Справочник по разрешениям Microsoft Graph

Чтобы приложение имело доступ к данным в Microsoft Graph, пользователь или администратор должен предоставить ему соответствующие разрешения с помощью процедуры получения согласия. В этой статье перечислены разрешения, связанные с каждым основным набором API Microsoft Graph. В ней также приведены руководства по использованию разрешений.

Примечание

Рекомендуется запрашивать разрешения с минимальными правами, необходимыми вашему приложению для доступа к данным и правильной работы. Запрос разрешений с правами, превышающими необходимые, отрицательно сказывается на безопасности, и в результате пользователи могут не предоставлять согласие, что повлияет на использование вашего приложения.

Дополнительные сведения о принципах действия разрешений см. в статье Основные сведения о проверке подлинности и авторизации и в следующем видеоролике.

Имена разрешений Microsoft Graph

Имена разрешений Microsoft Graph соответствуют простому шаблону: ресурс.операция.ограничение. Например, разрешение User.Read позволяет просматривать профиль вошедшего пользователя, разрешение User.ReadWrite — просматривать и редактировать профиль вошедшего пользователя, а разрешение Mail.Send — отправлять почту от его имени.

Указанное в имени ограничение определяет потенциальный уровень доступа приложения в рамках каталога. В настоящее время Microsoft Graph поддерживает следующие ограничения:

  • All, которое позволяет приложению выполнять операции со всеми ресурсами указанного типа в каталоге. Например, разрешение User.Read.All может предоставить приложению права на просмотр профилей всех пользователей в каталоге.
  • Shared, которое позволяет приложению выполнять операции с ресурсами, доступ к которым предоставлен вошедшему пользователю другими пользователями. Это ограничение в основном используется с такими ресурсами Outlook, как почта, календари и контакты. Например, разрешение Mail.Read.Shared позволяет просматривать сообщения в почтовом ящике вошедшего пользователя, а также в почтовых ящиках, доступ к которым предоставлен вошедшему пользователю другими пользователями в организации.
  • AppFolder, которое предоставляет приложению права на чтение и запись файлов в выделенной папке в OneDrive. Это ограничение доступно только в разрешениях для файлов и действительно только для учетных записей Майкрософт.
  • Если ограничение не указано, приложение сможет выполнять операции только с ресурсами, принадлежащими вошедшему пользователю. Например, разрешение User.Read позволяет просматривать только профиль вошедшего пользователя, а Mail.Read — только сообщения в почтовом ящике вошедшего пользователя.

Примечание

В делегированных сценариях доступ приложения также ограничен правами пользователя, выполнившего вход. Эти права определяются назначенными пользователями ролями и их отношением к данным, к которым осуществляется доступ. Например, если у пользователя, выполнившего вход, отсутствуют соответствующие права для просмотра файла, клиентское приложение также не сможет прочитать этот файл, даже если приложению предоставлено делегированное разрешение File.Read.All.

Учетные записи Майкрософт и рабочие или учебные учетные записи

Не все разрешения действительны как для учетных записей Майкрософт, так и для рабочих или учебных учетных записей. В столбце Поддерживаемая учетная запись Майкрософт для каждой группы разрешений указано, для каких учетных записей действительно то или иное разрешение: для учетных записей Майкрософт, для рабочих и учебных учетных записей либо для всех типов.

Ограничения на запрашиваемые разрешения на приложение

Azure AD ограничивает количество разрешений, которые можно запросить и дать клиентскому приложению. Эти ограничения зависят от значения signInAudience в приложении, отображаемого в манифесте приложения.

signInAudience Разрешенные пользователи Максимальное количество разрешений, которое может запросить приложение Максимальное количество разрешений Microsoft Graph, которые может запросить приложение Максимальное количество разрешений, которые можно дать в одном запросе
AzureADMyOrg Пользователи из организации, в которой зарегистрировано приложение 400 400 Около 155 делегированных разрешений и около 300 разрешений приложения
AzureADMultipleOrgs Пользователи из любой организации Azure AD 400 400 Около 155 делегированных разрешений и около 300 разрешений приложения
PersonalMicrosoftAccount Пользователи-потребители (например, учетные записи Outlook.com или Live.com) 30 30 30
AzureADandPersonalMicrosoftAccount Пользователи-потребители и пользователи из любой организации Azure AD 30 30 30

Состояние доступности разрешений

Разрешения Microsoft Graph на портале Azure обычно общедоступны и могут использоваться для всех приложений, кроме нескольких наборов разрешений в состоянии предварительной версии или закрытой предварительной версии. Разрешения в состоянии предварительной версии доступны широкой публике. Они могут изменяться, поэтому их не повышают до общедоступного состояния. Разрешения в состоянии закрытой предварительной версии недоступны и не будут доступны широкой публике. Не используйте разрешения в состоянии предварительной версии или закрытой предварительной версии в рабочих приложениях.

Ограничения на поиск пользователей и групп для гостевых пользователей в организациях

Функции поиска пользователей и групп позволяют приложению найти любого пользователя и любую группу в каталоге организации с помощью запросов для набора ресурсов /users или /groups (например, https://graph.microsoft.com/v1.0/users). Эта возможность доступна администраторам и пользователям, но не гостям.

Если пользователь вошел как гость, то в зависимости от предоставленных приложению разрешений оно может считывать профиль определенного пользователя или определенной группы (например, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). Но оно не может отправлять набору ресурсов /users или /groups запросы, способные возвращать несколько ресурсов.

При наличии подходящих разрешений приложение может считывать профили пользователей и групп, которые оно получает благодаря ссылкам в свойствах навигации (например, /users/{id}/directReports или /groups/{id}/members).

Ограниченные сведения, возвращаемые для недоступных объектов member

Объекты контейнеров, такие как группы, поддерживают участников различных типов, например пользователей и устройства. Если приложение запрашивает сведения об участии объекта контейнера и не имеет разрешения на чтение определенного типа, участники этого типа возвращаются, но с ограниченными сведениями. Приложение получает отклик 200 и коллекцию объектов. Полные сведения возвращаются для типов объектов, на чтение которых у приложения есть разрешения. Для типов объектов, на чтение которых у приложения нет разрешений, возвращаются только тип и идентификатор объекта.

Это относится ко всем отношениям типа directoryObject (а не только к ссылкам участников). Примеры включают /groups/{id}/members, /users/{id}/memberOf или me/ownedObjects.

Предположим, у приложения есть разрешения User.Read.All и Group.Read.All для Microsoft Graph. Создана группа, содержащая пользователя, группу и устройство. Приложение вызывает перечисление участников группы. У приложения есть доступ к объектам user и group в группе, но не к объекту device. В отклике возвращаются все выбранные свойства объектов user и group. Но для объекта device возвращаются только ограниченные сведения. Для устройства возвращаются тип и ИД объекта, а другие свойства имеют значение null. Приложения без разрешения не смогут использовать идентификатор для получения фактического объекта.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Ниже приведен отклик JSON.

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Разрешения проверок доступа

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
AccessReview.Read.All Чтение всех проверок доступа Позволяет приложению считывать проверки доступа от имени вошедшего пользователя. Да Нет
AccessReview.ReadWrite.All Управление всеми проверками доступа Позволяет приложению считывать и записывать проверки доступа от имени вошедшего пользователя. Да Нет
AccessReview.ReadWrite.Membership Управление проверками доступа для участия в группах и приложениях Позволяет приложению считывать и записывать проверки доступа к группам и приложениям от имени выполнившего вход пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
AccessReview.Read.All Чтение всех проверок доступа Позволяет приложению считывать проверки доступа без необходимости входа пользователя. Да
AccessReview.ReadWrite.All Управление всеми проверками доступа Приложение сможет считывать, обновлять, удалять и выполнять действия, связанные с проверками доступа, рецензентами, решениями и настройками в организации, без необходимости входа пользователя. Да
AccessReview.ReadWrite.Membership Управление проверками доступа для участия групп и приложений Позволяет приложению управлять проверками доступа для групп и приложений без необходимости входа пользователя. Да

Примечания

AccessReview.Read.All, AccessReview.ReadWrite.All и AccessReview.ReadWrite.Membership допустимы только для рабочих и учебных учетных записей.

Чтобы приложение с делегированными разрешениями могло считывать проверки доступа группы или приложения, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности", "Читатель безопасности" или "Администратор пользователей". Чтобы приложение с делегированными разрешениями могло записывать проверки доступа группы или приложения, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор пользователей".

Чтобы приложение с делегированными разрешениями могло считывать проверки доступа роли Azure AD, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности", "Читатель безопасности" или "Администратор привилегированных ролей". Чтобы приложение с делегированными разрешениями могло записывать проверки доступа роли Azure AD, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор привилегированных ролей".

Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.


Разрешения для административных единиц

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
AdministrativeUnit.Read.All Чтение административных единиц Позволяет приложению считывать административные единицы и сведения о членстве в них от имени вошедшего пользователя. Да Нет
AdministrativeUnit.ReadWrite.All Чтение и запись административных единиц Позволяет приложению создавать, считывать, обновлять и удалять административные единицы, а также управлять членством в них от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
AdministrativeUnit.Read.All Чтение всех административных единиц Позволяет приложению считывать административные единицы и сведения о членстве в них без вошедшего пользователя. Да
AdministrativeUnit.ReadWrite.All Чтение и запись всех административных единиц Позволяет приложению создавать, считывать, обновлять и удалять административные единицы, а также управлять членством в них без вошедшего пользователя. Да

Примечания

При наличии разрешения AdministrativeUnit.Read.All приложение может считывать сведения об административных единицах, в том числе об их участниках.

При наличии разрешения AdministrativeUnit.ReadWrite.All приложение может создавать, считывать, обновлять и удалять сведения об административных единицах, в том числе об их участниках.

Разрешения AdministrativeUnit.Read.All и AdministrativeUnit.ReadWrite.All допустимы только для рабочих или учебных учетных записей.

Примеры использования

Примечание

Конечная точка v1.0 для API административных единиц — /v1.0/directory/administrativeUnits.

  • AdministrativeUnit.Read.All: считывание административных единиц (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: считывание списка участников административной единицы (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: создание административной единицы (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: обновление административной единицы (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: добавление участников в административную единицу (POST /beta/administrativeUnits/<id>/members)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения ресурсов аналитики

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Analytics.Read Чтение статистики действий пользователя Позволяет приложению считывать статистику действий вошедшего пользователя, например время, затраченное пользователем на сообщения электронной почты, собрания или сеансы чата. Нет

Разрешения приложений

Нет.

Примеры использования

Delegated

Приложение

Отсутствуют.


Разрешения ресурса AppCatalog

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Требуется учетная запись Майкрософт
AppCatalog.Read.All Считывание всех каталогов приложений Позволяет приложению считывать приложения в каталогах. Нет Нет
AppCatalog.ReadWrite.All Чтение и запись во всех каталогах приложений Позволяет приложению создавать, считывать, обновлять и удалять приложения в каталогах приложений. Да Нет
AppCatalog.Submit Отправка приложения для проверки администратором Позволяет пользователю отправить приложение на проверку администратору для публикации в каталоге приложений организации, а также отменить прошлые отправки, которые не были опубликованы.
𝐍𝐎𝐓𝐄: Пользователи, не являющиеся администраторами, отправляют приложения на проверку путем добавления параметра запроса requiresReview=true.
Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Требуется согласие администратора
AppCatalog.Read.All Считывание всех каталогов приложений Позволяет приложению считывать приложения в каталогах приложений без необходимости входа пользователя. Да
AppCatalog.ReadWrite.All Чтение и запись во всех каталогах приложений Позволяет приложению создавать, считывать, обновлять и удалять приложения в каталогах приложений без необходимости входа пользователя. Да

Примечания

В настоящее время единственным каталогом является список приложений в Microsoft Teams.

Примеры использования

Делегированное

Приложение

Отсутствуют.


Разрешения ресурсов приложения

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Application.Read.All Чтение приложений Позволяет приложению читать приложения и субъекты-службы от имени вошедшего пользователя. Да
Application.ReadWrite.All Чтение и запись всех приложений Позволяет приложению создавать, читать, обновлять и удалять приложения и субъекты-службы от имени вошедшего пользователя. Да
AppRoleAssignment.ReadWrite.All Управление разрешениями приложений и ролями приложений Приложение сможет управлять предоставлением разрешений для разрешений приложений для любого API (включая Microsoft Graph) и назначений приложений для любого приложения от имени вошедшего в систему пользователя. Да
DelegatedPermissionGrant.ReadWrite.All Предоставление делегированных разрешений Приложение сможет управлять делегированными разрешениями, предоставляемыми любым API (включая Microsoft Graph), от имени вошедшего в систему пользователя. Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Application.Read.All Чтение приложений Позволяет приложению читать приложения и субъекты-службы без необходимости входа пользователя. Да
Application.ReadWrite.All Чтение и запись всех приложений Позволяет вызывающему приложению создавать приложения и субъект-службы, а также управлять ими (т. е. читать, обновлять, обновлять секретные ключи приложения и удалять) без необходимости входа пользователя. Управлять разрешениями на согласие, а также назначениями приложений для пользователей или групп не разрешается. Да
Application.ReadWrite.OwnedBy Управление приложениями, которыми это приложение владеет или которые были им созданы Позволяет вызывающему приложению создавать другие приложения и субъект-службы, а также полностью управлять ими (читать, обновлять, обновлять секретные ключи приложения и удалять) без необходимости входа пользователя. Приложение может обновлять только программы, которыми владеет. Управлять разрешениями на согласие, а также назначениями приложений для пользователей или групп не разрешается. Да
AppRoleAssignment.ReadWrite.All Управление разрешениями приложений и ролями приложений Позволяет приложению управлять разрешениями на доступ к приложениям для любого API (включая Microsoft Graph) и назначениями приложений для любого приложения без необходимости выполнять вход. Да
DelegatedPermissionGrant.ReadWrite.All Управление всеми делегированными разрешениями Позволяет приложению предоставлять или отзывать делегированные разрешения, предоставляемые любым API (включая Microsoft Graph) без необходимости выполнять вход. Да

Заметки

Внимание!

Разрешения, позволяющие предоставлять авторизацию, например AppRoleAssignment.ReadWrite.All, позволяют приложению предоставлять дополнительные привилегии себе, другим приложениям или любому пользователю. Кроме того, разрешения, позволяющие управлять учетными данными, такие как Application.ReadWrite.All, позволяют приложению выступать в качестве других сущностей и использовать предоставленные им привилегии. Соблюдайте осторожность при предоставлении каких-либо из этих разрешений.

Разрешение Application.ReadWrite.OwnedBy обеспечивает те же операции, что и Application.ReadWrite.All, но только для приложений и субъектов-служб, которыми владеет вызывающее приложение. Владелец указывается свойством навигации owners в целевом ресурсе приложения или субъекта-службы.

Примечание: использование разрешения Application.ReadWrite.OwnedBy для вызова команды GET /applications с целью составления списка приложений приводит к ошибке 403. Вместо этого используйте команду GET servicePrincipals/{id}/ownedObjects, чтобы составить список приложений, которыми владеет вызывающее приложение.

Примеры использования

Делегированные разрешения

  • Application.Read.All. Составление списка всех приложений (GET /v1.0/applications)
  • Application.ReadWrite.All. Обновление субъекта-службы (PATCH /v1.0/servicePrincipals/{id})

Для приложений

  • Application.Read.All. Составление списка всех приложений (GET /v1.0/applications)
  • Application.ReadWrite.All. Удаление субъект-службы (DELETE /v1.0/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy. Создание приложения (POST /v1.0/applications)
  • Application.ReadWrite.OwnedBy. Составление списка всех приложений, принадлежащих вызывающему приложению (GET /v1.0/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy. Добавление другого владельца приложения (POST /v1.0/applications/{id}/owners/$ref).

    Примечание: могут потребоваться дополнительные разрешения.


Разрешения журнала аудита

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
AuditLog.Read.All Чтение данных журнала аудита Позволяет приложению читать и запрашивать ваши действия журнала аудита от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
AuditLog.Read.All Чтение всех данных журнала аудита Позволяет приложению читать и запрашивать ваши действия журнала аудита без необходимости входа пользователя. Да

Разрешения ключа восстановления BitLocker

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
BitlockerKey.ReadBasic.All Чтение основных сведений о ключе BitLocker Позволяет приложению прочесть свойства ключа BitLocker для всех устройств в клиенте. Ключ восстановления не возвращается. Да Нет
BitlockerKey.Read.All Чтение ключа BitLocker Позволяет приложению прочесть ключи BitLocker для всех устройств в клиенте. Ключ восстановления возвращается. Да Нет

Разрешения приложений

Нет.

Примеры использования

Delegated

  • BitlockerKey.ReadBasic.All: Составление списка ключей восстановления BitLocker для всех устройств в клиенте без возвращения свойства "key" (GET /bitlocker/recoveryKeys).
  • BitlockerKey.Read.All: Получение ключа восстановления BitLocker с помощью ключа восстановления (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key).

Разрешения Bookings

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Bookings.Read.All Позволяет приложению считывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings от имени вошедшего пользователя. Для приложений, предназначенных только для чтения. Типичный целевой пользователь — клиент компании по бронированию. Нет Нет
BookingsAppointment.ReadWrite.All Позволяет приложению считывать и записывать встречи и клиентов Bookings, а также считывать сведения о компаниях, службах и персонале от имени вошедшего пользователя. Предназначено для программ планирования, которым необходимо выполнять операции со встречами и клиентами. Не предусмотрена возможность менять основную информацию о компании по бронированию, ее услугах и персонале. Типичный целевой пользователь — клиент компании по бронированию. Нет Нет
Bookings.ReadWrite.All Позволяет приложению считывать и записывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings от имени вошедшего пользователя. Не позволяют создавать, удалять или публиковать компании Bookings. Предназначено для приложений управления, которые выполняют операции с существующими компаниями, их службами и персоналом. Не предусмотрена возможность создавать, удалять или изменять состояние публикации компании по бронированию. Типичный целевой пользователь — сотрудник службы поддержки в организации. Нет Нет
Bookings.Manage.All Позволяет приложению считывать и записывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings, а также управлять такими сведениями от имени вошедшего пользователя. Предоставляет приложению полный доступ.
Предназначается для полного управления. Типичный целевой пользователь — администратор организации.
Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Bookings.Read.All Позволяет приложению считывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings от имени вошедшего пользователя. Для приложений, предназначенных только для чтения. Типичный целевой пользователь — клиент компании по бронированию. Да Нет
BookingsAppointment.ReadWrite.All Позволяет приложению считывать и записывать встречи и клиентов Bookings, а также считывать сведения о компаниях, службах и персонале от имени вошедшего пользователя. Предназначено для программ планирования, которым необходимо выполнять операции со встречами и клиентами. Не предусмотрена возможность менять основную информацию о компании по бронированию, ее услугах и персонале. Типичный целевой пользователь — клиент компании по бронированию. Да Нет
Bookings.ReadWrite.All Позволяет приложению считывать и записывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings от имени вошедшего пользователя. Не позволяют создавать, удалять или публиковать компании Bookings. Предназначено для приложений управления, которые выполняют операции с существующими компаниями, их службами и персоналом. Не предусмотрена возможность создавать, удалять или изменять состояние публикации компании по бронированию. Типичный целевой пользователь — сотрудник службы поддержки в организации. Да Нет
Bookings.Manage.All Позволяет приложению считывать и записывать сведения о встречах, компаниях, клиентах, службах и персонале Bookings, а также управлять такими сведениями от имени вошедшего пользователя. Предоставляет приложению полный доступ.
Предназначается для полного управления. Типичный целевой пользователь — администратор организации.
Да Нет

Примеры использования

Делегированные разрешения

  • Bookings.Read.All: получение идентификатора и имен коллекции компаний Bookings, созданной для клиента (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All: создание встречи для службы в компании Bookings (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: создание новой службы для указанной компании Bookings (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All: создание страницы расписания данной компании, доступной внешним клиентам (POST /bookingBusinesses/{id}/publish).

Разрешения для календарей

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Calendars.Read Чтение пользовательских календарей Позволяет приложению считывать события в пользовательских календарях. Нет Да
Calendars.Read.Shared Чтение пользовательских и общих календарей Позволяет приложению считывать события во всех календарях, доступных пользователю, в том числе делегированных и общих. Нет Нет
Calendars.ReadWrite Полный доступ к пользовательским календарям Позволяет приложению создавать, считывать, обновлять и удалять события в пользовательских календарях. Нет Да
Calendars.ReadWrite.Shared Чтение и запись пользовательских и общих календарей Позволяет приложению создавать, читать, обновлять и удалять события во всех календарях, доступных пользователю, в том числе делегированных и общих календарях. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Calendars.Read Чтение календарей во всех почтовых ящиках Позволяет приложению считывать события во всех календарях в случаях, когда вход пользователя не предусмотрен. Да
Calendars.ReadWrite Чтение и запись календарей во всех почтовых ящиках Позволяет приложению создавать, считывать, обновлять и удалять события во всех календарях в случаях, когда вход пользователя не предусмотрен. Да

Важно! Администраторы могут настроить политику доступа приложения, чтобы разрешить приложению доступ к определенным почтовым ящикам, а не ко всем почтовым ящикам в организации, даже если ему предоставлены разрешения приложений Calendars.Read или Calendars.ReadWrite.

Примеры использования

Делегированные разрешения

  • Calendars.Read. Получение событий пользовательского календаря, произошедших с 23 апреля 2017 г. до 29 апреля 2017 г. (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: поиск периодов, когда свободны все участники (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite. Добавление события в календарь пользователя (POST /me/events).

Для приложений

  • Calendars.Read. Поиск событий, организованных пользователем bob@contoso.com, в календаре конференц-зала (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: список всех событий в календаре пользователя за май (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00).
  • Calendars.ReadWrite. Добавление в пользовательский календарь события для утвержденного нерабочего времени (POST /users/{id | userPrincipalName}/events).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.

Разрешения звонков

Делегированные разрешения

Нет.


Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Calls.Initiate.All Инициировать исходящие личные вызовы из приложения Позволяет приложению совершать исходящие звонки одному пользователю и передавать звонки пользователям из каталога вашей организации без необходимости входа пользователя. Да
Calls.InitiateGroupCall.All Инициировать исходящие групповые вызовы из приложения Позволяет приложению совершать исходящие звонки нескольким пользователям и добавлять участников в собрания в организации без необходимости входа пользователя. Да
Calls.JoinGroupCall.All Присоединяться к групповым вызовам и собраниям в качестве приложения Позволяет приложению присоединяться к групповым звонкам и запланированным собраниям в организации без необходимости входа пользователя. Приложение присоединится к собраниям в клиенте с уровнем привилегий пользователя каталога. Да
Calls.JoinGroupCallasGuest.All Присоединение к групповым вызовам и собраниям в качестве гостя Позволяет приложению анонимно присоединяться к групповым звонкам и запланированным собраниям в организации без необходимости входа пользователя. Приложение присоединится к собраниям в клиенте в качестве гостя. Да
Calls.AccessMedia.All* Доступ к медиапотокам во время вызова в качестве приложения Позволяет приложению получить прямой доступ к потокам мультимедиа в ходе звонка без необходимости входа пользователя. Да

*Важно! Вы НЕ можете использовать API облачных коммуникаций для записи или сохранения другими способами мультимедийного содержимого звонков или собраний, к которым получает доступ ваше приложение. Это также относится к данным, извлекаемым из этого мультимедийного содержимого. Убедитесь, что вы соблюдаете требования региональных законов и норм, связанных с защитой данных и конфиденциальности коммуникаций. Дополнительные сведения можно узнать из условий использования и обратившись за юридической помощью.


Примеры использования

Приложение

  • Calls.Initiate.All. Совершение однорангового звонка из приложения пользователю в организации (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All. Совершение группового звонка из приложения группе пользователей в организации (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All. Присоединение к групповому звонку или собранию по сети из приложения (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All. Присоединение к групповому звонку или собранию по сети из приложения, но у приложения есть только гостевые разрешения в собрании (POST /beta/communications/calls).
  • Calls.AccessMedia.All. Создание звонка или присоединение к нему с получением приложением прямого доступа к потокам мультимедиа участников звонка (POST /beta/communications/calls).

Примечание. Примеры запросов см. в статье Создание звонка.

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.

Разрешения для записей звонков

Делегированные разрешения

Нет.


Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
CallRecords.Read.All Чтение всех записей звонков Позволяет приложению читать записи звонков для всех звонков и собраний по сети без необходимости входа пользователя. Да
CallRecord-PstnCalls.Read.All Чтение данных журнала звонков ТСОП и прямой маршрутизации Позволяет приложению прочесть все данные журнала звонков по ТСОП и прямой маршрутизации без необходимости входа пользователя. Да

Примечания

Разрешение CallRecords.Read.All предоставляет привилегированный доступ к callRecords для каждого звонка и собрания по сети в вашей организации, включая звонки на и с внешних телефонных номеров. Это могут быть потенциально конфиденциальные данные о том, кто принимал участие в звонках, а также технические данные о таких звонках и собраниях, которые могут использоваться для устранения неполадок сети, к таким данным относятся IP-адреса, сведения об устройствах и другая сетевая информация.

Разрешение CallRecord-PstnCalls.Read.All предоставляет приложению доступ к журналам звонков ТСОП (планы звонков) и прямой маршрутизации. Сюда относятся потенциально конфиденциальные сведения о пользователях, а также исходящие звонки на внешние телефонные номера и входящие с них.

Важно. При предоставлении этих разрешений приложениям следует соблюдать осторожность. Записи звонков могут содержать сведения о работе вашей компании и могут быть целями злоумышленников. Предоставляйте эти разрешения только приложениям, которым вы доверяете в плане соблюдения ваших требований к защите данных.

Важно. Убедитесь, что вы соблюдаете требования региональных законов и норм, связанных с защитой данных и конфиденциальности коммуникаций. Дополнительные сведения можно узнать из условий использования и обратившись за юридической помощью.


Примеры использования

Для приложений

  • CallRecords.Read.All. Получение записи звонка (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All. Подписка на новые записи звонков (POST /v1.0/subscriptions).
  • CallRecords.Read.All. Получение записей звонков прямой маршрутизации в указанном периоде времени (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: получение записей звонков ТСОП в пределах указанного диапазона времени (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)))

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.

Разрешения канала

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Channel.ReadBasic.All Считывание названий и описаний каналов. Считывание названий и описаний каналов от имени вошедшего в систему пользователя. Нет Нет
Channel.Create Создание каналов. Создание каналов в любой команде от имени вошедшего в систему пользователя. Да Нет
Channel.Delete.All Удаление каналов. Удаление каналов в любой команде от имени вошедшего в систему пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Channel.ReadBasic.All Считывание названий и описаний всех каналов. Считывание названий и описаний всех каналов без необходимости выполнять вход. Да Нет
Channel.Create Создание каналов. Создание каналов в любой команде без необходимости выполнять вход. Да Нет
Channel.Delete.All Удаление каналов. Удаление каналов в любой команде без необходимости выполнять вход. Да Нет
Teamwork.Migrate.All Управление миграцией в Microsoft Teams Создание ресурсов для миграции в Microsoft Teams и управление ими Да Да

Разрешения для участников канала

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChannelMember.Read.All Чтение участников каналов. Чтение участников каналов от имени вошедшего пользователя. Да Нет
ChannelMember.ReadWrite.All Добавление и удаление участников каналов. Добавление и удаление участников каналов от имени вошедшего пользователя. Также позволяет изменять роль участника, например с владельца на обычного пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChannelMember.Read.All Чтение участников всех каналов. Чтение участников всех каналов без необходимости входа пользователя. Да Нет
ChannelMember.ReadWrite.All Добавление и удаление участников всех каналов. Добавление и удаление участников всех каналов без необходимости входа пользователя. Также позволяет изменять роль участника, например с владельца на обычного пользователя. Да Нет

Разрешения для сообщений канала

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChannelMessage.Edit (закрытая ознакомительная версия) Редактирование сообщений канала пользователя Приложение сможет редактировать сообщения канала в Microsoft Teams от имени вошедшего в систему пользователя. Да Нет
ChannelMessage.Read.All Чтение сообщений канала пользователя Приложение сможет читать сообщения канала в Microsoft Teams от имени вошедшего в систему пользователя. Да Нет
ChannelMessage.Send Отправка сообщений канала Позволяет приложению отправлять сообщения в Microsoft Teams от имени вошедшего в систему пользователя. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChannelMessage.Read.All Чтение всех сообщений в каналах Позволяет приложению считывать все сообщения канала в Microsoft Teams без необходимости входа пользователя. Да Нет
ChannelMessage.UpdatePolicyViolation.All Пометка сообщений канала за нарушение политики Позволяет приложению обновлять сообщения канала Microsoft Teams путем добавления набора параметров нарушения политики защиты от потери данных (DLP) для обработки результатов работы DLP. Да Нет

Примечание. Дополнительно см. разрешение Group.Read.All.

Разрешения для параметров канала

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChannelSettings.Read.All Считывание названий, описаний и параметров каналов. Считывает все названия, описания и параметры каналов от имени вошедшего в систему пользователя. Да Нет
ChannelSettings.ReadWrite.All Считывание и запись названий, описаний и параметров каналов Считывает и записывает названия, описания и параметры всех каналов от имени вошедшего в систему пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChannelSettings.Read.All Считывание названий, описаний и параметров всех каналов. Считывает все названия, описания и параметры всех каналов без необходимости выполнять вход. Да Нет
ChannelSettings.ReadWrite.All Считывание и запись названий, описаний и параметров всех каналов. Считывает и записывает названия, описания и параметры всех каналов без необходимости выполнять вход. Да Нет

Разрешения чата

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Chat.Read Чтение ваших сообщений чата Позволяет приложению считывать ваши сообщения индивидуального или группового чата в Microsoft Teams от вашего имени. Нет Нет
Chat.ReadBasic Считывание имен и участников в цепочках пользовательских чатов Позволяет приложению считывать участников и описания личных и групповых цепочек чатов от имени пользователя, выполнившего вход. Нет Нет
Chat.ReadWrite Чтение ваших сообщений чата и отправка новых Позволяет приложению считывать и отправлять сообщения индивидуального или группового чата в Microsoft Teams от вашего имени. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Chat.Read.All Чтение всех сообщений чата Позволяет приложению считывать все сообщения индивидуального или группового чата в Microsoft Teams без необходимости входа пользователя. Да Нет
Chat.ReadBasic.All Считывание имен и участников в цепочках пользовательских чатов Считывание имен и участников всех цепочек чата. Да Нет
Chat.UpdatePolicyViolation.All Пометка сообщений чата за нарушение политики Позволяет приложению обновлять сообщения индивидуального или группового чата Microsoft Teams путем добавления набора параметров нарушения политики защиты от потери данных (DLP) для обработки результатов работы DLP. Да Нет

Примечание. В отношении сообщений в канале см. раздел Разрешения ChannelMessage.

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChatSettings.Read.Chat Чтение параметров чата. Позволяет приложению считывать параметры чата без необходимости входа пользователя. Нет Нет
ChatSettings.ReadWrite.Chat Чтение и запись параметров чата. Позволяет приложению считывать и записывать параметры чата без необходимости входа пользователя. Нет Нет
ChatMessage.Read.Chat Чтение сообщений чата. Позволяет приложению считывать сообщения чата без необходимости входа пользователя. Нет Нет
ChatMember.Read.Chat Чтение участников чата. Позволяет приложению считывать участников чата без необходимости входа пользователя. Нет Нет
Chat.Manage.Chat Управление чатом. Позволяет приложению управлять чатом, участниками чата и предоставлять доступ к данным чата без необходимости входа пользователя. Нет Нет
TeamsTab.Read.Chat Чтение вкладок чата. Позволяет приложению считывать вкладки чата без необходимости входа пользователя. Нет Нет
TeamsTab.Create.Chat Создание вкладок в чате. Позволяет приложению создавать вкладки в чате без необходимости входа пользователя. Нет Нет
TeamsTab.Delete.Chat Удаление вкладок чата. Позволяет приложению удалять вкладки чата без необходимости входа пользователя. Нет Нет
TeamsTab.ReadWrite.Chat Управление вкладками чата. Позволяет приложению управлять вкладками чата без необходимости входа пользователя. Нет Нет
TeamsAppInstallation.Read.Chat Чтение приложений, установленных в чате. Позволяет приложению считывать приложения Teams, установленные в чате, а также разрешения, предоставленные каждому приложению, без необходимости входа пользователя. Нет Нет
OnlineMeeting.ReadBasic.Chat Чтение основных свойств собрания, связанного с чатом. Позволяет приложению считывать основные свойства (например, имя, расписание, организатора и ссылку для присоединения) собрания, связанного с чатом, без необходимости входа пользователя. Нет Нет
Calls.AccessMedia.Chat Доступ к мультимедийным потокам в звонках, связанных с этим чатом или собранием. Позволяет приложению получать доступ к мультимедийным потокам в звонках, связанных с этим чатом или собранием, без необходимости входа пользователя. Нет Нет
Calls.JoinGroupCalls.Chat Присоединение к звонкам, связанным с этим чатом или собранием. Позволяет приложению присоединяться к звонкам, связанным с этим чатом или собранием, без необходимости входа пользователя. Нет Нет
TeamsActivity.Send.Chat Отправить уведомления о действиях в канале пользователям в этом чате. Позволяет приложению создавать новые уведомления в каналах действий командной работы пользователей в этом чате (без вошедшего в систему пользователя). Нет Нет

Примечание

В настоящее время эти разрешения поддерживаются только в бета-версии Microsoft Graph.

Разрешения ChatMessage

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ChatMessage.Send Отправка пользователям сообщений в чатах Позволяет приложению отправлять сообщения индивидуального или группового чата в Microsoft Teams от имени пользователя, выполнившего вход. Нет Нет

Разрешения для облачных компьютеров

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
CloudPC.Read.All Чтение облачных компьютеров Позволяет приложению считывать объекты облачных компьютеров, например политики подготовки, от имени вошедшего пользователя. Нет Нет
CloudPC.ReadWrite.All Чтение и запись облачных компьютеров Позволяет приложению создавать, считывать, обновлять и удалять объекты облачных компьютеров, например подключения Azure, политики подготовки и образы устройств, от имени пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
CloudPC.Read.All Чтение облачных компьютеров Разрешает приложению считывать объекты облачных компьютеров, например политики подготовки, без вошедшего в систему пользователя. Да Нет
CloudPC.ReadWrite.All Чтение и запись облачных компьютеров Позволяет приложению создавать, считывать, обновлять и удалять объекты облачных компьютеров, например подключения Azure, политики подготовки и образы устройств, без вошедшего в систему пользователя. Да Нет

Примеры использования

Делегированные разрешения

  • CloudPC.Read.All — просмотр свойств всех облачных компьютеров (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All — изменение политики подготовки облачных компьютеров (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Приложение

  • CloudPC.Read.All — просмотр свойств всех облачных компьютеров (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All — изменение политики подготовки облачных компьютеров (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ConsentRequest.Read.All Чтение запросов согласия Позволяет приложению читать запросы согласия и утверждения от имени вошедшего пользователя. Да Нет
ConsentRequest.ReadWrite.All Чтение и запись запросов согласия Позволяет приложению читать запросы согласия приложений и утверждения, а также отклонять или утверждать эти запросы от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
ConsentRequest.Read.All Чтение запросов согласия Позволяет приложению читать запросы согласия приложений и утверждения без необходимости входа пользователя. Да
ConsentRequest.ReadWrite.All Чтение и запись запросов согласия Позволяет приложению читать запросы согласия приложений и утверждения, а также отклонять или утверждать эти запросы без необходимости входа пользователя. Да

Разрешения для контактов

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Contacts.Read Чтение контактов пользователя Позволяет приложению считывать контакты пользователя. Нет Да
Contacts.Read.Shared Чтение контактов пользователя и общих контактов Позволяет приложению считывать контакты, доступные пользователю, в том числе собственные контакты пользователя и общие контакты. Нет Нет
Contacts.ReadWrite Полный доступ к контактам пользователя Позволяет приложению создавать, считывать, обновлять и удалять контакты пользователя. Нет Да
Contacts.ReadWrite.Shared Чтение и запись контактов пользователя и общих контактов Позволяет приложению создавать, считывать, обновлять и удалять контакты, доступные пользователю, в том числе собственные контакты пользователя и общие контакты. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Contacts.Read Чтение контактов во всех почтовых ящиках Позволяет приложению считывать все контакты во всех почтовых ящиках в случаях, когда вход пользователя не предусмотрен. Да
Contacts.ReadWrite Чтение и запись контактов во всех почтовых ящиках Позволяет приложению создавать, считывать, обновлять и удалять все контакты во всех почтовых ящиках в случаях, когда вход пользователя не предусмотрен. Да

Важно! Администраторы могут настроить политику доступа приложения, чтобы разрешить приложению доступ к определенным почтовым ящикам, а не ко всем почтовым ящикам в организации, даже если ему предоставлены разрешения приложений Contacts.Read или Contacts.ReadWrite.

Примеры использования

Делегированные разрешения

  • Contacts.Read. Чтение контакта в одной из папок контактов верхнего уровня для вошедшего пользователя (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite. Обновление фотографии одного из контактов вошедшего пользователя (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite. Добавление контактов в корневую папку вошедшего пользователя (POST /me/contacts).

Для приложений

  • Contacts.Read. Чтение контактов в одной из папок контактов верхнего уровня для любого пользователя в организации (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite. Обновление фотографии любого контакта любого пользователя в организации (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite. Добавление контактов в корневую папку любого пользователя в организации (POST /users/{id | userPrincipalName}/contacts).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения настраиваемых атрибутов безопасности

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
CustomSecAttributeAssignment.Read.All Чтение назначений настраиваемых атрибутов безопасности Позволяет приложению считывать назначения настраиваемых атрибутов безопасности для всех участников клиента от имени выполнившего вход пользователя. Да Нет
CustomSecAttributeAssignment.ReadWrite.All Чтение и запись назначений настраиваемых атрибутов безопасности Позволяет приложению читать и записывать назначения настраиваемых атрибутов безопасности для всех участников клиента от имени вошедшего пользователя. Да Нет
CustomSecAttributeDefinition.Read.All Чтение определений настраиваемых атрибутов безопасности Позволяет приложению считывать определения настраиваемых атрибутов безопасности для клиента от имени выполнившего вход пользователя. Да Нет
CustomSecAttributeDefinition.ReadWrite.All Чтение и запись определений настраиваемых атрибутов безопасности Позволяет приложению читать и записывать определения настраиваемых атрибутов безопасности для клиента от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
CustomSecAttributeAssignment.Read.All Чтение назначений настраиваемых атрибутов безопасности Позволяет приложению считывать назначения настраиваемых атрибутов безопасности для всех участников клиента без необходимости входа пользователя. Да
CustomSecAttributeAssignment.ReadWrite.All Чтение и запись назначений настраиваемых атрибутов безопасности Позволяет приложению читать и записывать назначения настраиваемых атрибутов безопасности для всех участников клиента без необходимости входа пользователя. Да
CustomSecAttributeDefinition.Read.All Чтение определений настраиваемых атрибутов безопасности Позволяет приложению считывать определения настраиваемых атрибутов безопасности для клиента без необходимости входа пользователя. Да
CustomSecAttributeDefinition.ReadWrite.All Чтение и запись определений настраиваемых атрибутов безопасности Позволяет приложению читать и записывать определения настраиваемых атрибутов безопасности для клиента без необходимости входа пользователя. Да

Детализированное делегированное разрешение администратора (GDAP)

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
DelegatedAdminRelationship.Read.All Чтение отношений полномочного администратора с клиентами Позволяет приложению читать сведения об отношениях полномочного администратора с клиентами, например сведения о доступе (включая роли) и длительность, а также конкретные назначения ролей группам безопасности от имени вошедшего пользователя. Да Нет
DelegatedAdminRelationship.ReadWrite.All Управление отношениями полномочного администратора с клиентами Позволяет приложению управлять (создание-обновление-удаление) отношениями полномочного администратора с клиентами и назначениями ролей группам безопасности для активных отношений полномочного администратора от вашего имени. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
DelegatedAdminRelationship.Read.All Чтение отношений полномочного администратора с клиентами Позволяет приложению читать сведения об отношениях полномочного администратора с клиентами, например сведения о доступе (включая роли) и длительность, а также конкретные назначения ролей группам безопасности без необходимости входа пользователя. Да Нет
DelegatedAdminRelationship.ReadWrite.All Управление отношениями полномочного администратора с клиентами Позволяет приложению управлять (создание-обновление-удаление) отношениями полномочного администратора с клиентами и назначениями ролей группам безопасности для активных отношений полномочного администратора без необходимости входа пользователя. Да Нет

Разрешения для устройств

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Device.Read Считывание списка устройств пользователя Позволяет приложению считывать список устройств пользователя от имени выполнившего вход пользователя. Нет Да
Device.Read.All Читать все устройства Приложение сможет считывать информацию о конфигурации устройств вашей организации от имени вошедшего в систему пользователя. Да Да
Device.Command Обмен данными с устройствами пользователей Позволяет одному приложению запускать другое или обмениваться с ним данными на устройстве пользователя от имени выполнившего вход пользователя. Нет Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Device.Read.All Читать все устройства Позволяет приложению считывать сведения о конфигурации устройств вашей организации без необходимости выполнять вход. Да
Device.ReadWrite.All Чтение и запись устройств Позволяет приложению считывать и записывать все свойства устройств, когда вход пользователя не выполнен. Не позволяет создавать, удалять и обновлять альтернативные идентификаторы безопасности устройств. Да

Примечание

До 3 декабря 2020 г. при предоставлении приложению разрешения Device.ReadWrite.All роль каталога Руководители устройств также назначалась субъекту-службе приложения. Это назначение роли каталога не удаляется автоматически при отзыве соответствующего разрешения приложения. Чтобы обеспечить прекращение доступа приложения к функциям чтения с устройств и записи на них, клиенты также должны удалить все связанные роли каталога,которые были предоставлены приложению.

Развертывание обновления службы, отключающего это поведение, началось 3 декабря 2020 г. Развертывание для всех пользователей завершено 11 января 2021 г. Роли каталога больше не будут автоматически назначаться при предоставлении разрешений приложения.

Примеры использования

Для приложений

  • Device.ReadWrite.All. Чтение всех зарегистрированных устройств в организации (GET /devices).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения для каталогов

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Directory.Read.All Чтение данных каталога Позволяет приложению читать данные в каталоге вашей организации, такие как сведения о пользователях, группах и приложениях. Примечание. Пользователи могут предоставлять это разрешение, если приложение зарегистрировано в клиенте организации. Да Нет
Directory.ReadWrite.All Чтение и запись данных каталога Позволяет приложению считывать и записывать данные в каталоге вашей организации, такие как пользователи и группы. Не позволяет приложению удалять пользователей и группы или сбрасывать пароли пользователей. Да Нет
Directory.AccessAsUser.All Доступ к каталогу, аналогичный доступу вошедшего пользователя Предоставляет приложению такой же доступ к информации в каталоге, как у вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Directory.Read.All Чтение данных каталога Позволяет приложению считывать данные в каталоге вашей организации, такие как группы, пользователи и приложения, в случаях, когда вход пользователя не предусмотрен. Да
Directory.ReadWrite.All Чтение и запись данных каталога Позволяет приложению читать и записывать данные в каталоге вашей организации, например пользователей и группы, без вошедшего пользователя. Не позволяет удалять пользователей или группы. Да

Примечания

Разрешения для каталогов обеспечивают самый высокий уровень привилегий для доступа к ресурсам каталога в организации, таким как user, group и device.

Кроме того, только они управляют доступом к другим ресурсам каталога, например контактам организации, API расширений схемы, API управления привилегированными пользователями (PIM), а также многим ресурсам и API, указанным в разделе Azure Active Directory справочной документации по API версии 1.0 и бета-версии. В число этих ресурсов входят административные единицы, роли в каталоге, параметры каталога, политика и многое другое.

Примечание

До 3 декабря 2020 г. при предоставлении приложению разрешения Directory.Read.All роль каталога Читатели каталогов также назначалась субъекту-службе приложения. При предоставлении разрешения Directory.ReadWrite.All также назначалась роль каталога Редакторы каталогов. Эти роли каталога не удаляются автоматически при отзыве соответствующего разрешения приложения. Чтобы прекратить доступ приложения к функциям чтения из каталога и записи в него, клиенты также должны удалить все роли каталога, которые были предоставлены приложению.

Развертывание обновления службы, отключающего это поведение, началось 3 декабря 2020 г. Развертывание для всех пользователей завершено 11 января 2021 г. Роли каталога больше не будут автоматически назначаться при предоставлении разрешений приложения.

Разрешение Directory.ReadWrite.All предоставляет следующие привилегии:

  • полный доступ на чтение всех ресурсов каталога (как объявленных свойств, так и свойств навигации);
  • создание и обновление пользователей;
  • отключение и включение пользователей (кроме администратора компании);
  • установка альтернативного идентификатора безопасности пользователей (кроме администраторов);
  • создание и обновление групп;
  • управление членством в группах;
  • обновление владельца группы;
  • управление назначениями лицензий;
  • определение расширений схемы для приложений.
  • управление параметрами главного каталога сайтов;
  • управление конфигурацией рабочего процесса согласия администратора (но без возможности указывать, обязательно ли согласие администратора и кому разрешено предоставлять согласие администратора);

Примечание.

  • Права на сброс паролей пользователей не предоставляются.
  • Изменение свойств businessPhones, mobilePhone или otherMails других пользователей разрешается только для пользователей, не являющихся администраторами, или для пользователей, которым назначена одна из следующих ролей: читатель каталога, приглашающий гостей, читатель Центра сообщений или читатель отчетов. Дополнительные сведения см. в разделе "Администратор службы поддержки (администратор паролей)" в статье Доступные роли Azure AD. Это относится к приложениям с предоставленными разрешениями User.ReadWrite.All или Directory.ReadWrite.All (делегированными или для приложений).
  • Права на удаление ресурсов (в том числе пользователей и групп) не предоставляются.
  • В частности, исключены создание и обновление ресурсов, не указанных выше. К ним относятся application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains и другие.

Примеры использования

Делегированные разрешения

  • Directory.Read.All. Перечисление всех административных единиц в организации (GET /beta/administrativeUnits).
  • Directory.ReadWrite.All. Добавление членов роли каталога (POST /directoryRoles/{id}/members/$ref).

Для приложений

  • Directory.Read.All. Перечисление всех объектов, членом которых является пользователь, включая роли каталога и административные единицы (GET /beta/users/{id}/memberOf).
  • Directory.Read.All. Перечисление всех членов группы, включая субъекты-службы (GET /beta/groups/{id}/members).
  • Directory.ReadWrite.All. Добавление владельца группы (POST /groups/{id}/owners/$ref).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения домена

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Domain.Read.All Чтение доменов Позволяет приложению считывать все свойства домена от имени вошедшего пользователя. Да Нет
Domain.ReadWrite.All Чтение и запись доменов Позволяет приложению считывать и записывать все свойства домена от имени вошедшего пользователя. Также позволяет приложению добавлять, проверять и удалять домены. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Требуется согласие администратора
Domain.Read.All Чтение доменов Позволяет приложению считывать все свойства домена без необходимости входа пользователя. Да
Domain.ReadWrite.All Чтение и запись доменов Позволяет приложению читать и записывать домены без необходимости входа пользователя. Да

Разрешения на обнаружение электронных данных

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
eDiscovery.Read.All Чтение данных дела обнаружения электронных данных Позволяет приложению читать объекты обнаружения электронных данных, например дела, хранителей, наборы для проверки и другие связанные объекты от имени вошедшего пользователя. Да Нет
eDiscovery.ReadWrite.All Чтение и запись данных дела обнаружения электронных данных Позволяет приложению читать и записывать объекты обнаружения электронных данных, например дела, хранителей, наборы для проверки и другие связанные объекты от имени вошедшего пользователя. Да Нет

Разрешения приложений

Нет

Примеры использования

Делегированные разрешения

  • eDiscovery.Read.All: получение списка дел, доступных пользователю (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: создание запроса reviewset в наборе для проверки (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения для образования

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
EduAdministration.Read Чтение настроек обучающего приложения Разрешает приложению читать настройки обучающего приложения от имени пользователя. Да Нет
EduAdministration.ReadWrite Управление настройками обучающего приложения Позволяет приложению управлять настройками обучающего приложения от имени пользователя. Да Нет
EduAssignments.ReadBasic Чтение заданий для курсов пользователей без оценок Позволяет приложению считывать задания без оценок от имени пользователя Да Нет
EduAssignments.ReadWriteBasic Чтение и запись заданий для курсов пользователей без оценок Позволяет приложению считывать и записывать задания без оценок от имени пользователя Да Нет
EduAssignments.Read Чтение представления заданий для курсов пользователей и соответствующих оценок Позволяет приложению считывать задания с оценками от имени пользователя Да Нет
EduAssignments.ReadWrite Чтение и запись представления заданий для курсов пользователей и соответствующих оценок Позволяет приложению считывать и записывать задания с оценками от имени пользователя Да Нет
EduRoster.ReadBasic Чтение части представления списка пользователей Позволяет приложению читать часть данных свойств из структуры учебных заведений и курсов в списке организации, а также читать часть свойств пользователей от имени пользователя. Включает имя, состояние, роль в обучении, адрес электронной почты и фотографию. Да Нет
EduRoster.Read Чтение пользовательского представления списка Позволяет приложению читать структуру учебных заведений и курсов в списке организации и относящиеся к обучению сведения о пользователях от имени пользователя. Да
EduRoster.ReadWrite Чтение и запись пользовательского представления списка Позволяет приложению читать и записывать часть структуру учебных заведений и курсов в списке организации, а также читать и записывать относящиеся к обучению сведения о пользователях от имени пользователя. Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
EduAdministration.Read.All Чтение настроек образовательного приложения Чтение состояния и параметров всех образовательных приложений Майкрософт от имени пользователя Да
EduAdministration.ReadWrite.All Управление настройками обучающего приложения Управление состоянием и параметрами всех образовательных приложений Майкрософт от имени пользователя Да
EduAssignments.ReadBasic.All Чтение заданий для курса без оценок Позволяет приложению считывать задания без оценок для всех пользователей Да
EduAssignments.ReadWriteBasic.All Чтение и запись заданий для курса без оценок Позволяет приложению считывать и записывать задания без оценок для всех пользователей Да
EduAssignments.Read.All Чтение заданий для курса с оценками Позволяет приложению считывать задания и соответствующие оценки для всех пользователей Да
EduAssignments.ReadWrite.All Чтение и запись учебных заданий с оценками Позволяет приложению считывать и записывать задания и соответствующие оценки для всех пользователей Да
EduRoster.ReadBasic.All Считывание части состава организации. Позволяет приложению считывать часть структуры учебных заведений и курсов в составе организации, а также педагогическую информацию обо всех пользователях. Да
EduRoster.Read.All Чтение состава организации. Позволяет приложению считывать структуру учебных заведений и курсов в составе организации, а также педагогическую информацию обо всех пользователях. Да
EduRoster.ReadWrite.All Чтение и запись состава организации. Позволяет приложению считывать и записывать структуру учебных заведений и курсов в составе организации, а также педагогическую информацию обо всех пользователях. Да

Примеры использования

Делегированные разрешения

  • EduAssignments.Read: получение сведений о заданиях вошедшего учащегося (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: отправка задания вошедшего учащегося (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: курсы, которые посещает или проводит вошедший пользователь (GET /education/classes/{id}/members)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения на управление правами

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
EntitlementManagement.ReadWrite.All Чтение и запись ресурсов по управлению правами Позволяет приложению запрашивать доступ на считывание и управление пакетами для доступа, а также связанными ресурсами по управлению правами от имени пользователя, выполнившего вход. Да
EntitlementManagement.Read.All Считывание и запись ресурсов управления правами Позволяет приложению запрашивать доступ на считывание пакетов доступа, а также связанных ресурсов по управлению правами от имени пользователя, выполнившего вход. Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
EntitlementManagement.ReadWrite.All Чтение и запись ресурсов по управлению правами Позволяет приложению считывать пакеты доступа и связанные ресурсы управления правами и управлять ими. Да
EntitlementManagement.Read.All Считывание и запись ресурсов управления правами Позволяет приложению считывать пакеты доступа и связанные ресурсы управления правами. Да

Разрешения для файлов

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Files.Read Чтение файлов пользователей Позволяет приложению считывать файлы вошедшего пользователя. Нет Да
Files.Read.All Чтение всех файлов, доступных пользователю Позволяет приложению считывать все файлы, доступные вошедшему пользователю. Нет Да
Files.ReadWrite Полный доступ к файлам пользователя Позволяет приложению считывать, создавать, обновлять и удалять файлы вошедшего пользователя. Нет Да
Files.ReadWrite.All Полный доступ ко всем файлам, доступным пользователю Позволяет приложению считывать, создавать, обновлять и удалять все файлы, доступные вошедшему пользователю. Нет Да
Files.ReadWrite.AppFolder Полный доступ к папке приложения (предварительная версия) Позволяет приложению считывать, создавать, обновлять и удалять файлы в папке приложения (предварительная версия). Нет Да
Files.Read.Selected Чтение файлов, выбранных пользователем Ограниченная поддержка в Microsoft Graph (см. замечания)
Позволяет приложению считывать файлы, которые выбирает пользователь (предварительная версия). После того как пользователь выберет файл, приложение имеет доступ в течение нескольких часов.
Нет Нет
Files.ReadWrite.Selected Чтение и запись файлов, выбранных пользователем Ограниченная поддержка в Microsoft Graph (см. замечания)
Позволяет приложению считывать и записывать файлы, которые выбирает пользователь (предварительная версия). После того как пользователь выберет файл, приложение имеет доступ в течение нескольких часов.
Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Files.Read.All Чтение файлов во всех семействах веб-сайтов Позволяет приложению считывать все файлы во всех семействах веб-сайтов без пользователя, выполнившего вход в систему. Да
Files.ReadWrite.All Чтение и запись файлов во всех семействах веб-сайтов Позволяет приложению читать, создавать, изменять и удалять все файлы во всех семействах веб-сайтов без пользователя, выполнившего вход в систему. Да

Примечания

Примечание. В личных учетных записях разрешения Files.Read и Files.ReadWrite также предоставляют доступ к файлам, которыми поделились с вошедшим пользователем другие люди.

Делегированные разрешения Files.Read.Selected и Files.ReadWrite.Selected действительны только в рабочих и учебных учетных записях и доступны для работы только с обработчиками файлов Office 365 (версия 1.0). Они не должны использоваться для непосредственного вызова API Microsoft Graph.

Делегированное разрешение Files.ReadWrite.AppFolder действует только в личных учетных записях и используется для доступа к специальной папке App Root с помощью API Microsoft Graph для OneDrive (получение специальной папки).

Примеры использования

Делегированные разрешения

  • Files.Read. Чтение файлов в OneDrive вошедшего пользователя (GET /me/drive/root/children).
  • Files.Read.All. Чтение файлов, доступ к которым предоставлен вошедшему пользователю (GET /me/drive/root/sharedWithMe).
  • Files.ReadWrite. Запись файла в OneDrive вошедшего пользователя (PUT /me/drive/root/children/filename.txt/content).
  • Files.ReadWrite.All. Запись файла, доступ к которому предоставлен пользователю (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content).
  • Files.ReadWrite.AppFolder. Запись файлов в папку приложения в OneDrive (PUT /me/drive/special/approot/children/file.txt/content).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения финансовых показателей

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Financials.ReadWrite.All Чтение и запись финансовых данных Позволяет приложению считывать и записывать финансовые данные от имени выполнившего вход пользователя. Нет

Разрешения групп

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Group.Read.All Чтение всех групп Приложение сможет выводить список групп, а также просматривать их свойства и все данные о членстве в группах от имени вошедшего пользователя. Оно также сможет просматривать календарь, беседы, файлы и другое содержимое всех групп, к которым у вошедшего пользователя есть доступ. Да Нет
Group.ReadWrite.All Чтение и запись всех групп Приложение сможет создавать группы, а также просматривать все их свойства и данные о членстве от имени вошедшего пользователя. Оно также сможет просматривать и создавать календарь, беседы, файлы и другое содержимое всех групп, к которым у вошедшего пользователя есть доступ. Кроме того, владельцы групп смогут управлять своими группами, а участники групп — обновлять содержимое групп. Да Нет
GroupMember.Read.All Чтение сведений об участии в группе Позволяет приложению перечислять группы, читать основные свойства групп и читать сведения об участии во всех группах, к которым у вошедшего пользователя есть доступ. Да Нет
GroupMember.ReadWrite.All Чтение и запись сведений об участии в группах Позволяет приложению перечислять группы, читать основные свойства, читать и изменять сведения об участии в группах, к которым у пользователя есть доступ после выполнения входа. Свойства и владельцев групп нельзя изменять, а группы нельзя удалять. Да Нет
UnifiedGroupMember.Read.AsGuest Чтение участников единых групп (Microsoft 365) в качестве гостевого пользователя Позволяет приложению считывать основные свойства единой группы, участников и владельцев группы, к которой относится вошедший гость. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Group.Read.All Чтение всех групп Приложение сможет просматривать членство во всех группах без вошедшего пользователя. Оно также сможет просматривать календарь, беседы, файлы и другое содержимое всех групп.

Примечание. Не все API групп поддерживают доступ к разрешениям только для приложений. Примеры см. в разделе Известные проблемы.
Да
Group.ReadWrite.All Чтение и запись всех групп Позволяет приложению создавать группы, читать и обновлять сведения о членстве в группах, а также удалять группы. Оно также сможет просматривать и создавать календарь, беседы, файлы и другое содержимое всех групп. Приложение может выполнять все эти операции без необходимости входа пользователя.

Примечание. Не все API групп поддерживают доступ к разрешениям только для приложений. Примеры см. в разделе Известные проблемы.
Да
Group.Selected Доступ к выбранным группам Это разрешение предоставляется на портале Azure для функции, недоступной для общего использования. Не используйте это разрешение, поскольку оно может быть изменено. Да
GroupMember.Read.All Чтение сведений об участии в группе Позволяет приложению считывать сведения об участии и основные свойства для всех групп без необходимости входа пользователя. Да
GroupMember.ReadWrite.All Чтение и запись сведений об участии в группах Позволяет приложению перечислять группы, читать основные свойства, читать и обновлять сведения об участии в группах без необходимости входа пользователя. Свойства и владельцев групп нельзя изменить, а группы нельзя удалить. Да
Group.Create Создание групп Позволяет вызывающему приложению создавать группы без необходимости входа пользователя. Не позволяет читать, обновлять и удалять группы. Да

Заметки

Функции для работы с группами не поддерживаются для личных учетных записей Майкрософт.

Разрешения группы предоставляют приложению доступ к содержимому группы Microsoft 365, например беседам, файлам и заметкам.

Для разрешений приложения действуют некоторые ограничения на поддерживаемые API. Дополнительные сведения см. в статье, посвященной известным проблемам.

В некоторых случаях, чтобы приложение могло считывать некоторые свойства группы, такие как member и memberOf, требуются разрешения для каталогов. Например, если среди членов группы есть один или несколько объектов servicePrincipal, то приложению потребуются действующие разрешения на чтение субъектов-служб, предоставленные с помощью разрешений Directory.*. В противном случае Microsoft Graph возвращает ошибку. (В случае делегированных разрешений вошедшему пользователю также необходимы права на чтение субъектов-служб в организации.) Это относится и к свойству memberOf, которое может возвращать объекты administrativeUnit.

Чтобы настроить атрибут preferredDataLocation группы Microsoft 365, приложению требуется разрешение Directory.ReadWrite.All. Когда пользователь в среде с поддержкой нескольких регионов создает группу Microsoft 365, значению preferredDataLocation группы автоматически присваивается значение, соответствующее этому значению пользователя. Дополнительные сведения о предпочтительном расположении данных групп см. в статье Создание группы Microsoft 365 с определенным предпочтительным расположением данных (PDL).

Разрешения группы позволяют управлять доступом к API и ресурсам Microsoft Teams. Личные учетные записи Майкрософт не поддерживаются.

Разрешения группы также позволяют управлять доступом к API и ресурсам Планировщика (Майкрософт). Для API Планировщика (Майкрософт) поддерживаются только делегированные разрешения. Разрешения приложения не поддерживаются. Личные учетные записи Майкрософт не поддерживаются.

Примеры использования

Delegated

  • Group.Read.All. Чтение всех групп Microsoft 365, в которых состоит вошедший пользователь (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All. Чтение всего содержимого групп Microsoft 365, например бесед (GET /groups/{id}/conversations).
  • Group.ReadWrite.All. Обновление свойств группы, например фотографий (PUT /groups/{id}/photo/$value).
  • GroupMember.ReadWrite.All. Обновление участников группы (POST /groups/{id}/members/$ref).

Примечание. При этом также необходимо разрешение User.ReadBasic.All для чтения пользователя, чтобы добавить его как участника.

Приложение

  • Group.Read.All. Поиск всех групп, имена которых начинаются с "Sales" (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All. Управляющая служба создает события в календаре группы Microsoft 365 (POST /groups/{id}/events).
  • Group.Create. Создание группы (POST /groups).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения поставщика удостоверений

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
IdentityProvider.Read.All Чтение сведений о поставщиках удостоверений Позволяет приложению читать поставщиков удостоверений, настроенных в Azure AD или клиенте B2C Azure AD, от имени вошедшего пользователя. Да Нет
IdentityProvider.ReadWrite.All Чтение и запись сведений о поставщиках удостоверений Позволяет приложению читать или записывать поставщиков удостоверений, настроенных в Azure AD или клиенте B2C Azure AD, от имени вошедшего пользователя. Да Нет

Примечания

Разрешения IdentityProvider.Read.All и IdentityProvider.ReadWrite.All действительны только для рабочих и учебных учетных записей. Чтобы приложение могло читать или записывать данные поставщиков удостоверений с делегированными разрешениями, вошедшему в систему пользователю должна быть назначена роль глобального администратора. Дополнительные сведения о ролях администраторов см. в статье Назначение ролей администраторов в Azure Active Directory.

Примеры использования

Делегированные разрешения

Следующие сценарии поддерживаются для делегированных разрешений:

  • IdentityProvider.Read.All. Чтение всех поставщиков удостоверений, настроенных в клиенте (GET /beta/identityProviders).
  • IdentityProvider.Read.All. Чтение существующего поставщика удостоверений (GET /beta/identityProviders/{id}).
  • IdentityProvider.ReadWrite.All. Создание поставщика удостоверений (POST /beta/identityProviders).
  • IdentityProvider.ReadWrite.All. Обновление существующего поставщика удостоверений (PATCH /beta/identityProviders/{id}).
  • IdentityProvider.ReadWrite.All. Удаление существующего поставщика удостоверений (DELETE /beta/identityProviders/{id}).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения рисков для защиты идентификации

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
IdentityRiskEvent.Read.All Чтение сведений о событиях риска несанкционированного использования удостоверений Позволяет приложению считывать сведения о событиях риска несанкционированного доступа к удостоверениям всех пользователей в организации от имени вошедшего пользователя. Да Нет
IdentityRiskyUser.Read.All Чтение сведений о риске пользователя в удостоверении Позволяет приложению считывать сведения о риске пользователя в удостоверении для всех пользователей в организации от имени вошедшего пользователя. Да Нет
IdentityRiskyUser.ReadWrite.All Чтение о обновление сведений о риске пользователя для удостоверений Позволяет приложению считывать и обновлять сведения о риске пользователя для удостоверений для всех пользователей в организации от имени вошедшего пользователя. Да Нет
IdentityRiskyServicePrincipal.Read.All Чтение всех сведений о рисках субъект-служб Позволяет приложению считывать все сведения о рисках субъект-служб для вашей организации от имени выполнившего вход пользователя. Да Нет
IdentityRiskyServicePrincipal.ReadWrite.All Чтение и запись всех сведений о рисках субъект-служб Позволяет приложению считывать и обновлять сведения о рисках субъект-служб для всех субъект-служб в организации от имени выполнившего вход пользователя. Операции обновления включают удаление рискованных субъект-служб. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
IdentityRiskEvent.Read.All Чтение сведений о событиях риска несанкционированного использования удостоверений Позволяет приложению считывать сведения о событиях риска несанкционированного доступа к удостоверениям всех пользователей в организации в случаях, когда вход пользователя не предусмотрен. Да
IdentityRiskyUser.Read.All Чтение сведений о риске пользователя в удостоверении Позволяет приложению считывать сведения о риске пользователя в удостоверении для всех пользователей в организации без необходимости входа пользователя. Да
IdentityRiskyUser.ReadWrite.All Чтение о обновление сведений о риске пользователя для удостоверений Позволяет приложению считывать и обновлять сведения о риске пользователя для удостоверений для всех пользователей в организации без необходимости входа пользователя. Да
IdentityRiskyServicePrincipal.Read.All Чтение всех сведений о рисках субъект-служб Позволяет приложению считывать все сведения о рисках субъект-служб для вашей организации без необходимости входа пользователя. Да
IdentityRiskyServicePrincipal.ReadWrite.All Чтение и запись всех сведений о рисках субъект-служб Позволяет приложению считывать и обновлять риски субъект-служб для вашей организации без необходимости входа пользователя. Да

Все разрешения на риск для удостоверений действительны только для учетных записей на работе или в школе. Для приложения с делегированными разрешениями на чтение сведений о рисках, связанных с удостоверениями, пользователь, во время записи, должен быть членом одной из следующих ролей администратора Azure AD:Глобального администратора, администратора безопасности или читателя сведений о безопасности.

Примеры использования

Следующие сценарии поддерживаются как для разрешений приложения, так и для делегированных разрешений:

Чтение событий риска

  • считывание всех событий риска, созданных для всех пользователей в клиенте (GET /identityProtection/riskDetections);
  • считывание последних 50 событий риска (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50).

Чтение рискованных пользователей

  • Считывание всех рискованных пользователей и свойств в клиенте (GET /identityProtection/riskyUsers)
  • Считывание всех рискованных пользователей со средним совокупным уровнем риска (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
  • Считывание сведений о риске для отдельного пользователя (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

Чтение рискованных субъект-служб

  • Считывание всех рискованных субъект-служб и свойств в клиенте (GET /identityProtection/riskyServicePrincipals)
  • Считывание всех рискованных субъект-служб со средним совокупным уровнем риска (GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium')
  • Считывание сведений о риске для отдельного субъект-службы (GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}')

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения потока пользователей с удостоверениями

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
IdentityUserFlow.Read.All Чтение всех потоков пользователей с удостоверениями в клиенте Позволяет приложению читать потоки пользователей в организации. Да Нет
IdentityUserFlow.ReadWrite.All Чтение и запись всех потоков пользователей с удостоверениями в клиенте. Позволяет приложению считывать и записывать потоки пользователей организации. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
IdentityUserFlow.Read.All Чтение всех потоков пользователей с удостоверениями в клиенте Позволяет приложению читать потоки пользователей в организации. Да Нет
IdentityUserFlow.ReadWrite.All Чтение и запись всех потоков пользователей с удостоверениями в клиенте. Позволяет приложению считывать и записывать потоки пользователей организации. Да Нет

Примечания

Разрешения IdentityUserFlow.Read.All и IdentityUserFlow.ReadWrite.ALL действительны только для рабочих и учебных учетных записей.

Чтобы приложение с делегированными разрешениями могло считывать потоки пользователей, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор потоков пользователей с внешними удостоверениями" или "Глобальный читатель". Чтобы приложение с делегированными разрешениями могло записывать потоки пользователей, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор потоков пользователей с внешними удостоверениями".

Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.

Примеры использования

Разрешения приложения и делегированные разрешения

Следующие сценарии поддерживаются как для разрешений приложения, так и для делегированных разрешений:

  • IdentityUserFlow.Read.All: чтение всех потоков пользователей в клиенте Azure AD B2C (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: чтение всех потоков пользователей в клиенте Azure Active Directory (Azure AD) (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All: чтение всех назначений атрибутов пользователей в потоке пользователей Azure AD B2C (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
  • IdentityUserFlow.ReadWrite.All: создание потока пользователей в клиенте Azure AD B2C (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: создание потока пользователей в клиенте Azure Active Directory (Azure AD) (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: добавление поставщика удостоверений в поток пользователей Azure AD B2C (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentityUserFlow.ReadWrite.All: удаление поставщика удостоверений из потока пользователей Azure AD B2C (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: создание назначения атрибута пользователя в потоке пользователей Azure AD B2C (POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения политики защиты данных

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
InformationProtectionPolicy.Read Считывание меток конфиденциальности пользователя и политик меток Позволяет приложению считывать метки конфиденциальности для защиты данных и параметры политик меток от имени пользователя, выполнившего вход. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
InformationProtectionPolicy.Read.All Считывание всех опубликованных меток и политик меток для организации Позволяет приложению считывать опубликованные метки конфиденциальности и параметры политик меток для всей организации или отдельного пользователя без необходимости выполнять вход. Да

Разрешения на управление устройствами Intune

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
DeviceManagementApps.Read.All Считывание для приложений Microsoft Intune Позволяет приложению считывать сведения о свойствах, назначении группам, состоянии приложений, конфигурации приложений и политиках защиты приложений, управление которыми выполняется с помощью Microsoft Intune. Да Нет
DeviceManagementApps.ReadWrite.All Считывание и запись для приложений Microsoft Intune Позволяет приложению читать и записывать свойства, сведения о назначении группам и состояния приложений, конфигурации и политики защиты приложений под управлением Microsoft Intune. Да Нет
DeviceManagementConfiguration.Read.All Считывание сведений о конфигурации и политиках для устройств Microsoft Intune Позволяет приложению считывать свойства конфигурации и политики соответствия требованиям для устройств, управление которыми выполняется с помощью Microsoft Intune, а также сведения об их назначении группам. Да Нет
DeviceManagementConfiguration.ReadWrite.All Считывание и запись сведений о конфигурации и политиках для устройств Microsoft Intune Позволяет приложению считывать и записывать свойства конфигурации и политики соответствия требованиям для устройств, управление которыми выполняется с помощью Microsoft Intune, а также сведения об их назначении группам. Да Нет
DeviceManagementManagedDevices.PrivilegedOperations.All Выполнение удаленных действий, влияющих на пользователей, на устройствах Microsoft Intune Позволяет приложению выполнять удаленные критичные действия, например очистку устройства или сброс секретного кода на устройствах под управлением Microsoft Intune. Да Нет
DeviceManagementManagedDevices.Read.All Считывание данных устройств Microsoft Intune Позволяет приложению считывать свойства устройств, управление которыми выполняется с помощью Microsoft Intune. Да Нет
DeviceManagementManagedDevices.ReadWrite.All Считывание и запись данных устройств Microsoft Intune Позволяет приложению читать и записывать свойства устройств под управлением Microsoft Intune. Не позволяет выполнять критичные операции, например удаленную очистку и сброс пароля владельца устройства. Да Нет
DeviceManagementRBAC.Read.All Считывание параметров RBAC для Microsoft Intune Позволяет приложению считывать свойства, связанные с параметрами управления доступом на основе ролей (RBAC) в Microsoft Intune. Да Нет
DeviceManagementRBAC.ReadWrite.All Считывание и запись параметров RBAC для Microsoft Intune Позволяет приложению считывать и записывать свойства, связанные с параметрами управления доступом на основе ролей (RBAC) в Microsoft Intune. Да Нет
DeviceManagementServiceConfig.Read.All Считывание конфигурации Microsoft Intune Позволяет приложению считывать свойства службы Intune, в том числе сведения о регистрации устройств и конфигурации подключения к сторонним службам. Да Нет
DeviceManagementServiceConfig.ReadWrite.All Считывание и запись конфигурации Microsoft Intune Позволяет приложению считывать и записывать свойства службы Microsoft Intune, в том числе сведения о регистрации устройств и конфигурации подключения к сторонним службам. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
DeviceManagementApps.Read.All Считывание для приложений Microsoft Intune Позволяет приложению считывать сведения о свойствах, назначении группам, состоянии приложений, конфигурации приложений и политиках защиты приложений, управление которыми выполняется с помощью Microsoft Intune. Да Нет
DeviceManagementApps.ReadWrite.All Считывание и запись для приложений Microsoft Intune Позволяет приложению читать и записывать свойства, сведения о назначении группам и состояния приложений, конфигурации и политики защиты приложений под управлением Microsoft Intune. Да Нет
DeviceManagementConfiguration.Read.All Считывание сведений о конфигурации и политиках для устройств Microsoft Intune Позволяет приложению считывать свойства конфигурации и политики соответствия требованиям для устройств, управление которыми выполняется с помощью Microsoft Intune, а также сведения об их назначении группам. Да Нет
DeviceManagementConfiguration.ReadWrite.All Считывание и запись сведений о конфигурации и политиках для устройств Microsoft Intune Позволяет приложению считывать и записывать свойства конфигурации и политики соответствия требованиям для устройств, управление которыми выполняется с помощью Microsoft Intune, а также сведения об их назначении группам. Да Нет
DeviceManagementManagedDevices.PrivilegedOperations.All Выполнение удаленных действий, влияющих на пользователей, на устройствах Microsoft Intune Позволяет приложению выполнять удаленные критичные действия, например очистку устройства или сброс секретного кода на устройствах под управлением Microsoft Intune. Да Нет
DeviceManagementManagedDevices.Read.All Считывание данных устройств Microsoft Intune Позволяет приложению считывать свойства устройств, управление которыми выполняется с помощью Microsoft Intune. Да Нет
DeviceManagementManagedDevices.ReadWrite.All Считывание и запись данных устройств Microsoft Intune Позволяет приложению читать и записывать свойства устройств под управлением Microsoft Intune. Не позволяет выполнять критичные операции, например удаленную очистку и сброс пароля владельца устройства. Да Нет
DeviceManagementRBAC.Read.All Считывание параметров RBAC для Microsoft Intune Позволяет приложению считывать свойства, связанные с параметрами управления доступом на основе ролей (RBAC) в Microsoft Intune. Да Нет
DeviceManagementRBAC.ReadWrite.All Считывание и запись параметров RBAC для Microsoft Intune Позволяет приложению считывать и записывать свойства, связанные с параметрами управления доступом на основе ролей (RBAC) в Microsoft Intune. Да Нет
DeviceManagementServiceConfig.Read.All Считывание конфигурации Microsoft Intune Позволяет приложению считывать свойства службы Intune, в том числе сведения о регистрации устройств и конфигурации подключения к сторонним службам. Да Нет
DeviceManagementServiceConfig.ReadWrite.All Считывание и запись конфигурации Microsoft Intune Позволяет приложению считывать и записывать свойства службы Microsoft Intune, в том числе сведения о регистрации устройств и конфигурации подключения к сторонним службам. Да Нет

Примечания

Примечание. Для настройки элементов управления и политик Intune с помощью API Microsoft Graph по-прежнему требуется, чтобы клиент лицензировал Intune надлежащим образом.

Эти разрешения действительны только для рабочих и учебных учетных записей.

Примеры использования

Делегированные

  • DeviceManagementServiceConfiguration.Read.All. Проверка текущего состояния подписки на Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All. Создание условий (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All. Поиск состояния конфигурации устройства (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All. Назначение политики соответствия требованиям к устройствам для группы (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All. Поиск всех приложений Магазина Windows, опубликованных в Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All. Публикация нового приложения (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All. Поиск назначения ролей по имени (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All. Создание пользовательской роли (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All. Поиск управляемого устройства по имени (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All. Удаление управляемого устройства (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All. Сброс секретного кода для управляемого устройства пользователя (POST /managedDevices/{id}/resetPasscode).

Для приложений

  • DeviceManagementServiceConfiguration.Read.All. Проверка текущего состояния подписки на Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All. Создание условий (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All. Поиск состояния конфигурации устройства (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All. Назначение политики соответствия требованиям к устройствам для группы (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All. Поиск всех приложений Магазина Windows, опубликованных в Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All. Публикация нового приложения (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All. Поиск назначения ролей по имени (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All. Создание пользовательской роли (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All. Поиск управляемого устройства по имени (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All. Удаление управляемого устройства (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All. Сброс секретного кода для управляемого устройства пользователя (POST /managedDevices/{id}/resetPasscode).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения почты

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Mail.Read Чтение почты пользователя Позволяет приложению считывать электронную почту в почтовых ящиках пользователя. Нет Да
Mail.ReadBasic Чтение основных свойств почты пользователя Позволяет приложению читать электронную почту в почтовом ящике пользователя, вошедшего в систему, исключая текст сообщений, свойства bodyPreview, uniqueBody, вложения, расширения и любые расширенные свойства. Не включает разрешения на поиск сообщений. Нет Нет
Mail.ReadWrite Доступ для чтения и записи к почте пользователя Приложение сможет создавать, просматривать, обновлять и удалять сообщения в почтовых ящиках пользователей. Не включает разрешение на отправку почты. Нет Да
Mail.Read.Shared Чтение почты пользователя и общей почты Позволяет приложению считывать почту, доступную пользователю, в том числе собственную почту пользователя и общую почту. Нет Нет
Mail.ReadWrite.Shared Чтение и запись почты пользователя и общей почты Позволяет приложению создавать, читать, обновлять и удалять почту, доступную пользователю, в том числе собственную почту пользователя и общую почту. Сюда не входит разрешение на отправку почты. Нет Нет
Mail.Send Отправка почты от имени пользователя Позволяет приложению отправлять почту от имени пользователей в организации. Нет Да
Mail.Send.Shared Отправка почты от имени других Позволяет приложению отправлять почту от имени вошедшего пользователя, в том числе от имени других лиц. Нет Нет
MailboxSettings.Read Чтение параметров почтового ящика пользователя Позволяет приложению считывать параметры почтового ящика пользователя. Сюда не входит разрешение на отправку почты. Нет Да
MailboxSettings.ReadWrite Чтение и запись параметров почтового ящика пользователя Позволяет приложению создавать, читать, обновлять и удалять параметры почтового ящика пользователя. Не включает разрешения на прямую отправку почты, но разрешает приложению создавать правила переадресации или перенаправления сообщений. Нет Да
IMAP.AccessAsUser.All Доступ для чтения и записи к почте пользователя по протоколу IMAP Позволяет приложению читать, обновлять, создавать и удалять электронную почту в почтовых ящиках пользователя. Сюда не входит разрешение на отправку почты. Нет Да
POP.AccessAsUser.All Доступ для чтения и записи к почте пользователя по протоколу POP Позволяет приложению читать, обновлять, создавать и удалять электронную почту в почтовых ящиках пользователя. Сюда не входит разрешение на отправку почты. Нет Да
SMTP.Send Отправка почты от имени пользователя с помощью проверки подлинности SMTP Позволяет приложению отправлять почту от имени пользователей в организации. Нет Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Mail.Read Чтение почты во всех почтовых ящиках Позволяет приложению считывать почту во всех почтовых ящиках в случаях, когда вход пользователя не предусмотрен. Да
Mail.ReadBasic.All Чтение основных свойств почты всех пользователей Позволяет приложению считывать свойства почтовых ящиков всех пользователей, кроме свойств Body, BodyPreview, UniqueBody, Attachments, ExtendedProperties и Extensions. Не содержит разрешений на поиск сообщений. Да
Mail.ReadWrite Чтение и запись почты во всех почтовых ящиках Приложение сможет создавать, просматривать, обновлять и удалять сообщения во всех почтовых ящиках без входа пользователя. Не включает разрешение на отправку почты. Да
Mail.Send Отправка почты от имени любого пользователя Позволяет приложению отправлять почту от имени любого пользователя в случаях, когда вход пользователя не предусмотрен. Да
MailboxSettings.Read Чтение всех параметров почтового ящика пользователя Позволяет приложению считывать параметры почтового ящика пользователя в случаях, когда вход пользователя не предусмотрен. Сюда не входит разрешение на отправку почты. Да
MailboxSettings.ReadWrite Чтение и создание всех параметров почтового ящика пользователя Позволяет приложению создавать, просматривать, обновлять и удалять параметры почтового ящика пользователя без вошедшего пользователя. Сюда не входит разрешение на отправку почты. Да

Важно! Администраторы могут настроить политику доступа приложения, чтобы разрешить приложению доступ к определенным почтовым ящикам, а не ко всеми почтовым ящикам в организации, даже если ему предоставлены разрешения приложений Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read или MailboxSettings.ReadWrite.

Примечания

Разрешения Mail.Read.Shared, Mail.ReadWrite.Shared и Mail.Send.Shared действительны только для рабочих и учебных учетных записей. Все остальные разрешения поддерживаются как для учетных записей Майкрософт, так и для рабочих или учебных учетных записей.

С помощью разрешения Mail.Send или Mail.Send.Shared приложение может отправлять сообщения, сохраняя их копии в папке "Отправленные", даже если у приложения нет соответствующего разрешения Mail.ReadWrite или Mail.ReadWrite.Shared.

Примеры использования

Делегированные разрешения

  • Mail.Read. Перечисление сообщений в папке "Входящие" пользователя, отсортированных по свойству receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: поиск всех сообщений с вложениями в папке "Входящие" пользователя, предоставившего вошедшему пользователю доступ к этой папке (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite. Сообщение отмечается как прочитанное (PATCH /me/messages/{id}).
  • Mail.Send. Отправка сообщения (POST /me/sendmail).
  • MailboxSettings.ReadWrite. Обновление автоматического ответа пользователя (PATCH /me/mailboxSettings).

Для приложений

  • Mail.Read. Поиск сообщений, отправленных с адреса bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite. Создание в папке "Входящие" вложенной папки под названием "Expense Reports" (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: отправка сообщения (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: получение часового пояса по умолчанию для почтового ящика пользователя (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения управляемого клиента

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ManagedTenants.Read.All Чтение всех сведений об управляемом клиенте Позволяет приложению считывать все сведения об управляемом клиенте от имени вошедшего пользователя. Да Нет
ManagedTenants.ReadWrite.All Чтение и запись всех сведений об управляемом клиенте Позволяет приложению считывать и записывать все сведения об управляемом клиенте от имени вошедшего пользователя. Да Нет

Разрешения приложений

Нет.


Разрешения для членов

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Member.Read.Hidden Чтение сведений о скрытом членстве Позволяет приложению от имени вошедшего пользователя считывать сведения о членстве для тех скрытых групп и административных единиц, к которым у этого пользователя есть доступ. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Member.Read.Hidden Чтение всех сведений о скрытом членстве Позволяет приложению считывать сведения о членстве в скрытых группах и административных единицах в случаях, когда вход пользователя не предусмотрен. Да

Заметки

Разрешения Member.Read.Hidden действительны только для рабочих или учебных учетных записей.

Членство в некоторых группах Microsoft 365 может быть скрытым. Это означает, что только члены группы могут просматривать список ее членов. Эту функцию можно использовать для обеспечения соответствия требованиям, согласно которым в организации необходимо скрывать сведения о членстве в группах от внешних пользователей (например, для группы Microsoft 365, представляющей учеников в классе).

Примеры использования

Делегированные разрешения

  • Member.Read.Hidden. Чтение сведений о членах административной единицы со скрытым членством от имени вошедшего пользователя (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden. Чтение сведений о членах группы со скрытым членством от имени вошедшего пользователя (GET /groups/{id}/members).

Для приложений

  • Member.Read.Hidden. Чтение сведений о членах административной единицы со скрытым членством (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden. Чтение сведений о членах группы со скрытым членством (GET /groups/{id}/members).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения для заметок

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Notes.Read Чтение записных книжек OneNote пользователя Позволяет приложению просматривать названия записных книжек и разделов OneNote, а также создавать страницы, записные книжки и разделы от имени вошедшего пользователя. Нет Да
Notes.Create Создание записных книжек OneNote пользователя Позволяет приложению просматривать названия записных книжек и разделов OneNote, а также создавать страницы, записные книжки и разделы от имени вошедшего пользователя. Нет Да
Notes.ReadWrite Чтение и запись записных книжек OneNote пользователя Позволяет приложению считывать и редактировать записные книжки OneNote, а также предоставлять к ним доступ от имени вошедшего пользователя. Нет Да
Notes.Read.All Чтение всех записных книжек OneNote, доступных пользователю Позволяет приложению считывать записные книжки OneNote, доступные вошедшему пользователю в организации. Нет Нет
Notes.ReadWrite.All Чтение и запись всех записных книжек OneNote, доступных пользователю Позволяет приложению считывать и редактировать записные книжки OneNote, доступные вошедшему пользователю в организации, а также предоставлять к ним доступ. Нет Нет
Notes.ReadWrite.CreatedByApp Ограниченный доступ к записным книжкам (нерекомендуемое) Нерекомендуемое
Не следует использовать. Это разрешение не предоставляет никаких привилегий.
Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Notes.Read.All Чтение всех записных книжек OneNote Позволяет приложению считывать все записные книжки OneNote в организации в случаях, когда вход пользователя не предусмотрен. Да
Notes.ReadWrite.All Чтение и запись всех записных книжек OneNote Позволяет приложению считывать и редактировать все записные книжки OneNote в организации, а также предоставлять к ним доступ в случаях, когда вход пользователя не предусмотрен. Да

Примечания

Разрешения Notes.Read.All и Notes.ReadWrite.All действительны только для рабочих и учебных учетных записей. Все остальные разрешения поддерживаются как для учетных записей Майкрософт, так и для рабочих или учебных учетных записей.

С помощью разрешения Notes.Create приложение может просматривать иерархию записных книжек OneNote вошедшего пользователя и создавать содержимое OneNote (записные книжки, группы разделов, разделы, страницы и т. д.).

Разрешения Notes.ReadWrite и Notes.ReadWrite.All также позволяют приложению менять разрешения для содержимого OneNote, доступного вошедшему пользователю.

В случае рабочих и учебных учетных записей разрешения Notes.Read.All и Notes.ReadWrite.All позволяют приложению получать доступ к содержимому OneNote других пользователей, которое доступно вошедшему пользователю в организации.

Примеры использования

Делегированные разрешения

  • Notes.Create. Создание записных книжек для вошедшего пользователя (POST /me/onenote/notebooks).
  • Notes.Read. Чтение записных книжек вошедшего пользователя (GET /me/onenote/notebooks).
  • Notes.Read.All. Получение всех записных книжек, доступных вошедшему пользователю в организации (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite. Обновление страницы вошедшего пользователя (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All. Создание страницы в записной книжке другого пользователя, доступной вошедшему пользователю в организации (POST /users/{id}/onenote/pages).

Для приложений

  • Notes.Read.All. Чтение всех записных книжек пользователей в группе (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All. Обновление страницы в записной книжке любого пользователя в организации (PATCH /users/{id}/onenote/pages/{id}/$value).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения уведомлений

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Notifications.ReadWrite.CreatedByApp Доставка и управление уведомлениями для этого приложения. Позволяет приложению доставлять свои уведомления от имени вошедших в систему пользователей. Также позволяет приложению читать, обновлять и удалять элементы уведомлений пользователя в этом приложении. Нет

Примечания

Разрешение Notifications.ReadWrite.CreatedByApp действительно как для учетных записей Майкрософт, так и для рабочих и учебных учетных записей. Ограничение CreatedByApp, связанное с этим разрешением, означает, что служба будет применять неявную фильтрацию результатов на основе удостоверения вызывающего приложения: либо идентификатора приложения учетной записи Майкрософт, либо набора идентификаторов, настроенных для идентификации кроссплатформенных приложений.

Примеры использования

Делегированное

  • Notifications.ReadWrite.CreatedByApp: публикация ориентированного на пользователя уведомления, которое может затем доставляться различным клиентам приложения пользователя, запущенным в других конечных точках. (POST /me/notifications/).

Разрешения собраний по сети

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
OnlineMeetings.Read Чтение собрания по сети. Позволяет приложению читать сведения о собрании по сети от имени пользователя, выполнившего вход. Нет Нет
OnlineMeetings.ReadWrite Чтение и создание собраний по сети. Позволяет приложению создавать и читать собрания по сети от имени пользователя, выполнившего вход. Нет Нет
OnlineMeetingArtifact.Read.All Чтение артефактов собрания по сети. Позволяет приложению читать артефакты собрания по сети от имени пользователя, выполнившего вход. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
OnlineMeetings.Read.All Чтение сведений собрания по сети из приложения Позволяет приложению считывать сведения собрания по сети в организации без необходимости входа пользователя. Да
OnlineMeetings.ReadWrite.All Чтение сведений собрания по сети из приложения Позволяет приложению создавать и читать собрания по сети без необходимости входа пользователя. Да
OnlineMeetingArtifact.Read.All Чтение артефактов собрания по сети из приложения Позволяет приложению считывать артефакты собрания по сети в организации без необходимости входа пользователя. Да

Важно: администраторы могут настраивать политику доступа приложения, чтобы разрешить приложениям доступ к собраниям по сети от имени пользователя.

Примеры использования

Делегированные разрешения

Для приложений

  • OnlineMeetings.Read.All
    • Получение свойств и связей собрания по сети (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Получение собрания по сети от имени пользователя (`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All

Примечание. При создании собрания по сети создается собрание от имени пользователя, но оно не отображается в календаре этого пользователя.

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения для локальных профилей публикации

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
OnPremisesPublishingProfiles.ReadWrite.All Доступ к локальным профилям публикации Позволяет приложению управлять настройкой гибридной службы удостоверений путем создания, просмотра, обновления и удаления локальных опубликованных ресурсов, локальных агентов и групп агентов от имени вошедшего пользователя. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
OnPremisesPublishingProfiles.ReadWrite.All Доступ к локальным профилям публикации Позволяет приложению создавать, просматривать, обновлять и удалять локальные опубликованные локальные ресурсы, локальные агенты и группы агентов в составе конфигурации гибридных удостоверений без необходимости входа пользователя. Да Нет

Области OpenID Connect (OIDC)

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
email Просмотр электронных адресов пользователей Позволяет приложению считывать основные электронные адреса пользователей. Нет Да
offline_access Доступ к данным пользователя в любое время Позволяет приложению считывать и обновлять данные пользователя, даже если он в настоящее время не использует приложение. Нет Да
openid Вход пользователей Используя это разрешение, приложение может получить уникальный идентификатор пользователя в форме вложенного утверждения. Разрешение также предоставляет приложению доступ к конечной точке UserInfo. Область openid можно использовать в конечной точке токена платформы Microsoft Identity для получения токенов ID. Приложение может использовать эти токены для проверки подлинности. Нет Да
profile Просмотр базовых профилей пользователей Позволяет приложению просматривать базовые профили пользователей (имя, аватар, имя пользователя). Нет Да

Примечания

Вы можете использовать эти области для указания артефактов, которые вы хотите вернуть в запросах авторизации и токена Azure AD. Они по-разному поддерживаются конечными точками Azure AD версий 1.0 и 2.0.

В конечной точке Azure AD версии 1.0 используется только область openid. Вы указываете его в параметре области в запросе авторизации, чтобы вернуть токен идентификатора, когда вы используете протокол OpenID Connect для входа пользователя в ваше приложение. Дополнительные сведения см. в статье Авторизация доступа к веб-приложениям с помощью OpenID Connect и Azure Active Directory. Чтобы успешно вернуть токен идентификатора, вы также должны убедиться, что разрешение User.Read настроено при регистрации вашего приложения..

В конечной точке Azure AD версии 2.0 вы указываете область автономного_доступа в параметре области, чтобы явно запрашивать маркер обновления при использовании протоколов OAuth 2.0 или OpenID Connect. С помощью OpenID Connect вы указываете область действия openid для запроса токена идентификатора. Вы также можете указать область электронной почты, область профиля или и то, и другое, чтобы возвращать дополнительные утверждения в маркере идентификатора. Вам не нужно указывать разрешение User.Read для возврата токена идентификатора с конечной точкой версии 2.0. Дополнительные сведения см. в разделе Области OpenID Connect.

Важно!

Библиотека проверки подлинности Майкрософт (MSAL) сейчас указывает автономный_доступ, openid, профиль и адрес электронной почты по умолчанию в запросах на авторизацию и токены. Это означает, что в случае по умолчанию, если вы укажете эти области явно, Azure AD может вернуть ошибку.


Разрешения организации

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Organization.Read.All Чтение сведений об организации Позволяет приложению просматривать ресурсы организации и связанные ресурсы от имени вошедшего пользователя. Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Да Нет
Organization.ReadWrite.All Чтение и запись сведений об организации Позволяет приложению просматривать и создавать ресурсы организации, а также связанные ресурсы от имени вошедшего пользователя. Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Organization.Read.All Чтение сведений об организации Позволяет приложению просматривать ресурсы организации и связанные ресурсы без необходимости входа пользователя. Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Да
Organization.ReadWrite.All Чтение и запись сведений об организации Позволяет приложению просматривать и создавать ресурсы организации, а также связанные ресурсы без необходимости входа пользователя. Связанные ресурсы включают такие элементы, подписки на SKU и сведения о фирменной символике клиента. Да

Примеры использования

Делегированные разрешения

  • Organization.Read.All: получение сведений об организации (GET /organization).
  • Organization.Read.All: получение SKU, на которые подписана организация (GET /subscribedSkus).

Для приложений

  • Organization.ReadWrite.All: обновление сведений об организации (например, свойства technicalNotificationMails) (PATCH /organization/{id}).

Разрешения для контактов организации

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
OrgContact.Read.All Чтение контактов организации Позволяет приложению читать все контакты организации от имени вошедшего пользователя. Эти контакты управляются организацией и отличаются от личных контактов пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
OrgContact.Read.All Чтение контактов организации Позволяет приложению читать все контакты организации без вошедшего пользователя. Эти контакты управляются организацией и отличаются от личных контактов пользователя. Да

Примеры использования

Делегированные разрешения

  • OrgContact.Read.All: Получить все контакты организации (GET /contacts).

Разрешения для пользователей

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
People.Read Чтение списков контактов, релевантных для пользователя Приложение сможет читать оцененный список контактов, релевантных для вошедшего пользователя. Список может включать локальные контакты, контакты из социальных сетей или каталога вашей организации, а также пользователей, с которыми он недавно общался (например, с помощью электронной почты и Skype). Нет Да
People.Read.All Чтение списков контактов, релевантных для всех пользователей Приложение сможет читать оцененный список контактов, релевантных для вошедшего пользователя или других пользователей в его организации. Список может включать локальные контакты, контакты из социальных сетей или каталога вашей организации, а также пользователей, с которыми он недавно общался (например, с помощью электронной почты и Skype). Приложение также сможет выполнять поиск по всему каталогу организации вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
People.Read.All Чтение списков контактов, релевантных для всех пользователей Приложение сможет читать оцененный список контактов, релевантных для вошедшего пользователя или других пользователей в его организации.

Список может включать локальные контакты, контакты из социальных сетей или каталога вашей организации, а также пользователей, с которыми он недавно общался (например, с помощью электронной почты и Skype). Приложение также сможет выполнять поиск по всему каталогу организации вошедшего пользователя.
Да

Заметки

Разрешение People.Read.All действительно только для рабочих и учебных учетных записей.

Примеры использования

Делегированные разрешения

  • People.Read. Чтение списка релевантных пользователей (GET /me/people).
  • People.Read.All. Чтение списка пользователей, релевантных для другого пользователя в той же организации (GET /users('{id})/people).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения на привилегированный доступ

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
PrivilegedAccess.ReadWrite.AzureAD Чтение и запись данных управления привилегированными пользователями для каталога Позволяет приложению считывать и записывать право доступа к API управления привилегированными пользователями для Azure AD. Да Нет
PrivilegedAccess.ReadWrite.AzureADGroup Чтение и запись данных управления привилегированными пользователями для групп с привилегированным доступом Позволяет приложению считывать и записывать право доступа к API управления привилегированными пользователями для групп. Да Нет
PrivilegedAccess.ReadWrite.AzureResources Чтение и запись данных управления привилегированными пользователями для ресурсов Azure Позволяет приложению считывать и записывать право доступа к API управления привилегированными пользователями для ресурсов Azure. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
PrivilegedAccess.Read.AzureAD Чтение данных управления привилегированными пользователями для каталога Позволяет приложению считывать право доступа к API управления привилегированными пользователями для Azure AD. Да
PrivilegedAccess.Read.AzureADGroup Чтение данных управления привилегированными пользователями для групп с привилегированным доступом Позволяет приложению считывать право доступа к API управления привилегированными пользователями для групп. Да
PrivilegedAccess.Read.AzureResources Чтение данных управления привилегированными пользователями для ресурсов Azure Позволяет приложению считывать право доступа к API управления привилегированными пользователями для ресурсов Azure AD. Да

Разрешения для мест

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Place.Read.All Чтение всех мест компании Позволяет приложению просматривать места компании (списки конференц-залов и помещений), настроенные в Exchange Online для клиента. Да Нет
Place.ReadWrite.All Чтение и запись всех мест компании Позволяет приложению просматривать и записывать места компании (списки конференц-залов и помещений), настроенные в Exchange Online для клиента. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Place.Read.All Чтение всех мест компании Позволяет приложению просматривать места компании (списки конференц-залов и помещений) для событий календаря и других приложений. Да

Разрешения политик

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Policy.Read.All Чтение политик организации Позволяет приложению читать политики организации от имени вошедшего пользователя. Да Нет
Policy.Read.PermissionGrant Чтение политик, связанных с согласиями и предоставлением разрешений Позволяет приложению от имени вошедшего в систему пользователя читать политики, связанные с согласием и разрешениями, которые предоставлены приложениям. Да Нет
Policy.ReadWrite.AccessReview Чтение и запись политики авторизации в организации Позволяет приложению считывать и записывать политику проверки доступа вашей организации от имени пользователя, выполнившего вход. Да Нет
Policy.ReadWrite.ApplicationConfiguration Чтение и запись политик настройки приложений в организации Позволяет приложению считывать и записывать политики настройки приложений в организации от имени вошедшего пользователя. Да Нет
Policy.ReadWrite.AuthenticationFlows Считывание и запись потоков аутентификации в вашей организации Приложение сможет считывать и записывать политики потока аутентификации от имени вошедшего в систему пользователя. Да Нет
Policy.ReadWrite.AuthenticationMethod Чтение и запись политик способа проверки подлинности Позволяет приложению читать и записывать политики метода проверки подлинности от имени вошедшего пользователя. Вошедшему пользователю также должна быть назначена роль глобального администратора. Да Нет
Policy.ReadWrite.Authorization Чтение и запись политики авторизации в организации Позволяет приложению считывать и записывать политику авторизации вашей организации от имени пользователя, выполнившего вход. Например, политики авторизации могут контролировать некоторые разрешения, не являющимися стандартными ролями пользователей по умолчанию Да Нет
Policy.ReadWrite.ConditionalAccess Чтение и запись политик условного доступа в организации Позволяет приложению считывать и записывать политики условного доступа в организации от имени вошедшего пользователя. Да Нет
Policy.ReadWrite.ConsentRequest Чтение и запись политики запросов согласия в организации Позволяет приложению читать и записывать политику запросов согласия вашей организации от имени вошедшего пользователя. Да Нет
Policy.ReadWrite.CrossTenantAccess Чтение и запись политики доступа между клиентами в организации Позволяет приложению считывать и записывать политику доступа между клиентами в организации от имени выполнившего вход пользователя. Да Нет
Policy.ReadWrite.FeatureRollout Чтение и запись политик развертывания функций в организации Позволяет приложению считывать и записывать политики развертывания функций в организации от имени вошедшего пользователя. Содержит возможности назначения и удаления пользователей и групп для развертывания определенной функции. Да Нет
Policy.ReadWrite.PermissionGrant Управление политиками, связанными с предоставлением согласия и разрешений Позволяет приложению от имени вошедшего в систему пользователя управлять политиками, связанными с согласием и разрешениями, которые предоставлены приложениям. Да Нет
Policy.ReadWrite.TrustFramework Чтение и запись политик инфраструктуры доверия в организации Позволяет приложению считывать и записывать политики инфраструктуры доверия в организации от имени вошедшего пользователя. Да Нет
Policy.ReadWrite.AuthenticationMethod Чтение и запись политик метода проверки подлинности в вашей организации Позволяет приложению читать и записывать политики метода проверки подлинности от имени вошедшего пользователя. Да Нет
Policy.ReadWrite.MobilityManagement Чтение и запись политик управления мобильными устройствами организации. Позволяет приложению считывать и записывать политики управления мобильными устройствами от имени пользователя, выполнившего вход. Это управляет параметрами приложений по управлению мобильными устройствами (MDM) и управлению мобильными приложениями (MAM). Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Policy.Read.All Чтение политик организации Позволяет приложению читать все политики организации без необходимости входа пользователя. Да
Policy.Read.PermissionGrant Чтение политик, связанных с согласиями и предоставлением разрешений Позволяет приложению без вошедшего в систему пользователя читать политики, связанные с согласием и разрешениями, которые предоставлены приложениям. Да
Policy.Read.ApplicationConfiguration Чтение политик настройки приложений в организации Позволяет приложению читать все политики настройки приложений в организации без необходимости входа пользователя. Да
Policy.ReadWrite.AccessReview Чтение и запись политики авторизации в организации Позволяет приложению читать и записывать политику проверки доступа вашей организации без необходимости входа пользователя. Да
Policy.ReadWrite.ApplicationConfiguration Чтение и запись политик настройки приложений в организации Позволяет приложению считывать и записывать политики конфигурации приложений организации без необходимости выполнять вход пользователя. Да
Policy.ReadWrite.AuthenticationFlows Считывание и запись потоков аутентификации в вашей организации Позволяет приложению считывать и записывать политики потоков аутентификации для клиента без необходимости выполнять вход. Да
Policy.ReadWrite.Authorization Чтение и запись политики авторизации в организации Позволяет приложению считывать и записывать политику авторизации вашей организации от имени пользователя, выполнившего вход. Например, политики авторизации могут контролировать некоторые разрешения, не являющимися стандартными ролями пользователей по умолчанию Да
Policy.ReadWrite.ConsentRequest Чтение и запись политики запросов согласия в организации Позволяет приложению читать и записывать политику запросов согласия вашей организации без необходимости входа пользователя. Да
Policy.ReadWrite.CrossTenantAccess Чтение и запись политики доступа между клиентами в организации Позволяет приложению считывать и записывать политику доступа между клиентами в вашей организации без необходимости входа пользователя. Да
Policy.ReadWrite.AuthenticationMethod Чтение и запись всех политик способа проверки подлинности Позволяет приложению читать и записывать все политики способа проверки подлинности для клиента без вошедшего пользователя. Да
Policy.ReadWrite.FeatureRollout Чтение и запись политик развертывания функций Позволяет приложению считывать и записывать политики развертывания функций без необходимости входа пользователя. Содержит возможности назначения и удаления пользователей и групп для развертывания определенной функции. Да
Policy.ReadWrite.PermissionGrant Управление политиками, связанными с согласиями и предоставлением разрешений Позволяет приложению без вошедшего в систему пользователя управлять политиками, связанными с согласием и разрешениями, которые предоставлены приложениям. Да
Policy.ReadWrite.TrustFramework Чтение и запись политик инфраструктуры доверия в организации Позволяет приложению считывать и записывать политики инфраструктуры доверия в организации без необходимости входа пользователя. Да

Примеры использования

Следующие сценарии поддерживаются как для разрешений приложения, так и для делегированных разрешений:

  • Policy.Read.All. Чтение политик организации (GET /policies)
  • Policy.Read.All. Чтение политик инфраструктуры доверия в организации (GET /beta/trustFramework/policies)
  • Policy.Read.All. Чтение политик развертывания функций в организации (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.AccessReview. Чтение и запись политик проверки доступа в организации (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: чтение и запись политик конфигурации приложений вашей организации (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows. Чтение и запись политики потоков аутентификации вашей организации (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod. Используйте это разрешение для управления параметрами политики способов проверки подлинности, такими как включение и отключение способов проверки подлинности, предоставление пользователям и группам разрешений использовать эти способы и настройка других параметров, связанных со способами проверки подлинности, которые пользователи могут регистрировать и использовать в клиенте.
  • Policy.ReadWrite.ConditionalAccess. Чтение и запись политик условного доступа в организации (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.CrossTenantAccess. Чтение и запись политики доступа между клиентами в организации (PATCH /beta/policies/crossTenantAccessPolicy)
  • Policy.ReadWrite.FeatureRollout. Чтение и запись политик развертывания функций в организации (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework. Чтение и запись политик инфраструктуры доверия в организации (POST /beta/trustFramework/policies)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения присутствия

Делегированные разрешения

Разрешение Отображаемая строка Описание Требуется согласие администратора
Presence.Read Чтение сведений о присутствии пользователя Позволяет приложению считывать сведения о присутствии от имени вошедшего пользователя. Сведения о присутствии включают действия, доступность, подпись статуса, сообщение в календаре об отсутствии на работе, часовой пояс и расположение. Нет
Presence.Read.All Чтение сведений о присутствии для всех пользователей в организации Позволяет приложению считывать сведения о присутствии для всех пользователей в каталоге от имени вошедшего пользователя. Сведения о присутствии включают действия, доступность, подпись статуса, сообщение в календаре об отсутствии на работе, часовой пояс и расположение. Нет
Presence.ReadWrite Чтение и запись сведений о присутствии пользователя Позволяет приложению считывать сведения о присутствии и записывать действия и сведения о доступности от имени вошедшего пользователя. Сведения о присутствии включают действия, доступность, подпись статуса, сообщение в календаре об отсутствии на работе, часовой пояс и расположение. Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Presence.ReadWrite.All Чтение и запись сведений о присутствии для всех пользователей Позволяет приложению считывать все сведения о присутствии и записывать действия и сведения о доступности всех пользователей в каталоге без вошедшего пользователя. Сведения о присутствии включают действия, доступность, подпись статуса, сообщение в календаре об отсутствии на работе, часовой пояс и расположение. Да

Примеры использования

  • Presence.Read. Если вы выполнили вход, вы получите сведения о собственном присутствии (GET /me/presence)
  • Presence.Read.All. Получение сведений о присутствии другого пользователя (GET /users/{id}/presence)
  • Presence.Read.All. Получение сведений о присутствии нескольких пользователей (POST /communications/getPresencesByUserId)
  • Presence.ReadWrite:
    • Если вы выполнили вход, задайте состояние сеанса своего присутствия (POST /me/presence/setPresence)
    • Если вы выполнили вход, задайте свое предпочтительное присутствие (POST /me/presence/setUserPreferredPresence)
  • Presence.ReadWrite.All:
    • Задание состояния сеанса присутствия пользователя как приложения (POST /users/{id}/presence/setPresence)
    • Задание предпочтительного присутствия пользователя как приложения (POST /users/{id}/presence/setUserPreferredPresence)

Разрешения для программ и элементов управления программами

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ProgramControl.Read.All Чтение всех программ Позволяет приложению считывать программы от имени вошедшего пользователя. Да Нет
ProgramControl.ReadWrite.All Управление всеми программами Позволяет приложению считывать и записывать программы от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
ProgramControl.Read.All Чтение всех программ Позволяет приложению считывать программы без необходимости входа пользователя. Да
ProgramControl.ReadWrite.All Управление всеми программами Позволяет приложению считывать и записывать программы без необходимости входа пользователя. Да

Примечания

ProgramControl.Read.All и ProgramControl.ReadWrite.All допустимы только для рабочих или учебных учетных записей.

Чтобы приложение с делегированными разрешениями могло считывать программы и элементы управления программами, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор", "Администратор безопасности", "Читатель безопасности" или "Администратор пользователей". Чтобы приложение с делегированными разрешениями могло записывать программы и элементы управления программами, вошедший пользователь должен быть участником одной из следующих ролей администратора: "Глобальный администратор" или "Администратор пользователей". Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.


Разрешения для отчетов

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Reports.Read.All Чтение всех отчетов об использовании Позволяет приложению читать все отчеты об использовании служб от имени вошедшего пользователя. К службам, предоставляющим отчеты об использовании, относятся Microsoft 365 и Azure Active Directory. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Reports.Read.All Чтение всех отчетов об использовании Позволяет приложению читать все отчеты об использовании без вошедшего пользователя. К службам, предоставляющим отчеты об использовании, относятся Microsoft 365 и Azure Active Directory. Да

Замечания

  • Разрешения отчетов поддерживаются только для рабочих и учебных учетных записей.
  • Чтобы делегированные разрешения позволяли приложениям читать отчеты об использовании службы от имени пользователя, администратор клиента должен назначить пользователю ограниченную роль администратора Azure AD. Дополнительные сведения см. в статье Авторизация для API с целью чтения отчетов об использовании Microsoft 365.

Примеры использования

Для приложений

  • Reports.Read.All. Чтение подробного отчета об использовании почтовых приложений за 7-дневный период (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All. Чтение подробного отчета о действиях с электронной почтой за 01.01.2017 (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All. Чтение подробных отчетов об активации Microsoft 365 (GET /reports/Office365Activations(view='Detail')/content).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения на управление ролями

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
RoleAssignmentSchedule.Read.Directory Чтение всех назначений активных ролей для каталога вашей компании. Позволяет приложению считывать активные назначения управления доступом на основе ролей (RBAC) для каталога вашей компании от имени вошедшего пользователя, в том числе считывать роли каталогов и их шаблоны. Да Нет
RoleEligibilitySchedule.Read.Directory Чтение всех подходящих назначений ролей для каталога вашей компании. Позволяет приложению считывать соответствующие назначения управления доступом на основе ролей (RBAC) для каталога вашей компании от имени вошедшего пользователя, в том числе считывать роли каталогов, их шаблоны и сведения о членстве. Да Нет
RoleManagement.Read.All Чтение данных управления ролями для всех поставщиков RBAC. Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для всех поддерживаемых поставщиков RBAC от имени вошедшего пользователя. Это касается чтения определений ролей и назначения ролей. Да Нет
RoleManagement.Read.Directory Чтение данных управления ролями для Azure AD. Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для каталога вашей компании от имени вошедшего пользователя, в том числе считывать роли каталогов, их шаблоны и сведения о членстве. Да Нет
RoleManagementPolicy.Read.Directory Чтение всех политик назначения привилегированных ролей для каталога вашей компании. Позволяет приложению считывать политики для привилегированных назначений управления доступом на основе ролей (RBAC) для каталога вашей компании от имени вошедшего пользователя. Да Нет
RoleAssignmentSchedule.ReadWrite.Directory Чтение, обновление и удаление всех назначений активных ролей для каталога вашей компании. Позволяет приложению считывать активные назначения управления доступом на основе ролей (RBAC) для каталога вашей компании и управлять ими от имени вошедшего пользователя. Это включает управление членством в роли Active Directory и чтение шаблонов ролей каталогов, ролей каталогов и сведений об активном членстве. Да Нет
RoleEligibilitySchedule.ReadWrite.Directory Чтение, обновление и удаление всех подходящих назначений ролей для каталога вашей компании. Позволяет приложению читать соответствующие назначения управления доступом на основе ролей (RBAC) для каталога вашей компании и управлять ими от имени вошедшего пользователя. Это включает управление членством в роли Active Directory и чтение шаблонов ролей каталогов, ролей каталогов и сведений о соответствующем членстве. Да Нет
RoleManagement.ReadWrite.Directory Чтение и написание данных управления ролями для Azure AD. Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для каталога вашей компании и управлять ими от имени пользователя, выполнившего вход. В том числе создавать роли каталогов, управлять членством в ролях каталогов, читать шаблоны ролей каталогов, сами роли и сведения о членстве. Да Нет
RoleManagementPolicy.ReadWrite.Directory Чтение, обновление и удаление всех политик для назначения привилегированных ролей для каталога вашей компании. Позволяет приложению считывать, обновлять и удалять параметры управления доступом на основе ролей (RBAC) для каталога компании от имени вошедшего пользователя, Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
RoleManagement.Read.All Чтение данных управления ролями для всех поставщиков RBAC. Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для всех поддерживаемых поставщиков RBAC при отсутствии пользователя, вошедшего в систему. Это касается чтения определений ролей и назначения ролей. Да
RoleManagement.Read.Directory Чтение данных управления ролями для Azure AD. Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для каталога вашей компании в отсутствие пользователя, выполнившего вход, в том числе считывать шаблоны ролей каталогов, роли каталогов и сведения о членстве. Да
RoleManagement.ReadWrite.Directory Чтение и написание данных управления ролями для Azure AD. Позволяет приложению считывать параметры управления доступом на основе ролей (RBAC) для каталога вашей компании и управлять ими при отсутствии пользователя, выполнившего вход. В том числе создавать роли каталогов, управлять членством в ролях каталогов, читать шаблоны ролей каталогов, сами роли и сведения о членстве. Да

Замечания

Внимание!

Разрешения, позволяющие предоставлять авторизацию, такие как RoleManagement.ReadWrite.Directory, позволяют приложению предоставлять себе, другим приложениям или любому пользователю дополнительные привилегии. Соблюдайте осторожность при предоставлении каких-либо из этих разрешений.

При наличии разрешения RoleManagement.Read.Directory приложение может считывать объекты directoryRole и directoryRoleTemplate, в том числе сведения о членстве для ролей каталогов.

При наличии разрешения RoleManagement.ReadWrite.Directory приложение может считывать и записывать объекты directoryRole (ресурсы directoryRoleTemplate доступны только для чтения), в том числе добавлять и удалять участников в ролях каталогов.

Разрешения на управление ролями поддерживаются только для рабочих и учебных учетных записей.

Примеры использования

  • RoleManagement.Read.Directory: считывание списка доступных шаблонов ролей (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: считывание списка активированных ролей в каталоге (GET /directoryRoles)
  • RoleManagement.Read.Directory: считывание списка участников роли (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: считывание списка участников роли в рамках административной единицы (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: активация роли каталога по шаблону роли (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: добавление участника в роль каталога (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: добавление участника в рамках административной единицы в роль каталога (POST /directoryRoles/<id>/scopedMembers)

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения для управления расписанием (закрытая предварительная версия)

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Schedule.ReadWrite.All (закрытая предварительная версия) Чтение и запись данных службы "Смены" (Teams) Позволяет приложению считывать и создавать расписание, группы расписаний, смены и связанные объекты в приложениях смен без необходимости входа пользователя. Да Нет
Schedule.Read.All (закрытая предварительная версия) Чтение данных службы "Смены" (Teams) Позволяет приложению считывать расписание, группы планирования, смены и связанные объекты в приложениях смен без необходимости входа пользователя. Да Нет

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Schedule.ReadWrite.All Чтение и запись данных службы "Смены" (Teams) Позволяет приложению считывать и создавать расписание, группы расписаний, смены и связанные объекты в приложениях смен от имени вошедшего в систему пользователя. Нет Нет
Schedule.Read.All Чтение данных службы "Смены" (Teams) Позволяет приложению считывать расписание, группы расписаний, смены и связанные объекты в приложениях смен от имени вошедшего в систему пользователя. Нет Нет
WorkforceIntegration.ReadWrite.All (частный предварительный просмотр) Читать и писать трудовые интеграции Приложение сможет управлять интеграцией рабочей силы, синхронизировать данные от смен Microsoft Teams с помощью интегрированной системы от имени вошедшего в систему пользователя. Да Нет
WorkforceIntegration.Read.All (частный предварительный просмотр) Читать и писать трудовые интеграции Приложение сможет управлять интеграцией рабочей силы, синхронизировать данные от смен Microsoft Teams с помощью интегрированной системы от имени вошедшего в систему пользователя. Да Нет

Разрешения поиска

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ExternalConnection.Read.All Чтение всех внешних подключений Позволяет приложению считывать все внешние подключения без вошедшего пользователя. Да Нет
ExternalConnection.ReadWrite.All Чтение и запись всех внешних подключений Позволяет приложению считывать и записывать все внешние подключения без вошедшего пользователя. Да Нет
ExternalConnection.ReadWrite.OwnedBy Чтение и запись внешних подключений и параметров подключения Позволяет приложению считывать и записывать внешние подключения и соответствующие параметры без необходимости входа пользователя. Приложение может считывать и записывать только внешние подключения, на которые у него есть полномочия, или создавать новые внешние подключения. Да Нет
ExternalItem.Read.All Чтение всех внешних элементов Позволяет приложению считывать все внешние элементы без необходимости входа пользователя. Да Нет
ExternalItem.ReadWrite.All Чтение и запись всех внешних элементов Позволяет приложению считывать и записывать все внешние элементы без необходимости входа пользователя. Да Нет
ExternalItem.ReadWrite.OwnedBy Чтение и запись внешних элементов Позволяет приложению считывать и записывать внешние элементы без необходимости входа пользователя. Приложение может считывать только внешние элементы подключения, на которое у него есть полномочия. Да Нет

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ExternalConnection.Read.All Чтение всех внешних подключений Позволяет приложению считывать все внешние подключения от имени вошедшего пользователя. Да Нет
ExternalConnection.ReadWrite.All Чтение и запись всех внешних подключений Позволяет приложению считывать и записывать все внешние подключения от имени вошедшего пользователя. Да Нет
ExternalConnection.ReadWrite.OwnedBy Чтение и запись внешних подключений Позволяет приложению считывать и записывать внешние подключения от имени вошедшего пользователя. Приложение может считывать и записывать только внешние подключения, на которые у него есть полномочия, или создавать новые внешние подключения. Да Нет
ExternalItem.Read.All Чтение внешних данных Разрешить приложению читать внешние наборы данных и содержимое от имени вошедшего пользователя. Да Нет
ExternalItem.ReadWrite.All Чтение и запись всех внешних элементов Позволяет приложению считывать и записывать все внешние элементы от имени вошедшего пользователя. Да Нет
ExternalItem.ReadWrite.OwnedBy Чтение и запись внешних элементов Позволяет приложению считывать и записывать внешние элементы от имени вошедшего пользователя. Приложение может считывать только внешние элементы подключения, на которое у него есть полномочия. Да Нет

Примечания

Разрешения поиска действительны только для рабочих и учебных учетных записей.

Это разрешение поиска применимо только к данным, принятым API индексирования.

Для доступа к данным через поиск необходимо разрешение на чтение элемента. Пример: Files.Read.All для доступа к файлам через поиск.

Примеры использования

Делегированные разрешения

  • ExternalItem.Read.All : Доступ к внешний данным из API поиска (POST /search/query).

Разрешения конфигурации поиска

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
SearchConfiguration.Read.All Чтение конфигурации поиска организации Позволяет приложению считывать конфигурацию поиска от имени пользователя, выполнившего вход. Да Нет
SearchConfiguration.ReadWrite.All Чтение и запись конфигурации поиска организации Позволяет приложению считывать и записывать конфигурации поиска от имени пользователя, выполнившего вход. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
SearchConfiguration.Read.All Чтение конфигурации поиска организации Позволяет приложению считывать конфигурации поиска без необходимости входа пользователя. Да
SearchConfiguration.ReadWrite.All Чтение и запись конфигурации поиска организации Позволяет приложению считывать и записывать конфигурации поиска без необходимости входа пользователя. Да

Замечания

Разрешения конфигурации поиска действительны только для рабочих и учебных учетных записей.

Примеры использования

Разрешения приложения и делегированные разрешения

  • SearchConfiguration.Read.All: чтение списка всех закладок, созданных для клиента (GET /beta/search/bookmarks)
  • SearchConfiguration.ReadWrite.All: обновление или чтение всех закладок, созданных для клиента (PATCH /beta/search/bookmarks/{id})

Разрешения системы безопасности

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
SecurityEvents.Read.All Чтение событий безопасности в организации Позволяет приложению читать события безопасности от имени вошедшего пользователя. Да Нет
SecurityEvents.ReadWrite.All Чтение и обновление событий безопасности в организации Позволяет приложению читать события безопасности от имени вошедшего пользователя. Кроме того, приложение может обновлять доступные для редактирования свойства событий безопасности от имени вошедшего пользователя. Да Нет
SecurityActions.Read.All Чтение действий, связанных с безопасностью в организации Позволяет приложению читать действия, связанные с безопасностью в организации, от имени вошедшего пользователя. Да Нет
SecurityActions.ReadWrite.All Чтение и обновление действий, связанных с безопасностью в организации Позволяет приложению читать действия, связанные с безопасностью в организации, от имени вошедшего пользователя. Да Нет
ThreatIndicators.ReadWrite.OwnedBy Управление индикаторами угроз, которыми это приложение владеет или которые были им созданы Позволяет приложению создавать индикаторы угроз и полностью управлять ими (читать, обновлять и удалять) от имени вошедшего в систему пользователя. Да Нет
ThreatIndicators.Read.All Считывание индикаторов угроз вашей организации Позволяет приложению считывать все индикаторы угроз для вашей организации без входа пользователя в систему. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
SecurityEvents.Read.All Чтение событий безопасности в организации Позволяет приложению читать события безопасности в организации. Да
SecurityEvents.ReadWrite.All Чтение и обновление событий безопасности в организации Позволяет приложению читать события безопасности в организации. Кроме того, приложение может обновлять события безопасности, доступные для редактирования. Да
SecurityActions.Read.All Чтение событий безопасности в организации Позволяет приложению читать действия, связанные с безопасностью в организации. Да
SecurityActions.ReadWrite.All Создание и чтение действий, связанных с безопасностью в организации Позволяет приложению читать или создавать действия, связанные с безопасностью, без необходимости входа пользователя. Да
ThreatIndicators.ReadWrite.OwnedBy Управление индикаторами угроз, которыми это приложение владеет или которые были им созданы Позволяет приложению создавать индикаторы угроз и полностью управлять ими (читать, обновлять и удалять) без необходимости входа пользователя. Приложение не сможет обновить индикаторы угроз, которыми оно не владеет. Да
ThreatIndicators.Read.All Управление индикаторами угроз, которые это приложение создает или контролирует Позволяет приложению считывать все индикаторы вашей организации без входа пользователя в систему. Да

Замечания

Разрешения безопасности действительны только для рабочих и учебных учетных записей.

Примеры использования

Разрешения приложения и делегированные разрешения

  • SecurityEvents.Read.All. Чтение списка всех оповещений безопасности от любых лицензированных поставщиков безопасности, доступных в клиенте (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: обновление или чтение оповещений безопасности от любых лицензированных поставщиков безопасности, доступных в клиенте (PATCH /beta/security/alerts/{id})

Разрешения служебных сообщений

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ServiceHealth.Read.All Чтение сведений о работоспособности службы Позволяет приложению читать сведения о работоспособности службы клиента от имени пользователя, выполнившего вход. Сведения о работоспособности могут содержать данные о проблемах со службой или обзор работоспособности службы. Да Да
ServiceMessage.Read.All Чтение сообщений службы Позволяет приложению читать извещения службы клиента от имени пользователя, выполнившего вход. Сообщения могут содержать сведения о новых или измененных возможностях. Да Да
ServiceMessageViewpoint.Write Обновление вашего состояния пользователя в объявлениях службы Позволяет приложению изменять статус клиента в извещениях службы от имени пользователя, выполнившего вход. Состояние сообщения можно пометить как прочитанное, архивированное или избранное. Да Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
ServiceHealth.Read.All Чтение сведений о работоспособности службы Позволяет приложению читать сведения о работоспособности службы клиента без вошедшего пользователя. Сведения о работоспособности могут содержать данные о проблемах со службой или обзор работоспособности службы. Да
ServiceMessage.Read.All Чтение сообщений службы Позволяет приложению читать извещения службы клиента без необходимости входа пользователя. Сообщения могут содержать сведения о новых или измененных возможностях. Да

Разрешения для коротких заметок (закрытая ознакомительная версия)

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ShortNotes.Read Чтение коротких заметок для вошедшего пользователя Позволяет приложению читать всех короткие заметки, к которым у вошедшего пользователя есть доступ. Нет Да
ShortNotes.ReadWrite Чтение, создание, изменение и удаление коротких заметок вошедшего пользователя. Позволяет приложению читать, создавать, изменять и удалять короткие заметки для вошедшего пользователя. Нет Да

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
ShortNotes.Read.All Чтение всех коротких заметок пользователя Позволяет приложению читать все короткие заметки без вошедшего пользователя. Да
ShortNotes.ReadWrite.All Чтение, создание, изменение и удаление всех коротких заметок пользователя Позволяет приложению читать, создавать, изменять и удалять все короткие заметки без вошедшего пользователя. Да

Разрешения для сайтов

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Sites.Read.All Чтение элементов во всех семействах веб-сайтов Позволяет приложению считывать документы и элементы списков во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему. Нет Нет
Sites.ReadWrite.All Чтение и запись элементов во всех семействах веб-сайтов Позволяет приложению редактировать или удалять документы и элементы списков во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему. Нет Нет
Sites.Manage.All Создание, редактирование и удаление элементов и списков во всех семействах веб-сайтов Позволяет приложению создавать списки, документы и элементы списков, а также управлять ими во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему. Нет Нет
Sites.FullControl.All Полный контроль над всеми семействами веб-сайтов Разрешает приложению полный контроль над сайтами SharePoint во всех семействах веб-сайтов от имени пользователя, выполнившего вход в систему. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Sites.Read.All Чтение элементов во всех семействах веб-сайтов Позволяет приложению считывать документы и элементы списка во всех семействах веб-сайтов без пользователя, выполнившего вход в систему. Да
Sites.ReadWrite.All Чтение и запись элементов во всех семействах веб-сайтов Позволяет приложению создавать, считывать, изменять и удалять документы и элементы списков во всех семействах веб-сайтов без пользователя, выполнившего вход в систему. Да
Sites.Manage.All Создание, редактирование и удаление элементов и списков во всех семействах веб-сайтов Разрешает приложению создавать списки, документы и элементы списков, а также управлять ими во всех семействах веб-сайтов без необходимости входа пользователя. Да
Sites.FullControl.All Полный контроль над всеми семействами веб-сайтов Разрешает приложению полный контроль над сайтами SharePoint во всех семействах веб-сайтов без необходимости входа пользователя. Да
Sites.Selected Доступ к выбранным семействам веб-сайтов Предоставление приложению доступа к подмножеству семейств веб-сайтов без необходимости входа пользователя. Конкретные семейства веб-сайтов и предоставленные разрешения будут настроены в SharePoint Online. Да

Заметки

Разрешения сайтов действительны только для рабочих и учебных учетных записей. Разрешение Sites.Selected для приложений доступно только в API Microsoft Graph.

Примеры использования

Делегированные разрешения

  • Sites.Read.All. Чтение списков на корневом сайте SharePoint (GET /v1.0/sites/root/lists).
  • Sites.ReadWrite.All. Создание элементов списка SharePoint (POST /v1.0/sites/root/lists/123/items).
  • Sites.Manage.All. Добавление нового списка на сайт SharePoint (POST /v1.0/sites/root/lists).
  • Sites.FullControl.All. Полный доступ к сайтам и спискам SharePoint.

Разрешения запроса прав субъекта

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
SubjectRightsRequest.Read.All Чтение запросов прав субъекта Позволяет приложению читать запросы прав субъектов от имени пользователя, вошедшего в систему. Да Нет
SubjectRightsRequest.ReadWrite.All Чтение и запись запросов прав субъекта Позволяет приложению читать и записывать запросы прав субъектов от имени пользователя, вошедшего в систему. Да Нет

Разрешения приложений

Нет.

Примеры использования

Delegated

  • SubjectRightsRequest.Read.All_: получение списка запросов прав субъектов, доступны для пользователя (GET /privacy/subjectrightsrequests).
  • SubjectRightsRequest.ReadWrite.All: создание запроса прав субъекта (POST /privacy/subjectrightsrequests).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.

Разрешения для задач

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Tasks.Read Чтение задач и списков задач пользователя (предварительная версия) Позволяет приложению считывать задачи и списки задач вошедшего пользователя, включая те, которыми поделились с пользователем. Не включает разрешение на создание, удаление и обновление каких-либо элементов. Нет Да
Tasks.Read.Shared Чтение задач пользователя и общих задач (предварительная версия) Позволяет приложению считывать задачи, доступные пользователю, в том числе собственные задачи пользователя и общие задачи. Нет Нет
Tasks.ReadWrite Создание, чтение, обновление и удаление задач и списков задач пользователя (предварительная версия) Позволяет приложению создавать, читать, обновлять и удалять задачи и списки задач вошедшего пользователя, включая те, которыми поделились с пользователем. Нет Да
Tasks.ReadWrite.Shared Чтение и запись задач пользователя и общих задач (предварительная версия) Позволяет приложению создавать, считывать, обновлять и удалять задачи, доступные пользователю, в том числе его собственные и общие задачи. Нет Нет

Разрешения приложений

Нет.

Замечания

Разрешения Tasks используются для управления доступом к задачам Списка дел и к задачам Outlook (упразднено). Доступом к задачам Планировщика (Майкрософт) управляют разрешения Group.

В настоящее время разрешения Shared поддерживаются только для рабочих и учебных учетных записей. Даже с разрешениями Shared операции чтения и записи могут завершаться сбоем, если владелец общего содержимого не предоставил пользователю разрешения на изменение содержимого в папке.

Примеры использования

Делегированные разрешения

  • Tasks.Read. Получение всех задач в почтовом ящике пользователя (GET /me/outlook/tasks).
  • Tasks.Read.Shared. Доступ к задачам в папке, доступ к которой вам предоставил другой пользователь в организации (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite. Добавление события в папку задач по умолчанию, принадлежащую пользователю (POST /me/outlook/tasks).
  • Tasks.Read. Получение всех незавершенных задач в почтовом ящике пользователя (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite. Обновление задачи в почтовом ящике пользователя (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared. Выполнение задачи от имени другого пользователя (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения таксономии

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TermStore.Read.All Чтение данных банка терминов Позволяет приложению читать различные термины, наборы и группы в банке терминов Да Нет
TermStore.ReadWrite.All Чтение и запись всех данных банка терминов Позволяет приложению изменять и удалять термины, наборы и группы в банке терминов Да Нет

Примечания

Разрешения таксономии действительны только для рабочих и учебных учетных записей.

Примеры использования

Delegated

  • TermStore.Read.All: чтение банка терминов для клиента (GET /termStore)
  • TermStore.ReadWrite.All: создание терминов в банке терминов (POST /termStore/sets/123/children)

Разрешения для команд

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Team.ReadBasic.All Считывание названий и описаний команд Считывание названий и описаний команд от имени вошедшего в систему пользователя. Нет Нет
Team.Create Создание команд Создание команд от имени вошедшего в систему пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Team.ReadBasic.All Получение списка всех команд Получает список всех команд без необходимости выполнять вход. Да Нет
Team.Create Создание команд Создание команд без необходимости выполнять вход. Да Нет
Teamwork.Migrate.All Управление миграцией в Microsoft Teams Создание ресурсов для миграции в Microsoft Teams и управление ими Да Да

Разрешения для параметров команды

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamSettings.Read.All Считывание параметров команд Считывание параметров этой команды от имени вошедшего в систему пользователя. Да Нет
TeamSettings.ReadWrite.All Считывание и изменение параметров команд Считывание и изменение параметров всех команд от имени вошедшего в систему пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamSettings.Read.All Чтение параметров всех команд Считывание параметров этой команды без необходимости выполнять вход. Да Нет
TeamSettings.ReadWrite.All Считывание и изменение параметров всех команд. Считывает и изменяет параметры всех команд без необходимости выполнять вход. Да Нет

Разрешения для действий в Teams

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsActivity.Read (закрытая ознакомительная версия) Чтение веб-канала активности для командной работы пользователя Позволяет приложению читать веб-канал активности для командной работы вошедшего пользователя. Нет Нет
TeamsActivity.Send Отправка действий командной работы от имени пользователя Позволяет приложению создавать новые уведомления в веб-каналах действий командной работы пользователей от имени пользователя, выполнившего вход. Эти уведомления могут не обнаруживаться, не задерживаться или не регулироваться политиками соответствия требованиям. Нет Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsActivity.Read.All (закрытая ознакомительная версия) Чтение веб-канала активности для командной работы всех пользователей Позволяет приложению читать веб-канал активности для командной работы всех пользователей без необходимости входа пользователя. Да Нет
TeamsActivity.Send Отправка действий командной работы любому пользователю Позволяет приложению создавать новые уведомления в каналах действий командной работы без пользователя, выполнившего вход в систему. Эти уведомления могут не обнаруживаться, не задерживаться или не регулироваться политиками соответствия требованиям. Да Нет

Разрешения приложений Teams (нерекомендуемые)

Примечание

Эти разрешения являются нерекомендуемыми. Вместо них используйте эквивалентные разрешения TeamsAppInstallation.*.All.

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsApp.Read.All (Нерекомендуемое) Чтение всех установленных приложений Teams Позволяет приложению считывать приложения Teams, установленные для вошедшего пользователя и во всех командах, участником которых является пользователь. Не предоставляет возможности чтения параметров, относящихся к приложению. Да Нет
TeamsApp.ReadWrite.All (Нерекомендуемое) Управление всеми приложениями группы Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams от имени вошедшего пользователя, а также для команд, участником которых является пользователь. Не предоставляет возможности чтения или записи параметров, относящихся к приложению. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsApp.Read.All (Нерекомендуемое) Чтение всех установленных пользовательских приложений Teams Позволяет приложению считывать приложения Teams, установленные для всех пользователей, в отсутствие пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да Нет
TeamsApp.ReadWrite.All (Нерекомендуемое) Управление всеми пользовательскими приложениями группы Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams для любого пользователя, при отсутствии пользователя, выполнившего вход. Не предоставляет возможности чтения и записи параметров, относящихся к приложению. Да Нет

Разрешения на установку приложений Teams

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsAppInstallation.ReadForUser Считывает установленные пользователем приложения Teams Позволяет приложению считывать приложения Teams, установленные для пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Нет Нет
TeamsAppInstallation.ReadWriteForUser Управление приложениями Teams, установленными пользователем Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams, установленные для пользователя выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да Нет
TeamsAppInstallation.ReadWriteSelfForUser Разрешение приложению управлять собой в командах Позволяет приложению Teams читать, устанавливать, обновлять и удалять себя для команд, доступных вошедшему пользователю. Нет Нет
TeamsAppInstallation.ReadForTeam Чтение установленных приложений Teams в командах Позволяет приложению считывать приложения Teams, установленные в командах, доступных для пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да Нет
TeamsAppInstallation.ReadWriteForTeam Управление установленными приложениями Teams в командах Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams в командах, доступных для пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да Нет
TeamsAppInstallation.ReadWriteSelfForTeam Разрешение приложению управлять собой в командах Позволяет приложению Teams читать, устанавливать, обновлять и удалять себя для команд, доступных вошедшему пользователю. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
TeamsAppInstallation.ReadForUser.All Чтение установленных приложений Teams для всех пользователей Позволяет приложению считывать приложения Teams, установленные для всех пользователей, в отсутствие пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да
TeamsAppInstallation.ReadWriteForUser.All Управление приложениями Teams для всех пользователей Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams для любого пользователя, в отсутствие пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да
TeamsAppInstallation.ReadWriteSelfForUser.All Разрешение приложению управлять собой для всех пользователей Позволяет приложению Teams читать, устанавливать, обновлять и удалять себя для любого пользователя без необходимости выполнять вход. Да
TeamsAppInstallation.ReadForTeam.All Чтение установленных приложений Teams для всех команд Позволяет приложению считывать приложения Teams, установленные в любой команде, в отсутствие пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да
TeamsAppInstallation.ReadWriteForTeam.All Управление приложениями Teams во всех командах Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams в любой команде, в отсутствие пользователя, выполнившего вход. Не предоставляет возможности чтения параметров, относящихся к приложению. Да
TeamsAppInstallation.ReadWriteSelfForTeam.All Разрешение приложению Teams управлять собой во всех командах Позволяет приложению Teams читать, устанавливать, обновлять и удалять себя в любой команде без необходимости входа пользователя. Да

Разрешения на управление устройствами Teams

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamworkDevice.Read.All Чтение устройств Teams. Позволяет приложению читать данные управления для устройств Teams от имени пользователя, вошедшего в систему. Да Нет
TeamworkDevice.ReadWrite.All Чтение и запись устройств Teams. Позволяет приложению читать и записывать данные управления для устройств Teams от имени пользователя, вошедшего в систему. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamworkDevice.Read.All Чтение устройств Teams. Позволяет приложению читать данные управления для устройств Teams без вошедший в систему пользователя. Да Нет
TeamworkDevice.ReadWrite.All Чтение и запись устройств Teams. Позволяет приложению читать и записывать данные управления для устройств Teams без вошедший в систему пользователя. Да Нет

Разрешения для участников команды

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamMember.Read.All Чтение участников команд. Чтение участников команд от имени вошедшего пользователя. Да Нет
TeamMember.ReadWrite.All Добавление и удаление участников команд. Добавление и удаление участников команд от имени вошедшего пользователя. Также позволяет изменять роль участника, например с владельца на обычного пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamMember.Read.All Чтение участников всех команд. Чтение участников всех команд без необходимости входа пользователя. Да Нет
TeamMember.ReadWrite.All Добавление и удаление участников всех команд. Добавление и удаление участников всех команд без необходимости входа пользователя. Также позволяет изменять роль участника команды, например с владельца на обычного пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamSettings.Read.Group Считывание параметров этой команды. Считывание параметров этой команды без необходимости выполнять вход. Нет Нет
TeamSettings.ReadWrite.Group Обновление параметров для команды. Считывание и запись параметров этой команды без необходимости выполнять вход. Нет Нет
ChannelSettings.Read.Group Чтение названий, описаний и параметров каналов этой команды. Считывание названий, описаний и параметров каналов команды без необходимости входа пользователя. Нет Нет
ChannelSettings.ReadWrite.Group Обновление названий, описаний и параметров каналов этой команды. Обновление названий, описаний и параметров каналов команды без необходимости входа пользователя. Нет Нет
Channel.Create.Group Создание каналов в этой команде. Создание каналов в команде без необходимости входа пользователя. Нет Нет
Channel.Delete.Group Удаление каналов этой команды. Удаление каналов команды без необходимости входа пользователя. Нет Нет
ChannelMessage.Read.Group Считывание сообщений канала команды. Позволяет приложению считывать сообщения канала команды без необходимости входа пользователя. Нет Нет
TeamsAppInstallation.Read.Group Просмотр приложений, установленных в этой команде. Просмотр приложений, установленных в команде, без необходимости входа пользователя. Нет Нет
TeamsTab.Read.Group Считывание вкладок этой команды. Считывание вкладок команды без необходимости входа пользователя. Нет Нет
TeamsTab.Create.Group Создание вкладок в этой команде. Создание вкладок в команде без необходимости входа пользователя. Нет Нет
TeamsTab.ReadWrite.Group Обновление вкладок этой команды. Обновление вкладок команды без необходимости входа пользователя. Нет Нет
TeamsTab.Delete.Group Удаление вкладок этой команды. Удаление вкладок команды без необходимости входа пользователя. Нет Нет
TeamMember.Read.Group Считывание участников этой команды. Считывание участников этой команды без необходимости выполнять вход. Нет Нет
Member.Read.Group Считывание участников этой группы. Считывание участников этой группы без необходимости выполнять вход. Нет Нет
Owner.Read.Group Считывание владельцев этой группы. Считывание владельцев этой группы без необходимости выполнять вход. Нет Нет
File.Read.Group Чтение файлов и папок команды. Ограниченная поддержка
(Предварительная версия) Чтение файлов и папок команды без необходимости входа пользователей.
Нет Нет
TeamsActivity.Send.Group Отправить уведомления о действиях в канале пользователям в этой команде. Позволяет приложению создавать новые уведомления в каналах действий командной работы пользователей в этой команде (без вошедшего в систему пользователя). Нет Нет

Разрешения для параметров Teams

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Team.ReadBasic.All Считывание названий и описаний команд Считывание названий и описаний команд от имени вошедшего в систему пользователя. Нет Нет
TeamSettings.Read.All Считывание параметров команд Считывание параметров всех команд от имени вошедшего в систему пользователя. Да Нет
TeamSettings.ReadWrite.All Считывание и изменение параметров команд. Считывание и изменение параметров всех команд от имени вошедшего в систему пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Team.ReadBasic.All Получение списка всех команд. Получает список всех команд без необходимости выполнять вход. Да Нет
TeamSettings.Read.All Чтение параметров всех команд Считывание параметров этой команды без необходимости выполнять вход. Да Нет
TeamSettings.ReadWrite.All Считывание и изменение параметров всех команд Считывает и изменяет параметры всех команд без необходимости выполнять вход. Да Нет

Разрешения для вкладок Teams

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsTab.Read.All Чтение вкладок в Microsoft Teams. Позволяет приложению считывать приложения Teams, установленные для вошедшего пользователя и во всех командах, участником которых является пользователь. Не предоставляет возможности чтения параметров, относящихся к приложению. Да Нет
TeamsTab.ReadWrite.All Чтение и запись вкладок в Microsoft Teams. Позволяет приложению считывать, устанавливать, обновлять и удалять приложения Teams от имени вошедшего пользователя, а также для команд, участником которых является пользователь. Не предоставляет возможности чтения или записи параметров, относящихся к приложению. Да Нет
TeamsTab.Create Создание вкладок в Microsoft Teams. Позволяет приложению создавать вкладки в любой команде Microsoft Teams от имени вошедшего в систему пользователя. При этом возможности читать, изменять и удалять вкладки после их создания, как и доступа к контенту внутри вкладок, не предоставляется. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamsTab.Read.All Чтение вкладок в Microsoft Teams. Чтение названий и параметров вкладок в любой команде Microsoft Teams без входа пользователя в систему. Доступа к контенту внутри вкладок не предоставляется. Да Нет
TeamsTab.ReadWrite.All Чтение и запись вкладок в Microsoft Teams. В Microsoft Teams можно читать и записывать вкладки любой команды без входа пользователя в систему. Доступа к контенту внутри вкладок не предоставляется. Да Нет
TeamsTab.Create Создание вкладок в Microsoft Teams. Позволяет приложению создавать вкладки в любой команде Microsoft Teams без входа пользователя в систему При этом возможности читать, изменять и удалять вкладки после их создания, как и доступа к контенту внутри вкладок, не предоставляется. Да Нет

Разрешения для тегов Teams

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamworkTag.ReadWrite Чтение и запись тегов в Microsoft Teams. Позволяет приложению считывать и записывать теги в Teams от имени вошедшего пользователя. Да Нет
TeamworkTag.Read Чтение тегов в Microsoft Teams. Позволяет приложению считывать теги в Teams от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
TeamworkTag.ReadWrite.All Чтение и запись тегов в Microsoft Teams. Позволяет приложению считывать и записывать теги в Teams без необходимости входа пользователя. Да Нет
TeamworkTag.Read.All Чтение тегов в Microsoft Teams. Позволяет приложению считывать теги в Teams без необходимости входа пользователя Да Нет

Разрешения, связанные с условиями использования

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Agreement.Read.All Чтение всех соглашений с условиями использования Позволяет приложению считывать соглашения с условиями использования от имени выполнившего вход пользователя. Да Нет
Agreement.ReadWrite.All Чтение и запись всех соглашений с условиями использования Позволяет приложению считывать и записывать соглашения с условиями использования от имени выполнившего вход пользователя. Да Нет
AgreementAcceptance.Read Чтение данных о состояниях принятия пользователем условий использования Позволяет приложению считывать данные о состояниях принятия условий использования от имени выполнившего вход пользователя. Да Нет
AgreementAcceptance.Read.All Чтение данных о состояниях принятия условий использования, доступных пользователю Позволяет приложению считывать данные о состояниях принятия условий использования от имени выполнившего вход пользователя. Да Нет

Примечания

Все эти разрешения действительны только для рабочих и учебных учетных записей.

Чтобы с помощью приложения считывать или записывать все соглашения или данные об их принятии с использованием делегированных разрешений, выполнившему вход пользователю должна быть назначена роль глобального администратора, администратора условного доступа или администратора безопасности. Дополнительные сведения о ролях администраторов см. в статье Назначение ролей администраторов в Azure Active Directory.

Примеры использования

Делегированные разрешения

Следующие сценарии поддерживаются для делегированных разрешений:

  • Agreement.Read.All: "Чтение всех соглашений с условиями использования" (GET /beta/agreements);
  • Agreement.ReadWrite.All: "Чтение и запись всех соглашений с условиями использования" (POST /beta/agreements);
  • AgreementAcceptance.Read: "Чтение данных о состояниях принятия пользователем условий использования" (GET /beta/me/agreementAcceptances).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.


Разрешения для оценки угроз

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
ThreatAssessment.ReadWrite.All Чтение и запись запросов на оценку угроз Позволяет приложению читать запросы на оценку угроз вашей организации от имени вошедшего пользователя. Также позволяет приложению создавать новые запросы для оценки угроз, полученных вашей организацией, от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Требуется согласие администратора
ThreatAssessment.Read.All Чтение запросов на оценку угроз Позволяет приложению читать запросы на оценку угроз вашей организации без необходимости входа пользователя. Да

Примечания

Разрешения для оценки угроз действительны только для рабочих и учебных учетных записей.

Примеры использования

Делегированное

  • ThreatAssessment.ReadWrite.All: чтение и запись запросов на оценку угроз (POST /informationProtection/threatAssessmentRequests)

Приложение

  • ThreatAssessment.Read.All: чтение запросов на оценку угроз (GET /informationProtection/threatAssessmentRequests)

Разрешения универсальной печати

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
Printer.Create Регистрация принтеров Позволяет приложению создавать (регистрировать) принтеры от имени вошедшего пользователя. Да Нет
Printer.FullControl.All Регистрация, чтение, обновление и отмена регистрации принтеров Позволяет приложению создавать (регистрировать), читать, обновлять и удалять принтеры (отменять регистрацию) от имени вошедшего пользователя. Да Нет
Printer.Read.All Чтение принтеров Позволяет приложению читать принтеры от имени вошедшего пользователя. Да Нет
Printer.ReadWrite.All Чтение и обновление принтеров Позволяет приложению читать и обновлять принтеры от имени вошедшего пользователя. Не позволяет создавать (регистрировать) и удалять принтеры (отменять регистрацию). Да Нет
PrinterShare.ReadBasic.All Чтение основных сведений об общих принтерах Позволяет приложению считывать основные сведения об общих принтерах от имени вошедшего пользователя. Запрещает чтение сведений об управлении доступом. Нет Нет
PrinterShare.Read.All Чтение общих принтеров Позволяет приложению читать общие принтеры от имени вошедшего пользователя. Нет Нет
PrinterShare.ReadWrite.All Чтение и запись общих принтеров Позволяет приложению читать и обновлять общие принтеры от имени вошедшего пользователя. Да Нет
PrintJob.Create Создание заданий печати Позволяет приложению создавать задания печати от имени вошедшего пользователя и добавлять содержимое документов в задания печати, созданные вошедшим пользователем. Нет Нет
PrintJob.Read Чтение заданий печати пользователя Позволяет приложению читать метаданные и содержимое документов заданий печати, созданных вошедшим пользователем. Нет Нет
PrintJob.Read.All Чтение заданий печати Позволяет приложению читать метаданные и содержимое документов заданий печати от имени вошедшего пользователя. Да Нет
PrintJob.ReadBasic Чтение основных сведений о заданиях печати пользователя Позволяет приложению читать метаданные заданий печати, созданных вошедшим пользователем. Не позволяет получать доступ к содержимому документа задания печати. Нет Нет
PrintJob.ReadBasic.All Чтение основных сведений заданий печати Позволяет приложению читать метаданные заданий печати от имени вошедшего пользователя. Не позволяет получать доступ к содержимому документа задания печати. Да Нет
PrintJob.ReadWrite Чтение и запись заданий печати пользователя Позволяет приложению читать и обновлять метаданные и содержимое документов заданий печати, созданных вошедшим пользователем. Нет Нет
PrintJob.ReadWrite.All Чтение и запись заданий печати Позволяет приложению читать и обновлять метаданные и содержимое документов заданий печати от имени вошедшего пользователя. Да Нет
PrintJob.ReadWriteBasic Чтение и запись основных сведений о заданиях печати пользователя Позволяет приложению читать и обновлять метаданные заданий печати, созданных вошедшим пользователем. Не позволяет получать доступ к содержимому документа задания печати. Нет Нет
PrintJob.ReadWriteBasic.All Чтение и запись основных сведений заданий печати Позволяет приложению читать и обновлять метаданные заданий печати от имени вошедшего пользователя. Не позволяет получать доступ к содержимому документа задания печати. Да Нет
PrintConnector.Read.All Чтение соединителей Позволяет приложению читать соединители от имени вошедшего пользователя. Да Нет
PrintConnector.ReadWrite.All Чтение и запись соединителей печати Позволяет приложению читать и записывать соединители печати от имени вошедшего пользователя. Да Нет
PrintSettings.Read.All Чтение параметров печати на уровне клиента Позволяет приложению читать параметры печати от имени вошедшего пользователя. Да Нет
PrintSettings.ReadWrite.All Чтение и запись параметров печати на уровне клиента Позволяет приложению читать и обновлять параметры печати от имени вошедшего пользователя. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
Printer.Read.All Чтение принтеров Позволяет приложению читать принтеры без необходимости входа пользователя. Да
Printer.ReadWrite.All Чтение и обновление принтеров Позволяет приложению читать и обновлять принтеры без необходимости выполнять вход. Не позволяет создавать (регистрировать) и удалять принтеры (отменять регистрацию). Да
PrintJob.Manage.All Выполнение дополнительных операций с заданиями печати Позволяет приложению выполнять дополнительные операции, такие как перенаправление задания печати на другой принтер, без необходимости входа пользователя. Также позволяет приложению читать и обновлять метаданные заданий печати. Да
PrintJob.Read.All Чтение заданий печати Позволяет приложению читать метаданные и содержимое документов заданий печати без необходимости входа пользователя. Да
PrintJob.ReadBasic.All Чтение основных сведений для заданий печати Позволяет приложению читать метаданные заданий печати без необходимости выполнять вход. Не позволяет получать доступ к содержимому документа задания печати. Да
PrintJob.ReadWrite.All Чтение и запись заданий печати Позволяет приложению читать и обновлять метаданные и содержимое документов заданий печати без необходимости выполнять вход. Да
PrintJob.ReadWriteBasic.All Чтение и запись основных сведений для заданий печати Позволяет приложению читать и обновлять метаданные заданий печати без необходимости выполнять вход. Не позволяет получать доступ к содержимому документа задания печати. Да
PrintTaskDefinition.ReadWrite.All Чтение, запись и обновление определений заданий печати Позволяет приложению читать и обновлять определения заданий печати без необходимости входа пользователя. Да

Примечания

  • Чтобы использовать службу универсальной печати, у пользователя или клиента приложения должна быть активная подписка на универсальную печать в дополнение к указанным выше разрешениям.

  • Некоторые разрешения различают метаданные и полезные данные задания печати. В метаданных описана настройка задания печати (его название и конфигурация документа, например, предусматривается ли сшивка или цветная печать). Полезные данные — это данные документа (PDF-или XPS-файл, который нужно распечатать).

  • Для всех разрешений PrintJob.* также требуется как минимум Printer.Read.All (или разрешение с более высокими привилегиями), так как задания печати хранятся в принтерах.

Примеры использования

Delegated

  • Printer.Read.All: получение списка всех принтеров в клиенте (GET /print/printers)
  • PrintJob.Read.All: получение списка всех заданий печати в очереди принтера (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: удаление (отмена регистрации) принтера (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: обновление метаданных (например, текущего состояния) заданий печати (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: создание заданий печати и отправка для них данных документа (POST /print/printers/{id}/jobs)

Для приложений

  • Printer.Read.All: получение списка всех принтеров в клиенте (GET /print/printers)

Разрешения пользователей

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
User.Read Вход и чтение профиля пользователя Позволяет пользователям входить в приложение, а приложению — просматривать профили вошедших пользователей. Кроме того, позволяет приложению считывать основные сведения о компании вошедших пользователей. Нет Да
User.ReadWrite Доступ для чтения и записи к профилю пользователя Позволяет приложению считывать весь профиль вошедшего пользователя. Также позволяет приложению обновлять информацию профиля вошедшего пользователя от его имени. Нет Да
User.ReadBasic.All Чтение базовых профилей всех пользователей Позволяет приложению просматривать базовый набор свойств профилей других пользователей организации от имени вошедшего пользователя. К этим свойствам относятся отображаемое имя, имя и фамилия, адрес электронной почты, открытые расширения, а также фотография. Также позволяет приложению считывать весь профиль вошедшего пользователя. Нет Нет
User.Read.All Чтение полных профилей всех пользователей Позволяет приложению считывать полный набор свойств профилей и сведения о подчиненных и руководителях других пользователей в вашей организации от имени вошедшего пользователя. Да Нет
User.ReadWrite.All Чтение и запись полных профилей всех пользователей Позволяет приложению считывать и записывать полный набор свойств профилей и сведения о подчиненных и руководителях других пользователей в вашей организации от имени вошедшего пользователя. Кроме того, приложение сможет создавать и удалять пользователей, а также сбрасывать их пароли от имени вошедшего пользователя. Да Нет
User.Invite.All Приглашение гостевых пользователей в организацию Позволяет приложению приглашать гостевых пользователей в организацию от имени вошедшего пользователя. Да Нет
User.Export.All Экспорт данных пользователей Позволяет приложению экспортировать данные пользователя организации, если экспорт выполняется администратором компании. Да Нет
User.ManageIdentities.All Управление удостоверениями пользователей Позволяет приложению считывать, обновлять и удалять идентификаторы, связанные с учетной записью пользователя, к которой имеет доступ зарегистрированный пользователь. Это определяет, с какими удостоверениями ваши пользователи могут войти. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
User.Read.All Чтение полных профилей всех пользователей Приложение сможет просматривать полный набор свойств профиля, данные о членстве в группах, сведения о подчиненных и руководителях других пользователей в организации без входа пользователя. Да
User.ReadWrite.All Чтение и запись полных профилей всех пользователей Позволяет приложению в случаях, когда вход пользователя не предусмотрен, просматривать и записывать полный набор свойств профиля, данные о членстве в группах, сведения о подчиненных и руководителях других пользователей в организации. Кроме того, приложение сможет создавать и удалять пользователей, не являющихся администраторами. Не позволяет сбрасывать пароли пользователей. Да
User.Invite.All Приглашение гостевых пользователей в организацию Позволяет приложению приглашать гостевых пользователей в организацию в случаях, когда вход пользователя не предусмотрен. Да
User.Export.All Экспорт данных пользователей Позволяет приложению экспортировать данные пользователей организации без вошедшего пользователя. Да
User.ManageIdentities.All Управление удостоверениями всех пользователей Позволяет приложению считывать, обновлять и удалять удостоверения, связанные с учетной записью пользователя, без вошедшего пользователя. Это определяет, с какими личностями пользователи могут войти в систему. Да

Примечания

С помощью разрешения User.Read приложение также может считывать основные сведения о компании вошедшего пользователя для рабочей или учебной учетной записи через ресурс organization. Доступны следующие свойства: id, displayName и verifiedDomains.

Для рабочих и учебных учетных записей полный профиль включает все объявленные свойства ресурса User. При чтении по умолчанию возвращается только ограниченное количество свойств. Чтобы считывать свойства, не входящие в набор по умолчанию, используйте параметр $select. Свойства по умолчанию:

  • displayName;
  • givenName;
  • jobTitle;
  • mail;
  • mobilePhone;
  • officeLocation;
  • preferredLanguage;
  • surname;
  • userPrincipalName.

Делегированные разрешения User.ReadWrite и User.Readwrite.All позволяют приложению обновлять следующие свойства профиля для рабочих или учебных учетных записей:

  • aboutMe;
  • birthday;
  • hireDate;
  • interests;
  • mobilePhone;
  • mySite;
  • pastProjects;
  • photo;
  • preferredName;
  • responsibilities;
  • schools;
  • skills.

Разрешение User.ReadWrite.All приложения позволяет приложению обновлять все объявленные свойства рабочих или учебных учетных записей, кроме пароля.

Разрешение User.ReadWrite.All (делегированное или для приложений) позволяет обновлять свойства businessPhones, mobilePhone или otherMails других пользователей только для пользователей, не являющихся администраторами, или для пользователей, которым назначена одна из следующих ролей: читатель каталога, приглашающий гостей, читатель Центра сообщений или читатель отчетов. Дополнительные сведения см. в разделе "Администратор службы поддержки (администратор паролей)" в статье Доступные роли Azure AD.

Для считывания и записи сведений о подчиненных (directReports) или руководителе (manager) для рабочей или учебной учетной записи приложению необходимо свойство User.Read.All (только для чтения) или User.ReadWrite.All.

Разрешение User.ReadBasic.All предоставляет приложению доступ только к ограниченному набору свойств, называемому базовым профилем. Это вызвано тем, что полный профиль может содержать конфиденциальные сведения о каталоге. Базовый профиль включает только следующие свойства:

  • displayName
  • givenName;
  • mail;
  • photo;
  • surname
  • userPrincipalName

Чтобы приложение могло считывать сведения о членстве пользователя в группах (memberOf), приложению необходимо разрешение Group.Read.All или Group.ReadWrite.All. Но если пользователь является членом directoryRole или administrativeUnit, приложению также потребуются действующие разрешения на считывание этих ресурсов. В противном случае Microsoft Graph возвращает ошибку. Это означает, что приложению также потребуются разрешения Directory, а в случае делегированных разрешений вошедшему пользователю потребуются достаточные привилегии в организации для доступа к ролям каталога и административным единицам.

С помощью делегированного или пользовательского разрешения User.ManageIdentities.All можно обновить удостоверения (identities) пользователя. Это включает федеративные (или социальные идентификаторы) или локальные идентификаторы с именами для входа по электронной почте или по имени.

Примеры использования

Делегированные разрешения

  • User.Read. Чтение полного профиля вошедшего пользователя (GET /me).
  • User.ReadWrite. Обновление фотографии вошедшего пользователя (PUT /me/photo/$value).
  • User.ReadBasic.All. Поиск всех пользователей с именем David (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All. Чтение сведений о руководителе пользователя (GET /users/{id | userPrincipalName}/manager).

Для приложений

  • User.Read.All. Чтение всех пользователей и связей с помощью разностного запроса (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All. Обновление фотографии любого пользователя в организации (PUT /users/{id | userPrincipalName}/photo/$value).

Более сложные сценарии с использованием нескольких разрешений представлены в разделе Сценарии с использованием разрешений.

Разрешения, касающиеся действий пользователя

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
UserActivity.ReadWrite.CreatedByApp Чтение и запись действий приложений в вашем веб-канале активности Позволяет приложению считывать и передавать сведения о действиях вошедшего пользователя в приложении. Нет Да

Разрешения приложений

Нет.

Замечания

UserActivity.ReadWrite.CreatedByApp поддерживается как для учетных записей Майкрософт, так и для рабочих или учебных рабочих записей.

Ограничение CreatedByApp, связанное с этим разрешением, означает, что служба будет применять неявную фильтрацию результатов на основе удостоверения вызывающего приложения: либо идентификатора приложения MSA, либо набора идентификаторов, настроенных для идентификации кроссплатформенных приложений.

Примеры использования

Делегированные разрешения

  • UserActivity.ReadWrite.CreatedByApp: получение списка недавних действий уникального пользователя на основе связанных записей журнала, опубликованных за последний день. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: публикация или обновление действия, которое пользователь приложения может возобновить. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: публикация или обновление записи журнала о действии указанного пользователя для обозначения периода взаимодействия. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: удаление действия пользователя в ответ на инициированный пользователем запрос или для удаления недействительных данных. (DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: удаление записи журнала в ответ на инициированный пользователем запрос или для удаления недействительных данных. (DELETE /me/activities/{id}/historyItems/{id}).

Разрешения методов проверки подлинности пользователя (предварительная версия)

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
UserAuthenticationMethod.Read (предварительная версия) Чтение собственных методов проверки подлинности Позволяет приложению считывать методы проверки подлинности пользователя, выполнившего вход, в том числе номера телефонов и параметры приложения Authenticator. При этом приложение не может видеть конфиденциальные данные, такие как пароли пользователя, выполнившего вход, входить или другим образом использовать методы проверки подлинности пользователя, выполнившего вход. Да Нет
UserAuthenticationMethod.Read.All (предварительная версия) Чтение методов проверки подлинности пользователей Позволяет приложению считывать методы проверки подлинности всех пользователей в организации, к которым имеет доступ пользователь, выполнивший вход. Методы проверки подлинности включают номера телефонов пользователей и параметры приложения Authenticator. При этом приложение не может видеть конфиденциальные данные, такие как пароли, входить или другим образом использовать методы проверки подлинности. Да Нет
UserAuthenticationMethod.ReadWrite (предварительная версия) Управление собственными методами проверки подлинности Позволяет приложению считывать и записывать методы проверки подлинности пользователя, выполнившего вход, в том числе номера телефонов и параметры приложения Authenticator. При этом приложение не может видеть конфиденциальные данные, такие как пароли пользователя, выполнившего вход, входить или другим образом использовать методы проверки подлинности пользователя, выполнившего вход. Да Нет
UserAuthenticationMethod.ReadWrite.All (предварительная версия) Управление методами проверки подлинности пользователей Позволяет приложению считывать и записывать методы проверки подлинности всех пользователей в организации, к которым имеет доступ пользователь, выполнивший вход. Методы проверки подлинности включают номера телефонов пользователей и параметры приложения Authenticator. При этом приложение не может видеть конфиденциальные данные, такие как пароли, входить или другим образом использовать методы проверки подлинности. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
UserAuthenticationMethod.Read.All (предварительная версия) Чтение методов проверки подлинности пользователей Позволяет приложению считывать методы проверки подлинности всех пользователей в организации, когда вход пользователя не предусмотрен. Методы проверки подлинности включают номера телефонов пользователей и параметры приложения Authenticator. При этом приложение не может видеть конфиденциальные данные, такие как пароли, входить или другим образом использовать методы проверки подлинности. Да
UserAuthenticationMethod.ReadWrite.All (предварительная версия) Управление методами проверки подлинности пользователей Позволяет приложению считывать и записывать методы проверки подлинности всех пользователей в организации, когда вход пользователя не предусмотрен. Методы проверки подлинности включают номера телефонов пользователей и параметры приложения Authenticator. При этом приложение не может видеть конфиденциальные данные, такие как пароли, входить или другим образом использовать методы проверки подлинности. Да

Примечания

Разрешения методов проверки подлинности пользователей используются для управления такими методами. При наличии этих разрешений делегированный пользователь или приложение может регистрировать новые методы проверки подлинности пользователей, считывать уже зарегистрированные методы, обновлять и удалять их.

При наличии этих разрешений пользователь может считывать все методы проверки подлинности и управлять ими. К ним относятся методы, используемые для:

  • основной проверки подлинности (пароль);
  • второго фактора многофакторной проверки подлинности, или MFA (номера телефонов);
  • самостоятельного сброса пароля, или SSPR (адрес электронной почты).

Разрешения на обновление Windows

Делегированные разрешения

Разрешение Отображаемая строка Описание Необходимость в согласии администратора Поддержка учетной записи Майкрософт
WindowsUpdates.ReadWrite.All Чтение и изменение всех параметров развертывания обновления Windows Позволяет приложению считывать и записывать все параметры развертывания обновления Windows для организации от имени пользователя, выполнившего вход. Да Нет

Разрешения приложений

Разрешение Отображаемая строка Описание Необходимость в согласии администратора
WindowsUpdates.ReadWrite.All Чтение и изменение всех параметров развертывания обновления Windows Позволяет приложению считывать и записывать все параметры развертывания обновления Windows для организации при отсутствии пользователя, выполнившего вход. Да

Примечания

Все эти разрешения действительны только для рабочих и учебных учетных записей.

Чтобы приложение могло читать или записывать все параметры развертывания обновления Windows с использованием делегированных разрешений, вошедшему пользователю должна быть назначена одна из следующих ролей: "Глобальный администратор", "Администратор Intune" или "Администратор развертывания обновления Windows". Дополнительные сведения о ролях администратора см. в статье Назначение ролей администратора в Azure Active Directory.

Примеры использования

Делегированные разрешения

  • WindowsUpdates.ReadWrite.All: создание развертывания (POST /beta/admin/windows/updates/deployments).

Приложение

  • WindowsUpdates.ReadWrite.All: создание развертывания (POST /beta/admin/windows/updates/deployments).

Сценарии с использованием разрешений

В этом разделе показаны некоторые распространенные сценарии, связанные с ресурсами user и group в организации. В таблицах показаны разрешения, необходимые приложению для выполнения определенных операций, требуемых сценарием. Обратите внимание, что в некоторых случаях способность приложения выполнять определенные операции зависит от того, какое разрешение предоставлено — разрешение приложения или делегированное разрешение. В случае делегированных разрешений действующие разрешения приложения также зависят от привилегий вошедшего пользователя в организации. Дополнительные сведения см. в разделе Разрешения приложения, делегированные разрешения и действующие разрешения.

Сценарии доступа к ресурсу User

Задачи приложения, связанные с пользователем Необходимые разрешения Строка разрешения
Приложение запрашивает разрешение просматривать основные сведения других пользователей (только отображаемое имя и изображение), например для отображения при выборе людей. User.ReadBasic.All Чтение базовых профилей всех пользователей
Приложение запрашивает разрешение просматривать полный профиль вошедшего пользователя (подчиненные, руководитель и т. д.). User.Read Вход в систему и чтение профиля пользователя
Приложение запрашивает разрешение просматривать полные профили всех пользователей. User.Read.All Чтение полных профилей всех пользователей
Приложение запрашивает разрешение просматривать файлы, почту и данные календаря вошедшего пользователя. User.Read, Files.Read, Mail.Read, Calendars.Read Вход в систему и чтение профиля пользователя, чтение файлов пользователей, чтение почты пользователей, чтение пользовательских календарей
Приложение запрашивает разрешение просматривать файлы вошедшего пользователя и файлы, доступ к которым ему предоставили другие пользователи. User.Read, Files.Read, Sites.Read.All Вход в систему и чтение профиля пользователя, чтение файлов пользователей, чтение элементов во всех семействах веб-сайтов
Приложение запрашивает разрешение просматривать и записывать полный профиль вошедшего пользователя. User.ReadWrite Доступ для чтения и записи к профилю пользователя
Приложение запрашивает разрешение просматривать и записывать полные профили всех пользователей. User.ReadWrite.All Чтение и запись полных профилей всех пользователей
Приложение запрашивает разрешение просматривать и записывать файлы, почту и данные календаря вошедшего пользователя. User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Доступ для чтения и записи к профилю пользователя, доступ для чтения и записи к почте пользователя, полный доступ к пользовательским календарям
Приложение хочет отправить запрос на экспорт персональных данных пользователя (операция, связанная с политикой данных). User.Export.All Экспорт персональных данных пользователя.

Сценарии доступа к ресурсу Group

Задачи приложения, связанные с группой Необходимые разрешения Строка разрешения
Приложение запрашивает разрешение просматривать основные сведения о группе (только отображаемое имя и изображение), например для отображения при выборе групп. Group.Read.All Чтение всех групп
Приложение запрашивает разрешение просматривать все содержимое во всех группах Microsoft 365, в том числе файлы и беседы. Ему также требуется показывать членов группы и обновлять эти данные (если пользователь — владелец). Group.Read.All Чтение элементов во всех семействах веб-сайтов, чтение всех групп
Приложение запрашивает разрешение просматривать и записывать все содержимое во всех группах Microsoft 365, в том числе файлы и беседы. Ему также требуется показывать членов группы и обновлять эти данные (если пользователь — владелец). Group.ReadWrite.All, Sites.ReadWrite.All Чтение и запись всех групп, редактирование и удаление элементов во всех семействах веб-сайтов
Приложение запрашивает разрешение на поиск группы Microsoft 365. Пользователь сможет найти определенную группу, выбрать ее из нумерованного списка, чтобы затем присоединиться к ней. Group.ReadWrite.All Чтение и запись всех групп
Приложение запрашивает разрешение на создание группы с помощью AAD Graph. Group.ReadWrite.All Чтение и запись всех групп

Все разрешения и идентификаторы

Разрешение Тип ID
AccessReview.Read.All Делегированные разрешения ebfcd32b-babb-40f4-a14b-42706e83bd28
AccessReview.Read.All Приложение d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.ReadWrite.All Делегированные разрешения e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.All Приложение ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.Membership Делегированные разрешения 5af8c3f5-baca-439a-97b0-ea58a435e269
AccessReview.ReadWrite.Membership Приложение 18228521-a591-40f1-b215-5fad4488c117
AdministrativeUnit.Read.All Делегированные разрешения 3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.Read.All Приложение 134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.ReadWrite.All Делегированные разрешения 7b8a2d34-6b3f-4542-a343-54651608ad81
AdministrativeUnit.ReadWrite.All Приложение 5eb59dd3-1da2-4329-8733-9dabdc435916
Agreement.Read.All Делегированные разрешения af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.Read.All Приложение 2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.ReadWrite.All Делегированные разрешения ef4b5d93-3104-4664-9053-a5c49ab44218
Agreement.ReadWrite.All Приложение c9090d00-6101-42f0-a729-c41074260d47
AgreementAcceptance.Read Делегированные разрешения 0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All Делегированные разрешения a66a5341-e66e-4897-9d52-c2df58c2bfb9
AgreementAcceptance.Read.All Приложение d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
Analytics.Read Делегированные разрешения e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All Делегированные разрешения 1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.Read.All Приложение b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.ReadWrite.All Делегированные разрешения c67b52c5-7c69-48b6-9d48-7b3af3ded914
APIConnectors.ReadWrite.All Приложение 1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
AppCatalog.Read.All Делегированные разрешения 88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.Read.All Приложение e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.ReadWrite.All Делегированные разрешения 1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.ReadWrite.All Приложение dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.Submit Делегированные разрешения 3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All Делегированные разрешения c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.Read.All Приложение 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.ReadWrite.All Делегированные разрешения bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.All Приложение 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.OwnedBy Приложение 18a4783c-866b-4cc7-a460-3d5e5662c884
AppRoleAssignment.ReadWrite.All Делегированные разрешения 84bccea3-f856-4a8a-967b-dbe0a3d53a64
AppRoleAssignment.ReadWrite.All Приложение 06b708a9-e830-4db3-a914-8e69da51d44f
Approval.Read.All Делегированные разрешения 1196552e-b226-4363-b01e-b8901fe10a11
Approval.ReadWrite.All Делегированные разрешения 1d3d0bc7-4b3a-427a-ae9f-6de4e1edc95f
AuditLog.Read.All Делегированные разрешения e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuditLog.Read.All Приложение b0afded3-3588-46d8-8b3d-9842eff778da
BitlockerKey.Read.All Делегированные разрешения b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.Read.All Приложение 57f1cf28-c0c4-4ec3-9a30-19a2eaaf2f6e
BitlockerKey.ReadBasic.All Делегированные разрешения 5a107bfc-4f00-4e1a-b67e-66451267bc68
BitlockerKey.ReadBasic.All Приложение f690d423-6b29-4d04-98c6-694c42282419
Bookings.Manage.All Делегированные разрешения 7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All Делегированные разрешения 33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All Делегированные разрешения 948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All Делегированные разрешения 02a5a114-36a6-46ff-a102-954d89d9ab02
Calendars.Read Делегированные разрешения 465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read Для приложений 798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read.Shared Делегированные разрешения 2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadWrite Делегированные разрешения 1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite Для приложений ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite.Shared Делегированные разрешения 12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All Приложение a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All Приложение 45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All Приложение a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All Приложение 284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All Приложение 4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All Приложение f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallAsGuest.All Приложение fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create Делегированные разрешения 101147cf-4178-4455-9d58-02b5c164e759
Channel.Create Приложение f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Delete.All Делегированные разрешения cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.Delete.All Приложение 6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.ReadBasic.All Делегированные разрешения 9d8982ae-4365-4f57-95e9-d6032a4c0b87
Channel.ReadBasic.All Приложение 59a6b24b-4225-4393-8165-ebaec5f55d7a
ChannelMember.Read.All Делегированные разрешения 2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.Read.All Приложение 3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.ReadWrite.All Делегированные разрешения 0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMember.ReadWrite.All Приложение 35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMessage.Edit Делегированные разрешения 2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All Делегированные разрешения 767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.Read.All Приложение 7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Send Делегированные разрешения ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All Приложение 4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All Делегированные разрешения 233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.Read.All Приложение c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.ReadWrite.All Делегированные разрешения d649fb7c-72b4-4eec-b2b4-b15acf79e378
ChannelSettings.ReadWrite.All Приложение 243cded2-bd16-4fd6-a953-ff8177894c3d
Chat.Create Делегированные разрешения 38826093-1258-4dea-98f0-00003be2b8d0
Chat.Create Приложение d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Read Делегированные разрешения f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All Приложение 6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.ReadBasic Делегированные разрешения 9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All Приложение b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadWrite Делегированные разрешения 9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All Приложение 294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.UpdatePolicyViolation.All Приложение 7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read Делегированные разрешения c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All Приложение a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.ReadWrite Делегированные разрешения dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All Приложение 57257249-34ce-4810-a8a2-a03adf0c5693
ChatMessage.Read Делегированные разрешения cdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All Приложение b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send Делегированные разрешения 116b7235-7cc6-461e-b163-8e55691d839e
CloudPC.Read.All Делегированные разрешения 5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC.Read.All Приложение a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.ReadWrite.All Делегированные разрешения 9d77138f-f0e2-47ba-ab33-cd246c8b79d1
CloudPC.ReadWrite.All Приложение 3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
ConsentRequest.Read.All Делегированные разрешения f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.Read.All Приложение 1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.ReadWrite.All Делегированные разрешения 497d9dfa-3bd1-481a-baab-90895e54568c
ConsentRequest.ReadWrite.All Приложение 9f1b81a7-0223-4428-bfa4-0bcb5535f27d
Contacts.Read Делегированные разрешения ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read Приложение 089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read.Shared Делегированные разрешения 242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite Делегированные разрешения d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite Для приложений 6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite.Shared Делегированные разрешения afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All Делегированные разрешения 81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantInformation.ReadBasic.All Приложение cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantUserProfileSharing.Read Делегированные разрешения cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All Делегированные разрешения 759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.Read.All Приложение 8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.ReadWrite Делегированные разрешения eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All Делегированные разрешения 64dfa325-cbf8-48e3-938d-51224a0cac01
CrossTenantUserProfileSharing.ReadWrite.All Приложение 306785c5-c09b-4ba0-a4ee-023f3da165cb
CustomSecAttributeAssignment.Read.All Делегированные разрешения b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.Read.All Приложение 3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.ReadWrite.All Делегированные разрешения ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeAssignment.ReadWrite.All Приложение de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeDefinition.Read.All Делегированные разрешения ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.Read.All Приложение b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.ReadWrite.All Делегированные разрешения 8b0160d4-5743-482b-bb27-efc0a485ca4a
CustomSecAttributeDefinition.ReadWrite.All Приложение 12338004-21f4-4896-bf5e-b75dfaf1016d
DelegatedAdminRelationship.Read.All Делегированные разрешения 0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.Read.All Приложение f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.ReadWrite.All Делегированные разрешения 885f682f-a990-4bad-a642-36736a74b0c7
DelegatedAdminRelationship.ReadWrite.All Приложение cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedPermissionGrant.ReadWrite.All Делегированные разрешения 41ce6ca6-6826-4807-84f1-1c82854f7ee5
DelegatedPermissionGrant.ReadWrite.All Приложение 8e8e4742-1d95-4f68-9d56-6ee75648c72a
Device.Command Делегированные разрешения bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read Делегированные разрешения 11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All Делегированные разрешения 951183d1-1a61-466f-a6d1-1fde911bfd95
Device.Read.All Приложение 7438b122-aefc-4978-80ed-43db9fcc7715
Device.ReadWrite.All Приложение 1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceManagementApps.Read.All Делегированные разрешения 4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.Read.All Приложение 7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.ReadWrite.All Делегированные разрешения 7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementApps.ReadWrite.All Приложение 78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementConfiguration.Read.All Делегированные разрешения f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.Read.All Приложение dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.ReadWrite.All Делегированные разрешения 0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementConfiguration.ReadWrite.All Приложение 9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementManagedDevices.PrivilegedOperations.All Делегированные разрешения 3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.PrivilegedOperations.All Приложение 5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.Read.All Делегированные разрешения 314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.Read.All Приложение 2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.ReadWrite.All Делегированные разрешения 44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementManagedDevices.ReadWrite.All Приложение 243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementRBAC.Read.All Делегированные разрешения 49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.Read.All Приложение 58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.ReadWrite.All Делегированные разрешения 0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementRBAC.ReadWrite.All Приложение e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementServiceConfig.Read.All Делегированные разрешения 8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.Read.All Приложение 06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.ReadWrite.All Делегированные разрешения 662ed50a-ac44-4eef-ad86-62eed9be2a29
DeviceManagementServiceConfig.ReadWrite.All Приложение 5ac13192-7ace-4fcf-b828-1a26f28068ee
Directory.AccessAsUser.All Делегированные разрешения 0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All Делегированные разрешения 06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.Read.All Приложение 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.ReadWrite.All Делегированные разрешения c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.ReadWrite.All Приложение 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.Write.Restricted Делегированные разрешения cba5390f-ed6a-4b7f-b657-0efc2210ed20
Directory.Write.Restricted Приложение f20584af-9290-4153-9280-ff8bb2c0ea7f
DirectoryRecommendations.Read.All Делегированные разрешения 34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.Read.All Приложение ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.ReadWrite.All Делегированные разрешения f37235e8-90a0-4189-93e2-e55b53867ccd
DirectoryRecommendations.ReadWrite.All Приложение 0e9eea12-4f01-45f6-9b8d-3ea4c8144158
Domain.Read.All Делегированные разрешения 2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.Read.All Приложение dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.ReadWrite.All Делегированные разрешения 0b5d694c-a244-4bde-86e6-eb5cd07730fe
Domain.ReadWrite.All Приложение 7e05723c-0bb0-42da-be95-ae9f08a6e53c
EAS.AccessAsUser.All Делегированные разрешения ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All Делегированные разрешения 99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.Read.All Приложение 50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.ReadWrite.All Делегированные разрешения acb8f680-0834-4146-b69e-4ab1b39745ad
eDiscovery.ReadWrite.All Приложение b2620db1-3bf7-4c5b-9cb9-576d29eac736
EduAdministration.Read Делегированные разрешения 8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All Приложение 7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite Делегированные разрешения 63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All Приложение 9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read Делегированные разрешения 091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All Приложение 4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic Делегированные разрешения c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All Приложение 6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite Делегированные разрешения 2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All Приложение 0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic Делегированные разрешения 2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All Приложение f431cc63-a2de-48c4-8054-a34bc093af84
EduRoster.Read Делегированные разрешения a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All Приложение e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic Делегированные разрешения 5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All Приложение 0d412a8c-a06c-439f-b3ec-8abcf54d2f96
EduRoster.ReadWrite Делегированные разрешения 359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All Приложение d1808e82-ce13-47af-ae0d-f9b254e6d58a
email Делегированные разрешения 64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All Делегированные разрешения 5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.Read.All Приложение c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.ReadWrite.All Делегированные разрешения ae7a573d-81d7-432b-ad44-4ed5c9d89038
EntitlementManagement.ReadWrite.All Приложение 9acd699f-1e81-4958-b001-93b1d2506e19
EWS.AccessAsUser.All Делегированные разрешения 9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All Делегированные разрешения a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.Read.All Приложение 1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.ReadWrite.All Делегированные разрешения bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.All Приложение 34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.OwnedBy Делегированные разрешения 4082ad95-c812-4f02-be92-780c4c4f1830
ExternalConnection.ReadWrite.OwnedBy Приложение f431331c-49a6-499f-be1c-62af19c34a9d
ExternalItem.Read.All Делегированные разрешения 922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.Read.All Приложение 7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.ReadWrite.All Делегированные разрешения b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.All Приложение 38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.OwnedBy Делегированные разрешения 4367b9d7-cee7-4995-853c-a0bdfe95c1f9
ExternalItem.ReadWrite.OwnedBy Приложение 8116ae0f-55c2-452d-9944-d18420f5b2c8
Family.Read Делегированные разрешения 3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read Делегированные разрешения 10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All Делегированные разрешения df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.All Приложение 01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.Selected Делегированные разрешения 5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite Делегированные разрешения 5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All Делегированные разрешения 863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.All Приложение 75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.AppFolder Делегированные разрешения 8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected Делегированные разрешения 17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All Делегированные разрешения f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create Приложение bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All Делегированные разрешения 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.Read.All Приложение 5b567255-7703-4780-807c-7be8301ae99b
Group.ReadWrite.All Делегированные разрешения 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
Group.ReadWrite.All Приложение 62a82d76-70ea-41e2-9197-370581804d09
GroupMember.Read.All Делегированные разрешения bc024368-1153-4739-b217-4326f2e966d0
GroupMember.Read.All Приложение 98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.ReadWrite.All Делегированные разрешения f81125ac-d3b7-4573-a3b2-7099cc39df9e
GroupMember.ReadWrite.All Приложение dbaae8cf-10b5-4b86-a4a1-f871c94c6695
IdentityProvider.Read.All Делегированные разрешения 43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.Read.All Приложение e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.ReadWrite.All Делегированные разрешения f13ce604-1677-429f-90bd-8a10b9f01325
IdentityProvider.ReadWrite.All Приложение 90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityRiskEvent.Read.All Делегированные разрешения 8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.Read.All Приложение 6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.ReadWrite.All Делегированные разрешения 9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskEvent.ReadWrite.All Приложение db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskyServicePrincipal.Read.All Делегированные разрешения ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.Read.All Приложение 607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.ReadWrite.All Делегированные разрешения bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyServicePrincipal.ReadWrite.All Приложение cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyUser.Read.All Делегированные разрешения d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.Read.All Приложение dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.ReadWrite.All Делегированные разрешения e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityRiskyUser.ReadWrite.All Приложение 656f6061-f9fe-4807-9708-6a2e0934df76
IdentityUserFlow.Read.All Делегированные разрешения 2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.Read.All Приложение 1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.ReadWrite.All Делегированные разрешения 281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IdentityUserFlow.ReadWrite.All Приложение 65319a09-a2be-469d-8782-f6b07debf789
IMAP.AccessAsUser.All Делегированные разрешения 652390e4-393a-48de-9484-05f9b1212954
InformationProtectionContent.Sign.All Для приложений cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All Для приложений 287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read Делегированные разрешения 4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All Приложение 19da66cb-0fb0-4390-b071-ebc76a349482
LicenseAssignment.ReadWrite.All Делегированные разрешения f55016cc-149c-447e-8f21-7cf3ec1d6350
LicenseAssignment.ReadWrite.All Для приложений 5facf0c1-8979-4e95-abcf-ff3d079771c0
Mail.Read Делегированные разрешения 570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read Для приложений 810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read.Shared Делегированные разрешения 7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic Делегированные разрешения a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic Приложение 6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic.All Приложение 693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadWrite Делегированные разрешения 024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite Для приложений e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite.Shared Делегированные разрешения 5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send Делегированные разрешения e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send Для приложений b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send.Shared Делегированные разрешения a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read Делегированные разрешения 87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.Read Для приложений 40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.ReadWrite Делегированные разрешения 818c620a-27a9-40bd-a6a5-d96f7d610b4b
MailboxSettings.ReadWrite Для приложений 6931bccd-447a-43d1-b442-00a195474933
ManagedTenants.Read.All Делегированные разрешения dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All Делегированные разрешения b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden Делегированные разрешения f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Member.Read.Hidden Приложение 658aa5d8-239f-45c4-aa12-864f4fc7e490
Notes.Create Делегированные разрешения 9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read Делегированные разрешения 371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All Делегированные разрешения dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.Read.All Приложение 3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.ReadWrite Делегированные разрешения 615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All Делегированные разрешения 64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.All Приложение 0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.CreatedByApp Делегированные разрешения ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp Делегированные разрешения 89497502-6e42-46a2-8cb2-427fd3df970a
offline_access Делегированные разрешения 7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All Делегированные разрешения 110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingArtifact.Read.All Приложение df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingRecording.Read.All Делегированные разрешения 190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetingRecording.Read.All Для приложений a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetings.Read Делегированные разрешения 9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All Приложение c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite Делегированные разрешения a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All Приложение b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All Делегированные разрешения 30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnlineMeetingTranscript.Read.All Для приложений a4a80d8d-d283-4bd8-8504-555ec3870630
OnPremisesPublishingProfiles.ReadWrite.All Делегированные разрешения 8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
OnPremisesPublishingProfiles.ReadWrite.All Приложение 0b57845e-aa49-4e6f-8109-ce654fffa618
openid Делегированные разрешения 37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All Делегированные разрешения 4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.Read.All Приложение 498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.ReadWrite.All Делегированные разрешения 46ca0847-7e6b-426e-9775-ea810a948356
Organization.ReadWrite.All Приложение 292d869f-3427-49a8-9dab-8c70152b74e9
OrgContact.Read.All Делегированные разрешения 08432d1b-5911-483c-86df-7980af5cdee0
OrgContact.Read.All Приложение e1a88a34-94c4-4418-be12-c87b00e26bea
People.Read Делегированные разрешения ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All Делегированные разрешения b89f9189-71a5-4e70-b041-9887f0bc7e4a
People.Read.All Приложение b528084d-ad10-4598-8b93-929746b4d7d6
Place.Read.All Делегированные разрешения cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.Read.All Приложение 913b9306-0ce1-42b8-9137-6a7df690a760
Place.ReadWrite.All Делегированные разрешения 4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All Делегированные разрешения 572fea84-0151-49b2-9301-11cb16974376
Policy.Read.All Для приложений 246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.ConditionalAccess Делегированные разрешения 633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.ConditionalAccess Приложение 37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.PermissionGrant Делегированные разрешения 414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.Read.PermissionGrant Приложение 9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.ReadWrite.ApplicationConfiguration Делегированные разрешения b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.ApplicationConfiguration Приложение be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.AuthenticationFlows Делегированные разрешения edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationFlows Приложение 25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationMethod Делегированные разрешения 7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.AuthenticationMethod Для приложений 29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.Authorization Делегированные разрешения edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.Authorization Приложение fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.ConditionalAccess Делегированные разрешения ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConditionalAccess Приложение 01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConsentRequest Делегированные разрешения 4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.ConsentRequest Приложение 999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.CrossTenantAccess Делегированные разрешения 014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.CrossTenantAccess Приложение 338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.DeviceConfiguration Делегированные разрешения 40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.FeatureRollout Делегированные разрешения 92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.FeatureRollout Приложение 2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.MobilityManagement Делегированные разрешения a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant Делегированные разрешения 2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.PermissionGrant Приложение a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.TrustFramework Делегированные разрешения cefba324-1a70-4a6e-9c1d-fd670b7ae392
Policy.ReadWrite.TrustFramework Приложение 79a677f7-b79d-40d0-a36a-3e6f8688dd7a
POP.AccessAsUser.All Делегированные разрешения d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read Делегированные разрешения 76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All Делегированные разрешения 9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite Делегированные разрешения 8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All Приложение 83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All Делегированные разрешения d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All Делегированные разрешения 79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create Делегированные разрешения 90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All Делегированные разрешения 93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All Делегированные разрешения 3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.Read.All Приложение 9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.ReadWrite.All Делегированные разрешения 89f66824-725f-4b8f-928e-e1c5258dc565
Printer.ReadWrite.All Приложение f5b3f73d-6247-44df-a74c-866173fddab0
PrinterShare.Read.All Делегированные разрешения ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All Делегированные разрешения 5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All Делегированные разрешения 06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create Делегированные разрешения 21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All Приложение 58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read Делегированные разрешения 248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All Делегированные разрешения afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.Read.All Приложение ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.ReadBasic Делегированные разрешения 6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All Делегированные разрешения 04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadBasic.All Приложение fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadWrite Делегированные разрешения b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All Делегированные разрешения 036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWrite.All Приложение 5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWriteBasic Делегированные разрешения 6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All Делегированные разрешения 3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintJob.ReadWriteBasic.All Приложение 57878358-37f4-4d3a-8c20-4816e0d457b1
PrintSettings.Read.All Делегированные разрешения 490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.Read.All Приложение b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.ReadWrite.All Делегированные разрешения 9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All Приложение 456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD Делегированные разрешения b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureAD Приложение 4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureADGroup Делегированные разрешения d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureADGroup Приложение 01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureResources Делегированные разрешения 1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.Read.AzureResources Приложение 5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.ReadWrite.AzureAD Делегированные разрешения 3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureAD Приложение 854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureADGroup Делегированные разрешения 32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureADGroup Приложение 2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureResources Делегированные разрешения a84a9652-ffd3-496e-a991-22ba5529156a
PrivilegedAccess.ReadWrite.AzureResources Приложение 6f9d5abc-2db6-400b-a267-7de22a40fb87
profile Делегированные разрешения 14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All Делегированные разрешения c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.Read.All Приложение eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.ReadWrite.All Делегированные разрешения 50fd364f-9d93-4ae1-b170-300e87cccf84
ProgramControl.ReadWrite.All Приложение 60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
RecordsManagement.Read.All Делегированные разрешения 07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.Read.All Для приложений ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.ReadWrite.All Делегированные разрешения f2833d75-a4e6-40ab-86d4-6dfe73c97605
RecordsManagement.ReadWrite.All Для приложений eb158f57-df43-4751-8b21-b8932adb3d34
Reports.Read.All Делегированные разрешения 02e97553-ed7b-43d0-ab3c-f8bace0d040c
Reports.Read.All Приложение 230c1aed-a721-4c5d-9cb4-a90514e508ef
RoleAssignmentSchedule.Read.Directory Делегированные разрешения 344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory Делегированные разрешения 8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory Делегированные разрешения eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory Делегированные разрешения 62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All Делегированные разрешения 48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.All Приложение c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.CloudPC Делегированные разрешения 9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.CloudPC Приложение 031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.Directory Делегированные разрешения 741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.Read.Directory Приложение 483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.ReadWrite.CloudPC Делегированные разрешения 501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.CloudPC Приложение 274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.Directory Делегированные разрешения d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagement.ReadWrite.Directory Приложение 9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagementPolicy.Read.Directory Делегированные разрешения 3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.Directory Делегированные разрешения 1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All Делегированные разрешения fccf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.Read.All Приложение 7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.ReadWrite.All Делегированные разрешения 63f27281-c9d9-4f29-94dd-6942f7f1feb0
Schedule.ReadWrite.All Приложение b7760610-0545-4e8a-9ec3-cce9e63db01c
SearchConfiguration.Read.All Делегированные разрешения 7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.Read.All Приложение ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.ReadWrite.All Делегированные разрешения b1a7d408-cab0-47d2-a2a5-a74a3733600d
SearchConfiguration.ReadWrite.All Приложение 0e778b85-fefa-466d-9eec-750569d92122
SecurityActions.Read.All Делегированные разрешения 1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.Read.All Приложение 5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.ReadWrite.All Делегированные разрешения dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityActions.ReadWrite.All Приложение f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityAlert.Read.All Делегированные разрешения bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.Read.All Приложение 472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.ReadWrite.All Делегированные разрешения 471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityAlert.ReadWrite.All Приложение ed4fca05-be46-441f-9803-1873825f8fdb
SecurityEvents.Read.All Делегированные разрешения 64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.Read.All Приложение bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.ReadWrite.All Делегированные разрешения 6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityEvents.ReadWrite.All Приложение d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityIncident.Read.All Делегированные разрешения b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.Read.All Приложение 45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.ReadWrite.All Делегированные разрешения 128ca929-1a19-45e6-a3b8-435ec44a36ba
SecurityIncident.ReadWrite.All Приложение 34bf0e97-1971-4929-b999-9e2442d941d7
ServiceHealth.Read.All Делегированные разрешения 55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceHealth.Read.All Приложение 79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceMessage.Read.All Делегированные разрешения eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessage.Read.All Приложение 1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessageViewpoint.Write Делегированные разрешения 636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All Делегированные разрешения 9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.Read.All Приложение 5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.ReadWrite.All Делегированные разрешения 7297d82c-9546-4aed-91df-3d4f0a9b3ff0
ServicePrincipalEndpoint.ReadWrite.All Приложение 89c8469c-83ad-45f7-8ff2-6e3d4285709e
SharePointTenantSettings.Read.All Делегированные разрешения 2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.Read.All Приложение 83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.ReadWrite.All Делегированные разрешения aa07f155-3612-49b8-a147-6c590df35536
SharePointTenantSettings.ReadWrite.All Приложение 19b94e34-907c-4f43-bde9-38b1909ed408
ShortNotes.Read Делегированные разрешения 50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All Приложение 0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite Делегированные разрешения 328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All Приложение 842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All Делегированные разрешения 5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.FullControl.All Приложение a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.Manage.All Делегированные разрешения 65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Manage.All Приложение 0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Read.All Делегированные разрешения 205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.Read.All Приложение 332a536c-c7ef-4017-ab91-336970924f0d
Sites.ReadWrite.All Делегированные разрешения 89fe6a52-be36-487e-b7d8-d061c450a026
Sites.ReadWrite.All Приложение 9492366f-7969-46a4-8d15-ed1a20078fff
Sites.Selected Приложение 883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send Делегированные разрешения 258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All Делегированные разрешения 9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All Делегированные разрешения 2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All Делегированные разрешения 5f88184c-80bb-4d52-9ff2-757288b2e9b7
Tasks.Read Делегированные разрешения f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All Для приложений f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared Делегированные разрешения 88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite Делегированные разрешения 2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All Для приложений 44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared Делегированные разрешения c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Create Делегированные разрешения 7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.Create Приложение 23fc2474-f741-46ce-8465-674744c5c361
Team.ReadBasic.All Делегированные разрешения 485be79e-c497-4b35-9400-0e3fa7f2a5d4
Team.ReadBasic.All Приложение 2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
TeamMember.Read.All Делегированные разрешения 2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.Read.All Приложение 660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.ReadWrite.All Делегированные разрешения 4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWrite.All Приложение 0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWriteNonOwnerRole.All Делегированные разрешения 2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamMember.ReadWriteNonOwnerRole.All Приложение 4437522e-9a86-4a41-a7da-e380edd4a97d
TeamsActivity.Read Делегированные разрешения 0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All Приложение 70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send Делегированные разрешения 7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsActivity.Send Приложение a267235f-af13-44dc-8385-c1dc93023186
TeamsAppInstallation.ReadForChat Делегированные разрешения bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All Приложение cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam Делегированные разрешения 5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All Приложение 1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser Делегированные разрешения c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All Приложение 9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteForChat Делегированные разрешения aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All Приложение 9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam Делегированные разрешения 2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All Приложение 5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser Делегированные разрешения 093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All Приложение 74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat Делегированные разрешения 0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All Приложение 73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam Делегированные разрешения 0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All Приложение 9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser Делегированные разрешения 207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All Приложение 908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All Делегированные разрешения 48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.Read.All Приложение 242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.ReadWrite.All Делегированные разрешения 39d65650-9d3e-4223-80db-a335590d027e
TeamSettings.ReadWrite.All Приложение bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamsTab.Create Делегированные разрешения a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Create Приложение 49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Read.All Делегированные разрешения 59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.Read.All Приложение 46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.ReadWrite.All Делегированные разрешения b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWrite.All Приложение a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWriteForChat Делегированные разрешения ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All Приложение fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam Делегированные разрешения c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All Приложение 6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser Делегированные разрешения c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All Приложение 425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat Делегированные разрешения 0c219d04-3abf-47f7-912d-5cca239e90e6
TeamsTab.ReadWriteSelfForChat.All Приложение 9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam Делегированные разрешения f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All Приложение 91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser Делегированные разрешения 395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All Приложение 3c42dec6-49e8-4a0a-b469-36cff0d9da93
Teamwork.Migrate.All Приложение dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkDevice.Read.All Делегированные разрешения b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.Read.All Приложение 0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.ReadWrite.All Делегированные разрешения ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkDevice.ReadWrite.All Приложение 79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkTag.Read Делегированные разрешения 57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All Приложение b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite Делегированные разрешения 539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All Приложение a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All Делегированные разрешения 297f747b-0005-475b-8fef-c890f5152b38
TermStore.Read.All Приложение ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.ReadWrite.All Делегированные разрешения 6c37c71d-f50f-4bff-8fd3-8a41da390140
TermStore.ReadWrite.All Приложение f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
ThreatAssessment.Read.All Приложение f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All Делегированные разрешения cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHunting.Read.All Делегированные разрешения b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatHunting.Read.All Приложение dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatIndicators.Read.All Делегированные разрешения 9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.Read.All Приложение 197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.ReadWrite.OwnedBy Делегированные разрешения 91e7d36d-022a-490f-a748-f8e011357b42
ThreatIndicators.ReadWrite.OwnedBy Приложение 21792b6c-c986-4ffc-85de-df9da54b52fa
TrustFrameworkKeySet.Read.All Делегированные разрешения 7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.Read.All Приложение fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.ReadWrite.All Делегированные разрешения 39244520-1e7d-4b4a-aee0-57c65826e427
TrustFrameworkKeySet.ReadWrite.All Приложение 4a771c9a-1cf2-4609-b88e-3d3e02d539cd
UnifiedGroupMember.Read.AsGuest Делегированные разрешения 73e75199-7c3e-41bb-9357-167164dbb415
User.Export.All Делегированные разрешения 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All Приложение 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All Делегированные разрешения 63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.Invite.All Приложение 09850681-111b-4a89-9bed-3f2cae46d706
User.ManageIdentities.All Делегированные разрешения 637d7bec-b31e-4deb-acc9-24275642a2c9
User.ManageIdentities.All Приложение c529cfca-c91b-489c-af2b-d92990b66ce6
User.Read Делегированные разрешения e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All Делегированные разрешения a154be20-db9c-4678-8ab7-66f6cc099a59
User.Read.All Приложение df021288-bdef-4463-88db-98f22de89214
User.ReadBasic.All Делегированные разрешения b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite Делегированные разрешения b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All Делегированные разрешения 204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
User.ReadWrite.All Приложение 741f803b-c850-494e-b5df-cde7c675a1ca
UserActivity.ReadWrite.CreatedByApp Делегированные разрешения 47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read Делегированные разрешения 1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All Делегированные разрешения aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.Read.All Приложение 38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.ReadWrite Делегированные разрешения 48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All Делегированные разрешения b7887744-6746-4312-813d-72daeaee7e2d
UserAuthenticationMethod.ReadWrite.All Приложение 50483e42-d915-4231-9639-7fdb7fd190e5
UserNotification.ReadWrite.CreatedByApp Делегированные разрешения 26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserNotification.ReadWrite.CreatedByApp Приложение 4e774092-a092-48d1-90bd-baad67c7eb47
UserShiftPreferences.Read.All Приложение de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All Приложение d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp Делегированные разрешения 367492fc-594d-4972-a9b5-0d58c622c91c
WindowsUpdates.ReadWrite.All Делегированные разрешения 11776c0c-6138-4db3-a668-ee621bea2555
WindowsUpdates.ReadWrite.All Приложение 7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WorkforceIntegration.Read.All Делегированные разрешения f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All Делегированные разрешения 08c4b377-0d23-4a8b-be2a-23c1c1d88545
WorkforceIntegration.ReadWrite.All Приложение 202bf709-e8e6-478e-bcfd-5d63c50b68e3