Microsoft Graph-Berechtigungsreferenz

Damit Ihre App auf Daten in Microsoft Graph zugreifen kann, muss der Benutzer oder Administrator ihr die korrekten Berechtigungen über einen Einwilligungsvorgang erteilen. In diesem Thema sind die Berechtigungen aufgelistet, die mit jedem wichtigen Satz von Microsoft Graph-APIs verbunden sind. Es enthält auch Anleitungen zur Verwendung der Berechtigungen.

Hinweis

Als bewährte Methode sollten Sie die Berechtigungen mit den wenigsten Rechten anfordern, die Ihre App benötigt, um auf Daten zuzugreifen und korrekt zu funktionieren. Die Anforderung von Berechtigungen mit mehr als den erforderlichen Rechten ist im Hinblick auf die Sicherheit nicht zu empfehlen und kann dazu führen, dass Benutzer ihre Zustimmung verweigern und die Nutzung Ihrer App beeinträchtigt wird.

Um mehr über die Funktionsweise von Berechtigungen zu erfahren, gehen Sie zuGrundlagen zu Authentifizierung und Berechtigungen und schauen Sie sich das folgende Video an.

Microsoft Graph-Berechtigungsnamen

Die Namen von Microsoft Graph-Berechtigungen entsprechen einem einfachen Muster: Ressource.Vorgang.Einschränkung. Beispielsweise gewährt User.Read die Berechtigung zum Lesen des Profils des angemeldeten Benutzers, User.ReadWrite gewährt die Berechtigung zum Lesen und Ändern des Profils des angemeldeten Benutzers, und Mail.Send gewährt die Berechtigung zum Senden von E-Mails im Namen des angemeldeten Benutzers.

Das Element Einschränkung des Namens bestimmt das potenzielle Ausmaß von Zugriff, den Ihre App im Verzeichnis hat. Derzeit unterstützt Microsoft Graph die folgenden Einschränkungen:

  • All gewährt der App die Berechtigung, die Vorgänge für alle Ressourcen des angegebenen Typs in einem Verzeichnis auszuführen. Beispielsweise gewährt User.Read.All der App potenziell Rechte zum Lesen der Profile aller Benutzer in einem Verzeichnis.
  • Shared gewährt der App die Berechtigung, die Vorgänge für Ressourcen auszuführen, die andere Benutzer für den angemeldeten Benutzer freigegeben haben. Diese Einschränkung wird hauptsächlich für Outlook-Ressourcen wie E-Mail, Kalender und Kontakte verwendet. Beispielsweise gewährt Mail.Read.Shared Rechte zum Lesen von E-Mails im Postfach des angemeldeten Benutzers sowie von E-Mails in Postfächern, die andere Benutzer in der Organisation für den angemeldeten Benutzer freigegeben haben.
  • AppFolder gewährt der App die Berechtigung, Dateien in einem bestimmten Ordner in OneDrive zu lesen und zu schreiben. Diese Einschränkung ist nur für Dateiberechtigungen verfügbar und gilt nur für Microsoft-Konten.
  • Wenn keine Einschränkung angegeben wird, kann die App die Vorgänge nur für die Ressourcen ausführen, die im Besitz des angemeldeten Benutzers sind. Beispielsweise gewährt User.Read Rechte zum Lesen nur des Profils des angemeldeten Benutzers, und Mail.Read gewährt die Berechtigung zum Lesen nur der E-Mails im Postfach des angemeldeten Benutzers.

Hinweis

In delegierten Szenarien wird der Zugriff Ihrer Anwendung auch durch die Berechtigungen des angemeldeten Benutzers eingeschränkt. Diese Rechte werden durch die zugewiesenen Rollen des Benutzers und deren Beziehung zu den Daten bestimmt, auf die zugegriffen wird. Wenn der angemeldete Benutzer beispielsweise nicht über die entsprechenden Berechtigungen zum Anzeigen einer Datei verfügt, kann die Client-App diese Datei auch nicht lesen, auch wenn der App die File.Read.All delegierte Berechtigung gewährt wird.

Microsoft-Konten und Geschäfts-, Schul- oder Unikonten

Nicht alle Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten. Sie können die Spalte Microsoft-Konto unterstützt für die einzelnen Berechtigungsgruppen überprüfen, um festzustellen, ob eine bestimmte Berechtigung für Microsoft-Konten und/oder Geschäfts-, Schul- oder Unikonten gültig ist.

Grenzwerte für angeforderte Berechtigungen pro App

Azure AD beschränkt die Anzahl der Berechtigungen, die von einer Client-App angefordert und genehmigt werden können. Diese Grenzwerte hängen vom signInAudience Wert für Ihre App ab, der im Manifest der App angegeben ist.

signInAudience Zulässige Benutzer Maximale Berechtigungen, welche die App anfordern kann Maximale Microsoft Graph-Berechtigungen, welche die App anfordern kann Maximale Berechtigungen, die in einer einzelnen Anforderung genehmigt werden können
AzureADMyOrg Benutzer aus der Organisation, in der die App registriert ist 400 400 Etwa 155 delegierte Berechtigungen und etwa 300 Anwendungsberechtigungen
AzureADMultipleOrgs Benutzer aus einer beliebigen Azure AD-Organisation 400 400 Etwa 155 delegierte Berechtigungen und etwa 300 Anwendungsberechtigungen
PersonalMicrosoftAccount Privatanwender (z. B. Outlook.com- oder Live.com-Konten) 30 30 30
AzureADandPersonalMicrosoftAccount Privatanwender und Benutzer aus einer beliebigen Azure AD-Organisation 30 30 30

Status der Berechtigungsverfügbarkeit

Microsoft Graph-Berechtigungen im Azure-Portal sind im Allgemeinen verfügbar und im GA-Status für alle Apps verwendbar, mit Ausnahme einiger Sets, die sich im Vorschau- oder im privaten Vorschaustatus befinden. Berechtigungen in der Vorschau sind öffentlich verfügbar. Diese Berechtigungen können sich ändern und werden möglicherweise nicht in den Status ‚Allgemein verfügbar‘ heraufgestuft. Berechtigungen im Status ‚Private Vorschau‘ sind für das Publikum nicht verfügbar und werden dies möglicherweise auch niemals. Verwenden Sie in den Produktions-Apps keine Berechtigungen im Vorschau- oder im privaten Vorschaustatus.

Benutzer- und Gruppensucheinschränkungen für Gastbenutzer in Organisationen

Benutzer- und Gruppensuchfunktionen ermöglichen der App, im Verzeichnis einer Organisation nach beliebigen Benutzern oder Gruppen zu suchen, indem der /users- oder /groups-Ressourcensatz abgefragt wird (z. B. https://graph.microsoft.com/v1.0/users). Sowohl Administratoren als auch Benutzer haben diese Funktion; Gastbenutzer jedoch nicht.

Wenn der angemeldete Benutzer ein Gastbenutzer ist, kann er abhängig von den einer App gewährten Berechtigungen das Profil eines bestimmten Benutzers oder einer bestimmten Gruppe lesen (z. B. https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); er kann jedoch nicht den /users- oder /groups-Ressourcensatz abfragen, wodurch potenziell mehr als eine einzelne Ressource zurückgegeben wird.

Mit den entsprechenden Berechtigungen kann die App die Profile von Benutzern oder Gruppen lesen, die über Links in Navigationseigenschaften abgerufen werden, beispielsweise /users/{id}/directReports oder /groups/{id}/members.

Eingeschränkte Informationen für unzugängliche Mitgliedsobjekte zurückgegeben

Containerobjekte, z. B. Gruppen, unterstützen Mitglieder verschiedener Typen, z. B. Benutzer und Geräte. Wenn eine Anwendung die Zugehörigkeit zu einem Containerobjekt abfragt und keine Berechtigung zum Lesen eines bestimmten Typs hat, werden Mitglieder dieses Typs zurückgegeben, jedoch mit eingeschränkten Informationen. Die Anwendung erhält eine 200-Antwort und eine Sammlung von Objekten. Für die Objekttypen, welche die Anwendung über Leseberechtigungen verfügt, werden vollständige Informationen zurückgegeben. Für die Objekttypen, welche die Anwendung nicht lesen darf, wird nur der Objekttyp und die ID zurückgegeben.

Dies gilt für alle Beziehungen, die vom Typ directoryObject sind (nicht nur für Mitgliederverknüpfungen). Beispiele sind: /groups/{id}/members, /users/{id}/memberOf oder me/ownedObjects.

Nehmen wir zum Beispiel an, eine Anwendung hat die Berechtigungen User.Read.All und Group.Read.All für Microsoft Graph. Eine Gruppe wurde erstellt und diese Gruppe enthält einen Benutzer, eine Gruppe und ein Gerät. Die Anwendung ruft Gruppenmitglieder auflisten auf. Die Anwendung hat Zugriff auf die Benutzer- und Gruppenobjekte in der Gruppe, aber nicht auf das Geräteobjekt. In der Antwort werden alle ausgewählten Eigenschaften des Benutzer- und Gruppenobjekts zurückgegeben. Für das Geräteobjekt werden jedoch nur eingeschränkte Informationen zurückgegeben. Für das Gerät werden Datentyp und Objekt-ID zurückgegeben, aber alle anderen Eigenschaften weisen den Wert NULL auf. Apps ohne Berechtigung sind nicht in der Lage, die ID zum Abrufen des eigentlichen Objekts zu verwenden.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Im Folgenden finden Sie die JASON-Antwort:

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Zugriffsüberprüfungen Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
AccessReview.Read.All Lesen von Zugriffsüberprüfungen Ermöglicht der App, Zugriffsüberprüfungen im Namen des angemeldeten Benutzers zu lesen. Ja Nein
AccessReview.ReadWrite.All Verwalten von Zugriffsüberprüfungen Ermöglicht der App, Zugriffsüberprüfungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
AccessReview.ReadWrite.Membership Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwalten Ermöglicht der App, Zugriffsüberprüfungen für Gruppen und Apps im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AccessReview.Read.All Lesen von Zugriffsüberprüfungen Ermöglicht der App, Zugriffsüberprüfungen ohne einen angemeldeten Benutzer zu lesen. Ja
AccessReview.ReadWrite.All Verwalten von Zugriffsüberprüfungen Ermöglicht der App, Aktionen auf Zugriffsüberprüfungen, Überprüfer, Entscheidungen und Einstellungen in der Organisation ohne einen angemeldeten Benutzer zu lesen, zu aktualisieren, zu löschen und auszuführen. Ja
AccessReview.ReadWrite.Membership Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwalten Ermöglicht der App, Zugriffsüberprüfungen von Gruppen und Apps ohne einen angemeldeten Benutzer zu verwalten. Ja

Bemerkungen

AccessReview.Read.All, AccessReview.ReadWrite.All und AccessReview.ReadWrite.Membership gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Administrator für privilegierte Rollen. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.


Berechtigungen für administrative Einheiten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
AdministrativeUnit.Read.All Lesezugriff auf administrative Einheiten Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
AdministrativeUnit.ReadWrite.All Lese- und Schreibzugriff auf administrative Einheiten Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu verwalten. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AdministrativeUnit.Read.All Lesezugriff auf alle administrative Einheiten Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit ohne angemeldeten Benutzer zu lesen. Ja
AdministrativeUnit.ReadWrite.All Lese- und Schreibzugriff auf alle administrative Einheiten Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit ohne einen angemeldeten Benutzer zu verwalten. Ja

Bemerkungen

Mit der Berechtigung AdministrativeUnit.Read.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder lesen.

Mit der Berechtigung AdministrativeUnit.ReadWrite.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder erstellen, lesen, aktualisieren und löschen.

AdministrativeUnit.Read.All und AdministrativeUnit.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Hinweis

Der v1.0-Endpunkt für die API der Verwaltungseinheiten lautet/v1.0/directory/administrativeUnits.

  • AdministrativeUnit.Read.All: Lesezugriff auf administrative Einheiten (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: Lesezugriff auf Mitgliederlisten einer administrativen Einheit (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: Administrative Einheiten erstellen (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: Administrative Einheiten aktualisieren (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: Mitglieder zu administrativen Einheiten hinzufügen (POST /beta/administrativeUnits/<id>/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Analyse-Ressourcen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Analytics.Read Lesen von Benutzeraktivitätsstatistiken. Ermöglicht der App, die Aktivitätsstatistiken des angemeldeten Benutzers zu lesen, beispielsweise, wie viel Zeit der Benutzer mit E-Mails, in Besprechungen oder in Chatsitzungen verbracht hat. Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

Anwendung

Keine.


Berechtigungen für AppCatalog-Ressourcen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto erforderlich
AppCatalog.Read.All Lesezugriff auf alle App-Kataloge Ermöglicht der App, die Apps in den App-Katalogen auszulesen. Nein Nein
AppCatalog.ReadWrite.All Lese- und Schreibzugriff auf alle App-Kataloge Ermöglicht der App, Apps in den Apps-Katalogen zu erstellen, zu lesen, zu aktualisieren und zu löschen. Ja Nein
AppCatalog.Submit Eine App zur Überprüfung durch Admin einreichen Benutzende können Apps zur Überprüfung durch den/die Admin für die Veröffentlichung im App-Katalog einer Organisation einreichen. Benutzende können frühere Einreichungen stornieren, die nicht veröffentlicht wurden.
𝐍𝐎𝐓𝐄: Benutzende, die keine Admins sind, übermitteln Apps zur Überprüfung, indem Sie den requiresReview=true Abfrageparameter einschließen.
Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AppCatalog.Read.All Lesezugriff auf alle App-Kataloge Ermöglicht der App, Apps in den App-Katalogen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
AppCatalog.ReadWrite.All Lese- und Schreibzugriff auf alle App-Kataloge Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Apps in den App-Katalogen, ohne dass ein Benutzer angemeldet ist. Ja

Hinweise

Derzeit ist der einzige Katalog die Liste der Anwendungen in Microsoft Teams.

Verwendungsbeispiel

Delegiert

Anwendung

Keine.


Berechtigungen für Anwendungsressourcen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Application.Read.All Lesen von Anwendungen Ermöglicht der App das Lesen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers. Ja
Application.ReadWrite.All Schreib-/Lesezugriff für alle Apps Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers. Ja
AppRoleAssignment.ReadWrite.All Verwalten von App-Genehmigungen und -Rollenzuweisungen Ermöglicht der App, im Namen des angemeldeten Benutzers die Erteilung von Anwendungsberechtigungen zu beliebigen APIs (inkl. Microsoft Graph) sowie die Anwendungszuweisungen für jede App zu verwalten. Ja
DelegatedPermissionGrant.ReadWrite.All Verwalten delegierter Berechtigungserteilungen Ermöglicht der App, delegierte Berechtigungserteilungen für eine beliebige API im Namen des angemeldeten Benutzers zu verwalten (einschließlich Microsoft Graph). Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Application.Read.All Lesen von Anwendungen Ermöglicht der App das Lesen von Anwendungen und Dienstprinzipalen ohne angemeldeten Benutzer. Ja
Application.ReadWrite.All Schreib-/Lesezugriff für alle Apps Ermöglicht der aufrufenden App, Anwendungen und Dienstprinzipale zu erstellen und zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen. Ja
Application.ReadWrite.OwnedBy Verwalten von Apps, die diese App erstellt oder deren Besitzer sie ist Ermöglicht der aufrufenden App, andere Anwendungen und Dienstprinzipale zu erstellen und diese Anwendungen und Dienstprinzipale vollständig zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist. Sie kann keine Anwendungen aktualisieren, deren Besitzer sie nicht ist. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen. Ja
AppRoleAssignment.ReadWrite.All Verwalten von App-Genehmigungen und -Rollenzuweisungen Ermöglicht der App, die Erteilung von Anwendungsberechtigungen zu beliebigen APIs (inkl. Microsoft Graph) sowie die Anwendungszuweisungen für jede App zu verwalten, ohne dass ein Benutzer angemeldet ist. Ja
DelegatedPermissionGrant.ReadWrite.All Verwalten aller delegierten Berechtigungserteilungen Ermöglicht der App das Erteilen oder Widerrufen delegierter Berechtigungen für jede API (einschließlich Microsoft Graph), ohne dass ein Benutzer angemeldet ist. Ja

Bemerkungen

Achtung

Berechtigungen, die das Erteilen der Autorisierung ermöglichen, z. B. AppRoleAssignment.ReadWrite.All, ermöglichen einer Anwendung, sich selbst, anderen Anwendungen oder beliebigen Benutzern zusätzliche Berechtigungen zu gewähren. Ebenso können Berechtigungen, welche die Verwaltung von Anmeldeinformationen ermöglichen, z. B. Application.ReadWrite.All, einer Anwendung ermöglichen, als andere Einheiten zu fungieren und die Berechtigungen zu verwenden, die ihnen gewährt wurden. Gehen Sie vorsichtig vor, wenn Sie eine dieser Berechtigungen erteilen.

Die Berechtigung Application.ReadWrite.OwnedBy ermöglicht die gleichen Vorgänge wie Application.ReadWrite.All, mit der Ausnahme, dass die erste Berechtigung diese Vorgänge nur für Anwendungen und Dienstprinzipale zulässt, deren Besitzer die aufrufende App ist. Der Besitz wird durch die ownersNavigationseigenschaft der Ziel-Anwendung oder der Dienstprinzipal-Ressource angegeben.

HINWEIS: Die Verwendung der Berechtigung Application.ReadWrite.OwnedBy zum Aufrufen von GET /applications zur Auflistung von Anwendungen führt zu einem 403-Fehler. Verwenden Sie stattdessen GET servicePrincipals/{id}/ownedObjects zum Auflisten der Anwendungen, deren Besitzer die aufrufende Anwendung ist.

Verwendungsbeispiel

Delegiert

  • Application.ReadWrite.All: alle Anwendungen auflisten (GET /v1.0/applications)
  • Application.ReadWrite.All: Dienstprinzipal aktualisieren (PATCH /v1.0/servicePrincipals/{id})

Anwendung

  • Application.ReadWrite.All: alle Anwendungen auflisten (GET /v1.0/applications)
  • Application.ReadWrite.All: Dienstprinzipal löschen (DELETE /v1.0/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: Anwendung erstellen (POST /v1.0/applications)
  • Application.ReadWrite.OwnedBy: Alle Anwendungen auflisten, deren Besitzer die aufrufende Anwendung ist (GET /v1.0/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: Einen anderen Besitzer zu einer Anwendung hinzufügen, die bereits einen Besitzer hat (POST /v1.0/applications/{id}/owners/$ref).

    HINWEIS: Dies erfordert möglicherweise zusätzliche Berechtigungen.


Berechtigungen für Audit-Überwachungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
AuditLog. Read.All Lesen von Überwachungsprotokolldaten Ermöglicht der App, Ihre Überwachungsprotokoll-Aktivitäten im Namen des angemeldeten Benutzers zu lesen und abzufragen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
AuditLog. Read.All Alle Überwachungsprotokolldaten lesen Ermöglicht der App, Ihre Überwachungsprotokoll-Aktivitäten ohne einen angemeldeten Benutzers zu lesen und abzufragen. Ja

Berechtigungen für BitLocker-Wiederherstellungsschlüssel

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
BitlockerKey.ReadBasic.All Grundlegende BitLocker-Schlüsselinformationen lesen Ermöglicht einer App, die Eigenschaften des BitLocker-Schlüssels für alle Geräte im Mandanten zu lesen. Der Wiederherstellungsschlüssel wird nicht zurückgegeben. Ja Nein
BitlockerKey.Read.All BitLocker-Schlüssel lesen Ermöglicht einer App, die BitLocker-Schlüssel für alle Geräte im Mandanten zu lesen. Der Wiederherstellungsschlüssel wird zurückgegeben. Ja Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

  • BitlockerKey.ReadBasic.All: BitLocker-Wiederherstellungsschlüssel für alle Geräte im Mandanten auflisten, ohne die Eigenschaft "Schlüssel" zurückzugeben (GET /bitlocker/recoveryKeys).
  • BitlockerKey.Read.All: BitLocker-Wiederherstellungsschlüssel mit dem Wiederherstellungsschlüssel abrufen (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Bookings-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Bookings.Read.All Ermöglicht einer App Lesezugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Für schreibgeschützte Anwendungen vorgesehen. Ein typischer Zielbenutzer ist der Kunde eines Buchungsunternehmens. Nein Nein
BookingsAppointment.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine und Kunden. Ermöglicht darüber hinaus den Lesezugriff auf Unternehmen, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Vorgesehen für Terminplanungsanwendungen, die Termine und Kunden bearbeitet. Grundlegende Informationen zum Unternehmen mit Terminvergabe oder seine Dienstleistungen und Mitarbeiter können nicht geändert werden. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart. Nein Nein
Bookings.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Ermöglicht nicht das Erstellen, Löschen oder Veröffentlichen von Unternehmen mit Bookings. Vorgesehen für Verwaltungsanwendungen, die vorhandene Unternehmen, deren Dienstleistungen und Mitarbeiter bearbeiten. Ermöglicht nicht das Erstellen, Löschen oder Ändern des Veröffentlichungsstatus eines Unternehmens mit Terminvergabe. Der typische Zielbenutzer ist ein Support-Mitarbeiter eines Unternehmens. Nein Nein
Bookings.Manage.All Ermöglicht einer App Lese- und Schreibzugriff sowie die Verwaltung von Bookings-Terminen, Unternehmen, Kunden, Dienstleistungen und Mitarbeitern im Namen des angemeldeten Benutzers. Ermöglicht der App den Vollzugriff.
Vorgesehen für eine vollständige Verwaltungsoberfläche. Der typische Zielbenutzer ist Administrator in einem Unternehmen.
Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Bookings.Read.All Ermöglicht einer App Lesezugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Für schreibgeschützte Anwendungen vorgesehen. Ein typischer Zielbenutzer ist der Kunde eines Buchungsunternehmens. Ja Nein
BookingsAppointment.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine und Kunden. Ermöglicht darüber hinaus den Lesezugriff auf Unternehmen, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Vorgesehen für Terminplanungsanwendungen, die Termine und Kunden bearbeitet. Grundlegende Informationen zum Unternehmen mit Terminvergabe oder seine Dienstleistungen und Mitarbeiter können nicht geändert werden. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart. Ja Nein
Bookings.ReadWrite.All Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Ermöglicht nicht das Erstellen, Löschen oder Veröffentlichen von Unternehmen mit Bookings. Vorgesehen für Verwaltungsanwendungen, die vorhandene Unternehmen, deren Dienstleistungen und Mitarbeiter bearbeiten. Ermöglicht nicht das Erstellen, Löschen oder Ändern des Veröffentlichungsstatus eines Unternehmens mit Terminvergabe. Der typische Zielbenutzer ist ein Support-Mitarbeiter eines Unternehmens. Ja Nein
Bookings.Manage.All Ermöglicht einer App Lese- und Schreibzugriff sowie die Verwaltung von Bookings-Terminen, Unternehmen, Kunden, Dienstleistungen und Mitarbeitern im Namen des angemeldeten Benutzers. Ermöglicht der App den Vollzugriff.
Vorgesehen für eine vollständige Verwaltungsoberfläche. Der typische Zielbenutzer ist Administrator in einem Unternehmen.
Ja Nein

Verwendungsbeispiel

Delegiert

  • Bookings.Read.All: Abrufen der ID und der Namen der Sammlung von Bookings-Unternehmen, die für einen Mandanten erstellt wurde (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All: Erstellen eines Termins für einen Service bei einem Bookings-Unternehmen (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: Erstellen eines neuen Services für das angegebene Bookings-Unternehmen (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All: Bereitstellen der Terminvergabeseite dieses Unternehmens für externe Kunden (POST /bookingBusinesses/{id}/publish).

Kalenderberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Calendars.Read Benutzerkalender lesen Ermöglicht der App, Ereignisse in Benutzerkalendern zu lesen. Nein Ja
Calendars.Read.Shared Benutzerkalender und freigegebene Kalender lesen Ermöglicht der App, Ereignisse in allen Kalendern zu lesen, auf die der Benutzer zugreifen kann, einschließlich delegierter und freigegebener Kalender. Nein Nein
Calendars.ReadWrite Vollzugriff auf Benutzerkalender Ermöglicht der App, Ereignisse in Benutzerkalendern zu erstellen, zu lesen, zu aktualisieren und zu löschen. Nein Ja
Calendars.ReadWrite.Shared Benutzerkalender und freigegebene Kalender lesen und schreiben Die App kann Ereignisse in allen Kalendern, für die der Benutzer über Zugriffsberechtigungen verfügt, erstellen, lesen, aktualisieren und löschen. Dies umfasst delegierte und freigegebene Kalender. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Calendars.Read Lesezugriff auf Kalender in allen Postfächern Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu lesen. Ja
Calendars.ReadWrite Lese- und Schreibzugriff auf Kalender in allen Postfächern Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen. Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Calendars.Read“ oder „Calendars.ReadWrite“ besitzt.

Verwendungsbeispiel

Delegiert

  • Calendars.Read: Ereignisse im Kalender des Benutzers zwischen dem 23. April 2017 und dem 29. April 2017 abrufen (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Nach Besprechungszeiten suchen, zu denen alle Teilnehmer verfügbar sind (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: Ein Ereignis zum Kalender des Benutzers hinzufügen (POST /me/events).

Anwendung

  • Calendars.Read: Ereignisse im Kalender eines Konferenzraums suchen, sortiert nach bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: Alle Ereignisse im Kalender eines Benutzers für den Monat Mai auflisten (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: Ein Ereignis für einen Zeitpunkt mit genehmigter Abwesenheit zum Kalender eines Benutzers hinzufügen (POST /users/{id | userPrincipalName}/events).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Anrufe

Delegierte Berechtigungen

Keine.


Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Calls.Initiate.All Ausgehende 1:1-Anrufe aus der App initiieren Ermöglicht der App, ausgehende Anrufe an einen einzelnen Benutzer zu tätigen und Anrufe an Benutzer im Organisationsverzeichnis zu übertragen (ohne angemeldeten Benutzer). Ja
Calls.InitiateGroupCall.All Starten von ausgehenden Gruppenanrufen über die App Ermöglicht der App, ausgehende Anrufe an mehrere Benutzer zu tätigen und Teilnehmer in Ihrer Organisation zu Besprechungen hinzufügen (ohne angemeldeten Benutzer). Ja
Calls.JoinGroupCall.All Gruppenanrufen und Besprechungen als App beitreten Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer zu verknüpfen. Die App wird mit den Berechtigungen eines Verzeichnisbenutzers und Besprechungen in Ihrem Mandanten verknüpft. Ja
Calls.JoinGroupCallasGuest.All Gruppenanrufen und Besprechungen als Gast beitreten Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer anonym zu verknüpfen. Die App wird als Gast mit Besprechungen in Ihrem Mandanten verknüpft. Ja
Calls.AccessMedia.All* Auf Medienstreams in einem Anruf als App zugreifen Ermöglicht der App, direkten Zugriff auf Medienstreams in einem Anruf ohne einen angemeldeten Benutzer zu erhalten. Ja

*Wichtig: Sie dürfen die Cloud Communications-APIs NICHT verwenden, um Medieninhalte aus Anrufen oder Besprechungen, auf die Ihre Anwendung zugreift, oder aus diesen Medieninhalten abgeleitete Daten aufzuzeichnen oder auf andere Weise zu speichern. Stellen Sie sicher, dass alle für Ihren Bereich geltenden Gesetze und Bestimmungen hinsichtlich Datenschutz und Vertraulichkeit von Kommunikationen eingehalten werden. Bitte lesen Sie die Nutzungsbedingungen, und wenden Sie sich für weitere Informationen an Ihren Rechtsbeistand.


Verwendungsbeispiel

Anwendung

  • Calls.Initiate.All: Peer-to-Peer-Anruf aus der Anwendung an einen Benutzer in der Organisation (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All: Gruppenanruf aus der Anwendung an eine Benutzergruppe in der Organisation (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen, aber die Anwendung verfügt in der Besprechung nur über Gastberechtigungen (POST /beta/communications/calls).
  • Calls.AccessMedia.All: Einen Anruf erstellen oder daran teilnehmen; die App erhält direkten Zugriff auf die Medienstreams von Teilnehmern in dem Anruf (POST /beta/communications/calls).

Hinweis: Beispiele für Anforderungen finden Sie unter Anruf erstellen.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Anrufdatensätze

Delegierte Berechtigungen

Keine.


Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
CallRecords.Read.All Alle Anrufdatensätze lesen Ermöglicht der App, Anrufdatensätze für alle Anrufe und Onlinebesprechungen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
CallRecord-PstnCalls.Read.All PSTN- und Direct Routing-Anrufprotokolldaten lesen Ermöglicht der App das Lesen aller PSTN- und Direct Routing-Anrufprotokoll Daten, ohne dass ein Benutzer angemeldet ist. Ja

Bemerkungen

Die Berechtigung CallRecords.Read.All gewährt einer Anwendung privilegierten Zugriff auf CallRecords für jeden Anruf und jede Onlinebesprechung innerhalb Ihrer Organisation, einschließlich der Anrufe zu und von externen Telefonnummern. Dazu gehören potenziell vertrauliche Details zu den Gesprächsteilnehmern sowie technische Informationen zu diesen Anrufen und Besprechungen, die für die Problembehandlung im Netzwerk verwendet werden können, z. B. IP-Adressen, Gerätedetails und andere Netzwerkinformationen.

Die Berechtigung "CallRecord-PstnCalls.Read.All" gewährt einer Anwendung Zugriff auf PSTN (Anrufpläne) und Anrufprotokolle für direktes Routing. Dazu gehören potenziell vertrauliche Informationen über Benutzer, sowie Anrufe zu und von externen Telefonnummern.

Wichtig: Bei der Erteilung dieser Berechtigungen für Anwendungen sollte man Diskretion walten lassen. Anrufdatensätze können Einblicke in die Funktionsweise Ihres Unternehmens geben und somit ein Ziel für böswillige Akteure sein. Erteilen Sie diese Berechtigungen nur Anwendungen, denen Sie vertrauen, um Ihre Datenschutzanforderungen zu erfüllen.

Wichtig: Stellen Sie sicher, dass alle für Ihren Bereich geltenden Gesetze und Bestimmungen hinsichtlich Datenschutz und Vertraulichkeit von Kommunikationen eingehalten werden. Bitte lesen Sie die Nutzungsbedingungen, und wenden Sie sich für weitere Informationen an Ihren Rechtsbeistand.


Verwendungsbeispiel

Anwendung

  • CallRecords.Read.All: Anrufdatensatz abrufen (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All: neue Anrufdatensätze abonnieren (POST /v1.0/subscriptions).
  • CallRecords.Read.All: Rufen Sie Direktes Routing-Anrufdatensätze innerhalb des angegebenen Zeitbereichs (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time))) ab.
  • CallRecord-PstnCalls.Read.All: Abrufen von PSTN-Anrufdatensätzen innerhalb des angegebenen Zeitraums ( GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)) )

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Kanalberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Channel.ReadBasic.All Namen und Beschreibungen von Kanälen lesen. Kanalnamen und Kanalbeschreibungen im Namen des angemeldeten Benutzers lesen. Nein Nein
Channel.Create Erstellen von Kanälen. In allen Teams Kanäle erstellen, im Namen des angemeldeten Benutzers. Ja Nein
Channel.Delete.All Kanäle löschen. Kanäle in allen Teams im Namen des angemeldeten Benutzers löschen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Channel.ReadBasic.All Lesezugriff auf die Namen und Beschreibungen aller Kanäle. Lesen aller Kanalnamen und -beschreibungen, ohne dass ein Benutzer angemeldet ist. Ja Nein
Channel.Create Erstellen von Kanälen. Erstellen von Kanälen in allen Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
Channel.Delete.All Kanäle löschen. Löschen von Kanälen in allen Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
Teamwork.Migrate.All Migration zu Microsoft Teams verwalten Erstellen und Verwalten von Ressourcen für die Migration zu Microsoft Teams Ja Ja

Berechtigungen für Kanalmitglieder

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMember.Read.All Die Mitglieder von Kanälen lesen. Die Mitglieder von Kanälen lesen, im Namen des angemeldeten Benutzers. Ja Nein
ChannelMember.ReadWrite.All Sie können Mitglieder zu Kanälen hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu Kanälen hinzu und entfernen Sie sie, im Namen des angemeldeten Benutzers. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMember.Read.All Die Mitglieder aller Kanäle lesen. Die Mitglieder aller Kanäle lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
ChannelMember.ReadWrite.All Sie können Mitglieder zu allen Kanälen hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu allen Kanälen hinzu und entfernen Sie sie, ohne dass ein Benutzer angemeldet ist. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Berechtigungen für Kanalnachrichten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMessage.Edit (private Vorschau) Kanalnachrichten eines Benutzers bearbeiten Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu bearbeiten. Ja Nein
ChannelMessage.Read.All Lesen der Kanalnachrichten eines Benutzers Ermöglicht es einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu lesen. Ja Nein
ChannelMessage.Send Kanalnachrichten senden Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Auftrag des angemeldeten Benutzers zu senden. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelMessage.Read.All Alle Kanalnachrichten lesen Ermöglicht es der App, alle Nachrichten des Microsoft Teams-Kanals ohne einen angemeldeten Benutzer zu lesen. Ja Nein
ChannelMessage.UpdatePolicyViolation.All Kanalnachrichten für Verstöße gegen die Richtlinie kennzeichnen Ermöglicht es der App, Nachrichten des Microsoft Teams-Kanals durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten. Ja Nein

Hinweis: siehe auch Group.Read.All.

Berechtigungen für Kanaleinstellungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelSettings.Read.All Lesen der Namen, Beschreibungen und Einstellungen von Kanälen. Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle im Namen des angemeldeten Benutzers. Ja Nein
ChannelSettings.ReadWrite.All Lesen und Schreiben der Namen, Beschreibungen und Einstellungen von Kanälen. Lesen und Schreiben der Namen, Beschreibungen und Einstellungen aller Kanäle im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChannelSettings.Read.All Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle. Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle, ohne dass ein Benutzer angemeldet ist. Ja Nein
ChannelSettings.ReadWrite.All Lese- und Schreibzugriff auf die Namen, Beschreibungen und Einstellungen aller Kanäle. Lesen und Schreiben der Namen, Beschreibungen und Einstellungen aller Kanäle, ohne dass ein Benutzer angemeldet ist. Ja Nein

Chat-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Chat.Read Lesen Sie Ihre Chatnachrichten Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen. Nein Nein
Chat.ReadBasic Lesezugriff auf Namen und Mitglieder von Benutzer-Chat-Threads Ermöglicht einer App, die Mitglieder und Beschreibungen von persönlichen und Gruppenchat-Threads im Namen des angemeldeten Benutzers auszulesen. Nein Nein
Chat.ReadWrite Lesen Sie Ihre Chatnachrichten, und senden Sie neue. Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen und zu versenden. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Chat.Read.All Lesen aller Chatnachrichten Ermöglicht es der App, alle 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams ohne einen angemeldeten Benutzer zu lesen. Ja Nein
Chat.ReadBasic.All Lesezugriff auf Namen und Mitglieder von Benutzer-Chat-Threads Lesezugriff auf Namen und Mitglieder aller Chat-Threads. Ja Nein
Chat.UpdatePolicyViolation.All Chatnachrichten für Verstöße gegen die Richtlinie kennzeichnen Ermöglicht es der App, 1:1- oder Gruppenchatnachrichten in Microsoft Teams durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten. Ja Nein

Hinweis: Für Nachrichten in einem Kanal lesen Sie ChannelMessage-Berechtigungen.

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChatSettings.Read.Chat Lesen der Einstellungen dieses Chats. Erlaubt der App, die Einstellungen dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
ChatSettings.ReadWrite.Chat Lesen und Schreiben der Einstellungen dieses Chats. Erlaubt der App, die Einstellungen dieses Chats zu lesen und zu schreiben, ohne einen angemeldeten Benutzer. Nein Nein
ChatMessage.Read.Chat Lesen der Nachrichten dieses Chats. Erlaubt der App, die Nachrichten dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
ChatMember.Read.Chat Lesen der Mitglieder dieses Chats. Erlaubt der App, die Mitglieder dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
Chat.Manage.Chat Verwalten dieses Chats. Erlaubt der App, den Chat und die Chat-Mitglieder zu verwalten, und Zugriff auf die Chat-Daten zu gewähren, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Read.Chat Lesen der Registerkarten dieses Chats. Erlaubt der App, die Registerkarten dieses Chats zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Create.Chat Erstellen von Registerkarten in diesem Chat. Erlaubt der App, Registerkarten in diesem Chat zu erstellen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Delete.Chat Löschen der Registerkarten dieses Chats. Erlaubt der App, die Registerkarten dieses Chats zu löschen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.ReadWrite.Chat Verwalten der Registerkarten dieses Chats. Erlaubt der App, die Registerkarten dieses Chats zu verwalten, ohne einen angemeldeten Benutzer. Nein Nein
TeamsAppInstallation.Read.Chat Lesen, welche Apps in diesem Chat installiert sind. Erlaubt der App, die Teams-Apps zu lesen, die in diesem Chat installiert sind, zusammen mit den jeder App erteilten Berechtigungen, ohne einen angemeldeten Benutzer. Nein Nein
OnlineMeeting.ReadBasic.Chat Lesen der Basiseigenschaften für eine Besprechung, die mit diesem Chat verbunden ist. Erlaubt der App, die Basiseigenschaften – wie z. B. Name, Zeitplan, Organisator und Beitrittslink – einer mit diesem Chat verbundenen Besprechung zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
Calls.AccessMedia.Chat Zugreifen auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind. Ermöglicht der App den Zugriff auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind, ohne dass ein Benutzer angemeldet wäre. Nein Nein
Calls.JoinGroupCall.Chat Nehmen Sie an Anrufen teil, die mit diesem Chat oder dieser Besprechung verbunden sind. Ermöglicht der App an Mediendatenströmen in Anrufen teilzunehmen, die mit diesem Chat oder dieser Besprechung verbunden sind, ohne dass ein Benutzer angemeldet wäre. Nein Nein
TeamsActivity.Send.Chat Senden von Aktivitätsfeed-Benachrichtigungen an Benutzer in diesem Chat. Ermöglicht der App, neue Benachrichtigungen in den Teamarbeits-Aktivitätsfeeds der Benutzer in diesem Chat zu erstellen, ohne dass ein Benutzer angemeldet ist. Nein Nein

Hinweis

Derzeit werden diese Berechtigungen nur in der Betaversion von Microsoft Graph unterstützt.

ChatMessage-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ChatMessage.Send Senden von Chatnachrichten an Benutzer Ermöglicht einer App, persönliche und Gruppenchatnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu senden. Nein Nein

Cloud-PC-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
CloudPC.Read.All Lesezugriff für Cloudcomputer Ermöglicht es der App, im Namen des angemeldeten Benutzers Cloud-PC-Objekte wie z. B. Bereitstellungsrichtlinien zu lesen. Nein Nein
CloudPC.ReadWrite.All Schreib-/Lesezugriff für Cloudcomputer Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Cloud-PC-Objekten, wie beispielsweise Azure -Netzwerkverbindungen, Bereitstellungsrichtlinien und Gerätebilder, im Namen des Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
CloudPC.Read.All Lesezugriff für Cloudcomputer Ermöglicht der App das Lesen von Cloud-PC-Objekte, wie z. B. Bereitstellungsrichtlinien, ohne einen angemeldeten Benutzer. Ja Nein
CloudPC.ReadWrite.All Schreib-/Lesezugriff für Cloudcomputer Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Cloud-PC-Objekten, wie z. B. Netzwerkverbindungen, Bereitstellungsrichtlinien und Gerätebilder, ohne einen angemeldeten Benutzer. Ja Nein

Verwendungsbeispiel

Delegiert

  • CloudPC.Read.All: Eigenschaften aller Cloud-PCs anzeigen (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: Cloud-PC-Bereitstellungsrichtlinie bearbeiten (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Anwendung

  • CloudPC.Read.All: Eigenschaften aller Cloud-PCs anzeigen (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: Cloud-PC-Bereitstellungsrichtlinie bearbeiten (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ConsentRequest.Read.All Lesen von Zustimmungsanfragen Ermöglicht der App das Lesen von Zustimmungsanfragen der App sowie die Genehmigung dieser Anfragen im Namen des angemeldeten Benutzers. Ja Nein
ConsentRequest.ReadWrite.All Lesen und Schreiben von Zustimmungsanfragen Ermöglicht der App das Lesen von Zustimmungsanfragen an Sie sowie deren Genehmigungen als auch die Genehmigung oder Ablehnung dieser Anfragen im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ConsentRequest.Read.All Lesen von Zustimmungsanfragen Ermöglicht der App das Lesen von App-Zustimmungsanforderungen und Genehmigungen ohne einen angemeldeten Benutzer. Ja
ConsentRequest.ReadWrite.All Lesen und Schreiben von Zustimmungsanfragen Ermöglicht der App das Lesen von Zustimmungsanfragen an sie sowie deren Genehmigungen als auch die Genehmigung oder Ablehnung dieser Anfragen ohne, dass ein Benutzer angemeldet ist. Ja

Kontaktberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Contacts.Read Benutzerkontakte lesen Ermöglicht der App, Benutzerkontakte zu lesen. Nein Ja
Contacts.Read.Shared Benutzerkontakte und freigegebene Kontakte lesen Ermöglicht der App, Kontakte zu lesen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte. Nein Nein
Contacts.ReadWrite Vollzugriff auf Benutzerkontakte Ermöglicht der App, Benutzerkontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen. Nein Ja
Contacts.ReadWrite.Shared Benutzerkontakte und freigegebene Kontakte lesen und schreiben Ermöglicht der App, Kontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die der Benutzer über Berechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Contacts.Read Lesezugriff auf Kontakte in allen Postfächern Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu lesen. Ja
Contacts.ReadWrite Lese- und Schreibzugriff auf Kontakte in allen Postfächern Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen. Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Contacts.Read“ oder Contacts.ReadWrite“ besitzt.

Verwendungsbeispiel

Delegiert

  • Contacts.Read: Einen Kontakt aus einem der Kontaktordner der obersten Ebene des angemeldeten Benutzers lesen (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Das Kontaktfoto eines Kontakts des angemeldeten Benutzers aktualisieren (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Kontakte zum Stammordner des angemeldeten Benutzers hinzufügen (POST /me/contacts).

Anwendung

  • Contacts.Read: Kontakte aus einem der Kontaktordner der obersten Ebene eines beliebigen Benutzers in der Organisation lesen (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: Das Foto eines beliebigen Kontakts eines beliebigen Benutzers in einer Organisation aktualisieren (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: Kontakte zum Stammordner eines beliebigen Benutzers in der Organisation hinzufügen (POST /users/{id | userPrincipalName}/contacts).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für benutzerdefinierte Sicherheitsattribute

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
CustomSecAttributeAssignment.Read.All Benutzerdefinierte Sicherheitsattributzuweisungen lesen Ermöglicht der App das Lesen benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten im Namen eines angemeldeten Benutzers. Ja Nein
CustomSecAttributeAssignment.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten im Auftrag eines angemeldeten Benutzers. Ja Nein
CustomSecAttributeDefinition.Read.All Benutzerdefinierte Sicherheitsattributdefinitionen lesen Ermöglicht der App, benutzerdefinierte Sicherheitsattributdefinitionen für den Mandanten im Namen eines angemeldeten Benutzers zu lesen. Ja Nein
CustomSecAttributeDefinition.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten im Auftrag eines angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
CustomSecAttributeAssignment.Read.All Benutzerdefinierte Sicherheitsattributzuweisungen lesen Ermöglicht der App das Lesen benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten, ohne dass ein Benutzer angemeldet ist. Ja
CustomSecAttributeAssignment.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten ohne einen angemeldeten Benutzer. Ja
CustomSecAttributeDefinition.Read.All Benutzerdefinierte Sicherheitsattributdefinitionen lesen Ermöglicht der App das Lesen benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten, ohne dass ein Benutzer angemeldet ist. Ja
CustomSecAttributeDefinition.ReadWrite.All Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten ohne einen angemeldeten Benutzer. Ja

Granulare Berechtigungen für delegierte Administratorprivilegien (Granular Delegated Admin Priviledges, GDAP)

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
DelegatedAdminRelationship.Read.All Lesen Sie delegierte Administratorbeziehungen mit Kunden Ermöglicht der App, Details zu delegierten Administratorbeziehungen mit Kunden zu lesen, z. B. Zugriffsdetails (einschließlich Rollen) und die Dauer sowie spezifische Rollenzuweisungen zu Sicherheitsgruppen im Namen des angemeldeten Benutzers. Ja Nein
DelegatedAdminRelationship.ReadWrite.All Verwalten delegierter Administratorbeziehungen mit Kunden Ermöglicht der App, delegierte Administratorbeziehungen mit Kunden und Rollenzuweisungen zu Sicherheitsgruppen für aktive delegierte Administratorbeziehungen in Ihrem Namen zu verwalten (create-update-terminate). Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
DelegatedAdminRelationship.Read.All Lesen Sie delegierte Administratorbeziehungen mit Kunden Ermöglicht der App, Details zu delegierten Administratorbeziehungen mit Kunden zu lesen, z. B. Zugriffsdetails (einschließlich Rollen) und die Dauer sowie spezifische Rollenzuweisungen zu Sicherheitsgruppen ohne einen angemeldeten Benutzer. Ja Nein
DelegatedAdminRelationship.ReadWrite.All Verwalten delegierter Administratorbeziehungen mit Kunden Ermöglicht der App, delegierte Administratorbeziehungen mit Kunden und Rollenzuweisungen zu Sicherheitsgruppen für aktive delegierte Administratorbeziehungen ohne einen angemeldeten Benutzer zu verwalten (create-update-terminate). Ja Nein

Geräteberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Device.Read Benutzergeräte lesen Ermöglicht der App, eine Benutzerliste mit Geräten im Auftrag des angemeldeten Benutzers zu lesen. Nein Ja
Device.Read.All Alle Geräte lesen Ermöglicht der App, Informationen zur Gerätekonfiguration Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Ja
Device.Command Kommunikation mit Benutzergeräten Ermöglicht der App, im Auftrag des angemeldeten Benutzers auf einem Benutzergerät eine andere App zu starten oder mit einer anderen App zu kommunizieren. Nein Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Device.Read.All Alle Geräte lesen Ermöglicht der App, Informationen zur Gerätekonfiguration Ihrer Organisation ohne angemeldeten Benutzer zu lesen. Ja
Device.ReadWrite.All Geräteeigenschaften lesen und schreiben Die App kann alle Geräteeigenschaften ohne angemeldeten Benutzer lesen und schreiben. Ermöglicht nicht das Erstellen oder Löschen von Geräten oder das Aktualisieren von alternativen Sicherheits-IDs von Geräten. Ja

Hinweis

Wenn vor dem 3. Dezember 2020 die Anwendungsberechtigung Device.ReadWrite.All gewährt wurde, wurde die Verzeichnisrolle des Gerätemanagers auch dem Dienstprinzipal der App zugewiesen. Die Zuweisung dieser Verzeichnisrolle wird nicht automatisch entfernt, wenn die zugehörigen Anwendungsberechtigungen widerrufen werden. Um sicherzustellen, dass der Zugriff einer Anwendung zum Lesen oder Schreiben auf Geräte entfernt wird, müssen Kunden auch alle zugehörigen Verzeichnisrollen entfernen, die der Anwendung gewährt wurden.

Ein Service-Update, das dieses Verhalten deaktiviert, wurde am 3. Dezember 2020 eingeführt. Die Bereitstellung für alle Kunden wurde am 11. Januar 2021 abgeschlossen. Verzeichnisrollen werden nicht mehr automatisch zugewiesen, wenn Anwendungsberechtigungen erteilt werden.

Verwendungsbeispiel

Anwendung

  • Device.ReadWrite.All: Alle registrierten Geräte in der Organisation lesen (GET /devices).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Verzeichnisberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Directory.Read.All Verzeichnisdaten lesen Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation zu lesen, z. B. Benutzer, Gruppen und Apps. Hinweis: Benutzer können Anwendungen zustimmen, die diese Berechtigung erfordern, wenn die Anwendung im Mandanten ihrer eigenen Organisation registriert ist. Ja Nein
Directory.ReadWrite.All Schreib-/Lesezugriff auf Verzeichnisdaten Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht der App nicht das Löschen von Benutzern oder Gruppen oder das Zurücksetzen von Benutzerkennwörtern. Ja Nein
Directory.AccessAsUser.All Als der angemeldete Benutzer auf das Verzeichnis zugreifen Ermöglicht der App den gleichen Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Directory.Read.All Verzeichnisdaten lesen Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, z. B. Benutzer, Gruppen und Apps. Ja
Directory.ReadWrite.All Schreib-/Lesezugriff auf Verzeichnisdaten Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe. Ja

Hinweise

Verzeichnisberechtigungen stellen die höchste Stufe von Rechten für den Zugriff auf Verzeichnisressourcen wie Benutzer, Gruppen, und Geräte in einer Organisation bereit.

Sie steuern zudem exklusiv den Zugriff auf andere Verzeichnisressourcen wie Organisationskontakte, Schemaerweiterungs-APIs, Privileged Identity Management (PIM)-APIs sowie viele der Ressourcen und APIs, die unter dem Knoten Azure Active Directory in der API-Referenzdokumentation der Versionen 1.0 und Beta aufgeführt sind. Diese enthalten administrative Einheiten, Verzeichnisrollen, Richtlinien und viele mehr.

Hinweis

Vor dem 3. Dezember 2020, als die Anwendungsberechtigung Directory.Read.All erteilt wurde, wurde die Verzeichnisrolle des Verzeichnislesers auch dem Dienstprinzipal der App zugewiesen. Wenn Directory.ReadWrite.All gewährt wurde, wurde auch die Verzeichnisleser-Verzeichnisrolle zugewiesen. Diese Verzeichnisrollen werden nicht automatisch entfernt, wenn die zugehörigen Anwendungsberechtigungen widerrufen werden. Um den Lese- oder Schreibzugriff einer Anwendung auf das Verzeichnis zu entfernen, müssen Kunden auch alle Verzeichnisrollen entfernen, die der Anwendung gewährt wurden.

Ein Service-Update, das dieses Verhalten deaktiviert, wurde am 3. Dezember 2020 eingeführt. Die Bereitstellung für alle Kunden wurde am 11. Januar 2021 abgeschlossen. Verzeichnisrollen werden nicht mehr automatisch zugewiesen, wenn Anwendungsberechtigungen erteilt werden.

Die Berechtigung Directory.ReadWrite.All gewährt die folgenden Rechte:

  • Alles lesen für alle Verzeichnisressourcen (deklarierte Eigenschaften und Navigationseigenschaften)
  • Benutzer erstellen und aktualisieren
  • Benutzer deaktivieren und aktivieren (außer Unternehmensadministrator)
  • Festlegen der alternativen Sicherheits-ID des Benutzers (jedoch nicht der Administratoren)
  • Gruppen erstellen und aktualisieren
  • Gruppenmitgliedschaften verwalten
  • Gruppenbesitzer aktualisieren
  • Lizenzzuweisungen verwalten
  • Schemaerweiterungen für Anwendungen definieren
  • Verwalten von Verzeichniseinstellungen
  • Verwalten der Workflow-Konfiguration für die Administrator-Einwilligung (nicht jedoch, ob eine Administrator-Einwilligung erforderlich ist oder wer berechtigt ist, die Administrator-Einwilligung zu erteilen)

Hinweis:

  • Keine Rechte zum Zurücksetzen von Benutzerkennwörtern.
  • Das Aktualisieren der businessPhones-, mobilePhone- oder otherMails-Eigenschaft eines anderen Benutzers ist nur für Benutzer zulässig, die keine Administratoren sind oder denen eine der folgenden Rollen zugewiesen wurde: Verzeichnis lesen, Gasteinladender, Nachrichtencenter-Leser und Berichts-Leser. Weitere Details finden Sie unter „Helpdeskadministrator (Kennwort)" in Azure AD – Verfügbare Rollen. Dies gilt für Apps, denen die delegierten oder Anwendungsberechtigungen "User.ReadWrite.All" oder "Directory.ReadWrite.All" erteilt wurden.
  • Keine Rechte zum Löschen von Ressourcen (einschließlich Benutzern oder Gruppen).
  • Schließt ausdrücklich das Erstellen oder Aktualisieren von Ressourcen aus, die oben nicht aufgeführt sind. Hierzu gehören: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains usw.

Verwendungsbeispiel

Delegiert

  • Directory.Read.All: Alle administrativen Einheiten in einer Organisation auflisten (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All: Mitglieder zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/{id}/members/$ref)

Anwendung

  • Directory.Read.All: Alle Mitgliedschaften eines Benutzers auflisten, einschließlich Verzeichnisrollen und administrativer Einheiten (GET /beta/users/{id}/memberOf)
  • Directory.Read.All: Alle Gruppenmitglieder auflisten, einschließlich Dienstprinzipale (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All: Einen Besitzer zu einer Gruppe hinzufügen (POST /groups/{id}/owners/$ref)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Domänenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Domain.Read.All Lesezugriff auf Domänen Ermöglicht der App, alle Domäneneigenschaften im Namen des angemeldeten Benutzers zu lesen. Ja Nein
Domain.ReadWrite.All Domänen lesen und schreiben Ermöglicht der App, alle Domäneneigenschaften im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App auch das Hinzufügen, Überprüfen und Entfernen von Domänen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Domain.Read.All Lesezugriff auf Domänen Ermöglicht der App, alle Domäneneigenschaften ohne angemeldeten Benutzer zu lesen. Ja
Domain.ReadWrite.All Domänen lesen und schreiben Ermöglicht es der App, Domänen ohne angemeldeten Benutzer zu lesen und zu schreiben. Ja

eDiscovery-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
eDiscovery.Read.All eDiscovery-Falldaten des Benutzers lesen Ermöglicht der App das Lesen von eDiscovery-Objekten wie Fällen, Verwahrern, Überprüfungssätzen und anderen zugehörigen Objekten im Auftrag des angemeldeten Benutzers. Ja Nein
eDiscovery.ReadWrite.All eDiscovery-Falldaten lesen und schreiben Ermöglicht der App das Lesen und Schreiben von eDiscovery-Objekten wie Fällen, Verwahrern, Überprüfungssätzen und anderen zugehörigen Objekten im Auftrag des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Keine

Verwendungsbeispiel

Delegiert

  • eDiscovery.Read.All: Liste der für den Benutzer verfügbaren Fälle abrufen (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: Prüfdateisatz-Abfrage in einem Prüfdateisatz erstellen (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Bildungs-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
EduAdministration.Read Bildungs-App-Einstellungen lesen Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu lesen. Ja Nein
EduAdministration.ReadWrite Bildungs-App-Einstellungen verwalten Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu verwalten. Ja Nein
EduAssignments.ReadBasic Lesen von Arbeitsaufträgen von Benutzern ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen. Ja Nein
EduAssignments.ReadWriteBasic Lesen und Schreiben von Arbeitsaufträgen von Benutzern ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen und zu schreiben. Ja Nein
EduAssignments.Read Lesen der Ansicht von Arbeitsaufträgen von Benutzern und deren Noten Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen. Ja Nein
EduAssignments.ReadWrite Lesen und Schreiben der Ansicht von Arbeitsaufträgen von Benutzern und deren Noten Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen und zu schreiben. Ja Nein
EduRoster.ReadBasic Lesen einer begrenzten Untermenge der Dienstplanansicht von Benutzern Ermöglicht es der Anwendung, eine begrenzte Teilmenge der Eigenschaften aus der Struktur von Schulen und Klassen im Dienstplan einer Organisation zu lesen, sowie eine begrenzte Teilmenge von Eigenschaften über Benutzer, die im Namen des Benutzers gelesen werden. Dazu gehören Name, Status, Bildungsrolle, E-Mail-Adresse und Foto. Ja Nein
EduRoster.Read Lesen der Dienstplanansicht von Benutzern Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen. Ja
EduRoster.ReadWrite Lesen und Schreiben der Dienstplanansicht von Benutzern Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen und zu schreiben. Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
EduAdministration.Read.All Bildungs-App-Einstellungen lesen Lesen des Status und der Einstellungen aller Microsoft Bildungs-Apps im Auftrag des Benutzers Ja
EduAdministration.ReadWrite.All Bildungs-App-Einstellungen verwalten Verwalten des Status und der Einstellungen aller Microsoft Bildungs-Apps im Auftrag des Benutzers ja
EduAssignments.ReadBasic.All Lesen von Arbeitsaufträgen ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen. Ja
EduAssignments.ReadWriteBasic.All Lesen und Schreiben von Arbeitsaufträgen ohne Noten Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen und zu schreiben. Ja
EduAssignments.Read.All Lesen von Schulprojekten mit Noten Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen. Ja
EduAssignments.ReadWrite.All Lesen und Schreiben von Arbeitsaufträgen mit Noten Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen und zu schreiben. Ja
EduRoster.ReadBasic.All Lesen einer begrenzten Untermenge des Dienstplans der Organisation. Ermöglicht der App, eine begrenzte Untermenge der Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen. Ja
EduRoster.Read.All Lesen des Dienstplans der Organisation. Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen. Ja
EduRoster.ReadWrite.All Lesen und Schreiben des Dienstplans der Organisation. Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen und zu schreiben. Ja

Verwendungsbeispiel

Delegiert

  • EduAssignments.Read: Abrufen der Arbeitsauftragsinformationen des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: Übermitteln des Arbeitsauftrags des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: Stunden, an denen ein angemeldeter Benutzer teilnimmt oder unterrichtet (GET /education/classes/{id}/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Lernberechtigungen für Mitarbeiter

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
LearningContent.Read.All Lesen von Lerninhalten Ermöglicht der App das Lesen von Lerninhalten im Verzeichnis der Organisation im Namen des angemeldeten Benutzers. Ja Nein
LearningContent.ReadWrite.All Verwalten von Lerninhalten Ermöglicht der App, alle Lerninhalte im Verzeichnis der Organisation im Namen des angemeldeten Benutzers zu verwalten. Ja Nein
LearningProvider.Read Lese-Lernanbieter Ermöglicht der App, Daten für den Lernanbieter im Verzeichnis der Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
LearningProvider.ReadWrite Verwalten des Lernanbieters Ermöglicht der App das Erstellen, Aktualisieren, Lesen und Löschen von Daten für den Lernanbieter im Verzeichnis der Organisation im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
LearningContent.Read.All Lesen von Lerninhalten Ermöglicht der App, alle Lerninhalte im Verzeichnis der Organisation zu lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
LearningContent.ReadWrite.All Verwalten von Lerninhalten Ermöglicht der App, alle Lerninhalte im Verzeichnis der Organisation zu verwalten, ohne dass ein Benutzer angemeldet ist. Ja Nein

Berechtigungen für die Berechtigungsverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
EntitlementManagement.ReadWrite.All Ressourcen zum Verwalten von Berechtigungen zum Lesen und Schreiben Ermöglicht der App das Anfordern des Zugriffs zum Lesen und Verwalten von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen im Namen des angemeldeten Benutzers. Ja
EntitlementManagement.Read.All Ressourcen zur Verwaltung von Berechtigungen lesen Ermöglicht der App das Anfordern des Zugriffs zum Lesen von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen im Namen des angemeldeten Benutzers. Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
EntitlementManagement.ReadWrite.All Ressourcen zum Verwalten von Berechtigungen zum Lesen und Schreiben Ermöglicht der App das Lesen und Verwalten von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen. Ja
EntitlementManagement.Read.All Ressourcen zur Verwaltung von Berechtigungen lesen Ermöglicht der App das Lesen von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen. Ja

Dateiberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Files.Read Lesezugriff auf Benutzerdateien Ermöglicht der App, die Dateien des angemeldeten Benutzers zu lesen. Nein Ja
Files.Read.All Alle Dateien lesen, auf die der Benutzer zugreifen kann Ermöglicht der App, alle Dateien zu lesen, auf die der angemeldete Benutzer zugreifen kann. Nein Ja
Files.ReadWrite Vollzugriff auf Benutzerdateien Ermöglicht der App, Dateien des angemeldeten Benutzers zu lesen, zu erstellen, zu aktualisieren und zu löschen. Nein Ja
Files.ReadWrite.All Vollzugriff auf alle Dateien, auf die Benutzer zugreifen können Ermöglicht der App, alle Dateien zu lesen, zu erstellen, zu aktualisieren und zu löschen, auf die der angemeldete Benutzer zugreifen kann. Nein Ja
Files.ReadWrite.AppFolder Vollzugriff auf den Anwendungsordner (Vorschau) (Vorschau) Ermöglicht der App, Dateien im Anwendungsordner zu lesen, zu erstellen, zu aktualisieren und zu löschen. Nein Ja
Files.Read.Selected Lesezugriff auf Dateien, die der Benutzer auswählt Eingeschränkte Unterstützung in Microsoft Graph – siehe Anmerkungen
(Vorschau) Ermöglicht der App, Dateien zu lesen, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.
Nein Nein
Files.ReadWrite.Selected Lese- und Schreibzugriff auf Dateien, die der Benutzer auswählt Eingeschränkte Unterstützung in Microsoft Graph – siehe Anmerkungen
(Vorschau) Ermöglicht der App, Dateien zu lesen und zu schreiben, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.
Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Files.Read.All Lesen von Dateien in allen Websitesammlungen Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen. Ja
Files.ReadWrite.All Lesen und Schreiben von Dateien in allen Websitesammlungen Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen, erstellen, aktualisieren und löschen. Ja

Hinweise

Hinweis: Bei persönlichen Konten gewähren „Files.Read“ und „Files.ReadWrite“ auch Zugriff auf Dateien, die für den angemeldeten Benutzer freigegeben sind.

Die delegierten Berechtigungen „Files.Read.Selected“ und „Files.ReadWrite.Selected“ sind nur für Geschäfts-, Schul- oder Unikonten gültig und werden nur für Arbeit mit Office 365-Dateihandlern (v1.0) bereitgestellt. Sie dürfen nicht verwendet werden, um Microsoft Graph-APIs direkt aufzurufen.

Die delegierte Berechtigung „Files.ReadWrite.AppFolder“ ist nur für persönliche Konten gültig und wird zum Zugreifen auf den speziellen Anwendungsstammordner mit der Microsoft Graph-API Speziellen Ordner abrufen für OneDrive verwendet.

Verwendungsbeispiel

Delegiert

  • Files.Read: Dateien lesen, die im OneDrive des angemeldeten Benutzers gespeichert sind (GET /me/drive/root/children)
  • Files.Read.All: Dateien lesen, die für den angemeldeten Benutzer freigegeben sind (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite: Eine Datei im OneDrive des angemeldeten Benutzers schreiben (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All: Eine für den Benutzer freigegebene Datei schreiben (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder: Dateien in den App-Ordner in OneDrive schreiben (PUT /me/drive/special/approot/children/file.txt/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Finanzdaten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Financials.ReadWrite.All Lesen und Schreiben von Finanzdaten Ermöglicht der App, Finanzdaten im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Nein

Gruppenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Group.Read.All Lesezugriff auf alle Gruppen Die App kann Gruppen aufführen und deren Eigenschaften sowie alle Gruppenmitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen, auf die der Benutzer zugreifen kann, lesen. Ja Nein
Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen Die App kann Gruppen erstellen und alle Gruppeneigenschaften und -mitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem für alle Gruppen, auf die der Benutzer zugreifen kann, Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen. Darüber hinaus können Gruppenbesitzer ihre eigenen Gruppen verwalten, und Gruppenmitglieder können Gruppeninhalte aktualisieren. Ja Nein
GroupMember.Read.All Lesen von Gruppenmitgliedschaften Ermöglicht der App das Auflisten von Gruppen sowie das Lesen grundlegender Gruppeneigenschaften und der Mitgliedschaft aller Gruppen, auf die der angemeldete Benutzer Zugriff hat. Ja Nein
GroupMember.ReadWrite.All Lesen und Schreiben von Gruppenmitgliedschaften Ermöglicht der App das Auflisten von Gruppen, das Lesen grundlegender Eigenschaften sowie das Lesen und Aktualisieren der Mitgliedschaft derjenigen Gruppen, auf die der angemeldete Benutzer Zugriff hat. Gruppeneigenschaften und Besitzer können nicht aktualisiert und Gruppen nicht gelöscht werden. Ja Nein
UnifiedGroupMember.Read.AsGuest Vereinheitlichte Gruppenmitgliedschaften (Microsoft 365) als Gastbenutzer lesen Ermöglicht der App, grundlegende einheitliche Gruppeneigenschaften, Mitgliedschaften und Besitzer der Gruppe zu lesen, in der der angemeldete Gast Mitglied ist. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Group.Read.All Lesezugriff auf alle Gruppen Ermöglicht der App das Lesen von Gruppeneigenschaften und Mitgliedschaften sowie das Lesen von Unterhaltungen für alle Gruppen, ohne dass ein Benutzer angemeldet ist. Ja
Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen Ermöglicht der App, Gruppen zu erstellen, alle Gruppeneigenschaften und Mitgliedschaften zu lesen, Gruppeneigenschaften und Mitgliedschaften zu aktualisieren und Gruppen zu löschen. Ermöglicht der App, die Unterhaltungen zu lesen und zu schreiben. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden. Ja
Group.Selected Zugreifen auf ausgewählte Gruppen Hinweis: diese Berechtigung wird im Azure-Portal für ein Feature verfügbar gemacht, das nicht für die allgemeine Verwendung verfügbar ist. Verwenden Sie diese Berechtigung nicht, da sie geändert werden wird. Ja
GroupMember.Read.All Lesen von Gruppenmitgliedschaften Ermöglicht der App das Lesen von Mitgliedschaften und grundlegender Gruppeneigenschaften für alle Gruppen ohne angemeldeten Benutzer. Ja
GroupMember.ReadWrite.All Lesen und Schreiben von Gruppenmitgliedschaften Ermöglicht der App das Auflisten von Gruppen, das Lesen grundlegender Eigenschaften sowie das Lesen und Aktualisieren der Mitgliedschaft der Gruppen ohne angemeldeten Benutzer. Gruppeneigenschaften und Besitzer können nicht aktualisiert und Gruppen nicht gelöscht werden. Ja
Group.Create Erstellen von Gruppen Ermöglicht es der aufrufenden App, Gruppen ohne angemeldeten Benutzer zu erstellen. Lässt das Lesen, Aktualisieren oder Löschen von Gruppen nicht zu. Ja

Hinweise

Gruppenfunktionen werden für persönliche Microsoft-Konten nicht unterstützt.

Für Microsoft 365-Gruppen gewähren Gruppenberechtigungen der App Zugriff auf den Inhalt der Gruppe, z. B. Unterhaltungen, Dateien, Notizen usw.

Im Hinblick auf Anwendungsberechtigungen gelten einige Einschränkungen für die unterstützten APIs. Weitere Informationen finden Sie unter bekannte Probleme.

In einigen Fällen benötigt eine App eventuell Verzeichnisberechtigungen, um einige Gruppeneigenschaften wie member und memberOf zu lesen. Wenn eine Gruppe z. B. einen oder mehrere servicePrincipals als Mitglieder besitzt, benötigt die App effektive Berechtigungen zum Lesen von Dienstprinzipalen, indem ihr eine der Berechtigungen vom Typ Directory.* gewährt wird, andernfalls gibt Microsoft Graph einen Fehler zurück. (Im Fall von delegierten Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation zum Lesen von Dienstprinzipalen.) Dasselbe gilt für die Eigenschaft memberOf, die administrativeUnits zurückgeben kann.

Zum Festlegen des preferredDataLocation-Attributs einer Microsoft 365-Gruppe benötigt eine App die „Directory.ReadWrite.All“-Berechtigung. Wenn ein Benutzer in einer Multi-Geo-Umgebung eine Microsoft 365-Gruppe erstellt, wird als bevorzugter preferredDataLocation-Wert der Gruppe automatisch der dieses Benutzers festgelegt. Weitere Informationen über bevorzugte Datenspeicherorte finden Sie unter Erstellen einer Microsoft 365-Gruppe mit einem bestimmten PDL.

Gruppenberechtigungen werden zum Steuern des Zugriffs auf Microsoft Teams-Ressourcen und APIs verwendet. Persönliche Microsoft-Konten werden nicht unterstützt.

Gruppenberechtigungen werden auch verwendet, um den Zugriff auf Microsoft Planner-Ressourcen und -APIs zu steuern. Nur delegierte Berechtigungen werden für Microsoft Planner-APIs unterstützt; Anwendungsberechtigungen werden nicht unterstützt. Persönliche Microsoft-Konten werden nicht unterstützt.

Verwendungsbeispiel

Delegiert

  • Group.Read.All: Alle Microsoft 365-Gruppen lesen, in denen der angemeldete Benutzer Mitglied ist (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: Alle Microsoft 365-Gruppeninhalte lesen, wie z. B. Unterhaltungen (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: Gruppeneigenschaften wie Fotos aktualisieren (PUT /groups/{id}/photo/$value).
  • GroupMember.ReadWrite.All: Gruppenmitglieder aktualisieren (POST /groups/{id}/members/$ref).

Hinweis: Diese Berechtigung erfordert auch User.ReadBasic.All zum Lesen des Benutzers, der als Mitglied hinzugefügt werden soll.

Anwendung

  • Group.Read.All: Alle Gruppen suchen, deren Name mit „Sales“ beginnt (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: Daemondienst erstellt neue Ereignisse im Kalender einer Microsoft 365-Gruppe (POST /groups/{id}/events).
  • Group.Create: erstellt eine neue Gruppe (POST /groups).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Identitätsanbieter

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityProvider.Read.All Identitätsanbieterinformationen lesen Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
IdentityProvider.ReadWrite.All Identitätsanbieterinformationen lesen und schreiben Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Hinweise

IdentityProvider.Read.All und IdentityProvider.ReadWrite.All sind nur für Geschäfts-, Schul- oder Unikonten gültig. Damit eine App Identitätsanbieter mit delegierten Berechtigungen lesen oder schreiben kann, muss dem angemeldeten Benutzer die Rolle "Globaler Administrator" zugewiesen werden. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:

  • IdentityProvider.Read.All: Alle im Mandanten konfigurierten Identitätsanbieter lesen (GET /beta/identityProviders)
  • IdentityProvider.Read.All: Einen vorhandenen Identitätsanbieter lesen (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Identitätsanbieter erstellen (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter aktualisieren (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter löschen (DELETE /beta/identityProviders/{id})

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Identitätsschutzrisiken

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityRiskEvent.Read.All Informationen zu Identitätsrisikoereignissen lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
IdentityRiskyUser.Read.All Informationen zu Identitätsrisiken für Benutzer lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
IdentityRiskyUser.ReadWrite.All Informationen zu Identitätsrisiken für Benutzer lesen und aktualisieren Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu aktualisieren. Ja Nein
IdentityRiskyServicePrincipal.Read.All Alle riskanten Dienstprinzipalinformationen lesen Ermöglicht der App, alle riskanten Dienstprinzipalinformationen für Ihre Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
IdentityRiskyServicePrincipal.ReadWrite.All Lesen und Schreiben aller riskanten Dienstprinzipalinformationen Ermöglicht es der Anwendung, im Namen des angemeldeten Benutzers Informationen über risikobehaftete Dienstprinzipale für alle Dienstprinzipale in Ihrer Organisation zu lesen und zu aktualisieren. Zu den Aktualisierungsvorgängen gehört auch das Verwerfen riskanter Dienstprinzipale. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
IdentityRiskEvent.Read.All Informationen zu Identitätsrisikoereignissen lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
IdentityRiskyUser.Read.All Informationen zu Identitätsrisiken für Benutzer lesen Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen. Ja
IdentityRiskyUser.ReadWrite.All Informationen zu Identitätsrisiken für Benutzer lesen und aktualisieren Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen und zu aktualisieren. Ja
IdentityRiskyServicePrincipal.Read.All Alle riskanten Dienstprinzipalinformationen lesen Ermöglicht der App das Lesen aller riskanten Dienstprinzipalinformationen durch Ihre Organisation, ohne dass ein Benutzer angemeldet ist. Ja
IdentityRiskyServicePrincipal.ReadWrite.All Lesen und Schreiben aller riskanten Dienstprinzipalinformationen Ermöglicht der App, riskante Dienstprinzipale für Ihre Organisation ohne angemeldeten Benutzer zu lesen und zu aktualisieren. Ja

Alle Identitätsrisiko-Berechtigungen sind nur für Arbeits- oder Schulkonten gültig. Damit eine App mit delegierten Berechtigungen Identitätsrisikoinformationen lesen kann, muss der angemeldete Benutzer Mitglied einer der folgenden Azure AD-Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator oder Sicherheitsleseberechtigter.

Verwendungsbeispiel

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

Risikoereignisse lesen

  • Alle Risikoereignisse lesen, die für alle Benutzer im Mandanten generiert werden (GET /identityProtection/riskDetections)
  • Die letzten 50 Risikoereignisse lesen (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50)

Riskante Benutzer lesen

  • Alle riskanten Benutzer und Eigenschaften im Mandanten lesen (GET /identityProtection/riskyUsers)
  • Alle riskanten Benutzer lesen, deren Risikostufe „Mittel“ (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
  • Risikoinformationen für einen bestimmten Benutzer lesen (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

Lesen riskanter Dienstprinzipale

  • Alle riskanten Dienstprinzipale und -eigenschaften im Mandanten lesen (GET /identityProtection/riskyServicePrincipals)
  • Alle riskanten Dienstprinzipale lesen, deren Aggregatrisikostufe mittel ist (GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium')
  • Lesen der Risikoinformationen für einen bestimmten Dienstprinzipal (GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}')

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Identitätsbenutzerstrom-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityUserFlow.Read.All Lesen aller Identitätsbenutzerströme in einem Mandanten Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen. Ja Nein
IdentityUserFlow.ReadWrite.All Lesen und Schreiben aller Identitätsbenutzerströme in einem Mandanten. Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen oder zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
IdentityUserFlow.Read.All Lesen aller Identitätsbenutzerströme in einem Mandanten Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen. Ja Nein
IdentityUserFlow.ReadWrite.All Lesen und Schreiben aller Identitätsbenutzerströme in einem Mandanten. Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen oder zu schreiben. Ja Nein

Bemerkungen

IdentityUserFlow.Read.All und IdentityUserFlow.ReadWrite.ALL gelten nur für Geschäfts- oder Ausbildungskonten.

Damit eine App mit delegierten Berechtigungen Benutzerströme lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzerstromadministrator für externe Identitäten oder Global Reader. Damit eine App mit delegierten Berechtigungen Benutzerströme schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzerstromadministrator für externe Identitäten.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert und Anwendung

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

  • IdentityUserFlow.Read.All: Lesen aller Benutzerströme in einem Azure AD B2C-Mandanten (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: Lesen aller Benutzerströme in einem Azure Active Directory (Azure AD)-Mandanten (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All: alle Benutzerattribut-Zuweisungen in einem Azure AD B2C-Benutzerfluss lesen (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
  • IdentityUserFlow.ReadWrite.All: Erstellen eines neuen Benutzerstroms in einem Azure AD B2C-Mandanten (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: Erstellen eines neuen Benutzerstroms in einem Azure Active Directory (Azure AD)-Mandanten (POST beta/identity/b2xUserflows)
  • IdentityUserFlow.ReadWrite.All: Hinzufügen eines Identitätsanbieters zu einem Azure AD B2C-Benutzerstrom (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentityUserFlow.ReadWrite.All: Entfernen eines Identitätsanbieters aus einem Azure AD B2C-Benutzerstrom (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: Erstellen einer Benutzerattribut-Zuweisung in einem Azure AD B2C-Benutzerfluss (POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für Information Protection-Richtlinie

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
InformationProtectionPolicy.Read Benutzer-Vertraulichkeitsbezeichnungen und Bezeichnungsrichtlinien lesen. Ermöglicht einer App das Lesen von Information Protection-Vertraulichkeitskennzeichnungen und Bezeichnungsrichtlinieneinstellungen im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
InformationProtectionPolicy.Read.All Lesezugriff auf alle veröffentlichten Bezeichnungen und Bezeichnungsrichtlinien für eine Organisation Ermöglicht einer App, veröffentlichte Vertraulichkeitsbezeichnungen und die Einstellungen für Bezeichnungsrichtlinien für die gesamte Organisation oder für einen bestimmten Benutzer zu lesen, ohne dass ein Benutzer angemeldet ist. Ja

Berechtigungen für Intune-Geräteverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
DeviceManagementApps.Read.All Microsoft Intune-Apps lesen Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen. Ja Nein
DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben. Ja Nein
DeviceManagementConfiguration.Read.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen. Ja Nein
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben. Ja Nein
DeviceManagementManagedDevices.PrivilegedOperations.All Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführen Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden. Ja Nein
DeviceManagementManagedDevices.Read.All Microsoft Intune-Geräte lesen Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen. Ja Nein
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune-Geräte lesen und schreiben Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers. Ja Nein
DeviceManagementRBAC.Read.All Microsoft Intune-RBAC-Einstellungen lesen Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen. Ja Nein
DeviceManagementRBAC.ReadWrite.All Microsoft Intune-RBAC-Einstellungen lesen und schreiben Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben. Ja Nein
DeviceManagementServiceConfig.Read.All Microsoft Intune-Konfiguration lesen Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune-Konfiguration lesen und schreiben Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
DeviceManagementApps.Read.All Microsoft Intune-Apps lesen Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen. Ja Nein
DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben. Ja Nein
DeviceManagementConfiguration.Read.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen. Ja Nein
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben. Ja Nein
DeviceManagementManagedDevices.PrivilegedOperations.All Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführen Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden. Ja Nein
DeviceManagementManagedDevices.Read.All Microsoft Intune-Geräte lesen Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen. Ja Nein
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune-Geräte lesen und schreiben Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers. Ja Nein
DeviceManagementRBAC.Read.All Microsoft Intune-RBAC-Einstellungen lesen Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen. Ja Nein
DeviceManagementRBAC.ReadWrite.All Microsoft Intune-RBAC-Einstellungen lesen und schreiben Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben. Ja Nein
DeviceManagementServiceConfig.Read.All Microsoft Intune-Konfiguration lesen Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune-Konfiguration lesen und schreiben Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration. Ja Nein

Bemerkungen

Hinweis: Die Verwendung der Microsoft Graph-APIs zum Konfigurieren von Intune-Steuerelementen und -Richtlinien erfordert dennoch, dass der Intune-Dienst vom Kunden ordnungsgemäß lizenziert ist.

Diese Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert

  • DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).

Anwendung

  • DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


E-Mail-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Mail.Read Benutzer-E-Mails lesen Die App kann E-Mails in Benutzerpostfächern lesen. Nein Ja
Mail.ReadBasic Grundlegende Mail des Benutzers lesen Ermöglicht der App, E-Mails im Postfach des angemeldeten Benutzers zu lesen, außer body, bodyPreview, uniqueBody, attachments, extensions sowie aller erweiterten Eigenschaften. Umfasst keine Berechtigungen zum Durchsuchen von Nachrichten. Nein Nein
Mail.ReadWrite Schreib-/Lesezugriff auf Benutzer-E-Mails Die App kann E-Mails in Benutzerpostfächern erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails. Nein Ja
Mail.Read.Shared Benutzer-E-Mails und freigegebene E-Mails lesen Die App kann E-Mails lesen, auf die der Benutzer zugreifen kann, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Nein Nein
Mail.ReadWrite.Shared Benutzer-E-Mails und freigegebene E-Mails lesen und schreiben Die App kann E-Mails erstellen, lesen, aktualisieren und löschen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Nein
Mail.Send E-Mails als Benutzer senden Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden. Nein Ja
Mail.Send.Shared Senden von E-Mails im Auftrag von anderen Benutzern Die App kann E-Mails als angemeldeter Benutzer senden, einschließlich Versand im Namen anderer Benutzer. Nein Nein
MailboxSettings.Read Postfacheinstellungen des Benutzers lesen Die App kann die Postfacheinstellungen des Benutzers lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Ja
MailboxSettings.ReadWrite Benutzerpostfacheinstellungen lesen und schreiben Die App kann die Postfacheinstellungen des Benutzers erstellen, lesen, aktualisieren und löschen. Enthält keine Berechtigung zum direkten Senden von E-Mail-Nachrichten, jedoch kann die App Regeln erstellen, die Nachrichten weiterleiten oder umleiten kann. Nein Ja
IMAP.AccessAsUser.All Schreib-/Lesezugriff auf Benutzer-E-Mails via IMAP Die App kann E-Mails in Benutzerpostfächern lesen, aktualisieren, erstellen und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Ja
POP.AccessAsUser.All Schreib-/Lesezugriff auf Benutzer-E-Mails via POP Die App kann E-Mails in Benutzerpostfächern lesen, aktualisieren, erstellen und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Nein Ja
SMTP.Send Senden von e-Mails als Benutzer mit SMTP AUTH Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden. Nein Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Mail.Read Lesezugriff auf E-Mails in allen Postfächern Die App kann E-Mails in allen Postfächern ohne einen angemeldeten Benutzer lesen. Ja
Mail.ReadBasic.All Grundlegende E-Mails aller Benutzer lesen Ermöglicht es der App, die Postfächer aller Benutzer mit Ausnahme von Body, BodyPreview, UniqueBody, Attachments, ExtendedProperties und Extensions zu lesen. Enthält keine Berechtigungen zum Durchsuchen von Nachrichten. Ja
Mail.ReadWrite Lese- und Schreibzugriff auf E-Mails in allen Postfächern Die App kann E-Mails in allen Postfächern ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails. Ja
Mail.Send E-Mails als beliebiger Benutzer senden Die App kann E-Mails im Namen eines beliebigen Benutzers ohne einen angemeldeten Benutzer senden. Ja
MailboxSettings.Read Alle Benutzerpostfacheinstellungen lesen Die App kann Benutzerpostfacheinstellungen ohne einen angemeldeten Benutzer lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Ja
MailboxSettings.ReadWrite Alle Benutzerpostfacheinstellungen lesen und schreiben Die App kann Benutzerpostfacheinstellungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails. Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Mail.Read“, „Mail.ReadWrite“, „Mail.Send“, „MailboxSettings.Read“ oder „MailboxSettings.ReadWrite“ besitzt.

Bemerkungen

Mail.Read.Shared, Mail.ReadWrite.Shared und Mail.Send.Shared gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.

Mit der Berechtigung Mail.Send oder Mail.Send.Shared kann eine App E-Mails senden und eine Kopie im Ordner „Gesendete Elemente“ des Benutzers speichern, selbst wenn die App keine entsprechende Mail.ReadWrite- oder Mail.ReadWrite.Shared-Berechtigung verwendet.

Verwendungsbeispiel

Delegiert

  • Mail.Read: Nachrichten im Posteingang des Benutzers sortiert nach receivedDateTime auflisten (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: Aller Nachrichten mit Anlagen im Posteingang eines Benutzers suchen, der seinen Posteingang für den angemeldeten Benutzer freigegeben hat (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: Eine Nachricht als gelesen markieren (PATCH /me/messages/{id}).
  • Mail.Send: Eine Nachricht senden (POST /me/sendmail).
  • MailboxSettings.ReadWrite: Die automatische Antwort des Benutzers aktualisieren (PATCH /me/mailboxSettings).

Anwendung

  • Mail.Read: Nachrichten von bob@contoso.com suchen (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: Einen neuen Ordner mit dem Namen Expense Reports im Posteingang erstellen (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: Eine Nachricht senden (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: Die Standardzeitzone für das Postfach des Benutzers abrufen (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für verwaltete Mandanten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ManagedTenants.Read.All Lesen aller verwalteten mandantenspezifischen Informationen Ermöglicht der App das Lesen aller Informationen zu verwalteten Mandanten im Namen des angemeldeten Benutzers. Ja Nein
ManagedTenants.ReadWrite.All Lesen und Schreiben aller verwalteten mandantenspezifischen Informationen Ermöglicht der App das Lesen und Schreiben aller Informationen zu verwalteten Mandanten im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Keine.


Mitgliedsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Member.Read.Hidden Ausgeblendete Mitgliedschaften lesen Erlaubt es der App, im Namen des angemeldeten Benutzers die Mitgliedschaften aller ausgeblendeten Gruppen und administrativen Einheiten zu lesen, auf die der angemeldete Benutzer Zugriff hat. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Member.Read.Hidden Alle ausgeblendeten Mitgliedschaften lesen Ermöglicht der App, die Mitgliedschaften ausgeblendeter Gruppen und administrativer Einheiten ohne einen angemeldeten Benutzer zu lesen. Ja

Hinweise

Member.Read.Hidden gilt nur für Geschäfts-, Schul- oder Unikonten.

Die Mitgliedschaft in einigen Microsoft 365-Gruppen kann ausgeblendet sein. Dies bedeutet, dass nur die Mitglieder der Gruppe deren Mitglieder anzeigen können. Dieses Feature ist hilfreich zur Einhaltung von Vorschriften, die erfordern, dass eine Organisation Gruppenmitgliedschaften für Außenstehende ausblendet (z. B. eine Microsoft 365-Gruppe, zu der in einem Kurs angemeldete Teilnehmer gehören).

Verwendungsbeispiel

Delegiert

  • Member.Read.Hidden: Lesen aller Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /administrativeUnits/{id}/members)
  • Member.Read.Hidden: Lesen aller Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /groups/{id}/members)

Anwendung

  • Member.Read.Hidden: Die Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft lesen (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: Die Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft lesen (GET /groups/{id}/members).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Notizberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Notes.Read OneNote-Benutzernotizbücher lesen Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen. Nein Ja
Notes.Create OneNote-Benutzernotizbücher erstellen Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen. Nein Ja
Notes.ReadWrite OneNote-Benutzernotizbücher lesen und schreiben Ermöglicht der App, OneNote-Notizbücher im Namen des angemeldeten Benutzers zu lesen, freizugeben und zu ändern. Nein Ja
Notes.Read.All Alle OneNote-Notizbücher lesen, auf die der Benutzer zugreifen kann Ermöglicht der App, OneNote-Notizbücher zu lesen, auf die der angemeldete Benutzer in der Organisation Zugriff hat. Nein Nein
Notes.ReadWrite.All Alle OneNote-Notizbücher lesen und schreiben, auf die der Benutzer zugreifen kann Ermöglicht der App, OneNote-Notizbücher zu lesen, freizugeben und zu ändern, auf die der angemeldete Benutzer in der Organisation Zugriff hat. Nein Nein
Notes.ReadWrite.CreatedByApp Eingeschränkter Zugriff auf Notizbücher (veraltet) Veraltet
Nicht verwenden. Durch diese Berechtigung werden keine Rechte gewährt.
Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Notes.Read.All Alle OneNote-Benutzernotizbücher lesen Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
Notes.ReadWrite.All Alle OneNote-Benutzernotizbücher lesen und schreiben Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, freizugeben und zu ändern. Ja

Bemerkungen

Notes.Read.All und Notes.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.

Mit der Berechtigung Notes.Create kann eine App die OneNote-Notizbuchhierarchie des angemeldeten Benutzers anzeigen und OneNote-Inhalte (Notizbücher, Abschnittsgruppen, Abschnitte, Seiten usw.) erstellen.

Notes.ReadWrite und Notes.ReadWrite.All ermöglichen der App außerdem, die Berechtigungen für den OneNote-Inhalt zu ändern, auf den vom angemeldeten Benutzer zugegriffen werden kann.

Für Geschäfts-, Schul- oder Unikonten ermöglichen Notes.Read.All und Notes.ReadWrite.All der App, auf OneNote-Inhalte anderer Benutzer zuzugreifen, für die der angemeldete Benutzer innerhalb der Organisation über Berechtigungen verfügt.

Verwendungsbeispiel

Delegiert

  • Notes.Create: Ein neues Notizbuch für den angemeldeten Benutzer erstellen (POST /me/onenote/notebooks).
  • Notes.Read: Die Notizbücher des angemeldeten Benutzers lesen (GET /me/onenote/notebooks).
  • Notes.Read.All: Alle Notizbücher abrufen, auf die der angemeldete Benutzer innerhalb der Organisation Zugriff hat (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: Die Seite des angemeldeten Benutzers aktualisieren (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: Eine Seite im Notizbuch eines anderen Benutzers erstellen, auf das der angemeldete Benutzer innerhalb der Organisation Zugriff hat (POST /users/{id}/onenote/pages).

Anwendung

  • Notes.Read.All: Alle Benutzernotizbücher in einer Gruppe lesen (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: Die Seite in einem Notizbuch für einen beliebigen Benutzer in der Organisation aktualisieren (PATCH /users/{id}/onenote/pages/{id}/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Benachrichtigungsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Notifications.ReadWrite.CreatedByApp Bereitstellen und Verwalten von Benachrichtigungen für diese App. Ermöglicht der App, ihre Benachrichtigungen im Namen angemeldeter Benutzer zu übermitteln. Ermöglicht der App außerdem, die Benachrichtigungselemente des Benutzers für diese App zu lesen, zu aktualisieren und zu löschen. Nein

Hinweise

Notifications.ReadWrite.CreatedByApp ist sowohl für Microsoft-Konten als auch für Geschäfts-, Schul-, oder Unikonten gültig. Die CreatedByApp- Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst implizite Filterung auf Ergebnisse basierend auf der Identität der aufrufenden App anwendet, entweder der Microsoft-Konto App-ID oder einer Gruppe von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.

Verwendungsbeispiel

Delegiert

  • Notifications.ReadWrite.CreatedByApp: Veröffentlichen einer benutzerorientierten Benachrichtigung, die dann an mehrere Anwendungsclients des Benutzers gesendet werden kann, die an unterschiedlichen Endpunkten ausgeführt werden. (POST /mir/Benachrichtigungen/).

Berechtigungen für Onlinebesprechungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OnlineMeetings.Read Lesen von Onlinebesprechungsdetails. Ermöglicht einer App das Lesen von Details von Onlinebesprechungen im Auftrag des angemeldeten Benutzers. Nein Nein
OnlineMeetings.ReadWrite Lesen und Erstellen von Onlinebesprechungen. Ermöglicht einer App das Erstellen und Lesen von Onlinebesprechungen im Auftrag des angemeldeten Benutzers. Nein Nein
OnlineMeetingArtifact.Read.All Onlinebesprechungsartefakte lesen. Ermöglicht der App das Lesen von Onlinebesprechungsartefakten im Namen des angemeldeten Benutzers. Nein Nein
OnlineMeetingTranscript.Read.All Lesen Sie alle Abschriften von Online-Meetings. Ermöglicht es der App, alle Abschriften von Online Meetings im Namen des angemeldeten Benutzers zu lesen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
OnlineMeetings.Read.All Lesen von Onlinebesprechungsdetails aus der App Ermöglicht der App, Onlinebesprechungsdetails in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
OnlineMeetings.ReadWrite.All Lesen von Onlinebesprechungsdetails aus der App Ermöglicht einer App das Erstellen und Lesen von Onlinebesprechungen ohne einen angemeldeten Benutzer. Ja
OnlineMeetingArtifact.Read.All Lesen von Onlinebesprechungsartefakten aus der App Ermöglicht der App, Onlinebesprechungsartefakte in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
OnlineMeetingTranscript.Read.All Lesen Sie alle Abschriften von Online-Meetings. Ermöglicht es der App, alle Protokolle aller Online Meetings zu lesen, ohne dass sich ein Benutzer anmelden muss. Ja

Wichtig Administratoren können die Zugriffsrichtlinien für Apps so konfigurieren, dass Apps im Namen eines Benutzers Zugriff auf Onlinebesprechungen erlangen können.

Verwendungsbeispiel

Delegiert

  • OnlineMeetings.Read: Abrufen der Eigenschaften und Beziehungen einer Onlinebesprechung (GET /beta/communications/onlinemeetings/{default id}).
  • OnlineMeetings.ReadWrite.: Erstellen einer Onlinebesprechung (POST /beta/communications/onlinemeetings).

Anwendung

  • OnlineMeetings.Read.All
    • Dient zum Abrufen der Eigenschaften und der Beziehungen einer Onlinebesprechung (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Abrufen einer Onlinebesprechung im Namen eines Benutzers (`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • Abrufen einer Onlinebesprechung im Namen eines Benutzers (`POST /beta/users/{userId}/onlineMeetings/)
    • Aktualisieren einer Onlinebesprechung im Namen eines Benutzers (`PATCH/beta/users/{userId}/onlineMeetings/{id})
    • Löschen einer Onlinebesprechung im Namen eines Benutzers (`DELETE/beta/users/{userId}/onlineMeetings/{id})

Hinweis: Durch Erstellen einer Onlinebesprechung wird eine Besprechung im Namen eines im Anforderungstext angegebenen Benutzers erstellt; diese wird aber nicht im Kalender des Benutzers angezeigt.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für lokale Veröffentlichungsprofile

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OnPremisesPublishingProfiles.ReadWrite.All Auf lokale Veröffentlichungsprofile zugreifen Ermöglicht der App, die Konfiguration des Hybrid-Identitätsdiensts durch Erstellen, Anzeigen, Aktualisieren und Löschen von lokalen veröffentlichten Ressourcen, lokalen Agents und Agentengruppen im Auftrag des angemeldeten Benutzers zu verwalten. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OnPremisesPublishingProfiles.ReadWrite.All Auf lokale Veröffentlichungsprofile zugreifen Ermöglicht der App das Erstellen, Anzeigen, Aktualisieren und Löschen von lokal veröffentlichten Ressourcen, lokalen Agents und Agentgruppen im Rahmen der Konfiguration einer hybriden Identität, ohne dass ein Benutzer angemeldet ist. Ja Nein

OpenID Connect (OIDC)-Bereiche

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
email E-Mail-Adresse von Benutzern anzeigen Ermöglicht der App, die primäre E-Mail-Adresse Ihrer Benutzer zu lesen. Nein Ja
offline_access Jederzeit auf Daten des Benutzers zugreifen Ermöglicht der App, Benutzerdaten zu lesen und zu aktualisieren, auch wenn diese die App derzeit nicht verwenden. Nein Ja
openid Benutzer anmelden Mit dieser Berechtigung kann eine App einen eindeutigen Bezeichner für den Benutzer in Form des Unteranspruchs erhalten. Die Berechtigung gewährt der App außerdem Zugriff auf den UserInfo-Endpunkt. Der OpenID-Bereich kann am Microsoft Identity Platform-Tokenendpunkt verwendet werden, um ID-Token abzurufen. Die App kann diese Token für die Authentifizierung verwenden. Nein Ja
profile Grundlegendes Profil von Benutzern anzeigen Ermöglicht der App, das grundlegende Profil Ihrer Benutzer (Name, Bild, Benutzername) anzuzeigen. Nein Ja

Hinweise

Sie können diese Bereiche verwenden, um Artefakte anzugeben, die in Azure AD-Autorisierungs- und Tokenanforderungen zurückgegeben werden sollen. Sie werden von den Azure AD v1.0- und v2.0-Endpunkten unterschiedlich unterstützt.

Beim Azure AD v1.0-Endpunkt wird nur der Bereich openid verwendet. Dies wird im scope-Parameter in einer Autorisierungsanforderung angegeben, um ein ID-Token zurückzugeben, wenn Sie das OpenID Connect-Protokoll zum Anmelden eines Benutzers bei Ihrer App verwenden. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Webanwendungen mithilfe von Open ID Connect und Azure Active Directory. Damit ein ID-Token erfolgreich zurückgegeben wird, müssen Sie auch sicherstellen, dass die Berechtigung User.Read konfiguriert ist, wenn Sie Ihre App registrieren.

Beim Azure AD v2.0-Endpunkt geben Sie den Bereich offline_access im scope-Parameter an, um explizit ein Aktualisierungstoken anzufordern, wenn Sie das OAuth 2.0- oder OpenID-Protokoll verwenden. Bei OpenID Connect geben Sie den Bereich openid zum Anfordern eines ID-Tokens an. Sie können auch den Bereich email, den Bereich profile, oder beide angeben, um zusätzliche Ansprüche im ID-Token zurückzugeben. Sie müssen nicht die Berechtigung User.Read angeben, um ein ID-Token mit dem v2.0-Endpunkt zurückzugeben. Weitere Informationen finden Sie unter OpenID Connect-Bereiche.

Wichtig

In der MSAL (Microsoft Authentication Library) werden derzeit standardmäßig offline_access, openid, profile und email in Authentifizierungs- und Tokenanforderungen angegeben. Wenn Sie diese Bereiche explizit angeben, bedeutet dies im Standardfall, dass Azure AD möglicherweise einen Fehler zurückgibt.


Berechtigungen für die Organisation

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Organization.Read.All Organisationsinformationen lesen Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja Nein
Organization.ReadWrite.All Organisationsinformationen lesen und schreiben Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Organization.Read.All Organisationsinformationen lesen Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja
Organization.ReadWrite.All Organisationsinformationen lesen und schreiben Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. Ja

Verwendungsbeispiel

Delegiert

  • Organization.Read.All: Organisationsinformation abrufen (GET /organization).
  • Organization.Read.All: SKUs abrufen, die die Organisation abonniert hat (GET /subscribedSkus).

Anwendung

  • Organization.ReadWrite.All: Organisationsinformation aktualisieren (beispielsweise technicalNotificationMails) (PATCH /organization/{id}).

Berechtigungen von Organisationskontakten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
OrgContact.Read.All Lesen von Organisationskontakten Ermöglicht der App, alle Kontakte der Organisation im Namen des angemeldeten Benutzers zu lesen. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
OrgContact.Read.All Lesen von Organisationskontakten Ermöglicht der App, alle Kontakte der Organisation ohne angemeldeten Benutzer zu lesen. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers. Ja

Verwendungsbeispiel

Delegiert

  • OrgContact.Read.All: alle Organisationskontakte abrufen (GET /contacts).

Personenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
People.Read Lesezugriff auf Listen mit für den Benutzer relevanten Personen Die App kann eine bewertete Liste relevanter Personen des angemeldeten Benutzers lesen. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Nein Ja
People.Read.All Lesezugriff auf alle Listen mit für den Benutzer relevanten Personen Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Ermöglicht der App das Durchsuchen des gesamten Verzeichnisses der Organisation des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
People.Read.All Lesezugriff auf alle Listen mit für den Benutzer relevanten Personen Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind.

Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Dies erlaubt der App ebenfalls, das gesamte Verzeichnis der Organisation des angemeldeten Benutzers zu durchsuchen.
Ja

Hinweise

Die People.Read.All-Berechtigung gilt nur für Arbeits- und Schul- sowie Unikonten.

Verwendungsbeispiel

Delegiert

  • People.Read: Lesezugriff auf eine Liste der relevanten Personen (GET /me/people)
  • People.Read.All: Lesezugriff auf eine Liste der relevanten Personen für einen anderen Benutzer in der gleichen Organisation (GET /users('{id})/people)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für den privilegierten Zugriff

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
PrivilegedAccess.ReadWrite.AzureAD Lesen und Schreiben von Privileged Identity Management-Daten für Verzeichnis Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure AD. Ja Nein
PrivilegedAccess.ReadWrite.AzureADGroup Lesen und Schreiben von Privileged Identity Management-Daten für Gruppen mit privilegiertem Zugriff Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Gruppen. Ja Nein
PrivilegedAccess.ReadWrite.AzureResources Lesen und Schreiben von Privileged Identity Management-Daten für Azure-Ressourcen Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure-Ressourcen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
PrivilegedAccess.Read.AzureAD Lesen von Privileged Identity Management-Daten für Verzeichnis Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Azure AD. Ja
PrivilegedAccess.Read.AzureADGroup Lesen von Privileged Identity Management-Daten für Gruppen mit privilegiertem Zugriff Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Gruppen. Ja
PrivilegedAccess.Read.AzureResources Lesen von Privileged Identity Management-Daten für Azure-Ressourcen Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Azure AD-Ressourcen. Ja

Berechtigungen für Orte

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Place.Read.All Alle Unternehmensorte lesen Ermöglicht es der App das Lesen von Unternehmensorten (Konferenzräume und Raumlisten), die in Exchange Online für den Mandanten eingerichtet wurden. Ja Nein
Place.ReadWrite.All Alle Unternehmensorte lesen und schreiben Ermöglicht der App das Lesen und Schreiben von Unternehmensorten (Konferenzräume und Raumlisten), die in Exchange Online für den Mandanten eingerichtet wurden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Place.Read.All Alle Unternehmensorte lesen Ermöglicht es der APP, Unternehmensorte (Konferenzräume und Raumlisten) für Kalenderereignisse und andere Anwendungen zu lesen. Ja

Berechtigungen für Richtlinien

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Policy.Read.All Lesen der Richtlinien Ihrer Organisation Ermöglicht der App, die Richtlinien Ihrer Organisation im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
Policy.Read.PermissionGrant Lesen Sie die Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien bezüglich der Einwilligung und Erteilung von Berechtigungen für Anwendungen im Namen des angemeldeten Benutzers zu lesen. Ja Nein
Policy.ReadWrite.AccessReview Lese- und Schreibzugriff auf die Zugriffsüberprüfungsrichtlinie Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Zugriffsüberprüfungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Ja Nein
Policy.ReadWrite.ApplicationConfiguration Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation Ermöglicht der App, Anwendungskonfigurationsrichtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.AuthenticationFlows Lesen und Schreiben der Richtlinien Ihrer Organisation zum Authentifizierungsfluss Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zum Authentifizierungsfluss zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.AuthenticationMethod Lese- und Schreibzugriff auf Richtlinien zur Authentifizierungsmethode Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zur Authentifizierungsmethode auszulesen und zu schreiben. Dem angemeldeten Benutzer muss außerdem die Rolle „Globaler Administrator“ zugewiesen werden. Ja Nein
Policy.ReadWrite.Authorization Lese- und Schreibzugriff auf die Autorisierungsrichtlinie Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Autorisierungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Mithilfe von Autorisierungsrichtlinien können beispielsweise einige der Berechtigungen festgelegt werden, über die die vordefinierte Benutzerrolle standardmäßig verfügt. Ja Nein
Policy.ReadWrite.ConditionalAccess Lesen und Schreiben der Richtlinien zum bedingten Zugriff Ihrer Organisation Ermöglicht der App, im Auftrag des angemeldeten Benutzers Richtlinien zum bedingten Zugriff für Ihre Organisation zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.ConsentRequest Lese- und Schreibzugriff auf die Richtlinie für Zustimmungsanfragen Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinie für Zustimmungsanfragen für Ihre Organisation zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.CrossTenantAccess Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation Ermöglicht der App das Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation im Namen des angemeldeten Benutzers. Ja Nein
Policy.ReadWrite.FeatureRollout Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation Ermöglicht der App, Feature-Rollout-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Umfasst die Möglichkeit des Zuweisens und Entfernens von Benutzern und Gruppen beim Rollout eines bestimmten Features. Ja Nein
Policy.ReadWrite.PermissionGrant Verwalten von Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien bezüglich der Einwilligung und Erteilung von Berechtigungen für Anwendungen im Namen des angemeldeten Benutzers zu verwalten. Ja Nein
Policy.ReadWrite.TrustFramework Lesen und Schreiben der Vertrauensframework-Richtlinien Ihrer Organisation Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
Policy.ReadWrite.AuthenticationMethod Lesen und Schreiben der Richtlinien Ihrer Organisation zur Authentifizierungsmethode Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zur Authentifizierungsmethode auszulesen und zu schreiben. Ja Nein
Policy.ReadWrite.MobilityManagement Lesen und Schreiben der Richtlinien Ihrer Organisation für das Mobilitätsmanagement. Erlaubt der App das Lesen und Schreiben der Richtlinien für das Mobilitätsmanagement im Namen des angemeldeten Benutzers. Diese steuern die Einstellungen für die Anwendungen Verwaltung mobiler Geräte (MDM) und mobile Anwendungsverwaltung (MAM). Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Policy.Read.All Lesen der Richtlinien Ihrer Organisation Ermöglicht der App, alle Richtlinien Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
Policy.Read.PermissionGrant Lesen Sie die Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien zur Einwilligung und Erteilung von Berechtigungen für Anwendungen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
Policy.Read.ApplicationConfiguration Lesen der Anwendungskonfigurationsrichtlinien Ihrer Organisation Ermöglicht der App, alle Anwendungskonfigurationsrichtlinien Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Ja
Policy.ReadWrite.AccessReview Lese- und Schreibzugriff auf die Zugriffsüberprüfungsrichtlinie Ihrer Organisation Ermöglicht der App, die Zugriffsüberprüfungsrichtlinie für Ihre Organisation ohne einen angemeldeten Benutzer auszulesen und zu schreiben. Ja
Policy.ReadWrite.ApplicationConfiguration Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation Ermöglicht der App, alle Anwendungskonfigurationsrichtlinien Ihrer Organisation ohne einen angemeldeten Benutzer auszulesen und zu schreiben. Ja
Policy.ReadWrite.AuthenticationFlows Lesen und Schreiben der Richtlinien Ihrer Organisation zum Authentifizierungsfluss Ermöglicht der App das Lesen und Schreiben der Richtlinien zum Authentifizierungsfluss des Mandanten, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.Authorization Lese- und Schreibzugriff auf die Autorisierungsrichtlinie Ihrer Organisation Ermöglicht der App, im Namen des angemeldeten Benutzers die Autorisierungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Mithilfe von Autorisierungsrichtlinien können beispielsweise einige der Berechtigungen festgelegt werden, über die die vordefinierte Benutzerrolle standardmäßig verfügt. Ja
Policy.ReadWrite.ConsentRequest Lese- und Schreibzugriff auf die Richtlinie für Zustimmungsanfragen Ihrer Organisation Ermöglicht der App, ohne einen angemeldeten Benutzer die Richtlinie für Zustimmungsanfragen für Ihre Organisation zu lesen und zu schreiben. Ja
Policy.ReadWrite.CrossTenantAccess Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation Ermöglicht der App das Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.AuthenticationMethod Lese- und Schreibzugriff auf alle Richtlinien zur Authentifizierungsmethode Ermöglicht der App den Lese- und Schreibzugriff auf alle Richtlinien zur Authentifizierungsmethode des Mandanten, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.FeatureRollout Lesen und Schreiben von Rolloutrichtlinien für Features Ermöglicht der App, Rolloutrichtlinien für Features ohne einen angemeldeten Benutzer zu lesen und schreiben. Umfasst die Möglichkeit zum Zuweisen und Entfernen von Benutzern und Gruppen beim Rollout eines bestimmten Features. Ja
Policy.ReadWrite.PermissionGrant Verwalten von Richtlinien zur Einwilligung und Erteilung von Berechtigungen Ermöglicht der App, Richtlinien zur Einwilligung und Erteilung von Berechtigungen für Anwendungen zu verwalten, ohne dass ein Benutzer angemeldet ist. Ja
Policy.ReadWrite.TrustFramework Lesen und Schreiben der Vertrauensframework-Richtlinien für Ihre Organisation Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Ja

Verwendungsbeispiel

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

  • Policy.Read.All: Lesen der Richtlinien Ihrer Organisation(GET /policies)
  • Policy.Read.All: Lesen der Vertrauensframework-Richtlinien Ihrer Organisation(GET /beta/trustFramework/policies)
  • Policy.Read.All: Lesen der Rollout-Richtlinien für Features Ihrer Organisation (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.ConditionalAccess: Lesen und Schreiben der Zugriffsüberprüfungsrichtlinien Ihrer Organisation (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows: Lesen und Schreiben der Richtlinie Ihrer Organisation zum Authentifizierungsfluss (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod: Verwenden Sie diese Berechtigung, um die Einstellungen der Richtlinie für Authentifizierungsmethoden zu verwalten, einschließlich der Aktivierung und Deaktivierung von Authentifizierungsmethoden, der Verwendung dieser Methoden durch Benutzer und Gruppen sowie der Konfiguration anderer Einstellungen im Zusammenhang mit den Authentifizierungsmethoden, die Benutzer in einem Mandanten registrieren und verwenden können.
  • Policy.ReadWrite.ConditionalAccess: Lesen und Schreiben der Richtlinien zum bedingten Zugriff Ihrer Organisation (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.CrossTenantAccess: Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation (PATCH /beta/policies/crossTenantAccessPolicy)
  • Policy.ReadWrite.FeatureRollout: Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: Vertrauensframework-Richtlinien für Ihre Organisation lesen und schreiben (POST /beta/trustFramework/policies)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Anwesenheitsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Presence.Read Lesen der Anwesenheitsinformationen eines Benutzers Ermöglicht der App das Lesen von Anwesenheitsinformationen im Namen des angemeldeten Benutzers. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort. Nein
Presence.Read.All Lesen von Anwesenheitsinformationen aller Benutzer in Ihrer Organisation Ermöglicht der App das Lesen von Anwesenheitsinformationen aller Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort. Nein
Presence.ReadWrite Lesen und Schreiben der Anwesenheitsinformationen eines Benutzers Ermöglicht der App, die Anwesenheitsinformationen sowie die Schreibaktivität und Verfügbarkeit im Namen des angemeldeten Benutzers zu lesen. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort. Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Presence.ReadWrite.All Anwesenheitsinformationen für alle Benutzer lesen und schreiben Ermöglicht der App, alle Anwesenheitsinformationen und Schreibaktivitäten sowie die Verfügbarkeit aller Benutzer im Verzeichnis zu lesen, ohne dass ein Benutzer angemeldet ist. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort. Ja

Verwendungsbeispiel

  • Presence.Read: Abrufen der eigenen Anwesenheitsinformationen, wenn Sie angemeldet sind (GET /me/presence)
  • Presence.Read.All: Abrufen der Anwesenheitsinformationen eines anderen Benutzers (GET /users/{id}/presence)
  • Presence.Read.All: Abrufen der Anwesenheitsinformationen mehrerer Benutzer (POST /communications/getPresencesByUserId)
  • Presence.ReadWrite:
    • Wenn Sie angemeldet sind, legen Sie den Status Ihrer Präsenzsitzung fest (POST /me/presence/setPresence).
    • Wenn Sie angemeldet sind, legen Sie Ihre eigene bevorzugte Anwesenheit (POST /me/presence/setUserPreferredPresence) fest.
  • Presence.ReadWrite.All:
    • Festlegen des Status der Präsenzsitzung eines Benutzers als Anwendung (POST /users/{id}/presence/setPresence)
    • Festlegen der bevorzugten Anwesenheit eines Benutzers als Anwendung (POST /users/{id}/presence/setUserPreferredPresence)

Programme und Programmsteuerung Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ProgramControl.Read.All Alle Programme lesen Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen. Ja Nein
ProgramControl.ReadWrite.All Alle Programme verwalten Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ProgramControl.Read.All Alle Programme lesen Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen. Ja
ProgramControl.ReadWrite.All Alle Programme verwalten Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen und zu schreiben. Ja

Bemerkungen

ProgramControl.Read.All und ProgramControl.ReadWrite.All gelten nur für Geschäfts- oder Schulkonten.

Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator. Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.


Berechtigungen für die Datensatzverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
RecordsManagement.Read.All Lesen von Daten aus Microsoft Purview Records Management. Ermöglicht es der Anwendung, im Namen des angemeldeten Benutzers beliebige Daten aus der Datensatzverwaltungslösung Microsoft Purview zu lesen, wie z. B. Etikettennamen, Ereignisnamen und Namen von Ereignistypen. Ja
RecordsManagement.ReadWrite.All Lesen und schreiben Sie beliebige Daten aus Microsoft Purview Records Management. Erlauben Sie der Anwendung, im Namen des angemeldeten Benutzers Daten aus der Microsoft Purview Records Management Lösung zu erstellen, zu aktualisieren und zu löschen, z. B. Etiketten, Ereignisse und Ereignistypen. Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
RecordsManagement.Read.All Lesen von Daten aus Microsoft Purview Records Management. Ermöglicht es der Anwendung, im Namen des angemeldeten Benutzers beliebige Daten aus der Datensatzverwaltungslösung Microsoft Purview zu lesen, wie z. B. Etikettennamen, Ereignisnamen und Namen von Ereignistypen. Ja
RecordsManagement.ReadWrite.All Lesen und schreiben Sie beliebige Daten aus Microsoft Purview Records Management. Erlauben Sie der Anwendung, im Namen des angemeldeten Benutzers Daten aus der Microsoft Purview Records Management Lösung zu erstellen, zu aktualisieren und zu löschen, z. B. Etiketten, Ereignisse und Ereignistypen. Ja

Verwendungsbeispiel

Delegiert

  • Records Management.Read.All: Abrufen der Liste der für den Benutzer verfügbaren Labels von Microsoft Purview Records Management (GET /security/labels/retentionLabels)
  • Records Management.ReadWrite.All: Erstellen Sie eine Bezeichnung in der Microsoft Purview-Aufzeichnungsverwaltung (POST /security/labels/retentionLabels/)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berichtsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Reports.Read.All Alle Verwendungsberichte lesen Die App kann alle Dienstverwendungsberichte im Namen des angemeldeten Benutzers lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Microsoft 365 und Azure Active Directory. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Reports.Read.All Alle Verwendungsberichte lesen Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Microsoft 365 und Azure Active Directory. Ja

Bemerkungen

  • Berichtsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.
  • Hinweis: Damit delegierte Berechtigungen Apps erlauben, Servicenutzungsberichte im Namen eines Benutzers zu lesen, muss der Mandant-Administrator dem Benutzer eine eingeschränkte Administratorrolle von Azure AD zugewiesen haben. Weitere Informationen finden Sie unter Berechtigung für APIs zum Lesen von Microsoft 365-Verwendungsberichten.

Verwendungsbeispiel

Anwendung

  • Reports.Read.All: Verwendungsdetailbericht von E-Mail-Apps für einen Zeitraum von 7 Tagen lesen (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)
  • Reports.Read.All: Aktivitätsdetailbericht von E-Mails mit dem Datum „2017-01-01“ lesen (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)
  • Reports.Read.All: Microsoft 365-Aktivierungsdetailbericht lesen (GET /reports/Office365Activations(view='Detail')/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für die Rollenverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
RoleAssignmentSchedule.Read.Directory Lesen Sie alle aktiven Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die aktiven Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Dies umfasst das Lesen von Verzeichnisrollenvorlagen und Verzeichnisrollen. Ja Nein
RoleEligibilitySchedule.Read.Directory Lesen Sie alle berechtigten Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die berechtigten Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Dies umfasst das Lesen von Verzeichnisrollenvorlagen und Verzeichnisrollen. Ja Nein
RoleManagement.Read.All Rollenverwaltungsdaten für alle RBAC-Anbieter lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für alle unterstützten RBAC-Anbieter zu lesen im Auftrag des angemeldeten Benutzers. Das umfasst das Lesen von Rollendefinitionen und Rollenzuweisungen. Ja Nein
RoleManagement.Read.Directory Rollenverwaltungsdaten für Azure AD lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja Nein
RoleManagementPolicy.Read.Directory Lesen Sie alle Richtlinien für die Zuweisungen von privilegierten Rollen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) für privilegierte Rollen für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
RoleAssignmentSchedule.ReadWrite.Directory Lesen, aktualisieren und löschen Sie alle aktiven Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die aktiven Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Verwalten von Active Directory-Rollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verwaltungsrollen und aktiven Mitgliedschaften. Ja Nein
RoleEligibilitySchedule.ReadWrite.Directory Lesen, aktualisieren und löschen Sie alle berechtigten Rollenzuweisungen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die berechtigten Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Verwalten von berechtigten Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verwaltungsrollen und aktiven Mitgliedschaften. Ja Nein
RoleManagement.ReadWrite.Directory Rollenverwaltungsdaten für Azure AD lesen und schreiben. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja Nein
RoleManagementPolicy.ReadWrite.Directory Lesen, aktualisieren und löschen Sie alle Richtlinien für die Zuweisungen von privilegierten Rollen für das Verzeichnis Ihres Unternehmens. Ermöglicht der App, die Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) für privilegierte Rollen für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen, zu aktualisieren und zu löschen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
RoleManagement.Read.All Rollenverwaltungsdaten für alle RBAC-Anbieter lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für alle unterstützten RBAC-Anbieter zu lesen, ohne dass ein Benutzer angemeldet ist. Das umfasst das Lesen von Rollendefinitionen und Rollenzuweisungen. Ja
RoleManagement.Read.Directory Rollenverwaltungsdaten für Azure AD lesen. Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für das Verzeichnis Ihres Unternehmens zu lesen, ohne einen angemeldeten Benutzer. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja
RoleManagement.ReadWrite.Directory Rollenverwaltungsdaten für Azure AD lesen und schreiben. Ermöglicht der App das Lesen und Verwalten der rollenbasierten Zugriffssteuerungseinstellungen (RBAC) für das Verzeichnis Ihres Unternehmens, ohne einen angemeldeten Benutzer. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften. Ja

Hinweise

Achtung

Berechtigungen, die das Erteilen einer Autorisierung ermöglichen, z. B. RoleManagement.ReadWrite.Directory, ermöglichen einer Anwendung, sich selbst, anderen Anwendungen oder einem beliebigen Benutzer zusätzliche Berechtigungen zu gewähren.

Mit der Berechtigung RoleManagement.Read.Directory kann eine Anwendung "directoryRoles" und "directoryRoleTemplates" lesen. Dies umfasst das Lesen von Mitgliedschaftsinformationen für Verzeichnisrollen.

Mit der Berechtigung RoleManagement.ReadWrite.Directory kann eine Anwendung "directoryRoles lesen und schreiben ("directoryRoleTemplates" sind schreibgeschützte Ressourcen). Dazu gehören das Hinzufügen von Mitgliedern zu und das Entfernen von Mitgliedern aus Verzeichnisrollen.

Berechtigungen zur Rollenverwaltung gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der verfügbaren Rollenvorlagen (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der aktivierten Rollen in Ihrem Verzeichnis (GET /directoryRoles)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der Mitglieder einer Rolle (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: Lesezugriff auf die Liste der auf Verwaltungseinheiten bezogenen Mitglieder einer Rolle (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: Verzeichnisrolle aus einer Rollenvorlage aktivieren (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: Auf Verwaltungseinheiten bezogenes Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/scopedMembers)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen für die Zeitplanverwaltung (Private Vorschau)

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Schedule.ReadWrite.All (Private Vorschau) Lesen und Schreiben von Shifts Service-Daten (Teams) Ermöglicht einer App das Lesen und Schreiben von Zeitplänen, Zeitplangruppen, Schichten und zugehörigen Entitäten in Schichtanwendungen ohne einen angemeldeten Benutzer. Ja Nein
Schedule.Read.All (Private Vorschau) Lesen von Shifts Service-Daten (Teams) Ermöglicht einer App das Lesen von Zeitplänen, Zeitplangruppen, Schichten und zugehörigen Entitäten in Schichtanwendungen ohne einen angemeldeten Benutzer. Ja Nein

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Schedule.ReadWrite.All Lesen und Schreiben von Shifts Service-Daten (Teams) Ermöglicht einer App das Lesen und Schreiben von Zeitplänen, Planen von Gruppen, Schichten und assoziierten Entitäten in Schichtanwendungen im Auftrag des angemeldeten Benutzers. Nein Nein
Schedule.Read.All Lesen von Shifts Service-Daten (Teams) Ermöglicht der App das Lesen des Zeitplans, Planen von Gruppen, Schichten und assoziierten Entitäten in Schichtanwendungen im Auftrag des angemeldeten Benutzers. Nein Nein
WorkforceIntegration.ReadWrite.All (private Vorschau) Lesen und Schreiben der Mitarbeiterintegrationen Ermöglicht der App, Mitarbeiterintegrationen zur Synchronisierung von Daten aus Microsoft Teams-Schichten mit einem integrierten System im Auftrag des angemeldeten Benutzers zu verwalten. Ja Nein
WorkforceIntegration.Read.All (private Vorschau) Lesen und Schreiben der Mitarbeiterintegrationen Ermöglicht der App, Mitarbeiterintegrationen zur Synchronisierung von Daten aus Microsoft Teams-Schichten mit einem integrierten System im Auftrag des angemeldeten Benutzers zu verwalten. Ja Nein

Suchberechtigungen

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ExternalConnection.Read.All Alle externen Verbindungen lesen Ermöglicht der App das Lesen aller externen Verbindungen, ohne dass ein Benutzer angemeldet ist. Ja Nein
ExternalConnection.ReadWrite.All Alle externen Verbindungen lesen und schreiben Ermöglicht der App das Lesen und Schreiben aller externen Verbindungen, ohne dass ein Benutzer angemeldet ist. Ja Nein
ExternalConnection.ReadWrite.OwnedBy Lesen und Schreiben externer Verbindungen und Verbindungseinstellungen Ermöglicht der App das Lesen und Schreiben externer Verbindungen und ihrer Einstellungen, ohne dass ein Benutzer angemeldet ist. Die App kann nur externe Verbindungen lesen und schreiben, für die sie autorisiert ist, oder sie kann neue externe Verbindungen erstellen. Ja Nein
ExternalItem.Read.All Alle externen Elemente lesen Ermöglicht der App das Lesen aller externen Elemente ohne dass ein Benutzer angemeldet ist. Ja Nein
ExternalItem.ReadWrite.All Lesen und Schreiben aller externen Elemente Ermöglicht der App das Lesen und Schreiben aller externen Elemente, ohne dass ein Benutzer angemeldet ist. Ja Nein
ExternalItem.ReadWrite.OwnedBy Lesen und Schreiben externer Elemente Ermöglicht der App das Lesen und Schreiben externer Elemente, ohne dass ein Benutzer angemeldet ist. Die App kann nur externe Elemente der Verbindung lesen, für die sie autorisiert ist. Ja Nein

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ExternalConnection.Read.All Alle externen Verbindungen lesen Ermöglicht der App das Lesen aller externen Verbindungen im Namen eines angemeldeten Benutzers. Ja Nein
ExternalConnection.ReadWrite.All Alle externen Verbindungen lesen und schreiben Ermöglicht der App das Lesen und Schreiben aller externen Verbindungen im Namen eines angemeldeten Benutzers. Ja Nein
ExternalConnection.ReadWrite.OwnedBy Externe Verbindungen lesen und schreiben Ermöglicht der App das Lesen und Schreiben externer Verbindungen im Namen eines angemeldeten Benutzers. Die App kann nur externe Verbindungen lesen und schreiben, für die sie autorisiert ist, oder sie kann neue externe Verbindungen erstellen. Ja Nein
ExternalItem.Read.All Externe Daten lesen Zulassen, dass die App externe Datasets und Inhalte im Namen des angemeldeten Benutzers liest. Ja Nein
ExternalItem.ReadWrite.All Lesen und Schreiben aller externen Elemente Ermöglicht der App das Lesen und Schreiben aller externen Elemente im Namen eines angemeldeten Benutzers. Ja Nein
ExternalItem.ReadWrite.OwnedBy Lesen und Schreiben externer Elemente Ermöglicht der App das Lesen und Schreiben externer Elemente im Namen eines angemeldeten Benutzers. Die App kann nur externe Elemente der Verbindung lesen, für die sie autorisiert ist. Ja Nein

Bemerkungen

Suchberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Diese Suchberechtigung gilt nur für erfasste Daten aus der Indizierungs-API.

Der Zugriff auf Daten über die Suche erfordert die Leseberechtigung für das Element. Beispiel: Files.Read.All für den Zugriff auf Dateien über die Suche.

Verwendungsbeispiel

Delegiert

  • ExternalItem.ReadWrite.All: Zugreifen auf externe Daten über die Such-API (POST /search/query).

Suchkonfigurationsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
SearchConfiguration.Read.All Lesen der Suchkonfiguration Ihrer Organisation Ermöglicht der App das Lesen der Suchkonfiguration im Namen des angemeldeten Benutzers. Ja Nein
SearchConfiguration.ReadWrite.All Lesen und Schreiben der Suchkonfiguration Ihrer Organisation Ermöglicht der App das Lesen und Schreiben von Suchkonfigurationen im Namen des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
SearchConfiguration.Read.All Lesen der Suchkonfiguration Ihrer Organisation Ermöglicht der App das Lesen von Suchkonfigurationen, ohne dass ein Benutzer angemeldet ist. Ja
SearchConfiguration.ReadWrite.All Lesen und Schreiben der Suchkonfiguration Ihrer Organisation Ermöglicht der App das Lesen und Schreiben von Suchkonfigurationen, ohne dass ein Benutzer angemeldet ist. Ja

Hinweise

Berechtigungen für die Suchkonfiguration sind nur für Arbeits- oder Schulkonten gültig.

Verwendungsbeispiel

Delegiert und Anwendung

  • SearchConfiguration.Read.All: Liest die Liste aller Lesezeichen, die für Ihren Mandanten erstellt wurden (GET /beta/search/bookmarks).
  • SearchConfiguration.ReadWrite.All: Aktualisieren oder lesen Sie alle Lesezeichen, die für Ihren Mandanten erstellt wurden (PATCH /beta/search/bookmarks/{id}).

Sicherheitsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
SecurityEvents.Read.All Lesen von Sicherheitsereignissen der Organisation Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
SecurityEvents.ReadWrite.All Lesen und Aktualisieren von Sicherheitsereignissen der Organisation Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ermöglicht der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen im Namen des angemeldeten Benutzers zu aktualisieren. Ja Nein
SecurityActions.Read.All Lesen von Sicherheitsaktionen der Organisation Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
SecurityActions.ReadWrite.All Lesen und Aktualisieren von Sicherheitsaktionen der Organisation Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen oder zu aktualisieren. Ja Nein
ThreatIndicators.ReadWrite.OwnedBy Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt Ermöglicht der App das Erstellen und die vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) im Auftrag des angemeldeten Benutzers. Ja Nein
ThreatIndicators.Read.All Lesen Sie die Bedrohungsindikatoren Ihrer Organisation. Ermöglicht der App, alle Bedrohungsindikatoren für Ihre Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
SecurityEvents.Read.All Lesen von Sicherheitsereignissen der Organisation Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation. Ja
SecurityEvents.ReadWrite.All Lesen und Aktualisieren von Sicherheitsereignissen der Organisation Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation. Ermöglicht es der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen zu aktualisieren. Ja
SecurityActions.Read.All Lesen von Sicherheitsereignissen der Organisation Ermöglicht der App das Lesen von Sicherheitsaktionen der Organisation. Ja
SecurityActions.ReadWrite.All Erstellen und lesen von Sicherheitsaktionen der Organisation Ermöglicht der App das Lesen oder Erstellen von Sicherheitsaktionen ohne einen angemeldeten Benutzer. Ja
ThreatIndicators.ReadWrite.OwnedBy Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt Ermöglicht der App das Erstellen und vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) ohne einen angemeldeten Benutzer. Die App kann keine Bedrohungsindikatoren aktualisieren, die sie nicht besitzt. Ja
ThreatIndicators.Read.All Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt Ermöglicht der App, alle Bedrohungsindikatoren für Ihre Organisation ohne angemeldeten Benutzer zu lesen. Ja

Bemerkungen

Sicherheitsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert und Anwendung

  • SecurityEvents.Read.All: Lesen der Liste aller Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All: Aktualisieren oder Lesen der Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (PATCH /beta/security/alerts/{id})

Dienstkommunikationsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ServiceHealth.Read.All Dienststatus lesen Ermöglicht es der App, Informationen über den Dienststatus des Mandanten im Namen des angemeldeten Benutzers zu lesen. Statusinformationen können Dienstprobleme oder Übersichten über den Dienststatus umfassen. Ja Ja
ServiceMessage.Read.All Dienstmeldungen lesen Ermöglicht es der App, Dienstankündigungsmeldungen des Mandanten im Namen des angemeldeten Benutzers zu lesen. Meldungen können Informationen über neue oder geänderte Features enthalten. Ja Ja
ServiceMessageViewpoint.Write Benutzerstatus in Dienstankündigungsmeldungen aktualisieren Ermöglicht es der App, den Benutzerstatus von Dienstankündigungsmeldungen im Namen des angemeldeten Benutzers zu aktualisieren. Der Meldungsstatus kann als „Gelesen“, „Archiv“ oder „Favorit“ markiert werden. Ja Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ServiceHealth.Read.All Dienststatus lesen Ermöglicht es der App, Dienststatusinformationen des Mandanten zu lesen, ohne dass ein Benutzer angemeldet ist. Statusinformationen können Dienstprobleme oder Übersichten über den Dienststatus umfassen. Ja
ServiceMessage.Read.All Dienstmeldungen lesen Ermöglicht es der App Dienstankündigungsmeldungen des Mandanten zu lesen, ohne dass ein Benutzer angemeldet ist. Meldungen können Informationen über neue oder geänderte Features enthalten. Ja

Kurznotizen-Berechtigungen (private Vorschau)

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ShortNotes.Read Kurznotizen des angemeldeten Benutzers lesen Ermöglicht der App, alle Kurznotizen zu lesen, auf die ein angemeldeter Benutzer zugreifen kann. Nein Ja
ShortNotes.ReadWrite Kurznotizen des angemeldeten Benutzers lesen, erstellen, bearbeiten und löschen Ermöglicht der App, Kurznotizen eines angemeldeten Benutzers zu lesen, erstellen, bearbeiten und löschen. Nein Ja

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ShortNotes.Read.All Kurznotizen aller Benutzer lesen Ermöglicht der App, alle Kurznotizen zu lesen, ohne dass ein Benutzer angemeldet ist. Ja
ShortNotes.ReadWrite.All Kurznotizen aller Benutzern lesen, erstellen, bearbeiten und löschen Ermöglicht der App, alle Kurznotizen zu lesen, erstellen, bearbeiten und löschen, ohne dass ein Benutzer angemeldet ist. Ja

Websiteberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Sites.Read.All Elemente in allen Websitesammlungen lesen Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu lesen. Nein Nein
Sites.ReadWrite.All Lese-/Schreibzugriff auf Elemente in allen Websitesammlungen Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu bearbeiten oder zu löschen. Nein Nein
Sites.Manage.All Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen Websitesammlungen Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu verwalten und zu erstellen. Nein Nein
Sites.FullControl.All Sie benötigen Vollzugriff auf alle Websitesammlungen. Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen im Namen des angemeldeten Benutzers zu erlangen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Sites.Read.All Elemente in allen Websitesammlungen lesen Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer lesen. Ja
Sites.ReadWrite.All Lese-/Schreibzugriff auf Elemente in allen Websitesammlungen Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Ja
Sites.Manage.All Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen Websitesammlungen Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer zu verwalten und zu erstellen. Ja
Sites.FullControl.All Sie benötigen Vollzugriff auf alle Websitesammlungen. Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen ohne angemeldeten Benutzer zu erlangen. Ja
Sites.Selected Auf ausgewählte Websitesammlungen zugreifen Der App Zugriff auf eine Teilmenge der Websitesammlungen gewähren, ohne dass ein Benutzer angemeldet ist. Die spezifischen Websitesammlungen und gewährten Berechtigungen werden in SharePoint Online konfiguriert. Ja

HinwBemerkungeneise

Websiteberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten. Die Anwendungsberechtigung Sites.Selected ist nur in der Microsoft Graph-API verfügbar.

Verwendungsbeispiel

Delegiert

  • Sites.Read.All: Die Listen auf der SharePoint-Stammwebsite lesen (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All: Neue Listenelemente in einer SharePoint-Liste erstellen (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All: Neue Liste zu einer SharePoint-Website hinzufügen (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All: Vollständiger Zugriff auf SharePoint-Websites und -Listen.

Berechtigungen zur Anfrage zu Rechten betroffener Personen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
SubjectRightsRequest.Read.All Anfragen zu Rechten betroffener Personen lesen Ermöglicht der App Anfragen zu Rechten betroffener Personen im Namen des angemeldeten Benutzers zu lesen. Ja Nein
SubjectRightsRequest.ReadWrite.All Anfragen zu Betroffenenrechten automatisieren lesen und schreiben Ermöglicht der App Anfragen zu Rechten betroffener Personen im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

  • SubjectRightsRequest.Read.All_: Abrufen der Liste der Für den Benutzer verfügbaren Anfragen zu Rechten betroffener Personen (GET /privacy/subjectrightsrequests).
  • SubjectRightsRequest.ReadWrite.All: Erstellen einer Anforderung zu Rechten betroffener Personen (POST /privacy/subjectrightsrequests).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Aufgabenberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Tasks.Read Lesen von Aufgaben und Aufgabenlisten des Benutzers (Vorschau) Ermöglicht der App, die Aufgaben und Aufgabenlisten des angemeldeten Benutzers zu lesen, einschließlich aller für den Benutzer freigegebenen Aufgaben und Aufgabenlisten. Enthält keine Berechtigung zum Erstellen, Löschen oder Aktualisieren von Objekten. Nein Ja
Tasks.Read.Shared Benutzeraufgaben und freigegebene Aufgaben lesen (Vorschau) Ermöglicht der App, Aufgaben zu lesen, für die ein Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben. Nein Nein
Tasks.ReadWrite Erstellen, Lesen, Aktualisieren und Löschen von Aufgaben und Aufgabenlisten des Benutzers (Vorschau) Ermöglicht der App, die Aufgaben und Aufgabenlisten des angemeldeten Benutzers zu erstellen, zu lesen, zu aktualisieren und zu löschen, einschließlich aller für den Benutzer freigegebenen Aufgaben und Aufgabenlisten. Nein Ja
Tasks.ReadWrite.Shared Benutzeraufgaben und freigegebene Aufgaben lesen und schreiben (Vorschau) Ermöglicht der App, Aufgaben zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die ein Benutzer über Berechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben. Nein Nein

Anwendungsberechtigungen

Keine.

HinwBemerkungeneise

Berechtigungen für Aufgaben werden zum Steuern des Zugriffs für To-Do-Aufgaben und Outlook-Aufgaben (veraltet) verwendet. Der Zugriff auf Microsoft Planner-Aufgaben wird von Berechtigungen für Gruppen gesteuert.

Freigegebene Berechtigungen werden derzeit nur für Geschäfts-, Schul- oder Unikonten unterstützt. Selbst mit freigegebenen Berechtigungen können Fehler bei Lese- oder Schreibvorgängen auftreten, wenn der Benutzer, dem der freigegebene Inhalt gehört, dem zugreifenden Benutzer keine Berechtigungen zum Ändern von Inhalten im Ordner gewährt hat.

Verwendungsbeispiel

Delegiert

  • Tasks.Read: Alle Aufgaben im Postfach eines Benutzers abrufen (GET /me/outlook/tasks).
  • Tasks.Read.Shared: Auf Aufgaben in einem Ordner zugreifen, der von einem anderen Benutzer in Ihrer Organisation für Sie freigegeben wurde (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: Ein Ereignis zum Standardaufgabenordner des Benutzers hinzufügen (POST /me/outlook/tasks).
  • Tasks.Read: Alle unerledigten Aufgaben im Postfach eines Benutzers abrufen (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: Eine Aufgabe im Postfach eines Benutzers aktualisieren (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: Eine Aufgabe im Namen eines anderen Benutzers ausführen (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Taxonomie-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TermStore.Read.All Terminologiespeicher-Daten lesen Ermöglicht der App das Lesen verschiedener Begriffe, Sets und Gruppen im Terminologiespeicher Ja Nein
TermStore.ReadWrite.All Alle Terminologiespeicher-Daten lesen und schreiben Ermöglicht der App verschiedener Begriffe, Sets und Gruppen im Terminologiespeicher zu bearbeiten oder zu löschen Ja Nein

Bemerkungen

Taxonomie-Berechtigungen gelten nur für Geschäfts-oder Schulkonten.

Verwendungsbeispiel

Delegiert

  • TermStore.Read.All: TermStore für den Mandanten lesen (GET /termStore)
  • TermStore.ReadWrite.All: Neue Begriffe im TermStore erstellen (POST /termStore/sets/123/children)

Teams-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Namen und Beschreibungen von Teams lesen Teamnamen und -beschreibungen im Namen des angemeldeten Benutzers lesen. Nein Nein
Team.Erstellen Teams erstellen Teams im Namen des angemeldeten Benutzers erstellen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Abrufen einer Liste aller Teams Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
Team.Erstellen Teams erstellen Teams erstellen, ohne dass ein Benutzer angemeldet ist. Ja Nein
Teamwork.Migrate.All Migration zu Microsoft Teams verwalten Erstellen und Verwalten von Ressourcen für die Migration zu Microsoft Teams Ja Ja

Berechtigungen für Teameinstellungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamSettings.Read.All Teameinstellungen lesen Im Namen des angemeldeten Benutzers die Einstellungen dieses Teams lesen. Ja Nein
TeamSettings.ReadWrite.All Teameinstellungen lesen und ändern Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen und ändern. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamSettings.Read.All Lesezugriff auf die Einstellungen aller Teams Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamSettings.ReadWrite.All Lesen und Ändern der Einstellungen aller Teams. Die Einstellungen aller Teams lesen und ändern, ohne dass ein Benutzer angemeldet ist. Ja Nein

Teams-Aktivitätsberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsActivity.Read (private Vorschau) Teamarbeit-Aktivitätsfeed des Benutzers lesen Ermöglicht der App, den Teamarbeit-Aktivitätsfeed des angemeldeten Benutzers zu lesen. Nein Nein
TeamsActivity.Send Teamarbeitaktivität als Benutzer senden Ermöglicht der App, neue Benachrichtigungen in den Teamwork-Aktivitäts-Feeds der Benutzer im Namen des angemeldeten Benutzers zu erstellen. Diese Benachrichtigungen sind möglicherweise nicht auffindbar oder werden von Compliance-Richtlinien gestoppt oder geregelt. Nein Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsActivity.Read.All (private Vorschau) Teamarbeit-Aktivitätsfeed aller Benutzer lesen Ermöglicht der App, den Teamarbeit-Aktivitätsfeed aller Benutzer zu lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamsActivity.Send Teamarbeitaktivität an beliebige Benutzer senden Ermöglicht der App, neue Benachrichtigungen in den Teamwork-Aktivitäts-Feeds der Benutzer zu erstellen, ohne dass ein Benutzer angemeldet ist. Diese Benachrichtigungen sind möglicherweise nicht auffindbar oder werden von Compliance-Richtlinien gestoppt oder geregelt. Ja Nein

Teams-App-Berechtigungen (veraltet)

Hinweis

Diese Berechtigungen sind veraltet. Verwenden Sie stattdessen die entsprechenden „TeamsAppInstallation.*. All“-Berechtigungen.

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsApp.Read.All (Veraltet) Alle installierten Teams-Apps lesen Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen, und zwar in allen Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsApp.ReadWrite.All (Veraltet) Alle Teams-Apps verwalten Ermöglicht es der App, Microsoft Teams-Apps im Namen des angemeldeten Benutzers zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, und zwar auch für Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsApp.Read.All (Veraltet) Alle installierten Teams-Apps der Benutzer lesen Ermöglicht es der App, installierte Microsoft Teams-Apps für sämtliche Benutzer zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsApp.ReadWrite.All (Veraltet) Alle Teams-Apps der Benutzer verwalten Ermöglicht es der App, Microsoft Teams-Apps für sämtliche Benutzer zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen. Ja Nein

Installationsberechtigungen für die Teams-App

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsAppInstallation.ReadForUser Die installierten Teams-Apps des Benutzers lesen Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Nein Nein
TeamsAppInstallation.ReadWriteForUser Installierte Microsoft Teams-Apps des Benutzers verwalten Ermöglicht es der App, die für den angemeldeten Benutzers installierten Microsoft Teams-Apps zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsAppInstallation.ReadWriteSelfForUser Zulassen, dass die App sich in Teams selbst verwaltet Ermöglicht es einer Microsoft-Teams-App, sich in Teams, auf die der angemeldete Benutzer zugreifen kann, selbst zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Nein Nein
TeamsAppInstallation.ReadForTeam In Teams installierte Microsoft Teams-Apps lesen Ermöglicht es der App, die in Microsoft Teams installierten Microsoft Teams-Apps zu lesen, auf die der angemeldete Benutzer Zugriff hat. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsAppInstallation.ReadWriteForTeam In Teams installierte Microsoft Teams-Apps verwalten Ermöglicht es der App, die in Microsoft Teams installierten Microsoft Teams-Apps zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, auf die der angemeldete Benutzer Zugriff hat. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsAppInstallation.ReadWriteSelfForTeam Zulassen, dass die App sich in Teams selbst verwaltet Ermöglicht es einer Microsoft-Teams-App, sich in Teams, auf die der angemeldete Benutzer zugreifen kann, selbst zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
TeamsAppInstallation.ReadForUser.All Installierte Microsoft Teams-Apps für alle Benutzer lesen Ermöglicht es der App, installierte Microsoft Teams-Apps für sämtliche Benutzer zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteForUser.All Verwalten von Microsoft Teams-Apps für alle Benutzer Ermöglicht es der App, Microsoft Teams-Apps für sämtliche Benutzer zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteSelfForUser.All Zulassen, dass die App sich für alle Benutzer selbst verwaltet Ermöglicht es einer Microsoft-Teams-App, sich selbst für einen Benutzer zu lesen, installieren, aktualisieren und deinstallieren, ohne dass ein Benutzer angemeldet ist. Ja
TeamsAppInstallation.ReadForTeam.All Installierte Microsoft Teams-Apps für alle Teams lesen Ermöglicht es der App, alle für ein beliebiges Team installierten Microsoft Teams-Apps zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteForTeam.All Verwalten von Microsoft Teams-Apps für alle Teams Ermöglicht der App das Lesen, Installieren, Aktualisieren und Deinstallieren von Teams-Apps in jedem Team ohne einen angemeldeten Benutzer. Bietet keine Möglichkeit zum Lesen anwendungsspezifischer Einstellungen. Ja
TeamsAppInstallation.ReadWriteSelfForTeam.All Zulassen, dass die Microsoft Teams-App sich selbst für alle Teams verwaltet Ermöglicht es einer Microsoft-Teams-App, sich selbst in einem Team zu lesen, installieren, aktualisieren und deinstallieren, ohne dass ein Benutzer angemeldet ist. Ja

Berechtigungen für die Teams-Geräteverwaltung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamworkDevice.Read.All Teams-Geräte lesen. Ermöglicht der App, die Verwaltungsdaten für Teams-Geräte im Namen des angemeldeten Benutzers zu lesen. Ja Nein
TeamworkDevice.ReadWrite.All Lesen und Schreiben von Teams-Geräten. Ermöglicht der App, die Verwaltungsdaten für Teams-Geräte im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamworkDevice.Read.All Teams-Geräte lesen. Ermöglicht der App, die Verwaltungsdaten für Teams-Geräte zu lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamworkDevice.ReadWrite.All Lesen und Schreiben von Teams-Geräten. Ermöglicht der App das Lesen und Schreiben der Verwaltungsdaten für Teams-Geräte, ohne dass ein Benutzer angemeldet ist. Ja Nein

Berechtigungen für Teammitglieder

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamMember.Read.All Die Mitglieder von Teams lesen. Die Mitglieder von Teams lesen, im Namen des angemeldeten Benutzers. Ja Nein
TeamMember.ReadWrite.All Sie können Mitglieder zu Teams hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu Teams hinzu und entfernen Sie sie, im Namen des angemeldeten Benutzers. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamMember.Read.All Die Mitglieder aller Teams lesen. Die Mitglieder aller Teams lesen, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamMember.ReadWrite.All Sie können Mitglieder zu allen Teams hinzufügen und daraus entfernen. Fügen Sie Mitglieder zu allen Teams hinzu und entfernen Sie sie, ohne dass ein Benutzer angemeldet ist. Ermöglicht auch die Änderung der Rolle eines Teammitglieds, beispielsweise von Besitzer zu Nicht-Besitzer. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamSettings.Read.Group Lesen der Einstellungen dieses Teams. Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Nein Nein
TeamSettings.ReadWrite.Group Aktualisieren Sie die Einstellungen für dieses Team. Lese- und Schreibzugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Nein Nein
ChannelSettings.Read.Group Lesezugriff auf die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams. Lesen Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
ChannelSettings.ReadWrite.Group Aktualisieren Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams. Aktualisieren Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
Channel.Create.Group Erstellen von Kanälen in diesem Team. Erstellen Sie Kanäle in diesem Team, ohne einen angemeldeten Benutzer. Nein Nein
Channel.Delete.Group Löschen der Kanäle dieses Teams. Löschen Sie die Kanäle dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
ChannelMessage.Read.Group Lesen der Kanalnachrichten des Teams. Erlaubt einer App, die Kanalnachrichten dieses Teams zu lesen, ohne einen angemeldeten Benutzer. Nein Nein
TeamsAppInstallation.Read.Group Sehen, welche Apps in diesem Team installiert sind. Sehen Sie, welche Apps in diesem Team installiert sind, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Read.Group Lesen der Registerkarten dieses Teams. Lesen Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Create.Group Erstellen von Registerkarten in diesem Team. Erstellen Sie Registerkarten in diesem Team, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.ReadWrite.Group Aktualisieren Sie die Registerkarten dieses Teams. Aktualisieren Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
TeamsTab.Delete.Group Löschen der Registerkarten dieses Teams. Löschen Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer. Nein Nein
TeamMember.Read.Group Lesen Sie die Mitglieder dieses Teams. Lesen Sie die Mitglieder dieses Teams, ohne dass ein Benutzer angemeldet ist. Nein Nein
Member.Read.Group Lesen Sie die Mitglieder dieser Gruppe. Lesen der Mitglieder dieser Gruppe, ohne dass ein Benutzer angemeldet ist. Nein Nein
Owner.Read.Group Lesen Sie die Besitzer dieser Gruppe. Lesen der Besitzer dieser Gruppe, ohne dass ein Benutzer angemeldet ist. Nein Nein
File.Read.Group Lesen der Dateien und Ordner dieses Teams. Beschränkter Support.
(Vorschau) Lesen Sie die Dateien und Ordner dieses Teams, ohne einen angemeldeten Benutzer.
Nein Nein
TeamsActivity.Send.Group Senden von Aktivitätsfeed-Benachrichtigungen an Benutzer in diesem Team. Ermöglicht der App, neue Benachrichtigungen in den Teamarbeits-Aktivitätsfeeds der Benutzer in diesem Team ohne einen angemeldeten Benutzer zu erstellen. Nein Nein

Berechtigungen für Teams-Einstellungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Namen und Beschreibungen von Teams lesen Teamnamen und -beschreibungen im Namen des angemeldeten Benutzers lesen. Nein Nein
TeamSettings.Read.All Teameinstellungen lesen Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen. Ja Nein
TeamSettings.ReadWrite.All Teameinstellungen lesen und ändern. Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen und ändern. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Team.ReadBasic.All Abrufen einer Liste aller Teams. Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamSettings.Read.All Lesezugriff auf die Einstellungen aller Teams Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamSettings.ReadWrite.All Lesen und Ändern der Einstellungen aller Teams Die Einstellungen aller Teams lesen und ändern, ohne dass ein Benutzer angemeldet ist. Ja Nein

Berechtigungen zu Teams-Registerkarten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsTab.Read.All Registerkarten in Microsoft Teams lesen. Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen, und zwar in allen Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen. Ja Nein
TeamsTab.ReadWrite.All Registerkarten in Microsoft Teams lesen und schreiben. Ermöglicht es der App, Microsoft Teams-Apps im Namen des angemeldeten Benutzers zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, und zwar auch für Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen. Ja Nein
TeamsTab.Create Registerkarten in Microsoft Teams erstellen. Ermöglicht der App, Registerkarten in einem beliebigen Team in Microsoft Teams im Auftrag des angemeldeten Benutzers zu erstellen. Dies bietet keine Möglichkeit, Registerkarten nach ihrer Erstellung zu lesen, zu ändern, zu löschen oder Zugriff auf die Inhalte darauf zu gewähren. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamsTab.Read.All Registerkarten in Microsoft Teams lesen. Lesen Sie die Namen und Einstellungen von Registerkarten in einem beliebigen Team in Microsoft Teams ohne angemeldeten Benutzer. Dadurch wird kein Zugriff auf die Inhalte auf den Registerkarten gewährt. Ja Nein
TeamsTab.ReadWrite.All Registerkarten in Microsoft Teams lesen und schreiben. Lesen und schreiben Sie Registerkarten in einem Team in Microsoft Teams ohne angemeldeten Benutzer. Dadurch wird kein Zugriff auf die Inhalte auf den Registerkarten gewährt. Ja Nein
TeamsTab.Create Registerkarten in Microsoft Teams erstellen. Ermöglicht der App, Registerkarten in einem beliebigen Team in Microsoft Teams ohne angemeldeten Benutzer zu erstellen. Dies bietet keine Möglichkeit, Registerkarten nach ihrer Erstellung zu lesen, zu ändern, zu löschen oder Zugriff auf die Inhalte darauf zu gewähren. Ja Nein

Teams-Tagberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamworkTag.ReadWrite Tags in Microsoft Teams lesen und schreiben. Ermöglicht es der App, im Auftrag des angemeldeten Benutzers Tags in Teams zu lesen und zu schreiben. Ja Nein
TeamworkTag.Read Tags in Microsoft Teams lesen. Ermöglicht es der App, im Auftrag des angemeldeten Benutzers Tags in Teams zu lesen. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
TeamworkTag.ReadWrite.All Tags in Microsoft Teams lesen und schreiben. Ermöglicht der App das Lesen und Schreiben von Tags in Microsoft Teams, ohne dass ein Benutzer angemeldet ist. Ja Nein
TeamworkTag.Read.All Tags in Microsoft Teams lesen. Ermöglicht der App das Lesen von Tags in Microsoft Teams, ohne dass ein Benutzer angemeldet ist Ja Nein

Nutzungsbedingungen für Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Agreement.Read.All Lesen aller Vereinbarungen der Nutzungsbedingungen. Ermöglicht der App, Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
Agreement.ReadWrite.All Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen. Ermöglicht der App, die Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Ja Nein
AgreementAcceptance.Read Lesen der Annahmestatus der Nutzungsbedingungen Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
AgreementAcceptance.Read.All Lesen der Annahmestatus der Nutzungsbedingungen, auf die der Benutzer zugreifen kann Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein

Hinweise

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App alle Vereinbarungen oder Vereinbarungsannahmen mit delegierten Berechtigungen lesen oder schreiben kann, muss der angemeldete Benutzer der Rolle „Globaler Administrator“, „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“ zugewiesen sein. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:

  • Agreement.Read.All: Lesen aller Vereinbarungen der Nutzungsbedingungen (GET /beta/agreements)
  • Agreement.ReadWrite.All: Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen (POST /beta/agreements)
  • AgreementAcceptance.Read: Lesen der Annahmestatus der Nutzungsbedingungen (GET /beta/me/agreementAcceptances)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.


Berechtigungen zur Risikobewertung

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
ThreatAssessment.ReadWrite.All Lesen und Schreiben von Anforderungen zur Bedrohungseinschätzung Ermöglicht einer App, die Anforderungen zur Bedrohungseinschätzung Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Außerdem kann die App neue Anforderungen zum Bewerten von Bedrohungen erstellen, die von Ihrer Organisation im Namen des angemeldeten Benutzers empfangen wurden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
ThreatAssessment.Read.All Lesen von Anforderungen zur Bedrohungseinschätzung Ermöglicht einer App, die Anforderungen zur Bedrohungseinschätzung Ihrer Organisation ohne angemeldeten Benutzer zu lesen. Ja

Bemerkungen

Berechtigungen für Bedrohungseinschätzungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert

  • ThreatAssessment.ReadWrite.All: Lesen und Schreiben von Anforderungen zur Bedrohungseinschätzung (POST /informationProtection/threatAssessmentRequests)

Anwendung

  • ThreatAssessment.ReadWrite.All: Lesen und Schreiben von Bewertungsanforderungen (GET /informationProtection/threatAssessmentRequests)

Berechtigungen für Universelles Drucken

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
Printer.Create Drucker registrieren Ermöglicht der Anwendung das Erstellen (Registrieren) von Druckern im Auftrag des angemeldeten Benutzers. Ja Nein
Printer.FullControl.All Registrieren, Lesen, Aktualisieren und Aufheben der Registrierung von Druckern Ermöglicht der Anwendung das Erstellen (Registrieren), Lesen, Aktualisieren und Löschen (Aufheben der Registrierung) von Druckern im Auftrag des angemeldeten Benutzers. Ja Nein
Printer.Read.All Drucker lesen Ermöglicht es der Anwendung, Drucker im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
Printer.ReadWrite.All Lesen und Aktualisieren von Druckern Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckern im Auftrag des angemeldeten Benutzers. Erlaubt nicht das Erstellen (Registrieren) oder Löschen (Aufheben der Registrierung) von Druckern. Ja Nein
PrinterShare.ReadBasic.All Lesen von grundlegenden Informationen zu Druckerfreigaben Ermöglicht der Anwendung das Lesen von grundlegenden Informationen zu Druckerfreigaben im Auftrag des angemeldeten Benutzers. Ermöglicht nicht das Lesen von Zugriffssteuerungsinformationen. Nein Nein
PrinterShare.Read.All Lesen von Druckerfreigaben Ermöglicht der Anwendung das Lesen von Druckerfreigaben im Auftrag des angemeldeten Benutzers. Nein Nein
PrinterShare.ReadWrite.All Lesen und Schreiben von Druckerfreigaben Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckerfreigaben im Auftrag des angemeldeten Benutzers. Ja Nein
PrintJob.Create Erstellen von Druckaufträgen Ermöglicht der Anwendung das Erstellen von Druckaufträgen im Auftrag des angemeldeten Benutzers und das Hochladen von Dokumentinhalten, um Aufträge zu drucken, die vom angemeldeten Benutzer erstellt wurden. Nein Nein
PrintJob.Read Lesen von Druckaufträgen des Benutzers Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen, die vom angemeldeten Benutzer erstellt wurden, zu lesen. Nein Nein
PrintJob.Read.All Lesen von Druckaufträgen Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen. Ja Nein
PrintJob.ReadBasic Grundlegende Informationen zu Druckaufträgen des Benutzers lesen Ermöglicht der Anwendung, die Metadaten von vom angemeldeten Benutzer erstellten Druckaufträgen zu lesen. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Nein Nein
PrintJob.ReadBasic.All Grundlegende Informationen zu Druckaufträgen lesen Ermöglicht der Anwendung, die Metadaten von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja Nein
PrintJob.ReadWrite Lesen und Schreiben von Druckaufträgen des Benutzers Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen, die vom angemeldeten Benutzer erstellt wurden, zu lesen und zu aktualisieren. Nein Nein
PrintJob.ReadWrite.All Lese- und Schreibzugriff auf Druckaufträge Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen und zu aktualisieren. Ja Nein
PrintJob.ReadWriteBasic Grundlegende Informationen zu Druckaufträgen des Benutzers lesen und schreiben Ermöglicht der Anwendung, die Metadaten von vom angemeldeten Benutzer erstellten Druckaufträgen zu lesen und zu aktualisieren. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Nein Nein
PrintJob.ReadWriteBasic.All Lesen und Schreiben von grundlegenden Informationen zu Druckaufträgen Ermöglicht der Anwendung, die Metadaten von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen und zu aktualisieren. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja Nein
PrintConnector.Read.All Lesezugriff auf Connectors Ermöglicht der Anwendung das Lesen von Connectors im Auftrag des angemeldeten Benutzers. Ja Nein
PrintConnector.ReadWrite.All Lese- und Schreibzugriff auf Druckconnectors Ermöglicht der Anwendung das Lesen und Schreiben von Druckconnectors im Auftrag des angemeldeten Benutzers. Ja Nein
PrintSettings.Read.All Lesen von mandantenübergreifenden Druckeinstellungen Ermöglicht der Anwendung das Lesen von Druckeinstellungen im Auftrag des angemeldeten Benutzers. Ja Nein
PrintSettings.ReadWrite.All Lesen und Schreiben von mandantenübergreifenden Druckeinstellungen Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckeinstellungen im Auftrag des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
Printer.Read.All Drucker lesen Ermöglicht es der Anwendung, Drucker ohne einen angemeldeten Benutzer zu lesen. Ja
Printer.ReadWrite.All Lesen und Aktualisieren von Druckern Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckern ohne einen angemeldeten Benutzer. Erlaubt nicht das Erstellen (Registrieren) oder Löschen (Aufheben der Registrierung) von Druckern. Ja
PrintJob.Manage.All Ausführen von komplexen Vorgängen für Druckaufträge Ermöglicht es der Anwendung, komplexe Vorgänge auszuführen, z. B. die Umleitung eines Druckauftrags an einen anderen Drucker, ohne dass ein Benutzer angemeldet ist. Ermöglicht der Anwendung auch, die Metadaten von Druckaufträgen zu lesen und zu aktualisieren. Ja
PrintJob.Read.All Lesen von Druckaufträgen Ermöglicht der Anwendung das Lesen der Metadaten und Dokumentinhalte von Druckaufträgen, ohne dass ein Benutzer angemeldet ist. Ja
PrintJob.ReadBasic.All Grundlegende Informationen für Druckaufträge lesen Ermöglicht der Anwendung, die Metadaten von Druckaufträgen zu lesen, ohne dass ein Benutzer angemeldet ist. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja
PrintJob.ReadWrite.All Lese- und Schreibzugriff auf Druckaufträge Ermöglicht der Anwendung das Lesen und Aktualisieren der Metadaten und Dokumentinhalte von Druckaufträgen, ohne dass ein Benutzer angemeldet ist. Ja
PrintJob.ReadWriteBasic.All Lese- und Schreibzugriff auf grundlegende Informationen für Druckaufträge Ermöglicht der Anwendung, die Metadaten von Druckaufträgen zu lesen und zu aktualisieren, ohne dass ein Benutzer angemeldet ist. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente. Ja
PrintTaskDefinition.ReadWrite.All Lesen, Schreiben und Aktualisieren von Druckauftragsdefinitionen Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckauftragsdefinitionen ohne einen angemeldeten Benutzer. Ja

Bemerkungen

  • Um den Dienst "Universelles Drucken" nutzen zu können, muss der Benutzer oder der Mandant der App zusätzlich zu den oben aufgeführten Berechtigungen über ein aktives Abonnement für "Universelles Drucken" verfügen.

  • Einige Berechtigungen unterscheiden zwischen Metadaten und Nutzlast des Druckauftrags. Metadaten beschreiben die Konfiguration eines Druckauftrags (seinen Namen und die Dokumentenkonfiguration, z. B. ob er geheftet oder in Farbe gedruckt werden soll). Die Nutzlast sind die Dokumentdaten selbst (die zu druckende PDF- oder XPS-Datei).

  • Alle PrintJob.*-Berechtigungen erfordern außerdem mindestens die Berechtigung "Printer.Read.All" (oder eine privilegiertere Berechtigung), da Druckaufträge in Druckern gespeichert werden.

Verwendungsbeispiel

Delegiert

  • Printer.Read.All: Abrufen einer Liste aller Drucker im Mandanten (GET /print/printers)
  • PrintJob.Read.All: Abrufen einer Liste aller Druckaufträge in der Warteschlange eines Druckers (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: Löschen (Aufheben der Registrierung) eines Druckers (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: Aktualisieren von Metadaten (z. B. aktueller Status) von Druckaufträgen (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: Erstellen und von Druckaufträgen und Hochladen von Dokumentdaten in diese (POST /print/printers/{id}/jobs)

Anwendung

  • Printer.Read.All: Abrufen einer Liste aller Drucker im Mandanten (GET /print/printers)

Benutzerberechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
User.Read Anmelden und Benutzerprofil lesen Damit können Benutzer sich bei der App anmelden, und die App kann das Profil von angemeldeten Benutzern lesen. Die App kann auch grundlegende Unternehmensinformationen von angemeldeten Benutzern lesen. Nein Ja
User.ReadWrite Lese- und Schreibzugriff auf Benutzerprofile Ermöglicht der App, das vollständige Profil des angemeldeten Benutzers zu lesen. Darüber hinaus kann die App die Profilinformationen des angemeldeten Benutzers in seinem Namen aktualisieren. Nein Ja
User.ReadBasic.All Grundlegende Profile aller Benutzer lesen Ermöglicht der App, einen grundlegenden Satz von Profileigenschaften anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Dazu gehören der Anzeigename, der Vor-und Nachname, die E-Mail-Adresse, Durchwahlen und Foto. Ermöglicht der App auch, das vollständige Profil des angemeldeten Benutzers zu lesen. Nein Nein
User.Read.All Lesezugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ja Nein
User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App außerdem, im Namen des angemeldeten Benutzers Benutzer zu erstellen und zu löschen sowie Benutzerkennwörter zurückzusetzen. Ja Nein
User.Invite.All Gastbenutzer zur Organisation einladen Ermöglicht der App, Gastbenutzer im Namen des angemeldeten Benutzers zu Ihrer Organisation einzuladen. Ja Nein
User.Export.All Daten des Benutzers exportieren Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren. Dies muss von einem Unternehmensadministrator ausgeführt werden. Ja Nein
User.ManageIdentities.All Verwalten von Benutzeridentitäten Ermöglicht einer Anwendung das Lesen, Aktualisieren und Löschen von Identitäten, die mit dem Konto eines Benutzers verknüpft sind, auf die der angemeldete Benutzer zugreifen kann. Damit wird gesteuert, mit welchen Identitäten sich die Benutzer anmelden können. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
User.Read.All Lesezugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichte und Vorgesetzte von anderen Benutzern in Ihrer Organisation ohne angemeldeten Benutzers zu lesen. Ja
User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Ermöglicht der App außerdem, Benutzer zu erstellen, die kein Administrator sind. Ermöglicht nicht das Zurücksetzen von Benutzerkennwörtern. Ja
User.Invite.All Gastbenutzer zur Organisation einladen Ermöglicht der App, Gastbenutzer ohne einen angemeldeten Benutzer zu Ihrer Organisation einzuladen. Ja
User.Export.All Daten des Benutzers exportieren Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren, ohne dass der Benutzer angemeldet sein muss. Ja
User.ManageIdentities.All Verwalten aller Benutzeridentitäten Ermöglicht einer Anwendung das Lesen, Aktualisieren und Löschen von Identitäten, die mit dem Konto eines Benutzers verknüpft sind, und zwar ohne angemeldeten Benutzer. Damit wird gesteuert, mit welchen Identitäten sich Benutzer anmelden können. Ja

Bemerkungen

Mit der Berechtigung User.Read kann eine App auch die grundlegenden Unternehmensinformationen des angemeldeten Benutzers für ein Geschäfts-, Schul- oder Unikonto über die organization-Ressource lesen. Die folgenden Eigenschaften sind verfügbar: id, displayName und verifiedDomains.

Für Geschäfts-, Schul- oder Unikonten enthält das vollständige Profil alle deklarierten Eigenschaften der User-Ressource. Bei Lesevorgängen wird standardmäßig nur eine begrenzte Anzahl von Eigenschaften zurückgegeben. Um Eigenschaften zu lesen, die nicht im Standardsatz enthalten sind, verwenden Sie $select. Die Standardeigenschaften sind folgende:

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

Die delegierten Berechtigungen User.ReadWrite und User.Readwrite.All ermöglichen der App, die folgenden Profileigenschaften für Geschäfts-, Schul- oder Unikonten zu aktualisieren:

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • photo
  • preferredName
  • responsibilities
  • schools
  • skills

Mit der Anwendungsberechtigung User.ReadWrite.All kann die App alle deklarierten Eigenschaften von Geschäfts-, Schul- oder Unikonten mit Ausnahme des Kennworts aktualisieren.

Mit der delegierten Berechtigung User.ReadWrite.All oder der Anwendungsberechtigung ist das Aktualisieren von businessPhones, mobilePhone oder otherMails eines anderen Benutzers nur für Benutzer zulässig, die keine Administratoren sind oder einer der folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Nachrichtencenterleser und Berichtsleser. Weitere Informationen finden Sie unter Helpdesk (Kennwort) Administrator in Azure AD-verfügbaren Rollen.

Zum Lesen oder Schreiben von direkten Mitarbeitern (directReports) oder des Vorgesetzten (manager) eines Geschäfts-, Schul- oder Unikontos benötigt die App entweder die Berechtigung User.Read.All (schreibgeschützt) oder User.ReadWrite.All.

Die Berechtigung User.ReadBasic.All schränkt den App-Zugriff auf einen begrenzten Satz von Eigenschaften ein, der als grundlegendes Profil bezeichnet wird. Grund hierfür ist, dass das vollständige Profil möglicherweise vertrauliche Verzeichnisinformationen enthält. Das grundlegende Profil umfasst lediglich die folgenden Eigenschaften:

  • displayName
  • givenName
  • mail
  • photo
  • surname
  • userPrincipalName

Zum Lesen der Gruppenmitgliedschaften eines Benutzers (memberOf) benötigt die App entweder die Berechtigung Group.Read.All oder Group.ReadWrite.All. Wenn der Benutzer jedoch auch Mitglied in einer directoryRole oder administrativeUnit ist, benötigt die App außerdem effektive Berechtigungen zum Lesen dieser Ressourcen; andernfalls gibt Microsoft Graph einen Fehler zurück. Dies bedeutet, dass die App auch Verzeichnisberechtigungen benötigt; für delegierte Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation, um auf Verzeichnisrollen und administrative Einheiten zuzugreifen.

Mit delegierten oder Anwendungsberechtigung User.ManageIdentities.All ist es möglich, die Identitäten (identities) eines Benutzers zu aktualisieren. Dazu gehören Verbundidentitäten (bzw. soziale Identitäten) oder lokale Identitäten mit E-Mail- oder namensbasierten Anmeldenamen.

Verwendungsbeispiel

Delegiert

  • User.Read: Das vollständige Profil des angemeldeten Benutzers lesen (GET /me).
  • User.ReadWrite: Das Foto des angemeldeten Benutzers aktualisieren (PUT /me/photo/$value).
  • User.ReadBasic.All: Alle Benutzer suchen, deren Name mit „David“ beginnt (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: Den Vorgesetzten eines Benutzers lesen (GET /users/{id | userPrincipalName}/manager).

Anwendung

  • User.Read.All: Alle Benutzer und Beziehungen über eine Delta-Abfrage lesen (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: Das Foto eines beliebigen Benutzers in der Organisation aktualisieren (PUT /users/{id | userPrincipalName}/photo/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Benutzeraktivitäten

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
UserActivity.ReadWrite.CreatedByApp Lesen und Schreiben der App-Aktivität in den Aktivitätsfeed der Benutzer Ermöglicht der App, die Aktivitäten des angemeldeten Benutzers in der App zu lesen und eine Bericht zu erstellen. Nein Ja

Anwendungsberechtigungen

Keine.

Bemerkungen

UserActivity.ReadWrite.CreatedByApp gilt sowohl für Microsoft- als auch Geschäfts-, Schul- und Unikonten.

Die CreatedByApp-Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst die implizite Filterung auf die Ergebnisse basierend auf der Identität der aufrufenden Anwendung anwendet, entweder der MSA-App-ID oder einem Satz von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.

Verwendungsbeispiel

Delegiert

  • UserActivity.ReadWrite.CreatedByApp: Abrufen einer Liste der letzten eindeutigen Benutzeraktivitäten basierend auf den zugehörigen Verlaufselementen, die im letzten Tag veröffentlicht wurden. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren einer Benutzeraktivität, die vom Benutzer der Anwendung möglicherweise fortgesetzt wird. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren eines Verlaufselements für eine bestimmte Benutzeraktivität, um den Zeitraum des Benutzereinsatzes darzustellen. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: Löschen einer Benutzeraktivität als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten. (DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: Löschen eines Verlaufselements als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten. (DELETE /me/activities/{id}/historyItems/{id}).

Berechtigungen der Benutzerauthentifizierungsmethode (Vorschau)

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
UserAuthenticationMethod.Read(Vorschau) Lesen eigener Authentifizierungsmethoden Ermöglicht der App, die Authentifizierungsmethoden des angemeldeten Benutzers zu lesen, einschließlich der Telefonnummern und der Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden des signierten Benutzers anderweitig zu verwenden. Ja Nein
UserAuthenticationMethod.Read.All (Vorschau) Lesen der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation zu lesen, auf die der angemeldete Benutzer zugreifen kann. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja Nein
UserAuthenticationMethod.ReadWrite (Vorschau) Verwalten eigener Authentifizierungsmethoden Ermöglicht der App, die Authentifizierungsmethoden des angemeldeten Benutzers zu lesen und einzugeben, einschließlich der Telefonnummern und der Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden des signierten Benutzers anderweitig zu verwenden. Ja Nein
UserAuthenticationMethod.ReadWrite.All (Vorschau) Verwalten der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation zu lesen und einzugeben, auf die der angemeldete Benutzer zugreifen kann. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
UserAuthenticationMethod.Read.All (Vorschau) Lesen der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja
UserAuthenticationMethod.ReadWrite.All (Vorschau) Verwalten der Authentifizierungsmethoden des Benutzers Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und einzugeben. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden. Ja

Bemerkungen

Berechtigungen der Benutzerauthentifizierungsmethode werden verwendet, um Authentifizierungsmethoden für Benutzer zu verwalten. Mit diesen Berechtigungen kann ein delegierter Benutzer oder eine delegierte Anwendung neue Authentifizierungsmethoden für einen Benutzer registrieren, die Authentifizierungsmethoden, die der Benutzer bereits registriert hat, lesen sowie diese Authentifizierungsmethoden aktualisieren und aus dem Konto des Benutzers entfernen.

Mit diesen Berechtigungen können alle Authentifizierungsmethoden für einen Benutzer gelesen und verwaltet werden. Dies umfasst Methoden, die für Folgendes verwendet werden:

  • Primäre Authentifizierung (Kennwort)
  • Zweiter Faktor für die mehrstufige Authentifizierung/MFA (Telefonnummern)
  • Zurücksetzen von Kennwörtern durch den Benutzer – Self-Service Password Reset, SSPR – (E-Mail-Adressen)

Windows Updates-Berechtigungen

Delegierte Berechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich Microsoft-Konto wird unterstützt
WindowsUpdates.ReadWrite.All Lesen und Schreiben aller Bereitstellungseinstellungen für Windows Update Ermöglicht der App das Lesen und Schreiben aller Windows Update-Bereitstellungseinstellungen für die Organisation im Auftrag des angemeldeten Benutzers. Ja Nein

Anwendungsberechtigungen

Berechtigung Anzeigezeichenfolge Beschreibung Administratorzustimmung erforderlich
WindowsUpdates.ReadWrite.All Lesen und Schreiben aller Bereitstellungseinstellungen für Windows Update Ermöglicht der App das Lesen und Schreiben aller Windows Update-Bereitstellungseinstellungen für die Organisation ohne angemeldeten Benutzer. Ja

Hinweise

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App Lese- und Schreibzugriff auf alle Windows Update-Bereitstellungseinstellungen hat, muss dem angemeldeten Benutzer die Rolle „Globaler Administrator“, „Intune-Administrator“ oder „Windows Update-Bereitstellungsadministrator“ zugewiesen werden. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

  • WindowsUpdates.ReadWrite.All: Erstellen einer Bereitstellung (POST /beta/admin/windows/updates/deployments).

Anwendung

  • WindowsUpdates.ReadWrite.All: Erstellen einer Bereitstellung (POST /beta/admin/windows/updates/deployments).

Berechtigungsszenarios

In diesem Abschnitt werden einige gängige Szenarios für user und group-Ressourcen in einer Organisation erläutert. In den Tabellen sind die Berechtigungen aufgeführt, die eine App benötigt, um bestimmte Vorgänge auszuführen, die das Szenario erfordert. Beachten Sie, dass in einigen Fällen die Möglichkeit der App zur Ausführung bestimmter Vorgänge davon abhängig ist, ob eine Berechtigung eine Anwendungs- oder eine delegierte Berechtigung ist. Im Falle von delegierten Berechtigungen hängen die effektiven Berechtigungen der App auch von den Berechtigungen des angemeldeten Benutzers innerhalb der Organisation ab. Weitere Informationen finden Sie unter Delegierte Berechtigungen, Anwendungsberechtigungen und effektive Berechtigungen.

Zugriffsszenarios für die User-Ressource

App-Aufgaben, die den Benutzer betreffen Erforderliche Berechtigungen Berechtigungszeichenfolgen
Die App möchte die grundlegenden Informationen von anderen Benutzern lesen (nur Anzeigename und Bild), beispielsweise um diese in einer Personenauswahl anzuzeigen. User.ReadBasic.All Grundlegende Profile aller Benutzer lesen
Die App möchte das vollständige Benutzerprofil des angemeldeten Benutzers lesen (direkte Mitarbeiter, Vorgesetzte usw.). User.Read Anmelden und Lesen von Benutzerprofilen zulassen
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen. User.Read.All Lesezugriff auf vollständige Profile aller Benutzer
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen. User.Read, Files.Read, Mail.Read, Calendars.Read Anmeldung aktivieren und Lesezugriff auf Benutzerprofil, Lesezugriff auf Benutzerdateien, Lesezugriff auf Benutzer-E-Mails, Lesezugriff auf Benutzerkalender
Die App möchte die Dateien des angemeldeten Benutzers (eigene) Dateien und Dateien, die andere Benutzer für den angemeldeten Benutzer (mich) freigegeben haben, lesen. User.Read, Files.Read, Sites.Read.All Anmeldung aktivieren und Benutzerprofile lesen, Dateien von Benutzern lesen, Artikel in allen Websitesammlungen lesen
Die App möchte das vollständige Benutzerprofil für den angemeldeten Benutzer lesen und schreiben. User.ReadWrite Lese- und Schreibzugriff auf Benutzerprofile
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen und schreiben. User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen und schreiben. User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzer-E-Mails, Vollzugriff auf Benutzerkalender
Die App möchte eine Datenrichtlinien-Verarbeitungsanforderung zum Exportieren der persönlichen Daten eines Benutzers senden User.Export.All Exportieren der persönlichen Daten eines Benutzers.

Zugriffsszenarios für die Group-Ressource

App-Aufgaben, die die Gruppe betreffen Erforderliche Berechtigungen Berechtigungszeichenfolgen
Die App möchte die grundlegenden Gruppeninformationen (nur Anzeigename und Bild) lesen, beispielsweise um diese in einer Gruppenauswahl anzuzeigen. Group.Read.All Lesezugriff auf alle Gruppen
Die App möchte alle Inhalte in allen Microsoft 365-Gruppen lesen, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer). Group.Read.All Lesezugriff auf Elemente in allen Websitesammlungen, Lesezugriff auf alle Gruppen
Die App möchte alle Inhalte in allen Microsoft 365-Gruppen lesen und schreiben, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer). Group.ReadWrite.All, Sites.ReadWrite.All Lese- und Schreibzugriff auf alle Gruppen, Bearbeiten oder Löschen von Artikeln in allen Websitesammlungen
Die App möchte eine Microsoft 365-Gruppe ermitteln (suchen). Der Benutzer kann eine bestimmte Gruppe suchen und aus der Aufzählungsliste eine Gruppe auswählen, damit der Benutzer der Gruppe beitreten kann. Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen
Die App möchte über AAD Graph eine Gruppe erstellen. Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen

Alle Berechtigungen und IDs

Berechtigung Typ ID
AccessReview.Read.All Anwendung d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.Read.All Delegiert ebfcd32b-babb-40f4-a14b-42706e83bd28
AccessReview.ReadWrite.All Anwendung ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.All Delegiert e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.Membership Anwendung 18228521-a591-40f1-b215-5fad4488c117
AccessReview.ReadWrite.Membership Delegiert 5af8c3f5-baca-439a-97b0-ea58a435e269
AdministrativeUnit.Read.All Anwendung 134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.Read.All Delegiert 3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.ReadWrite.All Anwendung 5eb59dd3-1da2-4329-8733-9dabdc435916
AdministrativeUnit.ReadWrite.All Delegiert 7b8a2d34-6b3f-4542-a343-54651608ad81
Agreement.Read.All Anwendung 2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.Read.All Delegiert af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.ReadWrite.All Anwendung c9090d00-6101-42f0-a729-c41074260d47
Agreement.ReadWrite.All Delegiert ef4b5d93-3104-4664-9053-a5c49ab44218
AgreementAcceptance.Read Delegiert 0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All Anwendung d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
AgreementAcceptance.Read.All Delegiert a66a5341-e66e-4897-9d52-c2df58c2bfb9
Analytics.Read Delegiert e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All Anwendung b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.Read.All Delegiert 1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.ReadWrite.All Anwendung 1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
APIConnectors.ReadWrite.All Delegiert c67b52c5-7c69-48b6-9d48-7b3af3ded914
AppCatalog.Read.All Anwendung e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.Read.All Delegiert 88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.ReadWrite.All Anwendung dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.ReadWrite.All Delegiert 1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.Submit Delegiert 3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All Anwendung 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.Read.All Delegiert c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.ReadWrite.All Application 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.All Delegiert bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.OwnedBy Anwendung 18a4783c-866b-4cc7-a460-3d5e5662c884
AppRoleAssignment.ReadWrite.All Anwendung 06b708a9-e830-4db3-a914-8e69da51d44f
AppRoleAssignment.ReadWrite.All Delegiert 84bccea3-f856-4a8a-967b-dbe0a3d53a64
Approval.Read.All Delegiert 1196552e-b226-4363-b01e-b8901fe10a11
Approval.ReadWrite.All Delegiert 1d3d0bc7-4b3a-427a-ae9f-6de4e1edc95f
AttackSimulation.Read.All Anwendung 93283d0a-6322-4fa8-966b-8c121624760d
AttackSimulation.Read.All Delegiert 104a7a4b-ca76-4677-b7e7-2f4bc482f381
AuditLog.Read.All Anwendung b0afded3-3588-46d8-8b3d-9842eff778da
AuditLog.Read.All Delegiert e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuthenticationContext.Read.All Anwendung 381f742f-e1f8-4309-b4ab-e3d91ae4c5c1
AuthenticationContext.Read.All Delegiert 57b030f1-8c35-469c-b0d9-e4a077debe70
AuthenticationContext.ReadWrite.All Anwendung a88eef72-fed0-4bf7-a2a9-f19df33f8b83
AuthenticationContext.ReadWrite.All Delegiert ba6d575a-1344-4516-b777-1404f5593057
BitlockerKey.Read.All Anwendung 57f1cf28-c0c4-4ec3-9a30-19a2eaaf2f6e
BitlockerKey.Read.All Delegiert b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.ReadBasic.All Anwendung f690d423-6b29-4d04-98c6-694c42282419
BitlockerKey.ReadBasic.All Delegiert 5a107bfc-4f00-4e1a-b67e-66451267bc68
Bookings.Manage.All Delegiert 7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All Anwendung 6e98f277-b046-4193-a4f2-6bf6a78cd491
Bookings.Read.All Delegiert 33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All Delegiert 948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All Anwendung 9769393e-5a9f-4302-9e3d-7e018ecb64a7
BookingsAppointment.ReadWrite.All Delegiert 02a5a114-36a6-46ff-a102-954d89d9ab02
Calendars.Read Anwendung 798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read Delegiert 465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read.Shared Delegiert 2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadWrite Anwendung ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite Delegiert 1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite.Shared Delegiert 12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All Anwendung a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All Anwendung 45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All Anwendung a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All Anwendung 284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All Anwendung 4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All Anwendung f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallAsGuest.All Anwendung fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create Anwendung f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Create Delegiert 101147cf-4178-4455-9d58-02b5c164e759
Channel.Delete.All Anwendung 6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.Delete.All Delegiert cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.ReadBasic.All Anwendung 59a6b24b-4225-4393-8165-ebaec5f55d7a
Channel.ReadBasic.All Delegiert 9d8982ae-4365-4f57-95e9-d6032a4c0b87
ChannelMember.Read.All Anwendung 3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.Read.All Delegiert 2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.ReadWrite.All Anwendung 35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMember.ReadWrite.All Delegiert 0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMessage.Edit Delegiert 2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All Anwendung 7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Read.All Delegiert 767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.ReadWrite Delegiert 5922d31f-46c8-4404-9eaf-2117e390a8a4
ChannelMessage.Send Delegiert ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All Anwendung 4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All Anwendung c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.Read.All Delegiert 233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.ReadWrite.All Anwendung 243cded2-bd16-4fd6-a953-ff8177894c3d
ChannelSettings.ReadWrite.All Delegiert d649fb7c-72b4-4eec-b2b4-b15acf79e378
Chat.Create Anwendung d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Create Delegiert 38826093-1258-4dea-98f0-00003be2b8d0
Chat.Read Delegiert f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All Anwendung 6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.ReadBasic Delegiert 9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All Anwendung b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadWrite Delegiert 9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All Anwendung 294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.UpdatePolicyViolation.All Anwendung 7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read Delegiert c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All Anwendung a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.ReadWrite Delegiert dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All Anwendung 57257249-34ce-4810-a8a2-a03adf0c5693
ChatMessage.Read Delegiert cdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All Anwendung b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send Delegiert 116b7235-7cc6-461e-b163-8e55691d839e
CloudPC.Read.All Anwendung a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.Read.All Delegiert 5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC.ReadWrite.All Anwendung 3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
CloudPC.ReadWrite.All Delegiert 9d77138f-f0e2-47ba-ab33-cd246c8b79d1
ConsentRequest.Read.All Anwendung 1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.Read.All Delegiert f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.ReadWrite.All Anwendung 9f1b81a7-0223-4428-bfa4-0bcb5535f27d
ConsentRequest.ReadWrite.All Delegiert 497d9dfa-3bd1-481a-baab-90895e54568c
Contacts.Read Anwendung 089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read Delegiert ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read.Shared Delegiert 242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite Anwendung 6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite Delegiert d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite.Shared Delegiert afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All Anwendung cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantInformation.ReadBasic.All Delegiert 81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantUserProfileSharing.Read Delegiert cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All Anwendung 8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.Read.All Delegiert 759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.ReadWrite Delegiert eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All Anwendung 306785c5-c09b-4ba0-a4ee-023f3da165cb
CrossTenantUserProfileSharing.ReadWrite.All Delegiert 64dfa325-cbf8-48e3-938d-51224a0cac01
CustomAuthenticationExtension.Read.All Anwendung 88bb2658-5d9e-454f-aacd-a3933e079526
CustomAuthenticationExtension.Read.All Delegiert b2052569-c98c-4f36-a5fb-43e5c111e6d0
CustomAuthenticationExtension.ReadWrite.All Anwendung c2667967-7050-4e7e-b059-4cbbb3811d03
CustomAuthenticationExtension.ReadWrite.All Delegiert 8dfcf82f-15d0-43b3-bc78-a958a13a5792
CustomAuthenticationExtension.Receive.Payload Anwendung 214e810f-fda8-4fd7-a475-29461495eb00
CustomSecAttributeAssignment.Read.All Anwendung 3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.Read.All Delegiert b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.ReadWrite.All Anwendung de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeAssignment.ReadWrite.All Delegiert ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeDefinition.Read.All Anwendung b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.Read.All Delegiert ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.ReadWrite.All Anwendung 12338004-21f4-4896-bf5e-b75dfaf1016d
CustomSecAttributeDefinition.ReadWrite.All Delegiert 8b0160d4-5743-482b-bb27-efc0a485ca4a
DelegatedAdminRelationship.Read.All Anwendung f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.Read.All Delegiert 0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.ReadWrite.All Anwendung cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedAdminRelationship.ReadWrite.All Delegiert 885f682f-a990-4bad-a642-36736a74b0c7
DelegatedPermissionGrant.ReadWrite.All Anwendung 8e8e4742-1d95-4f68-9d56-6ee75648c72a
DelegatedPermissionGrant.ReadWrite.All Delegiert 41ce6ca6-6826-4807-84f1-1c82854f7ee5
Device.Command Delegiert bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read Delegiert 11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All Anwendung 7438b122-aefc-4978-80ed-43db9fcc7715
Device.Read.All Delegiert 951183d1-1a61-466f-a6d1-1fde911bfd95
Device.ReadWrite.All Anwendung 1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceManagementApps.Read.All Anwendung 7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.Read.All Delegiert 4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.ReadWrite.All Anwendung 78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementApps.ReadWrite.All Delegiert 7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementConfiguration.Read.All Anwendung dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.Read.All Delegiert f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.ReadWrite.All Anwendung 9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementConfiguration.ReadWrite.All Delegiert 0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementManagedDevices.PrivilegedOperations.All Anwendung 5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.PrivilegedOperations.All Delegiert 3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.Read.All Anwendung 2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.Read.All Delegiert 314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.ReadWrite.All Anwendung 243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementManagedDevices.ReadWrite.All Delegiert 44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementRBAC.Read.All Anwendung 58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.Read.All Delegiert 49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.ReadWrite.All Anwendung e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementRBAC.ReadWrite.All Delegiert 0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementServiceConfig.Read.All Anwendung 06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.Read.All Delegiert 8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.ReadWrite.All Anwendung 5ac13192-7ace-4fcf-b828-1a26f28068ee
DeviceManagementServiceConfig.ReadWrite.All Delegiert 662ed50a-ac44-4eef-ad86-62eed9be2a29
Directory.AccessAsUser.All Delegiert 0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All Anwendung 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.Read.All Delegiert 06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.ReadWrite.All Anwendung 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.ReadWrite.All Delegiert c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.Write.Restricted Anwendung f20584af-9290-4153-9280-ff8bb2c0ea7f
Directory.Write.Restricted Delegiert cba5390f-ed6a-4b7f-b657-0efc2210ed20
DirectoryRecommendations.Read.All Anwendung ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.Read.All Delegiert 34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.ReadWrite.All Anwendung 0e9eea12-4f01-45f6-9b8d-3ea4c8144158
DirectoryRecommendations.ReadWrite.All Delegiert f37235e8-90a0-4189-93e2-e55b53867ccd
Domain.Read.All Anwendung dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.Read.All Delegiert 2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.ReadWrite.All Anwendung 7e05723c-0bb0-42da-be95-ae9f08a6e53c
Domain.ReadWrite.All Delegiert 0b5d694c-a244-4bde-86e6-eb5cd07730fe
EAS.AccessAsUser.All Delegiert ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All Anwendung 50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.Read.All Delegiert 99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.ReadWrite.All Anwendung b2620db1-3bf7-4c5b-9cb9-576d29eac736
eDiscovery.ReadWrite.All Delegiert acb8f680-0834-4146-b69e-4ab1b39745ad
EduAdministration.Read Delegiert 8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All Anwendung 7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite Delegiert 63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All Anwendung 9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read Delegiert 091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All Anwendung 4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic Delegiert c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All Anwendung 6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite Delegiert 2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All Anwendung 0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic Delegiert 2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All Anwendung f431cc63-a2de-48c4-8054-a34bc093af84
EduRoster.Read Delegiert a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All Anwendung e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic Delegiert 5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All Anwendung 0d412a8c-a06c-439f-b3ec-8abcf54d2f96
EduRoster.ReadWrite Delegiert 359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All Anwendung d1808e82-ce13-47af-ae0d-f9b254e6d58a
email Delegiert 64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All Anwendung c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.Read.All Delegiert 5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.ReadWrite.All Anwendung 9acd699f-1e81-4958-b001-93b1d2506e19
EntitlementManagement.ReadWrite.All Delegiert ae7a573d-81d7-432b-ad44-4ed5c9d89038
EventListener.Read.All Anwendung b7f6385c-6ce6-4639-a480-e23c42ed9784
EventListener.Read.All Delegiert f7dd3bed-5eec-48da-bc73-1c0ef50bc9a1
EventListener.ReadWrite.All Anwendung 0edf5e9e-4ce8-468a-8432-d08631d18c43
EventListener.ReadWrite.All Delegiert d11625a6-fe21-4fc6-8d3d-063eba5525ad
EWS.AccessAsUser.All Delegiert 9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All Anwendung 1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.Read.All Delegiert a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.ReadWrite.All Anwendung 34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.All Delegiert bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.OwnedBy Anwendung f431331c-49a6-499f-be1c-62af19c34a9d
ExternalConnection.ReadWrite.OwnedBy Delegiert 4082ad95-c812-4f02-be92-780c4c4f1830
ExternalItem.Read.All Anwendung 7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.Read.All Delegiert 922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.ReadWrite.All Anwendung 38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.All Delegiert b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.OwnedBy Anwendung 8116ae0f-55c2-452d-9944-d18420f5b2c8
ExternalItem.ReadWrite.OwnedBy Delegiert 4367b9d7-cee7-4995-853c-a0bdfe95c1f9
Family.Read Delegiert 3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read Delegiert 10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All Anwendung 01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.All Delegiert df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.Selected Delegiert 5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite Delegiert 5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All Anwendung 75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.All Delegiert 863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.AppFolder Delegiert 8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected Delegiert 17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All Delegiert f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create Anwendung bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All Anwendung 5b567255-7703-4780-807c-7be8301ae99b
Group.Read.All Delegiert 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.ReadWrite.All Anwendung 62a82d76-70ea-41e2-9197-370581804d09
Group.ReadWrite.All Delegiert 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
GroupMember.Read.All Anwendung 98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.Read.All Delegiert bc024368-1153-4739-b217-4326f2e966d0
GroupMember.ReadWrite.All Anwendung dbaae8cf-10b5-4b86-a4a1-f871c94c6695
GroupMember.ReadWrite.All Delegiert f81125ac-d3b7-4573-a3b2-7099cc39df9e
IdentityProvider.Read.All Anwendung e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.Read.All Delegiert 43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.ReadWrite.All Anwendung 90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityProvider.ReadWrite.All Delegiert f13ce604-1677-429f-90bd-8a10b9f01325
IdentityRiskEvent.Read.All Anwendung 6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.Read.All Delegiert 8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.ReadWrite.All Anwendung db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskEvent.ReadWrite.All Delegiert 9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskyServicePrincipal.Read.All Anwendung 607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.Read.All Delegiert ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.ReadWrite.All Anwendung cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyServicePrincipal.ReadWrite.All Delegiert bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyUser.Read.All Anwendung dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.Read.All Delegiert d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.ReadWrite.All Anwendung 656f6061-f9fe-4807-9708-6a2e0934df76
IdentityRiskyUser.ReadWrite.All Delegiert e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityUserFlow.Read.All Anwendung 1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.Read.All Delegiert 2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.ReadWrite.All Anwendung 65319a09-a2be-469d-8782-f6b07debf789
IdentityUserFlow.ReadWrite.All Delegiert 281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IMAP.AccessAsUser.All Delegiert 652390e4-393a-48de-9484-05f9b1212954
InformationProtectionContent.Sign.All Anwendung cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All Anwendung 287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read Delegiert 4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All Anwendung 19da66cb-0fb0-4390-b071-ebc76a349482
LicenseAssignment.ReadWrite.All Anwendung 5facf0c1-8979-4e95-abcf-ff3d079771c0
LicenseAssignment.ReadWrite.All Delegiert f55016cc-149c-447e-8f21-7cf3ec1d6350
Mail.Read Anwendung 810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read Delegiert 570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read.Shared Delegiert 7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic Anwendung 6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic Delegiert a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic.All Anwendung 693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadWrite Anwendung e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite Delegiert 024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite.Shared Delegiert 5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send Anwendung b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send Delegiert e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send.Shared Delegiert a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read Anwendung 40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.Read Delegiert 87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.ReadWrite Anwendung 6931bccd-447a-43d1-b442-00a195474933
MailboxSettings.ReadWrite Delegiert 818c620a-27a9-40bd-a6a5-d96f7d610b4b
ManagedTenants.Read.All Delegiert dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All Delegiert b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden Anwendung 658aa5d8-239f-45c4-aa12-864f4fc7e490
Member.Read.Hidden Delegiert f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Notes.Create Delegiert 9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read Delegiert 371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All Anwendung 3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.Read.All Delegiert dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.ReadWrite Delegiert 615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All Anwendung 0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.All Delegiert 64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.CreatedByApp Delegiert ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp Delegiert 89497502-6e42-46a2-8cb2-427fd3df970a
offline_access Delegiert 7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All Anwendung df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingArtifact.Read.All Delegiert 110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingRecording.Read.All Anwendung a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetingRecording.Read.All Delegiert 190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetings.Read Delegiert 9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All Anwendung c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite Delegiert a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All Anwendung b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All Anwendung a4a80d8d-d283-4bd8-8504-555ec3870630
OnlineMeetingTranscript.Read.All Delegiert 30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnPremisesPublishingProfiles.ReadWrite.All Anwendung 0b57845e-aa49-4e6f-8109-ce654fffa618
OnPremisesPublishingProfiles.ReadWrite.All Delegiert 8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
openid Delegiert 37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All Anwendung 498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.Read.All Delegiert 4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.ReadWrite.All Anwendung 292d869f-3427-49a8-9dab-8c70152b74e9
Organization.ReadWrite.All Delegiert 46ca0847-7e6b-426e-9775-ea810a948356
OrgContact.Read.All Anwendung e1a88a34-94c4-4418-be12-c87b00e26bea
OrgContact.Read.All Delegiert 08432d1b-5911-483c-86df-7980af5cdee0
People.Read Delegiert ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All Anwendung b528084d-ad10-4598-8b93-929746b4d7d6
People.Read.All Delegiert b89f9189-71a5-4e70-b041-9887f0bc7e4a
Place.Read.All Anwendung 913b9306-0ce1-42b8-9137-6a7df690a760
Place.Read.All Delegiert cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.ReadWrite.All Delegiert 4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All Anwendung 246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.All Delegiert 572fea84-0151-49b2-9301-11cb16974376
Policy.Read.ConditionalAccess Anwendung 37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.ConditionalAccess Delegiert 633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.PermissionGrant Anwendung 9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.Read.PermissionGrant Delegiert 414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.ReadWrite.AccessReview Anwendung 77c863fd-06c0-47ce-a7eb-49773e89d319
Policy.ReadWrite.AccessReview Delegiert 4f5bc9c8-ea54-4772-973a-9ca119cb0409
Policy.ReadWrite.ApplicationConfiguration Anwendung be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.ApplicationConfiguration Delegiert b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.AuthenticationFlows Anwendung 25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationFlows Delegiert edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationMethod Anwendung 29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.AuthenticationMethod Delegiert 7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.Authorization Anwendung fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.Authorization Delegiert edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.ConditionalAccess Anwendung 01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConditionalAccess Delegiert ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConsentRequest Anwendung 999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.ConsentRequest Delegiert 4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.CrossTenantAccess Anwendung 338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.CrossTenantAccess Delegiert 014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.DeviceConfiguration Delegiert 40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.FeatureRollout Anwendung 2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.FeatureRollout Delegiert 92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.MobilityManagement Delegiert a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant Anwendung a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.PermissionGrant Delegiert 2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.TrustFramework Anwendung 79a677f7-b79d-40d0-a36a-3e6f8688dd7a
Policy.ReadWrite.TrustFramework Delegiert cefba324-1a70-4a6e-9c1d-fd670b7ae392
POP.AccessAsUser.All Delegiert d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read Delegiert 76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All Delegiert 9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite Delegiert 8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All Anwendung 83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All Delegiert d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All Delegiert 79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create Delegiert 90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All Delegiert 93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All Anwendung 9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.Read.All Delegiert 3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.ReadWrite.All Anwendung f5b3f73d-6247-44df-a74c-866173fddab0
Printer.ReadWrite.All Delegiert 89f66824-725f-4b8f-928e-e1c5258dc565
PrinterShare.Read.All Delegiert ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All Delegiert 5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All Delegiert 06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create Delegiert 21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All Anwendung 58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read Delegiert 248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All Anwendung ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.Read.All Delegiert afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.ReadBasic Delegiert 6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All Anwendung fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadBasic.All Delegiert 04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadWrite Delegiert b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All Anwendung 5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWrite.All Delegiert 036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWriteBasic Delegiert 6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All Anwendung 57878358-37f4-4d3a-8c20-4816e0d457b1
PrintJob.ReadWriteBasic.All Delegiert 3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintSettings.Read.All Anwendung b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.Read.All Delegiert 490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.ReadWrite.All Delegiert 9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All Anwendung 456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD Anwendung 4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureAD Delegiert b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureADGroup Anwendung 01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureADGroup Delegiert d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureResources Anwendung 5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.Read.AzureResources Delegiert 1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.ReadWrite.AzureAD Anwendung 854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureAD Delegiert 3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureADGroup Anwendung 2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureADGroup Delegiert 32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureResources Anwendung 6f9d5abc-2db6-400b-a267-7de22a40fb87
PrivilegedAccess.ReadWrite.AzureResources Delegiert a84a9652-ffd3-496e-a991-22ba5529156a
Profil Delegiert 14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All Anwendung eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.Read.All Delegiert c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.ReadWrite.All Anwendung 60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
ProgramControl.ReadWrite.All Delegiert 50fd364f-9d93-4ae1-b170-300e87cccf84
RecordsManagement.Read.All Anwendung ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.Read.All Delegiert 07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.ReadWrite.All Anwendung eb158f57-df43-4751-8b21-b8932adb3d34
RecordsManagement.ReadWrite.All Delegiert f2833d75-a4e6-40ab-86d4-6dfe73c97605
Reports.Read.All Anwendung 230c1aed-a721-4c5d-9cb4-a90514e508ef
Reports.Read.All Delegiert 02e97553-ed7b-43d0-ab3c-f8bace0d040c
RoleAssignmentSchedule.Read.Directory Delegiert 344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory Delegiert 8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory Delegiert eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory Delegiert 62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All Anwendung c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.All Delegiert 48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.CloudPC Anwendung 031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.CloudPC Delegiert 9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.Directory Anwendung 483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.Read.Directory Delegiert 741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.ReadWrite.CloudPC Anwendung 274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.CloudPC Delegiert 501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.Directory Anwendung 9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagement.ReadWrite.Directory Delegiert d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagementPolicy.Read.Directory Delegiert 3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.Directory Delegiert 1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All Anwendung 7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.Read.All Delegiert fccf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.ReadWrite.All Anwendung b7760610-0545-4e8a-9ec3-cce9e63db01c
Schedule.ReadWrite.All Delegiert 63f27281-c9d9-4f29-94dd-6942f7f1feb0
SearchConfiguration.Read.All Anwendung ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.Read.All Delegiert 7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.ReadWrite.All Anwendung 0e778b85-fefa-466d-9eec-750569d92122
SearchConfiguration.ReadWrite.All Delegiert b1a7d408-cab0-47d2-a2a5-a74a3733600d
SecurityActions.Read.All Anwendung 5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.Read.All Delegiert 1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.ReadWrite.All Anwendung f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityActions.ReadWrite.All Delegiert dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityAlert.Read.All Anwendung 472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.Read.All Delegiert bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.ReadWrite.All Anwendung ed4fca05-be46-441f-9803-1873825f8fdb
SecurityAlert.ReadWrite.All Delegiert 471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityEvents.Read.All Anwendung bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.Read.All Delegiert 64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.ReadWrite.All Anwendung d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityEvents.ReadWrite.All Delegiert 6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityIncident.Read.All Anwendung 45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.Read.All Delegiert b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.ReadWrite.All Anwendung 34bf0e97-1971-4929-b999-9e2442d941d7
SecurityIncident.ReadWrite.All Delegiert 128ca929-1a19-45e6-a3b8-435ec44a36ba
ServiceHealth.Read.All Anwendung 79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceHealth.Read.All Delegiert 55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceMessage.Read.All Anwendung 1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessage.Read.All Delegiert eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessageViewpoint.Write Delegiert 636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All Anwendung 5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.Read.All Delegiert 9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.ReadWrite.All Anwendung 89c8469c-83ad-45f7-8ff2-6e3d4285709e
ServicePrincipalEndpoint.ReadWrite.All Delegiert 7297d82c-9546-4aed-91df-3d4f0a9b3ff0
SharePointTenantSettings.Read.All Anwendung 83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.Read.All Delegiert 2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.ReadWrite.All Anwendung 19b94e34-907c-4f43-bde9-38b1909ed408
SharePointTenantSettings.ReadWrite.All Delegiert aa07f155-3612-49b8-a147-6c590df35536
ShortNotes.Read Delegiert 50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All Anwendung 0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite Delegiert 328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All Anwendung 842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All Anwendung a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.FullControl.All Delegiert 5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.Manage.All Anwendung 0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Manage.All Delegiert 65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Read.All Anwendung 332a536c-c7ef-4017-ab91-336970924f0d
Sites.Read.All Delegiert 205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.ReadWrite.All Anwendung 9492366f-7969-46a4-8d15-ed1a20078fff
Sites.ReadWrite.All Delegiert 89fe6a52-be36-487e-b7d8-d061c450a026
Sites.Selected Anwendung 883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send Delegiert 258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All Anwendung ee1460f0-368b-4153-870a-4e1ca7e72c42
SubjectRightsRequest.Read.All Delegiert 9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All Anwendung 8387eaa4-1a3c-41f5-b261-f888138e6041
SubjectRightsRequest.ReadWrite.All Delegiert 2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All Delegiert 5f88184c-80bb-4d52-9ff2-757288b2e9b7
Tasks.Read Delegiert f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All Anwendung f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared Delegiert 88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite Delegiert 2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All Anwendung 44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared Delegiert c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Erstellen Anwendung 23fc2474-f741-46ce-8465-674744c5c361
Team.Erstellen Delegiert 7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.ReadBasic.All Anwendung 2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
Team.ReadBasic.All Delegiert 485be79e-c497-4b35-9400-0e3fa7f2a5d4
TeamMember.Read.All Anwendung 660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.Read.All Delegiert 2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.ReadWrite.All Anwendung 0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWrite.All Delegiert 4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWriteNonOwnerRole.All Anwendung 4437522e-9a86-4a41-a7da-e380edd4a97d
TeamMember.ReadWriteNonOwnerRole.All Delegiert 2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamsActivity.Read Delegiert 0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All Anwendung 70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send Anwendung a267235f-af13-44dc-8385-c1dc93023186
TeamsActivity.Send Delegiert 7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsAppInstallation.ReadForChat Delegiert bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All Anwendung cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam Delegiert 5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All Anwendung 1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser Delegiert c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All Anwendung 9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteForChat Delegiert aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All Anwendung 9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam Delegiert 2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All Anwendung 5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser Delegiert 093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All Anwendung 74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat Delegiert 0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All Anwendung 73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam Delegiert 0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All Anwendung 9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser Delegiert 207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All Anwendung 908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All Anwendung 242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.Read.All Delegiert 48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.ReadWrite.All Anwendung bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamSettings.ReadWrite.All Delegiert 39d65650-9d3e-4223-80db-a335590d027e
TeamsTab.Create Anwendung 49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Create Delegiert a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Read.All Anwendung 46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.Read.All Delegiert 59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.ReadWrite.All Anwendung a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWrite.All Delegiert b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWriteForChat Delegiert ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All Anwendung fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam Delegiert c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All Anwendung 6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser Delegiert c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All Anwendung 425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat Delegiert 0c219d04-3abf-47f7-912d-5cca239e90e6
TeamsTab.ReadWriteSelfForChat.All Anwendung 9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam Delegiert f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All Anwendung 91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser Delegiert 395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All Anwendung 3c42dec6-49e8-4a0a-b469-36cff0d9da93
Teamwork.Migrate.All Anwendung dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkAppSettings.Read.All Anwendung 475ebe88-f071-4bd7-af2b-642952bd4986
TeamworkAppSettings.ReadWrite.All Anwendung ab5b445e-8f10-45f4-9c79-dd3f8062cc4e
TeamworkDevice.Read.All Anwendung 0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.Read.All Delegiert b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.ReadWrite.All Anwendung 79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkDevice.ReadWrite.All Delegiert ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkTag.Read Delegiert 57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All Anwendung b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite Delegiert 539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All Anwendung a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All Anwendung ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.Read.All Delegiert 297f747b-0005-475b-8fef-c890f5152b38
TermStore.ReadWrite.All Anwendung f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
TermStore.ReadWrite.All Delegiert 6c37c71d-f50f-4bff-8fd3-8a41da390140
ThreatAssessment.Read.All Anwendung f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All Delegiert cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHunting.Read.All Anwendung dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatHunting.Read.All Delegiert b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatIndicators.Read.All Anwendung 197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.Read.All Delegiert 9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.ReadWrite.OwnedBy Anwendung 21792b6c-c986-4ffc-85de-df9da54b52fa
ThreatIndicators.ReadWrite.OwnedBy Delegiert 91e7d36d-022a-490f-a748-f8e011357b42
ThreatSubmission.Read Delegiert fd5353c6-26dd-449f-a565-c4e16b9fce78
ThreatSubmission.Read.All Anwendung 86632667-cd15-4845-ad89-48a88e8412e1
ThreatSubmission.Read.All Delegiert 7083913a-4966-44b6-9886-c5822a5fd910
ThreatSubmission.ReadWrite Delegiert 68a3156e-46c9-443c-b85c-921397f082b5
ThreatSubmission.ReadWrite.All Anwendung d72bdbf4-a59b-405c-8b04-5995895819ac
ThreatSubmission.ReadWrite.All Delegiert 8458e264-4eb9-4922-abe9-768d58f13c7f
ThreatSubmissionPolicy.ReadWrite.All Anwendung 926a6798-b100-4a20-a22f-a4918f13951d
ThreatSubmissionPolicy.ReadWrite.All Delegiert 059e5840-5353-4c68-b1da-666a033fc5e8
TrustFrameworkKeySet.Read.All Anwendung fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.Read.All Delegiert 7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.ReadWrite.All Anwendung 4a771c9a-1cf2-4609-b88e-3d3e02d539cd
TrustFrameworkKeySet.ReadWrite.All Delegiert 39244520-1e7d-4b4a-aee0-57c65826e427
UnifiedGroupMember.Read.AsGuest Delegiert 73e75199-7c3e-41bb-9357-167164dbb415
User.Export.All Anwendung 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All Delegiert 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All Anwendung 09850681-111b-4a89-9bed-3f2cae46d706
User.Invite.All Delegiert 63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.ManageIdentities.All Anwendung c529cfca-c91b-489c-af2b-d92990b66ce6
User.ManageIdentities.All Delegiert 637d7bec-b31e-4deb-acc9-24275642a2c9
User.Read Delegiert e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All Anwendung df021288-bdef-4463-88db-98f22de89214
User.Read.All Delegiert a154be20-db9c-4678-8ab7-66f6cc099a59
User.ReadBasic.All Delegiert b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite Delegiert b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All Anwendung 741f803b-c850-494e-b5df-cde7c675a1ca
User.ReadWrite.All Delegiert 204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
UserActivity.ReadWrite.CreatedByApp Delegiert 47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read Delegiert 1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All Anwendung 38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.Read.All Delegiert aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.ReadWrite Delegiert 48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All Anwendung 50483e42-d915-4231-9639-7fdb7fd190e5
UserAuthenticationMethod.ReadWrite.All Delegiert b7887744-6746-4312-813d-72daeaee7e2d
UserNotification.ReadWrite.CreatedByApp Anwendung 4e774092-a092-48d1-90bd-baad67c7eb47
UserNotification.ReadWrite.CreatedByApp Delegiert 26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserShiftPreferences.Read.All Anwendung de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All Anwendung d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp Delegiert 367492fc-594d-4972-a9b5-0d58c622c91c
WindowsUpdates.ReadWrite.All Anwendung 7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WindowsUpdates.ReadWrite.All Delegiert 11776c0c-6138-4db3-a668-ee621bea2555
WorkforceIntegration.Read.All Delegiert f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All Anwendung 202bf709-e8e6-478e-bcfd-5d63c50b68e3
WorkforceIntegration.ReadWrite.All Delegiert 08c4b377-0d23-4a8b-be2a-23c1c1d88545