes ao aplicativo da chamada (GET /beta/servicePrincipals/{id}/ownedObjects)Application.ReadWrite.OwnedBy: List all applications owned by the calling application (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: adicionar outro proprietário a um aplicativo próprio (POST /applications/{id}/owners/$ref).Application.ReadWrite.OwnedBy: Add another owner to an owned application (POST /applications/{id}/owners/$ref).

OBSERVAÇÃO: isso pode exigir permissões adicionais.NOTE: This may require additional permissions.


Permissões do BookingsBookings permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Bookings.Read.AllBookings.Read.All Permite que um aplicativo leia compromissos, empresas, clientes, serviços e funcionários do Bookings em nome do usuário conectado.Allows an app to read Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Voltado a aplicativos somente leitura.Intended for read-only applications. O usuário-alvo típico é o cliente de uma empresa de reservas.Typical target user is the customer of a booking business. NãoNo NãoNo
Bookings.ReadWrite.AppointmentsBookings.ReadWrite.Appointments Permite que um aplicativo leia e grave compromissos e clientes do Bookings, permitindo também a leitura de empresas, serviços e funcionários em nome do usuário conectado.Allows an app to read and write Bookings appointments and customers, and additionally allows reading businesses, services, and staff on behalf of the signed-in user. Desenvolvido para aplicativos de agendamento que precisam manipular compromissos e clientes.Intended for scheduling applications which need to manipulate appointments and customers. Não pode alterar informações fundamentais sobre a empresa de reservas, nem seus serviços e funcionários.Cannot change fundamental information about the booking business, nor its services and staff members. O usuário-alvo típico é o cliente de uma empresa de reservas.Typical target user is the customer of a booking business. NãoNo NãoNo
Bookings.ReadWrite.AllBookings.ReadWrite.All Permite que um aplicativo leia e grave compromissos, empresas, clientes, serviços e funcionários do Bookings em nome do usuário conectado.Allows an app to read and write Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Não permite criar, excluir ou publicar de empresas do Bookings.Does not allow create, delete, or publish of Bookings businesses. Voltado a aplicativos de gerenciamento que manipulam empresas existentes, seus serviços e seus funcionários.Intended for management applications that manipulate existing businesses, their services and staff members. Não pode criar, excluir ou alterar o status de publicação de uma empresa de reservas.Cannot create, delete, or change the publishing status of a booking business. O usuário-alvo típico é o funcionário de suporte de uma organização.Typical target user is the support staff of an organization. NãoNo NãoNo
Bookings.ManageBookings.Manage Permite que um aplicativo leia, grave e gerencie compromissos, empresas, clientes, serviços e funcionários do Bookings em nome do usuário conectado.Allows an app to read, write, and manage Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Permite que o aplicativo tenha acesso total.Allows the app to have full access.
Voltado a uma experiência de gerenciamento completa.Intended for a full management experience. O usuário-alvo típico é o administrador de uma organização.Typical target user is the administrator of an organization.
NãoNo NãoNo

Permissões de aplicativosApplication permissions

Nenhuma.None.

Exemplo de usoExample usage

DelegadoDelegated

  • Bookings.Read.All: obter a ID e os nomes do conjunto de empresas do Bookings que foi criado para um locatário (GET /bookingBusinesses).Bookings.Read.All: Get the ID and names of the collection of Bookings businesses that has been created for a tenant (GET /bookingBusinesses).
  • Bookings.ReadWrite.Appointments: criar um compromisso para um serviço em uma empresa do Bookings (POST /bookingBusinesses/{id}/appointments).Bookings.ReadWrite.Appointments: Create an appointment for a service at a Bookings business (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: criar um novo serviço para as empresas do Bookings especificadas (POST /bookingBusinesses/{id}/services).Bookings.ReadWrite.All: Create a new service for the specified Bookings business (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage: disponibilizar a página de agendamento dessa empresa para clientes externos (POST /bookingBusinesses/{id}/publish).Bookings.Manage: Make the scheduling page of this business available to external customers (POST /bookingBusinesses/{id}/publish).

Permissões de calendáriosCalendars permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Calendars.ReadCalendars.Read Ler calendários do usuárioRead user calendars Permite ao aplicativo ler eventos nos calendários do usuário.Allows the app to read events in user calendars. NãoNo SimYes
Calendars.Read.SharedCalendars.Read.Shared Ler usuários e calendários compartilhadosRead user and shared calendars  Permite que o aplicativo leia os eventos em todos os calendários a que o usuário tem acesso, incluindo os delegados e os calendários compartilhados.Allows the app to read events in all calendars that the user can access, including delegate and shared calendars.  NãoNo NãoNo
Calendars.ReadWriteCalendars.ReadWrite Ter acesso total aos calendários do usuárioHave full access to user calendars Permite ao aplicativo criar, ler, atualizar e excluir eventos em calendários do usuário.Allows the app to create, read, update, and delete events in user calendars. NãoNo SimYes
Calendars.ReadWrite.SharedCalendars.ReadWrite.Shared Ler e registrar usuário e calendários compartilhadosRead and write user and shared calendars  Permite ao aplicativo criar, ler, atualizar e excluir eventos de todos os calendários que o usuário tenha permissão para acessar. Isso inclui o delegado e os calendários compartilhados.Allows the app to create, read, update and delete events in all calendars the user has permissions to access. This includes delegate and shared calendars. NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Calendars.ReadCalendars.Read Ler calendários em todas as caixas de correioRead calendars in all mailboxes Permite ao aplicativo ler eventos de todos os calendários sem um usuário conectado.Allows the app to read events of all calendars without a signed-in user. SimYes
Calendars.ReadWriteCalendars.ReadWrite Ler e gravar calendários em todas as caixas de correioRead and write calendars in all mailboxes Permite ao aplicativo criar, ler, atualizar e excluir eventos de todos os calendários sem um usuário conectado.Allows the app to create, read, update, and delete events of all calendars without a signed-in user. SimYes

Os Administradores Importantes podem configurar a política de acesso ao aplicativo para limitar o acesso do aplicativo às caixas de correio específicas e não a todas as caixas de correio na organização, mesmo que as permissões de aplicativo do Calendars.Read ou Calendars.ReadWrite sejam concedidas ao aplicativo. Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Calendars.Read or Calendars.ReadWrite.

Exemplo de usoExample usage

DelegadoDelegated

  • Calendars.Read: Obter eventos do calendário do usuário entre 23 de abril de 2017 e 29 de abril de 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).Calendars.Read: Get events on the user's calendar between April 23, 2017 and April 29, 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Encontrar horários de reuniões onde todos os participantes estejam disponíveis (POST /users/{id|userPrincipalName}/findMeetingTimes).Calendars.Read.Shared: Find meeting times where all attendees are available (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: Adicionar um evento ao calendário do usuário (POST /me/events).Calendars.ReadWrite: Add an event to the user's calendar (POST /me/events).

AplicativoApplication

  • Calendars.Read: Localizar eventos do calendário de uma sala de conferências organizado por pedro@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').Calendars.Read: Find events in a conference room's calendar organized by bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: Listar todos os eventos do mês de maio do calendário de um usuário (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)Calendars.Read: List all events on a user's calendar for the month of May (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: Adicionar um evento de folga aprovada (POST /users/{id | userPrincipalName}/events) ao calendário de um usuário.Calendars.ReadWrite: Add an event to a user's calendar for approved time off (POST /users/{id | userPrincipalName}/events).
  • Calendars.Send: Enviar uma mensagem (POST /users/{id | userPrincipalName}/sendCalendars).Calendars.Send: Send a message (POST /users/{id | userPrincipalName}/sendCalendars).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permissões de chamadasCalls permissions

Permissões delegadasDelegated permissions

Nenhum.None.


Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Calls.Initiate.AllCalls.Initiate.All Iniciar chamadas de saída 1:1 do aplicativo (visualização)Initiate outgoing 1:1 calls from the app (preview) Permite que o aplicativo faça chamadas de saída para um único usuário e transfira chamadas para usuários no diretório da sua organização, sem um usuário conectado.Allows the app to place outbound calls to a single user and transfer calls to users in your organization’s directory, without a signed-in user. SimYes
Calls.InitiateGroupCall.AllCalls.InitiateGroupCall.All Iniciar a saída de chamadas de grupo do aplicativo (visualização)Initiate outgoing group calls from the app (preview) Permite que o aplicativo faça chamadas para vários usuários e adicione participantes a reuniões em sua organização, sem um usuário conectado.Allows the app to place outbound calls to multiple users and add participants to meetings in your organization, without a signed-in user. SimYes
Calls.JoinGroupCall.AllCalls.JoinGroupCall.All Ingresse em reuniões e chamadas de grupo como um aplicativo (visualização)Join Group Calls and Meetings as an app (preview) Permite que o aplicativo ingresse em reuniões agendadas e chamadas de grupo em sua organização, sem um usuário conectado.Allows the app to join group calls and scheduled meetings in your organization, without a signed-in user. O aplicativo será associado aos privilégios de um usuário do diretório para reuniões em seu locatário.The app will be joined with the privileges of a directory user to meetings in your tenant. SimYes
Calls.JoinGroupCallasGuest.AllCalls.JoinGroupCallasGuest.All Ingressar em reuniões e chamadas de grupo como um convidado (visualização)Join Group Calls and Meetings as a guest (preview) Permite que o aplicativo ingresse anonimamente no grupo chamadas e em reuniões agendadas em sua organização, sem um usuário conectado.Allows the app to anonymously join group calls and scheduled meetings in your organization, without a signed-in user. O aplicativo ingressará como convidado para reuniões em seu locatário.The app will be joined as a guest to meetings in your tenant. SimYes
Calls.AccessMedia.All*Calls.AccessMedia.All* Acessar fluxos de mídia em uma chamada como um aplicativo (visualização)Access media streams in a call as an app (preview) Permite que o aplicativo obtenha acesso direto aos fluxos de mídia em uma chamada sem um usuário conectado.Allows the app to get direct access to media streams in a call, without a signed-in user. SimYes

*Importante: você não pode usar a API Microsoft.Graph.Calls.Media para gravar ou persistir conteúdo de mídia de chamadas ou reuniões que seu bot acessar.*Important: You may not use the Microsoft.Graph.Calls.Media API to record or otherwise persist media content from calls or meetings that your bot accesses.


Exemplo de usoExample usage

AplicativoApplication

  • Calls.Initiate.All: fazer uma chamada de ponto a ponto do aplicativo para um usuário na organização (POST /beta/app/calls).Calls.Initiate.All: Make a peer-to-peer call from the application to a user in the organization (POST /beta/app/calls).
  • Calls.InitiateGroupCall.All: Faça uma chamada em grupo do aplicativo para um grupo de usuários na organização (POST /beta/app/calls).Calls.InitiateGroupCall.All: Make a group call from the application to a group of users in the organization (POST /beta/app/calls).
  • Calls.JoinGroupCall.All: ingressar em uma chamada de grupo ou em uma reunião online do aplicativo (POST /beta/app/calls).Calls.JoinGroupCall.All: Join a group call or online meeting from the application (POST /beta/app/calls).
  • Calls.JoinGroupCallasGuest.All: Ingresse em uma chamada de grupo ou em uma reunião online do aplicativo, mas o aplicativo só tem privilégios de convidado na reunião (POST /beta/app/calls).Calls.JoinGroupCallasGuest.All: Join a group call or online meeting from the application, but the application only has guest privileges in the meeting (POST /beta/app/calls).
  • Calls.AccessMedia.All: Criar ou ingressar em uma chamada e o aplicativo é o acesso direto aos fluxos de participantes de mídia na chamada (POST /beta/app/calls).Calls.AccessMedia.All: Create or Join a call and the app gets direct access to participant media streams in the call (POST /beta/app/calls).

Observação: para obter exemplos solicitação, confira Criar chamada.Note: For request examples, see to Create call.

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.

ChannelMessage permissõesChannelMessage permissions

Permissões delegadasDelegated permissions

Nenhum.None.

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
ChannelMessage.Read.AllChannelMessage.Read.All Listar mensagens do canalRead all channel messages  Permite que um aplicativo leia todas as mensagens de canal do Microsoft Teams, sem um usuário conectado.Allows the app to read all channel messages in Microsoft Teams, without a signed-in user. SimYes NãoNo
ChannelMessage.UpdatePolicyViolation.AllChannelMessage.UpdatePolicyViolation.All Sinalizar mensagens de canal para a política de violaçãoFlag channel messages for violating policy Permite que o aplicativo atualize as mensagens do canal do Microsoft Teams, aplicando um conjunto de propriedades de violação da política de prevenção contra perda de dados (DLP) para controlar a saída de processamento DLP.Allows the app to update Microsoft Teams channel messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. SimYes NãoNo

Observação: consulte também Group. Read. All.Note: See also Group.Read.All.

Permissões de bate-papoChats permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Chat.ReadChat.Read Ler suas mensagens de bate-papoRead your chat messages  Permite que um aplicativo leia, em seu nome, suas mensagens de bate-papo de um para um ou de grupo no Microsoft Teams.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. NãoNo NãoNo
Chat.ReadWriteChat.ReadWrite Leia as suas mensagens de chat e envie novas mensagens Read your chat messages and send new ones  Permite que um aplicativo leia e envie, em seu nome, suas mensagens de chat individual ou em grupo no Microsoft Teams.Allows an app to read and send your 1:1 or group chat messages in Microsoft Teams, on your behalf. NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Chat.Read.AllChat.Read.All Ler todas as mensagens de bate-papoRead all chat messages  Permite que um aplicativo leia, sem um usuário conectado, suas mensagens de bate-papo de um para um ou de grupo no Microsoft Teams.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. SimYes NãoNo
Chat.UpdatePolicyViolation.AllChat.UpdatePolicyViolation.All Sinalizar mensagens de chat para a política de violaçãoFlag chat messages for violating policy Permite que o aplicativo atualize as mensagens de chat de grupo ou Microsoft Teams 1:1, aplicando um conjunto de propriedades de violação da política de prevenção contra perda de dados (DLP) para controlar a saída de processamento DLP.Allows the app to update Microsoft Teams 1:1 or group chat messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. SimYes NãoNo

Observação: para mensagens em um canal, consulte permissões ChannelMessage.Note: For messages in a channel, see ChannelMessage permissions.

Permissões de contatosContacts permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Contacts.ReadContacts.Read Ler contatos do usuárioRead user contacts  Permite ao aplicativo ler os contatos do usuário.Allows the app to read user contacts. NãoNo SimYes
Contacts.Read.SharedContacts.Read.Shared Ler usuário e contatos compartilhadosRead user and shared contacts Permite que o aplicativo leia os contatos que o usuário tem permissão de acessar, incluindo os próprios contatos do usuário e os contatos compartilhados.Allows the app to read contacts that the user has permissions to access, including the user's own and shared contacts.  NãoNo NãoNo
Contacts.ReadWriteContacts.ReadWrite Ter acesso total aos contatos do usuárioHave full access to user contacts Permite ao aplicativo criar, ler, atualizar e excluir contatos do usuário.Allows the app to create, read, update, and delete user contacts. NãoNo SimYes
Contacts.ReadWrite.SharedContacts.ReadWrite.Shared Ler e registrar usuário e contatos compartilhadosRead and write user and shared contacts Permite que o aplicativo crie, leia, atualize e exclua os contatos para os quais o usuário tem permissão, incluindo os próprios contatos do usuário e os contatos compartilhados.Allows the app to create, read, update and delete contacts that the user has permissions to, including the user's own and shared contacts. NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Contacts.ReadContacts.Read Ler contatos em todas as caixas de correioRead contacts in all mailboxes  Permite ao aplicativo ler todos os contatos em todas as caixas de correio sem um usuário conectado.Allows the app to read all contacts in all mailboxes without a signed-in user.  SimYes
Contacts.ReadWriteContacts.ReadWrite Ler e gravar contatos em todas as caixas de correioRead and write contacts in all mailboxes Permite ao aplicativo criar, ler, atualizar e excluir todos os contatos em todas as caixas de correio sem um usuário conectado.Allows the app to create, read, update, and delete all contacts in all mailboxes without a signed-in user. SimYes

Os Administradores Importantes podem configurar a política de acesso ao aplicativo para limitar o acesso do aplicativo às caixas de correio específicas e não a todas as caixas de correio na organização, mesmo que as permissões de aplicativo do Contacts.Read or Contacts.ReadWrite sejam concedidas ao aplicativo. Important Administrators can configure application access policy to limit app access to specific mailboxes and not all the mailboxes in the organization, even if the app has been granted the application permissions of Contacts.Read or Contacts.ReadWrite.

Exemplo de usoExample usage

DelegadoDelegated

  • Contacts.Read: Ler um contato a partir de uma das pastas de contatos de nível superior do usuário conectado (GET /me/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read a contact from one of the top-level contact folders of the signed-in user (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Atualizar a foto de contato de um dos contatos do usuário conectado (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the contact photo of one of the signed-in user's contacts (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Adicionar contatos à pasta raiz do usuário conectado (POST /me/contacts).Contacts.ReadWrite: Add contacts to the root folder of the signed-in user (POST /me/contacts).

AplicativoApplication

  • Contacts.Read: Ler contatos a parir de uma das pastas de contatos de nível superior de qualquer usuário da organização (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read contacts from one of the top-level contact folders of any user in the organization (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Atualizar a foto de qualquer contato de qualquer usuário em uma organização (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the photo for any contact of any user in an organization (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Adicionar contatos à pasta raiz de qualquer usuário da organização (POST /users/{id | userPrincipalName}/contacts).Contacts.ReadWrite: Add contacts to the root folder of any user in the organization (POST /users/{id | userPrincipalName}/contacts).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permissões de dispositivosDevice permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Device.ReadDevice.Read Ler os dispositivos do usuárioRead user devices Permite ao aplicativo ler a lista de dispositivos do usuário em nome do usuário conectado.Allows the app to read a user's list of devices on behalf of the signed-in user. NãoNo SimYes
Device.CommandDevice.Command Comunicar-se com os dispositivos do usuárioCommunicate with user devices Permite ao aplicativo se comunicar ou inicializar outro aplicativo no dispositivo do usuário em nome do usuário conectado.Allows the app to launch another app or communicate with another app on a user's device on behalf of the signed-in user. NãoNo SimYes

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Device.ReadWrite.AllDevice.ReadWrite.All Ler e registrar dispositivosRead and write devices Permite que o aplicativo leia e registre todas as propriedades dos dispositivos sem um usuário conectado. Não permite a criação de dispositivos, exclusão de dispositivos ou atualização de identificadores de segurança de dispositivo alternativo.Allows the app to read and write all device properties without a signed in user. Does not allow device creation, device deletion, or update of device alternative security identifiers. SimYes

Exemplo de usoExample usage

AplicativoApplication

  • Device.ReadWrite.All: Ler todos os dispositivos registrados na organização (GET /devices).Device.ReadWrite.All: Read all registered devices in the organization (GET /devices).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões do diretórioDirectory permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Directory.Read.AllDirectory.Read.All Ler dados do diretórioRead directory data Permite ao aplicativo ler dados no diretório da sua organização, como usuários, grupos e aplicativos.Allows the app to read data in your organization's directory, such as users, groups and apps. Observação: os usuários poderão dar o consentimento aos aplicativos que exigem essa permissão se o aplicativo estiver registrado no locatário da própria organização.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant. SimYes NãoNo
Directory.ReadWrite.AllDirectory.ReadWrite.All Ler e gravar dados de diretórioRead and write directory data Permite ao aplicativo ler e gravar dados no diretório da sua organização, como usuários e grupos. Não permite ao aplicativo excluir usuários ou grupos, ou redefinir senhas de usuário.Allows the app to read and write data in your organization's directory, such as users, and groups. It does not allow the app to delete users or groups, or reset user passwords. SimYes NãoNo
Directory.AccessAsUser.AllDirectory.AccessAsUser.All Access Directory como o usuário conectadoAccess directory as the signed-in user Permite ao aplicativo ter o mesmo acesso que o usuário conectado a informações no diretório.Allows the app to have the same access to information in the directory as the signed-in user. SimYes NãoNo
PrivilegedAccess.ReadWrite.AzureADPrivilegedAccess.ReadWrite.AzureAD Ler e gravar dados do Privileged Identity Management para diretórioRead and write Privileged Identity Management data for Directory Permite que o aplicativo tenha acesso de leitura e gravação nas APIs do Privileged Identity Management do Azure AD.Allows the app to have read and write access to Privileged Identity Management APIs for Azure AD. SimYes NãoNo
PrivilegedAccess.ReadWrite.AzureResourcesPrivilegedAccess.ReadWrite.AzureResources Ler e gravar dados Privileged Identity Management de recursos do AzureRead and write Privileged Identity Management data for Azure Resources Permite que o aplicativo tenha acesso de leitura e gravação nas APIs do Privileged Identity Management dos recursos do Azure.Allows the app to have read and write access to Privileged Identity Management APIs for Azure resources. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Directory.Read.AllDirectory.Read.All Ler dados do diretórioRead directory data Permite ao aplicativo ler dados no diretório da sua organização, como usuários, grupos e aplicativos, sem um usuário conectado.Allows the app to read data in your organization's directory, such as users, groups and apps, without a signed-in user. SimYes
Directory.ReadWrite.AllDirectory.ReadWrite.All Ler e gravar dados de diretórioRead and write directory data Permite ao aplicativo ler e registrar dados no diretório de sua organização, como usuários e grupos, sem um usuário conectado. Não permite a exclusão de usuários ou grupos.Allows the app to read and write data in your organization's directory, such as users, and groups, without a signed-in user. Does not allow user or group deletion. SimYes

ComentáriosRemarks

As permissões de diretório fornecem o nível mais alto de privilégio para acessar recursos de diretório, como Usuário, Grupo e Dispositivo em uma organização.Directory permissions provide the highest level of privilege for accessing directory resources such as User, Group, and Device in an organization.

Elas também controlam exclusivamente o acesso a outros recursos de diretório como: contatos organizacionais, APIs de extensão de esquema, APIs de PIM (Privileged Identity Management) e muitos dos recursos e APIs listados no nó Azure Active Directory na documentação de referência da API beta e v1.0.They also exclusively control access to other directory resources like: organizational contacts, schema extension APIs, Privileged Identity Management (PIM) APIs, as well as many of the resources and APIs listed under the Azure Active Directory node in the v1.0 and beta API reference documentation. Isso inclui unidades administrativas, funções de diretório, configurações de diretório, política e muito mais.These include administrative units, directory roles, directory settings, policy, and many more.

A permissão Directory.ReadWrite.All concede os seguintes privilégios:The Directory.ReadWrite.All permission grants the following privileges:

  • Leitura completa de todos os recursos de diretório (propriedades declaradas e propriedades de navegação)Full read of all directory resources (both declared properties and navigation properties)
  • Criar e atualizar usuáriosCreate and update users
  • Desabilitar e habilitar usuários (mas não o administrador da empresa)Disable and enable users (but not company administrator)
  • Definir a id de segurança alternativa do usuário (mas não administradores)Set user alternative security id (but not administrators)
  • Criar e atualizar gruposCreate and update groups
  • Gerenciar associações do grupoManage group memberships
  • Atualizar o proprietário do grupoUpdate group owner
  • Gerenciar as atribuições de licençaManage license assignments
  • Definir as extensões de esquema em aplicativosDefine schema extensions on applications

Observação:Note:

  • Nenhum direito de redefinir senhas de usuários.No rights to reset user passwords.
  • A atualização das propriedades businessPhones, mobilePhone ou otherMails de outro usuário é permitida somente para usuários que não sejam administradores ou que tenham uma das seguintes funções atribuídas: Leitor de Diretório, Emissor de Convites Independente, Leitor do Centro de Mensagens e Leitor de Relatórios.Updating another user's businessPhones, mobilePhone, or otherMails property is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Para obter mais detalhes, confira Administrador de suporte técnico (senha) nas funções disponíveis do Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles. Esse é o caso de aplicativos que receberam as permissões User.ReadWrite.All ou Directory.ReadWrite.All delegadas ou de aplicativo.This is the case for apps granted either the User.ReadWrite.All or Directory.ReadWrite.All delegated or application permissions.
  • Nenhum direito de excluir recursos (incluindo usuários ou grupos).No rights to delete resources (including users or groups).
  • Exclui especificamente a criação ou a atualização de recursos que não estão listados acima.Specifically excludes create or update for resources not listed above. Isso inclui: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains e assim por diante.This includes: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains, and so on.

Exemplo de usoExample usage

DelegadoDelegated

  • Directory.Read.All: Listar todas as unidades administrativas em uma organização (GET /beta/administrativeUnits)Directory.Read.All: List all administrative units in an organization (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All: Adicionar membros a uma função de diretório (POST /directoryRoles/{id}/members/$ref)Directory.ReadWrite.All: Add members to a directory role (POST /directoryRoles/{id}/members/$ref)

AplicativoApplication

  • Directory.Read.All: Listar todas as associações de um usuário, incluindo funções de diretório e unidades administrativas (GET /beta/users/{id}/memberOf)Directory.Read.All: List all memberships of a user, including directory roles and administrative units (GET /beta/users/{id}/memberOf)
  • Directory.Read.All: Listar todos os membros do grupo, incluindo as entidades de serviço (GET /beta/groups/{id}/members)Directory.Read.All: List all group members, including service principals (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All: Adicionar um proprietário a um grupo (POST /groups/{id}/owners/$ref)Directory.ReadWrite.All: Add an owner to a group (POST /groups/{id}/owners/$ref)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de educaçãoEducation permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
EduAdministration.ReadEduAdministration.Read Ler configurações do aplicativo educacionalRead education app settings Permite que o aplicativo leia as configurações do aplicativo de educação em nome do usuário.Allows the app to read education app settings on behalf of the user. SimYes NãoNo
EduAdministration.ReadWriteEduAdministration.ReadWrite Gerenciar as configurações do aplicativo educacionalManage education app settings Permite que o aplicativo gerencie as configurações do aplicativo de educação em nome do usuário.Allows the app to manage education app settings on behalf of the user. SimYes NãoNo
EduAssignments.ReadBasicEduAssignments.ReadBasic Ler as tarefas de classe sem notas dos usuáriosRead users' class assignments without grades Permite ao aplicativo ler as tarefas sem notas em nome do usuárioAllows the app to read assignments without grades on behalf of the user SimYes NãoNo
EduAssignments.ReadWriteBasicEduAssignments.ReadWriteBasic Ler e gravar as tarefas de classe sem notas dos usuáriosRead and write users' class assignments without grades Permite ao aplicativo ler e gravar as tarefas sem notas em nome do usuárioAllows the app to read and write assignments without grades on behalf of the user SimYes NãoNo
EduAssignments.ReadEduAssignments.Read Ler o modo de exibição de tarefas de classe e as notas delas dos usuáriosRead users' view of class assignments and their grades Permite ao aplicativo ler as tarefas e as notas delas em nome do usuárioAllows the app to read assignments and their grades on behalf of the user SimYes NãoNo
EduAssignments.ReadWriteEduAssignments.ReadWrite Ler e gravar o modo de exibição de tarefas da classe e as notas delas dos usuáriosRead and write users' view of class assignments and their grades Permite ao aplicativo ler e gravar as tarefas e as notas delas em nome do usuárioAllows the app to read and write assignments and their grades on behalf of the user SimYes NãoNo
EduRoster.ReadBasicEduRoster.ReadBasic Ler um subconjunto limitado do modo de exibição dos usuários da lista de participantesRead a limited subset of users' view of the roster Permite que o aplicativo leia um subconjunto limitado das propriedades da estrutura de escolas e classes da lista de participantes de uma organização e um subconjunto limitado das propriedades dos usuários a serem lidos em nome do usuário.Allows the app to read a limited subset of the properties from the structure of schools and classes in an organization's roster and a limited subset of properties about users to be read on behalf of the user. Inclui nome, status, função de formação, endereço de email e foto.Includes name, status, education role, email address and photo. SimYes NãoNo
EduRoster. ReadEduRoster.Read Ler modo de exibição dos usuários da lista de participantesRead users' view of the roster Permite ao aplicativo ler a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre os usuários a serem lidas em nome do usuário.Allows the app to read the structure of schools and classes in an organization's roster and education-specific information about users to be read on behalf of the user. SimYes
EduRoster.ReadWriteEduRoster.ReadWrite Ler e escrever o modo de exibição dos usuários da lista de participantesRead and write users' view of the roster Permite ao aplicativo ler e escrever a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre os usuários a serem lidas e escritas em nome do usuário.Allows the app to read and write the structure of schools and classes in an organization's roster and education-specific information about users to be read and written on behalf of the user. SimYes

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
EduAdministration.Read.AllEduAdministration.Read.All Ler configurações do aplicativo ducacionalRead Education app settings Ler o estado e as configurações de todos os aplicativos educacionais da Microsoft em nome do usuárioRead the state and settings of all Microsoft education apps on behalf of the user SimYes
EduAdministration.ReadWrite.AllEduAdministration.ReadWrite.All Gerenciar as configurações do aplicativo educacionalManage education app settings Gerenciar o estado e as configurações de todos os aplicativos educacionais da Microsoft em nome do usuárioManage the state and settings of all Microsoft education apps on behalf of the user simyes
EduAssignments.ReadBasic.AllEduAssignments.ReadBasic.All Ler as tarefas de classe sem notasRead class assignments without grades Permite ao aplicativo ler as tarefas sem notas para todos os usuáriosAllows the app to read assignments without grades for all users SimYes
EduAssignments.ReadWriteBasic.AllEduAssignments.ReadWriteBasic.All Ler e gravar as tarefas de classe sem notasRead and write class assignments without grades Permite ao aplicativo ler e gravar as tarefas sem notas para todos os usuáriosAllows the app to read and write assignments without grades for all users SimYes
EduAssignments.Read.AllEduAssignments.Read.All Ler as tarefas de classe com notasRead class assignments with grades Permite ao aplicativo ler as tarefas e as notas delas para todos os usuáriosAllows the app to read assignments and their grades for all users SimYes
EduAssignments.ReadWrite.AllEduAssignments.ReadWrite.All Ler e gravar as tarefas de classe com notasRead and write class assignments with grades Permite ao aplicativo ler e gravar as tarefas e as notas delas para todos os usuáriosAllows the app to read and write assignments and their grades for all users SimYes
EduRoster.ReadBasic.AllEduRoster.ReadBasic.All Ler um subconjunto limitado da lista de participação da organização.Read a limited subset of the organization's roster. Permite ao aplicativo ler um subconjunto limitado de estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre todos os usuários.Allows the app to read a limited subset of both the structure of schools and classes in an organization's roster and education-specific information about all users. SimYes
EduRoster.Read.AllEduRoster.Read.All Ler a lista de participação da organização.Read the organization's roster. Permite ao aplicativo ler a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre todos os usuários a serem lidas.Allows the app to read the structure of schools and classes in the organization's roster and education-specific information about all users to be read. SimYes
EduRoster.ReadWrite.AllEduRoster.ReadWrite.All Ler e gravar a lista de participação da organização.Read and write the organization's roster. Permite ao aplicativo ler e gravar a estrutura de escolas e aulas na lista de participação de uma organização e informações específicas de educação sobre todos os usuários a serem lidas e gravadas.Allows the app to read and write the structure of schools and classes in the organization's roster and education-specific information about all users to be read and written. SimYes

Exemplo de usoExample usage

DelegadoDelegated

  • EduAssignments.Read: extrair as informações de atribuição do aluno conectado (GET /education/classes/{id}/assignments/{id})EduAssignments.Read: Get the signed-in student's assignment information (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: enviar a tarefa do aluno conectado (GET /education/classes/{id}/assignments/{id}submit)EduAssignments.ReadWriteBasic: Submit signed-in student assignment (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: aulas de que um usuário conectado participa como aluno ou professor (GET /education/classes/{id}/members)EduRoster.ReadBasic: Classes a signed-in user attends or teaches (GET /education/classes/{id}/members)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de arquivosFiles permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Files.ReadFiles.Read Ler arquivos do usuárioRead user files Permite que o aplicativo leia todos os arquivos do usuário conectado.Allows the app to read the signed-in user's files. NãoNo SimYes
Files.Read.AllFiles.Read.All Ler todos os arquivos que o usuário pode acessarRead all files that user can access Permite que o aplicativo para leia todos os arquivos que o usuário conectado pode acessar.Allows the app to read all files the signed-in user can access. NãoNo SimYes
Files.ReadWriteFiles.ReadWrite Ter acesso total aos arquivos do usuárioHave full access to user files Permite que o aplicativo leia, crie, atualize e exclua os arquivos do usuário conectado.Allows the app to read, create, update, and delete the signed-in user's files. NãoNo SimYes
Files.ReadWrite.AllFiles.ReadWrite.All Ter acesso total a todos os arquivos que o usuário pode acessarHave full access to all files user can access Permite que o aplicativo leia, crie, atualize e exclua todos os arquivos que o usuário conectado pode acessar.Allows the app to read, create, update, and delete all files the signed-in user can access. NãoNo SimYes
Files.ReadWrite.AppFolderFiles.ReadWrite.AppFolder Ter acesso total à pasta do aplicativo (prévia)Have full access to the application's folder (preview) (Prévia) Permite que o aplicativo leia, crie, atualize exclua arquivos na pasta do aplicativo.(Preview) Allows the app to read, create, update, and delete files in the application's folder. NãoNo NãoNo
Files.Read.SelectedFiles.Read.Selected Ler arquivos selecionados pelo usuárioRead files that the user selects Suporte limitado no Microsoft Graph – confira ComentáriosLimited support in Microsoft Graph; see Remarks
(Visualização) Permite ao aplicativo ler arquivos selecionados pelo usuário. O aplicativo tem acesso por várias horas depois que o usuário tiver selecionado um arquivo.(Preview) Allows the app to read files that the user selects. The app has access for several hours after the user selects a file.
NãoNo NãoNo
Files.ReadWrite.SelectedFiles.ReadWrite.Selected Ler e gravar arquivos selecionados pelo usuárioRead and write files that the user selects Suporte limitado no Microsoft Graph – confira ComentáriosLimited support in Microsoft Graph; see Remarks
(Visualização) Permite ao aplicativo ler e gravar arquivos selecionados pelo usuário. O aplicativo tem acesso por várias horas depois que o usuário tiver selecionado um arquivo.(Preview) Allows the app to read and write files that the user selects. The app has access for several hours after the user selects a file.
NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Files.Read.AllFiles.Read.All Ler arquivos em todos os conjuntos de sitesRead files in all site collections Permite ao aplicativo ler todos os arquivos em todos os conjuntos de sites sem um usuário conectado.Allows the app to read all files in all site collections without a signed in user. SimYes
Files.ReadWrite.AllFiles.ReadWrite.All Ler e gravar arquivos em todos os conjuntos de sitesRead and write files in all site collections Permite ao aplicativo ler, criar, atualizar e excluir todos os arquivos em todos os conjuntos de sites sem um usuário conectado.Allows the app to read, create, update, and delete all files in all site collections without a signed in user. SimYes

ComentáriosRemarks

Observe que nas contas pessoais,Files.Read e Files.ReadWrite também concedem acesso a arquivos compartilhados com o usuário conectado.Note: For personal accounts, Files.Read and Files.ReadWrite also grant access to files shared with the signed-in user.

As permissões delegadas Files.Read.Selected e Files.ReadWrite.Selected são válidas apenas em contas corporativas ou de estudante e são expostas apenas para trabalhar com manipuladores (v1.0) de arquivos do Office 365. Elas não devem ser usadas para chamar diretamente as APIs do Microsoft Graph.The Files.Read.Selected and Files.ReadWrite.Selected delegated permissions are only valid on work or school accounts and are only exposed for working with Office 365 file handlers (v1.0). They should not be used for directly calling Microsoft Graph APIs.

A permissão delegada Files.ReadWrite.AppFolder só é válida para contas pessoais e é usada para acessar a pasta especial da Raiz de Aplicativo com a API do Microsoft Graph Obter pasta especial do OneDrive.The Files.ReadWrite.AppFolder delegated permission is only valid for personal accounts and is used for accessing the App Root special folder with the OneDrive Get special folder Microsoft Graph API.

Exemplo de usoExample usage

DelegadoDelegated

  • Files.Read: Ler arquivos armazenados no OneDrive do usuário conectado (GET /me/drive/root/children)Files.Read: Read files stored in the signed-in user's OneDrive (GET /me/drive/root/children)
  • Files.Read.All: Ler arquivos compartilhados com o usuário conectado (GET /me/drive/root/sharedWithMe)Files.Read.All: Read files shared with the signed-in user (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite: Gravar um arquivo no OneDrive do usuário conectado (PUT /me/drive/root/children/filename.txt/content)Files.ReadWrite: Write a file in the signed-in user's OneDrive (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All: Gravar um arquivo compartilhado com o usuário (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)Files.ReadWrite.All: Write a file shared with the user (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder: Gravar arquivos na pasta do aplicativo do OneDrive (PUT /me/drive/special/approot/children/file.txt/content)Files.ReadWrite.AppFolder: Write files into the app's folder in OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de finançasFinancials permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Financials.ReadWrite.AllFinancials.ReadWrite.All Ler e gravar dados de finançasRead and write financials data Permite que o aplicativo leia e grave dados de finanças em nome do usuário conectado.Allows the app to read and write financials data on behalf of the signed-in user NãoNo

Permissões de grupoGroup permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Group.Read.AllGroup.Read.All Ler todos os gruposRead all groups Permite ao aplicativo listar grupos, e ler suas propriedades e todas as associações do grupo em nome do usuário conectado. Também permite ao aplicativo ler calendário, conversas, arquivos e outros tipos de conteúdo de todos os grupos que o usuário conectado pode acessar.Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user. Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. SimYes NãoNo
Group.ReadWrite.AllGroup.ReadWrite.All Ler e gravar todos os gruposRead and write all groups Permite ao aplicativo criar grupos e ler todas as propriedades e associações do grupo em nome do usuário conectado.Allows the app to create groups and read all group properties and memberships on behalf of the signed-in user. Também permite ao aplicativo ler calendário, conversas, arquivos e outros tipos de conteúdo de todos os grupos que o usuário conectado pode acessar.Also allows the app to read and write calendar, conversations, files, and other group content for all groups the signed-in user can access. Além disso, permite aos proprietários do grupo gerenciar seus grupos, e permite aos membros do grupo atualizar o conteúdo do grupo.Additionally allows group owners to manage their groups and allows group members to update group content. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Group.Read.AllGroup.Read.All Ler todos os gruposRead all groups Permite ao aplicativo ler os associados de todos os grupos sem um usuário conectado.Allows the app to read memberships for all groups without a signed-in user. Também permite ao aplicativo ler o calendário, as conversas, os arquivos e outros tipos de conteúdo de grupos para todos os grupos.Also allows the app to read calendar, conversations, files, and other group content for all groups.

OBSERVAÇÃO: nem todas as APIs dE grupo oferecem suporte ao acesso usando permissões somente de aplicativo.NOTE: that not all group API supports access using app-only permissions. Confira exemplos nos problemas conhecidos.See known issues for examples.
SimYes
Group.ReadWrite.AllGroup.ReadWrite.All Ler e gravar todos os gruposRead and write all groups Permite que o aplicativo crie grupos, leia e atualize as associações do grupo e exclua grupos.Allows the app to create groups, read and update group memberships, and delete groups. Também permite ao aplicativo ler e escrever o calendário, as conversas, os arquivos e outros tipos de conteúdo de grupos para todos os grupos.Also allows the app to read and write calendar, conversations, files, and other group content for all groups. Todas essas operações podem ser executadas pelo aplicativo sem um usuário conectado.All of these operations can be performed by the app without a signed-in user.

Observação: nem todas as APIs de grupo oferecem suporte ao acesso usando permissões somente de aplicativo.Note: Not all group APIs support access using app-only permissions. Confira exemplos nos problemas conhecidos.See known issues for examples.
SimYes
Group.SelectedGroup.Selected Acessar grupos selecionadosAccess selected groups Observação: Essa permissão está exposta no portal do Azure para um recurso que não está disponível para uso geral. Não use essa permissão, pois ela está sujeita a alterações.Note: This permission is exposed in the Azure portal for a feature that is not available for general use. Do not use this permission as it is subject to change. SimYes

ComentáriosRemarks

A funcionalidade de grupo não é compatível com contas pessoais da Microsoft.Group functionality is not supported on personal Microsoft accounts.

Para grupos do Office 365, as Permissões de grupo concedem ao aplicativo acesso ao conteúdo do grupo. Por exemplo, conversas, arquivos, anotações e assim por diante.For Office 365 groups, Group permissions grant the app access to the contents of the group; for example, conversations, files, notes, and so on.

No caso de Permissões de aplicativo, há algumas limitações para APIs com suporte. Confira mais informações em problemas conhecidos.For application permissions, there are some limitations for the APIs that are supported. For more information, see known issues.

Em alguns casos, um aplicativo pode precisar de Permissões de diretório para ler algumas propriedades do grupo como member e memberOf. Por exemplo, se um grupo tiver um ou mais servicePrincipals como membros, o aplicativo precisará de permissões eficazes para ler as entidades de serviço através do recebimento de uma das Permissões de diretório*, caso contrário, o Microsoft Graph retornará um erro. No caso de Permissões Delegadas, o usuário conectado deve ter privilégios suficientes na organização para ler as entidades de serviço. A mesma orientação se aplica à propriedade memberOf que pode retornar administrativeUnits.In some cases, an app may need Directory permissions to read some group properties like member and memberOf. For example, if a group has a one or more servicePrincipals as members, the app will need effective permissions to read service principals through being granted one of the Directory.* permissions, otherwise Microsoft Graph will return an error. (In the case of delegated permissions, the signed-in user will also need sufficient privileges in the organization to read service principals.) The same guidance applies for the memberOf property, which can return administrativeUnits.

As Permissões de grupo também são usadas para controlar o acesso a APIs e recursos do Microsoft Teams.Group permissions are used to control access to Microsoft Teams resources and APIs. Não há suporte para as contas pessoais da Microsoft.Personal Microsoft accounts are not supported.

As Permissões de grupo também são usadas para controlar o acesso a APIs e recursos do Microsoft Planner. Somente as permissões delegadas são suportadas pelas APIs do Microsoft Planner; as permissões de aplicativo não são suportadas. Contas pessoais da Microsoft não são suportadas.Group permissions are also used to control access to Microsoft Planner resources and APIs. Only delegated permissions are supported for Microsoft Planner APIs; application permissions are not supported. Personal Microsoft accounts are not supported.

Exemplo de usoExample usage

DelegadoDelegated

  • Group.Read.All: Ler todos os grupos do Office 365 dos quais o usuário conectado é membro (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).Group.Read.All: Read all Office 365 groups that the signed-in user is a member of (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: Ler todo o conteúdo do grupo do Office 365, como conversas (GET /groups/{id}/conversations).Group.Read.All: Read all Office 365 group content like conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: Atualizar propriedades do grupo, como fotografias (PUT /groups/{id}/photo/$value).Group.ReadWrite.All: Update group properties, like photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: Atualizar os membros do grupo (POST /groups/{id}/members/$ref).Group.ReadWrite.All: Update group members (POST /groups/{id}/members/$ref).

Observação: Isso também requer o User.ReadBasic.All para ler o usuário para adicionar como membro.Note:: This also requires User.ReadBasic.All to read the user to add as a member.

AplicativoApplication

  • Group.Read.All: Localizar todos os grupos com nomes que começam com "Vendas" (GET /groups?$filter=startswith(displayName,'Sales')).Group.Read.All: Find all groups with name that starts with 'Sales' (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: O serviço daemon cria novos eventos no calendário de um grupo do Office 365 (POST /groups/{id}/events).Group.ReadWrite.All: Daemon service creates new events on an Office 365 group's calendar (POST /groups/{id}/events).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões do provedor de identidadeIdentity provider permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
IdentityProvider.Read.AllIdentityProvider.Read.All Leia as informações do provedor de identidadeRead identity provider information Permite que o aplicativo leia os provedores de identidade configurados em seu Azure AD ou no locatário do Azure AD B2C em nome do usuário conectado.Allows the app to read identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. SimYes NãoNo
IdentityProvider.ReadWrite.AllIdentityProvider.ReadWrite.All Leia e grave informações do provedor de identidadeRead and write identity provider information Permite que o aplicativo leia ou grave provedores de identidade configurados no seu Azure AD ou no locatário do Azure AD B2C em nome do usuário conectado.Allows the app to read or write identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. SimYes NãoNo

ComentáriosRemarks

IdentityProvider.Read.All e IdentityProvider.ReadWrite.All são válidos apenas para contas corporativas ou de estudantes.IdentityProvider.Read.All and IdentityProvider.ReadWrite.All are valid only for work or school accounts. Para que um aplicativo leia ou grave provedores de identidade com permissões delegadas, o usuário conectado deve ter a função de Administrador Global.For an app to read or write identity providers with delegated permissions, the signed-in user must be assigned the Global Administrator role. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemplo de usoExample usage

DelegadoDelegated

Os seguintes usos são válidos para permissões delegadas:The following usages are valid for both delegated permissions:

  • IdentityProvider.Read.All: Leia todos os provedores de identidade configurados no locatário (GET /beta/identityProviders)IdentityProvider.Read.All: Read all identity providers configured in the tenant (GET /beta/identityProviders)
  • IdentityProvider.Read.All: Leia um provedor de identidade existente (GET /beta/identityProviders/{id})IdentityProvider.Read.All: Read an existing identity provider (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Crie um provedor de identidade (POST /beta/identityProviders)IdentityProvider.ReadWrite.All Create an identity provider (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Atualize um provedor de identidade existente (PATCH /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Update an existing identity provider (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Exclua um provedor de identidade existente (DELETE /beta/identityProviders/{id})IdentityProvider.ReadWrite.All Delete an existing identity provider (DELETE /beta/identityProviders/{id})

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de eventos de risco de identidadeIdentity risk event permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Leia as informações de evento de risco de identidadeRead identity risk event information Permite que o aplicativo para leia as informações de evento de risco de identidade para todos os usuários em sua organização em nome do usuário conectado.Allows the app to read identity risk event information for all users in your organization on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Leia as informações de evento de risco de identidadeRead identity risk event information Permite que o aplicativo leia as informações do evento de risco de identidade para todos os usuários em sua organização sem um usuário conectado.Allows the app to read identity risk event information for all users in your organization without a signed-in user. SimYes

ComentáriosRemarks

IdentityRiskEvent.Read.All é válido apenas para contas corporativas ou de estudante. No caso de um aplicativo com permissões delegadas para ler as informações de risco de identidade, o usuário conectado deve ser um membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança ou funções do Leitor de Segurança. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.IdentityRiskEvent.Read.All is valid only for work or school accounts. For an app with delegated permissions to read identity risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemplo de usoExample usage

Permissões delegadas e de aplicativoDelegated and Application

Os seguintes usos são válidos para Permissões Delegadas e Permissões de aplicativo:The following usages are valid for both delegated and application permissions:

  • Ler todos os eventos de risco gerados para todos os usuários do locatário (GET /beta/identityRiskEvents)Read all risk events generated for all users in the tenant (GET /beta/identityRiskEvents)
  • Ler todos os eventos de risco de malware gerados pelo botnet Dorknet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')Read malware risk events generated by the Dorknet botnet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • Ler os mais recentes 50 eventos de risco (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)Read most recent 50 risk events (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de usuário com risco de identidadeIdentity risky user permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Leia as informações de risco de identidade do usuário.Read identity user risk information Permite que o aplicativo para leia as informações de risco de identidade do usuário para todos os usuários em sua organização em nome do usuário conectado.Allows the app to read identity user risk information for all users in your organization on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Leia as informações de risco de identidade do usuário.Read identity user risk information Permite que o aplicativo leia as informações de risco de identidade do usuário para todos os usuários em sua organização sem um usuário conectado.Allows the app to read identity user risk information for all users in your organization without a signed-in user. SimYes

ComentáriosRemarks

IdentityRiskUser.Read.All é válido apenas para contas corporativas ou de estudante.IdentityRiskyUser.Read.All is valid only for work or school accounts. No caso de um aplicativo com permissões delegadas para ler as informações de risco de identidade do usuário, o usuário conectado deve ser um membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança ou funções do Leitor de Segurança.For an app with delegated permissions to read identity user risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemplo de usoExample usage

Permissões delegadas e de aplicativoDelegated and Application

Os seguintes usos são válidos para Permissões Delegadas e Permissões de aplicativo:The following usages are valid for both delegated and application permissions:

  • Ler todos os usuários de risco e propriedades no locatário (GET /beta/riskyUsers)Read all risky users and properties in the tenant (GET /beta/riskyUsers)
  • Ler todos os usuários de risco cujo nível de risco agregação é Médio (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')Read all risky users whose aggregate risk level is Medium (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Leia as informações de riscos de um usuário específico (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)Read the risk information for a specific user (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de Gerenciamento de Dispositivo do IntuneIntune Device Management permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Ler aplicativos do Microsoft IntuneRead Microsoft Intune apps Permite que o aplicativo leia as propriedades, as atribuições de grupo, o status de aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune.Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. SimYes NãoNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Ler e registrar os aplicativos do Microsoft IntuneRead and write Microsoft Intune apps Permite que aplicativo leia e registre s propriedades, as atribuições de grupo, o status dos aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune.Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. SimYes NãoNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Ler a configuração de dispositivo e as políticas do Microsoft IntuneRead Microsoft Intune device configuration and policies Permite que o aplicativo leia as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos.Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. SimYes NãoNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Ler e escrever as configurações de dispositivo e as políticas do Microsoft IntuneRead and write Microsoft Intune device configuration and policies Permite que o aplicativo leia e registre as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos.Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. SimYes NãoNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Executar ações remotas de impacto no usuário nos dispositivos do Microsoft IntunePerform user-impacting remote actions on Microsoft Intune devices Permite que o aplicativo execute ações remotas de alto impacto como apagar dispositivo ou redefinir a senha em dispositivos gerenciados pelo Microsoft Intune.Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. SimYes NãoNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Ler dispositivos do Microsoft IntuneRead Microsoft Intune devices Permite que o aplicativo leia as propriedades de dispositivos gerenciados pelo Microsoft Intune.Allows the app to read the properties of devices managed by Microsoft Intune. SimYes NãoNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Ler e registrar dispositivos do Microsoft IntuneRead and write Microsoft Intune devices Permite que o aplicativo leia e registre as propriedades de dispositivos gerenciados pelo Microsoft Intune. Não permite operações de alto impacto como apagamento remoto e a redefinição de senha no proprietário do dispositivo.Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. SimYes NãoNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Ler as configurações RBAC (Controle de Acesso com Base em Função) do Microsoft IntuneRead Microsoft Intune RBAC settings Permite que o aplicativo leia as propriedades relacionadas às configurações RBAC do Microsoft Intune.Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. SimYes NãoNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Ler e registrar as configurações RBAC do Microsoft IntuneRead and write Microsoft Intune RBAC settings Permite que o aplicativo leia e registre as propriedades relacionadas às configurações RBAC do Microsoft Intune.Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. SimYes NãoNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Configuração de leitura Microsoft IntuneRead Microsoft Intune configuration Permite que o aplicativo leia as propriedades do serviço do Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros.Allows the app to read Intune service properties including device enrollment and third party service connection configuration. SimYes NãoNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Ler e registrar o Microsoft IntuneRead and write Microsoft Intune configuration Permite que o aplicativo leia e registre propriedades do serviço do Microsoft Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros.Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Ler aplicativos do Microsoft IntuneRead Microsoft Intune apps Permite que o aplicativo leia as propriedades, as atribuições de grupo, o status de aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune.Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. SimYes NãoNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Ler e registrar os aplicativos do Microsoft IntuneRead and write Microsoft Intune apps Permite que aplicativo leia e registre s propriedades, as atribuições de grupo, o status dos aplicativos, as configurações de aplicativo e as políticas de proteção de aplicativo gerenciadas pelo Microsoft Intune.Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. SimYes NãoNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Ler a configuração de dispositivo e as políticas do Microsoft IntuneRead Microsoft Intune device configuration and policies Permite que o aplicativo leia as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos.Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. SimYes NãoNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Ler e escrever as configurações de dispositivo e as políticas do Microsoft IntuneRead and write Microsoft Intune device configuration and policies Permite que o aplicativo leia e registre as propriedades de configuração de dispositivo e as políticas de conformidade de dispositivo do Microsoft Intune e sua atribuição aos grupos.Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. SimYes NãoNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Executar ações remotas de impacto no usuário nos dispositivos do Microsoft IntunePerform user-impacting remote actions on Microsoft Intune devices Permite que o aplicativo execute ações remotas de alto impacto como apagar dispositivo ou redefinir a senha em dispositivos gerenciados pelo Microsoft Intune.Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. SimYes NãoNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Ler dispositivos do Microsoft IntuneRead Microsoft Intune devices Permite que o aplicativo leia as propriedades de dispositivos gerenciados pelo Microsoft Intune.Allows the app to read the properties of devices managed by Microsoft Intune. SimYes NãoNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Ler e registrar dispositivos do Microsoft IntuneRead and write Microsoft Intune devices Permite que o aplicativo leia e registre as propriedades de dispositivos gerenciados pelo Microsoft Intune. Não permite operações de alto impacto como apagamento remoto e a redefinição de senha no proprietário do dispositivo.Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. SimYes NãoNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Ler as configurações RBAC (Controle de Acesso com Base em Função) do Microsoft IntuneRead Microsoft Intune RBAC settings Permite que o aplicativo leia as propriedades relacionadas às configurações RBAC do Microsoft Intune.Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. SimYes NãoNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Ler e registrar as configurações RBAC do Microsoft IntuneRead and write Microsoft Intune RBAC settings Permite que o aplicativo leia e registre as propriedades relacionadas às configurações RBAC do Microsoft Intune.Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. SimYes NãoNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Configuração de leitura Microsoft IntuneRead Microsoft Intune configuration Permite que o aplicativo leia as propriedades do serviço do Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros.Allows the app to read Intune service properties including device enrollment and third party service connection configuration. SimYes NãoNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Ler e registrar o Microsoft IntuneRead and write Microsoft Intune configuration Permite que o aplicativo leia e registre propriedades do serviço do Microsoft Intune, incluindo o registro do dispositivo e a configuração de conexão de serviço de terceiros.Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. SimYes NãoNo

ComentáriosRemarks

Observação: O uso das APIs do Microsoft Graph para configurar controles e políticas do Intune ainda exige que o serviço do Intune seja corretamente licenciado pelo cliente.Note: Using the Microsoft Graph APIs to configure Intune controls and policies still requires that the Intune service is correctly licensed by the customer.

Essas permissões só são válidas para contas corporativas ou de estudante.These permissions are only valid for work or school accounts.

Exemplo de usoExample usage

DelegadoDelegated

  • DeviceManagementServiceConfiguration.Read.All: Verificar o estado atual da assinatura do Intune (GET /deviceManagement/subscriptionState).DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Criar novos Termos e Condições (POST /deviceManagement/termsAndConditions).DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Localizar o status da configuração de um dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Atribuir uma política de conformidade do dispositivo para um grupo (POST deviceCompliancePolicies/{id}/assign).DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Localizar todos os aplicativos da Windows Store publicados no Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Publicar um novo aplicativo (POST /deviceAppManagement/mobileApps).DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Localizar uma atribuição de função pelo nome (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Criar uma nova função personalizada (POST /deviceManagement/roleDefinitions).DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Localizar um dispositivo gerenciado pelo nome (GET /managedDevices/?$filter=deviceName eq 'My Device').DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Remover um dispositivo gerenciado (DELETE /managedDevices/{id}).DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Redefinir a senha em um dispositivo gerenciado do usuário (POST /managedDevices/{id}/resetPasscode).DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

AplicativoApplication

  • DeviceManagementServiceConfiguration.Read.All: Verificar o estado atual da assinatura do Intune (GET /deviceManagement/subscriptionState).DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Criar novos Termos e Condições (POST /deviceManagement/termsAndConditions).DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Localizar o status da configuração de um dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Atribuir uma política de conformidade do dispositivo para um grupo (POST deviceCompliancePolicies/{id}/assign).DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Localizar todos os aplicativos da Windows Store publicados no Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Publicar um novo aplicativo (POST /deviceAppManagement/mobileApps).DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Localizar uma atribuição de função pelo nome (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Criar uma nova função personalizada (POST /deviceManagement/roleDefinitions).DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Localizar um dispositivo gerenciado pelo nome (GET /managedDevices/?$filter=deviceName eq 'My Device').DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Remover um dispositivo gerenciado (DELETE /managedDevices/{id}).DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Redefinir a senha em um dispositivo gerenciado do usuário (POST /managedDevices/{id}/resetPasscode).DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de emailMail permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Mail.ReadMail.Read Ler emails do usuárioRead user mail  Permite ao aplicativo ler emails em caixas de correio do usuário.Allows the app to read email in user mailboxes.  NãoNo SimYes
Mail.ReadBasicMail.ReadBasic Ler emails do usuário em modo básico (visualização)Read user basic mail (preview) (Visualização) Permite que o aplicativo leia a caixa de correio do usuário conectado, exceto o corpo, previewBody, anexos e quaisquer propriedades estendidas.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. Não inclui permissões para pesquisar mensagens.Does not include permissions to search messages. NãoNo SimYes
Mail.ReadWriteMail.ReadWrite Acesso de leitura e gravação aos emails do usuárioRead and write access to user mail  Permite ao aplicativo criar, ler, atualizar e excluir emails em caixas de correio do usuário. Não inclui a permissão para enviar emails.Allows the app to create, read, update, and delete email in user mailboxes. Does not include permission to send mail. NãoNo SimYes
Mail.Read.SharedMail.Read.Shared Ler email compartilhado e de usuárioRead user and shared mail Permite que o aplicativo leia os emails que o usuário pode acessar, incluindo os próprios contatos do usuário e os emails compartilhados.Allows the app to read mail that the user can access, including the user's own and shared mail.  NãoNo NãoNo
Mail.ReadWrite.SharedMail.ReadWrite.Shared Ler e registrar usuário e emails compartilhadosRead and write user and shared mail  Permite que o aplicativo crie, leia, atualize e exclua emails que o usuário tem permissão de acessar, incluindo os emails compartilhados e os do próprio usuário. Não inclui a permissão para enviar emails.Allows the app to create, read, update, and delete mail that the user has permission to access, including the user's own and shared mail. Does not include permission to send mail. NãoNo NãoNo
Mail.SendMail.Send Enviar email como um usuárioSend mail as a user  Permite ao aplicativo enviar emails como usuários na organização.Allows the app to send mail as users in the organization.  NãoNo SimYes
Mail.Send.SharedMail.Send.Shared Enviar email em nome de outras pessoasSend mail on behalf of others  Permite que o aplicativo enviar emails como o usuário conectado no, incluindo o envio de nome de terceiros.Allows the app to send mail as the signed-in user, including sending on-behalf of others.  NãoNo NãoNo
MailboxSettings.ReadMailboxSettings.Read Ler as configurações da caixa de correio do usuárioRead user mailbox settings  Permite ao aplicativo ler as configurações da caixa de correio do usuário. Não inclui a permissão para enviar emails.Allows the app to the read user's mailbox settings. Does not include permission to send mail. NãoNo SimYes
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Leia e grave as configurações de caixa de correio do usuárioRead and write user mailbox settings  Permite ao aplicativo criar, ler, atualizar e excluir as configurações da caixa de correio do usuário.Allows the app to create, read, update, and delete user's mailbox settings. Não inclui permissão para enviar emails diretamente, mas permite que o aplicativo crie regras que podem encaminhar ou redirecionar mensagens.Does not include permission to directly send mail, but allows the app to create rules that can forward or redirect messages. NãoNo SimYes

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Mail.ReadMail.Read Ler emails em todas as caixas de correioRead mail in all mailboxes Permite ao aplicativo ler emails em todas as caixas de correio sem um usuário conectado.Allows the app to read mail in all mailboxes without a signed-in user. SimYes
Mail.ReadBasic.AllMail.ReadBasic.All Ler os emails básicos de todos usuários (visualização)Read all users basic mail (preview) (Visualização) Cartões Permite que o aplicativo leia todas as caixas de correio de usuários, exceto corpo, previewBody, anexos e propriedades estendidas.(Preview) Allows the app to read all users mailboxes except body, previewBody, attachments and any extended properties. Não inclui permissões para pesquisar mensagens.Does not include permissions to search messages. SimYes NãoNo
Mail.ReadWriteMail.ReadWrite Ler e gravar emails em todas as caixas de correioRead and write mail in all mailboxes Permite ao aplicativo criar, ler, atualizar e excluir emails em todas as caixas de correio sem um usuário conectado. Não inclui a permissão para enviar emails.Allows the app to create, read, update, and delete mail in all mailboxes without a signed-in user. Does not include permission to send mail. SimYes
Mail.SendMail.Send Enviar email como qualquer usuárioSend mail as any user Permite ao aplicativo enviar emails como qualquer usuário sem um usuário conectado.Allows the app to send mail as any user without a signed-in user. SimYes
MailboxSettings.ReadMailboxSettings.Read Ler as configurações de caixa de correio do usuárioRead all user mailbox settings  Permite que o aplicativo leia configurações da caixa de correio do usuário sem um usuário conectado. Não inclui a permissão para enviar emails.Allows the app to read user's mailbox settings without a signed-in user. Does not include permission to send mail. NãoNo
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Ler e gravar todas as configurações de caixa de correio do usuárioRead and write all user mailbox settings Permite que o aplicativo crie, leia, atualize e exclua as configurações da caixa de correio sem um usuário conectado. Não inclui a permissão para enviar emails.Allows the app to create, read, update, and delete user's mailbox settings without a signed-in user. Does not include permission to send mail. SimYes

Os Administradores Importantes podem configurar a política de acesso ao aplicativo para limitar o acesso do aplicativo às caixas de correio específicas e não a todas as caixas de correio na organização, mesmo que as permissões de aplicativo do Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, ou MailboxSettings.ReadWrite sejam concedidas ao aplicativo. Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, or MailboxSettings.ReadWrite.

ComentáriosRemarks

Mail.Read.Shared, Mail.ReadWrite.Shared, e Mail.Send.Shared só são válidos para contas corporativas ou de estudante. Todas as demais permissões são válidas tanto para contas da Microsoft como para contas corporativas e de estudante.Mail.Read.Shared, Mail.ReadWrite.Shared, and Mail.Send.Shared are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Com a permissão Mail.Send ou Mail.Send.Shared, um aplicativo pode enviar emails e salvar uma cópia na pasta Itens Enviados do usuário, mesmo se o aplicativo não usar uma permissão Mail.ReadWrite ou Mail.ReadWrite.Shared correspondente.With the Mail.Send or Mail.Send.Shared permission, an app can send mail and save a copy to the user's Sent Items folder, even if the app does not use a corresponding Mail.ReadWrite or Mail.ReadWrite.Shared permission.

Exemplo de usoExample usage

DelegadoDelegated

  • Mail.Read: Listar mensagens na caixa de entrada do usuário classificadas por receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).Mail.Read: List messages in the user's inbox, sorted by receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: Localizar todas as mensagens com anexos na caixa de entrada de um usuário que compartilhou sua caixa de entrada com o usuário conectado (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).Mail.Read.Shared: Find all messages with attachments in a user's inbox that has shared their inbox with the signed-in user (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: Marcar uma mensagem lida (PATCH /me/messages/{id}).Mail.ReadWrite: Mark a message read (PATCH /me/messages/{id}).
  • Mail.Send: Enviar uma mensagem (POST /me/sendmail).Mail.Send: Send a message (POST /me/sendmail).
  • MailboxSettings.ReadWrite: Atualizar a resposta automática do usuário (PATCH /me/mailboxSettings).MailboxSettings.ReadWrite: Update the user's automatic reply (PATCH /me/mailboxSettings).

AplicativoApplication

  • Mail.Read: Localizar mensagens de pedro@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').Mail.Read: Find messages from bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: Criar uma nova pasta na Caixa de Entrada chamada Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).Mail.ReadWrite: Create a new folder in the Inbox named Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: Enviar uma mensagem (POST /users/{id | userPrincipalName}/sendmail).Mail.Send: Send a message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: Obter o fuso horário padrão para a caixa de correio do usuário (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)MailboxSettings.Read: Get the default timezone for the user's mailbox (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de membroMember permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Member.Read.HiddenMember.Read.Hidden Ler associações ocultasRead hidden memberships Permite que o aplicativo leia as associações de grupos e unidades administrativas ocultos em nome do usuário conectado para aqueles grupos e unidades administrativas ocultos aos quais o usuário conectado tem acesso.Allows the app to read the memberships of hidden groups and administrative units on behalf of the signed-in user, for those hidden groups and administrative units that the signed-in user has access to. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Member.Read.HiddenMember.Read.Hidden Ler todas as associações ocultasRead all hidden memberships Permite que o aplicativo leia as associações de grupos ocultos e unidades administrativas sem um usuário conectado.Allows the app to read the memberships of hidden groups and administrative units without a signed-in user. SimYes

ComentáriosRemarks

Member.Read.Hidden é válida somente para contas corporativas ou de estudante.Member.Read.Hidden is valid only on work or school accounts.

A associação pode estar oculta em alguns grupos do Office 365. Isso significa que somente os membros do grupo podem exibir seus membros. Esse recurso pode ser usado para ajudar a cumprir regulamentos que exijam a ocultação da associação do grupo de pessoas externas (por exemplo, um grupo do Office 365 que representa os alunos registrados em uma classe).Membership in some Office 365 groups can be hidden. This means that only the members of the group can view its members. This feature can be used to help comply with regulations that require an organization to hide group membership from outsiders (for example, an Office 365 group that represents students enrolled in a class).

Exemplo de usoExample usage

DelegadoDelegated

  • Member.Read.Hidden: Ler os membros de uma unidade administrativa com associação oculta em nome do usuário conectado (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership on behalf of the signed-in user (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Ler os membros de um grupo com associação oculta em nome do usuário conectado (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership on behalf of the signed-in user (GET /groups/{id}/members).

AplicativoApplication

  • Member.Read.Hidden: Ler os membros de uma unidade administrativa com associação oculta (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Ler os membros de um grupo com associação oculta (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership (GET /groups/{id}/members).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permissões de anotaçõesNotes permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Notes.ReadNotes.Read Ler blocos de anotações do OneNote do usuárioRead user OneNote notebooks Permite ao aplicativo ler os títulos dos blocos de anotações e seções do OneNote e criar novas páginas, blocos de anotações e seções em nome do usuário conectado.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NãoNo SimYes
Notes.CreateNotes.Create Criar blocos de anotações do OneNote do usuárioCreate user OneNote notebooks Permite ao aplicativo ler os títulos dos blocos de anotações e seções do OneNote e criar novas páginas, blocos de anotações e seções em nome do usuário conectado.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. NãoNo SimYes
Notes.ReadWriteNotes.ReadWrite Ler e gravar blocos de anotações do OneNote do usuárioRead and write user OneNote notebooks Permite ao aplicativo ler, compartilhar e modificar blocos de anotações do OneNote em nome do usuário conectado.Allows the app to read, share, and modify OneNote notebooks on behalf of the signed-in user. NãoNo SimYes
Notes.Read.AllNotes.Read.All Ler todos os blocos de anotações do OneNote que o usuário pode acessarRead all OneNote notebooks that user can access Permite que o aplicativo leia os blocos de anotações do OneNote aos quais o usuário conectado tem acesso dentro da organização.Allows the app to read OneNote notebooks that the signed-in user has access to in the organization. NãoNo NãoNo
Notes.ReadWrite.AllNotes.ReadWrite.All Ler e gravar todos os blocos de anotações do OneNote que o usuário pode acessarRead and write all OneNote notebooks that user can access Permite que o aplicativo leia, compartilhe e modifique blocos de anotações do OneNote aos quais o usuário conectado tem acesso dentro da organização.Allows the app to read, share, and modify OneNote notebooks that the signed-in user has access to in the organization. NãoNo NãoNo
Notes.ReadWrite.CreatedByAppNotes.ReadWrite.CreatedByApp Acesso limitado ao bloco de anotações (preterido)Limited notebook access (deprecated) PreteridoDeprecated
Não usar. Essa permissão não concede privilégios.Do not use. No privileges are granted by this permission.
NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Notes.Read.AllNotes.Read.All Ler todos os blocos de anotações do OneNoteRead all OneNote notebooks Permite que o aplicativo leia todos os blocos de anotações do OneNote em sua organização sem um usuário conectado.Allows the app to read all the OneNote notebooks in your organization, without a signed-in user. SimYes
Notes.ReadWrite.AllNotes.ReadWrite.All Ler e gravar todos os blocos de anotações do OneNoteRead and write all OneNote notebooks Permite que o aplicativo leia, compartilhe e modifique todos os blocos de anotações do OneNote em sua organização sem um usuário conectado.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. SimYes

ComentáriosRemarks

Notes.Read.All e Notes.ReadWrite.All só são válidos para contas corporativas ou de estudante. Todas as demais permissões são válidas tanto para contas da Microsoft como para contas corporativas e de estudante.Notes.Read.All and Notes.ReadWrite.All are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

Com a permissão Notes.Create, um aplicativo pode exibir a hierarquia do bloco de anotações do OneNote do usuário conectado e criar conteúdo do OneNote (blocos de anotações, grupos de seção, seções, páginas, etc.).With the Notes.Create permission, an app can view the OneNote notebook hierarchy of the signed-in user and create OneNote content (notebooks, section groups, sections, pages, etc.).

Notes.ReadWrite e Notes.ReadWrite.All também permitem que o aplicativo modifique as permissões no conteúdo do OneNote que pode ser acessado pelo usuário conectado.Notes.ReadWrite and Notes.ReadWrite.All also allow the app to modify the permissions on the OneNote content that can be accessed by the signed-in user.

Para contas corporativas ou de estudante, Notes.Read.All e Notes.ReadWrite.All permitem que o aplicativo acesse o conteúdo do OneNote de outros usuários ao qual o usuário conectado tenha permissão dentro da organização.For work or school accounts, Notes.Read.All and Notes.ReadWrite.All allow the app to access other users' OneNote content that the signed-in user has permission to within the organization.

Exemplo de usoExample usage

Delegado Delegated

  • Notes.Create: Criar novos blocos de anotações para o usuário conectado (POST /me/onenote/notebooks).Notes.Create: Create a new notebooks for the signed-in user (POST /me/onenote/notebooks).
  • Notes.Read: Criar blocos de anotações para o usuário conectado (GET /me/onenote/notebooks).Notes.Read: Read the notebooks for the signed-in user (GET /me/onenote/notebooks).
  • Notes.Read.All: Obter todos os blocos de anotações aos quais o usuário conectado tenha acesso dentro da organização (GET /me/onenote/notebooks?includesharednotebooks=true).Notes.Read.All: Get all notebooks that the signed-in user has access to within the organization (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: Atualizar a página do usuário conectado (PATCH /me/onenote/pages/{id}/$value).Notes.ReadWrite: Update the page of the signed-in user (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: Criar uma página no bloco de anotações de outro usuário ao qual o usuário conectado tenha acesso dentro da organização (POST /users/{id}/onenote/pages).Notes.ReadWrite.All: Create a page in another user's notebook that the signed-in user has access to within the organization (POST /users/{id}/onenote/pages).

AplicativoApplication

  • Notes.Read.All: Ler todos os blocos de anotações de usuários em um grupo (GET /groups/{id}/onenote/notebooks).Notes.Read.All: Read all users notebooks in a group (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: Atualizar a página em um bloco de anotações para qualquer usuário da organização (PATCH /users/{id}/onenote/pages/{id}/$value).Notes.ReadWrite.All: Update the page in a notebook for any user in the organization (PATCH /users/{id}/onenote/pages/{id}/$value).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permissões de notificaçõesNotifications permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Notifications.ReadWrite.CreatedByAppNotifications.ReadWrite.CreatedByApp Exibir e gerenciar notificações para esse aplicativo.Deliver and manage notifications for this app. Permitir que o aplicativo forneça notificações em nome de usuários conectados.Allow the app to deliver its notifications on behalf of signed-in users. Também permite que o aplicativo leia, atualize e exclua itens de notificação do usuário para este aplicativo.Also allows the app to read, update, and delete the user’s notification items for this app. NãoNo

ComentáriosRemarks

Notifications.ReadWrite.CreatedByApp é válida tanto para contas da Microsoft como para contas corporativas e de estudante.Notifications.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts. A restrição CreatedByApp associada a essa permissão indica que o serviço aplicará filtragem implícita aos resultados com base na identidade aplicativo que realizar a chamada, seja a ID de aplicativo da conta Microsoft ou um conjunto de IDs de aplicativos configurados para uma identidade de aplicativo de plataformas cruzadas.The CreatedByApp constraint associated with this permission indicates that the service will apply implicit filtering to results based on the identity of the calling app, either the Microsoft account app ID or a set of app IDs configured for a cross-platform application identity.

Exemplo de usoExample usage

DelegatedDelegated

  • Notifications.ReadWrite.CreatedByApp: Publique uma notificação centrada no usuário, que pode ser entregue aos vários clientes do aplicativo em execução em pontos de extremidade diferentes.Notifications.ReadWrite.CreatedByApp: Publish a user-centric notification, which might then be delivered to the user’s multiple application clients running on different endpoints. (POSTAGEM/me/notificações /).(POST /me/notifications/).

Permissões de reuniões onlineOnline meetings permissions

Permissões delegadasDelegated permissions

Nenhum.None.


Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
OnlineMeetings.Read.AllOnlineMeetings.Read.All Ler detalhes de Reunião Online do aplicativo (visualização)Read Online Meeting details from the app (preview) Permite que o aplicativo leia os detalhes da Reunião Online em sua organização, sem um usuário conectado.Allows the app to read Online Meeting details in your organization, without a signed-in user. SimYes
OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All Leia e crie reuniões Online do aplicativo (visualização) em nome de um usuárioRead and Create Online Meetings from the app (preview) on behalf of a user Permite que o aplicativo crie reuniões Online em sua organização em nome de usuário, sem um usuário conectado.Allows the app to create Online Meetings in your organization on behalf of a user, without a signed-in user. SimYes

Exemplo de usoExample usage

AplicativoApplication

  • OnlineMeetings.Read.All: Recuperar as propriedades e as relações de uma Reunião Online (GET /beta/app/onlinemeetings/{id}).OnlineMeetings.Read.All: Retrieve the properties and relationships of an Online Meeting (GET /beta/app/onlinemeetings/{id}).
  • OnlineMeetings.ReadWrite.All: Criar um Reunião Online (POST /beta/app/onlinemeetings).OnlineMeetings.ReadWrite.All: Create an Online Meeting (POST /beta/app/onlinemeetings).

Observação: Criar uma Reunião Online cria uma reunião em nome de um usuário especifico no corpo da solicitação, mas não a mostra no calendário do usuário.Note: Creating an Online Meeting creates a meeting on behalf of a user specified in the request body, but does not show it on the user's Calendar.

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de Perfis de Publicações LocaisOn-premises Publishing Profiles permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Acessar Perfis de Publicações LocaisAccess On-Premises Publishing Profiles Permite que o aplicativo gerencie a configuração do serviço de identidade híbrida criando, exibindo, atualizando e excluindo recursos de publicações locais, agentes locais e grupos de agentes, em nome do usuário conectado.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Acessar Perfis de Publicações LocaisAccess On-Premises Publishing Profiles Permite que o aplicativo gerencie a configuração do serviço de identidade híbrida criando, exibindo, atualizando e excluindo recursos de publicações locais, agentes locais e grupos de agentes, em nome do usuário conectado.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. NãoNo NãoNo

Permissões do OpenIDOpenID permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
emailemail Exibir o endereço de email do usuárioView users' email address Permite ao aplicativo ler o endereço de email principal do usuário.Allows the app to read your users' primary email address. NãoNo NãoNo
offline_accessoffline_access Acessar dados do usuário a qualquer momentoAccess user's data anytime Permite ao aplicativo ler e atualizar dados do usuário, mesmo quando eles não estiver usando o aplicativo.Allows the app to read and update user data, even when they are not currently using the app. NãoNo NãoNo
openidopenid Conectar os usuáriosSign users in Permite aos usuários entrar no aplicativo com contas corporativas ou de estudante e permite ao aplicativo ver informações básicas do perfil do usuário.Allows users to sign in to the app with their work or school accounts and allows the app to see basic user profile information. NãoNo NãoNo
profileprofile Exibir os perfis básicos dos usuáriosView users' basic profile Permite que o aplicativo veja o perfil básico do usuário (nome, foto, nome de usuário).Allows the app to see your users' basic profile (name, picture, user name). NãoNo NãoNo

Permissões de aplicativosApplication permissions

Nenhum.None.

ComentáriosRemarks

Você pode usar essas permissões para especificar os artefatos que deseja que sejam retornados nas solicitações de token e de autorização do Azure AD. O suporte a elas é oferecido de formas diferentes nos pontos de extremidade v 1.0 e v 2.0. do Azure AD.You can use these permissions to specify artifacts that you want returned in Azure AD authorization and token requests. They are supported differently by the Azure AD v1.0 and v2.0 endpoints.

Com o ponto de extremidade (v 1.0) do Azure AD, somente a permissão openid é usada. Você especifica no parâmetro scope, na solicitação de autorização, para retornar um token de ID quando usar o protocolo OpenID Connect para conectar um usuário ao seu aplicativo. Para saber mais, confira o artigo Autorizar o acesso aos aplicativos web usando o OpenID Connect e o Azure Active Directory. Para retornar com êxito um token de ID, você também deve garantir que a permissão User.Read esteja configurada quando você registrar seu aplicativo.With the Azure AD (v1.0) endpoint, only the openid permission is used. You specify it in the scope parameter in an authorization request to return an ID token when you use the OpenID Connect protocol to sign in a user to your app. For more information, see Authorize access to web applications using OpenID Connect and Azure Active Directory. To successfully return an ID token, you must also make sure that the User.Read permission is configured when you register your app.

Com o ponto de extremidade v 2.0 do Azure AD, você especifica a permissão offline_access no parâmetro scope para solicitar explicitamente um token de atualização quando estiver usando os protocolos OAuth 2.0 ou OpenID Connect. Com o OpenID Connect, você especifica a permissão openid para solicitar um token de ID. Também é possível especificar a permissão email, a permissão profile, ou ambas, para retornar declarações adicionais no token de ID. Você não precisa especificar a User.Read para retornar um token de ID com o ponto de extremidade v 2.0. Para saber mais, confira os escopos do OpenID Connect.With the Azure AD v2.0 endpoint, you specify the offline_access permission in the scope parameter to explicitly request a refresh token when using the OAuth 2.0 or OpenID Connect protocols. With OpenID Connect, you specify the openid permission to request an ID token. You can also specify the email permission, profile permission, or both to return additional claims in the ID token. You do not need to specify User.Read to return an ID token with the v2.0 endpoint. For more information, see OpenID Connect scopes.

Importante A Biblioteca de Autenticação da Microsoft (MSAL) atualmente especifica as permissões offline_access, openid, profile e email por padrão nas solicitações de autorização e de token. Isso significa que, para o caso padrão, se você especificar explicitamente essas permissões, o Azure AD pode retornar um erro.Important The Microsoft Authentication Library (MSAL) currently specifies offline_access, openid, profile, and email by default in authorization and token requests. This means that, for the default case, if you specify these permissions explicitly, Azure AD may return an error.


Permissões da organizaçãoOrganization permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Organization.Read.AllOrganization.Read.All Ler informações da organizaçãoRead organization information Permite que o aplicativo leia a organização e os recursos relacionados em nome do usuário conectado.Allows the app to read the organization and related resources, on behalf of the signed-in user. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Related resources include things like subscribed SKUs and tenant branding information. SimYes NãoNo
Organization.ReadWrite.AllOrganization.ReadWrite.All Ler e gravar informações da organizaçãoRead and write organization information Permite que o aplicativo leia e grave a organização e os recursos relacionados em nome do usuário conectado.Allows the app to read and write the organization and related resources, on behalf of the signed-in user. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Related resources include things like subscribed SKUs and tenant branding information. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Organization.Read.AllOrganization.Read.All Ler informações da organizaçãoRead organization information Permite que o aplicativo leia a organização e os recursos relacionados sem um usuário conectado.Allows the app to read the organization and related resources, without a signed-in user. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Related resources include things like subscribed SKUs and tenant branding information. SimYes
Organization.ReadWrite.AllOrganization.ReadWrite.All Ler e gravar informações da organizaçãoRead and write organization information Permite que o aplicativo leia e grave a organização e os recursos relacionados sem um usuário conectado.Allows the app to read and write the organization and related resources, without a signed-in user. Os recursos relacionados incluem itens como SKUs inscritos e informações de identidade visual do locatário. Related resources include things like subscribed SKUs and tenant branding information. SimYes

Exemplo de usoExample usage

Delegado Delegated

  • Organization.Read.All: Obter informações da organização (GET /organization).Organization.Read.All: Get organization information (GET /organization).
  • Organization.Read.All: Obter as SKUs inscritas pela organização (GET /subscribedSkus).Organization.Read.All: Get the SKUs that the organization has subscribed to (GET /subscribedSkus).

AplicaçãoApplication

  • Organization.ReadWrite.All: Atualizar as informações da organização (como technicalNotificationMails) (PATCH /organization/{id}).Organization.ReadWrite.All: Update organization information (such as technicalNotificationMails) (PATCH /organization/{id}).

Permissões de contato organizacionalOrganizational contact permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
OrgContact.Read.AllOrgContact.Read.All Contatos organizacionaisRead organizational contacts Permite ao aplicativo ler todos os contatos organizacionais em nome do usuário conectado.Allows the app to read all organizational contacts on behalf of the signed-in user. Esses contatos são gerenciados pela organização e são diferentes dos contatos pessoais de um usuário.These contacts are managed by the organization and are different from a user's personal contacts. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
OrgContact.Read.AllOrgContact.Read.All Contatos organizacionaisRead organizational contacts Permite ao aplicativo ler todos os contatos organizacionais sem um usuário conectado.Allows the app to read all organizational contacts without a signed-in user. Esses contatos são gerenciados pela organização e são diferentes dos contatos pessoais de um usuário.These contacts are managed by the organization and are different from a user's personal contacts. SimYes

Exemplo de usoExample usage

Delegado Delegated

  • OrgContact.Read.All: Obter todos os contatos organizacionais (GET /contacts).OrgContact.Read.All: Get all organizational contacts (GET /contacts).

Permissões de pessoasPeople permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
People.ReadPeople.Read Ler listas de pessoas relevantes dos usuáriosRead users' relevant people lists Permite ao aplicativo ler uma lista pontuada de pessoas relevantes para o usuário conectado. A lista pode incluir contatos locais, contatos das redes sociais ou do diretório da sua organização e as pessoas de comunicações recentes (como emails e Skype).Allows the app to read a scored list of people relevant to the signed-in user. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). NãoNo SimYes
People.Read.AllPeople.Read.All Ler listas de pessoas relevantes de todos os usuáriosRead all users' relevant people lists Permite ao aplicativo ler uma lista pontuada de pessoas relevantes para o usuário conectado ou para outros usuários da organização do usuário conectado. A lista pode incluir contatos locais, contatos das redes sociais ou do diretório da sua organização e as pessoas de comunicações recentes (como emails e Skype). Também permite que o aplicativo pesquise todo o diretório da organização do usuário conectado.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Also allows the app to search the entire directory of the signed-in user's organization.  SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
People.Read.AllPeople.Read.All Ler listas de pessoas relevantes de todos os usuáriosRead all users' relevant people lists Permite ao aplicativo ler uma lista pontuada de pessoas relevantes para o usuário conectado ou para outros usuários da organização do usuário conectado.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization.

A lista pode incluir contatos locais, contatos das redes sociais ou do diretório da sua organização e as pessoas de comunicações recentes (como emails e Skype).The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Também permite que o aplicativo pesquise todo o diretório da organização do usuário conectado.Also allows the app to search the entire directory of the signed-in user's organization. 
SimYes

ComentáriosRemarks

A permissão People.Read.All só é válida para contas corporativas ou de estudante.The People.Read.All permission is only valid for work and school accounts.

Exemplo de usoExample usage

DelegadoDelegated

  • People.Read: Ler uma lista de pessoas relevantes (GET /me/people)People.Read: Read a list of relevant people (GET /me/people)
  • People.Read.All: Ler uma lista de pessoas relevantes para outro usuário na mesma organização (GET /users('{id})/people)People.Read.All: Read a list of relevant people to another user in the same organization (GET /users('{id})/people)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de locaisPlaces permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Place.Read.AllPlace.Read.All Ler todos os locais da empresaRead all company places Permite que o aplicativo leia os locais da empresa (salas de conferência e listas de salas) para eventos de calendário e outros aplicativos.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. NãoNo NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Place.Read.AllPlace.Read.All Ler todos os locais da empresaRead all company places Permite que o aplicativo leia os locais da empresa (salas de conferência e listas de salas) para eventos de calendário e outros aplicativos.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. SimYes

Permissões de políticaPolicy permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Ler as políticas da sua organizaçãoRead your organization's policies Permite ao aplicativo ler as políticas da sua organização em nome do usuário conectado.Allows the app to read your organization's policies on behalf of the signed-in user. SimYes NãoNo
Policy.ReadWrite.FeatureRolloutPolicy.ReadWrite.FeatureRollout Ler e gravar as políticas de implantação de novos recursos da sua organizaçãoRead and write your organization's feature rollout policies Permite que o aplicativo leia e grave todas as políticas de implantação de novos recursos em nome do usuário conectado.Allows the app to read and write your organization's feature rollout policies on behalf of the signed-in user. Inclui habilidades para atribuir e remover usuários e grupos para a implantação de um recurso específico.Includes abilities to assign and remove users and groups to rollout of a specific feature. SimYes NãoNo
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework Ler e gravar as políticas TrustFramework (Estrutura de Confiança) da sua organizaçãoRead and write your organization's trust framework policies Permite que o aplicativo leia e grave todas as políticas de TrustFramework da sua organização em nome do usuário conectado.Allows the app to read and write your organization's trust framework policies on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Policy.Read.AllPolicy.Read.All Leia as políticas da sua organizaçãoRead your organization's policies Permite que o aplicativo leia todas as políticas da sua organização sem um usuário conectado.Allows the app to read all your organization's policies without a signed in user. SimYes
Policy.ReadWrite.FeatureRolloutPolicy.ReadWrite.FeatureRollout Políticas de distribuição de recursos de leitura e gravaçãoRead and write feature rollout policies Permite que o aplicativo leia e grave todas as políticas de distribuição de recursos sem um usuário conectado.Allows the app to read and write feature rollout policies without a signed-in user. Inclui habilidades para atribuir e remover usuários e grupos para a implantação de um recurso específico.Includes abilities to assign and remove users and groups to rollout of a specific feature. SimYes
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework Ler e gravar as políticas da estrutura de confiança da sua organizaçãoRead and write your organization's trust framework policies Permite que o aplicativo leia e grave todas as políticas da estrutura de confiança da sua organização sem um usuário conectado.Allows the app to read and write your organization's trust framework policies without a signed in user. SimYes

Exemplo de usoExample usage

Os seguintes usos são válidos para permissões delegadas e permissões de aplicativo:The following usages are valid for both delegated and application permissions:

  • Policy.Read.All: Ler as políticas da sua organização (GET /policies)Policy.Read.All: Read your organization's policies (GET /policies)
  • Policy.Read.All: Ler as políticas da estrutura de confiança da sua organização (GET /beta/trustFramework/policies)Policy.Read.All: Read your organization's trust framework policies (GET /beta/trustFramework/policies)
  • Policy.Read.All: Ler as políticas de distribuição de recursos da sua organização (GET /beta/directory/featureRolloutPolicies)Policy.Read.All: Read your organization's feature rollout policies (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.FeatureRollout: Ler e gravar todas as políticas de distribuição de recursos da sua organização (POST /beta/directory/featureRolloutPolicies)Policy.ReadWrite.FeatureRollout: Read and write your organization's feature rollout policies (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: Leitura e gravação de todas as políticas da estrutura de confiança da sua organização (POST /beta/trustFramework/policies)Policy.ReadWrite.TrustFramework: Read and write your organization's trust framework policies (POST /beta/trustFramework/policies)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de programas e controles de programasPrograms and program controls permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
ProgramControl.Read.AllProgramControl.Read.All Ler todos os programasRead all programs Permite que o aplicativo leia programas em nome do usuário conectado.Allows the app to read programs on behalf of the signed-in user. SimYes NãoNo
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Gerenciar todos os programasManage all programs Permite que o aplicativo leia e escreva programas em nome do usuário conectado.Allows the app to read and write programs on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
ProgramControl.Read.AllProgramControl.Read.All Ler todos os programasRead all programs Permite que o aplicativo leia programas sem um usuário conectado.Allows the app to read programs without a signed-in user. SimYes
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Gerenciar todos os programasManage all programs Permite que o aplicativo leia e escreva programas sem um usuário conectado.Allows the app to read and write programs without a signed-in user. SimYes

ComentáriosRemarks

ProgramControl.Read.All e ProgramControl.ReadWrite.All são válidos apenas para contas de trabalho ou escola.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Para um aplicativo com permissões delegadas para ler programas e controles de programas, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuário.For an app with delegated permissions to read programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Para um aplicativo com permissões delegadas para gravar programas e controles de programas, o usuário conectado deve ser membro de uma das seguintes funções de administrador: Administrador Global ou Administrador do Usuário.For an app with delegated permissions to write programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Permissões de relatóriosReports permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Reports.Read.AllReports.Read.All Ler todos os relatórios de usoRead all usage reports Permite que um aplicativo leia todos os relatórios de uso de serviço sem um usuário conectado. Serviços que fornecem relatórios de uso incluem o Office 365 e Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Reports.Read.AllReports.Read.All Ler todos os relatórios de usoRead all usage reports Permite que um aplicativo leia todos os relatórios de uso de serviço sem um usuário conectado. Serviços que fornecem relatórios de uso incluem o Office 365 e Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. SimYes

ComentáriosRemarks

As permissões de relatórios só são válidas para contas corporativas ou de estudante.Reports permissions are only valid for work or school accounts.

Exemplo de usoExample usage

AplicativoApplication

  • Reports.Read.All: Ler o relatório de detalhes de uso de aplicativos de email com período de 7 dias (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).Reports.Read.All: Read usage detail report of email apps with period of 7 days (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All: Ler o relatório de detalhes de atividade de email com data de '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).Reports.Read.All: Read activity detail report of email with date of '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All: Ler o relatório de detalhes de ativações do Office 365 (GET /reports/Office365Activations(view='Detail')/content).Reports.Read.All: Read Office 365 activations detail report (GET /reports/Office365Activations(view='Detail')/content).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões do Gerenciamento de FunçõesRole Management permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Ler configurações de diretório RBACRead directory RBAC settings Permite que o aplicativo leia as configurações de controle de acesso baseado na função (RBAC) da sua empresa, em nome do usuário conectado.Allows the app to read the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. Isso inclui a leitura de modelos de função de diretório, funções de diretório e associações.This includes reading directory role templates, directory roles and memberships. SimYes NãoNo
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Ler e gravar configurações no diretório RBACRead and write directory RBAC settings Permite que o aplicativo leia e gerencie as configurações de controle de acesso baseado na função (RBAC) da sua empresa, em nome do usuário conectado.Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. Isso inclui a instanciação de funções de diretório e o gerenciamento de associação de função de diretório e a leitura de modelos de função de diretório, funções de diretório e associações.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Ler todas as configurações de diretório RBACRead all directory RBAC settings Permite que o aplicativo leia as configurações de controle de acesso baseado na função (RBAC) do diretório da empresa, sem um usuário conectado.Allows the app to read the role-based access control (RBAC) settings for your company's directory, without a signed-in user. Isso inclui a leitura de modelos de função de diretório, funções de diretório e associações.This includes reading directory role templates, directory roles and memberships. SimYes
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Ler e gravar todas as configurações no diretório RBACRead and write all directory RBAC settings Permite que o aplicativo leia e gerencie as configurações de controle de acesso baseado na função (RBAC) para o diretório da empresa, sem um usuário conectado.Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, without a signed-in user. Isso inclui a instanciação de funções de diretório e o gerenciamento de associação de função de diretório e a leitura de modelos de função de diretório, funções de diretório e associações.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. SimYes

ComentáriosRemarks

Com a permissão RoleManagement.Read.Directory um aplicativo pode ler directoryRoles e directoryRoleTemplates.With the RoleManagement.Read.Directory permission an application can read directoryRoles and directoryRoleTemplates. Isso inclui a leitura de informações de associação para funções de diretório.This includes reading membership information for directory roles.

Com a permissão RoleManagement.ReadWrite.Directory, um aplicativo pode ler e gravar directoryRoles (directoryRoleTemplates são recursos somente leitura).With the RoleManagement.ReadWrite.Directory permission an application can read and write directoryRoles (directoryRoleTemplates are readonly resources). Isso inclui adicionar e remover membros de funções de diretório.This includes adding and removing members to and from directory roles.

As permissões de relatórios só são válidas para contas corporativas ou de estudante.Role management permissions are only valid for work or school accounts.

Exemplo de usoExample usage

  • RoleManagement.Read.Directory: Ler a lista de modelos de função disponíveis(GET /directoryRoleTemplates)RoleManagement.Read.Directory: Read the list of available role templates (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: Ler a lista de funções ativadas em seu diretório(GET /directoryRoles)RoleManagement.Read.Directory: Read the list of activated roles in your directory (GET /directoryRoles)
  • RoleManagement.Read.Directory: Ler a lista de membros para uma função (GET /directoryRoles/<id>/members)RoleManagement.Read.Directory: Read the list of members for a role (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: Ler a lista de membros com escopo de unidade administrativa para uma função (GET /directoryRoles/<id>/scopedMembers)RoleManagement.Read.Directory: Read the list of administrative unit-scoped members for a role (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: Ativar uma função de diretório a partir de um modelo de função (POST /directoryRoles)RoleManagement.ReadWrite.Directory: Activate a directory role from a role template (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: Adicionar um membro a uma função de diretório (POST /directoryRoles/<id>/members)RoleManagement.ReadWrite.Directory: Add a member to a directory role (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: Adicionar um membro de escopo de unidade administrativa a uma função de diretório(POST /directoryRoles/<id>/scopedMembers)RoleManagement.ReadWrite.Directory: Add an administrative unit-scoped member to a directory role (POST /directoryRoles/<id>/scopedMembers)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de segurançaSecurity permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
SecurityEvents.Read.AllSecurityEvents.Read.All Ler os eventos de segurança da organizaçãoRead your organization’s security events Permite ao aplicativo ler os eventos de segurança da sua organização em nome do usuário conectado.Allows the app to read your organization’s security events on behalf of the signed-in user. SimYes NãoNo
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Ler e atualizar os eventos de segurança da organizaçãoRead and update your organization’s security events Permite ao aplicativo ler os eventos de segurança da sua organização em nome do usuário conectado.Allows the app to read your organization’s security events on behalf of the signed-in user. Também permite ao aplicativo atualizar as propriedades editáveis em eventos de segurança em nome do usuário conectado.Also allows the app to update editable properties in security events on behalf of the signed-in user. SimYes NãoNo
SecurityActions.Read.AllSecurityActions.Read.All Ler as ações de segurança da organizaçãoRead your organization's security actions Permite que o aplicativo leia as ações de segurança da sua organização em nome do usuário conectado.Allows the app to read your organization’s security actions on behalf of the signed-in user. SimYes NãoNo
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Ler e atualizar as ações de segurança da organizaçãoRead and update your organization's security actions Permite que o aplicativo leia as ações de segurança da sua organização em nome do usuário conectado.Allows the app to read your organization’s security actions on behalf of the signed-in user. SimYes NãoNo
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Gerenciar indicadores de ameaças que este aplicativo cria ou é proprietárioManage threat indicators this app creates or owns Permite que o aplicativo leia as ações de segurança da sua organização em nome do usuário conectado.Allows the app to read your organization’s security actions on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
SecurityEvents.Read.AllSecurityEvents.Read.All Ler os eventos de segurança da organizaçãoRead your organization’s security events Permite ao aplicativo ler os eventos de segurança da sua organização.Allows the app to read your organization’s security events. SimYes
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Ler e atualizar os eventos de segurança da organizaçãoRead and update your organization’s security events Permite ao aplicativo ler os eventos de segurança da sua organização.Allows the app to read your organization’s security events. Também permite ao aplicativo atualizar as propriedades editáveis em eventos de segurança.Also allows the app to update editable properties in security events. SimYes
SecurityActions.Read.AllSecurityActions.Read.All Ler os eventos de segurança da organizaçãoRead your organization’s security events Permite que o aplicativo leia os eventos de segurança da sua organização.Allows the app to read your organization’s security actions. SimYes
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Criar e ler ações de segurança da sua organizaçãoCreate and read your organization's security actions Permite que o aplicativo leia ou crie ações de segurança, sem um usuário ter entrado.Allows the app to read or create security actions, without a signed-in user. SimYes
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Gerenciar indicadores de ameaças que este aplicativo cria ou é proprietárioManage threat indicators this app creates or owns Permite que o aplicativo crie indicadores de ameaças e gerencie totalmente esses indicadores de ameaças (ler, atualizar e excluir) sem um usuário ter entrado.Allows the app to create threat indicators, and fully manage those threat indicators (read, update and delete), without a signed-in user. Ele não atualizará os indicadores de ameaças que não possui.It cannot update any threat indicators it does not own. SimYes

ComentáriosRemarks

As permissões de segurança só são válidas para contas corporativas ou de estudante.Security permissions are valid only on work or school accounts.

Exemplo de usoExample usage

Permissões delegadas e de aplicativoDelegated and Application

  • SecurityEvents.Read.All: Ler a lista de todos os alertas de segurança de todos os provedores de segurança licenciados disponíveis para o seu locatário (GET /beta/security/alerts)SecurityEvents.Read.All: Read the list of all security alerts from all licensed security providers available to your tenant (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: Atualize ou leia os alertas de segurança de todos os provedores de segurança licenciados disponíveis para o seu locatário (PATCH /beta/security/alerts/{id})SecurityEvents.ReadWrite.All: Update or read security alerts from all licensed security providers available to your tenant (PATCH /beta/security/alerts/{id})

Permissões de sitesSites permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Sites.Read.AllSites.Read.All Ler itens em todos os conjuntos de sitesRead items in all site collections Permite ao aplicativo ler documentos e listar itens em todos os conjuntos de sites em nome do usuário conectado.Allows the app to read documents and list items in all site collections on behalf of the signed-in user. NãoNo NãoNo
Sites.ReadWrite.AllSites.ReadWrite.All Ler e gravar itens em todos os conjuntos de sitesRead and write items in all site collections Permite ao aplicativo editar ou excluir documentos e listar itens em todos os conjuntos de sites em nome do usuário conectado.Allows the app to edit or delete documents and list items in all site collections on behalf of the signed-in user. NãoNo NãoNo
Sites.Manage.AllSites.Manage.All Criar, editar e excluir itens e listas em todos os conjuntos de sitesCreate, edit, and delete items and lists in all site collections Permite ao aplicativo gerenciar e criar listas, documentos e listar itens em todos os conjuntos de sites em nome do usuário conectado.Allows the app to manage and create lists, documents, and list items in all site collections on behalf of the signed-in user. NãoNo NãoNo
Sites.FullControl.AllSites.FullControl.All Ter controle total de todos os conjuntos de sitesHave full control of all site collections Permite ao aplicativo ter controle total nos sites do SharePoint em todos os conjuntos de sites em nome do usuário conectado.Allows the app to have full control to SharePoint sites in all site collections on behalf of the signed-in user. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
Sites.Read.AllSites.Read.All Ler itens em todos os conjuntos de sitesRead items in all site collections Permite ao aplicativo ler documentos e listar itens em todos os conjuntos de sites sem um usuário conectado.Allows the app to read documents and list items in all site collections without a signed in user. SimYes
Sites.ReadWrite.AllSites.ReadWrite.All Ler e gravar itens em todos os conjuntos de sitesRead and write items in all site collections Permite ao aplicativo criar, ler, atualizar e excluir documentos e listar itens em todos os conjuntos de sites sem um usuário conectado.Allows the app to create, read, update, and delete documents and list items in all site collections without a signed in user. SimYes
Sites.Manage.AllSites.Manage.All Criar, editar e excluir itens e listas em todos os conjuntos de sitesCreate, edit, and delete items and lists in all site collections Permite ao aplicativo gerenciar e criar listas, documentos e listar itens em todos os conjuntos de sites sem um usuário conectado.Allows the app to manage and create lists, documents, and list items in all site collections without a signed-in user. SimYes
Sites.FullControl.AllSites.FullControl.All Ter controle total de todos os conjuntos de sitesHave full control of all site collections Permite ao aplicativo ter controle total nos sites do SharePoint em todos os conjuntos de sites sem um usuário conectado.Allows the app to have full control to SharePoint sites in all site collections without a signed-in user. SimYes

ComentáriosRemarks

Essas permissões de sites só são válidas para contas corporativas ou de estudante.Sites permissions are valid only on work or school accounts.

Exemplo de usoExample usage

DelegadoDelegated

  • Sites.Read.All: Ler as listas no site raiz do SharePoint (GET /v1.0/sites/root/lists)Sites.Read.All: Read the lists on the SharePoint root site (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All: Criar novos itens de lista em uma lista do SharePoint (POST /v1.0/sites/root/lists/123/items)Sites.ReadWrite.All: Create new list items in a SharePoint list (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All: Adicionar uma nova lista a um site do SharePoint (POST /v1.0/sites/root/lists)Sites.Manage.All: Add a new list to a SharePoint site (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All: Acesso completo a sites e listas do SharePoint.Sites.FullControl.All: Complete access to SharePoint sites and lists.

Permissões de tarefasTasks permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Tasks.ReadTasks.Read Ler as tarefas do usuário (visualização)Read user tasks (preview) Permite que o aplicativo leia as tarefas do usuário.Allows the app to read user tasks. NãoNo SimYes
Tasks.Read.SharedTasks.Read.Shared Ler as tarefas do usuário e as tarefas compartilhadas (visualização)Read user and shared tasks (preview) Permite que o aplicativo leia as tarefas que o usuário tem permissão de acessar, incluindo as próprias tarefas e as tarefas compartilhadas.Allows the app to read tasks a user has permissions to access, including their own and shared tasks. NãoNo NãoNo
Tasks.ReadWriteTasks.ReadWrite Criar, ler, atualizar e excluir tarefas e contêineres do usuário (visualização)Create, read, update and delete user tasks and containers (preview) Permite ao aplicativo criar, ler, atualizar e excluir tarefas e contêineres (e tarefas neles) que são atribuídos ou compartilhados com o usuário conectado.Allows the app to create, read, update and delete tasks and containers (and tasks in them) that are assigned to or shared with the signed-in user. NãoNo SimYes
Tasks.ReadWrite.SharedTasks.ReadWrite.Shared Ler e registrar as tarefas do usuário e as tarefas compartilhadas (visualização)Read and write user and shared tasks (preview) Permite que o aplicativo crie, leia, atualize e exclua as tarefas permitidas para um usuário, incluindo suas próprias tarefas e as compartilhadas.Allows the app to create, read, update, and delete tasks a user has permissions to, including their own and shared tasks. NãoNo NãoNo

Permissões de aplicativosApplication permissions

Nenhum.None.

ComentáriosRemarks

As permissões de tarefas são usadas para controlar o acesso de tarefas do Outlook. O acesso a tarefas do Microsoft Planner é controlado pelas permissões do Grupo.Tasks permissions are used to control access for Outlook tasks. Access for Microsoft Planner tasks is controlled by Group permissions.

As permissões Compartilhadas atualmente só são compatíveis com contas corporativas ou de estudante. Mesmo com permissões Compartilhadas, as leituras e gravações podem falhar se o usuário que possui o conteúdo compartilhado não tiver concedido as permissões de usuário de acesso para modificar o conteúdo dentro da pasta.Shared permissions are currently only supported for work or school accounts. Even with Shared permissions, reads and writes may fail if the user who owns the shared content has not granted the accessing user permissions to modify content within the folder.

Exemplo de usoExample usage

DelegadoDelegated

  • Tasks.Read: Obter todas as tarefas na caixa de correio do usuário (GET /me/outlook/tasks).Tasks.Read: Get all tasks in a user's mailbox (GET /me/outlook/tasks).
  • Tasks.Read.Shared: Acessar tarefas em uma pasta compartilhada com você por outro usuário em sua organização (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).Tasks.Read.Shared: Access tasks in a folder shared to you by another user in your organization (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: Adicionar um evento à pasta de tarefas padrão do usuário (POST /me/outlook/tasks).Tasks.ReadWrite: Add an event to the user's default task folder (POST /me/outlook/tasks).
  • Tasks.Read: Obter todas as tarefas não concluídas na caixa de correio do usuário (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').Tasks.Read: Get all uncompleted tasks in a user's mailbox (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: Atualizar uma tarefa na caixa de correio do usuário (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).Tasks.ReadWrite: Update a task in a user's mailbox (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: Concluir uma tarefa em nome de outro usuário (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).Tasks.ReadWrite.Shared: Complete a task on behalf of another user (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões de termos de usoTerms of use permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
Agreement.Read.AllAgreement.Read.All Ler todos os acordos de termos de usoRead all terms of use agreements Permite que o aplicativo leia acordos de termos de uso em nome do usuário conectado.Allows the app to read terms of use agreements on behalf of the signed-in user. SimYes NãoNo
Agreement.ReadWrite.AllAgreement.ReadWrite.All Ler e gravar todos os acordos de termos de usoRead and write all terms of use agreements Permite que o aplicativo leia e grave acordos de termos de uso em nome do usuário conectado.Allows the app to read and write terms of use agreements on behalf of the signed-in user. SimYes NãoNo
AgreementAcceptance.ReadAgreementAcceptance.Read Ler os status de aceitação de termos de uso do usuárioRead user terms of use acceptance statuses Permite que o aplicativo leia status de aceitação de termos de uso em nome do usuário conectado.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. SimYes NãoNo
AgreementAcceptance.Read.AllAgreementAcceptance.Read.All Ler os status de aceitação de termos de uso que o usuário pode acessarRead terms of use acceptance statuses that user can access Permite que o aplicativo leia status de aceitação de termos de uso em nome do usuário conectado.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. SimYes NãoNo

ComentáriosRemarks

Todas as permissões acima são válidas apenas para contas corporativas ou de estudante.All the permissions above are valid only for work or school accounts.

Para que um aplicativo leia ou grave todos os acordos ou aceitações de acordos com permissões delegadas, o usuário conectado deve ter a função Administrador Global, Administrador de Acesso Condicional ou Administrador de Segurança.For an app to read or write all agreements or agreement acceptances with delegated permissions, the signed-in user must be assigned the Global Administrator, Conditional Access Administrator or Security Administrator role. Para obter mais informações sobre funções de administrador, confira Atribuindo funções de administrador no Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Exemplo de usoExample usage

DelegadoDelegated

Os seguintes usos são válidos para permissões delegadas:The following usages are valid for both delegated permissions:

  • Agreement.Read.All: ler todos os acordos de termos de uso (GET /beta/agreements)Agreement.Read.All: Read all terms of use agreements (GET /beta/agreements)
  • Agreement.ReadWrite.All: ler e gravar todos os acordos de termos de uso (POST /beta/agreements)Agreement.ReadWrite.All: Read and write all terms of use agreements (POST /beta/agreements)
  • AgreementAcceptance.Read: ler os status de aceitação de termos de uso do usuário (GET /beta/me/agreementAcceptances)AgreementAcceptance.Read Read user terms of use acceptance statuses (GET /beta/me/agreementAcceptances)

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.


Permissões do usuárioUser permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
User.ReadUser.Read Entrar e ler o perfil do usuárioSign-in and read user profile Permite aos usuários entrar no aplicativo e permite ao aplicativo ler o perfil de usuários conectados. Também permite que o aplicativo leia as informações básicas da empresa sobre os usuários conectados.Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users. NãoNo SimYes
User.ReadWriteUser.ReadWrite Acesso de leitura e gravação ao perfil de usuárioRead and write access to user profile Permite que o aplicativo leia o perfil completo do usuário conectado.Allows the app to read the signed-in user's full profile. Também possibilita que o aplicativo atualize as informações de perfil do usuário conectado em seu nome.It also allows the app to update the signed-in user's profile information on their behalf. NãoNo SimYes
User.ReadBasic.AllUser.ReadBasic.All Ler os perfis básicos de todos usuáriosRead all users' basic profiles Permite ao aplicativo ler um conjunto básico de propriedades de perfil de outros usuários em sua organização em nome do usuário conectado.Allows the app to read a basic set of profile properties of other users in your organization on behalf of the signed-in user. Inclui o nome para exibição, nome e sobrenome, endereço de email, extensões abertas e foto.This includes display name, first and last name, email address, open extensions and photo. Também permite que o aplicativo leia o perfil completo do usuário conectado.Also allows the app to read the full profile of the signed-in user. NãoNo NãoNo
User.Read.AllUser.Read.All Ler os perfis completos de todos os usuáriosRead all users' full profiles Permite ao aplicativo ler o conjunto completo de propriedades do perfil, relatórios e gerentes de outros usuários em sua organização, em nome do usuário conectado.Allows the app to read the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. SimYes NãoNo
User.ReadWrite.AllUser.ReadWrite.All Ler e gravar os perfis completos de todos os usuáriosRead and write all users' full profiles Permite ao aplicativo ler e gravar o conjunto completo de propriedades do perfil, relatórios e gerentes de outros usuários na sua organização, em nome do usuário conectado. Também permite que o aplicativo crie e exclua usuários, além de redefinir senhas de usuário em nome do usuário conectado.Allows the app to read and write the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Also allows the app to create and delete users as well as reset user passwords on behalf of the signed-in user. SimYes NãoNo
User.Invite.AllUser.Invite.All Convidar usuários convidados para a organizaçãoInvite guest users to the organization Permite que o aplicativo convide usuários para sua organização em nome do usuário conectado.Allows the app to invite guest users to your organization, on behalf of the signed-in user. SimYes NãoNo
User.Export.AllUser.Export.All Exportar dados de usuáriosExport users' data Permite que o aplicativo exporte os dados de um usuário organizacional, quando executado por um administrador da empresa.Allows the app to export an organizational user's data, when performed by a Company Administrator. SimYes NãoNo

Permissões de aplicativosApplication permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required
User.Read.AllUser.Read.All Ler os perfis completos de todos os usuáriosRead all users' full profiles Permite ao aplicativo ler o conjunto completo de propriedades do perfil, relatórios e gerenciadores de outros usuários na sua organização, sem um usuário conectado.Allows the app to read the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. SimYes
User.ReadWrite.AllUser.ReadWrite.All Ler e gravar os perfis completos de todos os usuáriosRead and write all users' full profiles Permite ao aplicativo ler e gravar o conjunto completo de propriedades do perfil, relatórios e gerentes de outros usuários na sua organização, sem um usuário conectado. Também permite que o aplicativo crie e exclua usuários não administrativos. Não permite a redefinição de senhas de usuário.Allows the app to read and write the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Also allows the app to create and delete non-administrative users. Does not allow reset of user passwords. SimYes
User.Invite.AllUser.Invite.All Convidar usuários convidados para a organizaçãoInvite guest users to the organization Permite que o aplicativo convide usuários para sua organização sem um usuário conectado.Allows the app to invite guest users to your organization, without a signed-in user. SimYes
User.Export.AllUser.Export.All Exportar dados de usuáriosExport users' data Permite que o aplicativo exporte dados de usuários organizacionais, sem um usuário conectado.Allows the app to export organizational users' data, without a signed-in user. SimYes

ComentáriosRemarks

Com a permissão User.Read, um aplicativo também pode ler as informações básicas da empresa do usuário conectado de uma conta corporativa ou de estudante através do recurso Organização. As propriedades a seguir estão disponíveis: id, displayName e verifiedDomains.With the User.Read permission, an app can also read the basic company information of the signed-in user for a work or school account through the organization resource. The following properties are available: id, displayName, and verifiedDomains.

Para contas corporativas ou de estudante, o perfil completo inclui todas as propriedades declaradas do recurso Usuário. No caso das leituras, somente um número limitado de propriedades é retornado por padrão. Para ler propriedades que não estão no conjunto padrão, use $select. As propriedades padrão são:For work or school accounts, the full profile includes all of the declared properties of the User resource. On reads, only a limited number of properties are returned by default. To read properties that are not in the default set, use $select. The default properties are:

  • displayNamedisplayName
  • givenNamegivenName
  • jobTitlejobTitle
  • Emailmail
  • mobilePhonemobilePhone
  • officeLocationofficeLocation
  • preferredLanguagepreferredLanguage
  • surnamesurname
  • userPrincipalNameuserPrincipalName

As Permissões Delegadas User.ReadWrite e User.Readwrite.All permitem ao aplicativo atualizar as seguintes propriedades de perfil de contas corporativas ou de estudante:User.ReadWrite and User.Readwrite.All delegated permissions allow the app to update the following profile properties for work or school accounts:

  • aboutMeaboutMe
  • birthdaybirthday
  • hireDatehireDate
  • interestsinterests
  • mobilePhonemobilePhone
  • mySitemySite
  • pastProjectspastProjects
  • photophoto
  • preferredNamepreferredName
  • responsibilitiesresponsibilities
  • schoolsschools
  • skillsskills

Com a Permissão de aplicativo User.ReadWrite.All, o aplicativo pode atualizar todas as propriedades declaradas das contas corporativas ou de estudante, com exceção da senha.With the User.ReadWrite.All application permission, the app can update all of the declared properties of work or school accounts except for password.

Com a permissão User.ReadWrite.All delegada ou de aplicativo, a atualização de businessPhones, mobilePhone ou otherMails de outro usuário é permitida apenas em usuários que não são administradores ou que tenham uma das seguintes funções: Leitor de Diretório, Emissor de Convites Independente, Leitor do Centro de Mensagens e Leitor de Relatórios.With the User.ReadWrite.All delegated or application permission, updating another user's businessPhones, mobilePhone or otherMails is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Para obter mais detalhes, confira Administrador de suporte técnico (senha) nas funções disponíveis do Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles.

Para ler ou gravar os subordinados diretos (directReports) ou o gerente (manager) de uma conta corporativa ou de estudante, o aplicativo deve ter as permissões User.Read.All (somente leitura) ou User.ReadWrite.All.To read or write direct reports (directReports) or the manager (manager) of a work or school account, the app must have either User.Read.All (read only) or User.ReadWrite.All.

A permissão User.ReadBasic.All restringe o acesso do aplicativo a um conjunto limitado de propriedades conhecido como o perfil básico. Isso ocorre porque o perfil completo pode conter informações de diretório confidenciais. O perfil básico inclui apenas as seguintes propriedades:The User.ReadBasic.All permission constrains app access to a limited set of properties known as the basic profile. This is because the full profile might contain sensitive directory information. The basic profile includes only the following properties:

  • displayNamedisplayName
  • givenNamegivenName
  • Emailmail
  • Fotophoto
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Para ler as associações de grupos de um usuário (memberOf), o aplicativo deve ter o Group.Read.All ou o Group.ReadWrite.All. No entanto, se o usuário também tiver uma associação a um directoryRole ou administrativeUnit, o aplicativo também precisará de permissões efetivas para ler esses recursos ou o Microsoft Graph retornará um erro. Isso significa que o aplicativo deve ter também Permissões do diretório; para as Permissões Delegadas, o usuário conectado deve ter privilégios suficientes na organização para acessar unidades administrativas e funções de diretório.To read the group memberships of a user (memberOf), the app must have either Group.Read.All or Group.ReadWrite.All. However, if the user also has membership in a directoryRole or an administrativeUnit, the app will need effective permissions to read those resources too, or Microsoft Graph will return an error. This means the app will also need Directory permissions, and, for delegated permissions, the signed-in user will also need sufficient privileges in the organization to access directory roles and administrative units.

Exemplo de usoExample usage

DelegadoDelegated

  • User.Read: Ler o perfil completo para o usuário conectado (GET /me).User.Read: Read the full profile for the signed-in user (GET /me).
  • User.ReadWrite: Atualizar a foto do usuário conectado (PUT /me/photo/$value).User.ReadWrite: Update the photo of the signed-in user (PUT /me/photo/$value).
  • User.ReadBasic.All: Localizar todos os usuários cujos nomes começam com "Davi" (GET /users?$filter=startswith(displayName,'David')).User.ReadBasic.All: Find all users whose name starts with "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: Ler o gerente de um usuário (GET /user/{id | userPrincipalName}/manager).User.Read.All: Read a user's manager (GET /user/{id | userPrincipalName}/manager).

AplicativoApplication

  • User.Read.All: Ler todos os usuários e relações usando a consulta delta (GET /beta/users/delta?$select=displayName,givenName,surname).User.Read.All: Read all users and relationships through delta query (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: Atualizar a foto de qualquer usuário na organização (PUT /user/{id | userPrincipalName}/photo/$value).User.ReadWrite.All: Update the photo for any user in the organization (PUT /user/{id | userPrincipalName}/photo/$value).

Para cenários mais complexos que envolvem várias permissões, confira Cenários de permissões.For more complex scenarios involving multiple permissions, see Permission scenarios.

Permissões de Atividades do UsuárioUser Activity permissions

Permissões delegadasDelegated permissions

PermissãoPermission Exibir Cadeia de CaracteresDisplay String DescriçãoDescription Consentimento Obrigatório do AdministradorAdmin Consent Required Suporte da conta da MicrosoftMicrosoft Account supported
UserActivity.ReadWrite.CreatedByAppUserActivity.ReadWrite.CreatedByApp Ler e gravar a atividades de aplicativos no feed de atividades de usuáriosRead and write app activity to users' activity feed Permite que o aplicativo leia e relate as atividades do usuário conectado no aplicativo.Allows the app to read and report the signed-in user's activity in the app. NãoNo SimYes

Permissões de aplicativosApplication permissions

Nenhum.None.

ComentáriosRemarks

UserActivity.ReadWrite.CreatedByApp é válida tanto para contas da Microsoft como para contas corporativas e de estudante.UserActivity.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts.

A restrição CreatedByApp associada a essa permissão indica que o serviço aplicará filtragem implícita aos resultados com base na identidade aplicativo que realizar a chamada, seja a ID de aplicativo MSA ou um conjunto de IDs de aplicativos configurados para uma identidade de aplicativo de plataformas cruzadas.The CreatedByApp constraint associated with this permission indicates the service will apply implicit filtering to results based on the identity of the calling app, either the MSA app id or a set of app ids configured for a cross-platform application identity.

Exemplo de usoExample usage

DelegadoDelegated

  • UserActivity.ReadWrite.CreatedByApp: obter uma lista de atividades de usuários recentes únicos com base nos itens de histórico associados publicados no último dia.UserActivity.ReadWrite.CreatedByApp: Get a list of recent unique user activities based on associated history items published in the last day. (GET /me/activities/recent).(GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: publicar ou atualizar uma atividade do usuário que poderá ser retomada pelo usuário do aplicativo.UserActivity.ReadWrite.CreatedByApp: Publish or update a user activity which may be resumed by the user of the application. (PUT /me/activities/%2Farticle%3F12345).(PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: publicar ou atualizar um item de histórico de uma atividade de usuário especificada para representar o período de engajamento do usuário.UserActivity.ReadWrite.CreatedByApp: Publish or update a history item for a specified user activity in order to represent the period of user engagement. (PUT /me/activities/{id}/historyItems/{id}).(PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: excluir uma atividade de usuário em resposta a uma solicitação iniciada pelo usuário ou para remover dados inválidos.UserActivity.ReadWrite.CreatedByApp: Delete a user activity in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}).(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: excluir um item de histórico em resposta a uma solicitação iniciada pelo usuário ou para remover dados inválidos.UserActivity.ReadWrite.CreatedByApp: Delete a history item in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}/historyItems/{id}).(DELETE /me/activities/{id}/historyItems/{id}).

Cenários de permissãoPermission scenarios

Esta seção mostra alguns cenários comuns direcionados aos recursos usuário e grupo em uma organização. As tabelas mostram as permissões que um aplicativo precisa para conseguir executar operações específicas necessárias para o cenário. Observe que, em alguns casos, a capacidade do aplicativo de executar operações específicas dependerá se uma permissão é uma Permissão de aplicativo ou Permissão Delegada. No caso de Permissões Delegadas, as Permissões Efetivas do aplicativo também dependerão dos privilégios do usuário conectado na organização. Para obter mais informações, confira Permissões delegadas, Permissões de aplicativo e permissões efetivas.This section shows some common scenarios that target user and group resources in an organization. The tables show the permissions that an app needs to be able to perform specific operations required by the scenario. Note that in some cases the ability of the app to perform specific operations will depend on whether a permission is an application or delegated permission. In the case of delegated permissions, the app's effective permissions will also depend on the privileges of the signed-in user within the organization. For more information, see Delegated permissions, Application permissions, and effective permissions.

Cenários de acesso do recurso UsuárioAccess scenarios on the User resource

Tarefas do aplicativo envolvendo o UsuárioApp tasks involving User Permissões necessáriasRequired permissions Cadeias de caracteres de permissãoPermission strings
O aplicativo deseja ler as informações básicas de outros usuários (somente o nome para exibição e a imagem), por exemplo, para mostrar uma experiência de seleção de pessoasApp wants to read other users' basic information (only display name and picture), for example to show in a people picking experience User.ReadBasic.AllUser.ReadBasic.All Ler todos os perfis básicos do usuárioRead all user's basic profiles
O aplicativo deseja ler o perfil completo do usuário de um usuário conectado (ver subordinados diretos, gerente etc.)App wants to read complete user profile for signed in user (see direct reports, and manager, etc.) User.ReadUser.Read Habilitar entrada e ler o perfil de usuárioEnable sign-in and read user profile
O aplicativo deseja ler o perfil completo de todos os usuáriosApp wants to read complete user profile all users User.Read.AllUser.Read.All Ler os perfis completos de todos os usuáriosRead all user's full profiles
O aplicativo deseja ler informações de arquivos, email e calendário do usuário conectadoApp wants to read files, mail and calendar information for the signed in user User.Read, Files.Read, Mail.Read, Calendars.ReadUser.Read, Files.Read, Mail.Read, Calendars.Read Habilitar entrada e ler o perfil de usuário, ler arquivos dos usuários, ler email do usuário, ler calendários do usuárioEnable sign-in and read user profile, Read users' files, Read user mail, Read user calendars
O aplicativo deseja ler os arquivos dos usuários (meus) conectados e os arquivos que outros usuários compartilharam com o usuário conectado (eu).App wants to read the signed-in user's (my) files and files that other users have shared with the signed-in user (me). User.Read, Files.Read, Sites.Read.AllUser.Read, Files.Read, Sites.Read.All Habilitar entrada e ler o perfil de usuário, ler arquivos dos usuários, ler itens em todos os conjuntos de sitesEnable sign-in and read user profile, Read users' files, Read items in all site collections
O aplicativo deseja ler e gravar o perfil completo do usuário conectadoApp wants to read and write complete user profile for signed in user User.ReadWriteUser.ReadWrite Acesso de leitura e gravação ao perfil de usuárioRead and write access to user profile
O aplicativo deseja ler e gravar o perfil completo de todos os usuáriosApp wants to read and write complete user profile all users User.ReadWrite.AllUser.ReadWrite.All Ler e gravar os perfis completos de todos os usuáriosRead and write all user's full profiles
O aplicativo deseja ler e gravar informações de arquivos, de email e de calendário do usuário conectadoApp wants to read and write files, mail and calendar information for the signed in user User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWriteUser.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Acesso de leitura e gravação ao perfil de usuário, acesso de leitura e gravação ao perfil de usuário, acesso de leitura e gravação ao email do usuário, acesso total a calendários do usuárioRead and write access to user profile, Read and write access to user profile, Read and write access to user mail, Have full access to user calendars
O aplicativo deseja enviar uma solicitação de operação de política de dados para exportar dados pessoais de um usuárioApp wants to submit a data policy operation request to export a user's personal data User.Export.AllUser.Export.All Exportar os dados pessoais e de um usuário.Export a user'a personal data.

Cenários de acesso do recurso GrupoAccess scenarios on the Group resource

Tarefas do aplicativo envolvendo o GrupoApp tasks involving Group Permissões necessáriasRequired permissions Cadeias de caracteres de permissãoPermission strings
O aplicativo deseja ler as informações básicas do grupo (somente o nome para exibição e a imagem), por exemplo, para mostrar uma experiência de seleção de um grupoApp wants to read basic group info (only display name and picture), for example to show in a group picking experience Group.Read.AllGroup.Read.All Ler todos os gruposRead all groups
O aplicativo deseja ler todo o conteúdo em todos os grupos do Office 365, incluindo arquivos, conversas. Também precisa mostrar associações de grupo, ser capaz de atualizar associações de grupo (caso seja o proprietário).App wants to read all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.Read.AllGroup.Read.All Ler itens em todos os conjuntos de sites, ler todos os gruposRead items in all site collections, Read all groups
O aplicativo deseja ler e gravar todo o conteúdo em todos os grupos do Office 365, incluindo arquivos, conversas. Também precisa mostrar associações de grupo, ser capaz de atualizar associações de grupo (caso seja o proprietário).App wants to read and write all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.ReadWrite.All, Sites.ReadWrite.AllGroup.ReadWrite.All, Sites.ReadWrite.All Ler e gravar todos os grupos, editar ou excluir itens em todos os conjuntos de sitesRead and write all groups, Edit or delete items in all site collections
O aplicativo deseja descobrir (localizar) um grupo do Office 365. Permite ao usuário procurar um grupo específico e escolher um deles na lista enumerada para ingressar no grupo.App wants to discover (find) an Office 365 group. It allows the user to search for a particular group and choose one from the enumerated list to allow the user to join the group. Group.ReadWrite.AllGroup.ReadWrite.All Ler e gravar todos os gruposRead and write all groups
O aplicativo deseja criar um grupo por meio do AAD GraphApp wants to create a group through AAD Graph Group.ReadWrite.AllGroup.ReadWrite.All Ler e gravar todos os gruposRead and write all groups