Различия в разрешениях между Azure AD Graph и Microsoft Graph

  • Статья

Эта статья является частью шага 1. Просмотр различий API в процессе миграции приложений.

Минимальное привилегированное разрешение для конкретного сценария может отличаться для Azure AD Graph и Microsoft Graph. При переносе приложений для вызова Microsoft Graph проанализируйте необходимость перехода на более узкие разрешения Microsoft Graph, чтобы сохранить минимальные привилегии.

Например, на Azure AD Graph для чтения пользователей в сценариях только для приложений требуется разрешение Directory.Read.All. Это разрешение также позволяет приложению считывать все группы, приложения и некоторые политики в клиенте. Однако в Microsoft Graph для чтения пользователей в сценариях только для приложений требуется только разрешение User.Read.All .

Хотя строки разрешений могут быть одинаковыми как в Azure AD Graph, так и в Microsoft Graph, они имеют разные идентификаторы. Однако, как и Azure AD Graph, Microsoft Graph также предоставляет как приложения, так и делегированные разрешения. Для разрешений приложений всегда требуется согласие администратора.

В этой статье представлено сопоставление разрешений Azure AD Graph с Microsoft Graph, чтобы помочь вам перенести приложения.

Application.Read.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно c79f8feb-a9db-4090-85f9-90d820caa0eb
Отображаемая строка Недоступно Чтение приложений
Администратор требуется согласие? Недоступно Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 3afa6a7d-9b1a-42eb-948e-1650a849e176 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Отображаемая строка Чтение всех приложений Чтение всех приложений

Application.ReadWrite.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно bdfbf15f-ee85-4955-8675-146e8e5296b5
Отображаемая строка Недоступно Чтение и запись всех приложений
Администратор требуется согласие? Недоступно Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 1cda74f2-2616-4834-b122-5cb1b07f8a59 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Отображаемая строка Чтение и запись всех приложений Чтение всех приложений

Application.ReadWrite.OwnedBy

Delegated

Не применимо.

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 1cda74f2-2616-4834-b122-5cb1b07f8a59 18a4783c-866b-4cc7-a460-3d5e5662c884
Отображаемая строка Управление приложениями, которыми это приложение владеет или которые были им созданы Управление приложениями, которыми это приложение владеет или которые были им созданы

Device.ReadWrite.All

Delegated

Не применимо.

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 1138cb37-bd11-4084-a2b7-9f71582aeddb 1138cb37-bd11-4084-a2b7-9f71582aeddb
Отображаемая строка Чтение и запись устройств Чтение и запись устройств

Directory.Read.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 5778995a-e1bf-45b8-affa-663a9f3f4d04 06da0dbc-49e2-44d2-8312-53f166ab848a
Отображаемая строка Чтение данных каталога Чтение данных каталога
Администратор требуется согласие? Да Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 5778995a-e1bf-45b8-affa-663a9f3f4d04 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Отображаемая строка Чтение данных каталога Чтение данных каталога

Directory.ReadWrite.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 c5366453-9fb0-48a5-a156-24f0c49a4b84
Отображаемая строка Чтение и запись данных каталога Чтение и запись данных каталога
Администратор требуется согласие? Да Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Отображаемая строка Чтение и запись данных каталога Чтение и запись данных каталога

Directory.AccessAsUser.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения a42657d6-7f20-40e3-b6f0-cee03008a62a 0e263e50-5827-48a4-b97c-d940288653c7
Отображаемая строка Доступ к каталогу от имени вошедшего в систему пользователя Доступ к каталогу от имени вошедшего в систему пользователя
Администратор требуется согласие? Да Да

Приложение

Не применимо.

Domain.ReadWrite.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно Чтение и запись доменов
Отображаемая строка Недоступно Чтение и запись доменов
Администратор требуется согласие? Недоступно Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения abefe9df-d5a9-41c6-a60b-27b38eac3efb 7e05723c-0bb0-42da-be95-ae9f08a6e53c
Отображаемая строка Чтение и запись доменов Чтение и запись доменов

Group.Read.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 6234d376-f627-4f0f-90e0-dff25c5211a3 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Отображаемая строка Чтение всех групп Чтение всех групп
Администратор требуется согласие? Да Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно 5b567255-7703-4780-807c-7be8301ae99b
Отображаемая строка Недоступно Чтение всех групп

Group.ReadWrite.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 970d6fa6-214a-4a9b-8513-08fad511e2fd 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
Отображаемая строка Чтение и запись всех групп Чтение и запись всех групп
Администратор требуется согласие? Да Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно 62a82d76-70ea-41e2-9197-370581804d09
Отображаемая строка Недоступно Чтение и запись всех групп

Member.Read.Hidden

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 2d05a661-f651-4d57-a595-489c91eda336 f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Отображаемая строка Чтение сведений о скрытом членстве Чтение сведений о скрытом членстве
Администратор требуется согласие? Да Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 9728c0c4-a06b-4e0e-8d1b-3d694e8ec207 658aa5d8-239f-45c4-aa12-864f4fc7e490
Отображаемая строка Чтение всех сведений о скрытом членстве Чтение всех сведений о скрытом членстве

Policy.Read.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно 572fea84-0151-49b2-9301-11cb16974376
Отображаемая строка Недоступно Чтение политик организации
Администратор требуется согласие? Недоступно Да

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 6c2d1b1d-a490-4178-ba6b-7efceda9129b 246dd0d5-5bd0-4def-940b-0421030a5b68
Отображаемая строка Чтение политик организации Чтение политик организации

User.Read

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения 311a71cc-e848-46a1-bdf8-97ff7156d8e6 e1fe6dd8-ba31-4d61-89e7-88639da4683d
Отображаемая строка Вход и чтение профиля пользователя Вход и чтение профиля пользователя
Администратор требуется согласие? Нет Нет

Сервер приложений

Не применимо.

User.ReadBasic.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения cba73afc-7f69-4d86-8450-4978e04ecd1a b340eb25-3456-403f-be2f-af7a0d370277
Отображаемая строка Чтение базовых профилей всех пользователей Чтение базовых профилей всех пользователей
Администратор требуется согласие? Нет Нет

Сервер приложений

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно 97235f07-e226-4f63-ace3-39588e11d3a1
Отображаемая строка Недоступно Чтение базовых профилей всех пользователей

User.Read.All

Делегированные разрешения

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения c582532d-9d9e-43bd-a97c-2667a28ce295 a154be20-db9c-4678-8ab7-66f6cc099a59
Отображаемая строка Чтение полных профилей всех пользователей Чтение полных профилей всех пользователей
Администратор требуется согласие? Администратор Администратор

Приложение

Параметр Azure AD Graph Microsoft Graph
Идентификатор разрешения Недоступно df021288-bdef-4463-88db-98f22de89214
Отображаемая строка Недоступно Чтение полных профилей всех пользователей

Следующее действие

Еще раз просмотрите контрольный список миграции