Autorização para APIs lerem os relatórios de uso do Microsoft 365.Authorization for APIs to read Microsoft 365 usage reports

Os dados do relatório acessíveis por meio da API de relatórios do Microsoft Graph são confidenciais.Report data accessible via the Microsoft Graph reports API is sensitive. Em particular, os relatórios de uso do Microsoft 365 são protegidos tanto pelas permissões quanto pelas funções do Azure Active Directory (Azure AD).In particular, Microsoft 365 usage reports are protected by both permissions and Azure Active Directory (Azure AD) roles. As informações neste artigo se aplicam à API de relatórios que lê os relatórios de uso do Microsoft 365.The information in this article applies to the reports API that reads Microsoft 365 usage reports.

As APIs que leem os relatórios de uso do Microsoft 365 oferecem suporte a dois tipos de autorização:The APIs to read Microsoft 365 usage reports support two types of authorization:

  • Autorização no nível do aplicativo – permite que um aplicativo leia todos os relatórios de uso de serviço sem um usuário conectado.Application-level authorization - Allows an app to read all service usage reports without a signed-in user. As permissões concedidas ao aplicativo determinam a autorização.The permissions granted to the application determine authorization.
  • Permissão delegada pelo usuário – permite que um aplicativo leia todos os relatórios de uso de serviço em nome do usuário conectado.User delegated authorization - Allows an app to read all service usage reports on behalf of the signed-in user. Além do aplicativo ter recebido as permissões necessárias, o usuário deve ser membro de uma função de administrador limitada do Azure AD.In addition to the app having been granted the required permissions, the user must be a member of an Azure AD limited administrator role. Essa pode ser uma das seguintes funções: administrador da empresa, administrador do Exchange, administrador do SharePoint, administrador do Lync, Administrador de Serviço do Teams, Administrador de Comunicações do Teams, leitor global ou leitor de relatórios.This can be one of the following roles: company administrator, Exchange administrator, SharePoint administrator, Lync administrator, Teams Service Administrator, Teams Communications Administrator, global reader, or reports reader.

Se você estiver chamando as APIs do Explorador do Graph:If you're calling the APIs from Graph Explorer:

  • O administrador de locatário do Azure AD deve conceder explicitamente o consentimento das permissões solicitadas ao aplicativo do Explorador do Graph.The Azure AD tenant administrator must explicitly grant consent for the requested permissions to the Graph Explorer application.
  • O usuário deve ser membro de uma função de administrador limitada no Azure AD, listada acima para autorização delegada pelo usuário.The user must be a member of a limited administrator role in Azure AD, listed above for user-delegated authorization.

Observação: O Explorador do Graph não oferece suporte a autorização no nível de aplicativo.Note: Graph Explorer does not support application-level authorization.

Se você estiver chamando as APIs de um aplicativo:If you're calling the APIs from an application:

  • O administrador de locatário do Azure AD deve conceder explicitamente o consentimento ao aplicativo.The Azure AD tenant administrator must explicitly grant consent to your application. Isso é necessário para autorização no nível de aplicativo e autorização delegada pelo usuário.This is required both for application-level authorization and user delegated authorization.
  • Se você estiver usando uma autorização delegada pelo usuário, o usuário conectado deverá ser membro de uma função de administrador limitada no Azure AD.If you're using user delegated authorization, the signed-in user must be a member of a limited administrator role in Azure AD.

Atribuir funções do Microsoft Azure AD aos usuáriosAssign Azure AD roles to users

Depois que um aplicativo receber permissões, todas as pessoas com acesso ao aplicativo (ou seja, membros do locatário do Azure AD) receberão as permissões concedidas.After an application is granted permissions, everyone with access to the application (that is, members of the Azure AD tenant) receives the granted permissions. Para proteger ainda mais os dados de relatórios confidenciais, os administradores de locatários devem atribuir aos usuários do aplicativo as funções apropriadas do Azure AD.To further protect sensitive reports data, tenant administrators must assign users of the application the appropriate Azure AD roles. Para obter detalhes, confira Permissões da função de administrador no Azure Active Directory e Atribuir funções de administrador e não-administrador aos usuários com o Azure Active Directory.For details, see Administrator role permissions in Azure Active Directory and Assign administrator and non-administrator roles to users with Azure Active Directory.

Observação: você precisa ser um administrador de locatários para executar esta etapa.Note: You must be a tenant administrator to perform this step.

Para atribuir uma função a um usuário:To assign a role to a user:

  1. Entre no portal do Azure (https://portal.azure.com).Sign in to the Azure portal (https://portal.azure.com).
  2. Clique no ícone no canto superior esquerdo para expandir o menu do portal do Azure.Click the icon in the top left to expand the Azure portal menu. Selecione Azure Active Directory > Usuários.Select Azure Active Directory > Users.
  3. Clique no nome do usuário.Click the name of the user.
  4. Escolha Funções atribuídas e, em seguida, Adicionar atribuição.Choose Assigned roles, and then Add assignment.
  5. Escolha a função apropriada e clique em Adicionar.Select the appropriate role, and click Add.