Справочник по разрешениям Microsoft GraphMicrosoft Graph permissions reference

Чтобы приложение имело доступ к данным в Microsoft Graph, пользователь или администратор должен предоставить ему соответствующие разрешения с помощью процедуры получения согласия.For your app to access data in Microsoft Graph, the user or administrator must grant it the correct permissions via a consent process. В этой статье перечислены разрешения, связанные с каждым основным набором API Microsoft Graph.This topic lists the permissions associated with each major set of Microsoft Graph APIs. В ней также приведены руководства по использованию разрешений.It also provides guidance about how to use the permissions.

Дополнительные сведения о принципах действия разрешений см. в статье Основные сведения о проверке подлинности и авторизации и в следующем видеоролике.To learn more about how permissions work, see Authentication and authorization basics, and watch the following video.

Имена разрешений Microsoft GraphMicrosoft Graph permission names

Имена разрешений Microsoft Graph соответствуют простому шаблону: ресурс.операция.ограничение. Например, разрешение User.Read позволяет просматривать профиль вошедшего пользователя, разрешение User.ReadWrite — просматривать и редактировать профиль вошедшего пользователя, а разрешение Mail.Send — отправлять почту от его имени.Microsoft Graph permission names follow a simple pattern: resource.operation.constraint. For example, User.Read grants permission to read the profile of the signed-in user, User.ReadWrite grants permission to read and modify the profile of the signed-in user, and Mail.Send grants permission to send mail on behalf of the signed-in user.

Указанное в имени ограничение определяет потенциальный уровень доступа приложения в рамках каталога. В настоящее время Microsoft Graph поддерживает следующие ограничения:The constraint element of the name determines the potential extent of access your app will have within the directory. Currently Microsoft Graph supports the following constraints:

  • All, которое позволяет приложению выполнять операции со всеми ресурсами указанного типа в каталоге. Например, разрешение User.Read.All может предоставить приложению права на просмотр профилей всех пользователей в каталоге.All grants permission for the app to perform the operations on all of the resources of the specified type in a directory. For example, User.Read.All potentially grants the app privileges to read the profiles of all of the users in a directory.
  • Shared, которое позволяет приложению выполнять операции с ресурсами, доступ к которым предоставлен вошедшему пользователю другими пользователями. Это ограничение в основном используется с такими ресурсами Outlook, как почта, календари и контакты. Например, разрешение Mail.Read.Shared позволяет просматривать сообщения в почтовом ящике вошедшего пользователя, а также в почтовых ящиках, доступ к которым предоставлен вошедшему пользователю другими пользователями в организации.Shared grants permission for the app to perform the operations on resources that other users have shared with the signed-in user. This constraint is mainly used with Outlook resources like mail, calendars, and contacts. For example, Mail.Read.Shared, grants privileges to read mail in the mailbox of the signed-in user as well as mail in mailboxes that other users in the organization have shared with the signed-in user.
  • AppFolder, которое предоставляет приложению права на чтение и запись файлов в выделенной папке в OneDrive. Это ограничение доступно только в разрешениях для файлов и действительно только для учетных записей Майкрософт.AppFolder grants permission for the app to read and write files in a dedicated folder in OneDrive. This constraint is only exposed on Files permissions and is only valid for Microsoft accounts.
  • Если ограничение не указано, приложение сможет выполнять операции только с ресурсами, принадлежащими вошедшему пользователю. Например, разрешение User.Read позволяет просматривать только профиль вошедшего пользователя, а Mail.Read — только сообщения в почтовом ящике вошедшего пользователя.If no constraint is specified the app is limited to performing the operations on the resources owned by the signed-in user. For example, User.Read grants privileges to read the profile of the signed-in user only, and Mail.Read grants permission to read only mail in the mailbox of the signed-in user.

Примечание. При делегировании действующие разрешения, предоставленные приложению, могут быть ограничены привилегиями вошедшего пользователя в организации.Note: In delegated scenarios, the effective permissions granted to your app may be constrained by the privileges of the signed-in user in the organization.

Учетные записи Майкрософт и рабочие или учебные учетные записиMicrosoft accounts and work or school accounts

Не все разрешения действительны как для учетных записей Майкрософт, так и для рабочих или учебных учетных записей.Not all permissions are valid for both Microsoft accounts and work or school accounts. В столбце Поддержка учетной записи Майкрософт для каждой группы разрешений указано, для каких учетных записей действительно то или иное разрешение: учетных записей Майкрософт, рабочих и учебных учетных записей либо для всех типов.You can check the Microsoft Account Supported column for each permission group to determine whether a specific permission is valid for Microsoft accounts, work or school accounts, or both.

Ограничения на поиск пользователей и групп для гостевых пользователей в организацияхUser and group search limitations for guest users in organizations

Функции поиска пользователей и групп позволяют приложению найти любого пользователя и любую группу в каталоге организации с помощью запросов для набора ресурсов /users или /groups (например, https://graph.microsoft.com/v1.0/users).User and group search capabilities allow the app to search for any user or group in an organization's directory by performing queries against the /users or /groups resource set (for example, https://graph.microsoft.com/v1.0/users). Эта возможность есть у администраторов и обычных пользователей. Ее нет у гостевых пользователей.Both administrators and users have this capability; however, guest users do not.

Если пользователь вошел как гость, то в зависимости от предоставленных приложению разрешений оно может считывать профиль определенного пользователя или определенной группы (например, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). Но оно не может отправлять набору ресурсов /users или /groups запросы, способные возвращать несколько ресурсов.If the signed-in user is a guest user, depending on the permissions an app has been granted, it can read the profile of a specific user or group (for example, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); however, it cannot perform queries against the /users or /groups resource set that potentially return more than a single resource.

При наличии подходящих разрешений приложение может считывать профили пользователей и групп, которые оно получает благодаря ссылкам в свойствах навигации (например, /users/{id}/directReports или /groups/{id}/members).With the appropriate permissions, the app can read the profiles of users or groups that it obtains by following links in navigation properties; for example, /users/{id}/directReports or /groups/{id}/members.


Разрешения проверок доступаAccess reviews permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
AccessReview.Read.AllAccessReview.Read.All Чтение всех проверок доступаRead all access reviews Позволяет приложению считывать проверки доступа от имени вошедшего пользователя.Allows the app to read access reviews on behalf of the signed-in user. ДаYes НетNo
AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Управление всеми проверками доступаManage all access reviews Позволяет приложению считывать и записывать проверки доступа от имени вошедшего пользователя.Allows the app to read and write access reviews on behalf of the signed-in user. ДаYes НетNo
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Управление проверками доступа для участия в группах и приложенияхManage access reviews for group and app memberships Позволяет приложению считывать и записывать проверки доступа к группам и приложениям от имени выполнившего вход пользователя.Allows the app to read and write access reviews on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
AccessReview.Read.AllAccessReview.Read.All Чтение всех проверок доступаRead all access reviews Позволяет приложению считывать проверки доступа без необходимости входа пользователя.Allows the app to read access reviews without a signed-in user. ДаYes
AccessReview.ReadWrite.MembershipAccessReview.ReadWrite.Membership Управление проверками доступа для участия групп и приложенийManage access reviews for group and app memberships Позволяет приложению управлять проверками доступа для групп и приложений без необходимости входа пользователя.Allows the app to manage access reviews of groups and apps without a signed-in user. ДаYes

ПримечанияRemarks

AccessReview.Read.All, AccessReview.ReadWrite.All и AccessReview.ReadWrite.Membership допустимы только для рабочих или учебных учетных записей. AccessReview.Read.All and AccessReview.ReadWrite.All are valid only for work or school accounts.

Чтобы приложение с делегированными разрешениями могло считывать проверки доступа группы или приложения, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности", "Читатель безопасности" или "Администратор пользователей".For an app with delegated permissions to read access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Чтобы приложение с делегированными разрешениями могло записывать проверки доступа группы или приложения, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор пользователей".For an app with delegated permissions to write access reviews of a group or app, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator.

Чтобы приложение с делегированными разрешениями могло считывать проверки доступа роли Azure AD, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности", "Читатель безопасности" или "Администратор привилегированных ролей".For an app with delegated permissions to read access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator. Чтобы приложение с делегированными разрешениями могло записывать проверки доступа роли Azure AD, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор привилегированных ролей".For an app with delegated permissions to write access reviews of an Azure AD role, the signed-in user must be a member of one of the following administrator roles: Global Administrator or Privileged Role Administrator.

Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Разрешения ресурсов аналитикиAnalytics resource permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Analytics.ReadAnalytics.Read Чтение статистики обо всех действиях пользователя.Read all user activities statistics. Позволяет приложению считывать статистику о действиях пользователя без необходимости входа пользователя.Allows the app to read user activities statistics without a signed-in user. ДаYes

Разрешения приложенийApplication permissions

Нет.None.

Примеры использованияExample usage

Делегированные разрешенияDelegated

ПриложениеApplication

Нет.None.


Разрешения для административных единицAdministrative Units permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Чтение административных единицRead administrative units Позволяет приложению считывать административные единицы и сведения о членстве в них от имени вошедшего пользователя.Allows the app to read administrative units and administrative unit membership on behalf of the signed-in user. ДаYes НетNo
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Чтение и запись административных единицRead and write administrative units Позволяет приложению создавать, считывать, обновлять и удалять административные единицы, а также управлять членством в них от имени вошедшего пользователя.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
AdministrativeUnit.Read.AllAdministrativeUnit.Read.All Чтение всех административных единицRead all administrative units Позволяет приложению считывать административные единицы и сведения о членстве в них без вошедшего пользователя.Allows the app to read administrative units and administrative unit membership without a signed-in user. ДаYes
AdministrativeUnit.ReadWrite.AllAdministrativeUnit.ReadWrite.All Чтение и запись всех административных единицRead and write all administrative units Позволяет приложению создавать, считывать, обновлять и удалять административные единицы, а также управлять членством в них без вошедшего пользователя.Allows the app to create, read, update, and delete administrative units and manage administrative unit membership without a signed-in user. ДаYes

ПримечанияRemarks

При наличии разрешения AdministrativeUnit.Read.All приложение может считывать сведения об административных единицах, в том числе об их участниках.With the AdministrativeUnit.Read.All permission an application can read administrative unit information including members.

При наличии разрешения AdministrativeUnit.ReadWrite.All приложение может создавать, считывать, обновлять и удалять сведения об административных единицах, в том числе об их участниках.With the AdministrativeUnit.ReadWrite.All permission an application can create, read, update, and delete administrative unit information including members.

Разрешения AdministrativeUnit.Read.All и AdministrativeUnit.ReadWrite.All допустимы только для рабочих или учебных учетных записей.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Примеры использованияExample usage

  • AdministrativeUnit.Read.All: считывание административных единиц (GET /beta/administrativeUnits)AdministrativeUnit.Read.All: Read administrative units (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: считывание списка участников административной единицы (GET /beta/administrativeUnits/<id>/members)AdministrativeUnit.Read.All: Read members list of an administrative unit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: создание административной единицы (POST /beta/administrativeUnits)AdministrativeUnit.ReadWrite.All: Create an administrative unit (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: обновление административной единицы (PATCH /beta/administrativeUnits/<id>)AdministrativeUnit.ReadWrite.All: Update an administrative unit (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: добавление участников в административную единицу (POST /beta/administrativeUnits/<id>/members)AdministrativeUnit.ReadWrite.All: Add members to an administrative unit (POST /beta/administrativeUnits/<id>/members)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения ресурса AppCatalogAppCatalog resource permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
AppCatalog.ReadWrite.AllAppCatalog.ReadWrite.All Чтение и запись во всех каталогах приложенийRead and write to all app catalogs Позволяет приложению создавать, считывать, обновлять и удалять приложения в каталогах приложений.Allows the app to create, read, update, and delete apps in the app catalogs. ДаYes

Разрешения приложенийApplication permissions

Нет.None.

ПримечанияRemarks

В настоящее время единственным каталогом является список приложений в Microsoft Teams.Currently the only catalog is the list of applications in Microsoft Teams.

Примеры использованияExample usage

ДелегированныеDelegated

Для приложенийApplication

Отсутствуют.None.


Разрешения ресурсов приложенияApplication resource permissions

Делегированные разрешенияDelegated permissions

Нет.None.

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Application.ReadWrite.AllApplication.ReadWrite.All Чтение и запись всех приложенийRead and write all apps Позволяет вызывающему приложению создавать приложения и субъект-службы, а также управлять ими (т. е. читать, обновлять, обновлять секретные ключи приложения и удалять) без необходимости входа пользователя.Allows the calling app to create, and manage (read, update, update application secrets and delete) applications and service principals without a signed-in user. Управлять разрешениями на согласие, а также назначениями приложений для пользователей или групп не разрешается.Does not allow management of consent grants or application assignments to users or groups. ДаYes
Application.ReadWrite.OwnedByApplication.ReadWrite.OwnedBy Управление приложениями, которыми это приложение владеет или которые были им созданыManage apps that this app creates or owns Позволяет вызывающему приложению создавать другие приложения и субъект-службы, а также полностью управлять ими (читать, обновлять, обновлять секретные ключи приложения и удалять) без необходимости входа пользователя.Allows the calling app to create other applications and service principals, and fully manage those applications and service principals (read, update, update application secrets and delete), without a signed-in user. Приложение может обновлять только программы, которыми владеет.It cannot update any applications that it is not an owner of. Управлять разрешениями на согласие, а также назначениями приложений для пользователей или групп не разрешается.Does not allow management of consent grants or application assignments to users or groups. ДаYes

КомментарииRemarks

Разрешение Application.ReadWrite.OwnedBy обеспечивает те же операции, что и Application.ReadWrite.All, но только для приложений и субъект-служб, которыми владеет вызывающее приложение.The Application.ReadWrite.OwnedBy permission allows the same operations as Application.ReadWrite.All except that the former allows these operations only on applications and service principals that the calling app is an owner of. Владение определяется свойством навигации owners в целевом приложении или ресурсе субъект-службы.Ownership is indicated by the owners navigation property on the target application or service principal resource.

Примечание: использование разрешения Application.ReadWrite.OwnedBy для вызова команды GET /applications с целью составления списка приложений приводит к ошибке 403.NOTE: Using the Application.ReadWrite.OwnedBy permission to call GET /applications to list applications will fail with a 403. Вместо этого используйте команду GET servicePrincipals/{id}/ownedObjects, чтобы составить список приложений, которыми владеет вызывающее приложение.Instead use GET servicePrincipals/{id}/ownedObjects to list the applications owned by the calling application.

Примеры использованияExample usage

ДелегированныеDelegated

Нет.None.

ПриложениеApplication

  • Application.ReadWrite.All. Составление списка всех приложений (GET /beta/applications)Application.ReadWrite.All: List all applications (GET /beta/applications)
  • Application.ReadWrite.All. Удаление субъект-службы (DELETE /beta/servicePrincipals/{id})Application.ReadWrite.All: Delete a service principal (DELETE /beta/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy. Создание приложения (POST /beta/applications)Application.ReadWrite.OwnedBy: Create an application (POST /beta/applications)
  • Application.ReadWrite.OwnedBy. Составление списка всех приложений, принадлежащих вызывающему приложению (GET /beta/servicePrincipals/{id}/ownedObjects)Application.ReadWrite.OwnedBy: List all applications owned by the the calling application (GET /beta/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy. Добавление другого владельца приложения (POST /applications/{id}/owners/$ref).Application.ReadWrite.OwnedBy: Add another owner to an owned application (POST /applications/{id}/owners/$ref).

Примечание: могут потребоваться дополнительные разрешения.NOTE: This may require additional permissions.


Разрешения BookingsBookings permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Bookings.Read.AllBookings.Read.All Позволяет приложению считывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings от имени вошедшего пользователя.Allows an app to read Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Предназначено для программ, выполняющих только чтение.Intended for read-only applications. Типичный целевой пользователь — клиент компании по бронированию.Typical target user is the customer of a booking business. НетNo НетNo
Bookings.ReadWrite.AppointmentsBookings.ReadWrite.Appointments Позволяет приложению считывать и записывать встречи и клиентов Bookings, а также считывать сведения о компаниях, службах и персонале от имени вошедшего пользователя.Allows an app to read and write Bookings appointments and customers, and additionally allows reading businesses, services, and staff on behalf of the signed-in user. Предназначено для программ планирования, которым необходимо выполнять операции со встречами и клиентами.Intended for scheduling applications which need to manipulate appointments and customers. Не предусмотрена возможность менять основную информацию о компании по бронированию, ее услугах и персонале.Cannot change fundamental information about the booking business, nor its services and staff members. Типичный целевой пользователь — клиент компании по бронированию.Typical target user is the customer of a booking business. НетNo НетNo
Bookings.ReadWrite.AllBookings.ReadWrite.All Позволяет приложению считывать и записывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings от имени вошедшего пользователя.Allows an app to read and write Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Не позволяют создавать, удалять или публиковать компании Bookings.Does not allow create, delete, or publish of Bookings businesses. Предназначено для приложений управления, которые выполняют операции с существующими компаниями, их службами и персоналом.Intended for management applications that manipulate existing businesses, their services and staff members. Не предусмотрена возможность создавать, удалять или изменять состояние публикации компании по бронированию.Cannot create, delete, or change the publishing status of a booking business. Типичный целевой пользователь — сотрудник службы поддержки в организации.Typical target user is the support staff of an organization. НетNo НетNo
Bookings.ManageBookings.Manage Позволяет приложению считывать и записывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings, а также управлять такими сведениями от имени вошедшего пользователя.Allows an app to read, write, and manage Bookings appointments, businesses, customers, services, and staff on behalf of the signed-in user. Предоставляет приложению полный доступ.Allows the app to have full access.
Предназначается для полного управления.Intended for a full management experience. Типичный целевой пользователь — администратор организации.Typical target user is the administrator of an organization.
НетNo НетNo

Разрешения приложенийApplication permissions

Нет.None.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Bookings.Read.All: получение идентификатора и имен коллекции компаний Bookings, созданной для клиента (GET /bookingBusinesses).Bookings.Read.All: Get the ID and names of the collection of Bookings businesses that has been created for a tenant (GET /bookingBusinesses).
  • Bookings.ReadWrite.Appointments: создание встречи для службы в компании Bookings (POST /bookingBusinesses/{id}/appointments).Bookings.ReadWrite.Appointments: Create an appointment for a service at a Bookings business (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: создание новой службы для указанной компании Bookings (POST /bookingBusinesses/{id}/services).Bookings.ReadWrite.All: Create a new service for the specified Bookings business (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage: создание страницы расписания данной компании, доступной внешним клиентам (POST /bookingBusinesses/{id}/publish).Bookings.Manage: Make the scheduling page of this business available to external customers (POST /bookingBusinesses/{id}/publish).

Разрешения для календарейCalendars permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Calendars.ReadCalendars.Read Чтение пользовательских календарейRead user calendars Позволяет приложению считывать события в пользовательских календарях.Allows the app to read events in user calendars. НетNo ДаYes
Calendars.Read.SharedCalendars.Read.Shared Чтение пользовательских и общих календарейRead user and shared calendars  Позволяет приложению считывать события во всех календарях, доступных пользователю, в том числе делегированных и общих.Allows the app to read events in all calendars that the user can access, including delegate and shared calendars.  НетNo НетNo
Calendars.ReadWriteCalendars.ReadWrite Полный доступ к пользовательским календарямHave full access to user calendars Позволяет приложению создавать, считывать, обновлять и удалять события в пользовательских календарях.Allows the app to create, read, update, and delete events in user calendars. НетNo ДаYes
Calendars.ReadWrite.SharedCalendars.ReadWrite.Shared Чтение и запись пользовательских и общих календарейRead and write user and shared calendars  Позволяет приложению создавать, читать, обновлять и удалять события во всех календарях, доступных пользователю, в том числе делегированных и общих календарях.Allows the app to create, read, update and delete events in all calendars the user has permissions to access. This includes delegate and shared calendars. НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Calendars.ReadCalendars.Read Чтение календарей во всех почтовых ящикахRead calendars in all mailboxes Позволяет приложению считывать события во всех календарях в случаях, когда вход пользователя не предусмотрен.Allows the app to read events of all calendars without a signed-in user. ДаYes
Calendars.ReadWriteCalendars.ReadWrite Чтение и запись календарей во всех почтовых ящикахRead and write calendars in all mailboxes Позволяет приложению создавать, считывать, обновлять и удалять события во всех календарях в случаях, когда вход пользователя не предусмотрен.Allows the app to create, read, update, and delete events of all calendars without a signed-in user. ДаYes

Важно! Администраторы могут настроить политику доступа приложения, чтобы разрешить приложению доступ к определенным почтовым ящикам, а не ко всем почтовым ящикам в организации, даже если ему предоставлены разрешения приложений Calendars.Read или Calendars.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Calendars.Read or Calendars.ReadWrite.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Calendars.Read. Получение событий пользовательского календаря, произошедших с 23 апреля 2017 г. до 29 апреля 2017 г. (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).Calendars.Read: Get events on the user's calendar between April 23, 2017 and April 29, 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: поиск периодов, когда свободны все участники (POST /users/{id|userPrincipalName}/findMeetingTimes).Calendars.Read.Shared: Find meeting times where all attendees are available (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite. Добавление события в календарь пользователя (POST /me/events).Calendars.ReadWrite: Add an event to the user's calendar (POST /me/events).

Для приложенийApplication

  • Calendars.Read. Поиск событий, организованных пользователем bob@contoso.com, в календаре конференц-зала (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').Calendars.Read: Find events in a conference room's calendar organized by bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: список всех событий в календаре пользователя за май (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00).Calendars.Read: List all events on a user's calendar for the month of May (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite. Добавление в пользовательский календарь события для утвержденного нерабочего времени (POST /users/{id | userPrincipalName}/events).Calendars.ReadWrite: Add an event to a user's calendar for approved time off (POST /users/{id | userPrincipalName}/events).
  • Calendars.Send: отправка сообщения (POST /users/{id | userPrincipalName}/sendCalendars).Calendars.Send: Send a message (POST /users/{id | userPrincipalName}/sendCalendars).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.

Разрешения звонковCalls permissions

Делегированные разрешенияDelegated permissions

Нет.None.


Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Calls.Initiate.AllCalls.Initiate.All Запуск исходящих звонков 1:1 из приложения (предварительная версия)Initiate outgoing 1:1 calls from the app (preview) Позволяет приложению совершать исходящие звонки одному пользователю и передавать звонки пользователям из каталога вашей организации без необходимости входа пользователя.Allows the app to place outbound calls to a single user and transfer calls to users in your organization’s directory, without a signed-in user. ДаYes
Calls.InitiateGroupCall.AllCalls.InitiateGroupCall.All Запуск исходящих групповых звонков из приложения (предварительная версия)Initiate outgoing group calls from the app (preview) Позволяет приложению совершать исходящие звонки нескольким пользователям и добавлять участников в собрания в организации без необходимости входа пользователя.Allows the app to place outbound calls to multiple users and add participants to meetings in your organization, without a signed-in user. ДаYes
Calls.JoinGroupCall.AllCalls.JoinGroupCall.All Присоединение к групповым звонкам и собраниям в качестве приложения (предварительная версия)Join Group Calls and Meetings as an app (preview) Позволяет приложению присоединяться к групповым звонкам и запланированным собраниям в организации без необходимости входа пользователя.Allows the app to join group calls and scheduled meetings in your organization, without a signed-in user. Приложение присоединится к собраниям в клиенте с уровнем привилегий пользователя каталога.The app will be joined with the privileges of a directory user to meetings in your tenant. ДаYes
Calls.JoinGroupCallasGuest.AllCalls.JoinGroupCallasGuest.All Присоединение к групповым звонкам и собраниям в качестве гостя (предварительная версия)Join Group Calls and Meetings as a guest (preview) Позволяет приложению анонимно присоединяться к групповым звонкам и запланированным собраниям в организации без необходимости входа пользователя.Allows the app to anonymously join group calls and scheduled meetings in your organization, without a signed-in user. Приложение присоединится к собраниям в клиенте в качестве гостя.The app will be joined as a guest to meetings in your tenant. ДаYes
Calls.AccessMedia.All*Calls.AccessMedia.All* Доступ к потокам мультимедиа в ходе звонка в качестве приложения (предварительная версия)Access media streams in a call as an app (preview) Позволяет приложению получить прямой доступ к потокам мультимедиа в ходе звонка без необходимости входа пользователя.Allows the app to get direct access to media streams in a call, without a signed-in user. ДаYes

*Важно! Вы не можете использовать API Microsoft.Graph.Calls.Media для записи. В противном случае сохраняется мультимедийное содержимое звонков или собраний, к которым получает доступ ваш бот.*Important: You may not use the Microsoft.Graph.Calls.Media API to record or otherwise persist media content from calls or meetings that your bot accesses.


Примеры использованияExample usage

ПриложениеApplication

  • Calls.Initiate.All. Совершение однорангового звонка из приложения пользователю в организации (POST /beta/app/calls).Calls.Initiate.All: Make a peer-to-peer call from the application to a user in the organization (POST /beta/app/calls).
  • Calls.InitiateGroupCall.All. Совершение группового звонка из приложения группе пользователей в организации (POST /beta/app/calls).Calls.InitiateGroupCall.All: Make a group call from the application to a group of users in the organization (POST /beta/app/calls).
  • Calls.JoinGroupCall.All. Присоединение к групповому звонку или собранию по сети из приложения (POST /beta/app/calls).Calls.JoinGroupCall.All: Join a group call or online meeting from the application (POST /beta/app/calls).
  • Calls.JoinGroupCallasGuest.All. Присоединение к групповому звонку или собранию по сети из приложения, но у приложения есть только гостевые разрешения в собрании (POST /beta/app/calls).Calls.JoinGroupCallasGuest.All: Join a group call or online meeting from the application, but the application only has guest privileges in the meeting (POST /beta/app/calls).
  • Calls.AccessMedia.All. Создание звонка или присоединение к нему с получением приложением прямого доступа к потокам мультимедиа участников звонка (POST /beta/app/calls).Calls.AccessMedia.All: Create or Join a call and the app gets direct access to participant media streams in the call (POST /beta/app/calls).

Примечание. Примеры запросов см. в статье Создание звонка.Note: For request examples, see to Create call.

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.

Разрешения ChannelMessageChannelMessage permissions

Делегированные разрешенияDelegated permissions

Нет.None.

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
ChannelMessage.Read.AllChannelMessage.Read.All Чтение всех сообщений в каналахRead all chat messages  Позволяет приложению считывать все сообщения канала в Microsoft Teams без необходимости входа пользователя.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. ДаYes НетNo
ChannelMessage.UpdatePolicyViolation.AllChannelMessage.UpdatePolicyViolation.All Пометка сообщений канала за нарушение политикиFlag channel messages for violating policy Позволяет приложению обновлять сообщения канала Microsoft Teams путем добавления набора параметров нарушения политики защиты от потери данных (DLP) для обработки результатов работы DLP.Allows the app to update Microsoft Teams channel messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. ДаYes НетNo

Примечание. Дополнительно см. разрешение Group.Read.All.Note: See also Group.Read.All.

Разрешения чатовChats permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Chat.ReadChat.Read Чтение ваших сообщений чатаRead your chat messages  Позволяет приложению считывать ваши сообщения индивидуального или группового чата в Microsoft Teams от вашего имени.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. НетNo НетNo
Chat.ReadWriteChat.ReadWrite Чтение ваших сообщений чата и отправка новыхRead your chat messages and send new ones  Позволяет приложению считывать и отправлять сообщения индивидуального или группового чата в Microsoft Teams от вашего имени.Allows an app to read your 1:1 or group chat messages in Microsoft Teams, on your behalf. НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Chat.Read.AllChat.Read.All Чтение всех сообщений чатаRead all chat messages  Позволяет приложению считывать все сообщения индивидуального или группового чата в Microsoft Teams без необходимости входа пользователя.Allows the app to read all 1:1 or group chat messages in Microsoft Teams, without a signed-in user. ДаYes НетNo
Chat.UpdatePolicyViolation.AllChat.UpdatePolicyViolation.All Пометка сообщений чата за нарушение политикиFlag chat messages for violating policy Позволяет приложению обновлять сообщения индивидуального или группового чата Microsoft Teams путем добавления набора параметров нарушения политики защиты от потери данных (DLP) для обработки результатов работы DLP.Allows the app to update Microsoft Teams 1:1 or group chat messages by patching a set of Data Loss Prevention (DLP) policy violation properties to handle the output of DLP processing. ДаYes НетNo

Примечание. В отношении сообщений в канале см. раздел Разрешения ChannelMessage.Note: For messages in a channel, see Group.Read.All.

Разрешения для контактовContacts permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Contacts.ReadContacts.Read Чтение контактов пользователяRead user contacts  Позволяет приложению считывать контакты пользователя.Allows the app to read user contacts. НетNo ДаYes
Contacts.Read.SharedContacts.Read.Shared Чтение контактов пользователя и общих контактовRead user and shared contacts Позволяет приложению считывать контакты, доступные пользователю, в том числе собственные контакты пользователя и общие контакты.Allows the app to read contacts that the user has permissions to access, including the user's own and shared contacts.  НетNo НетNo
Contacts.ReadWriteContacts.ReadWrite Полный доступ к контактам пользователяHave full access to user contacts Позволяет приложению создавать, считывать, обновлять и удалять контакты пользователя.Allows the app to create, read, update, and delete user contacts. НетNo ДаYes
Contacts.ReadWrite.SharedContacts.ReadWrite.Shared Чтение и запись контактов пользователя и общих контактовRead and write user and shared contacts Позволяет приложению создавать, считывать, обновлять и удалять контакты, доступные пользователю, в том числе собственные контакты пользователя и общие контакты.Allows the app to create, read, update and delete contacts that the user has permissions to, including the user's own and shared contacts. НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Contacts.ReadContacts.Read Чтение контактов во всех почтовых ящикахRead contacts in all mailboxes  Позволяет приложению считывать все контакты во всех почтовых ящиках в случаях, когда вход пользователя не предусмотрен.Allows the app to read all contacts in all mailboxes without a signed-in user.  ДаYes
Contacts.ReadWriteContacts.ReadWrite Чтение и запись контактов во всех почтовых ящикахRead and write contacts in all mailboxes Позволяет приложению создавать, считывать, обновлять и удалять все контакты во всех почтовых ящиках в случаях, когда вход пользователя не предусмотрен.Allows the app to create, read, update, and delete all contacts in all mailboxes without a signed-in user. ДаYes

Важно! Администраторы могут настроить политику доступа приложения, чтобы разрешить приложению доступ к определенным почтовым ящикам, а не ко всем почтовым ящикам в организации, даже если ему предоставлены разрешения приложений Contacts.Read или Contacts.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not all the mailboxes in the organization, even if the app has been granted the application permissions of Contacts.Read or Contacts.ReadWrite.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Contacts.Read. Чтение контакта в одной из папок контактов верхнего уровня для вошедшего пользователя (GET /me/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read a contact from one of the top-level contact folders of the signed-in user (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite. Обновление фотографии одного из контактов вошедшего пользователя (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the contact photo of one of the signed-in user's contacts (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite. Добавление контактов в корневую папку вошедшего пользователя (POST /me/contacts).Contacts.ReadWrite: Add contacts to the root folder of the signed-in user (POST /me/contacts).

Для приложенийApplication

  • Contacts.Read. Чтение контактов в одной из папок контактов верхнего уровня для любого пользователя в организации (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).Contacts.Read: Read contacts from one of the top-level contact folders of any user in the organization (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite. Обновление фотографии любого контакта любого пользователя в организации (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).Contacts.ReadWrite: Update the photo for any contact of any user in an organization (PUT /user/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite. Добавление контактов в корневую папку любого пользователя в организации (POST /users/{id | userPrincipalName}/contacts).Contacts.ReadWrite: Add contacts to the root folder of any user in the organization (POST /users/{id | userPrincipalName}/contacts).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.

Разрешения для устройствDevice permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Device.ReadDevice.Read Считывание списка устройств пользователяRead user devices Позволяет приложению считывать список устройств пользователя от имени выполнившего вход пользователя.Allows the app to read a user's list of devices on behalf of the signed-in user. НетNo ДаYes
Device.CommandDevice.Command Обмен данными с устройствами пользователейCommunicate with user devices Позволяет одному приложению запускать другое или обмениваться с ним данными на устройстве пользователя от имени выполнившего вход пользователя.Allows the app to launch another app or communicate with another app on a user's device on behalf of the signed-in user. НетNo ДаYes

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Device.ReadWrite.AllDevice.ReadWrite.All Чтение и запись устройствRead and write devices Позволяет приложению считывать и записывать все свойства устройств, когда вход пользователя не выполнен. Не позволяет создавать, удалять и обновлять альтернативные идентификаторы безопасности устройств.Allows the app to read and write all device properties without a signed in user. Does not allow device creation, device deletion, or update of device alternative security identifiers. ДаYes

Примеры использованияExample usage

Для приложенийApplication

  • Device.ReadWrite.All. Чтение всех зарегистрированных устройств в организации (GET /devices).Device.ReadWrite.All: Read all registered devices in the organization (GET /devices).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для каталоговDirectory permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Directory.Read.AllDirectory.Read.All Чтение данных каталогаRead directory data Позволяет приложению читать данные в каталоге вашей организации, такие как сведения о пользователях, группах и приложениях.Allows the app to read data in your organization's directory, such as users, groups and apps. Примечание. Пользователи могут предоставлять это разрешение, если приложение зарегистрировано в клиенте организации.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant. ДаYes НетNo
Directory.ReadWrite.AllDirectory.ReadWrite.All Чтение и запись данных каталогаRead and write directory data Позволяет приложению считывать и записывать данные в каталоге вашей организации, такие как пользователи и группы. Не позволяет приложению удалять пользователей и группы или сбрасывать пароли пользователей.Allows the app to read and write data in your organization's directory, such as users, and groups. It does not allow the app to delete users or groups, or reset user passwords. ДаYes НетNo
Directory.AccessAsUser.AllDirectory.AccessAsUser.All Доступ к каталогу, аналогичный доступу вошедшего пользователяAccess directory as the signed-in user Предоставляет приложению такой же доступ к информации в каталоге, как у вошедшего пользователя.Allows the app to have the same access to information in the directory as the signed-in user. ДаYes НетNo
PrivilegedAccess.ReadWrite.AzureADPrivilegedAccess.ReadWrite.AzureAD Чтение и запись данных управления привилегированными пользователями для каталогаRead and write Privileged Identity Management data for Directory Позволяет приложению считывать и записывать право доступа к API управления привилегированными пользователями для Azure AD.Allows the app to have read and write access to Privileged Identity Management APIs for Azure AD. ДаYes НетNo
PrivilegedAccess.ReadWrite.AzureResourcesPrivilegedAccess.ReadWrite.AzureResources Чтение и запись данных управления привилегированными пользователями для ресурсов AzureRead and write Privileged Identity Management data for Azure Resources Позволяет приложению считывать и записывать право доступа к API управления привилегированными пользователями для ресурсов Azure.Allows the app to have read and write access to Privileged Identity Management APIs for Azure resources. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Directory.Read.AllDirectory.Read.All Чтение данных каталогаRead directory data Позволяет приложению считывать данные в каталоге вашей организации, такие как группы, пользователи и приложения, в случаях, когда вход пользователя не предусмотрен.Allows the app to read data in your organization's directory, such as users, groups and apps, without a signed-in user. ДаYes
Directory.ReadWrite.AllDirectory.ReadWrite.All Чтение и запись данных каталогаRead and write directory data Позволяет приложению читать и записывать данные в каталоге вашей организации, например пользователей и группы, без вошедшего пользователя. Не позволяет удалять пользователей или группы.Allows the app to read and write data in your organization's directory, such as users, and groups, without a signed-in user. Does not allow user or group deletion. ДаYes

ПримечанияRemarks

Разрешения для каталогов обеспечивают самый высокий уровень привилегий для доступа к ресурсам каталога в организации, таким как User, Group и Device.Directory permissions provide the highest level of privilege for accessing directory resources such as User, Group, and Device in an organization.

Кроме того, только они управляют доступом к некоторым другим ресурсам каталога, например контактам организации, API расширений схемы, API управления привилегированными пользователями (PIM), а также многим ресурсам и API, указанным в разделе Azure Active Directory справочной документации по API версии 1.0 и бета-версии.They also exclusively control access to other directory resources like: organizational contacts, schema extension APIs, Privileged Identity Management (PIM) APIs, as well as many of the resources and APIs listed under the Azure Active Directory node in the v1.0 and beta API reference documentation. В их число входят административные единицы, роли каталога, параметры каталога, политики и многое другое.These include administrative units, directory roles, directory settings, policy, and many more.

Разрешение Directory.ReadWrite.All предоставляет следующие привилегии:The Directory.ReadWrite.All permission grants the following privileges:

  • полный доступ на чтение всех ресурсов каталога (как объявленных свойств, так и свойств навигации);Full read of all directory resources (both declared properties and navigation properties)
  • создание и обновление пользователей;Create and update users
  • отключение и включение пользователей (кроме администратора компании);Disable and enable users (but not company administrator)
  • установка альтернативного идентификатора безопасности пользователей (кроме администраторов);Set user alternative security id (but not administrators)
  • создание и обновление групп;Create and update groups
  • управление членством в группах;Manage group memberships
  • обновление владельца группы;Update group owner
  • управление назначениями лицензий;Manage license assignments
  • определение расширений схемы для приложений.Define schema extensions on applications

Примечание.Note:

  • Права на сброс паролей пользователей не предоставляются.No rights to reset user passwords
  • Обновление свойств businessPhones, mobilePhone или otherMails других пользователей разрешается только для пользователей, не являющихся администраторами, или для пользователей, которым назначена одна из следующих ролей: читатель каталога, приглашающий гостей, читатель Центра сообщений или читатель отчетов.Updating another user's businessPhones, mobilePhone, or otherMails property is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Дополнительные сведения см. в разделе "Администратор службы поддержки (паролей)" среди доступных ролей Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles. Это относится к приложениям с предоставленными разрешениями User.ReadWrite.All или Directory.ReadWrite.All (делегированными или для приложений).This is the case for apps granted either the User.ReadWrite.All or Directory.ReadWrite.All delegated or application permissions.
  • Права на удаление ресурсов (в том числе пользователей и групп) не предоставляются.No rights to delete resources (including users or groups)
  • В частности, исключаются создание и обновление ресурсов, не указанных выше.Specifically excludes create or update for resources not listed above. К ним относятся application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains и другие.This includes: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains, and so on.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Directory.Read.All. Перечисление всех административных единиц в организации (GET /beta/administrativeUnits).Directory.Read.All: List all administrative units in an organization (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All. Добавление членов роли каталога (POST /directoryRoles/{id}/members/$ref).Directory.ReadWrite.All: Add members to a directory role (POST /directoryRoles/{id}/members/$ref)

Для приложенийApplication

  • Directory.Read.All. Перечисление всех объектов, членом которых является пользователь, включая роли каталога и административные единицы (GET /beta/users/{id}/memberOf).Directory.Read.All: List all memberships of a user, including directory roles and administrative units (GET /beta/users/{id}/memberOf)
  • Directory.Read.All. Перечисление всех членов группы, включая субъекты-службы (GET /beta/groups/{id}/members).Directory.Read.All: List all group members, including service principals (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All. Добавление владельца группы (POST /groups/{id}/owners/$ref).Directory.ReadWrite.All: Add an owner to a group (POST /groups/{id}/owners/$ref)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для образованияEducation permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
EduAdministration.ReadEduAdministration.Read Чтение настроек обучающего приложенияRead education app settings Разрешает приложению читать настройки обучающего приложения от имени пользователя.Allows the app to read education app settings on behalf of the user. ДаYes НетNo
EduAdministration.ReadWriteEduAdministration.ReadWrite Управление настройками обучающего приложенияManage education app settings Позволяет приложению управлять настройками обучающего приложения от имени пользователя.Allows the app to manage education app settings on behalf of the user. ДаYes НетNo
EduAssignments.ReadBasicEduAssignments.ReadBasic Чтение заданий для курсов пользователей без оценокRead users' class assignments without grades Позволяет приложению считывать задания без оценок от имени пользователяAllows the app to read assignments without grades on behalf of the user ДаYes НетNo
EduAssignments.ReadWriteBasicEduAssignments.ReadWriteBasic Чтение и запись заданий для курсов пользователей без оценокRead and write users' class assignments without grades Позволяет приложению считывать и записывать задания без оценок от имени пользователяAllows the app to read and write assignments without grades on behalf of the user ДаYes НетNo
EduAssignments.ReadEduAssignments.Read Чтение представления заданий для курсов пользователей и соответствующих оценокRead users' view of class assignments and their grades Позволяет приложению считывать задания с оценками от имени пользователяAllows the app to read assignments and their grades on behalf of the user ДаYes НетNo
EduAssignments.ReadWriteEduAssignments.ReadWrite Чтение и запись представления заданий для курсов пользователей и соответствующих оценокRead and write users' view of class assignments and their grades Позволяет приложению считывать и записывать задания с оценками от имени пользователяAllows the app to read and write assignments and their grades on behalf of the user ДаYes НетNo
EduRostering.ReadBasicEduRostering.ReadBasic Чтение части представления списка пользователейRead a limited subset of users' view of the roster Позволяет приложению считывать часть данных из структуры учебных заведений и курсов в составе организации, а также педагогическую информацию о пользователях от имени пользователя.Allows the app to read a limited subset of the data from the structure of schools and classes in an organization's roster and education-specific information about users to be read on behalf of the user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Требуется ли согласие администратораAdmin Consent Required
EduAssignments.ReadBasic.AllEduAssignments.ReadBasic.All Чтение заданий для курса без оценокRead class assignments without grades Позволяет приложению считывать задания без оценок для всех пользователейAllows the app to read assignments without grades for all users ДаYes
EduAssignments.ReadWriteBasic.AllEduAssignments.ReadWriteBasic.All Чтение и запись заданий для курса без оценокRead and write class assignments without grades Позволяет приложению считывать и записывать задания без оценок для всех пользователейAllows the app to read and write assignments without grades for all users ДаYes
EduAssignments.Read.AllEduAssignments.Read.All Чтение заданий для курса с оценкамиRead class assignments with grades Позволяет приложению считывать задания и соответствующие оценки для всех пользователейAllows the app to read assignments and their grades for all users ДаYes
EduAssignments.ReadWrite.AllEduAssignments.ReadWrite.All Чтение и запись учебных заданий с оценкамиRead and write class assignments with grades Позволяет приложению считывать и записывать задания и соответствующие оценки для всех пользователейAllows the app to read and write assignments and their grades for all users ДаYes
EduRostering.ReadBasic.AllEduRostering.ReadBasic.All Считывание части состава организации.Read a limited subset of the organization's roster. Позволяет приложению считывать часть структуры учебных заведений и курсов в составе организации, а также педагогическую информацию обо всех пользователях.Allows the app to read a limited subset of both the structure of schools and classes in an organization's roster and education-specific information about all users. ДаYes
EduRostering.Read.AllEduRostering.Read.All Чтение состава организации.Read the organization's roster. Позволяет приложению считывать структуру учебных заведений и курсов в составе организации, а также педагогическую информацию обо всех пользователях.Allows the app to read the structure of schools and classes in the organization's roster and education-specific information about all users to be read. ДаYes
EduRostering.ReadWrite.AllEduRostering.ReadWrite.All Чтение и запись состава организации.Read and write the organization's roster. Позволяет приложению считывать и записывать структуру учебных заведений и курсов в составе организации, а также педагогическую информацию обо всех пользователях.Allows the app to read and write the structure of schools and classes in the organization's roster and education-specific information about all users to be read and written. ДаYes

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • EduAssignments.Read: получение сведений о заданиях вошедшего учащегося (GET /education/classes/{id}/assignments/{id})EduAssignments.Read: Get the signed-in student's assignment information (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: отправка задания вошедшего учащегося (GET /education/classes/{id}/assignments/{id}submit)EduAssignments.ReadWriteBasic: Submit signed-in student assignment (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: курсы, которые посещает или проводит вошедший пользователь (GET /education/classes/{id}/members)EduRoster.ReadBasic: Classes a signed-in user attends or teaches (GET /education/classes/{id}/members)

Более сложные сценарии с использованием нескольких разрешенийFor more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для файловFiles permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Files.ReadFiles.Read Чтение файлов пользователейRead user files Позволяет приложению считывать файлы вошедшего пользователя.Allows the app to read the signed-in user's files. НетNo ДаYes
Files.Read.AllFiles.Read.All Чтение всех файлов, доступных пользователюRead all files that user can access Позволяет приложению считывать все файлы, доступные вошедшему пользователю.Allows the app to read all files the signed-in user can access. НетNo ДаYes
Files.ReadWriteFiles.ReadWrite Полный доступ к файлам пользователяHave full access to user files Позволяет приложению считывать, создавать, обновлять и удалять файлы вошедшего пользователя.Allows the app to read, create, update, and delete the signed-in user's files. НетNo ДаYes
Files.ReadWrite.AllFiles.ReadWrite.All Полный доступ ко всем файлам, доступным пользователюHave full access to all files user can access Позволяет приложению считывать, создавать, обновлять и удалять все файлы, доступные вошедшему пользователю.Allows the app to read, create, update, and delete all files the signed-in user can access. НетNo ДаYes
Files.ReadWrite.AppFolderFiles.ReadWrite.AppFolder Полный доступ к папке приложения (предварительная версия)Have full access to the application's folder (preview) Позволяет приложению считывать, создавать, обновлять и удалять файлы в папке приложения (предварительная версия).(Preview) Allows the app to read, create, update, and delete files in the application's folder. НетNo НетNo
Files.Read.SelectedFiles.Read.Selected Чтение файлов, выбранных пользователемRead files that the user selects Ограниченная поддержка в Microsoft Graph (см. замечания)Limited support in Microsoft Graph; see Remarks
Позволяет приложению считывать файлы, которые выбирает пользователь (предварительная версия). После того как пользователь выберет файл, приложение имеет доступ в течение нескольких часов.(Preview) Allows the app to read files that the user selects. The app has access for several hours after the user selects a file.
НетNo НетNo
Files.ReadWrite.SelectedFiles.ReadWrite.Selected Чтение и запись файлов, выбранных пользователемRead and write files that the user selects Ограниченная поддержка в Microsoft Graph (см. замечания)Limited support in Microsoft Graph; see Remarks
Позволяет приложению считывать и записывать файлы, которые выбирает пользователь (предварительная версия). После того как пользователь выберет файл, приложение имеет доступ в течение нескольких часов.(Preview) Allows the app to read and write files that the user selects. The app has access for several hours after the user selects a file.
НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Files.Read.AllFiles.Read.All Чтение файлов во всех семействах веб-сайтовRead files in all site collections Позволяет приложению считывать все файлы во всех семействах веб-сайтов без пользователя, выполнившего вход в систему.Allows the app to read all files in all site collections without a signed in user. ДаYes
Files.ReadWrite.AllFiles.ReadWrite.All Чтение и запись файлов во всех семействах веб-сайтовRead and write files in all site collections Позволяет приложению читать, создавать, изменять и удалять все файлы во всех семействах веб-сайтов без пользователя, выполнившего вход в систему.Allows the app to read, create, update, and delete all files in all site collections without a signed in user. ДаYes

ПримечанияRemarks

Примечание. В личных учетных записях разрешения Files.Read и Files.ReadWrite также предоставляют доступ к файлам, которыми поделились с вошедшим пользователем другие люди.Note: For personal accounts, Files.Read and Files.ReadWrite also grant access to files shared with the signed-in user.

Делегированные разрешения Files.Read.Selected и Files.ReadWrite.Selected действительны только в рабочих и учебных учетных записях и доступны для работы только с обработчиками файлов Office 365 (версия 1.0). Они не должны использоваться для непосредственного вызова API Microsoft Graph.The Files.Read.Selected and Files.ReadWrite.Selected delegated permissions are only valid on work or school accounts and are only exposed for working with Office 365 file handlers (v1.0). They should not be used for directly calling Microsoft Graph APIs.

Делегированное разрешение Files.ReadWrite.AppFolder действует только в личных учетных записях и используется для доступа к специальной папке App Root с помощью API Microsoft Graph для OneDrive (получение специальной папки).The Files.ReadWrite.AppFolder delegated permission is only valid for personal accounts and is used for accessing the App Root special folder with the OneDrive Get special folder Microsoft Graph API.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Files.Read. Чтение файлов в OneDrive вошедшего пользователя (GET /me/drive/root/children).Files.Read: Read files stored in the signed-in user's OneDrive (GET /me/drive/root/children)
  • Files.Read.All. Чтение файлов, доступ к которым предоставлен вошедшему пользователю (GET /me/drive/root/sharedWithMe).Files.Read.All: Read files shared with the signed-in user (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite. Запись файла в OneDrive вошедшего пользователя (PUT /me/drive/root/children/filename.txt/content).Files.ReadWrite: Write a file in the signed-in user's OneDrive (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All. Запись файла, доступ к которому предоставлен пользователю (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content).Files.ReadWrite.All: Write a file shared with the user (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder. Запись файлов в папку приложения в OneDrive (PUT /me/drive/special/approot/children/file.txt/content).Files.ReadWrite.AppFolder: Write files into the app's folder in OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения финансовых показателейFinancials permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Financials.ReadWrite.AllFinancials.ReadWrite.All Чтение и запись финансовых данныхRead and write financials data Позволяет приложению считывать и записывать финансовые данные от имени выполнившего вход пользователя.Allows the app to read and write financials data on behalf of the signed-in user НетNo

Разрешения группGroup permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Group.Read.AllGroup.Read.All Чтение всех группRead all groups Приложение сможет выводить список групп, а также просматривать их свойства и все данные о членстве в группах от имени вошедшего пользователя. Оно также сможет просматривать календарь, беседы, файлы и другое содержимое всех групп, к которым у вошедшего пользователя есть доступ.Allows the app to list groups, and to read their properties and all group memberships on behalf of the signed-in user. Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. ДаYes НетNo
Group.ReadWrite.AllGroup.ReadWrite.All Чтение и запись всех группRead and write all groups Приложение сможет создавать группы, а также просматривать все их свойства и данные о членстве от имени вошедшего пользователя.Allows the app to create groups and read all group properties and memberships on behalf of the signed-in user. Оно также сможет просматривать и создавать календарь, беседы, файлы и другое содержимое всех групп, к которым у вошедшего пользователя есть доступ.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. Кроме того, владельцы групп смогут управлять своими группами, а участники групп — обновлять содержимое групп.Additionally allows group owners to manage their groups and allows group members to update group content. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Group.Read.AllGroup.Read.All Чтение всех группRead all groups Позволяет приложению считывать сведения о членстве во всех группах без необходимости входа пользователя.Allows the app to read memberships for all groups without a signed-in user. Оно также сможет просматривать календарь, беседы, файлы и другое содержимое всех групп.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. > Примечание. Не все API групп поддерживают доступ к разрешениям только для приложений. > NOTE: that not all group API supports access using app-only permissions. Примеры см. в разделе Известные проблемы.See known issues for examples. ДаYes
Group.ReadWrite.AllGroup.ReadWrite.All Чтение и запись всех группRead and write all groups Позволяет приложению создавать группы, читать и обновлять сведения о членстве в группах, а также удалять группы.Allows the app to create groups, read and update group memberships, and delete groups. Оно также сможет просматривать и создавать календарь, беседы, файлы и другое содержимое всех групп.Also allows the app to read calendar, conversations, files, and other group content for all groups the signed-in user can access. Приложение может выполнять все эти операции без необходимости входа пользователя.All of these operations can be performed by the app without a signed-in user. > Примечание. Не все API групп поддерживают доступ к разрешениям только для приложений. > NOTE: that not all group API supports access using app-only permissions. Примеры см. в разделе Известные проблемы.See known issues for examples. ДаYes

ЗаметкиRemarks

Функции для работы с группами не поддерживаются для личных учетных записей Майкрософт.Group functionality is not supported on personal Microsoft accounts.

Разрешения группы предоставляют приложению доступ к содержимому группы Office 365, например беседам, файлам и заметкам.For Office 365 groups, Group permissions grant the app access to the contents of the group; for example, conversations, files, notes, and so on.

Для разрешений приложения действуют некоторые ограничения на поддерживаемые API. Дополнительные сведения см. в статье, посвященной известным проблемам.For application permissions, there are some limitations for the APIs that are supported. For more information, see known issues.

В некоторых случаях, чтобы приложение могло считывать некоторые свойства группы, такие как member и memberOf, требуются разрешения для каталогов. Например, если среди членов группы есть один или несколько объектов servicePrincipal, то приложению потребуются действующие разрешения на чтение субъектов-служб, предоставленные с помощью разрешений Directory.*. В противном случае Microsoft Graph возвращает ошибку. (В случае делегированных разрешений вошедшему пользователю также необходимы права на чтение субъектов-служб в организации.) Это относится и к свойству memberOf, которое может возвращать объекты administrativeUnit.In some cases, an app may need Directory permissions to read some group properties like member and memberOf. For example, if a group has a one or more servicePrincipals as members, the app will need effective permissions to read service principals through being granted one of the Directory.* permissions, otherwise Microsoft Graph will return an error. (In the case of delegated permissions, the signed-in user will also need sufficient privileges in the organization to read service principals.) The same guidance applies for the memberOf property, which can return administrativeUnits.

Разрешения группы позволяют управлять доступом к API и ресурсам Microsoft Teams.Group permissions are used to control access to Microsoft Teams resources and APIs. Личные учетные записи Майкрософт не поддерживаются.Personal Microsoft accounts are not supported.

Разрешения группы также позволяют управлять доступом к API и ресурсам Планировщика (Майкрософт). Для API Планировщика (Майкрософт) поддерживаются только делегированные разрешения. Разрешения приложения не поддерживаются. Личные учетные записи Майкрософт не поддерживаются.Group permissions are also used to control access to Microsoft Planner resources and APIs. Only delegated permissions are supported for Microsoft Planner APIs; application permissions are not supported. Personal Microsoft accounts are not supported.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Group.Read.All. Чтение всех групп Office 365, в которых состоит вошедший пользователь (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).Group.Read.All: Read all Office 365 groups that the signed-in user is a member of (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All. Чтение всего содержимого групп Office 365, например бесед (GET /groups/{id}/conversations).Group.Read.All: Read all Office 365 group content like conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All. Обновление свойств группы, например фотографий (PUT /groups/{id}/photo/$value).Group.ReadWrite.All: Update group properties, like photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All. Обновление участников группы (POST /groups/{id}/members/$ref).Group.ReadWrite.All: Update group members (POST /groups/{id}/members/$ref).

Примечание. При этом также необходимо разрешение User.ReadBasic.All для чтения пользователя, чтобы добавить его как участника.Note:: This also requires User.ReadBasic.All to read the user to add as a member.

ПриложениеApplication

  • Group.Read.All. Поиск всех групп, имена которых начинаются с "Sales" (GET /groups?$filter=startswith(displayName,'Sales')).Group.Read.All: Find all groups with name that starts with 'Sales' (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All. Управляющая служба создает события в календаре группы Office 365 (POST /groups/{id}/events).Group.ReadWrite.All: Daemon service creates new events on an Office 365 group's calendar (POST /groups/{id}/events).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения поставщика удостоверенийIdentity provider permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
IdentityProvider.Read.AllIdentityProvider.Read.All Чтение сведений о поставщиках удостоверенийRead identity provider information Позволяет приложению читать поставщиков удостоверений, настроенных в Azure AD или клиенте B2C Azure AD, от имени вошедшего пользователя.Allows the app to read identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. ДаYes НетNo
IdentityProvider.ReadWrite.AllIdentityProvider.ReadWrite.All Чтение и запись сведений о поставщиках удостоверенийRead and write identity provider information Позволяет приложению читать или записывать поставщиков удостоверений, настроенных в Azure AD или клиенте B2C Azure AD, от имени вошедшего пользователя.Allows the app to read or write identity providers configured in your Azure AD or Azure AD B2C tenant on behalf of the signed-in user. ДаYes НетNo

ПримечанияRemarks

IdentityProvider.Read.All и IdentityProvider.ReadWrite.All допустимы только для рабочих или учебных учетных записей.IdentityProvider.Read.All and IdentityProvider.ReadWrite.All are valid only for work or school accounts. Чтобы приложение смогло читать или записывать поставщиков удостоверений при наличии делегированных разрешений, у вошедшего пользователя должна быть роль глобального администратора.For an app to read or write identity providers with delegated permissions, the signed-in user must be assigned the Global Administrator role. Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Примеры использованияExample usage

Делегированные разрешенияDelegated

Следующие сценарии поддерживаются для делегированных разрешений:The following usages are valid for both delegated permissions:

  • IdentityProvider.Read.All. Чтение всех поставщиков удостоверений, настроенных в клиенте (GET /beta/identityProviders).IdentityProvider.Read.All: Read all identity providers configured in the tenant (GET /beta/identityProviders)
  • IdentityProvider.Read.All. Чтение существующего поставщика удостоверений (GET /beta/identityProviders/{id}).IdentityProvider.Read.All: Read an existing identity provider (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All. Создание поставщика удостоверений (POST /beta/identityProviders).IdentityProvider.ReadWrite.All Create an identity provider (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All. Обновление существующего поставщика удостоверений (PATCH /beta/identityProviders/{id}).IdentityProvider.ReadWrite.All Update an existing identity provider (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All. Удаление существующего поставщика удостоверений (DELETE /beta/identityProviders/{id}).IdentityProvider.ReadWrite.All Delete an existing identity provider (DELETE /beta/identityProviders/{id})

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения, связанные с событиями риска несанкционированного использования удостоверенийIdentity Risk Event permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Чтение сведений о событиях риска несанкционированного использования удостоверенийRead identity risk event information Позволяет приложению считывать сведения о событиях риска несанкционированного доступа к удостоверениям всех пользователей в организации от имени вошедшего пользователя.Allows the app to read identity risk event information for all users in your organization on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
IdentityRiskEvent.Read.AllIdentityRiskEvent.Read.All Чтение сведений о событиях риска несанкционированного использования удостоверенийRead identity risk event information Позволяет приложению считывать сведения о событиях риска несанкционированного доступа к удостоверениям всех пользователей в организации в случаях, когда вход пользователя не предусмотрен.Allows the app to read identity risk event information for all users in your organization without a signed-in user. ДаYes

ЗаметкиRemarks

Разрешение IdentityRiskEvent.Read.All действительно только для рабочих и учебных учетных записей. Чтобы приложение с делегированными разрешениями могло считывать сведения о риске несанкционированного доступа к удостоверениям, вошедший пользователь должен быть членом одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности" или "Читатель безопасности". Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.IdentityRiskEvent.Read.All is valid only for work or school accounts. For an app with delegated permissions to read identity risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Примеры использованияExample usage

Разрешения приложения и делегированные разрешенияDelegated and Application

Следующие сценарии поддерживаются как для разрешений приложения, так и для делегированных разрешений:The following usages are valid for both delegated and application permissions:

  • считывание всех событий риска, созданных для всех пользователей в клиенте (GET /beta/identityRiskEvents);Read all risk events generated for all users in the tenant (GET /beta/identityRiskEvents)
  • чтение созданных ботнетом Dorknet событий риска, связанных с вредоносными программами (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot');Read malware risk events generated by the Dorknet botnet (GET /beta/malwareRiskEvents?$filter=malwareName eq 'Dorkbot')
  • считывание последних 50 событий риска (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50).Read most recent 50 risk events (GET /beta/identityRiskEvents?$orderBy=riskEventDateTime desc&top=50)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения, касающиеся пользователей со сведениями о риске в удостоверенииIdentity Risky User permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Чтение сведений о риске пользователя в удостоверенииRead identity user risk information Позволяет приложению считывать сведения о риске пользователя в удостоверении для всех пользователей в организации от имени вошедшего пользователя.Allows the app to read identity user risk information for all users in your organization on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
IdentityRiskyUser.Read.AllIdentityRiskyUser.Read.All Чтение сведений о риске пользователя в удостоверенииRead identity user risk information Позволяет приложению считывать сведения о риске пользователя в удостоверении для всех пользователей в организации без необходимости входа пользователя.Allows the app to read identity user risk information for all users in your organization without a signed-in user. ДаYes

ПримечанияRemarks

Разрешение IdentityRiskyUser.Read.All действительно только для рабочих и учебных учетных записей.IdentityRiskyUser.Read.All is valid only for work or school accounts. Чтобы приложение с делегированными разрешениями могло считывать сведения о риске пользователя в удостоверении, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности" или "Читатель безопасности".For an app with delegated permissions to read identity user risk information, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, or Security Reader. Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Примеры использованияExample usage

Разрешения приложения и делегированные разрешенияDelegated and Application

Следующие сценарии поддерживаются как для разрешений приложения, так и для делегированных разрешений:The following usages are valid for both delegated and application permissions:

  • Считывание всех рискованных пользователей и свойств в клиенте (GET /beta/riskyUsers)Read all risky users and properties in the tenant (GET /beta/riskyUsers)
  • Считывание всех рискованных пользователей со средним совокупным уровнем риска (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')Read all risky users whose aggregate risk level is Medium (GET /beta/riskyUsers?$filter=risk/riskLevelAggregated eq microsoft.graph.riskLevel'medium')
  • Считывание сведений о риске для отдельного пользователя (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)Read the risk information for a specific user (GET /beta/riskyUsers/$filter=id eq ‘{userObjectId}’)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для управления устройствами IntuneIntune Device Management permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
DeviceManagementApps.Read.AllDeviceManagementApps.Read.All Считывание для приложений Microsoft IntuneRead Microsoft Intune apps Позволяет приложению считывать сведения о свойствах, назначении группам, состоянии приложений, конфигурации приложений и политиках защиты приложений, управление которыми выполняется с помощью Microsoft Intune.Allows the app to read the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. ДаYes НетNo
DeviceManagementApps.ReadWrite.AllDeviceManagementApps.ReadWrite.All Считывание и запись для приложений Microsoft IntuneRead and write Microsoft Intune apps Позволяет приложению читать и записывать свойства, сведения о назначении группам и состояния приложений, конфигурации и политики защиты приложений под управлением Microsoft Intune.Allows the app to read and write the properties, group assignments and status of apps, app configurations and app protection policies managed by Microsoft Intune. ДаYes НетNo
DeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.Read.All Считывание сведений о конфигурации и политиках для устройств Microsoft IntuneRead Microsoft Intune device configuration and policies Позволяет приложению считывать свойства конфигурации и политики соответствия требованиям для устройств, управление которыми выполняется с помощью Microsoft Intune, а также сведения об их назначении группам.Allows the app to read properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. ДаYes НетNo
DeviceManagementConfiguration.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.All Считывание и запись сведений о конфигурации и политиках для устройств Microsoft IntuneRead and write Microsoft Intune device configuration and policies Позволяет приложению считывать и записывать свойства конфигурации и политики соответствия требованиям для устройств, управление которыми выполняется с помощью Microsoft Intune, а также сведения об их назначении группам.Allows the app to read and write properties of Microsoft Intune-managed device configuration and device compliance policies and their assignment to groups. ДаYes НетNo
DeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.PrivilegedOperations.All Выполнение удаленных действий, влияющих на пользователей, на устройствах Microsoft IntunePerform user-impacting remote actions on Microsoft Intune devices Позволяет приложению выполнять удаленные критичные действия, например очистку устройства или сброс секретного кода на устройствах под управлением Microsoft Intune.Allows the app to perform remote high impact actions such as wiping the device or resetting the passcode on devices managed by Microsoft Intune. ДаYes НетNo
DeviceManagementManagedDevices.Read.AllDeviceManagementManagedDevices.Read.All Считывание данных устройств Microsoft IntuneRead Microsoft Intune devices Позволяет приложению считывать свойства устройств, управление которыми выполняется с помощью Microsoft Intune.Allows the app to read the properties of devices managed by Microsoft Intune. ДаYes НетNo
DeviceManagementManagedDevices.ReadWrite.AllDeviceManagementManagedDevices.ReadWrite.All Считывание и запись данных устройств Microsoft IntuneRead and write Microsoft Intune devices Позволяет приложению читать и записывать свойства устройств под управлением Microsoft Intune. Не позволяет выполнять критичные операции, например удаленную очистку и сброс пароля владельца устройства.Allows the app to read and write the properties of devices managed by Microsoft Intune. Does not allow high impact operations such as remote wipe and password reset on the device’s owner. ДаYes НетNo
DeviceManagementRBAC.Read.AllDeviceManagementRBAC.Read.All Считывание параметров RBAC для Microsoft IntuneRead Microsoft Intune RBAC settings Позволяет приложению считывать свойства, связанные с параметрами управления доступом на основе ролей (RBAC) в Microsoft Intune.Allows the app to read the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. ДаYes НетNo
DeviceManagementRBAC.ReadWrite.AllDeviceManagementRBAC.ReadWrite.All Считывание и запись параметров RBAC для Microsoft IntuneRead and write Microsoft Intune RBAC settings Позволяет приложению считывать и записывать свойства, связанные с параметрами управления доступом на основе ролей (RBAC) в Microsoft Intune.Allows the app to read and write the properties relating to the Microsoft Intune Role-Based Access Control (RBAC) settings. ДаYes НетNo
DeviceManagementServiceConfig.Read.AllDeviceManagementServiceConfig.Read.All Считывание конфигурации Microsoft IntuneRead Microsoft Intune configuration Позволяет приложению считывать свойства службы Intune, в том числе сведения о регистрации устройств и конфигурации подключения к сторонним службам.Allows the app to read Intune service properties including device enrollment and third party service connection configuration. ДаYes НетNo
DeviceManagementServiceConfig.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.All Считывание и запись конфигурации Microsoft IntuneRead and write Microsoft Intune configuration Позволяет приложению считывать и записывать свойства службы Microsoft Intune, в том числе сведения о регистрации устройств и конфигурации подключения к сторонним службам.Allows the app to read and write Microsoft Intune service properties including device enrollment and third party service connection configuration. ДаYes НетNo

Разрешения приложенийApplication permissions

Нет.None.

ЗаметкиRemarks

Примечание. Для настройки элементов управления и политик Intune с помощью API Microsoft Graph по-прежнему требуется, чтобы клиент лицензировал Intune надлежащим образом.Note: Using the Microsoft Graph APIs to configure Intune controls and policies still requires that the Intune service is correctly licensed by the customer.

Эти разрешения действительны только для рабочих и учебных учетных записей.These permissions are only valid for work or school accounts.

Примеры использованияExample usage

ДелегированныеDelegated

  • DeviceManagementServiceConfiguration.Read.All. Проверка текущего состояния подписки на Intune (GET /deviceManagement/subscriptionState).DeviceManagementServiceConfiguration.Read.All: Check the current state of the Intune subscription (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All. Создание условий (POST /deviceManagement/termsAndConditions).DeviceManagementServiceConfiguration.ReadWrite.All: Create new Terms and Conditions (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All. Поиск состояния конфигурации устройства (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).DeviceManagementConfiguration.Read.All: Find the status of a device configuration (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All. Назначение политики соответствия требованиям к устройствам для группы (POST deviceCompliancePolicies/{id}/assign).DeviceManagementConfiguration.ReadWrite.All: Assign a device compliance policy to a group (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All. Поиск всех приложений Магазина Windows, опубликованных в Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).DeviceManagementApps.Read.All: Find all the Windows Store apps published to Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All. Публикация нового приложения (POST /deviceAppManagement/mobileApps).DeviceManagementApps.ReadWrite.All: Publish a new application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All. Поиск назначения ролей по имени (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').DeviceManagementRBAC.Read.All: Find a role assignment by name (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All. Создание пользовательской роли (POST /deviceManagement/roleDefinitions).DeviceManagementRBAC.ReadWrite.All: Create a new custom role (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All. Поиск управляемого устройства по имени (GET /managedDevices/?$filter=deviceName eq 'My Device').DeviceManagementManagedDevices.Read.All: Find a managed device by name (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All. Удаление управляемого устройства (DELETE /managedDevices/{id}).DeviceManagementManagedDevices.ReadWrite.All: Remove a managed device (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All. Сброс секретного кода для управляемого устройства пользователя (POST /managedDevices/{id}/resetPasscode).DeviceManagementManagedDevices.PrivilegedOperations.All: Reset the passcode on a user's managed device (POST /managedDevices/{id}/resetPasscode).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения почтыMail permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Mail.ReadMail.Read Чтение почты пользователяRead user mail  Позволяет приложению считывать электронную почту в почтовых ящиках пользователя.Allows the app to read email in user mailboxes.  НетNo ДаYes
Mail.ReadBasicMail.ReadBasic Чтение основных свойств почты пользователя (предварительная версия)Read user basic mail (preview) (Предварительная версия) Позволяет приложению считывать свойства почтового ящика вошедшего пользователя, кроме свойств body, previewBody, attachments и любых расширенных свойств.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. Не содержит разрешений на поиск сообщений.Does not include permissions to search messages. НетNo ДаYes
Mail.ReadWriteMail.ReadWrite Доступ для чтения и записи к почте пользователяRead and write access to user mail  Приложение сможет создавать, просматривать, обновлять и удалять сообщения в почтовых ящиках пользователей. Не включает разрешение на отправку почты.Allows the app to create, read, update, and delete email in user mailboxes. Does not include permission to send mail. НетNo ДаYes
Mail.Read.SharedMail.Read.Shared Чтение почты пользователя и общей почтыRead user and shared mail Позволяет приложению считывать почту, доступную пользователю, в том числе собственную почту пользователя и общую почту.Allows the app to read mail that the user can access, including the user's own and shared mail.  НетNo НетNo
Mail.ReadWrite.SharedMail.ReadWrite.Shared Чтение и запись почты пользователя и общей почтыRead and write user and shared mail  Позволяет приложению создавать, читать, обновлять и удалять почту, доступную пользователю, в том числе собственную почту пользователя и общую почту. Сюда не входит разрешение на отправку почты.Allows the app to create, read, update, and delete mail that the user has permission to access, including the user's own and shared mail. Does not include permission to send mail. НетNo НетNo
Mail.SendMail.Send Отправка почты от имени пользователяSend mail as a user  Позволяет приложению отправлять почту от имени пользователей в организации.Allows the app to send mail as users in the organization.  НетNo ДаYes
Mail.Send.SharedMail.Send.Shared Отправка почты от имени другихSend mail on behalf of others  Позволяет приложению отправлять почту от имени вошедшего пользователя, в том числе от имени других лиц.Allows the app to send mail as the signed-in user, including sending on-behalf of others.  НетNo НетNo
MailboxSettings.ReadMailboxSettings.Read Чтение параметров почтового ящика пользователяRead user mailbox settings  Позволяет приложению считывать параметры почтового ящика пользователя. Сюда не входит разрешение на отправку почты.Allows the app to the read user's mailbox settings. Does not include permission to send mail. НетNo ДаYes
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Чтение и запись параметров почтового ящика пользователяRead and write user mailbox settings  Позволяет приложению создавать, читать, обновлять и удалять параметры почтового ящика пользователя.Allows the app to create, read, update, and delete user's mailbox settings. Не включает разрешения на прямую отправку почты, но разрешает приложению создавать правила переадресации или перенаправления сообщений.Does not include permission to directly send mail, but allows the app to create rules that can forward or redirect messages. НетNo ДаYes

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Mail.ReadMail.Read Чтение почты во всех почтовых ящикахRead mail in all mailboxes Позволяет приложению считывать почту во всех почтовых ящиках в случаях, когда вход пользователя не предусмотрен.Allows the app to read mail in all mailboxes without a signed-in user. ДаYes
Mail.ReadBasic.AllMail.ReadBasic.All Чтение основной почты всех пользователей (предварительная версия)Read all users basic mail (preview) (Предварительная версия) Позволяет приложению читать почтовые ящики всех пользователей, кроме свойств body, previewBody, attachments и любых расширенных свойств.(Preview) Allows the app to read the signed-in user's mailbox except body, previewBody, attachments and any extended properties. Не содержит разрешений на поиск сообщений.Does not include permissions to search messages. ДаYes НетNo
Mail.ReadWriteMail.ReadWrite Чтение и запись почты во всех почтовых ящикахRead and write mail in all mailboxes Приложение сможет создавать, просматривать, обновлять и удалять сообщения во всех почтовых ящиках без входа пользователя. Не включает разрешение на отправку почты.Allows the app to create, read, update, and delete mail in all mailboxes without a signed-in user. Does not include permission to send mail. ДаYes
Mail.SendMail.Send Отправка почты от имени любого пользователяSend mail as any user Позволяет приложению отправлять почту от имени любого пользователя в случаях, когда вход пользователя не предусмотрен.Allows the app to send mail as any user without a signed-in user. ДаYes
MailboxSettings.ReadMailboxSettings.Read Чтение всех параметров почтового ящика пользователяRead all user mailbox settings  Позволяет приложению считывать параметры почтового ящика пользователя в случаях, когда вход пользователя не предусмотрен. Сюда не входит разрешение на отправку почты.Allows the app to read user's mailbox settings without a signed-in user. Does not include permission to send mail. НетNo
MailboxSettings.ReadWriteMailboxSettings.ReadWrite Чтение и создание всех параметров почтового ящика пользователяRead and write all user mailbox settings Позволяет приложению создавать, просматривать, обновлять и удалять параметры почтового ящика пользователя без вошедшего пользователя. Сюда не входит разрешение на отправку почты.Allows the app to create, read, update, and delete user's mailbox settings without a signed-in user. Does not include permission to send mail. ДаYes

Важно! Администраторы могут настроить политику доступа приложения, чтобы разрешить приложению доступ к определенным почтовым ящикам, а не ко всеми почтовым ящикам в организации, даже если ему предоставлены разрешения приложений Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read или MailboxSettings.ReadWrite.Important Administrators can configure application access policy to limit app access to specific mailboxes and not to all the mailboxes in the organization, even if the app has been granted the application permissions of Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, or MailboxSettings.ReadWrite.

ПримечанияRemarks

Разрешения Mail.Read.Shared, Mail.ReadWrite.Shared и Mail.Send.Shared действительны только для рабочих и учебных учетных записей. Все остальные разрешения поддерживаются как для учетных записей Майкрософт, так и для рабочих или учебных учетных записей.Mail.Read.Shared, Mail.ReadWrite.Shared, and Mail.Send.Shared are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

С помощью разрешения Mail.Send или Mail.Send.Shared приложение может отправлять сообщения, сохраняя их копии в папке "Отправленные", даже если у приложения нет соответствующего разрешения Mail.ReadWrite или Mail.ReadWrite.Shared.With the Mail.Send or Mail.Send.Shared permission, an app can send mail and save a copy to the user's Sent Items folder, even if the app does not use a corresponding Mail.ReadWrite or Mail.ReadWrite.Shared permission.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Mail.Read. Перечисление сообщений в папке "Входящие" пользователя, отсортированных по свойству receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).Mail.Read: List messages in the user's inbox, sorted by receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: поиск всех сообщений с вложениями в папке "Входящие" пользователя, предоставившего вошедшему пользователю доступ к этой папке (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).Mail.Read.Shared: Find all messages with attachments in a user's inbox that has shared their inbox with the signed-in user (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite. Сообщение отмечается как прочитанное (PATCH /me/messages/{id}).Mail.ReadWrite: Mark a message read (PATCH /me/messages/{id}).
  • Mail.Send. Отправка сообщения (POST /me/sendmail).Mail.Send: Send a message (POST /me/sendmail).
  • MailboxSettings.ReadWrite. Обновление автоматического ответа пользователя (PATCH /me/mailboxSettings).MailboxSettings.ReadWrite: Update the user's automatic reply (PATCH /me/mailboxSettings).

Для приложенийApplication

  • Mail.Read. Поиск сообщений, отправленных с адреса bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').Mail.Read: Find messages from bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite. Создание в папке "Входящие" вложенной папки под названием "Expense Reports" (POST /users/{id | userPrincipalName}/mailfolders).Mail.ReadWrite: Create a new folder in the Inbox named Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: отправка сообщения (POST /users/{id | userPrincipalName}/sendmail).Mail.Send: Send a message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: получение часового пояса по умолчанию для почтового ящика пользователя (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone).MailboxSettings.Read: Get the default timezone for the user's mailbox (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для членовMember permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Member.Read.HiddenMember.Read.Hidden Чтение сведений о скрытом членствеRead hidden memberships Позволяет приложению от имени вошедшего пользователя считывать сведения о членстве для тех скрытых групп и административных единиц, к которым у этого пользователя есть доступ.Allows the app to read the memberships of hidden groups and administrative units on behalf of the signed-in user, for those hidden groups and administrative units that the signed-in user has access to. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Member.Read.HiddenMember.Read.Hidden Чтение всех сведений о скрытом членствеRead all hidden memberships Позволяет приложению считывать сведения о членстве в скрытых группах и административных единицах в случаях, когда вход пользователя не предусмотрен.Allows the app to read the memberships of hidden groups and administrative units without a signed-in user. ДаYes

ЗаметкиRemarks

Разрешения Member.Read.Hidden действительны только для рабочих или учебных учетных записей.Member.Read.Hidden is valid only on work or school accounts.

Членство в некоторых группах Office 365 может быть скрытым. Это означает, что только члены группы могут просматривать список ее членов. Эту функцию можно использовать для обеспечения соответствия требованиям, согласно которым в организации необходимо скрывать сведения о членстве в группах от внешних пользователей (например, для группы Office 365, представляющей учеников в классе).Membership in some Office 365 groups can be hidden. This means that only the members of the group can view its members. This feature can be used to help comply with regulations that require an organization to hide group membership from outsiders (for example, an Office 365 group that represents students enrolled in a class).

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Member.Read.Hidden. Чтение сведений о членах административной единицы со скрытым членством от имени вошедшего пользователя (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership on behalf of the signed-in user (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden. Чтение сведений о членах группы со скрытым членством от имени вошедшего пользователя (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership on behalf of the signed-in user (GET /groups/{id}/members).

Для приложенийApplication

  • Member.Read.Hidden. Чтение сведений о членах административной единицы со скрытым членством (GET /administrativeUnits/{id}/members).Member.Read.Hidden: Read the members of an administrative unit with hidden membership (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden. Чтение сведений о членах группы со скрытым членством (GET /groups/{id}/members).Member.Read.Hidden: Read the members of a group with hidden membership (GET /groups/{id}/members).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.

Разрешения для заметокNotes permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Notes.ReadNotes.Read Чтение записных книжек OneNote пользователяRead user OneNote notebooks Позволяет приложению просматривать названия записных книжек и разделов OneNote, а также создавать страницы, записные книжки и разделы от имени вошедшего пользователя.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. НетNo ДаYes
Notes.CreateNotes.Create Создание записных книжек OneNote пользователяCreate user OneNote notebooks Позволяет приложению просматривать названия записных книжек и разделов OneNote, а также создавать страницы, записные книжки и разделы от имени вошедшего пользователя.Allows the app to read the titles of OneNote notebooks and sections and to create new pages, notebooks, and sections on behalf of the signed-in user. НетNo ДаYes
Notes.ReadWriteNotes.ReadWrite Чтение и запись записных книжек OneNote пользователяRead and write user OneNote notebooks Позволяет приложению считывать и редактировать записные книжки OneNote, а также предоставлять к ним доступ от имени вошедшего пользователя.Allows the app to read, share, and modify OneNote notebooks on behalf of the signed-in user. НетNo ДаYes
Notes.Read.AllNotes.Read.All Чтение всех записных книжек OneNote, доступных пользователюRead all OneNote notebooks that user can access Позволяет приложению считывать записные книжки OneNote, доступные вошедшему пользователю в организации.Allows the app to read OneNote notebooks that the signed-in user has access to in the organization. НетNo НетNo
Notes.ReadWrite.AllNotes.ReadWrite.All Чтение и запись всех записных книжек OneNote, доступных пользователюRead and write all OneNote notebooks that user can access Позволяет приложению считывать и редактировать записные книжки OneNote, доступные вошедшему пользователю в организации, а также предоставлять к ним доступ.Allows the app to read, share, and modify OneNote notebooks that the signed-in user has access to in the organization. НетNo НетNo
Notes.ReadWrite.CreatedByAppNotes.ReadWrite.CreatedByApp Ограниченный доступ к записным книжкам (нерекомендуемое)Limited notebook access (deprecated) НерекомендуемоеDeprecated
Не следует использовать. Это разрешение не предоставляет никаких привилегий.Do not use. No privileges are granted by this permission.
НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Notes.Read.AllNotes.Read.All Чтение всех записных книжек OneNoteRead all OneNote notebooks Позволяет приложению считывать все записные книжки OneNote в организации в случаях, когда вход пользователя не предусмотрен.Allows the app to read all the OneNote notebooks in your organization, without a signed-in user. ДаYes
Notes.ReadWrite.AllNotes.ReadWrite.All Чтение и запись всех записных книжек OneNoteRead and write all OneNote notebooks Позволяет приложению считывать и редактировать все записные книжки OneNote в организации, а также предоставлять к ним доступ в случаях, когда вход пользователя не предусмотрен.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user. ДаYes

ПримечанияRemarks

Разрешения Notes.Read.All и Notes.ReadWrite.All действительны только для рабочих и учебных учетных записей. Все остальные разрешения поддерживаются как для учетных записей Майкрософт, так и для рабочих или учебных учетных записей.Notes.Read.All and Notes.ReadWrite.All are only valid for work or school accounts. All other permissions are valid for both Microsoft accounts and work or school accounts.

С помощью разрешения Notes.Create приложение может просматривать иерархию записных книжек OneNote вошедшего пользователя и создавать содержимое OneNote (записные книжки, группы разделов, разделы, страницы и т. д.).With the Notes.Create permission, an app can view the OneNote notebook hierarchy of the signed-in user and create OneNote content (notebooks, section groups, sections, pages, etc.).

Разрешения Notes.ReadWrite и Notes.ReadWrite.All также позволяют приложению менять разрешения для содержимого OneNote, доступного вошедшему пользователю.Notes.ReadWrite and Notes.ReadWrite.All also allow the app to modify the permissions on the OneNote content that can be accessed by the signed-in user.

В случае рабочих и учебных учетных записей разрешения Notes.Read.All и Notes.ReadWrite.All позволяют приложению получать доступ к содержимому OneNote других пользователей, которое доступно вошедшему пользователю в организации.For work or school accounts, Notes.Read.All and Notes.ReadWrite.All allow the app to access other users' OneNote content that the signed-in user has permission to within the organization.

Примеры использованияExample usage

ДелегированныеDelegated

  • Notes.Create. Создание записных книжек для вошедшего пользователя (POST /me/onenote/notebooks).Notes.Create: Create a new notebooks for the signed-in user (POST /me/onenote/notebooks).
  • Notes.Read. Чтение записных книжек вошедшего пользователя (GET /me/onenote/notebooks).Notes.Read: Read the notebooks for the signed-in user (GET /me/onenote/notebooks).
  • Notes.Read.All. Получение всех записных книжек, доступных вошедшему пользователю в организации (GET /me/onenote/notebooks?includesharednotebooks=true).Notes.Read.All: Get all notebooks that the signed-in user has access to within the organization (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite. Обновление страницы вошедшего пользователя (PATCH /me/onenote/pages/{id}/$value).Notes.ReadWrite: Update the page of the signed-in user (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All. Создание страницы в записной книжке другого пользователя, доступной вошедшему пользователю в организации (POST /users/{id}/onenote/pages).Notes.ReadWrite.All: Create a page in another user's notebook that the signed-in user has access to within the organization (POST /users/{id}/onenote/pages).

Для приложенийApplication

  • Notes.Read.All. Чтение всех записных книжек пользователей в группе (GET /groups/{id}/onenote/notebooks).Notes.Read.All: Read all users notebooks in a group (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All. Обновление страницы в записной книжке любого пользователя в организации (PATCH /users/{id}/onenote/pages/{id}/$value).Notes.ReadWrite.All: Update the page in a notebook for any user in the organization (PATCH /users/{id}/onenote/pages/{id}/$value).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.

Разрешения уведомленийNotifications permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Notifications.ReadWrite.CreatedByAppNotifications.ReadWrite.CreatedByApp Доставка и управление уведомлениями для этого приложения.Deliver and manage notifications for this app. Позволяет приложению доставлять свои уведомления от имени вошедших в систему пользователей.Allow the app to deliver its notifications on behalf of signed-in users. Также позволяет приложению читать, обновлять и удалять элементы уведомлений пользователя в этом приложении.Also allows the app to read, update, and delete the user’s notification items for this app. НетNo

ПримечанияRemarks

Notifications.ReadWrite.CreatedByApp поддерживается как для учетных записей Майкрософт, так и для рабочих или учебных рабочих записей.Notifications.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts. Ограничение CreatedByApp, связанное с этим разрешением, означает, что служба будет применять неявную фильтрацию результатов на основе удостоверения вызывающего приложения: либо идентификатора приложения учетной записи Майкрософт, либо набора идентификаторов, настроенных для идентификации кроссплатформенных приложений.The CreatedByApp constraint associated with this permission indicates that the service will apply implicit filtering to results based on the identity of the calling app, either the Microsoft account app ID or a set of app IDs configured for a cross-platform application identity.

Примеры использованияExample usage

ДелегированныеDelegated

  • Notifications.ReadWrite.CreatedByApp. Публикация ориентированного на пользователя уведомления, которое может затем доставляться различным клиентам приложения пользователя, запущенным в других конечных точках.Notifications.ReadWrite.CreatedByApp: Publish a user-centric notification, which might then be delivered to the user’s multiple application clients running on different endpoints. (POST /me/notifications/).(POST /me/notifications/).

Разрешения собраний по сетиOnline meetings permissions

Делегированные разрешенияDelegated permissions

Нет.None.


Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
OnlineMeetings.Read.AllOnlineMeetings.Read.All Чтение сведений собрания по сети из приложения (предварительная версия)Read Online Meeting details from the app (preview) Позволяет приложению считывать сведения собрания по сети в организации без необходимости входа пользователя.Allows the app to read Online Meeting details in your organization, without a signed-in user. ДаYes
OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All Чтение и создание собраний по сети из приложения (предварительная версия) от имени пользователяRead and Create Online Meetings from the app (preview) on behalf of a user Позволяет приложению создавать собрания по сети в организации от имени пользователя без необходимости входа пользователя.Allows the app to create Online Meetings in your organization on behalf of a user, without a signed-in user. ДаYes

Примеры использованияExample usage

ПриложениеApplication

  • OnlineMeetings.Read.All. Извлечение свойств и связей собрания по сети (GET /beta/app/onlinemeetings/{id}).OnlineMeetings.Read.All: Retrieve the properties and relationships of an Online Meeting (GET /beta/app/onlinemeetings/{id}).
  • OnlineMeetings.ReadWrite.All. Создание собрания по сети (POST /beta/app/onlinemeetings).OnlineMeetings.ReadWrite.All: Create an Online Meeting (POST /beta/app/onlinemeetings).

Примечание. При создании собрания по сети создается собрание от имени пользователя, указанного в тексте запроса, но оно не отображается в календаре этого пользователя.Note: Creating an Online Meeting creates a meeting on behalf of a user specified in the request body, but does not show it on the user's Calendar.

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для локальных профилей публикацииOn-premises Publishing Profiles permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Доступ к локальным профилям публикацииAccess On-Premises Publishing Profiles Позволяет приложению управлять настройкой гибридной службы удостоверений путем создания, просмотра, обновления и удаления локальных опубликованных ресурсов, локальных агентов и групп агентов от имени вошедшего пользователя.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
OnPremisesPublishingProfiles.ReadWrite.AllOnPremisesPublishingProfiles.ReadWrite.All Доступ к локальным профилям публикацииAccess On-Premises Publishing Profiles Позволяет приложению управлять настройкой гибридной службы удостоверений путем создания, просмотра, обновления и удаления локальных опубликованных ресурсов, локальных агентов и групп агентов от имени вошедшего пользователя.Allows the app to manage hybrid identity service configuration by creating, viewing, updating and deleting on-premises published resources, on-premises agents and agent groups, on behalf of the signed-in user. НетNo НетNo

Разрешения OpenIDOpenID permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
emailemail Просмотр электронных адресов пользователейView users' email address Позволяет приложению считывать основные электронные адреса пользователей.Allows the app to read your users' primary email address. НетNo НетNo
offline_accessoffline_access Доступ к данным пользователя в любое времяAccess user's data anytime Позволяет приложению считывать и обновлять данные пользователя, даже если он в настоящее время не использует приложение.Allows the app to read and update user data, even when they are not currently using the app. НетNo НетNo
openidopenid Вход пользователейSign users in Пользователи смогут входить в приложение с помощью своей рабочей или учебной учетной записи, а приложение сможет просматривать основные данные профилей пользователей.Allows users to sign in to the app with their work or school accounts and allows the app to see basic user profile information. НетNo НетNo
profileprofile Просмотр базовых профилей пользователейView users' basic profile Позволяет приложению просматривать базовые профили пользователей (имя, аватар, имя пользователя).Allows the app to see your users' basic profile (name, picture, user name). НетNo НетNo

Разрешения приложенийApplication permissions

Нет.None.

ЗаметкиRemarks

Эти разрешения можно использовать для указания артефактов, которые должны возвращаться в запросах авторизации и токенов Azure AD. Они поддерживаются конечными точками Azure AD 1.0 и 2.0 по-разному.You can use these permissions to specify artifacts that you want returned in Azure AD authorization and token requests. They are supported differently by the Azure AD v1.0 and v2.0 endpoints.

С конечной точкой Azure AD 1.0 используется только разрешение openid. Вы можете указать его в параметре scope в запросе авторизации, чтобы вернуть токен идентификатора при использовании протокола OpenID Connect. Дополнительные сведения см. в статье Предоставление доступа к веб-приложениям с помощью OpenID Connect и Azure Active Directory. Чтобы получить токен идентификатора, для приложения должно быть настроено разрешение User.Read.With the Azure AD (v1.0) endpoint, only the openid permission is used. You specify it in the scope parameter in an authorization request to return an ID token when you use the OpenID Connect protocol to sign in a user to your app. For more information, see Authorize access to web applications using OpenID Connect and Azure Active Directory. To successfully return an ID token, you must also make sure that the User.Read permission is configured when you register your app.

При использовании конечной точки Azure AD 2.0 и протоколов OAuth 2.0 или OpenID Connect указывается разрешение offline_access в параметре scope для явного запроса токена обновления. При использовании OpenID Connect указывается разрешение openid для запроса токена идентификации. Вы также можете указать разрешение email, profile или оба для возврата дополнительных утверждений в токене идентификации. При использовании конечной точки 2.0 не нужно указывать разрешение User.Read для возврата токена идентификации. Дополнительные сведения см. в разделе Области OpenID Connect.With the Azure AD v2.0 endpoint, you specify the offline_access permission in the scope parameter to explicitly request a refresh token when using the OAuth 2.0 or OpenID Connect protocols. With OpenID Connect, you specify the openid permission to request an ID token. You can also specify the email permission, profile permission, or both to return additional claims in the ID token. You do not need to specify User.Read to return an ID token with the v2.0 endpoint. For more information, see OpenID Connect scopes.

Важно! В настоящее время библиотека Microsoft Authentication Library (MSAL) по умолчанию указывает разрешения offline_access, openid, profile и email в запросах авторизации и токенов. Это означает, что если вы укажете эти разрешения явно, Azure AD может вернуть ошибку.Important The Microsoft Authentication Library (MSAL) currently specifies offline_access, openid, profile, and email by default in authorization and token requests. This means that, for the default case, if you specify these permissions explicitly, Azure AD may return an error.


Разрешения организацииOrganization permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Organization.Read.AllOrganization.Read.All Чтение сведений об организацииRead organization information Позволяет приложению просматривать ресурсы организации и связанные ресурсы от имени вошедшего пользователя.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user.Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Related resources include things like subscribed SKUs and tenant branding information. ДаYes НетNo
Organization.ReadWrite.AllOrganization.ReadWrite.All Чтение и запись сведений об организацииRead and write identity provider information Позволяет приложению просматривать и создавать ресурсы организации, а также связанные ресурсы от имени вошедшего пользователя.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user.Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Related resources include things like subscribed SKUs and tenant branding information. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Organization.Read.AllOrganization.Read.All Чтение сведений об организацииRead organization information Позволяет приложению просматривать ресурсы организации и связанные ресурсы без необходимости входа пользователя.Allows the app to read, share, and modify all the OneNote notebooks in your organization, without a signed-in user.Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Related resources include things like subscribed SKUs and tenant branding information. ДаYes
Organization.ReadWrite.AllOrganization.ReadWrite.All Чтение и запись сведений об организацииRead and write identity provider information Позволяет приложению просматривать и создавать ресурсы организации, а также связанные ресурсы без необходимости входа пользователя.Allows the app to read and write the organization and related resources, without a signed-in user.Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Related resources include things like subscribed SKUs and tenant branding information. ДаYes

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Organization.Read.All: получение сведений об организации (GET /organization).Organization.Read.All: Get organization information (GET /organization).
  • Organization.Read.All: получение SKU, на которые подписана организация (GET /subscribedSkus).Organization.Read.All: Get the SKUs that the organization has subscribed to (GET /subscribedSkus).

Для приложенийApplication

  • Organization.ReadWrite.All: обновление сведений об организации (например, свойства technicalNotificationMails) (PATCH /organization/{id}).Organization.ReadWrite.All: Update organization information (such as technicalNotificationMails) (PATCH /organization/{id}).

Разрешения для контактов организацииOrganizational contact permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
OrgContact.Read.AllOrgContact.Read.All Чтение контактов организацииRead organizational contacts Позволяет приложению читать все контакты организации от имени вошедшего пользователя.Allows the app to read all TrustFramework Policies on behalf of the signed-in user. Эти контакты управляются организацией и отличаются от личных контактов пользователя.These contacts are managed by the organization and are different from a user's personal contacts. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
OrgContact.Read.AllOrgContact.Read.All Чтение контактов организацииRead organizational contacts Позволяет приложению читать все контакты организации без вошедшего пользователя.Allows the app to read all contacts in all mailboxes without a signed-in user. Эти контакты управляются организацией и отличаются от личных контактов пользователя.These contacts are managed by the organization and are different from a user's personal contacts. ДаYes

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • OrgContact.Read.All: Получить все контакты организации (GET /contacts).OrgContact.Read.All: Get all organizational contacts (GET /contacts).

Разрешения для пользователейPeople permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
People.ReadPeople.Read Чтение списков контактов, релевантных для пользователяRead users' relevant people lists Приложение сможет читать оцененный список контактов, релевантных для вошедшего пользователя. Список может включать локальные контакты, контакты из социальных сетей или каталога вашей организации, а также пользователей, с которыми он недавно общался (например, с помощью электронной почты и Skype).Allows the app to read a scored list of people relevant to the signed-in user. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). НетNo ДаYes
People.Read.AllPeople.Read.All Чтение списков контактов, релевантных для всех пользователейRead all users' relevant people lists Приложение сможет читать оцененный список контактов, релевантных для вошедшего пользователя или других пользователей в его организации. Список может включать локальные контакты, контакты из социальных сетей или каталога вашей организации, а также пользователей, с которыми он недавно общался (например, с помощью электронной почты и Skype). Приложение также сможет выполнять поиск по всему каталогу организации вошедшего пользователя.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization. The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Also allows the app to search the entire directory of the signed-in user's organization.  ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
People.Read.AllPeople.Read.All Чтение списков контактов, релевантных для всех пользователейRead all users' relevant people lists Приложение сможет читать оцененный список контактов, релевантных для вошедшего пользователя или других пользователей в его организации.Allows the app to read a scored list of people relevant to the signed-in user or other users in the signed-in user's organization.

Список может включать локальные контакты, контакты из социальных сетей или каталога вашей организации, а также пользователей, с которыми он недавно общался (например, с помощью электронной почты и Skype).The list can include local contacts, contacts from social networking or your organization's directory, and people from recent communications (such as email and Skype). Приложение также сможет выполнять поиск по всему каталогу организации вошедшего пользователя.Also allows the app to search the entire directory of the signed-in user's organization. 
ДаYes

ЗаметкиRemarks

Разрешение People.Read.All действительно только для рабочих и учебных учетных записей.The People.Read.All permission is only valid for work and school accounts.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • People.Read. Чтение списка релевантных пользователей (GET /me/people).People.Read: Read a list of relevant people (GET /me/people)
  • People.Read.All. Чтение списка пользователей, релевантных для другого пользователя в той же организации (GET /users('{id})/people).People.Read.All: Read a list of relevant people to another user in the same organization (GET /users('{id})/people)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для местPlaces permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Place.Read.AllPlace.Read.All Чтение всех мест компанииRead all company places Позволяет приложению просматривать места компании (списки конференц-залов и помещений) для событий календаря и других приложений.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. НетNo НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Place.Read.AllPlace.Read.All Чтение всех мест компанииRead all company places Позволяет приложению просматривать места компании (списки конференц-залов и помещений) для событий календаря и других приложений.Allows the app to read company places (conference rooms and room lists) for calendar events and other applications. ДаYes

Разрешения для программ и элементов управления программамиPrograms and program controls permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
ProgramControl.Read.AllProgramControl.Read.All Чтение всех программRead all programs Позволяет приложению считывать программы от имени вошедшего пользователя.Allows the app to read programs on behalf of the signed-in user. ДаYes НетNo
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Управление всеми программамиManage all programs Позволяет приложению считывать и записывать программы от имени вошедшего пользователя.Allows the app to read and write programs on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
ProgramControl.Read.AllProgramControl.Read.All Чтение всех программRead all programs Позволяет приложению считывать программы без необходимости входа пользователя.Allows the app to read programs without a signed-in user. ДаYes
ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Управление всеми программамиManage all programs Позволяет приложению считывать и записывать программы без необходимости входа пользователя.Allows the app to read and write programs without a signed-in user. ДаYes

ПримечанияRemarks

ProgramControl.Read.All и ProgramControl.ReadWrite.All допустимы только для рабочих или учебных учетных записей.ProgramControl.Read.All and ProgramControl.ReadWrite.All are valid only for work or school accounts.

Чтобы приложение с делегированными разрешениями могло считывать программы и элементы управления программами, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности", "Читатель безопасности" или "Администратор пользователей".For an app with delegated permissions to read programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator, Security Administrator, Security Reader or User Administrator. Чтобы приложение с делегированными разрешениями могло записывать программы и элементы управления программами, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор пользователей".For an app with delegated permissions to write programs and program controls, the signed-in user must be a member of one of the following administrator roles: Global Administrator or User Administrator. Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.


Разрешения для отчетовReports permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Reports.Read.AllReports.Read.All Чтение всех отчетов об использованииRead all usage reports Позволяет приложению читать все отчеты об использовании без вошедшего пользователя. К службам, предоставляющим отчеты об использовании, относятся Office 365 и Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Reports.Read.AllReports.Read.All Чтение всех отчетов об использованииRead all usage reports Позволяет приложению читать все отчеты об использовании без вошедшего пользователя. К службам, предоставляющим отчеты об использовании, относятся Office 365 и Azure Active Directory.Allows an app to read all service usage reports without a signed-in user. Services that provide usage reports include Office 365 and Azure Active Directory. ДаYes

ЗамечанияRemarks

Разрешения отчетов поддерживаются только для рабочих и учебных учетных записей.Reports permissions are only valid for work or school accounts.

Примеры использованияExample usage

Для приложенийApplication

  • Reports.Read.All. Чтение подробного отчета об использовании почтовых приложений за 7-дневный период (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).Reports.Read.All: Read usage detail report of email apps with period of 7 days (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All. Чтение подробного отчета о действиях с электронной почтой за 01.01.2017 (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).Reports.Read.All: Read activity detail report of email with date of '2017-01-01' (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All. Чтение подробных отчетов об активации Office 365 (GET /reports/Office365Activations(view='Detail')/content).Reports.Read.All: Read Office 365 activations detail report (GET /reports/Office365Activations(view='Detail')/content).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения для управления ролямиRole management permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Чтение параметров RBAC для каталогаRead directory RBAC settings Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для каталога компании от имени вошедшего пользователя,Allows the app to read the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. в том числе считывать роли каталогов, их шаблоны и сведения о членстве.This includes reading directory role templates, directory roles and memberships. ДаYes НетNo
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Чтение и запись параметров RBAC для каталоговRead and write Microsoft Intune RBAC settings Позволяет приложению считывать и контролировать параметры управления доступом на основе ролей (RBAC) для каталога компании от имени вошедшего пользователя,Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, on behalf of the signed-in user. в том числе создавать экземпляры ролей каталогов и управлять членством в этих ролях, а также считывать роли каталогов, их шаблоны и сведения о членстве.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
RoleManagement.Read.DirectoryRoleManagement.Read.Directory Чтение всех параметров RBAC для каталоговRead all directory RBAC settings Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для каталога компании без вошедшего пользователя,Allows the app to read the role-based access control (RBAC) settings for your company's directory, without a signed-in user. в том числе считывать роли каталогов, их шаблоны и сведения о членстве.This includes reading directory role templates, directory roles and memberships. ДаYes
RoleManagement.ReadWrite.DirectoryRoleManagement.ReadWrite.Directory Чтение и запись всех параметров RBAC для каталоговRead and write all directory RBAC settings Позволяет приложению считывать и контролировать параметры управления доступом на основе ролей (RBAC) для каталога компании без вошедшего пользователя,Allows the app to read and manage the role-based access control (RBAC) settings for your company's directory, without a signed-in user. в том числе создавать экземпляры ролей каталогов и управлять членством в этих ролях, а также считывать роли каталогов, их шаблоны и сведения о членстве.This includes instantiating directory roles and managing directory role membership, and reading directory role templates, directory roles and memberships. ДаYes

ПримечанияRemarks

При наличии разрешения RoleManagement.Read.Directory приложение может считывать объекты directoryRole и directoryRoleTemplate,With the RoleManagement.Read.Directory permission an application can read directoryRoles and directoryRoleTemplates. в том числе сведения о членстве для ролей каталогов.This includes reading membership information for directory roles.

При наличии разрешения RoleManagement.ReadWrite.Directory приложение может считывать и записывать объекты directoryRole (ресурсы directoryRoleTemplate доступны только для чтения),With the RoleManagement.ReadWrite.Directory permission an application can read and write directoryRoles (directoryRoleTemplates are readonly resources). в том числе добавлять и удалять участников в ролях каталогов.This includes adding and removing members to and from directory roles.

Разрешения на управление ролями поддерживаются только для рабочих и учебных учетных записей.Reports permissions are only valid for work or school accounts.

Примеры использованияExample usage

  • RoleManagement.Read.Directory: считывание списка доступных шаблонов ролей (GET /directoryRoleTemplates)RoleManagement.Read.Directory: Read the list of available role templates (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: считывание списка активированных ролей в каталоге (GET /directoryRoles)RoleManagement.Read.Directory: Read the list of activated roles in your directory (GET /directoryRoles)
  • RoleManagement.Read.Directory: считывание списка участников роли (GET /directoryRoles/<id>/members)RoleManagement.Read.Directory: Read the list of members for a role (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: считывание списка участников роли в рамках административной единицы (GET /directoryRoles/<id>/scopedMembers)RoleManagement.Read.Directory: Read the list of administrative unit-scoped members for a role (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: активация роли каталога по шаблону роли (POST /directoryRoles)RoleManagement.ReadWrite.Directory: Activate a directory role from a role template (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: добавление участника в роль каталога (POST /directoryRoles/<id>/members)RoleManagement.ReadWrite.Directory: Add a member to a directory role (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: добавление участника в рамках административной единицы в роль каталога (POST /directoryRoles/<id>/scopedMembers)RoleManagement.ReadWrite.Directory: Add an administrative unit-scoped member to a directory role (POST /directoryRoles/<id>/scopedMembers)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения системы безопасностиSecurity permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
SecurityEvents.Read.AllSecurityEvents.Read.All Чтение событий безопасности в организацииRead your organization’s security events Позволяет приложению читать события безопасности от имени вошедшего пользователя.Allows the app to read your organization’s security events on behalf of the signed-in user. ДаYes НетNo
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Чтение и обновление событий безопасности в организацииRead and update your organization’s security events Позволяет приложению читать события безопасности от имени вошедшего пользователя.Allows the app to read your organization’s security events on behalf of the signed-in user. Кроме того, приложение может обновлять доступные для редактирования свойства событий безопасности от имени вошедшего пользователя.Also allows the app to update editable properties in security events on behalf of the signed-in user. ДаYes НетNo
SecurityActions.Read.AllSecurityActions.Read.All Чтение действий, связанных с безопасностью в организацииRead your organization's security actions Позволяет приложению читать действия, связанные с безопасностью в организации, от имени вошедшего пользователя.Allows the app to read your organization’s security actions on behalf of the signed-in user. ДаYes НетNo
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Чтение и обновление действий, связанных с безопасностью в организацииRead and update your organization's security actions Позволяет приложению читать действия, связанные с безопасностью в организации, от имени вошедшего пользователя.Allows the app to read your organization’s security actions on behalf of the signed-in user. ДаYes НетNo
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Управление индикаторами угроз, которыми это приложение владеет или которые были им созданыManage threat indicators this app creates or owns Позволяет приложению читать действия, связанные с безопасностью в организации, от имени вошедшего пользователя.Allows the app to read your organization’s security actions on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
SecurityEvents.Read.AllSecurityEvents.Read.All Чтение событий безопасности в организацииRead your organization’s security events Позволяет приложению читать события безопасности в организации.Allows the app to read your organization’s security events. ДаYes
SecurityEvents.ReadWrite.AllSecurityEvents.ReadWrite.All Чтение и обновление событий безопасности в организацииRead and update your organization’s security events Позволяет приложению читать события безопасности в организации.Allows the app to read your organization’s security events. Кроме того, приложение может обновлять события безопасности, доступные для редактирования.Also allows the app to update editable properties in security events. ДаYes
SecurityActions.Read.AllSecurityActions.Read.All Чтение событий безопасности в организацииRead your organization’s security events Позволяет приложению читать действия, связанные с безопасностью в организации.Allows the app to read your organization’s security actions. ДаYes
SecurityActions.ReadWrite.AllSecurityActions.ReadWrite.All Создание и чтение действий, связанных с безопасностью в организацииCreate and read your organization's security actions Позволяет приложению читать или создавать действия, связанные с безопасностью, без необходимости входа пользователя.Allows the app to read or create security actions, without a signed-in user. ДаYes
ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy Управление индикаторами угроз, которыми это приложение владеет или которые были им созданыManage threat indicators this app creates or owns Позволяет приложению создавать индикаторы угроз и полностью управлять ими (читать, обновлять и удалять) без необходимости входа пользователя.Allows the app to create threat indicators, and fully manage those threat indicators (read, update and delete), without a signed-in user. Приложение не сможет обновить индикаторы угроз, которыми оно не владеет.It cannot update any threat indicators it does not own. ДаYes

ЗамечанияRemarks

Разрешения безопасности действительны только для рабочих и учебных учетных записей.Security permissions are valid only on work or school accounts.

Примеры использованияExample usage

Разрешения приложения и делегированные разрешенияDelegated and Application

  • SecurityEvents.Read.All. Чтение списка всех оповещений безопасности от любых лицензированных поставщиков безопасности, доступных в клиенте (GET /beta/security/alerts)SecurityEvents.Read.All: Read the list of all security alerts from all licensed security providers available to your tenant (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: обновление или чтение оповещений безопасности от любых лицензированных поставщиков безопасности, доступных в клиенте (PATCH /beta/security/alerts/{id})SecurityEvents.ReadWrite.All: Update or read security alerts from all licensed security providers available to your tenant (PATCH /beta/security/alerts/{id})

Разрешения для сайтовSites permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Sites.Read.AllSites.Read.All Чтение элементов во всех семействах веб-сайтовRead items in all site collections Позволяет приложению считывать документы и элементы списков во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему.Allows the app to read documents and list items in all site collections on behalf of the signed-in user. НетNo НетNo
Sites.ReadWrite.AllSites.ReadWrite.All Чтение и запись элементов во всех семействах веб-сайтовRead and write items in all site collections Позволяет приложению редактировать или удалять документы и элементы списков во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему.Allows the app to edit or delete documents and list items in all site collections on behalf of the signed-in user. НетNo НетNo
Sites.Manage.AllSites.Manage.All Создание, редактирование и удаление элементов и списков во всех семействах веб-сайтовCreate, edit, and delete items and lists in all site collections Позволяет приложению создавать списки, документы и элементы списков, а также управлять ими во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему.Allows the app to manage and create lists, documents, and list items in all site collections on behalf of the signed-in user. НетNo НетNo
Sites.FullControl.AllSites.FullControl.All Полный контроль над всеми семействами веб-сайтовHave full control of all site collections Разрешает приложению полный контроль над сайтами SharePoint во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему.Allows the app to have full control to SharePoint sites in all site collections on behalf of the signed-in user. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
Sites.Read.AllSites.Read.All Чтение элементов во всех семействах веб-сайтовRead items in all site collections Позволяет приложению считывать документы и элементы списка во всех семействах веб-сайтов без пользователя, выполнившего вход в систему.Allows the app to read documents and list items in all site collections without a signed in user. ДаYes
Sites.ReadWrite.AllSites.ReadWrite.All Чтение и запись элементов во всех семействах веб-сайтовRead and write items in all site collections Позволяет приложению создавать, считывать, изменять и удалять документы и элементы списков во всех семействах веб-сайтов без пользователя, выполнившего вход в систему.Allows the app to create, read, update, and delete documents and list items in all site collections without a signed in user. ДаYes
Sites.Manage.AllSites.Manage.All Создание, редактирование и удаление элементов и списков во всех семействах веб-сайтовCreate, edit, and delete items and lists in all site collections Разрешает приложению создавать списки, документы и элементы списков, а также управлять ими во всех семействах веб-сайтов без необходимости входа пользователя.Allows the app to manage and create lists, documents, and list items in all site collections without a signed-in user. ДаYes
Sites.FullControl.AllSites.FullControl.All Полный контроль над всеми семействами веб-сайтовHave full control of all site collections Разрешает приложению полный контроль над сайтами SharePoint во всех семействах веб-сайтов без необходимости входа пользователя.Allows the app to have full control to SharePoint sites in all site collections without a signed-in user. ДаYes

ЗаметкиRemarks

Разрешения сайтов действительны только для рабочих и учебных учетных записей.Sites permissions are valid only on work or school accounts.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Sites.Read.All. Чтение списков на корневом сайте SharePoint (GET /v1.0/sites/root/lists).Sites.Read.All: Read the lists on the SharePoint root site (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All. Создание элементов списка SharePoint (POST /v1.0/sites/root/lists/123/items).Sites.ReadWrite.All: Create new list items in a SharePoint list (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All. Добавление нового списка на сайт SharePoint (POST /v1.0/sites/root/lists).Sites.Manage.All: Add a new list to a SharePoint site (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All. Полный доступ к сайтам и спискам SharePoint.Sites.FullControl.All: Complete access to SharePoint sites and lists.

Разрешения для задачTasks permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Tasks.ReadTasks.Read Чтение задач пользователя (предварительная версия)Read user tasks (preview) Позволяет приложению считывать задачи пользователя.Allows the app to read user tasks. НетNo ДаYes
Tasks.Read.SharedTasks.Read.Shared Чтение задач пользователя и общих задач (предварительная версия)Read user and shared tasks (preview) Позволяет приложению считывать задачи, доступные пользователю, в том числе собственные задачи пользователя и общие задачи.Allows the app to read tasks a user has permissions to access, including their own and shared tasks. НетNo НетNo
Tasks.ReadWriteTasks.ReadWrite Создание, чтение, обновление и удаление задач и контейнеров пользователя (предварительная версия)Create, read, update and delete user tasks and containers (preview) Приложение сможет создавать, просматривать, обновлять и удалять задачи и контейнеры (а также задачи в них), назначенные или предоставленные вошедшему пользователю.Allows the app to create, read, update and delete tasks and containers (and tasks in them) that are assigned to or shared with the signed-in user. НетNo ДаYes
Tasks.ReadWrite.SharedTasks.ReadWrite.Shared Чтение и запись задач пользователя и общих задач (предварительная версия)Read and write user and shared tasks (preview) Позволяет приложению создавать, считывать, обновлять и удалять задачи, доступные пользователю, в том числе его собственные и общие задачи.Allows the app to create, read, update, and delete tasks a user has permissions to, including their own and shared tasks. НетNo НетNo

Разрешения приложенийApplication permissions

Нет.None.

ЗаметкиRemarks

Разрешения Tasks используются для управления доступом к задачам Outlook. Доступом к задачам Планировщика (Майкрософт) управляют разрешения Group.Tasks permissions are used to control access for Outlook tasks. Access for Microsoft Planner tasks is controlled by Group permissions.

В настоящее время разрешения Shared поддерживаются только для рабочих и учебных учетных записей. Даже с разрешениями Shared операции чтения и записи могут завершаться сбоем, если владелец общего содержимого не предоставил пользователю разрешения на изменение содержимого в папке.Shared permissions are currently only supported for work or school accounts. Even with Shared permissions, reads and writes may fail if the user who owns the shared content has not granted the accessing user permissions to modify content within the folder.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • Tasks.Read. Получение всех задач в почтовом ящике пользователя (GET /me/outlook/tasks).Tasks.Read: Get all tasks in a user's mailbox (GET /me/outlook/tasks).
  • Tasks.Read.Shared. Доступ к задачам в папке, доступ к которой вам предоставил другой пользователь в организации (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).Tasks.Read.Shared: Access tasks in a folder shared to you by another user in your organization (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite. Добавление события в папку задач по умолчанию, принадлежащую пользователю (POST /me/outlook/tasks).Tasks.ReadWrite: Add an event to the user's default task folder (POST /me/outlook/tasks).
  • Tasks.Read. Получение всех незавершенных задач в почтовом ящике пользователя (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').Tasks.Read: Get all uncompleted tasks in a user's mailbox (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite. Обновление задачи в почтовом ящике пользователя (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).Tasks.ReadWrite: Update a task in a user's mailbox (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared. Выполнение задачи от имени другого пользователя (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).Tasks.ReadWrite.Shared: Complete a task on behalf of another user (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения, связанные с условиями использования Terms of use permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Agreement.Read.AllAgreement.Read.All Чтение всех соглашений с условиями использованияRead all terms of use agreements Позволяет приложению считывать соглашения с условиями использования от имени выполнившего вход пользователя.Allows the app to read terms of use agreements on behalf of the signed-in user. ДаYes НетNo
Agreement.ReadWrite.AllAgreement.ReadWrite.All Чтение и запись всех соглашений с условиями использованияRead and write all terms of use agreements Позволяет приложению считывать и записывать соглашения с условиями использования от имени выполнившего вход пользователя.Allows the app to read and write terms of use agreements on behalf of the signed-in user. ДаYes НетNo
AgreementAcceptance.ReadAgreementAcceptance.Read Чтение данных о состояниях принятия пользователем условий использованияRead user terms of use acceptance statuses Позволяет приложению считывать данные о состояниях принятия условий использования от имени выполнившего вход пользователя.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. ДаYes НетNo
AgreementAcceptance.Read.AllAgreementAcceptance.Read.All Чтение данных о состояниях принятия условий использования, доступных пользователюRead terms of use acceptance statuses that user can access Позволяет приложению считывать данные о состояниях принятия условий использования от имени выполнившего вход пользователя.Allows the app to read terms of use acceptance statuses on behalf of the signed-in user. ДаYes НетNo

ПримечанияRemarks

Все эти разрешения действительны только для рабочих и учебных учетных записей.All the permissions above are valid only for work or school accounts.

Чтобы с помощью приложения считывать или записывать все соглашения или данные об их принятии с использованием делегированных разрешений, выполнившему вход пользователю нужно назначить роль глобального администратора, администратора условного доступа или администратора безопасности.For an app to read or write all agreements or agreement acceptances with delegated permissions, the signed-in user must be assigned the Global Administrator, Conditional Access Administrator or Security Administrator role. Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.For more information about administrator roles, see Assigning administrator roles in Azure Active Directory.

Примеры использованияExample usage

Делегированные разрешенияDelegated

Следующие сценарии поддерживаются для делегированных разрешений:The following usages are valid for both delegated permissions:

  • Agreement.Read.All: "Чтение всех соглашений с условиями использования" (GET /beta/agreements);Agreement.Read.All: Read all terms of use agreements (GET /beta/agreements)
  • Agreement.ReadWrite.All: "Чтение и запись всех соглашений с условиями использования" (POST /beta/agreements);Agreement.ReadWrite.All: Read and write all terms of use agreements (POST /beta/agreements)
  • AgreementAcceptance.Read: "Чтение данных о состояниях принятия пользователем условий использования" (GET /beta/me/agreementAcceptances).AgreementAcceptance.Read Read user terms of use acceptance statuses (GET /beta/me/agreementAcceptances)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения политики инфраструктуры доверияTrust Framework policy permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Чтение политик организацииRead your organization's policies Позволяет приложению читать политики организации от имени вошедшего пользователя.Allows the app to read your organization’s security events on behalf of the signed-in user. ДаYes НетNo
Policy.ReadWrite.TrustFrameworkPolicy.ReadWrite.TrustFramework Чтение и запись политик инфраструктуры доверия в организацииRead and write your organization's trust framework policies Позволяет приложению считывать и записывать политики инфраструктуры доверия в организации от имени вошедшего пользователя.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. ДаYes НетNo

ПримечанияRemarks

Рабочая или учебная учетная запись должна быть глобальным администратором клиента.The work or school account must be a global administrator of the tenant.

Примеры использованияExample usage

Делегированные разрешенияDelegated

Следующие сценарии поддерживаются для делегированных разрешений:The following usages are valid for both delegated permissions:

  • Policy.Read.All. Чтение политик организации (GET /beta/trustFramework/policies)Policy.Read.All: Read all trustFramework policies (GET /beta/trustFramework/policies)
  • Policy.ReadWrite.TrustFramework. Чтение и запись политик инфраструктуры доверия в организации (POST /beta/trustFramework/policies)Policy.ReadWrite.TrustFramework: Read and write your organization's trust framework policies (POST /beta/trustFramework/policies)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Разрешения пользователейUser permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
User.ReadUser.Read Вход и чтение профиля пользователяSign-in and read user profile Позволяет пользователям входить в приложение, а приложению — просматривать профили вошедших пользователей. Кроме того, позволяет приложению считывать основные сведения о компании вошедших пользователей.Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users. НетNo ДаYes
User.ReadWriteUser.ReadWrite Доступ для чтения и записи к профилю пользователяRead and write access to user profile Позволяет приложению считывать весь профиль вошедшего пользователя.Allows the app to read the signed-in user's full profile. Также позволяет приложению обновлять информацию профиля вошедшего пользователя от его имени.It also allows the app to update the signed-in user's profile information on their behalf. НетNo ДаYes
User.ReadBasic.AllUser.ReadBasic.All Чтение базовых профилей всех пользователейRead all users' basic profiles Позволяет приложению просматривать базовый набор свойств профилей других пользователей организации от имени вошедшего пользователя.Allows the app to read a basic set of profile properties of other users in your organization on behalf of the signed-in user. К этим свойствам относятся отображаемое имя, имя и фамилия, адрес электронной почты, открытые расширения, а также фотография.This includes display name, first and last name, email address, open extensions and photo. Также позволяет приложению считывать весь профиль вошедшего пользователя.Also allows the app to read the full profile of the signed-in user. НетNo НетNo
User.Read.AllUser.Read.All Чтение полных профилей всех пользователейRead all users' full profiles Позволяет приложению считывать полный набор свойств профилей и сведения о подчиненных и руководителях других пользователей в вашей организации от имени вошедшего пользователя.Allows the app to read the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. ДаYes НетNo
User.ReadWrite.AllUser.ReadWrite.All Чтение и запись полных профилей всех пользователейRead and write all users' full profiles Позволяет приложению считывать и записывать полный набор свойств профилей и сведения о подчиненных и руководителях других пользователей в вашей организации от имени вошедшего пользователя. Кроме того, приложение сможет создавать и удалять пользователей, а также сбрасывать их пароли от имени вошедшего пользователя.Allows the app to read and write the full set of profile properties, reports, and managers of other users in your organization, on behalf of the signed-in user. Also allows the app to create and delete users as well as reset user passwords on behalf of the signed-in user. ДаYes НетNo
User.Invite.AllUser.Invite.All Приглашение гостевых пользователей в организациюInvite guest users to the organization Позволяет приложению приглашать гостевых пользователей в организацию от имени вошедшего пользователя.Allows the app to invite guest users to your organization, on behalf of the signed-in user. ДаYes НетNo
User.Export.AllUser.Export.All Экспорт данных пользователейExport users' data Позволяет приложению экспортировать данные пользователя организации, если экспорт выполняется администратором компании.Allows the app to export an organizational user's data, when performed by a Company Administrator. ДаYes НетNo

Разрешения приложенийApplication permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required
User.Read.AllUser.Read.All Чтение полных профилей всех пользователейRead all users' full profiles Приложение сможет просматривать полный набор свойств профиля, данные о членстве в группах, сведения о подчиненных и руководителях других пользователей в организации без входа пользователя.Allows the app to read the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. ДаYes
User.ReadWrite.AllUser.ReadWrite.All Чтение и запись полных профилей всех пользователейRead and write all users' full profiles Позволяет приложению в случаях, когда вход пользователя не предусмотрен, просматривать и записывать полный набор свойств профиля, данные о членстве в группах, сведения о подчиненных и руководителях других пользователей в организации. Кроме того, приложение сможет создавать и удалять пользователей, не являющихся администраторами. Не позволяет сбрасывать пароли пользователей.Allows the app to read and write the full set of profile properties, group membership, reports and managers of other users in your organization, without a signed-in user. Also allows the app to create and delete non-administrative users. Does not allow reset of user passwords. ДаYes
User.Invite.AllUser.Invite.All Приглашение гостевых пользователей в организациюInvite guest users to the organization Позволяет приложению приглашать гостевых пользователей в организацию в случаях, когда вход пользователя не предусмотрен.Allows the app to invite guest users to your organization, without a signed-in user. ДаYes
User.Export.AllUser.Export.All Экспорт данных пользователейExport users' data Позволяет приложению экспортировать данные пользователей организации без вошедшего пользователя.Allows the app to export organizational users' data, without a signed-in user. ДаYes

ПримечанияRemarks

С помощью разрешения User.Read приложение также может считывать основные сведения о компании вошедшего пользователя для рабочей или учебной учетной записи через ресурс organization. Доступны следующие свойства: id, displayName и verifiedDomains.With the User.Read permission, an app can also read the basic company information of the signed-in user for a work or school account through the organization resource. The following properties are available: id, displayName, and verifiedDomains.

Для рабочих и учебных учетных записей полный профиль включает все объявленные свойства ресурса User. При чтении по умолчанию возвращается только ограниченное количество свойств. Чтобы считывать свойства, не входящие в набор по умолчанию, используйте параметр $select. Свойства по умолчанию:For work or school accounts, the full profile includes all of the declared properties of the User resource. On reads, only a limited number of properties are returned by default. To read properties that are not in the default set, use $select. The default properties are:

  • displayName;displayName
  • givenName;givenName
  • jobTitle;jobTitle
  • mail;mail
  • mobilePhone;mobilePhone
  • officeLocation;officeLocation
  • preferredLanguage;preferredLanguage
  • surname;surname
  • userPrincipalName.userPrincipalName

Делегированные разрешения User.ReadWrite и User.Readwrite.All позволяют приложению обновлять следующие свойства профиля для рабочих или учебных учетных записей:User.ReadWrite and User.Readwrite.All delegated permissions allow the app to update the following profile properties for work or school accounts:

  • aboutMe;aboutMe
  • birthday;birthday
  • hireDate;hireDate
  • interests;interests
  • mobilePhone;mobilePhone
  • mySite;mySite
  • pastProjects;pastProjects
  • photo;photo
  • preferredName;preferredName
  • responsibilities;responsibilities
  • schools;schools
  • skills.skills

Разрешение User.ReadWrite.All приложения позволяет приложению обновлять все объявленные свойства рабочих или учебных учетных записей, кроме пароля.With the User.ReadWrite.All application permission, the app can update all of the declared properties of work or school accounts except for password.

Разрешение User.ReadWrite.All (делегированное или для приложений) позволяет обновлять свойства businessPhones, mobilePhone или otherMails других пользователей только для пользователей, не являющихся администраторами, или для пользователей, которым назначена одна из следующих ролей: читатель каталога, приглашающий гостей, читатель Центра сообщений или читатель отчетов.With the User.ReadWrite.All delegated or application permission, updating another user's businessPhones, mobilePhone or otherMails is only allowed on users who are non-administrators or assigned one of the following roles: Directory Readers, Guest Inviter, Message Center Reader and Reports Reader. Дополнительные сведения см. в разделе "Администратор службы поддержки (паролей)" среди доступных ролей Azure AD.For more details, see Helpdesk (Password) Administrator in Azure AD available roles.

Для считывания и записи сведений о подчиненных (directReports) или руководителе (manager) для рабочей или учебной учетной записи приложению необходимо свойство User.Read.All (только для чтения) или User.ReadWrite.All.To read or write direct reports (directReports) or the manager (manager) of a work or school account, the app must have either User.Read.All (read only) or User.ReadWrite.All.

Разрешение User.ReadBasic.All предоставляет приложению доступ только к ограниченному набору свойств, называемому базовым профилем. Это вызвано тем, что полный профиль может содержать конфиденциальные сведения о каталоге. Базовый профиль включает только следующие свойства:The User.ReadBasic.All permission constrains app access to a limited set of properties known as the basic profile. This is because the full profile might contain sensitive directory information. The basic profile includes only the following properties:

  • displayNamedisplayName
  • givenName;givenName
  • mail;mail
  • photo;photo
  • surnamesurname
  • userPrincipalNameuserPrincipalName

Чтобы приложение могло считывать сведения о членстве пользователя в группах (memberOf), приложению необходимо разрешение Group.Read.All или Group.ReadWrite.All. Но если пользователь является членом directoryRole или administrativeUnit, приложению также потребуются действующие разрешения на считывание этих ресурсов. В противном случае Microsoft Graph возвращает ошибку. Это означает, что приложению также потребуются разрешения Directory, а в случае делегированных разрешений вошедшему пользователю потребуются достаточные привилегии в организации для доступа к ролям каталога и административным единицам.To read the group memberships of a user (memberOf), the app must have either Group.Read.All or Group.ReadWrite.All. However, if the user also has membership in a directoryRole or an administrativeUnit, the app will need effective permissions to read those resources too, or Microsoft Graph will return an error. This means the app will also need Directory permissions, and, for delegated permissions, the signed-in user will also need sufficient privileges in the organization to access directory roles and administrative units.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • User.Read. Чтение полного профиля вошедшего пользователя (GET /me).User.Read: Read the full profile for the signed-in user (GET /me).
  • User.ReadWrite. Обновление фотографии вошедшего пользователя (PUT /me/photo/$value).User.ReadWrite: Update the photo of the signed-in user (PUT /me/photo/$value).
  • User.ReadBasic.All. Поиск всех пользователей с именем David (GET /users?$filter=startswith(displayName,'David')).User.ReadBasic.All: Find all users whose name starts with "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All. Чтение сведений о руководителе пользователя (GET /user/{id | userPrincipalName}/manager).User.Read.All: Read a user's manager (GET /user/{id | userPrincipalName}/manager).

Для приложенийApplication

  • User.Read.All. Чтение всех пользователей и связей с помощью разностного запроса (GET /beta/users/delta?$select=displayName,givenName,surname).User.Read.All: Read all users and relationships through delta query (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All. Обновление фотографии любого пользователя в организации (PUT /user/{id | userPrincipalName}/photo/$value).User.ReadWrite.All: Update the photo for any user in the organization (PUT /user/{id | userPrincipalName}/photo/$value).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.

Разрешения, касающиеся действий пользователяUser Activity permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
UserActivity.ReadWrite.CreatedByAppUserActivity.ReadWrite.CreatedByApp Чтение и запись действий приложений в вашем веб-канале активностиRead and write app activity to users' activity feed Позволяет приложению считывать и передавать сведения о действиях вошедшего пользователя в приложении.Allows the app to read and report the signed-in user's activity in the app. НетNo ДаYes

Разрешения приложенийApplication permissions

Нет.None.

ЗамечанияRemarks

UserActivity.ReadWrite.CreatedByApp поддерживается как для учетных записей Майкрософт, так и для рабочих или учебных рабочих записей.UserActivity.ReadWrite.CreatedByApp is valid for both Microsoft accounts and work or school accounts.

Ограничение CreatedByApp, связанное с этим разрешением, означает, что служба будет применять неявную фильтрацию результатов на основе удостоверения вызывающего приложения: либо идентификатора приложения MSA, либо набора идентификаторов, настроенных для идентификации кроссплатформенных приложений.The CreatedByApp constraint associated with this permission indicates the service will apply implicit filtering to results based on the identity of the calling app, either the MSA app id or a set of app ids configured for a cross-platform application identity.

Примеры использованияExample usage

Делегированные разрешенияDelegated

  • UserActivity.ReadWrite.CreatedByApp: получение списка недавних действий уникального пользователя на основе связанных записей журнала, опубликованных за последний день.UserActivity.ReadWrite.CreatedByApp: Get a list of recent unique user activities based on associated history items published in the last day. (GET /me/activities/recent).(GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: публикация или обновление действия, которое пользователь приложения может возобновить.UserActivity.ReadWrite.CreatedByApp: Publish or update a user activity which may be resumed by the user of the application. (PUT /me/activities/%2Farticle%3F12345).(PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: публикация или обновление записи журнала о действии указанного пользователя для обозначения периода взаимодействия.UserActivity.ReadWrite.CreatedByApp: Publish or update a history item for a specified user activity in order to represent the period of user engagement. (PUT /me/activities/{id}/historyItems/{id}).(PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: удаление действия пользователя в ответ на инициированный пользователем запрос или для удаления недействительных данных.UserActivity.ReadWrite.CreatedByApp: Delete a user activity in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}).(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: удаление записи журнала в ответ на инициированный пользователем запрос или для удаления недействительных данных.UserActivity.ReadWrite.CreatedByApp: Delete a history item in response to user initiated request or to remove invalid data. (DELETE /me/activities/{id}/historyItems/{id}).(DELETE /me/activities/{id}/historyItems/{id}).

Разрешения политики развертывания функцийFeature rollout policy permissions

Делегированные разрешенияDelegated permissions

РазрешениеPermission Отображаемая строкаDisplay String ОписаниеDescription Необходимость в согласии администратораAdmin Consent Required Поддержка учетной записи МайкрософтMicrosoft Account supported
Policy.Read.AllPolicy.Read.All Чтение политик организацииRead your organization's policies Позволяет приложению читать политики организации от имени вошедшего пользователя.Allows the app to read your organization’s security events on behalf of the signed-in user. ДаYes НетNo
Policy.ReadWrite.FeatureRolloutPolicy.ReadWrite.FeatureRollout Чтение и запись политик развертывания функций в организацииRead and write your organization's feature rollout policies Позволяет приложению считывать и записывать политики развертывания функций в организации от имени вошедшего пользователя.Allows the app to read and write TrustFramework Policies on behalf of the signed-in user. Содержит возможности назначения и удаления пользователей и групп для развертывания определенной функции.Includes abilities to assign and remove users and groups to rollout of a specific feature. ДаYes НетNo

Разрешения приложенийApplication permissions

Нет.None.

ПримечанияRemarks

Рабочая или учебная учетная запись должна быть глобальным администратором клиента.The work or school account must be a global administrator of the tenant.

Примеры использованияExample usage

Делегированные разрешенияDelegated

Следующие сценарии поддерживаются для делегированных разрешений:The following usages are valid for both delegated permissions:

  • Policy.Read.All. Чтение политик организации (GET /beta/directory/featureRolloutPolicies)Policy.Read.All: Read all trustFramework policies (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.FeatureRollout. Чтение и запись политик развертывания функций в организации (POST /beta/directory/featureRolloutPolicies)Policy.ReadWrite.FeatureRollout: Read and write your organization's feature rollout policies (POST /beta/directory/featureRolloutPolicies)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.For more complex scenarios involving multiple permissions, see Permission scenarios.


Сценарии с использованием разрешенийPermission scenarios

В этом разделе показаны некоторые распространенные сценарии, связанные с ресурсами user и group в организации. В таблицах показаны разрешения, необходимые приложению для выполнения определенных операций, требуемых сценарием. Обратите внимание, что в некоторых случаях способность приложения выполнять определенные операции зависит от того, какое разрешение предоставлено — разрешение приложения или делегированное разрешение. В случае делегированных разрешений действующие разрешения приложения также зависят от привилегий вошедшего пользователя в организации. Дополнительные сведения см. в разделе Разрешения приложения, делегированные разрешения и действующие разрешения.This section shows some common scenarios that target user and group resources in an organization. The tables show the permissions that an app needs to be able to perform specific operations required by the scenario. Note that in some cases the ability of the app to perform specific operations will depend on whether a permission is an application or delegated permission. In the case of delegated permissions, the app's effective permissions will also depend on the privileges of the signed-in user within the organization. For more information, see Delegated permissions, Application permissions, and effective permissions.

Сценарии доступа к ресурсу UserAccess scenarios on the User resource

Задачи приложения, связанные с пользователемApp tasks involving User Необходимые разрешенияRequired permissions Строка разрешенияPermission strings
Приложение запрашивает разрешение просматривать основные сведения других пользователей (только отображаемое имя и изображение), например для отображения при выборе людей.App wants to read other users' basic information (only display name and picture), for example to show in a people picking experience User.ReadBasic.AllUser.ReadBasic.All Чтение базовых профилей всех пользователейRead all user's basic profiles
Приложение запрашивает разрешение просматривать полный профиль вошедшего пользователя (подчиненные, руководитель и т. д.).App wants to read complete user profile for signed in user (see direct reports, and manager, etc.) User.ReadUser.Read Вход в систему и чтение профиля пользователяEnable sign-in and read user profile
Приложение запрашивает разрешение просматривать полные профили всех пользователей.App wants to read complete user profile all users User.Read.AllUser.Read.All Чтение полных профилей всех пользователейRead all user's full profiles
Приложение запрашивает разрешение просматривать файлы, почту и данные календаря вошедшего пользователя.App wants to read files, mail and calendar information for the signed in user User.Read, Files.Read, Mail.Read, Calendars.ReadUser.Read, Files.Read, Mail.Read, Calendars.Read Вход в систему и чтение профиля пользователя, чтение файлов пользователей, чтение почты пользователей, чтение пользовательских календарейEnable sign-in and read user profile, Read users' files, Read user mail, Read user calendars
Приложение запрашивает разрешение просматривать файлы вошедшего пользователя и файлы, доступ к которым ему предоставили другие пользователи.App wants to read the signed-in user's (my) files and files that other users have shared with the signed-in user (me). User.Read, Files.Read, Sites.Read.AllUser.Read, Files.Read, Sites.Read.All Вход в систему и чтение профиля пользователя, чтение файлов пользователей, чтение элементов во всех семействах веб-сайтовEnable sign-in and read user profile, Read users' files, Read items in all site collections
Приложение запрашивает разрешение просматривать и записывать полный профиль вошедшего пользователя.App wants to read and write complete user profile for signed in user User.ReadWriteUser.ReadWrite Доступ для чтения и записи к профилю пользователяRead and write access to user profile
Приложение запрашивает разрешение просматривать и записывать полные профили всех пользователей.App wants to read and write complete user profile all users User.ReadWrite.AllUser.ReadWrite.All Чтение и запись полных профилей всех пользователейRead and write all user's full profiles
Приложение запрашивает разрешение просматривать и записывать файлы, почту и данные календаря вошедшего пользователя.App wants to read and write files, mail and calendar information for the signed in user User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWriteUser.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Доступ для чтения и записи к профилю пользователя, доступ для чтения и записи к почте пользователя, полный доступ к пользовательским календарямRead and write access to user profile, Read and write access to user profile, Read and write access to user mail, Have full access to user calendars
Приложение хочет отправить запрос на экспорт персональных данных пользователя (операция, связанная с политикой данных).App wants to submit a data policy operation request to export a user's personal data User.Export.AllUser.Export.All Экспорт персональных данных пользователя.Export a user'a personal data.

Сценарии доступа к ресурсу GroupAccess scenarios on the Group resource

Задачи приложения, связанные с группойApp tasks involving Group Необходимые разрешенияRequired permissions Строка разрешенияPermission strings
Приложение запрашивает разрешение просматривать основные сведения о группе (только отображаемое имя и изображение), например для отображения при выборе групп.App wants to read basic group info (only display name and picture), for example to show in a group picking experience Group.Read.AllGroup.Read.All Чтение всех группRead all groups
Приложение запрашивает разрешение просматривать все содержимое во всех группах Office 365, в том числе файлы и беседы. Ему также требуется показывать членов группы и обновлять эти данные (если пользователь — владелец).App wants to read all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.Read.AllGroup.Read.All Чтение элементов во всех семействах веб-сайтов, чтение всех группRead items in all site collections, Read all groups
Приложение запрашивает разрешение просматривать и записывать все содержимое во всех группах Office 365, в том числе файлы и беседы. Ему также требуется показывать членов группы и обновлять эти данные (если пользователь — владелец).App wants to read and write all content in all Office 365 groups, including files, conversations. It also needs to show group memberships, be able to update group memberships, (if owner). Group.ReadWrite.All, Sites.ReadWrite.AllGroup.ReadWrite.All, Sites.ReadWrite.All Чтение и запись всех групп, редактирование и удаление элементов во всех семействах веб-сайтовRead and write all groups, Edit or delete items in all site collections
Приложение запрашивает разрешение на поиск группы Office 365. Пользователь сможет найти определенную группу, выбрать ее из нумерованного списка, чтобы затем присоединиться к ней.App wants to discover (find) an Office 365 group. It allows the user to search for a particular group and choose one from the enumerated list to allow the user to join the group. Group.ReadWrite.AllGroup.ReadWrite.All Чтение и запись всех группRead and write all groups
Приложение запрашивает разрешение на создание группы с помощью AAD Graph.App wants to create a group through AAD Graph Group.ReadWrite.AllGroup.ReadWrite.All Чтение и запись всех группRead and write all groups