Microsoft Graph-Berechtigungsreferenz

Artikel
07/20/2022
133 Minuten Lesedauer

Damit Ihre App auf Daten in Microsoft Graph zugreifen kann, muss der Benutzer oder Administrator ihr die korrekten Berechtigungen über einen Einwilligungsvorgang erteilen. In diesem Thema sind die Berechtigungen aufgelistet, die mit jedem wichtigen Satz von Microsoft Graph-APIs verbunden sind. Es enthält auch Anleitungen zur Verwendung der Berechtigungen.

Hinweis

Als bewährte Methode sollten Sie die Berechtigungen mit den wenigsten Rechten anfordern, die Ihre App benötigt, um auf Daten zuzugreifen und korrekt zu funktionieren. Die Anforderung von Berechtigungen mit mehr als den erforderlichen Rechten ist im Hinblick auf die Sicherheit nicht zu empfehlen und kann dazu führen, dass Benutzer ihre Zustimmung verweigern und die Nutzung Ihrer App beeinträchtigt wird.

Um mehr über die Funktionsweise von Berechtigungen zu erfahren, gehen Sie zuGrundlagen zu Authentifizierung und Berechtigungen und schauen Sie sich das folgende Video an.

Microsoft Graph-Berechtigungsnamen

Die Namen von Microsoft Graph-Berechtigungen entsprechen einem einfachen Muster: Ressource.Vorgang.Einschränkung. Beispielsweise gewährt User.Read die Berechtigung zum Lesen des Profils des angemeldeten Benutzers, User.ReadWrite gewährt die Berechtigung zum Lesen und Ändern des Profils des angemeldeten Benutzers, und Mail.Send gewährt die Berechtigung zum Senden von E-Mails im Namen des angemeldeten Benutzers.

Das Element Einschränkung des Namens bestimmt das potenzielle Ausmaß von Zugriff, den Ihre App im Verzeichnis hat. Derzeit unterstützt Microsoft Graph die folgenden Einschränkungen:

All gewährt der App die Berechtigung, die Vorgänge für alle Ressourcen des angegebenen Typs in einem Verzeichnis auszuführen. Beispielsweise gewährt User.Read.All der App potenziell Rechte zum Lesen der Profile aller Benutzer in einem Verzeichnis.
Shared gewährt der App die Berechtigung, die Vorgänge für Ressourcen auszuführen, die andere Benutzer für den angemeldeten Benutzer freigegeben haben. Diese Einschränkung wird hauptsächlich für Outlook-Ressourcen wie E-Mail, Kalender und Kontakte verwendet. Beispielsweise gewährt Mail.Read.Shared Rechte zum Lesen von E-Mails im Postfach des angemeldeten Benutzers sowie von E-Mails in Postfächern, die andere Benutzer in der Organisation für den angemeldeten Benutzer freigegeben haben.
AppFolder gewährt der App die Berechtigung, Dateien in einem bestimmten Ordner in OneDrive zu lesen und zu schreiben. Diese Einschränkung ist nur für Dateiberechtigungen verfügbar und gilt nur für Microsoft-Konten.
Wenn keine Einschränkung angegeben wird, kann die App die Vorgänge nur für die Ressourcen ausführen, die im Besitz des angemeldeten Benutzers sind. Beispielsweise gewährt User.Read Rechte zum Lesen nur des Profils des angemeldeten Benutzers, und Mail.Read gewährt die Berechtigung zum Lesen nur der E-Mails im Postfach des angemeldeten Benutzers.

Hinweis

In delegierten Szenarien wird der Zugriff Ihrer Anwendung auch durch die Berechtigungen des angemeldeten Benutzers eingeschränkt. Diese Rechte werden durch die zugewiesenen Rollen des Benutzers und deren Beziehung zu den Daten bestimmt, auf die zugegriffen wird. Wenn der angemeldete Benutzer beispielsweise nicht über die entsprechenden Berechtigungen zum Anzeigen einer Datei verfügt, kann die Client-App diese Datei auch nicht lesen, auch wenn der App die File.Read.All delegierte Berechtigung gewährt wird.

Microsoft-Konten und Geschäfts-, Schul- oder Unikonten

Nicht alle Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten. Sie können die Spalte Microsoft-Konto unterstützt für die einzelnen Berechtigungsgruppen überprüfen, um festzustellen, ob eine bestimmte Berechtigung für Microsoft-Konten und/oder Geschäfts-, Schul- oder Unikonten gültig ist.

Grenzwerte für angeforderte Berechtigungen pro App

Azure AD beschränkt die Anzahl der Berechtigungen, die von einer Client-App angefordert und genehmigt werden können. Diese Grenzwerte hängen vom signInAudience Wert für Ihre App ab, der im Manifest der App angegeben ist.

signInAudience	Zulässige Benutzer	Maximale Berechtigungen, welche die App anfordern kann	Maximale Microsoft Graph-Berechtigungen, welche die App anfordern kann	Maximale Berechtigungen, die in einer einzelnen Anforderung genehmigt werden können
AzureADMyOrg	Benutzer aus der Organisation, in der die App registriert ist	400	400	Etwa 155 delegierte Berechtigungen und etwa 300 Anwendungsberechtigungen
AzureADMultipleOrgs	Benutzer aus einer beliebigen Azure AD-Organisation	400	400	Etwa 155 delegierte Berechtigungen und etwa 300 Anwendungsberechtigungen
PersonalMicrosoftAccount	Privatanwender (z. B. Outlook.com- oder Live.com-Konten)	30	30	30
AzureADandPersonalMicrosoftAccount	Privatanwender und Benutzer aus einer beliebigen Azure AD-Organisation	30	30	30

Status der Berechtigungsverfügbarkeit

Microsoft Graph-Berechtigungen im Azure-Portal sind im Allgemeinen verfügbar und im GA-Status für alle Apps verwendbar, mit Ausnahme einiger Sets, die sich im Vorschau- oder im privaten Vorschaustatus befinden. Berechtigungen in der Vorschau sind öffentlich verfügbar. Diese Berechtigungen können sich ändern und werden möglicherweise nicht in den Status ‚Allgemein verfügbar‘ heraufgestuft. Berechtigungen im Status ‚Private Vorschau‘ sind für das Publikum nicht verfügbar und werden dies möglicherweise auch niemals. Verwenden Sie in den Produktions-Apps keine Berechtigungen im Vorschau- oder im privaten Vorschaustatus.

Benutzer- und Gruppensucheinschränkungen für Gastbenutzer in Organisationen

Benutzer- und Gruppensuchfunktionen ermöglichen der App, im Verzeichnis einer Organisation nach beliebigen Benutzern oder Gruppen zu suchen, indem der /users- oder /groups-Ressourcensatz abgefragt wird (z. B. https://graph.microsoft.com/v1.0/users). Sowohl Administratoren als auch Benutzer haben diese Funktion; Gastbenutzer jedoch nicht.

Wenn der angemeldete Benutzer ein Gastbenutzer ist, kann er abhängig von den einer App gewährten Berechtigungen das Profil eines bestimmten Benutzers oder einer bestimmten Gruppe lesen (z. B. https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531); er kann jedoch nicht den /users- oder /groups-Ressourcensatz abfragen, wodurch potenziell mehr als eine einzelne Ressource zurückgegeben wird.

Mit den entsprechenden Berechtigungen kann die App die Profile von Benutzern oder Gruppen lesen, die über Links in Navigationseigenschaften abgerufen werden, beispielsweise /users/{id}/directReports oder /groups/{id}/members.

Eingeschränkte Informationen für unzugängliche Mitgliedsobjekte zurückgegeben

Containerobjekte, z. B. Gruppen, unterstützen Mitglieder verschiedener Typen, z. B. Benutzer und Geräte. Wenn eine Anwendung die Zugehörigkeit zu einem Containerobjekt abfragt und keine Berechtigung zum Lesen eines bestimmten Typs hat, werden Mitglieder dieses Typs zurückgegeben, jedoch mit eingeschränkten Informationen. Die Anwendung erhält eine 200-Antwort und eine Sammlung von Objekten. Für die Objekttypen, welche die Anwendung über Leseberechtigungen verfügt, werden vollständige Informationen zurückgegeben. Für die Objekttypen, welche die Anwendung nicht lesen darf, wird nur der Objekttyp und die ID zurückgegeben.

Dies gilt für alle Beziehungen, die vom Typ directoryObject sind (nicht nur für Mitgliederverknüpfungen). Beispiele sind: /groups/{id}/members, /users/{id}/memberOf oder me/ownedObjects.

Nehmen wir zum Beispiel an, eine Anwendung hat die Berechtigungen User.Read.All und Group.Read.All für Microsoft Graph. Eine Gruppe wurde erstellt und diese Gruppe enthält einen Benutzer, eine Gruppe und ein Gerät. Die Anwendung ruft Gruppenmitglieder auflisten auf. Die Anwendung hat Zugriff auf die Benutzer- und Gruppenobjekte in der Gruppe, aber nicht auf das Geräteobjekt. In der Antwort werden alle ausgewählten Eigenschaften des Benutzer- und Gruppenobjekts zurückgegeben. Für das Geräteobjekt werden jedoch nur eingeschränkte Informationen zurückgegeben. Für das Gerät werden Datentyp und Objekt-ID zurückgegeben, aber alle anderen Eigenschaften weisen den Wert NULL auf. Apps ohne Berechtigung sind nicht in der Lage, die ID zum Abrufen des eigentlichen Objekts zu verwenden.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Im Folgenden finden Sie die JASON-Antwort:

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Zugriffsüberprüfungen Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
AccessReview.Read.All	Lesen von Zugriffsüberprüfungen	Ermöglicht der App, Zugriffsüberprüfungen im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
AccessReview.ReadWrite.All	Verwalten von Zugriffsüberprüfungen	Ermöglicht der App, Zugriffsüberprüfungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein
AccessReview.ReadWrite.Membership	Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwalten	Ermöglicht der App, Zugriffsüberprüfungen für Gruppen und Apps im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
AccessReview.Read.All	Lesen von Zugriffsüberprüfungen	Ermöglicht der App, Zugriffsüberprüfungen ohne einen angemeldeten Benutzer zu lesen.	Ja
AccessReview.ReadWrite.All	Verwalten von Zugriffsüberprüfungen	Ermöglicht der App, Aktionen auf Zugriffsüberprüfungen, Überprüfer, Entscheidungen und Einstellungen in der Organisation ohne einen angemeldeten Benutzer zu lesen, zu aktualisieren, zu löschen und auszuführen.	Ja
AccessReview.ReadWrite.Membership	Zugriffsüberprüfungen für Gruppen- und App-Mitgliedschaften verwalten	Ermöglicht der App, Zugriffsüberprüfungen von Gruppen und Apps ohne einen angemeldeten Benutzer zu verwalten.	Ja

Bemerkungen

AccessReview.Read.All, AccessReview.ReadWrite.All und AccessReview.ReadWrite.Membership gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Gruppe oder App schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.

Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Administrator für privilegierte Rollen. Damit eine App mit delegierten Berechtigungen Zugriffsüberprüfungen einer Azure AD-Rolle schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Berechtigungen für administrative Einheiten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
AdministrativeUnit.Read.All	Lesezugriff auf administrative Einheiten	Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
AdministrativeUnit.ReadWrite.All	Lese- und Schreibzugriff auf administrative Einheiten	Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit im Auftrag des angemeldeten Benutzers zu verwalten.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
AdministrativeUnit.Read.All	Lesezugriff auf alle administrative Einheiten	Ermöglicht der App, administrative Einheiten und die Mitgliedschaft in der administrativen Einheit ohne angemeldeten Benutzer zu lesen.	Ja
AdministrativeUnit.ReadWrite.All	Lese- und Schreibzugriff auf alle administrative Einheiten	Ermöglicht der App, administrative Einheiten zu erstellen, zu lesen, zu aktualisieren und zu löschen und die Mitgliedschaft in der administrativen Einheit ohne einen angemeldeten Benutzer zu verwalten.	Ja

Bemerkungen

Mit der Berechtigung AdministrativeUnit.Read.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder lesen.

Mit der Berechtigung AdministrativeUnit.ReadWrite.All kann eine Anwendung Informationen zu administrativen Einheiten einschließlich Mitglieder erstellen, lesen, aktualisieren und löschen.

AdministrativeUnit.Read.All und AdministrativeUnit.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Hinweis

Der v1.0-Endpunkt für die API der Verwaltungseinheiten lautet/v1.0/directory/administrativeUnits.

AdministrativeUnit.Read.All: Lesezugriff auf administrative Einheiten (GET /beta/administrativeUnits)
AdministrativeUnit.Read.All: Lesezugriff auf Mitgliederlisten einer administrativen Einheit (GET /beta/administrativeUnits/<id>/members)
AdministrativeUnit.ReadWrite.All: Administrative Einheiten erstellen (POST /beta/administrativeUnits)
AdministrativeUnit.ReadWrite.All: Administrative Einheiten aktualisieren (PATCH /beta/administrativeUnits/<id>)
AdministrativeUnit.ReadWrite.All: Mitglieder zu administrativen Einheiten hinzufügen (POST /beta/administrativeUnits/<id>/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Analyse-Ressourcen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Analytics.Read	Lesen von Benutzeraktivitätsstatistiken.	Ermöglicht der App, die Aktivitätsstatistiken des angemeldeten Benutzers zu lesen, beispielsweise, wie viel Zeit der Benutzer mit E-Mails, in Besprechungen oder in Chatsitzungen verbracht hat.	Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

Analytics.Read: Auflisten entsprechender Einstellungen für einen Benutzer (GET /beta/me/analytics/settings)

Anwendung

Keine.

Berechtigungen für AppCatalog-Ressourcen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto erforderlich
AppCatalog.Read.All	Lesezugriff auf alle App-Kataloge	Ermöglicht der App, die Apps in den App-Katalogen auszulesen.	Nein	Nein
AppCatalog.ReadWrite.All	Lese- und Schreibzugriff auf alle App-Kataloge	Ermöglicht der App, Apps in den Apps-Katalogen zu erstellen, zu lesen, zu aktualisieren und zu löschen.	Ja	Nein
AppCatalog.Submit	Eine App zur Überprüfung durch Admin einreichen	Benutzende können Apps zur Überprüfung durch den/die Admin für die Veröffentlichung im App-Katalog einer Organisation einreichen. Benutzende können frühere Einreichungen stornieren, die nicht veröffentlicht wurden. 𝐍𝐎𝐓𝐄: Benutzende, die keine Admins sind, übermitteln Apps zur Überprüfung, indem Sie den `requiresReview=true` Abfrageparameter einschließen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
AppCatalog.Read.All	Lesezugriff auf alle App-Kataloge	Ermöglicht der App, Apps in den App-Katalogen zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja
AppCatalog.ReadWrite.All	Lese- und Schreibzugriff auf alle App-Kataloge	Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Apps in den App-Katalogen, ohne dass ein Benutzer angemeldet ist.	Ja

Hinweise

Derzeit ist der einzige Katalog die Liste der Anwendungen in Microsoft Teams.

Verwendungsbeispiel

Delegiert

AppCatalog.ReadWrite.All: Alle Anwendungen im Katalog auflisten (GET /beta/appCatalogs/teamsApps)
AppCatalog.ReadWrite.All: Eine App veröffentlichen (POST /beta/appCatalogs/teamsApps)
AppCatalog.ReadWrite.All: Eine veröffentlichte App aktualisieren (PATCH /beta/appCatalogs/teamsApps/{id})
AppCatalog.ReadWrite.All: Eine veröffentlichte App entfernen (DELETE /beta/appCatalogs/teamsApps/{id})

Anwendung

Keine.

Berechtigungen für Anwendungsressourcen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Application.Read.All	Lesen von Anwendungen	Ermöglicht der App das Lesen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers.	Ja
Application.ReadWrite.All	Schreib-/Lesezugriff für alle Apps	Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers.	Ja
AppRoleAssignment.ReadWrite.All	Verwalten von App-Genehmigungen und -Rollenzuweisungen	Ermöglicht der App, im Namen des angemeldeten Benutzers die Erteilung von Anwendungsberechtigungen zu beliebigen APIs (inkl. Microsoft Graph) sowie die Anwendungszuweisungen für jede App zu verwalten.	Ja
DelegatedPermissionGrant.ReadWrite.All	Verwalten delegierter Berechtigungserteilungen	Ermöglicht der App, delegierte Berechtigungserteilungen für eine beliebige API im Namen des angemeldeten Benutzers zu verwalten (einschließlich Microsoft Graph).	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Application.Read.All	Lesen von Anwendungen	Ermöglicht der App das Lesen von Anwendungen und Dienstprinzipalen ohne angemeldeten Benutzer.	Ja
Application.ReadWrite.All	Schreib-/Lesezugriff für alle Apps	Ermöglicht der aufrufenden App, Anwendungen und Dienstprinzipale zu erstellen und zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen.	Ja
Application.ReadWrite.OwnedBy	Verwalten von Apps, die diese App erstellt oder deren Besitzer sie ist	Ermöglicht der aufrufenden App, andere Anwendungen und Dienstprinzipale zu erstellen und diese Anwendungen und Dienstprinzipale vollständig zu verwalten (lesen, aktualisieren, Anwendungsgeheimnisse aktualisieren und löschen), ohne dass ein Benutzer angemeldet ist. Sie kann keine Anwendungen aktualisieren, deren Besitzer sie nicht ist. Ermöglicht nicht die Verwaltung von Zustimmungseinwilligungen oder Anwendungszuordnungen für Benutzer oder Gruppen.	Ja
AppRoleAssignment.ReadWrite.All	Verwalten von App-Genehmigungen und -Rollenzuweisungen	Ermöglicht der App, die Erteilung von Anwendungsberechtigungen zu beliebigen APIs (inkl. Microsoft Graph) sowie die Anwendungszuweisungen für jede App zu verwalten, ohne dass ein Benutzer angemeldet ist.	Ja
DelegatedPermissionGrant.ReadWrite.All	Verwalten aller delegierten Berechtigungserteilungen	Ermöglicht der App das Erteilen oder Widerrufen delegierter Berechtigungen für jede API (einschließlich Microsoft Graph), ohne dass ein Benutzer angemeldet ist.	Ja

Bemerkungen

Achtung

Berechtigungen, die das Erteilen der Autorisierung ermöglichen, z. B. AppRoleAssignment.ReadWrite.All, ermöglichen einer Anwendung, sich selbst, anderen Anwendungen oder beliebigen Benutzern zusätzliche Berechtigungen zu gewähren. Ebenso können Berechtigungen, welche die Verwaltung von Anmeldeinformationen ermöglichen, z. B. Application.ReadWrite.All, einer Anwendung ermöglichen, als andere Einheiten zu fungieren und die Berechtigungen zu verwenden, die ihnen gewährt wurden. Gehen Sie vorsichtig vor, wenn Sie eine dieser Berechtigungen erteilen.

Die Berechtigung Application.ReadWrite.OwnedBy ermöglicht die gleichen Vorgänge wie Application.ReadWrite.All, mit der Ausnahme, dass die erste Berechtigung diese Vorgänge nur für Anwendungen und Dienstprinzipale zulässt, deren Besitzer die aufrufende App ist. Der Besitz wird durch die ownersNavigationseigenschaft der Ziel-Anwendung oder der Dienstprinzipal-Ressource angegeben.

HINWEIS: Die Verwendung der Berechtigung Application.ReadWrite.OwnedBy zum Aufrufen von GET /applications zur Auflistung von Anwendungen führt zu einem 403-Fehler. Verwenden Sie stattdessen GET servicePrincipals/{id}/ownedObjects zum Auflisten der Anwendungen, deren Besitzer die aufrufende Anwendung ist.

Verwendungsbeispiel

Delegiert

Application.ReadWrite.All: alle Anwendungen auflisten (GET /v1.0/applications)
Application.ReadWrite.All: Dienstprinzipal aktualisieren (PATCH /v1.0/servicePrincipals/{id})

Anwendung

Application.ReadWrite.All: alle Anwendungen auflisten (GET /v1.0/applications)
Application.ReadWrite.All: Dienstprinzipal löschen (DELETE /v1.0/servicePrincipals/{id})
Application.ReadWrite.OwnedBy: Anwendung erstellen (POST /v1.0/applications)
Application.ReadWrite.OwnedBy: Alle Anwendungen auflisten, deren Besitzer die aufrufende Anwendung ist (GET /v1.0/servicePrincipals/{id}/ownedObjects)
Application.ReadWrite.OwnedBy: Einen anderen Besitzer zu einer Anwendung hinzufügen, die bereits einen Besitzer hat (POST /v1.0/applications/{id}/owners/$ref).

HINWEIS: Dies erfordert möglicherweise zusätzliche Berechtigungen.

Berechtigungen für Audit-Überwachungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
AuditLog. Read.All	Lesen von Überwachungsprotokolldaten	Ermöglicht der App, Ihre Überwachungsprotokoll-Aktivitäten im Namen des angemeldeten Benutzers zu lesen und abzufragen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
AuditLog. Read.All	Alle Überwachungsprotokolldaten lesen	Ermöglicht der App, Ihre Überwachungsprotokoll-Aktivitäten ohne einen angemeldeten Benutzers zu lesen und abzufragen.	Ja

Berechtigungen für BitLocker-Wiederherstellungsschlüssel

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
BitlockerKey.ReadBasic.All	Grundlegende BitLocker-Schlüsselinformationen lesen	Ermöglicht einer App, die Eigenschaften des BitLocker-Schlüssels für alle Geräte im Mandanten zu lesen. Der Wiederherstellungsschlüssel wird nicht zurückgegeben.	Ja	Nein
BitlockerKey.Read.All	BitLocker-Schlüssel lesen	Ermöglicht einer App, die BitLocker-Schlüssel für alle Geräte im Mandanten zu lesen. Der Wiederherstellungsschlüssel wird zurückgegeben.	Ja	Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

BitlockerKey.ReadBasic.All: BitLocker-Wiederherstellungsschlüssel für alle Geräte im Mandanten auflisten, ohne die Eigenschaft "Schlüssel" zurückzugeben (GET /bitlocker/recoveryKeys).
BitlockerKey.Read.All: BitLocker-Wiederherstellungsschlüssel mit dem Wiederherstellungsschlüssel abrufen (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Bookings-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Bookings.Read.All	Ermöglicht einer App Lesezugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.	Für schreibgeschützte Anwendungen vorgesehen. Ein typischer Zielbenutzer ist der Kunde eines Buchungsunternehmens.	Nein	Nein
BookingsAppointment.ReadWrite.All	Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine und Kunden. Ermöglicht darüber hinaus den Lesezugriff auf Unternehmen, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.	Vorgesehen für Terminplanungsanwendungen, die Termine und Kunden bearbeitet. Grundlegende Informationen zum Unternehmen mit Terminvergabe oder seine Dienstleistungen und Mitarbeiter können nicht geändert werden. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart.	Nein	Nein
Bookings.ReadWrite.All	Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Ermöglicht nicht das Erstellen, Löschen oder Veröffentlichen von Unternehmen mit Bookings.	Vorgesehen für Verwaltungsanwendungen, die vorhandene Unternehmen, deren Dienstleistungen und Mitarbeiter bearbeiten. Ermöglicht nicht das Erstellen, Löschen oder Ändern des Veröffentlichungsstatus eines Unternehmens mit Terminvergabe. Der typische Zielbenutzer ist ein Support-Mitarbeiter eines Unternehmens.	Nein	Nein
Bookings.Manage.All	Ermöglicht einer App Lese- und Schreibzugriff sowie die Verwaltung von Bookings-Terminen, Unternehmen, Kunden, Dienstleistungen und Mitarbeitern im Namen des angemeldeten Benutzers.	Ermöglicht der App den Vollzugriff. Vorgesehen für eine vollständige Verwaltungsoberfläche. Der typische Zielbenutzer ist Administrator in einem Unternehmen.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Bookings.Read.All	Ermöglicht einer App Lesezugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.	Für schreibgeschützte Anwendungen vorgesehen. Ein typischer Zielbenutzer ist der Kunde eines Buchungsunternehmens.	Ja	Nein
BookingsAppointment.ReadWrite.All	Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine und Kunden. Ermöglicht darüber hinaus den Lesezugriff auf Unternehmen, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers.	Vorgesehen für Terminplanungsanwendungen, die Termine und Kunden bearbeitet. Grundlegende Informationen zum Unternehmen mit Terminvergabe oder seine Dienstleistungen und Mitarbeiter können nicht geändert werden. Ein typischer Zielbenutzer ist der Kunde eines Unternehmens, das Termine vereinbart.	Ja	Nein
Bookings.ReadWrite.All	Ermöglicht einer App Lese- und Schreibzugriff auf Bookings-Termine, Unternehmen, Kunden, Dienstleistungen und Mitarbeiter im Namen des angemeldeten Benutzers. Ermöglicht nicht das Erstellen, Löschen oder Veröffentlichen von Unternehmen mit Bookings.	Vorgesehen für Verwaltungsanwendungen, die vorhandene Unternehmen, deren Dienstleistungen und Mitarbeiter bearbeiten. Ermöglicht nicht das Erstellen, Löschen oder Ändern des Veröffentlichungsstatus eines Unternehmens mit Terminvergabe. Der typische Zielbenutzer ist ein Support-Mitarbeiter eines Unternehmens.	Ja	Nein
Bookings.Manage.All	Ermöglicht einer App Lese- und Schreibzugriff sowie die Verwaltung von Bookings-Terminen, Unternehmen, Kunden, Dienstleistungen und Mitarbeitern im Namen des angemeldeten Benutzers.	Ermöglicht der App den Vollzugriff. Vorgesehen für eine vollständige Verwaltungsoberfläche. Der typische Zielbenutzer ist Administrator in einem Unternehmen.	Ja	Nein

Verwendungsbeispiel

Delegiert

Bookings.Read.All: Abrufen der ID und der Namen der Sammlung von Bookings-Unternehmen, die für einen Mandanten erstellt wurde (GET /bookingBusinesses).
BookingsAppointment.ReadWrite.All: Erstellen eines Termins für einen Service bei einem Bookings-Unternehmen (POST /bookingBusinesses/{id}/appointments).
Bookings.ReadWrite.All: Erstellen eines neuen Services für das angegebene Bookings-Unternehmen (POST /bookingBusinesses/{id}/services).
Bookings.Manage.All: Bereitstellen der Terminvergabeseite dieses Unternehmens für externe Kunden (POST /bookingBusinesses/{id}/publish).

Kalenderberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Calendars.Read	Benutzerkalender lesen	Ermöglicht der App, Ereignisse in Benutzerkalendern zu lesen.	Nein	Ja
Calendars.Read.Shared	Benutzerkalender und freigegebene Kalender lesen	Ermöglicht der App, Ereignisse in allen Kalendern zu lesen, auf die der Benutzer zugreifen kann, einschließlich delegierter und freigegebener Kalender.	Nein	Nein
Calendars.ReadWrite	Vollzugriff auf Benutzerkalender	Ermöglicht der App, Ereignisse in Benutzerkalendern zu erstellen, zu lesen, zu aktualisieren und zu löschen.	Nein	Ja
Calendars.ReadWrite.Shared	Benutzerkalender und freigegebene Kalender lesen und schreiben	Die App kann Ereignisse in allen Kalendern, für die der Benutzer über Zugriffsberechtigungen verfügt, erstellen, lesen, aktualisieren und löschen. Dies umfasst delegierte und freigegebene Kalender.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Calendars.Read	Lesezugriff auf Kalender in allen Postfächern	Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu lesen.	Ja
Calendars.ReadWrite	Lese- und Schreibzugriff auf Kalender in allen Postfächern	Ermöglicht der App, Ereignisse in allen Kalendern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen.	Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Calendars.Read“ oder „Calendars.ReadWrite“ besitzt.

Verwendungsbeispiel

Delegiert

Calendars.Read: Ereignisse im Kalender des Benutzers zwischen dem 23. April 2017 und dem 29. April 2017 abrufen (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
Calendars.Read.Shared: Nach Besprechungszeiten suchen, zu denen alle Teilnehmer verfügbar sind (POST /users/{id|userPrincipalName}/findMeetingTimes).
Calendars.ReadWrite: Ein Ereignis zum Kalender des Benutzers hinzufügen (POST /me/events).

Anwendung

Calendars.Read: Ereignisse im Kalender eines Konferenzraums suchen, sortiert nach bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
Calendars.Read: Alle Ereignisse im Kalender eines Benutzers für den Monat Mai auflisten (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
Calendars.ReadWrite: Ein Ereignis für einen Zeitpunkt mit genehmigter Abwesenheit zum Kalender eines Benutzers hinzufügen (POST /users/{id | userPrincipalName}/events).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Anrufe

Delegierte Berechtigungen

Keine.

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Calls.Initiate.All	Ausgehende 1:1-Anrufe aus der App initiieren	Ermöglicht der App, ausgehende Anrufe an einen einzelnen Benutzer zu tätigen und Anrufe an Benutzer im Organisationsverzeichnis zu übertragen (ohne angemeldeten Benutzer).	Ja
Calls.InitiateGroupCall.All	Starten von ausgehenden Gruppenanrufen über die App	Ermöglicht der App, ausgehende Anrufe an mehrere Benutzer zu tätigen und Teilnehmer in Ihrer Organisation zu Besprechungen hinzufügen (ohne angemeldeten Benutzer).	Ja
Calls.JoinGroupCall.All	Gruppenanrufen und Besprechungen als App beitreten	Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer zu verknüpfen. Die App wird mit den Berechtigungen eines Verzeichnisbenutzers und Besprechungen in Ihrem Mandanten verknüpft.	Ja
Calls.JoinGroupCallasGuest.All	Gruppenanrufen und Besprechungen als Gast beitreten	Ermöglicht der App, Gruppenanrufe und geplante Besprechungen in Ihrer Organisation ohne einen angemeldeten Benutzer anonym zu verknüpfen. Die App wird als Gast mit Besprechungen in Ihrem Mandanten verknüpft.	Ja
Calls.AccessMedia.All*	Auf Medienstreams in einem Anruf als App zugreifen	Ermöglicht der App, direkten Zugriff auf Medienstreams in einem Anruf ohne einen angemeldeten Benutzer zu erhalten.	Ja

*Wichtig: Sie dürfen die Cloud Communications-APIs NICHT verwenden, um Medieninhalte aus Anrufen oder Besprechungen, auf die Ihre Anwendung zugreift, oder aus diesen Medieninhalten abgeleitete Daten aufzuzeichnen oder auf andere Weise zu speichern. Stellen Sie sicher, dass alle für Ihren Bereich geltenden Gesetze und Bestimmungen hinsichtlich Datenschutz und Vertraulichkeit von Kommunikationen eingehalten werden. Bitte lesen Sie die Nutzungsbedingungen, und wenden Sie sich für weitere Informationen an Ihren Rechtsbeistand.

Verwendungsbeispiel

Anwendung

Calls.Initiate.All: Peer-to-Peer-Anruf aus der Anwendung an einen Benutzer in der Organisation (POST /beta/communications/calls).
Calls.InitiateGroupCall.All: Gruppenanruf aus der Anwendung an eine Benutzergruppe in der Organisation (POST /beta/communications/calls).
Calls.JoinGroupCall.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen (POST /beta/communications/calls).
Calls.JoinGroupCallasGuest.All: An einem Gruppenanruf oder einer Onlinebesprechung aus der Anwendung teilnehmen, aber die Anwendung verfügt in der Besprechung nur über Gastberechtigungen (POST /beta/communications/calls).
Calls.AccessMedia.All: Einen Anruf erstellen oder daran teilnehmen; die App erhält direkten Zugriff auf die Medienstreams von Teilnehmern in dem Anruf (POST /beta/communications/calls).

Hinweis: Beispiele für Anforderungen finden Sie unter Anruf erstellen.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Anrufdatensätze

Delegierte Berechtigungen

Keine.

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
CallRecords.Read.All	Alle Anrufdatensätze lesen	Ermöglicht der App, Anrufdatensätze für alle Anrufe und Onlinebesprechungen zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja
CallRecord-PstnCalls.Read.All	PSTN- und Direct Routing-Anrufprotokolldaten lesen	Ermöglicht der App das Lesen aller PSTN- und Direct Routing-Anrufprotokoll Daten, ohne dass ein Benutzer angemeldet ist.	Ja

Bemerkungen

Die Berechtigung CallRecords.Read.All gewährt einer Anwendung privilegierten Zugriff auf CallRecords für jeden Anruf und jede Onlinebesprechung innerhalb Ihrer Organisation, einschließlich der Anrufe zu und von externen Telefonnummern. Dazu gehören potenziell vertrauliche Details zu den Gesprächsteilnehmern sowie technische Informationen zu diesen Anrufen und Besprechungen, die für die Problembehandlung im Netzwerk verwendet werden können, z. B. IP-Adressen, Gerätedetails und andere Netzwerkinformationen.

Die Berechtigung "CallRecord-PstnCalls.Read.All" gewährt einer Anwendung Zugriff auf PSTN (Anrufpläne) und Anrufprotokolle für direktes Routing. Dazu gehören potenziell vertrauliche Informationen über Benutzer, sowie Anrufe zu und von externen Telefonnummern.

Wichtig: Bei der Erteilung dieser Berechtigungen für Anwendungen sollte man Diskretion walten lassen. Anrufdatensätze können Einblicke in die Funktionsweise Ihres Unternehmens geben und somit ein Ziel für böswillige Akteure sein. Erteilen Sie diese Berechtigungen nur Anwendungen, denen Sie vertrauen, um Ihre Datenschutzanforderungen zu erfüllen.

Wichtig: Stellen Sie sicher, dass alle für Ihren Bereich geltenden Gesetze und Bestimmungen hinsichtlich Datenschutz und Vertraulichkeit von Kommunikationen eingehalten werden. Bitte lesen Sie die Nutzungsbedingungen, und wenden Sie sich für weitere Informationen an Ihren Rechtsbeistand.

Verwendungsbeispiel

Anwendung

CallRecords.Read.All: Anrufdatensatz abrufen (GET /v1.0/communications/callRecords/{id}).
CallRecords.Read.All: neue Anrufdatensätze abonnieren (POST /v1.0/subscriptions).
CallRecords.Read.All: Rufen Sie Direktes Routing-Anrufdatensätze innerhalb des angegebenen Zeitbereichs (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time))) ab.
CallRecord-PstnCalls.Read.All: Abrufen von PSTN-Anrufdatensätzen innerhalb des angegebenen Zeitraums ( GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)) )

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Kanalberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Channel.ReadBasic.All	Namen und Beschreibungen von Kanälen lesen.	Kanalnamen und Kanalbeschreibungen im Namen des angemeldeten Benutzers lesen.	Nein	Nein
Channel.Create	Erstellen von Kanälen.	In allen Teams Kanäle erstellen, im Namen des angemeldeten Benutzers.	Ja	Nein
Channel.Delete.All	Kanäle löschen.	Kanäle in allen Teams im Namen des angemeldeten Benutzers löschen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Channel.ReadBasic.All	Lesezugriff auf die Namen und Beschreibungen aller Kanäle.	Lesen aller Kanalnamen und -beschreibungen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
Channel.Create	Erstellen von Kanälen.	Erstellen von Kanälen in allen Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
Channel.Delete.All	Kanäle löschen.	Löschen von Kanälen in allen Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
Teamwork.Migrate.All	Migration zu Microsoft Teams verwalten	Erstellen und Verwalten von Ressourcen für die Migration zu Microsoft Teams	Ja	Ja

Berechtigungen für Kanalmitglieder

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChannelMember.Read.All	Die Mitglieder von Kanälen lesen.	Die Mitglieder von Kanälen lesen, im Namen des angemeldeten Benutzers.	Ja	Nein
ChannelMember.ReadWrite.All	Sie können Mitglieder zu Kanälen hinzufügen und daraus entfernen.	Fügen Sie Mitglieder zu Kanälen hinzu und entfernen Sie sie, im Namen des angemeldeten Benutzers. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChannelMember.Read.All	Die Mitglieder aller Kanäle lesen.	Die Mitglieder aller Kanäle lesen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
ChannelMember.ReadWrite.All	Sie können Mitglieder zu allen Kanälen hinzufügen und daraus entfernen.	Fügen Sie Mitglieder zu allen Kanälen hinzu und entfernen Sie sie, ohne dass ein Benutzer angemeldet ist. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer.	Ja	Nein

Berechtigungen für Kanalnachrichten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChannelMessage.Edit (private Vorschau)	Kanalnachrichten eines Benutzers bearbeiten	Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu bearbeiten.	Ja	Nein
ChannelMessage.Read.All	Lesen der Kanalnachrichten eines Benutzers	Ermöglicht es einer App, Kanalnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
ChannelMessage.Send	Kanalnachrichten senden	Ermöglicht einer App, Kanalnachrichten in Microsoft Teams im Auftrag des angemeldeten Benutzers zu senden.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChannelMessage.Read.All	Alle Kanalnachrichten lesen	Ermöglicht es der App, alle Nachrichten des Microsoft Teams-Kanals ohne einen angemeldeten Benutzer zu lesen.	Ja	Nein
ChannelMessage.UpdatePolicyViolation.All	Kanalnachrichten für Verstöße gegen die Richtlinie kennzeichnen	Ermöglicht es der App, Nachrichten des Microsoft Teams-Kanals durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten.	Ja	Nein

Hinweis: siehe auch Group.Read.All.

Berechtigungen für Kanaleinstellungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChannelSettings.Read.All	Lesen der Namen, Beschreibungen und Einstellungen von Kanälen.	Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle im Namen des angemeldeten Benutzers.	Ja	Nein
ChannelSettings.ReadWrite.All	Lesen und Schreiben der Namen, Beschreibungen und Einstellungen von Kanälen.	Lesen und Schreiben der Namen, Beschreibungen und Einstellungen aller Kanäle im Namen des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChannelSettings.Read.All	Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle.	Lesen der Namen, Beschreibungen und Einstellungen aller Kanäle, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
ChannelSettings.ReadWrite.All	Lese- und Schreibzugriff auf die Namen, Beschreibungen und Einstellungen aller Kanäle.	Lesen und Schreiben der Namen, Beschreibungen und Einstellungen aller Kanäle, ohne dass ein Benutzer angemeldet ist.	Ja	Nein

Chat-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Chat.Read	Lesen Sie Ihre Chatnachrichten	Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen.	Nein	Nein
Chat.ReadBasic	Lesezugriff auf Namen und Mitglieder von Benutzer-Chat-Threads	Ermöglicht einer App, die Mitglieder und Beschreibungen von persönlichen und Gruppenchat-Threads im Namen des angemeldeten Benutzers auszulesen.	Nein	Nein
Chat.ReadWrite	Lesen Sie Ihre Chatnachrichten, und senden Sie neue.	Ermöglicht es der App, in Ihrem Namen Ihre 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams zu lesen und zu versenden.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Chat.Read.All	Lesen aller Chatnachrichten	Ermöglicht es der App, alle 1:1 oder Gruppen-Chatnachrichten in Microsoft Teams ohne einen angemeldeten Benutzer zu lesen.	Ja	Nein
Chat.ReadBasic.All	Lesezugriff auf Namen und Mitglieder von Benutzer-Chat-Threads	Lesezugriff auf Namen und Mitglieder aller Chat-Threads.	Ja	Nein
Chat.UpdatePolicyViolation.All	Chatnachrichten für Verstöße gegen die Richtlinie kennzeichnen	Ermöglicht es der App, 1:1- oder Gruppenchatnachrichten in Microsoft Teams durch Patchen eines Satzes von DLP-Eigenschaften (Data Loss Prevention, Verhinderung von Datenverlusten) für Verstöße gegen die Richtlinie zu aktualisieren, um die DLP-Ausgabe zu verarbeiten.	Ja	Nein

Hinweis: Für Nachrichten in einem Kanal lesen Sie ChannelMessage-Berechtigungen.

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChatSettings.Read.Chat	Lesen der Einstellungen dieses Chats.	Erlaubt der App, die Einstellungen dieses Chats zu lesen, ohne einen angemeldeten Benutzer.	Nein	Nein
ChatSettings.ReadWrite.Chat	Lesen und Schreiben der Einstellungen dieses Chats.	Erlaubt der App, die Einstellungen dieses Chats zu lesen und zu schreiben, ohne einen angemeldeten Benutzer.	Nein	Nein
ChatMessage.Read.Chat	Lesen der Nachrichten dieses Chats.	Erlaubt der App, die Nachrichten dieses Chats zu lesen, ohne einen angemeldeten Benutzer.	Nein	Nein
ChatMember.Read.Chat	Lesen der Mitglieder dieses Chats.	Erlaubt der App, die Mitglieder dieses Chats zu lesen, ohne einen angemeldeten Benutzer.	Nein	Nein
Chat.Manage.Chat	Verwalten dieses Chats.	Erlaubt der App, den Chat und die Chat-Mitglieder zu verwalten, und Zugriff auf die Chat-Daten zu gewähren, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.Read.Chat	Lesen der Registerkarten dieses Chats.	Erlaubt der App, die Registerkarten dieses Chats zu lesen, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.Create.Chat	Erstellen von Registerkarten in diesem Chat.	Erlaubt der App, Registerkarten in diesem Chat zu erstellen, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.Delete.Chat	Löschen der Registerkarten dieses Chats.	Erlaubt der App, die Registerkarten dieses Chats zu löschen, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.ReadWrite.Chat	Verwalten der Registerkarten dieses Chats.	Erlaubt der App, die Registerkarten dieses Chats zu verwalten, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsAppInstallation.Read.Chat	Lesen, welche Apps in diesem Chat installiert sind.	Erlaubt der App, die Teams-Apps zu lesen, die in diesem Chat installiert sind, zusammen mit den jeder App erteilten Berechtigungen, ohne einen angemeldeten Benutzer.	Nein	Nein
OnlineMeeting.ReadBasic.Chat	Lesen der Basiseigenschaften für eine Besprechung, die mit diesem Chat verbunden ist.	Erlaubt der App, die Basiseigenschaften – wie z. B. Name, Zeitplan, Organisator und Beitrittslink – einer mit diesem Chat verbundenen Besprechung zu lesen, ohne einen angemeldeten Benutzer.	Nein	Nein
Calls.AccessMedia.Chat	Zugreifen auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind.	Ermöglicht der App den Zugriff auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind, ohne dass ein Benutzer angemeldet wäre.	Nein	Nein
Calls.JoinGroupCall.Chat	Nehmen Sie an Anrufen teil, die mit diesem Chat oder dieser Besprechung verbunden sind.	Ermöglicht der App an Mediendatenströmen in Anrufen teilzunehmen, die mit diesem Chat oder dieser Besprechung verbunden sind, ohne dass ein Benutzer angemeldet wäre.	Nein	Nein
TeamsActivity.Send.Chat	Senden von Aktivitätsfeed-Benachrichtigungen an Benutzer in diesem Chat.	Ermöglicht der App, neue Benachrichtigungen in den Teamarbeits-Aktivitätsfeeds der Benutzer in diesem Chat zu erstellen, ohne dass ein Benutzer angemeldet ist.	Nein	Nein

Hinweis

Derzeit werden diese Berechtigungen nur in der Betaversion von Microsoft Graph unterstützt.

ChatMessage-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ChatMessage.Send	Senden von Chatnachrichten an Benutzer	Ermöglicht einer App, persönliche und Gruppenchatnachrichten in Microsoft Teams im Namen des angemeldeten Benutzers zu senden.	Nein	Nein

Cloud-PC-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
CloudPC.Read.All	Lesezugriff für Cloudcomputer	Ermöglicht es der App, im Namen des angemeldeten Benutzers Cloud-PC-Objekte wie z. B. Bereitstellungsrichtlinien zu lesen.	Nein	Nein
CloudPC.ReadWrite.All	Schreib-/Lesezugriff für Cloudcomputer	Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Cloud-PC-Objekten, wie beispielsweise Azure -Netzwerkverbindungen, Bereitstellungsrichtlinien und Gerätebilder, im Namen des Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
CloudPC.Read.All	Lesezugriff für Cloudcomputer	Ermöglicht der App das Lesen von Cloud-PC-Objekte, wie z. B. Bereitstellungsrichtlinien, ohne einen angemeldeten Benutzer.	Ja	Nein
CloudPC.ReadWrite.All	Schreib-/Lesezugriff für Cloudcomputer	Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Cloud-PC-Objekten, wie z. B. Netzwerkverbindungen, Bereitstellungsrichtlinien und Gerätebilder, ohne einen angemeldeten Benutzer.	Ja	Nein

Verwendungsbeispiel

Delegiert

CloudPC.Read.All: Eigenschaften aller Cloud-PCs anzeigen (GET /deviceManagement/virtualEndpoint/cloudPCs).
CloudPC.ReadWrite.All: Cloud-PC-Bereitstellungsrichtlinie bearbeiten (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Anwendung

CloudPC.Read.All: Eigenschaften aller Cloud-PCs anzeigen (GET /deviceManagement/virtualEndpoint/cloudPCs).
CloudPC.ReadWrite.All: Cloud-PC-Bereitstellungsrichtlinie bearbeiten (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ConsentRequest.Read.All	Lesen von Zustimmungsanfragen	Ermöglicht der App das Lesen von Zustimmungsanfragen der App sowie die Genehmigung dieser Anfragen im Namen des angemeldeten Benutzers.	Ja	Nein
ConsentRequest.ReadWrite.All	Lesen und Schreiben von Zustimmungsanfragen	Ermöglicht der App das Lesen von Zustimmungsanfragen an Sie sowie deren Genehmigungen als auch die Genehmigung oder Ablehnung dieser Anfragen im Namen des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
ConsentRequest.Read.All	Lesen von Zustimmungsanfragen	Ermöglicht der App das Lesen von App-Zustimmungsanforderungen und Genehmigungen ohne einen angemeldeten Benutzer.	Ja
ConsentRequest.ReadWrite.All	Lesen und Schreiben von Zustimmungsanfragen	Ermöglicht der App das Lesen von Zustimmungsanfragen an sie sowie deren Genehmigungen als auch die Genehmigung oder Ablehnung dieser Anfragen ohne, dass ein Benutzer angemeldet ist.	Ja

Kontaktberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Contacts.Read	Benutzerkontakte lesen	Ermöglicht der App, Benutzerkontakte zu lesen.	Nein	Ja
Contacts.Read.Shared	Benutzerkontakte und freigegebene Kontakte lesen	Ermöglicht der App, Kontakte zu lesen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte.	Nein	Nein
Contacts.ReadWrite	Vollzugriff auf Benutzerkontakte	Ermöglicht der App, Benutzerkontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen.	Nein	Ja
Contacts.ReadWrite.Shared	Benutzerkontakte und freigegebene Kontakte lesen und schreiben	Ermöglicht der App, Kontakte zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die der Benutzer über Berechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Contacts.Read	Lesezugriff auf Kontakte in allen Postfächern	Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu lesen.	Ja
Contacts.ReadWrite	Lese- und Schreibzugriff auf Kontakte in allen Postfächern	Ermöglicht der App, alle Kontakte in allen Postfächern ohne einen angemeldeten Benutzer zu erstellen, zu lesen, zu aktualisieren und zu löschen.	Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Contacts.Read“ oder Contacts.ReadWrite“ besitzt.

Verwendungsbeispiel

Delegiert

Contacts.Read: Einen Kontakt aus einem der Kontaktordner der obersten Ebene des angemeldeten Benutzers lesen (GET /me/contactfolders/{Id}/contacts/{id}).
Contacts.ReadWrite: Das Kontaktfoto eines Kontakts des angemeldeten Benutzers aktualisieren (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
Contacts.ReadWrite: Kontakte zum Stammordner des angemeldeten Benutzers hinzufügen (POST /me/contacts).

Anwendung

Contacts.Read: Kontakte aus einem der Kontaktordner der obersten Ebene eines beliebigen Benutzers in der Organisation lesen (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
Contacts.ReadWrite: Das Foto eines beliebigen Kontakts eines beliebigen Benutzers in einer Organisation aktualisieren (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
Contacts.ReadWrite: Kontakte zum Stammordner eines beliebigen Benutzers in der Organisation hinzufügen (POST /users/{id | userPrincipalName}/contacts).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für benutzerdefinierte Sicherheitsattribute

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
CustomSecAttributeAssignment.Read.All	Benutzerdefinierte Sicherheitsattributzuweisungen lesen	Ermöglicht der App das Lesen benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten im Namen eines angemeldeten Benutzers.	Ja	Nein
CustomSecAttributeAssignment.ReadWrite.All	Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen	Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten im Auftrag eines angemeldeten Benutzers.	Ja	Nein
CustomSecAttributeDefinition.Read.All	Benutzerdefinierte Sicherheitsattributdefinitionen lesen	Ermöglicht der App, benutzerdefinierte Sicherheitsattributdefinitionen für den Mandanten im Namen eines angemeldeten Benutzers zu lesen.	Ja	Nein
CustomSecAttributeDefinition.ReadWrite.All	Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen	Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten im Auftrag eines angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
CustomSecAttributeAssignment.Read.All	Benutzerdefinierte Sicherheitsattributzuweisungen lesen	Ermöglicht der App das Lesen benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten, ohne dass ein Benutzer angemeldet ist.	Ja
CustomSecAttributeAssignment.ReadWrite.All	Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen	Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributzuweisungen für alle Prinzipale im Mandanten ohne einen angemeldeten Benutzer.	Ja
CustomSecAttributeDefinition.Read.All	Benutzerdefinierte Sicherheitsattributdefinitionen lesen	Ermöglicht der App das Lesen benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten, ohne dass ein Benutzer angemeldet ist.	Ja
CustomSecAttributeDefinition.ReadWrite.All	Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen	Ermöglicht der App das Lesen und Schreiben benutzerdefinierter Sicherheitsattributdefinitionen für den Mandanten ohne einen angemeldeten Benutzer.	Ja

Granulare Berechtigungen für delegierte Administratorprivilegien (Granular Delegated Admin Priviledges, GDAP)

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
DelegatedAdminRelationship.Read.All	Lesen Sie delegierte Administratorbeziehungen mit Kunden	Ermöglicht der App, Details zu delegierten Administratorbeziehungen mit Kunden zu lesen, z. B. Zugriffsdetails (einschließlich Rollen) und die Dauer sowie spezifische Rollenzuweisungen zu Sicherheitsgruppen im Namen des angemeldeten Benutzers.	Ja	Nein
DelegatedAdminRelationship.ReadWrite.All	Verwalten delegierter Administratorbeziehungen mit Kunden	Ermöglicht der App, delegierte Administratorbeziehungen mit Kunden und Rollenzuweisungen zu Sicherheitsgruppen für aktive delegierte Administratorbeziehungen in Ihrem Namen zu verwalten (create-update-terminate).	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
DelegatedAdminRelationship.Read.All	Lesen Sie delegierte Administratorbeziehungen mit Kunden	Ermöglicht der App, Details zu delegierten Administratorbeziehungen mit Kunden zu lesen, z. B. Zugriffsdetails (einschließlich Rollen) und die Dauer sowie spezifische Rollenzuweisungen zu Sicherheitsgruppen ohne einen angemeldeten Benutzer.	Ja	Nein
DelegatedAdminRelationship.ReadWrite.All	Verwalten delegierter Administratorbeziehungen mit Kunden	Ermöglicht der App, delegierte Administratorbeziehungen mit Kunden und Rollenzuweisungen zu Sicherheitsgruppen für aktive delegierte Administratorbeziehungen ohne einen angemeldeten Benutzer zu verwalten (create-update-terminate).	Ja	Nein

Geräteberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Device.Read	Benutzergeräte lesen	Ermöglicht der App, eine Benutzerliste mit Geräten im Auftrag des angemeldeten Benutzers zu lesen.	Nein	Ja
Device.Read.All	Alle Geräte lesen	Ermöglicht der App, Informationen zur Gerätekonfiguration Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Ja
Device.Command	Kommunikation mit Benutzergeräten	Ermöglicht der App, im Auftrag des angemeldeten Benutzers auf einem Benutzergerät eine andere App zu starten oder mit einer anderen App zu kommunizieren.	Nein	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Device.Read.All	Alle Geräte lesen	Ermöglicht der App, Informationen zur Gerätekonfiguration Ihrer Organisation ohne angemeldeten Benutzer zu lesen.	Ja
Device.ReadWrite.All	Geräteeigenschaften lesen und schreiben	Die App kann alle Geräteeigenschaften ohne angemeldeten Benutzer lesen und schreiben. Ermöglicht nicht das Erstellen oder Löschen von Geräten oder das Aktualisieren von alternativen Sicherheits-IDs von Geräten.	Ja

Hinweis

Wenn vor dem 3. Dezember 2020 die Anwendungsberechtigung Device.ReadWrite.All gewährt wurde, wurde die Verzeichnisrolle des Gerätemanagers auch dem Dienstprinzipal der App zugewiesen. Die Zuweisung dieser Verzeichnisrolle wird nicht automatisch entfernt, wenn die zugehörigen Anwendungsberechtigungen widerrufen werden. Um sicherzustellen, dass der Zugriff einer Anwendung zum Lesen oder Schreiben auf Geräte entfernt wird, müssen Kunden auch alle zugehörigen Verzeichnisrollen entfernen, die der Anwendung gewährt wurden.

Ein Service-Update, das dieses Verhalten deaktiviert, wurde am 3. Dezember 2020 eingeführt. Die Bereitstellung für alle Kunden wurde am 11. Januar 2021 abgeschlossen. Verzeichnisrollen werden nicht mehr automatisch zugewiesen, wenn Anwendungsberechtigungen erteilt werden.

Verwendungsbeispiel

Anwendung

Device.ReadWrite.All: Alle registrierten Geräte in der Organisation lesen (GET /devices).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Verzeichnisberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Directory.Read.All	Verzeichnisdaten lesen	Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation zu lesen, z. B. Benutzer, Gruppen und Apps. Hinweis: Benutzer können Anwendungen zustimmen, die diese Berechtigung erfordern, wenn die Anwendung im Mandanten ihrer eigenen Organisation registriert ist.	Ja	Nein
Directory.ReadWrite.All	Schreib-/Lesezugriff auf Verzeichnisdaten	Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht der App nicht das Löschen von Benutzern oder Gruppen oder das Zurücksetzen von Benutzerkennwörtern.	Ja	Nein
Directory.AccessAsUser.All	Als der angemeldete Benutzer auf das Verzeichnis zugreifen	Ermöglicht der App den gleichen Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Directory.Read.All	Verzeichnisdaten lesen	Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, z. B. Benutzer, Gruppen und Apps.	Ja
Directory.ReadWrite.All	Schreib-/Lesezugriff auf Verzeichnisdaten	Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe.	Ja

Hinweise

Verzeichnisberechtigungen stellen die höchste Stufe von Rechten für den Zugriff auf Verzeichnisressourcen wie Benutzer, Gruppen, und Geräte in einer Organisation bereit.

Sie steuern zudem exklusiv den Zugriff auf andere Verzeichnisressourcen wie Organisationskontakte, Schemaerweiterungs-APIs, Privileged Identity Management (PIM)-APIs sowie viele der Ressourcen und APIs, die unter dem Knoten Azure Active Directory in der API-Referenzdokumentation der Versionen 1.0 und Beta aufgeführt sind. Diese enthalten administrative Einheiten, Verzeichnisrollen, Richtlinien und viele mehr.

Hinweis

Vor dem 3. Dezember 2020, als die Anwendungsberechtigung Directory.Read.All erteilt wurde, wurde die Verzeichnisrolle des Verzeichnislesers auch dem Dienstprinzipal der App zugewiesen. Wenn Directory.ReadWrite.All gewährt wurde, wurde auch die Verzeichnisleser-Verzeichnisrolle zugewiesen. Diese Verzeichnisrollen werden nicht automatisch entfernt, wenn die zugehörigen Anwendungsberechtigungen widerrufen werden. Um den Lese- oder Schreibzugriff einer Anwendung auf das Verzeichnis zu entfernen, müssen Kunden auch alle Verzeichnisrollen entfernen, die der Anwendung gewährt wurden.

Die Berechtigung Directory.ReadWrite.All gewährt die folgenden Rechte:

Alles lesen für alle Verzeichnisressourcen (deklarierte Eigenschaften und Navigationseigenschaften)
Benutzer erstellen und aktualisieren
Benutzer deaktivieren und aktivieren (außer Unternehmensadministrator)
Festlegen der alternativen Sicherheits-ID des Benutzers (jedoch nicht der Administratoren)
Gruppen erstellen und aktualisieren
Gruppenmitgliedschaften verwalten
Gruppenbesitzer aktualisieren
Lizenzzuweisungen verwalten
Schemaerweiterungen für Anwendungen definieren
Verwalten von Verzeichniseinstellungen
Verwalten der Workflow-Konfiguration für die Administrator-Einwilligung (nicht jedoch, ob eine Administrator-Einwilligung erforderlich ist oder wer berechtigt ist, die Administrator-Einwilligung zu erteilen)

Hinweis:

Keine Rechte zum Zurücksetzen von Benutzerkennwörtern.

Das Aktualisieren der businessPhones-, mobilePhone- oder otherMails-Eigenschaft eines anderen Benutzers ist nur für Benutzer zulässig, die keine Administratoren sind oder denen eine der folgenden Rollen zugewiesen wurde: Verzeichnis lesen, Gasteinladender, Nachrichtencenter-Leser und Berichts-Leser. Weitere Details finden Sie unter „Helpdeskadministrator (Kennwort)" in Azure AD – Verfügbare Rollen. Dies gilt für Apps, denen die delegierten oder Anwendungsberechtigungen "User.ReadWrite.All" oder "Directory.ReadWrite.All" erteilt wurden.

Keine Rechte zum Löschen von Ressourcen (einschließlich Benutzern oder Gruppen).

Schließt ausdrücklich das Erstellen oder Aktualisieren von Ressourcen aus, die oben nicht aufgeführt sind. Hierzu gehören: application, oAauth2Permissiongrant, appRoleAssignment, device, servicePrincipal, organization, domains usw.

Verwendungsbeispiel

Delegiert

Directory.Read.All: Alle administrativen Einheiten in einer Organisation auflisten (GET /beta/administrativeUnits)
Directory.ReadWrite.All: Mitglieder zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/{id}/members/$ref)

Anwendung

Directory.Read.All: Alle Mitgliedschaften eines Benutzers auflisten, einschließlich Verzeichnisrollen und administrativer Einheiten (GET /beta/users/{id}/memberOf)
Directory.Read.All: Alle Gruppenmitglieder auflisten, einschließlich Dienstprinzipale (GET /beta/groups/{id}/members)
Directory.ReadWrite.All: Einen Besitzer zu einer Gruppe hinzufügen (POST /groups/{id}/owners/$ref)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Domänenberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Domain.Read.All	Lesezugriff auf Domänen	Ermöglicht der App, alle Domäneneigenschaften im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
Domain.ReadWrite.All	Domänen lesen und schreiben	Ermöglicht der App, alle Domäneneigenschaften im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App auch das Hinzufügen, Überprüfen und Entfernen von Domänen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Domain.Read.All	Lesezugriff auf Domänen	Ermöglicht der App, alle Domäneneigenschaften ohne angemeldeten Benutzer zu lesen.	Ja
Domain.ReadWrite.All	Domänen lesen und schreiben	Ermöglicht es der App, Domänen ohne angemeldeten Benutzer zu lesen und zu schreiben.	Ja

eDiscovery-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
eDiscovery.Read.All	eDiscovery-Falldaten des Benutzers lesen	Ermöglicht der App das Lesen von eDiscovery-Objekten wie Fällen, Verwahrern, Überprüfungssätzen und anderen zugehörigen Objekten im Auftrag des angemeldeten Benutzers.	Ja	Nein
eDiscovery.ReadWrite.All	eDiscovery-Falldaten lesen und schreiben	Ermöglicht der App das Lesen und Schreiben von eDiscovery-Objekten wie Fällen, Verwahrern, Überprüfungssätzen und anderen zugehörigen Objekten im Auftrag des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Keine

Verwendungsbeispiel

Delegiert

eDiscovery.Read.All: Liste der für den Benutzer verfügbaren Fälle abrufen (GET /compliance/ediscovery/cases)
eDiscovery.ReadWrite.All: Prüfdateisatz-Abfrage in einem Prüfdateisatz erstellen (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Bildungs-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
EduAdministration.Read	Bildungs-App-Einstellungen lesen	Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu lesen.	Ja	Nein
EduAdministration.ReadWrite	Bildungs-App-Einstellungen verwalten	Erlaubt es der App, Bildungs-App-Einstellungen im Auftrag des Benutzers zu verwalten.	Ja	Nein
EduAssignments.ReadBasic	Lesen von Arbeitsaufträgen von Benutzern ohne Noten	Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen.	Ja	Nein
EduAssignments.ReadWriteBasic	Lesen und Schreiben von Arbeitsaufträgen von Benutzern ohne Noten	Ermöglicht der App, Arbeitsaufträge ohne Noten im Auftrag des Benutzers zu lesen und zu schreiben.	Ja	Nein
EduAssignments.Read	Lesen der Ansicht von Arbeitsaufträgen von Benutzern und deren Noten	Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen.	Ja	Nein
EduAssignments.ReadWrite	Lesen und Schreiben der Ansicht von Arbeitsaufträgen von Benutzern und deren Noten	Ermöglicht der App, Arbeitsaufträge und die entsprechenden Noten im Auftrag des Benutzers zu lesen und zu schreiben.	Ja	Nein
EduRoster.ReadBasic	Lesen einer begrenzten Untermenge der Dienstplanansicht von Benutzern	Ermöglicht es der Anwendung, eine begrenzte Teilmenge der Eigenschaften aus der Struktur von Schulen und Klassen im Dienstplan einer Organisation zu lesen, sowie eine begrenzte Teilmenge von Eigenschaften über Benutzer, die im Namen des Benutzers gelesen werden. Dazu gehören Name, Status, Bildungsrolle, E-Mail-Adresse und Foto.	Ja	Nein
EduRoster.Read	Lesen der Dienstplanansicht von Benutzern	Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen.	Ja
EduRoster.ReadWrite	Lesen und Schreiben der Dienstplanansicht von Benutzern	Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu Benutzern im Auftrag des Benutzers zu lesen und zu schreiben.	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
EduAdministration.Read.All	Bildungs-App-Einstellungen lesen	Lesen des Status und der Einstellungen aller Microsoft Bildungs-Apps im Auftrag des Benutzers	Ja
EduAdministration.ReadWrite.All	Bildungs-App-Einstellungen verwalten	Verwalten des Status und der Einstellungen aller Microsoft Bildungs-Apps im Auftrag des Benutzers	ja
EduAssignments.ReadBasic.All	Lesen von Arbeitsaufträgen ohne Noten	Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen.	Ja
EduAssignments.ReadWriteBasic.All	Lesen und Schreiben von Arbeitsaufträgen ohne Noten	Ermöglicht der App, Arbeitsaufträge ohne Noten für alle Benutzer zu lesen und zu schreiben.	Ja
EduAssignments.Read.All	Lesen von Schulprojekten mit Noten	Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen.	Ja
EduAssignments.ReadWrite.All	Lesen und Schreiben von Arbeitsaufträgen mit Noten	Ermöglicht der App, Arbeitsaufträge und deren Noten für alle Benutzer zu lesen und zu schreiben.	Ja
EduRoster.ReadBasic.All	Lesen einer begrenzten Untermenge des Dienstplans der Organisation.	Ermöglicht der App, eine begrenzte Untermenge der Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen.	Ja
EduRoster.Read.All	Lesen des Dienstplans der Organisation.	Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen.	Ja
EduRoster.ReadWrite.All	Lesen und Schreiben des Dienstplans der Organisation.	Ermöglicht der App, die Struktur von Schulen und Klassen im Dienstplan einer Organisation sowie bildungsspezifische Informationen zu allen Benutzern zu lesen und zu schreiben.	Ja

Verwendungsbeispiel

Delegiert

EduAssignments.Read: Abrufen der Arbeitsauftragsinformationen des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id})
EduAssignments.ReadWriteBasic: Übermitteln des Arbeitsauftrags des angemeldeten Kursteilnehmers (GET /education/classes/{id}/assignments/{id}submit)
EduRoster.ReadBasic: Stunden, an denen ein angemeldeter Benutzer teilnimmt oder unterrichtet (GET /education/classes/{id}/members)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Lernberechtigungen für Mitarbeiter

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
LearningContent.Read.All	Lesen von Lerninhalten	Ermöglicht der App das Lesen von Lerninhalten im Verzeichnis der Organisation im Namen des angemeldeten Benutzers.	Ja	Nein
LearningContent.ReadWrite.All	Verwalten von Lerninhalten	Ermöglicht der App, alle Lerninhalte im Verzeichnis der Organisation im Namen des angemeldeten Benutzers zu verwalten.	Ja	Nein
LearningProvider.Read	Lese-Lernanbieter	Ermöglicht der App, Daten für den Lernanbieter im Verzeichnis der Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
LearningProvider.ReadWrite	Verwalten des Lernanbieters	Ermöglicht der App das Erstellen, Aktualisieren, Lesen und Löschen von Daten für den Lernanbieter im Verzeichnis der Organisation im Namen des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
LearningContent.Read.All	Lesen von Lerninhalten	Ermöglicht der App, alle Lerninhalte im Verzeichnis der Organisation zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
LearningContent.ReadWrite.All	Verwalten von Lerninhalten	Ermöglicht der App, alle Lerninhalte im Verzeichnis der Organisation zu verwalten, ohne dass ein Benutzer angemeldet ist.	Ja	Nein

Berechtigungen für die Berechtigungsverwaltung

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
EntitlementManagement.ReadWrite.All	Ressourcen zum Verwalten von Berechtigungen zum Lesen und Schreiben	Ermöglicht der App das Anfordern des Zugriffs zum Lesen und Verwalten von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen im Namen des angemeldeten Benutzers.	Ja
EntitlementManagement.Read.All	Ressourcen zur Verwaltung von Berechtigungen lesen	Ermöglicht der App das Anfordern des Zugriffs zum Lesen von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen im Namen des angemeldeten Benutzers.	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
EntitlementManagement.ReadWrite.All	Ressourcen zum Verwalten von Berechtigungen zum Lesen und Schreiben	Ermöglicht der App das Lesen und Verwalten von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen.	Ja
EntitlementManagement.Read.All	Ressourcen zur Verwaltung von Berechtigungen lesen	Ermöglicht der App das Lesen von Zugriffspaketen und zugehörigen Ressourcen zur Verwaltung von Berechtigungen.	Ja

Dateiberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Files.Read	Lesezugriff auf Benutzerdateien	Ermöglicht der App, die Dateien des angemeldeten Benutzers zu lesen.	Nein	Ja
Files.Read.All	Alle Dateien lesen, auf die der Benutzer zugreifen kann	Ermöglicht der App, alle Dateien zu lesen, auf die der angemeldete Benutzer zugreifen kann.	Nein	Ja
Files.ReadWrite	Vollzugriff auf Benutzerdateien	Ermöglicht der App, Dateien des angemeldeten Benutzers zu lesen, zu erstellen, zu aktualisieren und zu löschen.	Nein	Ja
Files.ReadWrite.All	Vollzugriff auf alle Dateien, auf die Benutzer zugreifen können	Ermöglicht der App, alle Dateien zu lesen, zu erstellen, zu aktualisieren und zu löschen, auf die der angemeldete Benutzer zugreifen kann.	Nein	Ja
Files.ReadWrite.AppFolder	Vollzugriff auf den Anwendungsordner (Vorschau)	(Vorschau) Ermöglicht der App, Dateien im Anwendungsordner zu lesen, zu erstellen, zu aktualisieren und zu löschen.	Nein	Ja
Files.Read.Selected	Lesezugriff auf Dateien, die der Benutzer auswählt	Eingeschränkte Unterstützung in Microsoft Graph – siehe Anmerkungen (Vorschau) Ermöglicht der App, Dateien zu lesen, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.	Nein	Nein
Files.ReadWrite.Selected	Lese- und Schreibzugriff auf Dateien, die der Benutzer auswählt	Eingeschränkte Unterstützung in Microsoft Graph – siehe Anmerkungen (Vorschau) Ermöglicht der App, Dateien zu lesen und zu schreiben, die der Benutzer auswählt. Sobald der Benutzer eine Datei auswählt, erhält die App mehrere Stunden Zugriff auf diese Datei.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Files.Read.All	Lesen von Dateien in allen Websitesammlungen	Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen.	Ja
Files.ReadWrite.All	Lesen und Schreiben von Dateien in allen Websitesammlungen	Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen, erstellen, aktualisieren und löschen.	Ja

Hinweise

Hinweis: Bei persönlichen Konten gewähren „Files.Read“ und „Files.ReadWrite“ auch Zugriff auf Dateien, die für den angemeldeten Benutzer freigegeben sind.

Die delegierten Berechtigungen „Files.Read.Selected“ und „Files.ReadWrite.Selected“ sind nur für Geschäfts-, Schul- oder Unikonten gültig und werden nur für Arbeit mit Office 365-Dateihandlern (v1.0) bereitgestellt. Sie dürfen nicht verwendet werden, um Microsoft Graph-APIs direkt aufzurufen.

Die delegierte Berechtigung „Files.ReadWrite.AppFolder“ ist nur für persönliche Konten gültig und wird zum Zugreifen auf den speziellen Anwendungsstammordner mit der Microsoft Graph-API Speziellen Ordner abrufen für OneDrive verwendet.

Verwendungsbeispiel

Delegiert

Files.Read: Dateien lesen, die im OneDrive des angemeldeten Benutzers gespeichert sind (GET /me/drive/root/children)
Files.Read.All: Dateien lesen, die für den angemeldeten Benutzer freigegeben sind (GET /me/drive/root/sharedWithMe)
Files.ReadWrite: Eine Datei im OneDrive des angemeldeten Benutzers schreiben (PUT /me/drive/root/children/filename.txt/content)
Files.ReadWrite.All: Eine für den Benutzer freigegebene Datei schreiben (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
Files.ReadWrite.AppFolder: Dateien in den App-Ordner in OneDrive schreiben (PUT /me/drive/special/approot/children/file.txt/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Finanzdaten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Financials.ReadWrite.All	Lesen und Schreiben von Finanzdaten	Ermöglicht der App, Finanzdaten im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Nein

Gruppenberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Group.Read.All	Lesezugriff auf alle Gruppen	Die App kann Gruppen aufführen und deren Eigenschaften sowie alle Gruppenmitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen, auf die der Benutzer zugreifen kann, lesen.	Ja	Nein
Group.ReadWrite.All	Schreib-/Lesezugriff auf alle Gruppen	Die App kann Gruppen erstellen und alle Gruppeneigenschaften und -mitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem für alle Gruppen, auf die der Benutzer zugreifen kann, Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen. Darüber hinaus können Gruppenbesitzer ihre eigenen Gruppen verwalten, und Gruppenmitglieder können Gruppeninhalte aktualisieren.	Ja	Nein
GroupMember.Read.All	Lesen von Gruppenmitgliedschaften	Ermöglicht der App das Auflisten von Gruppen sowie das Lesen grundlegender Gruppeneigenschaften und der Mitgliedschaft aller Gruppen, auf die der angemeldete Benutzer Zugriff hat.	Ja	Nein
GroupMember.ReadWrite.All	Lesen und Schreiben von Gruppenmitgliedschaften	Ermöglicht der App das Auflisten von Gruppen, das Lesen grundlegender Eigenschaften sowie das Lesen und Aktualisieren der Mitgliedschaft derjenigen Gruppen, auf die der angemeldete Benutzer Zugriff hat. Gruppeneigenschaften und Besitzer können nicht aktualisiert und Gruppen nicht gelöscht werden.	Ja	Nein
UnifiedGroupMember.Read.AsGuest	Vereinheitlichte Gruppenmitgliedschaften (Microsoft 365) als Gastbenutzer lesen	Ermöglicht der App, grundlegende einheitliche Gruppeneigenschaften, Mitgliedschaften und Besitzer der Gruppe zu lesen, in der der angemeldete Gast Mitglied ist.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Group.Read.All	Lesezugriff auf alle Gruppen	Ermöglicht der App das Lesen von Gruppeneigenschaften und Mitgliedschaften sowie das Lesen von Unterhaltungen für alle Gruppen, ohne dass ein Benutzer angemeldet ist.	Ja
Group.ReadWrite.All	Schreib-/Lesezugriff auf alle Gruppen	Ermöglicht der App, Gruppen zu erstellen, alle Gruppeneigenschaften und Mitgliedschaften zu lesen, Gruppeneigenschaften und Mitgliedschaften zu aktualisieren und Gruppen zu löschen. Ermöglicht der App, die Unterhaltungen zu lesen und zu schreiben. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden.	Ja
Group.Selected	Zugreifen auf ausgewählte Gruppen	Hinweis: diese Berechtigung wird im Azure-Portal für ein Feature verfügbar gemacht, das nicht für die allgemeine Verwendung verfügbar ist. Verwenden Sie diese Berechtigung nicht, da sie geändert werden wird.	Ja
GroupMember.Read.All	Lesen von Gruppenmitgliedschaften	Ermöglicht der App das Lesen von Mitgliedschaften und grundlegender Gruppeneigenschaften für alle Gruppen ohne angemeldeten Benutzer.	Ja
GroupMember.ReadWrite.All	Lesen und Schreiben von Gruppenmitgliedschaften	Ermöglicht der App das Auflisten von Gruppen, das Lesen grundlegender Eigenschaften sowie das Lesen und Aktualisieren der Mitgliedschaft der Gruppen ohne angemeldeten Benutzer. Gruppeneigenschaften und Besitzer können nicht aktualisiert und Gruppen nicht gelöscht werden.	Ja
Group.Create	Erstellen von Gruppen	Ermöglicht es der aufrufenden App, Gruppen ohne angemeldeten Benutzer zu erstellen. Lässt das Lesen, Aktualisieren oder Löschen von Gruppen nicht zu.	Ja

Hinweise

Gruppenfunktionen werden für persönliche Microsoft-Konten nicht unterstützt.

Für Microsoft 365-Gruppen gewähren Gruppenberechtigungen der App Zugriff auf den Inhalt der Gruppe, z. B. Unterhaltungen, Dateien, Notizen usw.

Im Hinblick auf Anwendungsberechtigungen gelten einige Einschränkungen für die unterstützten APIs. Weitere Informationen finden Sie unter bekannte Probleme.

In einigen Fällen benötigt eine App eventuell Verzeichnisberechtigungen, um einige Gruppeneigenschaften wie member und memberOf zu lesen. Wenn eine Gruppe z. B. einen oder mehrere servicePrincipals als Mitglieder besitzt, benötigt die App effektive Berechtigungen zum Lesen von Dienstprinzipalen, indem ihr eine der Berechtigungen vom Typ Directory.* gewährt wird, andernfalls gibt Microsoft Graph einen Fehler zurück. (Im Fall von delegierten Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation zum Lesen von Dienstprinzipalen.) Dasselbe gilt für die Eigenschaft memberOf, die administrativeUnits zurückgeben kann.

Zum Festlegen des preferredDataLocation-Attributs einer Microsoft 365-Gruppe benötigt eine App die „Directory.ReadWrite.All“-Berechtigung. Wenn ein Benutzer in einer Multi-Geo-Umgebung eine Microsoft 365-Gruppe erstellt, wird als bevorzugter preferredDataLocation-Wert der Gruppe automatisch der dieses Benutzers festgelegt. Weitere Informationen über bevorzugte Datenspeicherorte finden Sie unter Erstellen einer Microsoft 365-Gruppe mit einem bestimmten PDL.

Gruppenberechtigungen werden zum Steuern des Zugriffs auf Microsoft Teams-Ressourcen und APIs verwendet. Persönliche Microsoft-Konten werden nicht unterstützt.

Gruppenberechtigungen werden auch verwendet, um den Zugriff auf Microsoft Planner-Ressourcen und -APIs zu steuern. Nur delegierte Berechtigungen werden für Microsoft Planner-APIs unterstützt; Anwendungsberechtigungen werden nicht unterstützt. Persönliche Microsoft-Konten werden nicht unterstützt.

Verwendungsbeispiel

Delegiert

Group.Read.All: Alle Microsoft 365-Gruppen lesen, in denen der angemeldete Benutzer Mitglied ist (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
Group.Read.All: Alle Microsoft 365-Gruppeninhalte lesen, wie z. B. Unterhaltungen (GET /groups/{id}/conversations).
Group.ReadWrite.All: Gruppeneigenschaften wie Fotos aktualisieren (PUT /groups/{id}/photo/$value).
GroupMember.ReadWrite.All: Gruppenmitglieder aktualisieren (POST /groups/{id}/members/$ref).

Hinweis: Diese Berechtigung erfordert auch User.ReadBasic.All zum Lesen des Benutzers, der als Mitglied hinzugefügt werden soll.

Anwendung

Group.Read.All: Alle Gruppen suchen, deren Name mit „Sales“ beginnt (GET /groups?$filter=startswith(displayName,'Sales')).
Group.ReadWrite.All: Daemondienst erstellt neue Ereignisse im Kalender einer Microsoft 365-Gruppe (POST /groups/{id}/events).
Group.Create: erstellt eine neue Gruppe (POST /groups).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Identitätsanbieter

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
IdentityProvider.Read.All	Identitätsanbieterinformationen lesen	Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
IdentityProvider.ReadWrite.All	Identitätsanbieterinformationen lesen und schreiben	Ermöglicht der App, die Identitätsanbieter, die in Ihrem Azure AD- oder Azure AD B2C-Mandanten konfiguriert sind, im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein

Hinweise

IdentityProvider.Read.All und IdentityProvider.ReadWrite.All sind nur für Geschäfts-, Schul- oder Unikonten gültig. Damit eine App Identitätsanbieter mit delegierten Berechtigungen lesen oder schreiben kann, muss dem angemeldeten Benutzer die Rolle "Globaler Administrator" zugewiesen werden. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:

IdentityProvider.Read.All: Alle im Mandanten konfigurierten Identitätsanbieter lesen (GET /beta/identityProviders)
IdentityProvider.Read.All: Einen vorhandenen Identitätsanbieter lesen (GET /beta/identityProviders/{id})
IdentityProvider.ReadWrite.All Identitätsanbieter erstellen (POST /beta/identityProviders)
IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter aktualisieren (PATCH /beta/identityProviders/{id})
IdentityProvider.ReadWrite.All Einen vorhandenen Identitätsanbieter löschen (DELETE /beta/identityProviders/{id})

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Identitätsschutzrisiken

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
IdentityRiskEvent.Read.All	Informationen zu Identitätsrisikoereignissen lesen	Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
IdentityRiskyUser.Read.All	Informationen zu Identitätsrisiken für Benutzer lesen	Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
IdentityRiskyUser.ReadWrite.All	Informationen zu Identitätsrisiken für Benutzer lesen und aktualisieren	Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu aktualisieren.	Ja	Nein
IdentityRiskyServicePrincipal.Read.All	Alle riskanten Dienstprinzipalinformationen lesen	Ermöglicht der App, alle riskanten Dienstprinzipalinformationen für Ihre Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
IdentityRiskyServicePrincipal.ReadWrite.All	Lesen und Schreiben aller riskanten Dienstprinzipalinformationen	Ermöglicht es der Anwendung, im Namen des angemeldeten Benutzers Informationen über risikobehaftete Dienstprinzipale für alle Dienstprinzipale in Ihrer Organisation zu lesen und zu aktualisieren. Zu den Aktualisierungsvorgängen gehört auch das Verwerfen riskanter Dienstprinzipale.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
IdentityRiskEvent.Read.All	Informationen zu Identitätsrisikoereignissen lesen	Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.	Ja
IdentityRiskyUser.Read.All	Informationen zu Identitätsrisiken für Benutzer lesen	Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen.	Ja
IdentityRiskyUser.ReadWrite.All	Informationen zu Identitätsrisiken für Benutzer lesen und aktualisieren	Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzers zu lesen und zu aktualisieren.	Ja
IdentityRiskyServicePrincipal.Read.All	Alle riskanten Dienstprinzipalinformationen lesen	Ermöglicht der App das Lesen aller riskanten Dienstprinzipalinformationen durch Ihre Organisation, ohne dass ein Benutzer angemeldet ist.	Ja
IdentityRiskyServicePrincipal.ReadWrite.All	Lesen und Schreiben aller riskanten Dienstprinzipalinformationen	Ermöglicht der App, riskante Dienstprinzipale für Ihre Organisation ohne angemeldeten Benutzer zu lesen und zu aktualisieren.	Ja

Alle Identitätsrisiko-Berechtigungen sind nur für Arbeits- oder Schulkonten gültig. Damit eine App mit delegierten Berechtigungen Identitätsrisikoinformationen lesen kann, muss der angemeldete Benutzer Mitglied einer der folgenden Azure AD-Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator oder Sicherheitsleseberechtigter.

Verwendungsbeispiel

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

Risikoereignisse lesen

Alle Risikoereignisse lesen, die für alle Benutzer im Mandanten generiert werden (GET /identityProtection/riskDetections)
Die letzten 50 Risikoereignisse lesen (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50)

Riskante Benutzer lesen

Alle riskanten Benutzer und Eigenschaften im Mandanten lesen (GET /identityProtection/riskyUsers)
Alle riskanten Benutzer lesen, deren Risikostufe „Mittel“ (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
Risikoinformationen für einen bestimmten Benutzer lesen (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

Lesen riskanter Dienstprinzipale

Alle riskanten Dienstprinzipale und -eigenschaften im Mandanten lesen (GET /identityProtection/riskyServicePrincipals)
Alle riskanten Dienstprinzipale lesen, deren Aggregatrisikostufe mittel ist (GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium')
Lesen der Risikoinformationen für einen bestimmten Dienstprinzipal (GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}')

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Identitätsbenutzerstrom-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
IdentityUserFlow.Read.All	Lesen aller Identitätsbenutzerströme in einem Mandanten	Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen.	Ja	Nein
IdentityUserFlow.ReadWrite.All	Lesen und Schreiben aller Identitätsbenutzerströme in einem Mandanten.	Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen oder zu schreiben.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
IdentityUserFlow.Read.All	Lesen aller Identitätsbenutzerströme in einem Mandanten	Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen.	Ja	Nein
IdentityUserFlow.ReadWrite.All	Lesen und Schreiben aller Identitätsbenutzerströme in einem Mandanten.	Ermöglicht der App, die Benutzerströme Ihrer Organisation zu lesen oder zu schreiben.	Ja	Nein

Bemerkungen

IdentityUserFlow.Read.All und IdentityUserFlow.ReadWrite.ALL gelten nur für Geschäfts- oder Ausbildungskonten.

Damit eine App mit delegierten Berechtigungen Benutzerströme lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Benutzerstromadministrator für externe Identitäten oder Global Reader. Damit eine App mit delegierten Berechtigungen Benutzerströme schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzerstromadministrator für externe Identitäten.

Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert und Anwendung

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

IdentityUserFlow.Read.All: Lesen aller Benutzerströme in einem Azure AD B2C-Mandanten (GET beta/identity/b2cUserFlows)
IdentityUserFlow.Read.All: Lesen aller Benutzerströme in einem Azure Active Directory (Azure AD)-Mandanten (GET beta/identity/b2xUserFlows)
IdentityUserFlow.Read.All: alle Benutzerattribut-Zuweisungen in einem Azure AD B2C-Benutzerfluss lesen (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
IdentityUserFlow.ReadWrite.All: Erstellen eines neuen Benutzerstroms in einem Azure AD B2C-Mandanten (POST beta/identity/b2cUserFlows)
IdentityUserFlow.ReadWrite.All: Erstellen eines neuen Benutzerstroms in einem Azure Active Directory (Azure AD)-Mandanten (POST beta/identity/b2xUserflows)
IdentityUserFlow.ReadWrite.All: Hinzufügen eines Identitätsanbieters zu einem Azure AD B2C-Benutzerstrom (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
IdentityUserFlow.ReadWrite.All: Entfernen eines Identitätsanbieters aus einem Azure AD B2C-Benutzerstrom (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
IdentityUserFlow.ReadWrite.All: Erstellen einer Benutzerattribut-Zuweisung in einem Azure AD B2C-Benutzerfluss (POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Information Protection-Richtlinie

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
InformationProtectionPolicy.Read	Benutzer-Vertraulichkeitsbezeichnungen und Bezeichnungsrichtlinien lesen.	Ermöglicht einer App das Lesen von Information Protection-Vertraulichkeitskennzeichnungen und Bezeichnungsrichtlinieneinstellungen im Namen des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
InformationProtectionPolicy.Read.All	Lesezugriff auf alle veröffentlichten Bezeichnungen und Bezeichnungsrichtlinien für eine Organisation	Ermöglicht einer App, veröffentlichte Vertraulichkeitsbezeichnungen und die Einstellungen für Bezeichnungsrichtlinien für die gesamte Organisation oder für einen bestimmten Benutzer zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja

Berechtigungen für Intune-Geräteverwaltung

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
DeviceManagementApps.Read.All	Microsoft Intune-Apps lesen	Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen.	Ja	Nein
DeviceManagementApps.ReadWrite.All	Microsoft Intune-Apps lesen und schreiben	Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben.	Ja	Nein
DeviceManagementConfiguration.Read.All	Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen	Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen.	Ja	Nein
DeviceManagementConfiguration.ReadWrite.All	Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben	Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben.	Ja	Nein
DeviceManagementManagedDevices.PrivilegedOperations.All	Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführen	Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden.	Ja	Nein
DeviceManagementManagedDevices.Read.All	Microsoft Intune-Geräte lesen	Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen.	Ja	Nein
DeviceManagementManagedDevices.ReadWrite.All	Microsoft Intune-Geräte lesen und schreiben	Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers.	Ja	Nein
DeviceManagementRBAC.Read.All	Microsoft Intune-RBAC-Einstellungen lesen	Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen.	Ja	Nein
DeviceManagementRBAC.ReadWrite.All	Microsoft Intune-RBAC-Einstellungen lesen und schreiben	Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben.	Ja	Nein
DeviceManagementServiceConfig.Read.All	Microsoft Intune-Konfiguration lesen	Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration.	Ja	Nein
DeviceManagementServiceConfig.ReadWrite.All	Microsoft Intune-Konfiguration lesen und schreiben	Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
DeviceManagementApps.Read.All	Microsoft Intune-Apps lesen	Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen.	Ja	Nein
DeviceManagementApps.ReadWrite.All	Microsoft Intune-Apps lesen und schreiben	Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben.	Ja	Nein
DeviceManagementConfiguration.Read.All	Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen	Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen.	Ja	Nein
DeviceManagementConfiguration.ReadWrite.All	Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben	Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben.	Ja	Nein
DeviceManagementManagedDevices.PrivilegedOperations.All	Remoteaktionen mit Auswirkungen auf den Benutzer auf Microsoft Intune-Geräten durchführen	Ermöglicht der App, Remoteaktionen mit großen Auswirkungen durchzuführen, z. B. das Zurücksetzen des Geräts oder der Kennung auf Geräten, die von Microsoft Intune verwaltet werden.	Ja	Nein
DeviceManagementManagedDevices.Read.All	Microsoft Intune-Geräte lesen	Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen.	Ja	Nein
DeviceManagementManagedDevices.ReadWrite.All	Microsoft Intune-Geräte lesen und schreiben	Ermöglicht der App, die Eigenschaften der von Microsoft Intune verwalteten Geräte zu lesen und zu schreiben. Ermöglicht keine Operationen mit großen Auswirkungen, z. B. Remotezurücksetzen und Kennwortzurücksetzung am Gerät des Besitzers.	Ja	Nein
DeviceManagementRBAC.Read.All	Microsoft Intune-RBAC-Einstellungen lesen	Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen.	Ja	Nein
DeviceManagementRBAC.ReadWrite.All	Microsoft Intune-RBAC-Einstellungen lesen und schreiben	Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben.	Ja	Nein
DeviceManagementServiceConfig.Read.All	Microsoft Intune-Konfiguration lesen	Ermöglicht der App, Intune-Diensteigenschaften zu lesen, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration.	Ja	Nein
DeviceManagementServiceConfig.ReadWrite.All	Microsoft Intune-Konfiguration lesen und schreiben	Ermöglicht der App, Microsoft Intune-Diensteigenschaften zu lesen und zu schreiben, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration.	Ja	Nein

Bemerkungen

Hinweis: Die Verwendung der Microsoft Graph-APIs zum Konfigurieren von Intune-Steuerelementen und -Richtlinien erfordert dennoch, dass der Intune-Dienst vom Kunden ordnungsgemäß lizenziert ist.

Diese Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert

DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).
DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).
DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).
DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).
DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).
DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').
DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).
DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).

Anwendung

DeviceManagementServiceConfiguration.Read.All: Den aktuellen Status des Intune-Abonnements überprüfen (GET /deviceManagement/subscriptionState).
DeviceManagementServiceConfiguration.ReadWrite.All: Neue Geschäftsbedingungen erstellen (POST /deviceManagement/termsAndConditions).
DeviceManagementConfiguration.Read.All: Den Status einer Gerätekonfiguration suchen (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
DeviceManagementConfiguration.ReadWrite.All: Einer Gruppe eine Gerätekompatibilitätsrichtlinie zuweisen (POST deviceCompliancePolicies/{id}/assign).
DeviceManagementApps.Read.All: Alle Windows Store-Apps suchen, die in Intune veröffentlicht wurden (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
DeviceManagementApps.ReadWrite.All: Eine neue Anwendung veröffentlichen (POST /deviceAppManagement/mobileApps).
DeviceManagementRBAC.Read.All: Eine Rollenzuweisung anhand des Namens suchen (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
DeviceManagementRBAC.ReadWrite.All: Eine neue benutzerdefinierte Rolle erstellen (POST /deviceManagement/roleDefinitions).
DeviceManagementManagedDevices.Read.All: Ein verwaltetes Gerät anhand des Namens suchen (GET /managedDevices/?$filter=deviceName eq 'My Device').
DeviceManagementManagedDevices.ReadWrite.All: Ein verwaltetes Gerät entfernen (DELETE /managedDevices/{id}).
DeviceManagementManagedDevices.PrivilegedOperations.All: Die Kennung auf dem verwalteten Gerät eines Benutzers zurücksetzen (POST /managedDevices/{id}/resetPasscode).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

E-Mail-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Mail.Read	Benutzer-E-Mails lesen	Die App kann E-Mails in Benutzerpostfächern lesen.	Nein	Ja
Mail.ReadBasic	Grundlegende Mail des Benutzers lesen	Ermöglicht der App, E-Mails im Postfach des angemeldeten Benutzers zu lesen, außer body, bodyPreview, uniqueBody, attachments, extensions sowie aller erweiterten Eigenschaften. Umfasst keine Berechtigungen zum Durchsuchen von Nachrichten.	Nein	Nein
Mail.ReadWrite	Schreib-/Lesezugriff auf Benutzer-E-Mails	Die App kann E-Mails in Benutzerpostfächern erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails.	Nein	Ja
Mail.Read.Shared	Benutzer-E-Mails und freigegebene E-Mails lesen	Die App kann E-Mails lesen, auf die der Benutzer zugreifen kann, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails.	Nein	Nein
Mail.ReadWrite.Shared	Benutzer-E-Mails und freigegebene E-Mails lesen und schreiben	Die App kann E-Mails erstellen, lesen, aktualisieren und löschen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Umfasst nicht die Berechtigung zum Senden von E-Mails.	Nein	Nein
Mail.Send	E-Mails als Benutzer senden	Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden.	Nein	Ja
Mail.Send.Shared	Senden von E-Mails im Auftrag von anderen Benutzern	Die App kann E-Mails als angemeldeter Benutzer senden, einschließlich Versand im Namen anderer Benutzer.	Nein	Nein
MailboxSettings.Read	Postfacheinstellungen des Benutzers lesen	Die App kann die Postfacheinstellungen des Benutzers lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails.	Nein	Ja
MailboxSettings.ReadWrite	Benutzerpostfacheinstellungen lesen und schreiben	Die App kann die Postfacheinstellungen des Benutzers erstellen, lesen, aktualisieren und löschen. Enthält keine Berechtigung zum direkten Senden von E-Mail-Nachrichten, jedoch kann die App Regeln erstellen, die Nachrichten weiterleiten oder umleiten kann.	Nein	Ja
IMAP.AccessAsUser.All	Schreib-/Lesezugriff auf Benutzer-E-Mails via IMAP	Die App kann E-Mails in Benutzerpostfächern lesen, aktualisieren, erstellen und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails.	Nein	Ja
POP.AccessAsUser.All	Schreib-/Lesezugriff auf Benutzer-E-Mails via POP	Die App kann E-Mails in Benutzerpostfächern lesen, aktualisieren, erstellen und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails.	Nein	Ja
SMTP.Send	Senden von e-Mails als Benutzer mit SMTP AUTH	Die App kann E-Mails im Namen der Benutzer in der Organisation zu senden.	Nein	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Mail.Read	Lesezugriff auf E-Mails in allen Postfächern	Die App kann E-Mails in allen Postfächern ohne einen angemeldeten Benutzer lesen.	Ja
Mail.ReadBasic.All	Grundlegende E-Mails aller Benutzer lesen	Ermöglicht es der App, die Postfächer aller Benutzer mit Ausnahme von Body, BodyPreview, UniqueBody, Attachments, ExtendedProperties und Extensions zu lesen. Enthält keine Berechtigungen zum Durchsuchen von Nachrichten.	Ja
Mail.ReadWrite	Lese- und Schreibzugriff auf E-Mails in allen Postfächern	Die App kann E-Mails in allen Postfächern ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails.	Ja
Mail.Send	E-Mails als beliebiger Benutzer senden	Die App kann E-Mails im Namen eines beliebigen Benutzers ohne einen angemeldeten Benutzer senden.	Ja
MailboxSettings.Read	Alle Benutzerpostfacheinstellungen lesen	Die App kann Benutzerpostfacheinstellungen ohne einen angemeldeten Benutzer lesen. Umfasst nicht die Berechtigung zum Senden von E-Mails.	Ja
MailboxSettings.ReadWrite	Alle Benutzerpostfacheinstellungen lesen und schreiben	Die App kann Benutzerpostfacheinstellungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails.	Ja

Wichtig Administratoren können die Anwendungs-Zugriffsrichtlinien konfigurieren, um den Zugriff der App auf bestimmte Postfächer zu beschränken und sie nicht auf alle Postfächer in der Organisation zugreifen zu lassen, auch wenn die App Berechtigungen wie „Mail.Read“, „Mail.ReadWrite“, „Mail.Send“, „MailboxSettings.Read“ oder „MailboxSettings.ReadWrite“ besitzt.

Bemerkungen

Mail.Read.Shared, Mail.ReadWrite.Shared und Mail.Send.Shared gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.

Mit der Berechtigung Mail.Send oder Mail.Send.Shared kann eine App E-Mails senden und eine Kopie im Ordner „Gesendete Elemente“ des Benutzers speichern, selbst wenn die App keine entsprechende Mail.ReadWrite- oder Mail.ReadWrite.Shared-Berechtigung verwendet.

Verwendungsbeispiel

Delegiert

Mail.Read: Nachrichten im Posteingang des Benutzers sortiert nach receivedDateTime auflisten (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
Mail.Read.Shared: Aller Nachrichten mit Anlagen im Posteingang eines Benutzers suchen, der seinen Posteingang für den angemeldeten Benutzer freigegeben hat (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
Mail.ReadWrite: Eine Nachricht als gelesen markieren (PATCH /me/messages/{id}).
Mail.Send: Eine Nachricht senden (POST /me/sendmail).
MailboxSettings.ReadWrite: Die automatische Antwort des Benutzers aktualisieren (PATCH /me/mailboxSettings).

Anwendung

Mail.Read: Nachrichten von bob@contoso.com suchen (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
Mail.ReadWrite: Einen neuen Ordner mit dem Namen Expense Reports im Posteingang erstellen (POST /users/{id | userPrincipalName}/mailfolders).
Mail.Send: Eine Nachricht senden (POST /users/{id | userPrincipalName}/sendmail).
MailboxSettings.Read: Die Standardzeitzone für das Postfach des Benutzers abrufen (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für verwaltete Mandanten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ManagedTenants.Read.All	Lesen aller verwalteten mandantenspezifischen Informationen	Ermöglicht der App das Lesen aller Informationen zu verwalteten Mandanten im Namen des angemeldeten Benutzers.	Ja	Nein
ManagedTenants.ReadWrite.All	Lesen und Schreiben aller verwalteten mandantenspezifischen Informationen	Ermöglicht der App das Lesen und Schreiben aller Informationen zu verwalteten Mandanten im Namen des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Keine.

Mitgliedsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Member.Read.Hidden	Ausgeblendete Mitgliedschaften lesen	Erlaubt es der App, im Namen des angemeldeten Benutzers die Mitgliedschaften aller ausgeblendeten Gruppen und administrativen Einheiten zu lesen, auf die der angemeldete Benutzer Zugriff hat.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Member.Read.Hidden	Alle ausgeblendeten Mitgliedschaften lesen	Ermöglicht der App, die Mitgliedschaften ausgeblendeter Gruppen und administrativer Einheiten ohne einen angemeldeten Benutzer zu lesen.	Ja

Hinweise

Member.Read.Hidden gilt nur für Geschäfts-, Schul- oder Unikonten.

Die Mitgliedschaft in einigen Microsoft 365-Gruppen kann ausgeblendet sein. Dies bedeutet, dass nur die Mitglieder der Gruppe deren Mitglieder anzeigen können. Dieses Feature ist hilfreich zur Einhaltung von Vorschriften, die erfordern, dass eine Organisation Gruppenmitgliedschaften für Außenstehende ausblendet (z. B. eine Microsoft 365-Gruppe, zu der in einem Kurs angemeldete Teilnehmer gehören).

Verwendungsbeispiel

Delegiert

Member.Read.Hidden: Lesen aller Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /administrativeUnits/{id}/members)
Member.Read.Hidden: Lesen aller Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft im Namen des angemeldeten Benutzers (GET /groups/{id}/members)

Anwendung

Member.Read.Hidden: Die Mitglieder einer administrativen Einheit mit ausgeblendeter Mitgliedschaft lesen (GET /administrativeUnits/{id}/members).
Member.Read.Hidden: Die Mitglieder einer Gruppe mit ausgeblendeter Mitgliedschaft lesen (GET /groups/{id}/members).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Notizberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Notes.Read	OneNote-Benutzernotizbücher lesen	Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen.	Nein	Ja
Notes.Create	OneNote-Benutzernotizbücher erstellen	Ermöglicht der App, die Titel von OneNote-Notizbüchern und -Abschnitten zu lesen sowie neue Seiten, Notizbücher und Abschnitte im Namen des angemeldeten Benutzers zu erstellen.	Nein	Ja
Notes.ReadWrite	OneNote-Benutzernotizbücher lesen und schreiben	Ermöglicht der App, OneNote-Notizbücher im Namen des angemeldeten Benutzers zu lesen, freizugeben und zu ändern.	Nein	Ja
Notes.Read.All	Alle OneNote-Notizbücher lesen, auf die der Benutzer zugreifen kann	Ermöglicht der App, OneNote-Notizbücher zu lesen, auf die der angemeldete Benutzer in der Organisation Zugriff hat.	Nein	Nein
Notes.ReadWrite.All	Alle OneNote-Notizbücher lesen und schreiben, auf die der Benutzer zugreifen kann	Ermöglicht der App, OneNote-Notizbücher zu lesen, freizugeben und zu ändern, auf die der angemeldete Benutzer in der Organisation Zugriff hat.	Nein	Nein
Notes.ReadWrite.CreatedByApp	Eingeschränkter Zugriff auf Notizbücher (veraltet)	Veraltet Nicht verwenden. Durch diese Berechtigung werden keine Rechte gewährt.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Notes.Read.All	Alle OneNote-Benutzernotizbücher lesen	Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.	Ja
Notes.ReadWrite.All	Alle OneNote-Benutzernotizbücher lesen und schreiben	Ermöglicht der App, alle OneNote-Notizbücher in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen, freizugeben und zu ändern.	Ja

Bemerkungen

Notes.Read.All und Notes.ReadWrite.All gelten nur für Geschäfts-, Schul- oder Unikonten. Alle anderen Berechtigungen gelten für Microsoft-Konten und Geschäfts-, Schul- oder Unikonten.

Mit der Berechtigung Notes.Create kann eine App die OneNote-Notizbuchhierarchie des angemeldeten Benutzers anzeigen und OneNote-Inhalte (Notizbücher, Abschnittsgruppen, Abschnitte, Seiten usw.) erstellen.

Notes.ReadWrite und Notes.ReadWrite.All ermöglichen der App außerdem, die Berechtigungen für den OneNote-Inhalt zu ändern, auf den vom angemeldeten Benutzer zugegriffen werden kann.

Für Geschäfts-, Schul- oder Unikonten ermöglichen Notes.Read.All und Notes.ReadWrite.All der App, auf OneNote-Inhalte anderer Benutzer zuzugreifen, für die der angemeldete Benutzer innerhalb der Organisation über Berechtigungen verfügt.

Verwendungsbeispiel

Delegiert

Notes.Create: Ein neues Notizbuch für den angemeldeten Benutzer erstellen (POST /me/onenote/notebooks).
Notes.Read: Die Notizbücher des angemeldeten Benutzers lesen (GET /me/onenote/notebooks).
Notes.Read.All: Alle Notizbücher abrufen, auf die der angemeldete Benutzer innerhalb der Organisation Zugriff hat (GET /me/onenote/notebooks?includesharednotebooks=true).
Notes.ReadWrite: Die Seite des angemeldeten Benutzers aktualisieren (PATCH /me/onenote/pages/{id}/$value).
Notes.ReadWrite.All: Eine Seite im Notizbuch eines anderen Benutzers erstellen, auf das der angemeldete Benutzer innerhalb der Organisation Zugriff hat (POST /users/{id}/onenote/pages).

Anwendung

Notes.Read.All: Alle Benutzernotizbücher in einer Gruppe lesen (GET /groups/{id}/onenote/notebooks).
Notes.ReadWrite.All: Die Seite in einem Notizbuch für einen beliebigen Benutzer in der Organisation aktualisieren (PATCH /users/{id}/onenote/pages/{id}/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Benachrichtigungsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Notifications.ReadWrite.CreatedByApp	Bereitstellen und Verwalten von Benachrichtigungen für diese App.	Ermöglicht der App, ihre Benachrichtigungen im Namen angemeldeter Benutzer zu übermitteln. Ermöglicht der App außerdem, die Benachrichtigungselemente des Benutzers für diese App zu lesen, zu aktualisieren und zu löschen.	Nein

Hinweise

Notifications.ReadWrite.CreatedByApp ist sowohl für Microsoft-Konten als auch für Geschäfts-, Schul-, oder Unikonten gültig. Die CreatedByApp- Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst implizite Filterung auf Ergebnisse basierend auf der Identität der aufrufenden App anwendet, entweder der Microsoft-Konto App-ID oder einer Gruppe von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.

Verwendungsbeispiel

Delegiert

Notifications.ReadWrite.CreatedByApp: Veröffentlichen einer benutzerorientierten Benachrichtigung, die dann an mehrere Anwendungsclients des Benutzers gesendet werden kann, die an unterschiedlichen Endpunkten ausgeführt werden. (POST /mir/Benachrichtigungen/).

Berechtigungen für Onlinebesprechungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
OnlineMeetings.Read	Lesen von Onlinebesprechungsdetails.	Ermöglicht einer App das Lesen von Details von Onlinebesprechungen im Auftrag des angemeldeten Benutzers.	Nein	Nein
OnlineMeetings.ReadWrite	Lesen und Erstellen von Onlinebesprechungen.	Ermöglicht einer App das Erstellen und Lesen von Onlinebesprechungen im Auftrag des angemeldeten Benutzers.	Nein	Nein
OnlineMeetingArtifact.Read.All	Onlinebesprechungsartefakte lesen.	Ermöglicht der App das Lesen von Onlinebesprechungsartefakten im Namen des angemeldeten Benutzers.	Nein	Nein
OnlineMeetingTranscript.Read.All	Lesen Sie alle Abschriften von Online-Meetings.	Ermöglicht es der App, alle Abschriften von Online Meetings im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
OnlineMeetings.Read.All	Lesen von Onlinebesprechungsdetails aus der App	Ermöglicht der App, Onlinebesprechungsdetails in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.	Ja
OnlineMeetings.ReadWrite.All	Lesen von Onlinebesprechungsdetails aus der App	Ermöglicht einer App das Erstellen und Lesen von Onlinebesprechungen ohne einen angemeldeten Benutzer.	Ja
OnlineMeetingArtifact.Read.All	Lesen von Onlinebesprechungsartefakten aus der App	Ermöglicht der App, Onlinebesprechungsartefakte in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.	Ja
OnlineMeetingTranscript.Read.All	Lesen Sie alle Abschriften von Online-Meetings.	Ermöglicht es der App, alle Protokolle aller Online Meetings zu lesen, ohne dass sich ein Benutzer anmelden muss.	Ja

Wichtig Administratoren können die Zugriffsrichtlinien für Apps so konfigurieren, dass Apps im Namen eines Benutzers Zugriff auf Onlinebesprechungen erlangen können.

Verwendungsbeispiel

Delegiert

OnlineMeetings.Read: Abrufen der Eigenschaften und Beziehungen einer Onlinebesprechung (GET /beta/communications/onlinemeetings/{default id}).
OnlineMeetings.ReadWrite.: Erstellen einer Onlinebesprechung (POST /beta/communications/onlinemeetings).

Anwendung

OnlineMeetings.Read.All
- Dient zum Abrufen der Eigenschaften und der Beziehungen einer Onlinebesprechung (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
- Abrufen einer Onlinebesprechung im Namen eines Benutzers (`GET /beta/users/{userId}/onlineMeetings/{id})
OnlineMeetings.ReadWrite.All
- Abrufen einer Onlinebesprechung im Namen eines Benutzers (`POST /beta/users/{userId}/onlineMeetings/)
- Aktualisieren einer Onlinebesprechung im Namen eines Benutzers (`PATCH/beta/users/{userId}/onlineMeetings/{id})
- Löschen einer Onlinebesprechung im Namen eines Benutzers (`DELETE/beta/users/{userId}/onlineMeetings/{id})

Hinweis: Durch Erstellen einer Onlinebesprechung wird eine Besprechung im Namen eines im Anforderungstext angegebenen Benutzers erstellt; diese wird aber nicht im Kalender des Benutzers angezeigt.

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für lokale Veröffentlichungsprofile

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
OnPremisesPublishingProfiles.ReadWrite.All	Auf lokale Veröffentlichungsprofile zugreifen	Ermöglicht der App, die Konfiguration des Hybrid-Identitätsdiensts durch Erstellen, Anzeigen, Aktualisieren und Löschen von lokalen veröffentlichten Ressourcen, lokalen Agents und Agentengruppen im Auftrag des angemeldeten Benutzers zu verwalten.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
OnPremisesPublishingProfiles.ReadWrite.All	Auf lokale Veröffentlichungsprofile zugreifen	Ermöglicht der App das Erstellen, Anzeigen, Aktualisieren und Löschen von lokal veröffentlichten Ressourcen, lokalen Agents und Agentgruppen im Rahmen der Konfiguration einer hybriden Identität, ohne dass ein Benutzer angemeldet ist.	Ja	Nein

OpenID Connect (OIDC)-Bereiche

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
email	E-Mail-Adresse von Benutzern anzeigen	Ermöglicht der App, die primäre E-Mail-Adresse Ihrer Benutzer zu lesen.	Nein	Ja
offline_access	Jederzeit auf Daten des Benutzers zugreifen	Ermöglicht der App, Benutzerdaten zu lesen und zu aktualisieren, auch wenn diese die App derzeit nicht verwenden.	Nein	Ja
openid	Benutzer anmelden	Mit dieser Berechtigung kann eine App einen eindeutigen Bezeichner für den Benutzer in Form des Unteranspruchs erhalten. Die Berechtigung gewährt der App außerdem Zugriff auf den UserInfo-Endpunkt. Der OpenID-Bereich kann am Microsoft Identity Platform-Tokenendpunkt verwendet werden, um ID-Token abzurufen. Die App kann diese Token für die Authentifizierung verwenden.	Nein	Ja
profile	Grundlegendes Profil von Benutzern anzeigen	Ermöglicht der App, das grundlegende Profil Ihrer Benutzer (Name, Bild, Benutzername) anzuzeigen.	Nein	Ja

Hinweise

Sie können diese Bereiche verwenden, um Artefakte anzugeben, die in Azure AD-Autorisierungs- und Tokenanforderungen zurückgegeben werden sollen. Sie werden von den Azure AD v1.0- und v2.0-Endpunkten unterschiedlich unterstützt.

Beim Azure AD v1.0-Endpunkt wird nur der Bereich openid verwendet. Dies wird im scope-Parameter in einer Autorisierungsanforderung angegeben, um ein ID-Token zurückzugeben, wenn Sie das OpenID Connect-Protokoll zum Anmelden eines Benutzers bei Ihrer App verwenden. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Webanwendungen mithilfe von Open ID Connect und Azure Active Directory. Damit ein ID-Token erfolgreich zurückgegeben wird, müssen Sie auch sicherstellen, dass die Berechtigung User.Read konfiguriert ist, wenn Sie Ihre App registrieren.

Beim Azure AD v2.0-Endpunkt geben Sie den Bereich offline_access im scope-Parameter an, um explizit ein Aktualisierungstoken anzufordern, wenn Sie das OAuth 2.0- oder OpenID-Protokoll verwenden. Bei OpenID Connect geben Sie den Bereich openid zum Anfordern eines ID-Tokens an. Sie können auch den Bereich email, den Bereich profile, oder beide angeben, um zusätzliche Ansprüche im ID-Token zurückzugeben. Sie müssen nicht die Berechtigung User.Read angeben, um ein ID-Token mit dem v2.0-Endpunkt zurückzugeben. Weitere Informationen finden Sie unter OpenID Connect-Bereiche.

Wichtig

In der MSAL (Microsoft Authentication Library) werden derzeit standardmäßig offline_access, openid, profile und email in Authentifizierungs- und Tokenanforderungen angegeben. Wenn Sie diese Bereiche explizit angeben, bedeutet dies im Standardfall, dass Azure AD möglicherweise einen Fehler zurückgibt.

Berechtigungen für die Organisation

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Organization.Read.All	Organisationsinformationen lesen	Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten.	Ja	Nein
Organization.ReadWrite.All	Organisationsinformationen lesen und schreiben	Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Organization.Read.All	Organisationsinformationen lesen	Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten.	Ja
Organization.ReadWrite.All	Organisationsinformationen lesen und schreiben	Ermöglicht der App, Organisations- und verwandte Ressourcen ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten.	Ja

Verwendungsbeispiel

Delegiert

Organization.Read.All: Organisationsinformation abrufen (GET /organization).
Organization.Read.All: SKUs abrufen, die die Organisation abonniert hat (GET /subscribedSkus).

Anwendung

Organization.ReadWrite.All: Organisationsinformation aktualisieren (beispielsweise technicalNotificationMails) (PATCH /organization/{id}).

Berechtigungen von Organisationskontakten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
OrgContact.Read.All	Lesen von Organisationskontakten	Ermöglicht der App, alle Kontakte der Organisation im Namen des angemeldeten Benutzers zu lesen. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
OrgContact.Read.All	Lesen von Organisationskontakten	Ermöglicht der App, alle Kontakte der Organisation ohne angemeldeten Benutzer zu lesen. Diese Kontakte werden von der Organisation verwaltet und unterscheiden sich von den persönlichen Kontakten eines Benutzers.	Ja

Verwendungsbeispiel

Delegiert

OrgContact.Read.All: alle Organisationskontakte abrufen (GET /contacts).

Personenberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
People.Read	Lesezugriff auf Listen mit für den Benutzer relevanten Personen	Die App kann eine bewertete Liste relevanter Personen des angemeldeten Benutzers lesen. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten.	Nein	Ja
People.Read.All	Lesezugriff auf alle Listen mit für den Benutzer relevanten Personen	Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Ermöglicht der App das Durchsuchen des gesamten Verzeichnisses der Organisation des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
People.Read.All	Lesezugriff auf alle Listen mit für den Benutzer relevanten Personen	Ermöglicht es der App, eine bewertete Liste der Personen zu lesen, die für den angemeldeten Benutzer oder andere Benutzer in der Organisation des angemeldeten Benutzers relevant sind. Die Liste kann lokale Kontakte, Kontakte aus sozialen Netzwerken oder aus dem Verzeichnis Ihrer Organisation und Personen aus kürzlichen Unterhaltungen (z. B. E-Mail und Skype) enthalten. Dies erlaubt der App ebenfalls, das gesamte Verzeichnis der Organisation des angemeldeten Benutzers zu durchsuchen.	Ja

Hinweise

Die People.Read.All-Berechtigung gilt nur für Arbeits- und Schul- sowie Unikonten.

Verwendungsbeispiel

Delegiert

People.Read: Lesezugriff auf eine Liste der relevanten Personen (GET /me/people)
People.Read.All: Lesezugriff auf eine Liste der relevanten Personen für einen anderen Benutzer in der gleichen Organisation (GET /users('{id})/people)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für den privilegierten Zugriff

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
PrivilegedAccess.ReadWrite.AzureAD	Lesen und Schreiben von Privileged Identity Management-Daten für Verzeichnis	Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure AD.	Ja	Nein
PrivilegedAccess.ReadWrite.AzureADGroup	Lesen und Schreiben von Privileged Identity Management-Daten für Gruppen mit privilegiertem Zugriff	Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Gruppen.	Ja	Nein
PrivilegedAccess.ReadWrite.AzureResources	Lesen und Schreiben von Privileged Identity Management-Daten für Azure-Ressourcen	Ermöglicht der App Lese- und Schreibzugriff auf Privileged Identity Management-APIs für Azure-Ressourcen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
PrivilegedAccess.Read.AzureAD	Lesen von Privileged Identity Management-Daten für Verzeichnis	Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Azure AD.	Ja
PrivilegedAccess.Read.AzureADGroup	Lesen von Privileged Identity Management-Daten für Gruppen mit privilegiertem Zugriff	Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Gruppen.	Ja
PrivilegedAccess.Read.AzureResources	Lesen von Privileged Identity Management-Daten für Azure-Ressourcen	Ermöglicht der App Lesezugriff auf Privileged Identity Management-APIs für Azure AD-Ressourcen.	Ja

Berechtigungen für Orte

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Place.Read.All	Alle Unternehmensorte lesen	Ermöglicht es der App das Lesen von Unternehmensorten (Konferenzräume und Raumlisten), die in Exchange Online für den Mandanten eingerichtet wurden.	Ja	Nein
Place.ReadWrite.All	Alle Unternehmensorte lesen und schreiben	Ermöglicht der App das Lesen und Schreiben von Unternehmensorten (Konferenzräume und Raumlisten), die in Exchange Online für den Mandanten eingerichtet wurden.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Place.Read.All	Alle Unternehmensorte lesen	Ermöglicht es der APP, Unternehmensorte (Konferenzräume und Raumlisten) für Kalenderereignisse und andere Anwendungen zu lesen.	Ja

Berechtigungen für Richtlinien

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Policy.Read.All	Lesen der Richtlinien Ihrer Organisation	Ermöglicht der App, die Richtlinien Ihrer Organisation im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
Policy.Read.PermissionGrant	Lesen Sie die Richtlinien zur Einwilligung und Erteilung von Berechtigungen	Ermöglicht der App, Richtlinien bezüglich der Einwilligung und Erteilung von Berechtigungen für Anwendungen im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
Policy.ReadWrite.AccessReview	Lese- und Schreibzugriff auf die Zugriffsüberprüfungsrichtlinie Ihrer Organisation	Ermöglicht der App, im Namen des angemeldeten Benutzers die Zugriffsüberprüfungsrichtlinie Ihrer Organisation auszulesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.ApplicationConfiguration	Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation	Ermöglicht der App, Anwendungskonfigurationsrichtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.AuthenticationFlows	Lesen und Schreiben der Richtlinien Ihrer Organisation zum Authentifizierungsfluss	Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zum Authentifizierungsfluss zu lesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.AuthenticationMethod	Lese- und Schreibzugriff auf Richtlinien zur Authentifizierungsmethode	Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zur Authentifizierungsmethode auszulesen und zu schreiben. Dem angemeldeten Benutzer muss außerdem die Rolle „Globaler Administrator“ zugewiesen werden.	Ja	Nein
Policy.ReadWrite.Authorization	Lese- und Schreibzugriff auf die Autorisierungsrichtlinie Ihrer Organisation	Ermöglicht der App, im Namen des angemeldeten Benutzers die Autorisierungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Mithilfe von Autorisierungsrichtlinien können beispielsweise einige der Berechtigungen festgelegt werden, über die die vordefinierte Benutzerrolle standardmäßig verfügt.	Ja	Nein
Policy.ReadWrite.ConditionalAccess	Lesen und Schreiben der Richtlinien zum bedingten Zugriff Ihrer Organisation	Ermöglicht der App, im Auftrag des angemeldeten Benutzers Richtlinien zum bedingten Zugriff für Ihre Organisation zu lesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.ConsentRequest	Lese- und Schreibzugriff auf die Richtlinie für Zustimmungsanfragen Ihrer Organisation	Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinie für Zustimmungsanfragen für Ihre Organisation zu lesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.CrossTenantAccess	Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation	Ermöglicht der App das Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation im Namen des angemeldeten Benutzers.	Ja	Nein
Policy.ReadWrite.FeatureRollout	Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation	Ermöglicht der App, Feature-Rollout-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben. Umfasst die Möglichkeit des Zuweisens und Entfernens von Benutzern und Gruppen beim Rollout eines bestimmten Features.	Ja	Nein
Policy.ReadWrite.PermissionGrant	Verwalten von Richtlinien zur Einwilligung und Erteilung von Berechtigungen	Ermöglicht der App, Richtlinien bezüglich der Einwilligung und Erteilung von Berechtigungen für Anwendungen im Namen des angemeldeten Benutzers zu verwalten.	Ja	Nein
Policy.ReadWrite.TrustFramework	Lesen und Schreiben der Vertrauensframework-Richtlinien Ihrer Organisation	Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.AuthenticationMethod	Lesen und Schreiben der Richtlinien Ihrer Organisation zur Authentifizierungsmethode	Ermöglicht der App, im Namen des angemeldeten Benutzers die Richtlinien zur Authentifizierungsmethode auszulesen und zu schreiben.	Ja	Nein
Policy.ReadWrite.MobilityManagement	Lesen und Schreiben der Richtlinien Ihrer Organisation für das Mobilitätsmanagement.	Erlaubt der App das Lesen und Schreiben der Richtlinien für das Mobilitätsmanagement im Namen des angemeldeten Benutzers. Diese steuern die Einstellungen für die Anwendungen Verwaltung mobiler Geräte (MDM) und mobile Anwendungsverwaltung (MAM).	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Policy.Read.All	Lesen der Richtlinien Ihrer Organisation	Ermöglicht der App, alle Richtlinien Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.	Ja
Policy.Read.PermissionGrant	Lesen Sie die Richtlinien zur Einwilligung und Erteilung von Berechtigungen	Ermöglicht der App, Richtlinien zur Einwilligung und Erteilung von Berechtigungen für Anwendungen zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja
Policy.Read.ApplicationConfiguration	Lesen der Anwendungskonfigurationsrichtlinien Ihrer Organisation	Ermöglicht der App, alle Anwendungskonfigurationsrichtlinien Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen.	Ja
Policy.ReadWrite.AccessReview	Lese- und Schreibzugriff auf die Zugriffsüberprüfungsrichtlinie Ihrer Organisation	Ermöglicht der App, die Zugriffsüberprüfungsrichtlinie für Ihre Organisation ohne einen angemeldeten Benutzer auszulesen und zu schreiben.	Ja
Policy.ReadWrite.ApplicationConfiguration	Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation	Ermöglicht der App, alle Anwendungskonfigurationsrichtlinien Ihrer Organisation ohne einen angemeldeten Benutzer auszulesen und zu schreiben.	Ja
Policy.ReadWrite.AuthenticationFlows	Lesen und Schreiben der Richtlinien Ihrer Organisation zum Authentifizierungsfluss	Ermöglicht der App das Lesen und Schreiben der Richtlinien zum Authentifizierungsfluss des Mandanten, ohne dass ein Benutzer angemeldet ist.	Ja
Policy.ReadWrite.Authorization	Lese- und Schreibzugriff auf die Autorisierungsrichtlinie Ihrer Organisation	Ermöglicht der App, im Namen des angemeldeten Benutzers die Autorisierungsrichtlinie Ihrer Organisation auszulesen und zu schreiben. Mithilfe von Autorisierungsrichtlinien können beispielsweise einige der Berechtigungen festgelegt werden, über die die vordefinierte Benutzerrolle standardmäßig verfügt.	Ja
Policy.ReadWrite.ConsentRequest	Lese- und Schreibzugriff auf die Richtlinie für Zustimmungsanfragen Ihrer Organisation	Ermöglicht der App, ohne einen angemeldeten Benutzer die Richtlinie für Zustimmungsanfragen für Ihre Organisation zu lesen und zu schreiben.	Ja
Policy.ReadWrite.CrossTenantAccess	Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation	Ermöglicht der App das Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation, ohne dass ein Benutzer angemeldet ist.	Ja
Policy.ReadWrite.AuthenticationMethod	Lese- und Schreibzugriff auf alle Richtlinien zur Authentifizierungsmethode	Ermöglicht der App den Lese- und Schreibzugriff auf alle Richtlinien zur Authentifizierungsmethode des Mandanten, ohne dass ein Benutzer angemeldet ist.	Ja
Policy.ReadWrite.FeatureRollout	Lesen und Schreiben von Rolloutrichtlinien für Features	Ermöglicht der App, Rolloutrichtlinien für Features ohne einen angemeldeten Benutzer zu lesen und schreiben. Umfasst die Möglichkeit zum Zuweisen und Entfernen von Benutzern und Gruppen beim Rollout eines bestimmten Features.	Ja
Policy.ReadWrite.PermissionGrant	Verwalten von Richtlinien zur Einwilligung und Erteilung von Berechtigungen	Ermöglicht der App, Richtlinien zur Einwilligung und Erteilung von Berechtigungen für Anwendungen zu verwalten, ohne dass ein Benutzer angemeldet ist.	Ja
Policy.ReadWrite.TrustFramework	Lesen und Schreiben der Vertrauensframework-Richtlinien für Ihre Organisation	Ermöglicht der App, Vertrauensframework-Richtlinien für Ihre Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben.	Ja

Verwendungsbeispiel

Die folgenden Verwendungen sind für delegierte und Anwendungsberechtigungen gültig:

Policy.Read.All: Lesen der Richtlinien Ihrer Organisation(GET /policies)
Policy.Read.All: Lesen der Vertrauensframework-Richtlinien Ihrer Organisation(GET /beta/trustFramework/policies)
Policy.Read.All: Lesen der Rollout-Richtlinien für Features Ihrer Organisation (GET /beta/directory/featureRolloutPolicies)
Policy.ReadWrite.ConditionalAccess: Lesen und Schreiben der Zugriffsüberprüfungsrichtlinien Ihrer Organisation (PATCH /beta/policies/accessReviewPolicy)
Policy.ReadWrite.ApplicationConfiguration: Lesen und Schreiben der Anwendungskonfigurationsrichtlinien Ihrer Organisation (POST /beta/policies/tokenLifetimePolicies)
Policy.ReadWrite.AuthenticationFlows: Lesen und Schreiben der Richtlinie Ihrer Organisation zum Authentifizierungsfluss (PATCH /beta/policies/authenticationFlowsPolicy)
Policy.ReadWrite.AuthenticationMethod: Verwenden Sie diese Berechtigung, um die Einstellungen der Richtlinie für Authentifizierungsmethoden zu verwalten, einschließlich der Aktivierung und Deaktivierung von Authentifizierungsmethoden, der Verwendung dieser Methoden durch Benutzer und Gruppen sowie der Konfiguration anderer Einstellungen im Zusammenhang mit den Authentifizierungsmethoden, die Benutzer in einem Mandanten registrieren und verwenden können.
Policy.ReadWrite.ConditionalAccess: Lesen und Schreiben der Richtlinien zum bedingten Zugriff Ihrer Organisation (POST /beta/identity/conditionalAccess/policies)
Policy.ReadWrite.CrossTenantAccess: Lesen und Schreiben der mandantenübergreifenden Zugriffsrichtlinie Ihrer Organisation (PATCH /beta/policies/crossTenantAccessPolicy)
Policy.ReadWrite.FeatureRollout: Lesen und Schreiben der Feature-Rollout-Richtlinien Ihrer Organisation (POST /beta/directory/featureRolloutPolicies)
Policy.ReadWrite.TrustFramework: Vertrauensframework-Richtlinien für Ihre Organisation lesen und schreiben (POST /beta/trustFramework/policies)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Anwesenheitsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Presence.Read	Lesen der Anwesenheitsinformationen eines Benutzers	Ermöglicht der App das Lesen von Anwesenheitsinformationen im Namen des angemeldeten Benutzers. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort.	Nein
Presence.Read.All	Lesen von Anwesenheitsinformationen aller Benutzer in Ihrer Organisation	Ermöglicht der App das Lesen von Anwesenheitsinformationen aller Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort.	Nein
Presence.ReadWrite	Lesen und Schreiben der Anwesenheitsinformationen eines Benutzers	Ermöglicht der App, die Anwesenheitsinformationen sowie die Schreibaktivität und Verfügbarkeit im Namen des angemeldeten Benutzers zu lesen. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort.	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Presence.ReadWrite.All	Anwesenheitsinformationen für alle Benutzer lesen und schreiben	Ermöglicht der App, alle Anwesenheitsinformationen und Schreibaktivitäten sowie die Verfügbarkeit aller Benutzer im Verzeichnis zu lesen, ohne dass ein Benutzer angemeldet ist. Zu den Anwesenheitsinformationen gehören Aktivitäten, Verfügbarkeit, Statusinformationen, Kalender-Abwesenheitsnachricht, Zeitzone und Ort.	Ja

Verwendungsbeispiel

Presence.Read: Abrufen der eigenen Anwesenheitsinformationen, wenn Sie angemeldet sind (GET /me/presence)
Presence.Read.All: Abrufen der Anwesenheitsinformationen eines anderen Benutzers (GET /users/{id}/presence)
Presence.Read.All: Abrufen der Anwesenheitsinformationen mehrerer Benutzer (POST /communications/getPresencesByUserId)
Presence.ReadWrite:
- Wenn Sie angemeldet sind, legen Sie den Status Ihrer Präsenzsitzung fest (POST /me/presence/setPresence).
- Wenn Sie angemeldet sind, legen Sie Ihre eigene bevorzugte Anwesenheit (POST /me/presence/setUserPreferredPresence) fest.
Presence.ReadWrite.All:
- Festlegen des Status der Präsenzsitzung eines Benutzers als Anwendung (POST /users/{id}/presence/setPresence)
- Festlegen der bevorzugten Anwesenheit eines Benutzers als Anwendung (POST /users/{id}/presence/setUserPreferredPresence)

Programme und Programmsteuerung Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ProgramControl.Read.All	Alle Programme lesen	Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
ProgramControl.ReadWrite.All	Alle Programme verwalten	Ermöglicht es der App, Programme im Namen des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
ProgramControl.Read.All	Alle Programme lesen	Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen.	Ja
ProgramControl.ReadWrite.All	Alle Programme verwalten	Ermöglicht es der App, Programme ohne angemeldeten Benutzer zu lesen und zu schreiben.	Ja

Bemerkungen

ProgramControl.Read.All und ProgramControl.ReadWrite.All gelten nur für Geschäfts- oder Schulkonten.

Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente lesen kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator, Sicherheitsadministrator, Benutzer mit Leseberechtigung für Sicherheitsfunktionen oder Benutzeradministrator. Damit eine App mit delegierten Berechtigungen Programme und Programmsteuerelemente schreiben kann, muss der angemeldete Benutzer ein Mitglied einer der folgenden Administratorrollen sein: Globaler Administrator oder Benutzeradministrator. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Berechtigungen für die Datensatzverwaltung

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
RecordsManagement.Read.All	Lesen von Daten aus Microsoft Purview Records Management.	Ermöglicht es der Anwendung, im Namen des angemeldeten Benutzers beliebige Daten aus der Datensatzverwaltungslösung Microsoft Purview zu lesen, wie z. B. Etikettennamen, Ereignisnamen und Namen von Ereignistypen.	Ja
RecordsManagement.ReadWrite.All	Lesen und schreiben Sie beliebige Daten aus Microsoft Purview Records Management.	Erlauben Sie der Anwendung, im Namen des angemeldeten Benutzers Daten aus der Microsoft Purview Records Management Lösung zu erstellen, zu aktualisieren und zu löschen, z. B. Etiketten, Ereignisse und Ereignistypen.	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
RecordsManagement.Read.All	Lesen von Daten aus Microsoft Purview Records Management.	Ermöglicht es der Anwendung, im Namen des angemeldeten Benutzers beliebige Daten aus der Datensatzverwaltungslösung Microsoft Purview zu lesen, wie z. B. Etikettennamen, Ereignisnamen und Namen von Ereignistypen.	Ja
RecordsManagement.ReadWrite.All	Lesen und schreiben Sie beliebige Daten aus Microsoft Purview Records Management.	Erlauben Sie der Anwendung, im Namen des angemeldeten Benutzers Daten aus der Microsoft Purview Records Management Lösung zu erstellen, zu aktualisieren und zu löschen, z. B. Etiketten, Ereignisse und Ereignistypen.	Ja

Verwendungsbeispiel

Delegiert

Records Management.Read.All: Abrufen der Liste der für den Benutzer verfügbaren Labels von Microsoft Purview Records Management (GET /security/labels/retentionLabels)
Records Management.ReadWrite.All: Erstellen Sie eine Bezeichnung in der Microsoft Purview-Aufzeichnungsverwaltung (POST /security/labels/retentionLabels/)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berichtsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Reports.Read.All	Alle Verwendungsberichte lesen	Die App kann alle Dienstverwendungsberichte im Namen des angemeldeten Benutzers lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Microsoft 365 und Azure Active Directory.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Reports.Read.All	Alle Verwendungsberichte lesen	Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Microsoft 365 und Azure Active Directory.	Ja

Bemerkungen

Berichtsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.
Hinweis: Damit delegierte Berechtigungen Apps erlauben, Servicenutzungsberichte im Namen eines Benutzers zu lesen, muss der Mandant-Administrator dem Benutzer eine eingeschränkte Administratorrolle von Azure AD zugewiesen haben. Weitere Informationen finden Sie unter Berechtigung für APIs zum Lesen von Microsoft 365-Verwendungsberichten.

Verwendungsbeispiel

Anwendung

Reports.Read.All: Verwendungsdetailbericht von E-Mail-Apps für einen Zeitraum von 7 Tagen lesen (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)
Reports.Read.All: Aktivitätsdetailbericht von E-Mails mit dem Datum „2017-01-01“ lesen (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)
Reports.Read.All: Microsoft 365-Aktivierungsdetailbericht lesen (GET /reports/Office365Activations(view='Detail')/content)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für die Rollenverwaltung

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
RoleAssignmentSchedule.Read.Directory	Lesen Sie alle aktiven Rollenzuweisungen für das Verzeichnis Ihres Unternehmens.	Ermöglicht der App, die aktiven Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Dies umfasst das Lesen von Verzeichnisrollenvorlagen und Verzeichnisrollen.	Ja	Nein
RoleEligibilitySchedule.Read.Directory	Lesen Sie alle berechtigten Rollenzuweisungen für das Verzeichnis Ihres Unternehmens.	Ermöglicht der App, die berechtigten Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen. Dies umfasst das Lesen von Verzeichnisrollenvorlagen und Verzeichnisrollen.	Ja	Nein
RoleManagement.Read.All	Rollenverwaltungsdaten für alle RBAC-Anbieter lesen.	Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für alle unterstützten RBAC-Anbieter zu lesen im Auftrag des angemeldeten Benutzers. Das umfasst das Lesen von Rollendefinitionen und Rollenzuweisungen.	Ja	Nein
RoleManagement.Read.Directory	Rollenverwaltungsdaten für Azure AD lesen.	Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.	Ja	Nein
RoleManagementPolicy.Read.Directory	Lesen Sie alle Richtlinien für die Zuweisungen von privilegierten Rollen für das Verzeichnis Ihres Unternehmens.	Ermöglicht der App, die Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) für privilegierte Rollen für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
RoleAssignmentSchedule.ReadWrite.Directory	Lesen, aktualisieren und löschen Sie alle aktiven Rollenzuweisungen für das Verzeichnis Ihres Unternehmens.	Ermöglicht der App, die aktiven Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Verwalten von Active Directory-Rollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verwaltungsrollen und aktiven Mitgliedschaften.	Ja	Nein
RoleEligibilitySchedule.ReadWrite.Directory	Lesen, aktualisieren und löschen Sie alle berechtigten Rollenzuweisungen für das Verzeichnis Ihres Unternehmens.	Ermöglicht der App, die berechtigten Zuweisungen für die rollenbasierte Zugriffssteuerung (RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Verwalten von berechtigten Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verwaltungsrollen und aktiven Mitgliedschaften.	Ja	Nein
RoleManagement.ReadWrite.Directory	Rollenverwaltungsdaten für Azure AD lesen und schreiben.	Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen und zu verwalten. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.	Ja	Nein
RoleManagementPolicy.ReadWrite.Directory	Lesen, aktualisieren und löschen Sie alle Richtlinien für die Zuweisungen von privilegierten Rollen für das Verzeichnis Ihres Unternehmens.	Ermöglicht der App, die Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) für privilegierte Rollen für das Verzeichnis Ihres Unternehmens im Auftrag des angemeldeten Benutzers zu lesen, zu aktualisieren und zu löschen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
RoleManagement.Read.All	Rollenverwaltungsdaten für alle RBAC-Anbieter lesen.	Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) für alle unterstützten RBAC-Anbieter zu lesen, ohne dass ein Benutzer angemeldet ist. Das umfasst das Lesen von Rollendefinitionen und Rollenzuweisungen.	Ja
RoleManagement.Read.Directory	Rollenverwaltungsdaten für Azure AD lesen.	Ermöglicht der App, die Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für das Verzeichnis Ihres Unternehmens zu lesen, ohne einen angemeldeten Benutzer. Dies umfasst das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.	Ja
RoleManagement.ReadWrite.Directory	Rollenverwaltungsdaten für Azure AD lesen und schreiben.	Ermöglicht der App das Lesen und Verwalten der rollenbasierten Zugriffssteuerungseinstellungen (RBAC) für das Verzeichnis Ihres Unternehmens, ohne einen angemeldeten Benutzer. Dies umfasst das Instanziieren von Verzeichnisrollen und das Verwalten von Verzeichnisrollenmitgliedschaften sowie das Lesen von Verzeichnisrollenvorlagen, Verzeichnisrollen und Mitgliedschaften.	Ja

Hinweise

Achtung

Berechtigungen, die das Erteilen einer Autorisierung ermöglichen, z. B. RoleManagement.ReadWrite.Directory, ermöglichen einer Anwendung, sich selbst, anderen Anwendungen oder einem beliebigen Benutzer zusätzliche Berechtigungen zu gewähren.

Mit der Berechtigung RoleManagement.Read.Directory kann eine Anwendung "directoryRoles" und "directoryRoleTemplates" lesen. Dies umfasst das Lesen von Mitgliedschaftsinformationen für Verzeichnisrollen.

Mit der Berechtigung RoleManagement.ReadWrite.Directory kann eine Anwendung "directoryRoles lesen und schreiben ("directoryRoleTemplates" sind schreibgeschützte Ressourcen). Dazu gehören das Hinzufügen von Mitgliedern zu und das Entfernen von Mitgliedern aus Verzeichnisrollen.

Berechtigungen zur Rollenverwaltung gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

RoleManagement.Read.Directory: Lesezugriff auf die Liste der verfügbaren Rollenvorlagen (GET /directoryRoleTemplates)
RoleManagement.Read.Directory: Lesezugriff auf die Liste der aktivierten Rollen in Ihrem Verzeichnis (GET /directoryRoles)
RoleManagement.Read.Directory: Lesezugriff auf die Liste der Mitglieder einer Rolle (GET /directoryRoles/<id>/members)
RoleManagement.Read.Directory: Lesezugriff auf die Liste der auf Verwaltungseinheiten bezogenen Mitglieder einer Rolle (GET /directoryRoles/<id>/scopedMembers)
RoleManagement.ReadWrite.Directory: Verzeichnisrolle aus einer Rollenvorlage aktivieren (POST /directoryRoles)
RoleManagement.ReadWrite.Directory: Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/members)
RoleManagement.ReadWrite.Directory: Auf Verwaltungseinheiten bezogenes Mitglied zu einer Verzeichnisrolle hinzufügen (POST /directoryRoles/<id>/scopedMembers)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für die Zeitplanverwaltung (Private Vorschau)

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Schedule.ReadWrite.All (Private Vorschau)	Lesen und Schreiben von Shifts Service-Daten (Teams)	Ermöglicht einer App das Lesen und Schreiben von Zeitplänen, Zeitplangruppen, Schichten und zugehörigen Entitäten in Schichtanwendungen ohne einen angemeldeten Benutzer.	Ja	Nein
Schedule.Read.All (Private Vorschau)	Lesen von Shifts Service-Daten (Teams)	Ermöglicht einer App das Lesen von Zeitplänen, Zeitplangruppen, Schichten und zugehörigen Entitäten in Schichtanwendungen ohne einen angemeldeten Benutzer.	Ja	Nein

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Schedule.ReadWrite.All	Lesen und Schreiben von Shifts Service-Daten (Teams)	Ermöglicht einer App das Lesen und Schreiben von Zeitplänen, Planen von Gruppen, Schichten und assoziierten Entitäten in Schichtanwendungen im Auftrag des angemeldeten Benutzers.	Nein	Nein
Schedule.Read.All	Lesen von Shifts Service-Daten (Teams)	Ermöglicht der App das Lesen des Zeitplans, Planen von Gruppen, Schichten und assoziierten Entitäten in Schichtanwendungen im Auftrag des angemeldeten Benutzers.	Nein	Nein
WorkforceIntegration.ReadWrite.All (private Vorschau)	Lesen und Schreiben der Mitarbeiterintegrationen	Ermöglicht der App, Mitarbeiterintegrationen zur Synchronisierung von Daten aus Microsoft Teams-Schichten mit einem integrierten System im Auftrag des angemeldeten Benutzers zu verwalten.	Ja	Nein
WorkforceIntegration.Read.All (private Vorschau)	Lesen und Schreiben der Mitarbeiterintegrationen	Ermöglicht der App, Mitarbeiterintegrationen zur Synchronisierung von Daten aus Microsoft Teams-Schichten mit einem integrierten System im Auftrag des angemeldeten Benutzers zu verwalten.	Ja	Nein

Suchberechtigungen

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ExternalConnection.Read.All	Alle externen Verbindungen lesen	Ermöglicht der App das Lesen aller externen Verbindungen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
ExternalConnection.ReadWrite.All	Alle externen Verbindungen lesen und schreiben	Ermöglicht der App das Lesen und Schreiben aller externen Verbindungen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
ExternalConnection.ReadWrite.OwnedBy	Lesen und Schreiben externer Verbindungen und Verbindungseinstellungen	Ermöglicht der App das Lesen und Schreiben externer Verbindungen und ihrer Einstellungen, ohne dass ein Benutzer angemeldet ist. Die App kann nur externe Verbindungen lesen und schreiben, für die sie autorisiert ist, oder sie kann neue externe Verbindungen erstellen.	Ja	Nein
ExternalItem.Read.All	Alle externen Elemente lesen	Ermöglicht der App das Lesen aller externen Elemente ohne dass ein Benutzer angemeldet ist.	Ja	Nein
ExternalItem.ReadWrite.All	Lesen und Schreiben aller externen Elemente	Ermöglicht der App das Lesen und Schreiben aller externen Elemente, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
ExternalItem.ReadWrite.OwnedBy	Lesen und Schreiben externer Elemente	Ermöglicht der App das Lesen und Schreiben externer Elemente, ohne dass ein Benutzer angemeldet ist. Die App kann nur externe Elemente der Verbindung lesen, für die sie autorisiert ist.	Ja	Nein

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ExternalConnection.Read.All	Alle externen Verbindungen lesen	Ermöglicht der App das Lesen aller externen Verbindungen im Namen eines angemeldeten Benutzers.	Ja	Nein
ExternalConnection.ReadWrite.All	Alle externen Verbindungen lesen und schreiben	Ermöglicht der App das Lesen und Schreiben aller externen Verbindungen im Namen eines angemeldeten Benutzers.	Ja	Nein
ExternalConnection.ReadWrite.OwnedBy	Externe Verbindungen lesen und schreiben	Ermöglicht der App das Lesen und Schreiben externer Verbindungen im Namen eines angemeldeten Benutzers. Die App kann nur externe Verbindungen lesen und schreiben, für die sie autorisiert ist, oder sie kann neue externe Verbindungen erstellen.	Ja	Nein
ExternalItem.Read.All	Externe Daten lesen	Zulassen, dass die App externe Datasets und Inhalte im Namen des angemeldeten Benutzers liest.	Ja	Nein
ExternalItem.ReadWrite.All	Lesen und Schreiben aller externen Elemente	Ermöglicht der App das Lesen und Schreiben aller externen Elemente im Namen eines angemeldeten Benutzers.	Ja	Nein
ExternalItem.ReadWrite.OwnedBy	Lesen und Schreiben externer Elemente	Ermöglicht der App das Lesen und Schreiben externer Elemente im Namen eines angemeldeten Benutzers. Die App kann nur externe Elemente der Verbindung lesen, für die sie autorisiert ist.	Ja	Nein

Bemerkungen

Suchberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Diese Suchberechtigung gilt nur für erfasste Daten aus der Indizierungs-API.

Der Zugriff auf Daten über die Suche erfordert die Leseberechtigung für das Element. Beispiel: Files.Read.All für den Zugriff auf Dateien über die Suche.

Verwendungsbeispiel

Delegiert

ExternalItem.ReadWrite.All: Zugreifen auf externe Daten über die Such-API (POST /search/query).

Suchkonfigurationsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
SearchConfiguration.Read.All	Lesen der Suchkonfiguration Ihrer Organisation	Ermöglicht der App das Lesen der Suchkonfiguration im Namen des angemeldeten Benutzers.	Ja	Nein
SearchConfiguration.ReadWrite.All	Lesen und Schreiben der Suchkonfiguration Ihrer Organisation	Ermöglicht der App das Lesen und Schreiben von Suchkonfigurationen im Namen des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
SearchConfiguration.Read.All	Lesen der Suchkonfiguration Ihrer Organisation	Ermöglicht der App das Lesen von Suchkonfigurationen, ohne dass ein Benutzer angemeldet ist.	Ja
SearchConfiguration.ReadWrite.All	Lesen und Schreiben der Suchkonfiguration Ihrer Organisation	Ermöglicht der App das Lesen und Schreiben von Suchkonfigurationen, ohne dass ein Benutzer angemeldet ist.	Ja

Hinweise

Berechtigungen für die Suchkonfiguration sind nur für Arbeits- oder Schulkonten gültig.

Verwendungsbeispiel

Delegiert und Anwendung

SearchConfiguration.Read.All: Liest die Liste aller Lesezeichen, die für Ihren Mandanten erstellt wurden (GET /beta/search/bookmarks).
SearchConfiguration.ReadWrite.All: Aktualisieren oder lesen Sie alle Lesezeichen, die für Ihren Mandanten erstellt wurden (PATCH /beta/search/bookmarks/{id}).

Sicherheitsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
SecurityEvents.Read.All	Lesen von Sicherheitsereignissen der Organisation	Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
SecurityEvents.ReadWrite.All	Lesen und Aktualisieren von Sicherheitsereignissen der Organisation	Ermöglicht der App, die Sicherheitsereignisse Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Ermöglicht der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen im Namen des angemeldeten Benutzers zu aktualisieren.	Ja	Nein
SecurityActions.Read.All	Lesen von Sicherheitsaktionen der Organisation	Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
SecurityActions.ReadWrite.All	Lesen und Aktualisieren von Sicherheitsaktionen der Organisation	Ermöglicht der App, die Sicherheitsaktionen Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen oder zu aktualisieren.	Ja	Nein
ThreatIndicators.ReadWrite.OwnedBy	Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt	Ermöglicht der App das Erstellen und die vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) im Auftrag des angemeldeten Benutzers.	Ja	Nein
ThreatIndicators.Read.All	Lesen Sie die Bedrohungsindikatoren Ihrer Organisation.	Ermöglicht der App, alle Bedrohungsindikatoren für Ihre Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
SecurityEvents.Read.All	Lesen von Sicherheitsereignissen der Organisation	Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation.	Ja
SecurityEvents.ReadWrite.All	Lesen und Aktualisieren von Sicherheitsereignissen der Organisation	Ermöglicht der App das Lesen von Sicherheitsereignissen der Organisation. Ermöglicht es der App zudem, die bearbeitbaren Eigenschaften in Sicherheitsereignissen zu aktualisieren.	Ja
SecurityActions.Read.All	Lesen von Sicherheitsereignissen der Organisation	Ermöglicht der App das Lesen von Sicherheitsaktionen der Organisation.	Ja
SecurityActions.ReadWrite.All	Erstellen und lesen von Sicherheitsaktionen der Organisation	Ermöglicht der App das Lesen oder Erstellen von Sicherheitsaktionen ohne einen angemeldeten Benutzer.	Ja
ThreatIndicators.ReadWrite.OwnedBy	Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt	Ermöglicht der App das Erstellen und vollständige Verwalten von Bedrohungsindikatoren (Lesen, Aktualisieren und Löschen) ohne einen angemeldeten Benutzer. Die App kann keine Bedrohungsindikatoren aktualisieren, die sie nicht besitzt.	Ja
ThreatIndicators.Read.All	Verwalten von Bedrohungsindikatoren, die diese App erstellt oder besitzt	Ermöglicht der App, alle Bedrohungsindikatoren für Ihre Organisation ohne angemeldeten Benutzer zu lesen.	Ja

Bemerkungen

Sicherheitsberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert und Anwendung

SecurityEvents.Read.All: Lesen der Liste aller Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (GET /beta/security/alerts)
SecurityEvents.ReadWrite.All: Aktualisieren oder Lesen der Sicherheitswarnungen von allen lizenzierten Sicherheitsanbietern Ihres Mandanten (PATCH /beta/security/alerts/{id})

Dienstkommunikationsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ServiceHealth.Read.All	Dienststatus lesen	Ermöglicht es der App, Informationen über den Dienststatus des Mandanten im Namen des angemeldeten Benutzers zu lesen. Statusinformationen können Dienstprobleme oder Übersichten über den Dienststatus umfassen.	Ja	Ja
ServiceMessage.Read.All	Dienstmeldungen lesen	Ermöglicht es der App, Dienstankündigungsmeldungen des Mandanten im Namen des angemeldeten Benutzers zu lesen. Meldungen können Informationen über neue oder geänderte Features enthalten.	Ja	Ja
ServiceMessageViewpoint.Write	Benutzerstatus in Dienstankündigungsmeldungen aktualisieren	Ermöglicht es der App, den Benutzerstatus von Dienstankündigungsmeldungen im Namen des angemeldeten Benutzers zu aktualisieren. Der Meldungsstatus kann als „Gelesen“, „Archiv“ oder „Favorit“ markiert werden.	Ja	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
ServiceHealth.Read.All	Dienststatus lesen	Ermöglicht es der App, Dienststatusinformationen des Mandanten zu lesen, ohne dass ein Benutzer angemeldet ist. Statusinformationen können Dienstprobleme oder Übersichten über den Dienststatus umfassen.	Ja
ServiceMessage.Read.All	Dienstmeldungen lesen	Ermöglicht es der App Dienstankündigungsmeldungen des Mandanten zu lesen, ohne dass ein Benutzer angemeldet ist. Meldungen können Informationen über neue oder geänderte Features enthalten.	Ja

Kurznotizen-Berechtigungen (private Vorschau)

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ShortNotes.Read	Kurznotizen des angemeldeten Benutzers lesen	Ermöglicht der App, alle Kurznotizen zu lesen, auf die ein angemeldeter Benutzer zugreifen kann.	Nein	Ja
ShortNotes.ReadWrite	Kurznotizen des angemeldeten Benutzers lesen, erstellen, bearbeiten und löschen	Ermöglicht der App, Kurznotizen eines angemeldeten Benutzers zu lesen, erstellen, bearbeiten und löschen.	Nein	Ja

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
ShortNotes.Read.All	Kurznotizen aller Benutzer lesen	Ermöglicht der App, alle Kurznotizen zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja
ShortNotes.ReadWrite.All	Kurznotizen aller Benutzern lesen, erstellen, bearbeiten und löschen	Ermöglicht der App, alle Kurznotizen zu lesen, erstellen, bearbeiten und löschen, ohne dass ein Benutzer angemeldet ist.	Ja

Websiteberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Sites.Read.All	Elemente in allen Websitesammlungen lesen	Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu lesen.	Nein	Nein
Sites.ReadWrite.All	Lese-/Schreibzugriff auf Elemente in allen Websitesammlungen	Ermöglicht der App, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu bearbeiten oder zu löschen.	Nein	Nein
Sites.Manage.All	Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen Websitesammlungen	Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Benutzers zu verwalten und zu erstellen.	Nein	Nein
Sites.FullControl.All	Sie benötigen Vollzugriff auf alle Websitesammlungen.	Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen im Namen des angemeldeten Benutzers zu erlangen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Sites.Read.All	Elemente in allen Websitesammlungen lesen	Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer lesen.	Ja
Sites.ReadWrite.All	Lese-/Schreibzugriff auf Elemente in allen Websitesammlungen	Die App kann Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen.	Ja
Sites.Manage.All	Erstellen, Bearbeiten und Löschen von Elementen und Listen in allen Websitesammlungen	Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer zu verwalten und zu erstellen.	Ja
Sites.FullControl.All	Sie benötigen Vollzugriff auf alle Websitesammlungen.	Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen ohne angemeldeten Benutzer zu erlangen.	Ja
Sites.Selected	Auf ausgewählte Websitesammlungen zugreifen	Der App Zugriff auf eine Teilmenge der Websitesammlungen gewähren, ohne dass ein Benutzer angemeldet ist. Die spezifischen Websitesammlungen und gewährten Berechtigungen werden in SharePoint Online konfiguriert.	Ja

HinwBemerkungeneise

Websiteberechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten. Die Anwendungsberechtigung Sites.Selected ist nur in der Microsoft Graph-API verfügbar.

Verwendungsbeispiel

Delegiert

Sites.Read.All: Die Listen auf der SharePoint-Stammwebsite lesen (GET /v1.0/sites/root/lists)
Sites.ReadWrite.All: Neue Listenelemente in einer SharePoint-Liste erstellen (POST /v1.0/sites/root/lists/123/items)
Sites.Manage.All: Neue Liste zu einer SharePoint-Website hinzufügen (POST /v1.0/sites/root/lists)
Sites.FullControl.All: Vollständiger Zugriff auf SharePoint-Websites und -Listen.

Berechtigungen zur Anfrage zu Rechten betroffener Personen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
SubjectRightsRequest.Read.All	Anfragen zu Rechten betroffener Personen lesen	Ermöglicht der App Anfragen zu Rechten betroffener Personen im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
SubjectRightsRequest.ReadWrite.All	Anfragen zu Betroffenenrechten automatisieren lesen und schreiben	Ermöglicht der App Anfragen zu Rechten betroffener Personen im Namen des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein

Anwendungsberechtigungen

Keine.

Verwendungsbeispiel

Delegiert

SubjectRightsRequest.Read.All_: Abrufen der Liste der Für den Benutzer verfügbaren Anfragen zu Rechten betroffener Personen (GET /privacy/subjectrightsrequests).
SubjectRightsRequest.ReadWrite.All: Erstellen einer Anforderung zu Rechten betroffener Personen (POST /privacy/subjectrightsrequests).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Aufgabenberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Tasks.Read	Lesen von Aufgaben und Aufgabenlisten des Benutzers (Vorschau)	Ermöglicht der App, die Aufgaben und Aufgabenlisten des angemeldeten Benutzers zu lesen, einschließlich aller für den Benutzer freigegebenen Aufgaben und Aufgabenlisten. Enthält keine Berechtigung zum Erstellen, Löschen oder Aktualisieren von Objekten.	Nein	Ja
Tasks.Read.Shared	Benutzeraufgaben und freigegebene Aufgaben lesen (Vorschau)	Ermöglicht der App, Aufgaben zu lesen, für die ein Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben.	Nein	Nein
Tasks.ReadWrite	Erstellen, Lesen, Aktualisieren und Löschen von Aufgaben und Aufgabenlisten des Benutzers (Vorschau)	Ermöglicht der App, die Aufgaben und Aufgabenlisten des angemeldeten Benutzers zu erstellen, zu lesen, zu aktualisieren und zu löschen, einschließlich aller für den Benutzer freigegebenen Aufgaben und Aufgabenlisten.	Nein	Ja
Tasks.ReadWrite.Shared	Benutzeraufgaben und freigegebene Aufgaben lesen und schreiben (Vorschau)	Ermöglicht der App, Aufgaben zu erstellen, zu lesen, zu aktualisieren und zu löschen, für die ein Benutzer über Berechtigungen verfügt, einschließlich der eigenen Aufgaben des Benutzers und freigegebener Aufgaben.	Nein	Nein

Anwendungsberechtigungen

Keine.

HinwBemerkungeneise

Berechtigungen für Aufgaben werden zum Steuern des Zugriffs für To-Do-Aufgaben und Outlook-Aufgaben (veraltet) verwendet. Der Zugriff auf Microsoft Planner-Aufgaben wird von Berechtigungen für Gruppen gesteuert.

Freigegebene Berechtigungen werden derzeit nur für Geschäfts-, Schul- oder Unikonten unterstützt. Selbst mit freigegebenen Berechtigungen können Fehler bei Lese- oder Schreibvorgängen auftreten, wenn der Benutzer, dem der freigegebene Inhalt gehört, dem zugreifenden Benutzer keine Berechtigungen zum Ändern von Inhalten im Ordner gewährt hat.

Verwendungsbeispiel

Delegiert

Tasks.Read: Alle Aufgaben im Postfach eines Benutzers abrufen (GET /me/outlook/tasks).
Tasks.Read.Shared: Auf Aufgaben in einem Ordner zugreifen, der von einem anderen Benutzer in Ihrer Organisation für Sie freigegeben wurde (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
Tasks.ReadWrite: Ein Ereignis zum Standardaufgabenordner des Benutzers hinzufügen (POST /me/outlook/tasks).
Tasks.Read: Alle unerledigten Aufgaben im Postfach eines Benutzers abrufen (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
Tasks.ReadWrite: Eine Aufgabe im Postfach eines Benutzers aktualisieren (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
Tasks.ReadWrite.Shared: Eine Aufgabe im Namen eines anderen Benutzers ausführen (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Taxonomie-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TermStore.Read.All	Terminologiespeicher-Daten lesen	Ermöglicht der App das Lesen verschiedener Begriffe, Sets und Gruppen im Terminologiespeicher	Ja	Nein
TermStore.ReadWrite.All	Alle Terminologiespeicher-Daten lesen und schreiben	Ermöglicht der App verschiedener Begriffe, Sets und Gruppen im Terminologiespeicher zu bearbeiten oder zu löschen	Ja	Nein

Bemerkungen

Taxonomie-Berechtigungen gelten nur für Geschäfts-oder Schulkonten.

Verwendungsbeispiel

Delegiert

TermStore.Read.All: TermStore für den Mandanten lesen (GET /termStore)
TermStore.ReadWrite.All: Neue Begriffe im TermStore erstellen (POST /termStore/sets/123/children)

Teams-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Team.ReadBasic.All	Namen und Beschreibungen von Teams lesen	Teamnamen und -beschreibungen im Namen des angemeldeten Benutzers lesen.	Nein	Nein
Team.Erstellen	Teams erstellen	Teams im Namen des angemeldeten Benutzers erstellen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Team.ReadBasic.All	Abrufen einer Liste aller Teams	Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
Team.Erstellen	Teams erstellen	Teams erstellen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
Teamwork.Migrate.All	Migration zu Microsoft Teams verwalten	Erstellen und Verwalten von Ressourcen für die Migration zu Microsoft Teams	Ja	Ja

Berechtigungen für Teameinstellungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamSettings.Read.All	Teameinstellungen lesen	Im Namen des angemeldeten Benutzers die Einstellungen dieses Teams lesen.	Ja	Nein
TeamSettings.ReadWrite.All	Teameinstellungen lesen und ändern	Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen und ändern.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamSettings.Read.All	Lesezugriff auf die Einstellungen aller Teams	Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamSettings.ReadWrite.All	Lesen und Ändern der Einstellungen aller Teams.	Die Einstellungen aller Teams lesen und ändern, ohne dass ein Benutzer angemeldet ist.	Ja	Nein

Teams-Aktivitätsberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsActivity.Read (private Vorschau)	Teamarbeit-Aktivitätsfeed des Benutzers lesen	Ermöglicht der App, den Teamarbeit-Aktivitätsfeed des angemeldeten Benutzers zu lesen.	Nein	Nein
TeamsActivity.Send	Teamarbeitaktivität als Benutzer senden	Ermöglicht der App, neue Benachrichtigungen in den Teamwork-Aktivitäts-Feeds der Benutzer im Namen des angemeldeten Benutzers zu erstellen. Diese Benachrichtigungen sind möglicherweise nicht auffindbar oder werden von Compliance-Richtlinien gestoppt oder geregelt.	Nein	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsActivity.Read.All (private Vorschau)	Teamarbeit-Aktivitätsfeed aller Benutzer lesen	Ermöglicht der App, den Teamarbeit-Aktivitätsfeed aller Benutzer zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamsActivity.Send	Teamarbeitaktivität an beliebige Benutzer senden	Ermöglicht der App, neue Benachrichtigungen in den Teamwork-Aktivitäts-Feeds der Benutzer zu erstellen, ohne dass ein Benutzer angemeldet ist. Diese Benachrichtigungen sind möglicherweise nicht auffindbar oder werden von Compliance-Richtlinien gestoppt oder geregelt.	Ja	Nein

Teams-App-Berechtigungen (veraltet)

Hinweis

Diese Berechtigungen sind veraltet. Verwenden Sie stattdessen die entsprechenden „TeamsAppInstallation.*. All“-Berechtigungen.

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsApp.Read.All (Veraltet)	Alle installierten Teams-Apps lesen	Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen, und zwar in allen Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsApp.ReadWrite.All (Veraltet)	Alle Teams-Apps verwalten	Ermöglicht es der App, Microsoft Teams-Apps im Namen des angemeldeten Benutzers zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, und zwar auch für Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsApp.Read.All (Veraltet)	Alle installierten Teams-Apps der Benutzer lesen	Ermöglicht es der App, installierte Microsoft Teams-Apps für sämtliche Benutzer zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsApp.ReadWrite.All (Veraltet)	Alle Teams-Apps der Benutzer verwalten	Ermöglicht es der App, Microsoft Teams-Apps für sämtliche Benutzer zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen.	Ja	Nein

Installationsberechtigungen für die Teams-App

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsAppInstallation.ReadForUser	Die installierten Teams-Apps des Benutzers lesen	Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Nein	Nein
TeamsAppInstallation.ReadWriteForUser	Installierte Microsoft Teams-Apps des Benutzers verwalten	Ermöglicht es der App, die für den angemeldeten Benutzers installierten Microsoft Teams-Apps zu lesen, zu installieren, zu aktualisieren und zu deinstallieren. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsAppInstallation.ReadWriteSelfForUser	Zulassen, dass die App sich in Teams selbst verwaltet	Ermöglicht es einer Microsoft-Teams-App, sich in Teams, auf die der angemeldete Benutzer zugreifen kann, selbst zu lesen, zu installieren, zu aktualisieren und zu deinstallieren.	Nein	Nein
TeamsAppInstallation.ReadForTeam	In Teams installierte Microsoft Teams-Apps lesen	Ermöglicht es der App, die in Microsoft Teams installierten Microsoft Teams-Apps zu lesen, auf die der angemeldete Benutzer Zugriff hat. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsAppInstallation.ReadWriteForTeam	In Teams installierte Microsoft Teams-Apps verwalten	Ermöglicht es der App, die in Microsoft Teams installierten Microsoft Teams-Apps zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, auf die der angemeldete Benutzer Zugriff hat. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsAppInstallation.ReadWriteSelfForTeam	Zulassen, dass die App sich in Teams selbst verwaltet	Ermöglicht es einer Microsoft-Teams-App, sich in Teams, auf die der angemeldete Benutzer zugreifen kann, selbst zu lesen, zu installieren, zu aktualisieren und zu deinstallieren.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
TeamsAppInstallation.ReadForUser.All	Installierte Microsoft Teams-Apps für alle Benutzer lesen	Ermöglicht es der App, installierte Microsoft Teams-Apps für sämtliche Benutzer zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja
TeamsAppInstallation.ReadWriteForUser.All	Verwalten von Microsoft Teams-Apps für alle Benutzer	Ermöglicht es der App, Microsoft Teams-Apps für sämtliche Benutzer zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja
TeamsAppInstallation.ReadWriteSelfForUser.All	Zulassen, dass die App sich für alle Benutzer selbst verwaltet	Ermöglicht es einer Microsoft-Teams-App, sich selbst für einen Benutzer zu lesen, installieren, aktualisieren und deinstallieren, ohne dass ein Benutzer angemeldet ist.	Ja
TeamsAppInstallation.ReadForTeam.All	Installierte Microsoft Teams-Apps für alle Teams lesen	Ermöglicht es der App, alle für ein beliebiges Team installierten Microsoft Teams-Apps zu lesen, ohne einen angemeldeten Benutzer. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja
TeamsAppInstallation.ReadWriteForTeam.All	Verwalten von Microsoft Teams-Apps für alle Teams	Ermöglicht der App das Lesen, Installieren, Aktualisieren und Deinstallieren von Teams-Apps in jedem Team ohne einen angemeldeten Benutzer. Bietet keine Möglichkeit zum Lesen anwendungsspezifischer Einstellungen.	Ja
TeamsAppInstallation.ReadWriteSelfForTeam.All	Zulassen, dass die Microsoft Teams-App sich selbst für alle Teams verwaltet	Ermöglicht es einer Microsoft-Teams-App, sich selbst in einem Team zu lesen, installieren, aktualisieren und deinstallieren, ohne dass ein Benutzer angemeldet ist.	Ja

Berechtigungen für die Teams-Geräteverwaltung

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamworkDevice.Read.All	Teams-Geräte lesen.	Ermöglicht der App, die Verwaltungsdaten für Teams-Geräte im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
TeamworkDevice.ReadWrite.All	Lesen und Schreiben von Teams-Geräten.	Ermöglicht der App, die Verwaltungsdaten für Teams-Geräte im Namen des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamworkDevice.Read.All	Teams-Geräte lesen.	Ermöglicht der App, die Verwaltungsdaten für Teams-Geräte zu lesen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamworkDevice.ReadWrite.All	Lesen und Schreiben von Teams-Geräten.	Ermöglicht der App das Lesen und Schreiben der Verwaltungsdaten für Teams-Geräte, ohne dass ein Benutzer angemeldet ist.	Ja	Nein

Berechtigungen für Teammitglieder

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamMember.Read.All	Die Mitglieder von Teams lesen.	Die Mitglieder von Teams lesen, im Namen des angemeldeten Benutzers.	Ja	Nein
TeamMember.ReadWrite.All	Sie können Mitglieder zu Teams hinzufügen und daraus entfernen.	Fügen Sie Mitglieder zu Teams hinzu und entfernen Sie sie, im Namen des angemeldeten Benutzers. Ermöglicht auch die Änderung der Rolle eines Mitglieds, beispielsweise von Besitzer zu Nicht-Besitzer.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamMember.Read.All	Die Mitglieder aller Teams lesen.	Die Mitglieder aller Teams lesen, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamMember.ReadWrite.All	Sie können Mitglieder zu allen Teams hinzufügen und daraus entfernen.	Fügen Sie Mitglieder zu allen Teams hinzu und entfernen Sie sie, ohne dass ein Benutzer angemeldet ist. Ermöglicht auch die Änderung der Rolle eines Teammitglieds, beispielsweise von Besitzer zu Nicht-Besitzer.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamSettings.Read.Group	Lesen der Einstellungen dieses Teams.	Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist.	Nein	Nein
TeamSettings.ReadWrite.Group	Aktualisieren Sie die Einstellungen für dieses Team.	Lese- und Schreibzugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist.	Nein	Nein
ChannelSettings.Read.Group	Lesezugriff auf die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams.	Lesen Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
ChannelSettings.ReadWrite.Group	Aktualisieren Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams.	Aktualisieren Sie die Namen, Beschreibungen und Einstellungen der Kanäle dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
Channel.Create.Group	Erstellen von Kanälen in diesem Team.	Erstellen Sie Kanäle in diesem Team, ohne einen angemeldeten Benutzer.	Nein	Nein
Channel.Delete.Group	Löschen der Kanäle dieses Teams.	Löschen Sie die Kanäle dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
ChannelMessage.Read.Group	Lesen der Kanalnachrichten des Teams.	Erlaubt einer App, die Kanalnachrichten dieses Teams zu lesen, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsAppInstallation.Read.Group	Sehen, welche Apps in diesem Team installiert sind.	Sehen Sie, welche Apps in diesem Team installiert sind, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.Read.Group	Lesen der Registerkarten dieses Teams.	Lesen Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.Create.Group	Erstellen von Registerkarten in diesem Team.	Erstellen Sie Registerkarten in diesem Team, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.ReadWrite.Group	Aktualisieren Sie die Registerkarten dieses Teams.	Aktualisieren Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsTab.Delete.Group	Löschen der Registerkarten dieses Teams.	Löschen Sie die Registerkarten dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamMember.Read.Group	Lesen Sie die Mitglieder dieses Teams.	Lesen Sie die Mitglieder dieses Teams, ohne dass ein Benutzer angemeldet ist.	Nein	Nein
Member.Read.Group	Lesen Sie die Mitglieder dieser Gruppe.	Lesen der Mitglieder dieser Gruppe, ohne dass ein Benutzer angemeldet ist.	Nein	Nein
Owner.Read.Group	Lesen Sie die Besitzer dieser Gruppe.	Lesen der Besitzer dieser Gruppe, ohne dass ein Benutzer angemeldet ist.	Nein	Nein
File.Read.Group	Lesen der Dateien und Ordner dieses Teams.	Beschränkter Support. (Vorschau) Lesen Sie die Dateien und Ordner dieses Teams, ohne einen angemeldeten Benutzer.	Nein	Nein
TeamsActivity.Send.Group	Senden von Aktivitätsfeed-Benachrichtigungen an Benutzer in diesem Team.	Ermöglicht der App, neue Benachrichtigungen in den Teamarbeits-Aktivitätsfeeds der Benutzer in diesem Team ohne einen angemeldeten Benutzer zu erstellen.	Nein	Nein

Berechtigungen für Teams-Einstellungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Team.ReadBasic.All	Namen und Beschreibungen von Teams lesen	Teamnamen und -beschreibungen im Namen des angemeldeten Benutzers lesen.	Nein	Nein
TeamSettings.Read.All	Teameinstellungen lesen	Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen.	Ja	Nein
TeamSettings.ReadWrite.All	Teameinstellungen lesen und ändern.	Im Namen des angemeldeten Benutzers die Einstellungen aller Teams lesen und ändern.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Team.ReadBasic.All	Abrufen einer Liste aller Teams.	Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamSettings.Read.All	Lesezugriff auf die Einstellungen aller Teams	Lesezugriff auf die Einstellungen dieses Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamSettings.ReadWrite.All	Lesen und Ändern der Einstellungen aller Teams	Die Einstellungen aller Teams lesen und ändern, ohne dass ein Benutzer angemeldet ist.	Ja	Nein

Berechtigungen zu Teams-Registerkarten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsTab.Read.All	Registerkarten in Microsoft Teams lesen.	Ermöglicht es der App, die für den angemeldeten Benutzer installierten Microsoft Teams-Apps zu lesen, und zwar in allen Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsTab.ReadWrite.All	Registerkarten in Microsoft Teams lesen und schreiben.	Ermöglicht es der App, Microsoft Teams-Apps im Namen des angemeldeten Benutzers zu lesen, zu installieren, zu aktualisieren und zu deinstallieren, und zwar auch für Teams, in denen der Benutzer Mitglied ist. Ermöglicht nicht das Lesen oder Schreiben anwendungsspezifischer Einstellungen.	Ja	Nein
TeamsTab.Create	Registerkarten in Microsoft Teams erstellen.	Ermöglicht der App, Registerkarten in einem beliebigen Team in Microsoft Teams im Auftrag des angemeldeten Benutzers zu erstellen. Dies bietet keine Möglichkeit, Registerkarten nach ihrer Erstellung zu lesen, zu ändern, zu löschen oder Zugriff auf die Inhalte darauf zu gewähren.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamsTab.Read.All	Registerkarten in Microsoft Teams lesen.	Lesen Sie die Namen und Einstellungen von Registerkarten in einem beliebigen Team in Microsoft Teams ohne angemeldeten Benutzer. Dadurch wird kein Zugriff auf die Inhalte auf den Registerkarten gewährt.	Ja	Nein
TeamsTab.ReadWrite.All	Registerkarten in Microsoft Teams lesen und schreiben.	Lesen und schreiben Sie Registerkarten in einem Team in Microsoft Teams ohne angemeldeten Benutzer. Dadurch wird kein Zugriff auf die Inhalte auf den Registerkarten gewährt.	Ja	Nein
TeamsTab.Create	Registerkarten in Microsoft Teams erstellen.	Ermöglicht der App, Registerkarten in einem beliebigen Team in Microsoft Teams ohne angemeldeten Benutzer zu erstellen. Dies bietet keine Möglichkeit, Registerkarten nach ihrer Erstellung zu lesen, zu ändern, zu löschen oder Zugriff auf die Inhalte darauf zu gewähren.	Ja	Nein

Teams-Tagberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamworkTag.ReadWrite	Tags in Microsoft Teams lesen und schreiben.	Ermöglicht es der App, im Auftrag des angemeldeten Benutzers Tags in Teams zu lesen und zu schreiben.	Ja	Nein
TeamworkTag.Read	Tags in Microsoft Teams lesen.	Ermöglicht es der App, im Auftrag des angemeldeten Benutzers Tags in Teams zu lesen.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
TeamworkTag.ReadWrite.All	Tags in Microsoft Teams lesen und schreiben.	Ermöglicht der App das Lesen und Schreiben von Tags in Microsoft Teams, ohne dass ein Benutzer angemeldet ist.	Ja	Nein
TeamworkTag.Read.All	Tags in Microsoft Teams lesen.	Ermöglicht der App das Lesen von Tags in Microsoft Teams, ohne dass ein Benutzer angemeldet ist	Ja	Nein

Nutzungsbedingungen für Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Agreement.Read.All	Lesen aller Vereinbarungen der Nutzungsbedingungen.	Ermöglicht der App, Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
Agreement.ReadWrite.All	Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen.	Ermöglicht der App, die Vereinbarungen der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen und zu schreiben.	Ja	Nein
AgreementAcceptance.Read	Lesen der Annahmestatus der Nutzungsbedingungen	Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
AgreementAcceptance.Read.All	Lesen der Annahmestatus der Nutzungsbedingungen, auf die der Benutzer zugreifen kann	Ermöglicht der App, Annahmestatus der Nutzungsbedingungen im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein

Hinweise

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App alle Vereinbarungen oder Vereinbarungsannahmen mit delegierten Berechtigungen lesen oder schreiben kann, muss der angemeldete Benutzer der Rolle „Globaler Administrator“, „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“ zugewiesen sein. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

Die folgenden Verwendungen sind für delegierte Berechtigungen gültig:

Agreement.Read.All: Lesen aller Vereinbarungen der Nutzungsbedingungen (GET /beta/agreements)
Agreement.ReadWrite.All: Lesen und Schreiben aller Vereinbarungen der Nutzungsbedingungen (POST /beta/agreements)
AgreementAcceptance.Read: Lesen der Annahmestatus der Nutzungsbedingungen (GET /beta/me/agreementAcceptances)

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen zur Risikobewertung

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
ThreatAssessment.ReadWrite.All	Lesen und Schreiben von Anforderungen zur Bedrohungseinschätzung	Ermöglicht einer App, die Anforderungen zur Bedrohungseinschätzung Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Außerdem kann die App neue Anforderungen zum Bewerten von Bedrohungen erstellen, die von Ihrer Organisation im Namen des angemeldeten Benutzers empfangen wurden.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
ThreatAssessment.Read.All	Lesen von Anforderungen zur Bedrohungseinschätzung	Ermöglicht einer App, die Anforderungen zur Bedrohungseinschätzung Ihrer Organisation ohne angemeldeten Benutzer zu lesen.	Ja

Bemerkungen

Berechtigungen für Bedrohungseinschätzungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Verwendungsbeispiel

Delegiert

ThreatAssessment.ReadWrite.All: Lesen und Schreiben von Anforderungen zur Bedrohungseinschätzung (POST /informationProtection/threatAssessmentRequests)

Anwendung

ThreatAssessment.ReadWrite.All: Lesen und Schreiben von Bewertungsanforderungen (GET /informationProtection/threatAssessmentRequests)

Berechtigungen für Universelles Drucken

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
Printer.Create	Drucker registrieren	Ermöglicht der Anwendung das Erstellen (Registrieren) von Druckern im Auftrag des angemeldeten Benutzers.	Ja	Nein
Printer.FullControl.All	Registrieren, Lesen, Aktualisieren und Aufheben der Registrierung von Druckern	Ermöglicht der Anwendung das Erstellen (Registrieren), Lesen, Aktualisieren und Löschen (Aufheben der Registrierung) von Druckern im Auftrag des angemeldeten Benutzers.	Ja	Nein
Printer.Read.All	Drucker lesen	Ermöglicht es der Anwendung, Drucker im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
Printer.ReadWrite.All	Lesen und Aktualisieren von Druckern	Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckern im Auftrag des angemeldeten Benutzers. Erlaubt nicht das Erstellen (Registrieren) oder Löschen (Aufheben der Registrierung) von Druckern.	Ja	Nein
PrinterShare.ReadBasic.All	Lesen von grundlegenden Informationen zu Druckerfreigaben	Ermöglicht der Anwendung das Lesen von grundlegenden Informationen zu Druckerfreigaben im Auftrag des angemeldeten Benutzers. Ermöglicht nicht das Lesen von Zugriffssteuerungsinformationen.	Nein	Nein
PrinterShare.Read.All	Lesen von Druckerfreigaben	Ermöglicht der Anwendung das Lesen von Druckerfreigaben im Auftrag des angemeldeten Benutzers.	Nein	Nein
PrinterShare.ReadWrite.All	Lesen und Schreiben von Druckerfreigaben	Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckerfreigaben im Auftrag des angemeldeten Benutzers.	Ja	Nein
PrintJob.Create	Erstellen von Druckaufträgen	Ermöglicht der Anwendung das Erstellen von Druckaufträgen im Auftrag des angemeldeten Benutzers und das Hochladen von Dokumentinhalten, um Aufträge zu drucken, die vom angemeldeten Benutzer erstellt wurden.	Nein	Nein
PrintJob.Read	Lesen von Druckaufträgen des Benutzers	Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen, die vom angemeldeten Benutzer erstellt wurden, zu lesen.	Nein	Nein
PrintJob.Read.All	Lesen von Druckaufträgen	Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen.	Ja	Nein
PrintJob.ReadBasic	Grundlegende Informationen zu Druckaufträgen des Benutzers lesen	Ermöglicht der Anwendung, die Metadaten von vom angemeldeten Benutzer erstellten Druckaufträgen zu lesen. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente.	Nein	Nein
PrintJob.ReadBasic.All	Grundlegende Informationen zu Druckaufträgen lesen	Ermöglicht der Anwendung, die Metadaten von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente.	Ja	Nein
PrintJob.ReadWrite	Lesen und Schreiben von Druckaufträgen des Benutzers	Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen, die vom angemeldeten Benutzer erstellt wurden, zu lesen und zu aktualisieren.	Nein	Nein
PrintJob.ReadWrite.All	Lese- und Schreibzugriff auf Druckaufträge	Ermöglicht der Anwendung, die Metadaten und die Dokumentinhalte von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen und zu aktualisieren.	Ja	Nein
PrintJob.ReadWriteBasic	Grundlegende Informationen zu Druckaufträgen des Benutzers lesen und schreiben	Ermöglicht der Anwendung, die Metadaten von vom angemeldeten Benutzer erstellten Druckaufträgen zu lesen und zu aktualisieren. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente.	Nein	Nein
PrintJob.ReadWriteBasic.All	Lesen und Schreiben von grundlegenden Informationen zu Druckaufträgen	Ermöglicht der Anwendung, die Metadaten von Druckaufträgen im Auftrag des angemeldeten Benutzers zu lesen und zu aktualisieren. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente.	Ja	Nein
PrintConnector.Read.All	Lesezugriff auf Connectors	Ermöglicht der Anwendung das Lesen von Connectors im Auftrag des angemeldeten Benutzers.	Ja	Nein
PrintConnector.ReadWrite.All	Lese- und Schreibzugriff auf Druckconnectors	Ermöglicht der Anwendung das Lesen und Schreiben von Druckconnectors im Auftrag des angemeldeten Benutzers.	Ja	Nein
PrintSettings.Read.All	Lesen von mandantenübergreifenden Druckeinstellungen	Ermöglicht der Anwendung das Lesen von Druckeinstellungen im Auftrag des angemeldeten Benutzers.	Ja	Nein
PrintSettings.ReadWrite.All	Lesen und Schreiben von mandantenübergreifenden Druckeinstellungen	Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckeinstellungen im Auftrag des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
Printer.Read.All	Drucker lesen	Ermöglicht es der Anwendung, Drucker ohne einen angemeldeten Benutzer zu lesen.	Ja
Printer.ReadWrite.All	Lesen und Aktualisieren von Druckern	Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckern ohne einen angemeldeten Benutzer. Erlaubt nicht das Erstellen (Registrieren) oder Löschen (Aufheben der Registrierung) von Druckern.	Ja
PrintJob.Manage.All	Ausführen von komplexen Vorgängen für Druckaufträge	Ermöglicht es der Anwendung, komplexe Vorgänge auszuführen, z. B. die Umleitung eines Druckauftrags an einen anderen Drucker, ohne dass ein Benutzer angemeldet ist. Ermöglicht der Anwendung auch, die Metadaten von Druckaufträgen zu lesen und zu aktualisieren.	Ja
PrintJob.Read.All	Lesen von Druckaufträgen	Ermöglicht der Anwendung das Lesen der Metadaten und Dokumentinhalte von Druckaufträgen, ohne dass ein Benutzer angemeldet ist.	Ja
PrintJob.ReadBasic.All	Grundlegende Informationen für Druckaufträge lesen	Ermöglicht der Anwendung, die Metadaten von Druckaufträgen zu lesen, ohne dass ein Benutzer angemeldet ist. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente.	Ja
PrintJob.ReadWrite.All	Lese- und Schreibzugriff auf Druckaufträge	Ermöglicht der Anwendung das Lesen und Aktualisieren der Metadaten und Dokumentinhalte von Druckaufträgen, ohne dass ein Benutzer angemeldet ist.	Ja
PrintJob.ReadWriteBasic.All	Lese- und Schreibzugriff auf grundlegende Informationen für Druckaufträge	Ermöglicht der Anwendung, die Metadaten von Druckaufträgen zu lesen und zu aktualisieren, ohne dass ein Benutzer angemeldet ist. Erlaubt nicht den Zugriff auf die Inhalte der zu druckenden Dokumente.	Ja
PrintTaskDefinition.ReadWrite.All	Lesen, Schreiben und Aktualisieren von Druckauftragsdefinitionen	Ermöglicht der Anwendung das Lesen und Aktualisieren von Druckauftragsdefinitionen ohne einen angemeldeten Benutzer.	Ja

Bemerkungen

Um den Dienst "Universelles Drucken" nutzen zu können, muss der Benutzer oder der Mandant der App zusätzlich zu den oben aufgeführten Berechtigungen über ein aktives Abonnement für "Universelles Drucken" verfügen.
Einige Berechtigungen unterscheiden zwischen Metadaten und Nutzlast des Druckauftrags. Metadaten beschreiben die Konfiguration eines Druckauftrags (seinen Namen und die Dokumentenkonfiguration, z. B. ob er geheftet oder in Farbe gedruckt werden soll). Die Nutzlast sind die Dokumentdaten selbst (die zu druckende PDF- oder XPS-Datei).
Alle PrintJob.*-Berechtigungen erfordern außerdem mindestens die Berechtigung "Printer.Read.All" (oder eine privilegiertere Berechtigung), da Druckaufträge in Druckern gespeichert werden.

Verwendungsbeispiel

Delegiert

Printer.Read.All: Abrufen einer Liste aller Drucker im Mandanten (GET /print/printers)
PrintJob.Read.All: Abrufen einer Liste aller Druckaufträge in der Warteschlange eines Druckers (GET /print/printers/{id}/jobs)
Printer.FullControl.All: Löschen (Aufheben der Registrierung) eines Druckers (DELETE /print/printers/{id})
PrintJob.ReadWriteBasic.All: Aktualisieren von Metadaten (z. B. aktueller Status) von Druckaufträgen (PATCH /print/printers/{id}/jobs/{id})
PrintJob.ReadWrite.All: Erstellen und von Druckaufträgen und Hochladen von Dokumentdaten in diese (POST /print/printers/{id}/jobs)

Anwendung

Printer.Read.All: Abrufen einer Liste aller Drucker im Mandanten (GET /print/printers)

Benutzerberechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
User.Read	Anmelden und Benutzerprofil lesen	Damit können Benutzer sich bei der App anmelden, und die App kann das Profil von angemeldeten Benutzern lesen. Die App kann auch grundlegende Unternehmensinformationen von angemeldeten Benutzern lesen.	Nein	Ja
User.ReadWrite	Lese- und Schreibzugriff auf Benutzerprofile	Ermöglicht der App, das vollständige Profil des angemeldeten Benutzers zu lesen. Darüber hinaus kann die App die Profilinformationen des angemeldeten Benutzers in seinem Namen aktualisieren.	Nein	Ja
User.ReadBasic.All	Grundlegende Profile aller Benutzer lesen	Ermöglicht der App, einen grundlegenden Satz von Profileigenschaften anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. Dazu gehören der Anzeigename, der Vor-und Nachname, die E-Mail-Adresse, Durchwahlen und Foto. Ermöglicht der App auch, das vollständige Profil des angemeldeten Benutzers zu lesen.	Nein	Nein
User.Read.All	Lesezugriff auf vollständige Profile aller Benutzer	Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.	Ja	Nein
User.ReadWrite.All	Lese- und Schreibzugriff auf vollständige Profile aller Benutzer	Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen und zu schreiben. Ermöglicht der App außerdem, im Namen des angemeldeten Benutzers Benutzer zu erstellen und zu löschen sowie Benutzerkennwörter zurückzusetzen.	Ja	Nein
User.Invite.All	Gastbenutzer zur Organisation einladen	Ermöglicht der App, Gastbenutzer im Namen des angemeldeten Benutzers zu Ihrer Organisation einzuladen.	Ja	Nein
User.Export.All	Daten des Benutzers exportieren	Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren. Dies muss von einem Unternehmensadministrator ausgeführt werden.	Ja	Nein
User.ManageIdentities.All	Verwalten von Benutzeridentitäten	Ermöglicht einer Anwendung das Lesen, Aktualisieren und Löschen von Identitäten, die mit dem Konto eines Benutzers verknüpft sind, auf die der angemeldete Benutzer zugreifen kann. Damit wird gesteuert, mit welchen Identitäten sich die Benutzer anmelden können.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
User.Read.All	Lesezugriff auf vollständige Profile aller Benutzer	Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichte und Vorgesetzte von anderen Benutzern in Ihrer Organisation ohne angemeldeten Benutzers zu lesen.	Ja
User.ReadWrite.All	Lese- und Schreibzugriff auf vollständige Profile aller Benutzer	Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und zu schreiben. Ermöglicht der App außerdem, Benutzer zu erstellen, die kein Administrator sind. Ermöglicht nicht das Zurücksetzen von Benutzerkennwörtern.	Ja
User.Invite.All	Gastbenutzer zur Organisation einladen	Ermöglicht der App, Gastbenutzer ohne einen angemeldeten Benutzer zu Ihrer Organisation einzuladen.	Ja
User.Export.All	Daten des Benutzers exportieren	Ermöglicht der App, die Daten eines Benutzers im Unternehmen zu exportieren, ohne dass der Benutzer angemeldet sein muss.	Ja
User.ManageIdentities.All	Verwalten aller Benutzeridentitäten	Ermöglicht einer Anwendung das Lesen, Aktualisieren und Löschen von Identitäten, die mit dem Konto eines Benutzers verknüpft sind, und zwar ohne angemeldeten Benutzer. Damit wird gesteuert, mit welchen Identitäten sich Benutzer anmelden können.	Ja

Bemerkungen

Mit der Berechtigung User.Read kann eine App auch die grundlegenden Unternehmensinformationen des angemeldeten Benutzers für ein Geschäfts-, Schul- oder Unikonto über die organization-Ressource lesen. Die folgenden Eigenschaften sind verfügbar: id, displayName und verifiedDomains.

Für Geschäfts-, Schul- oder Unikonten enthält das vollständige Profil alle deklarierten Eigenschaften der User-Ressource. Bei Lesevorgängen wird standardmäßig nur eine begrenzte Anzahl von Eigenschaften zurückgegeben. Um Eigenschaften zu lesen, die nicht im Standardsatz enthalten sind, verwenden Sie $select. Die Standardeigenschaften sind folgende:

displayName
givenName
jobTitle
mail
mobilePhone
officeLocation
preferredLanguage
surname
userPrincipalName

Die delegierten Berechtigungen User.ReadWrite und User.Readwrite.All ermöglichen der App, die folgenden Profileigenschaften für Geschäfts-, Schul- oder Unikonten zu aktualisieren:

aboutMe
birthday
hireDate
interests
mobilePhone
mySite
pastProjects
photo
preferredName
responsibilities
schools
skills

Mit der Anwendungsberechtigung User.ReadWrite.All kann die App alle deklarierten Eigenschaften von Geschäfts-, Schul- oder Unikonten mit Ausnahme des Kennworts aktualisieren.

Mit der delegierten Berechtigung User.ReadWrite.All oder der Anwendungsberechtigung ist das Aktualisieren von businessPhones, mobilePhone oder otherMails eines anderen Benutzers nur für Benutzer zulässig, die keine Administratoren sind oder einer der folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Nachrichtencenterleser und Berichtsleser. Weitere Informationen finden Sie unter Helpdesk (Kennwort) Administrator in Azure AD-verfügbaren Rollen.

Zum Lesen oder Schreiben von direkten Mitarbeitern (directReports) oder des Vorgesetzten (manager) eines Geschäfts-, Schul- oder Unikontos benötigt die App entweder die Berechtigung User.Read.All (schreibgeschützt) oder User.ReadWrite.All.

Die Berechtigung User.ReadBasic.All schränkt den App-Zugriff auf einen begrenzten Satz von Eigenschaften ein, der als grundlegendes Profil bezeichnet wird. Grund hierfür ist, dass das vollständige Profil möglicherweise vertrauliche Verzeichnisinformationen enthält. Das grundlegende Profil umfasst lediglich die folgenden Eigenschaften:

displayName
givenName
mail
photo
surname
userPrincipalName

Zum Lesen der Gruppenmitgliedschaften eines Benutzers (memberOf) benötigt die App entweder die Berechtigung Group.Read.All oder Group.ReadWrite.All. Wenn der Benutzer jedoch auch Mitglied in einer directoryRole oder administrativeUnit ist, benötigt die App außerdem effektive Berechtigungen zum Lesen dieser Ressourcen; andernfalls gibt Microsoft Graph einen Fehler zurück. Dies bedeutet, dass die App auch Verzeichnisberechtigungen benötigt; für delegierte Berechtigungen benötigt der angemeldete Benutzer außerdem ausreichende Rechte in der Organisation, um auf Verzeichnisrollen und administrative Einheiten zuzugreifen.

Mit delegierten oder Anwendungsberechtigung User.ManageIdentities.All ist es möglich, die Identitäten (identities) eines Benutzers zu aktualisieren. Dazu gehören Verbundidentitäten (bzw. soziale Identitäten) oder lokale Identitäten mit E-Mail- oder namensbasierten Anmeldenamen.

Verwendungsbeispiel

Delegiert

User.Read: Das vollständige Profil des angemeldeten Benutzers lesen (GET /me).
User.ReadWrite: Das Foto des angemeldeten Benutzers aktualisieren (PUT /me/photo/$value).
User.ReadBasic.All: Alle Benutzer suchen, deren Name mit „David“ beginnt (GET /users?$filter=startswith(displayName,'David')).
User.Read.All: Den Vorgesetzten eines Benutzers lesen (GET /users/{id | userPrincipalName}/manager).

Anwendung

User.Read.All: Alle Benutzer und Beziehungen über eine Delta-Abfrage lesen (GET /beta/users/delta?$select=displayName,givenName,surname).
User.ReadWrite.All: Das Foto eines beliebigen Benutzers in der Organisation aktualisieren (PUT /users/{id | userPrincipalName}/photo/$value).

Komplexere Szenarios, die mehrere Berechtigungen erfordern, finden Sie unter Berechtigungsszenarios.

Berechtigungen für Benutzeraktivitäten

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
UserActivity.ReadWrite.CreatedByApp	Lesen und Schreiben der App-Aktivität in den Aktivitätsfeed der Benutzer	Ermöglicht der App, die Aktivitäten des angemeldeten Benutzers in der App zu lesen und eine Bericht zu erstellen.	Nein	Ja

Anwendungsberechtigungen

Keine.

Bemerkungen

UserActivity.ReadWrite.CreatedByApp gilt sowohl für Microsoft- als auch Geschäfts-, Schul- und Unikonten.

Die CreatedByApp-Einschränkung, die dieser Berechtigung zugeordnet ist, gibt an, dass der Dienst die implizite Filterung auf die Ergebnisse basierend auf der Identität der aufrufenden Anwendung anwendet, entweder der MSA-App-ID oder einem Satz von App-IDs, die für eine plattformübergreifende Anwendungsidentität konfiguriert sind.

Verwendungsbeispiel

Delegiert

UserActivity.ReadWrite.CreatedByApp: Abrufen einer Liste der letzten eindeutigen Benutzeraktivitäten basierend auf den zugehörigen Verlaufselementen, die im letzten Tag veröffentlicht wurden. (GET /me/activities/recent).
UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren einer Benutzeraktivität, die vom Benutzer der Anwendung möglicherweise fortgesetzt wird. (PUT /me/activities/%2Farticle%3F12345).
UserActivity.ReadWrite.CreatedByApp: Veröffentlichen oder Aktualisieren eines Verlaufselements für eine bestimmte Benutzeraktivität, um den Zeitraum des Benutzereinsatzes darzustellen. (PUT /me/activities/{id}/historyItems/{id}).
UserActivity.ReadWrite.CreatedByApp: Löschen einer Benutzeraktivität als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten. (DELETE /me/activities/{id}).
UserActivity.ReadWrite.CreatedByApp: Löschen eines Verlaufselements als Reaktion auf eine vom Benutzer ausgegebenen Anforderung oder zum Entfernen ungültiger Daten. (DELETE /me/activities/{id}/historyItems/{id}).

Berechtigungen der Benutzerauthentifizierungsmethode (Vorschau)

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
UserAuthenticationMethod.Read(Vorschau)	Lesen eigener Authentifizierungsmethoden	Ermöglicht der App, die Authentifizierungsmethoden des angemeldeten Benutzers zu lesen, einschließlich der Telefonnummern und der Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden des signierten Benutzers anderweitig zu verwenden.	Ja	Nein
UserAuthenticationMethod.Read.All (Vorschau)	Lesen der Authentifizierungsmethoden des Benutzers	Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation zu lesen, auf die der angemeldete Benutzer zugreifen kann. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden.	Ja	Nein
UserAuthenticationMethod.ReadWrite (Vorschau)	Verwalten eigener Authentifizierungsmethoden	Ermöglicht der App, die Authentifizierungsmethoden des angemeldeten Benutzers zu lesen und einzugeben, einschließlich der Telefonnummern und der Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden des signierten Benutzers anderweitig zu verwenden.	Ja	Nein
UserAuthenticationMethod.ReadWrite.All (Vorschau)	Verwalten der Authentifizierungsmethoden des Benutzers	Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation zu lesen und einzugeben, auf die der angemeldete Benutzer zugreifen kann. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
UserAuthenticationMethod.Read.All (Vorschau)	Lesen der Authentifizierungsmethoden des Benutzers	Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden.	Ja
UserAuthenticationMethod.ReadWrite.All (Vorschau)	Verwalten der Authentifizierungsmethoden des Benutzers	Ermöglicht der App, die Authentifizierungsmethoden aller Benutzer in Ihrer Organisation ohne einen angemeldeten Benutzer zu lesen und einzugeben. Authentifizierungsmethoden umfassen beispielsweise die Telefonnummern eines Benutzers und die Einstellungen der Authentifizierungsanwendung. Auf diese Weise ist die App nicht in der Lage, vertrauliche Informationen, beispielsweise die Kennwörter des angemeldeten Benutzers, anzuzeigen oder sich anzumelden oder die Authentifizierungsmethoden anderweitig zu verwenden.	Ja

Bemerkungen

Berechtigungen der Benutzerauthentifizierungsmethode werden verwendet, um Authentifizierungsmethoden für Benutzer zu verwalten. Mit diesen Berechtigungen kann ein delegierter Benutzer oder eine delegierte Anwendung neue Authentifizierungsmethoden für einen Benutzer registrieren, die Authentifizierungsmethoden, die der Benutzer bereits registriert hat, lesen sowie diese Authentifizierungsmethoden aktualisieren und aus dem Konto des Benutzers entfernen.

Mit diesen Berechtigungen können alle Authentifizierungsmethoden für einen Benutzer gelesen und verwaltet werden. Dies umfasst Methoden, die für Folgendes verwendet werden:

Primäre Authentifizierung (Kennwort)
Zweiter Faktor für die mehrstufige Authentifizierung/MFA (Telefonnummern)
Zurücksetzen von Kennwörtern durch den Benutzer – Self-Service Password Reset, SSPR – (E-Mail-Adressen)

Windows Updates-Berechtigungen

Delegierte Berechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich	Microsoft-Konto wird unterstützt
WindowsUpdates.ReadWrite.All	Lesen und Schreiben aller Bereitstellungseinstellungen für Windows Update	Ermöglicht der App das Lesen und Schreiben aller Windows Update-Bereitstellungseinstellungen für die Organisation im Auftrag des angemeldeten Benutzers.	Ja	Nein

Anwendungsberechtigungen

Berechtigung	Anzeigezeichenfolge	Beschreibung	Administratorzustimmung erforderlich
WindowsUpdates.ReadWrite.All	Lesen und Schreiben aller Bereitstellungseinstellungen für Windows Update	Ermöglicht der App das Lesen und Schreiben aller Windows Update-Bereitstellungseinstellungen für die Organisation ohne angemeldeten Benutzer.	Ja

Hinweise

Alle oben genanten Berechtigungen gelten nur für Geschäfts-, Schul- oder Unikonten.

Damit eine App Lese- und Schreibzugriff auf alle Windows Update-Bereitstellungseinstellungen hat, muss dem angemeldeten Benutzer die Rolle „Globaler Administrator“, „Intune-Administrator“ oder „Windows Update-Bereitstellungsadministrator“ zugewiesen werden. Weitere Informationen zu Administratorrollen finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.

Verwendungsbeispiel

Delegiert

WindowsUpdates.ReadWrite.All: Erstellen einer Bereitstellung (POST /beta/admin/windows/updates/deployments).

Anwendung

WindowsUpdates.ReadWrite.All: Erstellen einer Bereitstellung (POST /beta/admin/windows/updates/deployments).

Berechtigungsszenarios

In diesem Abschnitt werden einige gängige Szenarios für user und group-Ressourcen in einer Organisation erläutert. In den Tabellen sind die Berechtigungen aufgeführt, die eine App benötigt, um bestimmte Vorgänge auszuführen, die das Szenario erfordert. Beachten Sie, dass in einigen Fällen die Möglichkeit der App zur Ausführung bestimmter Vorgänge davon abhängig ist, ob eine Berechtigung eine Anwendungs- oder eine delegierte Berechtigung ist. Im Falle von delegierten Berechtigungen hängen die effektiven Berechtigungen der App auch von den Berechtigungen des angemeldeten Benutzers innerhalb der Organisation ab. Weitere Informationen finden Sie unter Delegierte Berechtigungen, Anwendungsberechtigungen und effektive Berechtigungen.

Zugriffsszenarios für die User-Ressource

App-Aufgaben, die den Benutzer betreffen	Erforderliche Berechtigungen	Berechtigungszeichenfolgen
Die App möchte die grundlegenden Informationen von anderen Benutzern lesen (nur Anzeigename und Bild), beispielsweise um diese in einer Personenauswahl anzuzeigen.	User.ReadBasic.All	Grundlegende Profile aller Benutzer lesen
Die App möchte das vollständige Benutzerprofil des angemeldeten Benutzers lesen (direkte Mitarbeiter, Vorgesetzte usw.).	User.Read	Anmelden und Lesen von Benutzerprofilen zulassen
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen.	User.Read.All	Lesezugriff auf vollständige Profile aller Benutzer
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen.	User.Read, Files.Read, Mail.Read, Calendars.Read	Anmeldung aktivieren und Lesezugriff auf Benutzerprofil, Lesezugriff auf Benutzerdateien, Lesezugriff auf Benutzer-E-Mails, Lesezugriff auf Benutzerkalender
Die App möchte die Dateien des angemeldeten Benutzers (eigene) Dateien und Dateien, die andere Benutzer für den angemeldeten Benutzer (mich) freigegeben haben, lesen.	User.Read, Files.Read, Sites.Read.All	Anmeldung aktivieren und Benutzerprofile lesen, Dateien von Benutzern lesen, Artikel in allen Websitesammlungen lesen
Die App möchte das vollständige Benutzerprofil für den angemeldeten Benutzer lesen und schreiben.	User.ReadWrite	Lese- und Schreibzugriff auf Benutzerprofile
Die App möchte das vollständige Benutzerprofil aller Benutzer lesen und schreiben.	User.ReadWrite.All	Lese- und Schreibzugriff auf vollständige Profile aller Benutzer
Die App möchte Dateien, E-Mails und Kalenderinformationen für den angemeldeten Benutzer lesen und schreiben.	User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite	Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzerprofil, Lese- und Schreibzugriff auf Benutzer-E-Mails, Vollzugriff auf Benutzerkalender
Die App möchte eine Datenrichtlinien-Verarbeitungsanforderung zum Exportieren der persönlichen Daten eines Benutzers senden	User.Export.All	Exportieren der persönlichen Daten eines Benutzers.

Zugriffsszenarios für die Group-Ressource

App-Aufgaben, die die Gruppe betreffen	Erforderliche Berechtigungen	Berechtigungszeichenfolgen
Die App möchte die grundlegenden Gruppeninformationen (nur Anzeigename und Bild) lesen, beispielsweise um diese in einer Gruppenauswahl anzuzeigen.	Group.Read.All	Lesezugriff auf alle Gruppen
Die App möchte alle Inhalte in allen Microsoft 365-Gruppen lesen, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer).	Group.Read.All	Lesezugriff auf Elemente in allen Websitesammlungen, Lesezugriff auf alle Gruppen
Die App möchte alle Inhalte in allen Microsoft 365-Gruppen lesen und schreiben, einschließlich Dateien und Unterhaltungen. Außerdem muss die App Gruppenmitgliedschaften anzeigen und in der Lage sein, Gruppenmitgliedschaften zu aktualisieren (wenn Besitzer).	Group.ReadWrite.All, Sites.ReadWrite.All	Lese- und Schreibzugriff auf alle Gruppen, Bearbeiten oder Löschen von Artikeln in allen Websitesammlungen
Die App möchte eine Microsoft 365-Gruppe ermitteln (suchen). Der Benutzer kann eine bestimmte Gruppe suchen und aus der Aufzählungsliste eine Gruppe auswählen, damit der Benutzer der Gruppe beitreten kann.	Group.ReadWrite.All	Schreib-/Lesezugriff auf alle Gruppen
Die App möchte über AAD Graph eine Gruppe erstellen.	Group.ReadWrite.All	Schreib-/Lesezugriff auf alle Gruppen

Alle Berechtigungen und IDs

Berechtigung	Typ	ID
AccessReview.Read.All	Anwendung	d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.Read.All	Delegiert	ebfcd32b-babb-40f4-a14b-42706e83bd28
AccessReview.ReadWrite.All	Anwendung	ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.All	Delegiert	e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.Membership	Anwendung	18228521-a591-40f1-b215-5fad4488c117
AccessReview.ReadWrite.Membership	Delegiert	5af8c3f5-baca-439a-97b0-ea58a435e269
AdministrativeUnit.Read.All	Anwendung	134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.Read.All	Delegiert	3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.ReadWrite.All	Anwendung	5eb59dd3-1da2-4329-8733-9dabdc435916
AdministrativeUnit.ReadWrite.All	Delegiert	7b8a2d34-6b3f-4542-a343-54651608ad81
Agreement.Read.All	Anwendung	2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.Read.All	Delegiert	af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.ReadWrite.All	Anwendung	c9090d00-6101-42f0-a729-c41074260d47
Agreement.ReadWrite.All	Delegiert	ef4b5d93-3104-4664-9053-a5c49ab44218
AgreementAcceptance.Read	Delegiert	0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All	Anwendung	d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
AgreementAcceptance.Read.All	Delegiert	a66a5341-e66e-4897-9d52-c2df58c2bfb9
Analytics.Read	Delegiert	e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All	Anwendung	b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.Read.All	Delegiert	1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.ReadWrite.All	Anwendung	1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
APIConnectors.ReadWrite.All	Delegiert	c67b52c5-7c69-48b6-9d48-7b3af3ded914
AppCatalog.Read.All	Anwendung	e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.Read.All	Delegiert	88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.ReadWrite.All	Anwendung	dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.ReadWrite.All	Delegiert	1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.Submit	Delegiert	3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All	Anwendung	9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.Read.All	Delegiert	c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.ReadWrite.All	Application	1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.All	Delegiert	bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.OwnedBy	Anwendung	18a4783c-866b-4cc7-a460-3d5e5662c884
AppRoleAssignment.ReadWrite.All	Anwendung	06b708a9-e830-4db3-a914-8e69da51d44f
AppRoleAssignment.ReadWrite.All	Delegiert	84bccea3-f856-4a8a-967b-dbe0a3d53a64
Approval.Read.All	Delegiert	1196552e-b226-4363-b01e-b8901fe10a11
Approval.ReadWrite.All	Delegiert	1d3d0bc7-4b3a-427a-ae9f-6de4e1edc95f
AttackSimulation.Read.All	Anwendung	93283d0a-6322-4fa8-966b-8c121624760d
AttackSimulation.Read.All	Delegiert	104a7a4b-ca76-4677-b7e7-2f4bc482f381
AuditLog.Read.All	Anwendung	b0afded3-3588-46d8-8b3d-9842eff778da
AuditLog.Read.All	Delegiert	e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuthenticationContext.Read.All	Anwendung	381f742f-e1f8-4309-b4ab-e3d91ae4c5c1
AuthenticationContext.Read.All	Delegiert	57b030f1-8c35-469c-b0d9-e4a077debe70
AuthenticationContext.ReadWrite.All	Anwendung	a88eef72-fed0-4bf7-a2a9-f19df33f8b83
AuthenticationContext.ReadWrite.All	Delegiert	ba6d575a-1344-4516-b777-1404f5593057
BitlockerKey.Read.All	Anwendung	57f1cf28-c0c4-4ec3-9a30-19a2eaaf2f6e
BitlockerKey.Read.All	Delegiert	b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.ReadBasic.All	Anwendung	f690d423-6b29-4d04-98c6-694c42282419
BitlockerKey.ReadBasic.All	Delegiert	5a107bfc-4f00-4e1a-b67e-66451267bc68
Bookings.Manage.All	Delegiert	7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All	Anwendung	6e98f277-b046-4193-a4f2-6bf6a78cd491
Bookings.Read.All	Delegiert	33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All	Delegiert	948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All	Anwendung	9769393e-5a9f-4302-9e3d-7e018ecb64a7
BookingsAppointment.ReadWrite.All	Delegiert	02a5a114-36a6-46ff-a102-954d89d9ab02
Calendars.Read	Anwendung	798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read	Delegiert	465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read.Shared	Delegiert	2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadWrite	Anwendung	ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite	Delegiert	1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite.Shared	Delegiert	12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All	Anwendung	a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All	Anwendung	45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All	Anwendung	a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All	Anwendung	284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All	Anwendung	4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All	Anwendung	f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallAsGuest.All	Anwendung	fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create	Anwendung	f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Create	Delegiert	101147cf-4178-4455-9d58-02b5c164e759
Channel.Delete.All	Anwendung	6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.Delete.All	Delegiert	cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.ReadBasic.All	Anwendung	59a6b24b-4225-4393-8165-ebaec5f55d7a
Channel.ReadBasic.All	Delegiert	9d8982ae-4365-4f57-95e9-d6032a4c0b87
ChannelMember.Read.All	Anwendung	3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.Read.All	Delegiert	2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.ReadWrite.All	Anwendung	35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMember.ReadWrite.All	Delegiert	0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMessage.Edit	Delegiert	2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All	Anwendung	7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Read.All	Delegiert	767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.ReadWrite	Delegiert	5922d31f-46c8-4404-9eaf-2117e390a8a4
ChannelMessage.Send	Delegiert	ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All	Anwendung	4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All	Anwendung	c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.Read.All	Delegiert	233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.ReadWrite.All	Anwendung	243cded2-bd16-4fd6-a953-ff8177894c3d
ChannelSettings.ReadWrite.All	Delegiert	d649fb7c-72b4-4eec-b2b4-b15acf79e378
Chat.Create	Anwendung	d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Create	Delegiert	38826093-1258-4dea-98f0-00003be2b8d0
Chat.Read	Delegiert	f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All	Anwendung	6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.ReadBasic	Delegiert	9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All	Anwendung	b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadWrite	Delegiert	9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All	Anwendung	294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.UpdatePolicyViolation.All	Anwendung	7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read	Delegiert	c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All	Anwendung	a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.ReadWrite	Delegiert	dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All	Anwendung	57257249-34ce-4810-a8a2-a03adf0c5693
ChatMessage.Read	Delegiert	cdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All	Anwendung	b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send	Delegiert	116b7235-7cc6-461e-b163-8e55691d839e
CloudPC.Read.All	Anwendung	a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.Read.All	Delegiert	5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC.ReadWrite.All	Anwendung	3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
CloudPC.ReadWrite.All	Delegiert	9d77138f-f0e2-47ba-ab33-cd246c8b79d1
ConsentRequest.Read.All	Anwendung	1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.Read.All	Delegiert	f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.ReadWrite.All	Anwendung	9f1b81a7-0223-4428-bfa4-0bcb5535f27d
ConsentRequest.ReadWrite.All	Delegiert	497d9dfa-3bd1-481a-baab-90895e54568c
Contacts.Read	Anwendung	089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read	Delegiert	ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read.Shared	Delegiert	242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite	Anwendung	6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite	Delegiert	d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite.Shared	Delegiert	afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All	Anwendung	cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantInformation.ReadBasic.All	Delegiert	81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantUserProfileSharing.Read	Delegiert	cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All	Anwendung	8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.Read.All	Delegiert	759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.ReadWrite	Delegiert	eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All	Anwendung	306785c5-c09b-4ba0-a4ee-023f3da165cb
CrossTenantUserProfileSharing.ReadWrite.All	Delegiert	64dfa325-cbf8-48e3-938d-51224a0cac01
CustomAuthenticationExtension.Read.All	Anwendung	88bb2658-5d9e-454f-aacd-a3933e079526
CustomAuthenticationExtension.Read.All	Delegiert	b2052569-c98c-4f36-a5fb-43e5c111e6d0
CustomAuthenticationExtension.ReadWrite.All	Anwendung	c2667967-7050-4e7e-b059-4cbbb3811d03
CustomAuthenticationExtension.ReadWrite.All	Delegiert	8dfcf82f-15d0-43b3-bc78-a958a13a5792
CustomAuthenticationExtension.Receive.Payload	Anwendung	214e810f-fda8-4fd7-a475-29461495eb00
CustomSecAttributeAssignment.Read.All	Anwendung	3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.Read.All	Delegiert	b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.ReadWrite.All	Anwendung	de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeAssignment.ReadWrite.All	Delegiert	ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeDefinition.Read.All	Anwendung	b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.Read.All	Delegiert	ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.ReadWrite.All	Anwendung	12338004-21f4-4896-bf5e-b75dfaf1016d
CustomSecAttributeDefinition.ReadWrite.All	Delegiert	8b0160d4-5743-482b-bb27-efc0a485ca4a
DelegatedAdminRelationship.Read.All	Anwendung	f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.Read.All	Delegiert	0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.ReadWrite.All	Anwendung	cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedAdminRelationship.ReadWrite.All	Delegiert	885f682f-a990-4bad-a642-36736a74b0c7
DelegatedPermissionGrant.ReadWrite.All	Anwendung	8e8e4742-1d95-4f68-9d56-6ee75648c72a
DelegatedPermissionGrant.ReadWrite.All	Delegiert	41ce6ca6-6826-4807-84f1-1c82854f7ee5
Device.Command	Delegiert	bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read	Delegiert	11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All	Anwendung	7438b122-aefc-4978-80ed-43db9fcc7715
Device.Read.All	Delegiert	951183d1-1a61-466f-a6d1-1fde911bfd95
Device.ReadWrite.All	Anwendung	1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceManagementApps.Read.All	Anwendung	7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.Read.All	Delegiert	4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.ReadWrite.All	Anwendung	78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementApps.ReadWrite.All	Delegiert	7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementConfiguration.Read.All	Anwendung	dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.Read.All	Delegiert	f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.ReadWrite.All	Anwendung	9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementConfiguration.ReadWrite.All	Delegiert	0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementManagedDevices.PrivilegedOperations.All	Anwendung	5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.PrivilegedOperations.All	Delegiert	3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.Read.All	Anwendung	2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.Read.All	Delegiert	314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.ReadWrite.All	Anwendung	243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementManagedDevices.ReadWrite.All	Delegiert	44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementRBAC.Read.All	Anwendung	58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.Read.All	Delegiert	49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.ReadWrite.All	Anwendung	e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementRBAC.ReadWrite.All	Delegiert	0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementServiceConfig.Read.All	Anwendung	06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.Read.All	Delegiert	8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.ReadWrite.All	Anwendung	5ac13192-7ace-4fcf-b828-1a26f28068ee
DeviceManagementServiceConfig.ReadWrite.All	Delegiert	662ed50a-ac44-4eef-ad86-62eed9be2a29
Directory.AccessAsUser.All	Delegiert	0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All	Anwendung	7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.Read.All	Delegiert	06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.ReadWrite.All	Anwendung	19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.ReadWrite.All	Delegiert	c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.Write.Restricted	Anwendung	f20584af-9290-4153-9280-ff8bb2c0ea7f
Directory.Write.Restricted	Delegiert	cba5390f-ed6a-4b7f-b657-0efc2210ed20
DirectoryRecommendations.Read.All	Anwendung	ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.Read.All	Delegiert	34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.ReadWrite.All	Anwendung	0e9eea12-4f01-45f6-9b8d-3ea4c8144158
DirectoryRecommendations.ReadWrite.All	Delegiert	f37235e8-90a0-4189-93e2-e55b53867ccd
Domain.Read.All	Anwendung	dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.Read.All	Delegiert	2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.ReadWrite.All	Anwendung	7e05723c-0bb0-42da-be95-ae9f08a6e53c
Domain.ReadWrite.All	Delegiert	0b5d694c-a244-4bde-86e6-eb5cd07730fe
EAS.AccessAsUser.All	Delegiert	ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All	Anwendung	50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.Read.All	Delegiert	99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.ReadWrite.All	Anwendung	b2620db1-3bf7-4c5b-9cb9-576d29eac736
eDiscovery.ReadWrite.All	Delegiert	acb8f680-0834-4146-b69e-4ab1b39745ad
EduAdministration.Read	Delegiert	8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All	Anwendung	7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite	Delegiert	63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All	Anwendung	9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read	Delegiert	091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All	Anwendung	4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic	Delegiert	c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All	Anwendung	6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite	Delegiert	2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All	Anwendung	0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic	Delegiert	2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All	Anwendung	f431cc63-a2de-48c4-8054-a34bc093af84
EduRoster.Read	Delegiert	a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All	Anwendung	e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic	Delegiert	5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All	Anwendung	0d412a8c-a06c-439f-b3ec-8abcf54d2f96
EduRoster.ReadWrite	Delegiert	359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All	Anwendung	d1808e82-ce13-47af-ae0d-f9b254e6d58a
email	Delegiert	64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All	Anwendung	c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.Read.All	Delegiert	5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.ReadWrite.All	Anwendung	9acd699f-1e81-4958-b001-93b1d2506e19
EntitlementManagement.ReadWrite.All	Delegiert	ae7a573d-81d7-432b-ad44-4ed5c9d89038
EventListener.Read.All	Anwendung	b7f6385c-6ce6-4639-a480-e23c42ed9784
EventListener.Read.All	Delegiert	f7dd3bed-5eec-48da-bc73-1c0ef50bc9a1
EventListener.ReadWrite.All	Anwendung	0edf5e9e-4ce8-468a-8432-d08631d18c43
EventListener.ReadWrite.All	Delegiert	d11625a6-fe21-4fc6-8d3d-063eba5525ad
EWS.AccessAsUser.All	Delegiert	9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All	Anwendung	1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.Read.All	Delegiert	a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.ReadWrite.All	Anwendung	34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.All	Delegiert	bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.OwnedBy	Anwendung	f431331c-49a6-499f-be1c-62af19c34a9d
ExternalConnection.ReadWrite.OwnedBy	Delegiert	4082ad95-c812-4f02-be92-780c4c4f1830
ExternalItem.Read.All	Anwendung	7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.Read.All	Delegiert	922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.ReadWrite.All	Anwendung	38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.All	Delegiert	b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.OwnedBy	Anwendung	8116ae0f-55c2-452d-9944-d18420f5b2c8
ExternalItem.ReadWrite.OwnedBy	Delegiert	4367b9d7-cee7-4995-853c-a0bdfe95c1f9
Family.Read	Delegiert	3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read	Delegiert	10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All	Anwendung	01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.All	Delegiert	df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.Selected	Delegiert	5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite	Delegiert	5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All	Anwendung	75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.All	Delegiert	863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.AppFolder	Delegiert	8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected	Delegiert	17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All	Delegiert	f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create	Anwendung	bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All	Anwendung	5b567255-7703-4780-807c-7be8301ae99b
Group.Read.All	Delegiert	5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.ReadWrite.All	Anwendung	62a82d76-70ea-41e2-9197-370581804d09
Group.ReadWrite.All	Delegiert	4e46008b-f24c-477d-8fff-7bb4ec7aafe0
GroupMember.Read.All	Anwendung	98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.Read.All	Delegiert	bc024368-1153-4739-b217-4326f2e966d0
GroupMember.ReadWrite.All	Anwendung	dbaae8cf-10b5-4b86-a4a1-f871c94c6695
GroupMember.ReadWrite.All	Delegiert	f81125ac-d3b7-4573-a3b2-7099cc39df9e
IdentityProvider.Read.All	Anwendung	e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.Read.All	Delegiert	43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.ReadWrite.All	Anwendung	90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityProvider.ReadWrite.All	Delegiert	f13ce604-1677-429f-90bd-8a10b9f01325
IdentityRiskEvent.Read.All	Anwendung	6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.Read.All	Delegiert	8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.ReadWrite.All	Anwendung	db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskEvent.ReadWrite.All	Delegiert	9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskyServicePrincipal.Read.All	Anwendung	607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.Read.All	Delegiert	ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.ReadWrite.All	Anwendung	cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyServicePrincipal.ReadWrite.All	Delegiert	bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyUser.Read.All	Anwendung	dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.Read.All	Delegiert	d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.ReadWrite.All	Anwendung	656f6061-f9fe-4807-9708-6a2e0934df76
IdentityRiskyUser.ReadWrite.All	Delegiert	e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityUserFlow.Read.All	Anwendung	1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.Read.All	Delegiert	2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.ReadWrite.All	Anwendung	65319a09-a2be-469d-8782-f6b07debf789
IdentityUserFlow.ReadWrite.All	Delegiert	281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IMAP.AccessAsUser.All	Delegiert	652390e4-393a-48de-9484-05f9b1212954
InformationProtectionContent.Sign.All	Anwendung	cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All	Anwendung	287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read	Delegiert	4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All	Anwendung	19da66cb-0fb0-4390-b071-ebc76a349482
LicenseAssignment.ReadWrite.All	Anwendung	5facf0c1-8979-4e95-abcf-ff3d079771c0
LicenseAssignment.ReadWrite.All	Delegiert	f55016cc-149c-447e-8f21-7cf3ec1d6350
Mail.Read	Anwendung	810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read	Delegiert	570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read.Shared	Delegiert	7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic	Anwendung	6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic	Delegiert	a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic.All	Anwendung	693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadWrite	Anwendung	e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite	Delegiert	024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite.Shared	Delegiert	5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send	Anwendung	b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send	Delegiert	e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send.Shared	Delegiert	a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read	Anwendung	40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.Read	Delegiert	87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.ReadWrite	Anwendung	6931bccd-447a-43d1-b442-00a195474933
MailboxSettings.ReadWrite	Delegiert	818c620a-27a9-40bd-a6a5-d96f7d610b4b
ManagedTenants.Read.All	Delegiert	dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All	Delegiert	b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden	Anwendung	658aa5d8-239f-45c4-aa12-864f4fc7e490
Member.Read.Hidden	Delegiert	f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Notes.Create	Delegiert	9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read	Delegiert	371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All	Anwendung	3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.Read.All	Delegiert	dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.ReadWrite	Delegiert	615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All	Anwendung	0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.All	Delegiert	64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.CreatedByApp	Delegiert	ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp	Delegiert	89497502-6e42-46a2-8cb2-427fd3df970a
offline_access	Delegiert	7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All	Anwendung	df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingArtifact.Read.All	Delegiert	110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingRecording.Read.All	Anwendung	a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetingRecording.Read.All	Delegiert	190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetings.Read	Delegiert	9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All	Anwendung	c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite	Delegiert	a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All	Anwendung	b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All	Anwendung	a4a80d8d-d283-4bd8-8504-555ec3870630
OnlineMeetingTranscript.Read.All	Delegiert	30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnPremisesPublishingProfiles.ReadWrite.All	Anwendung	0b57845e-aa49-4e6f-8109-ce654fffa618
OnPremisesPublishingProfiles.ReadWrite.All	Delegiert	8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
openid	Delegiert	37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All	Anwendung	498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.Read.All	Delegiert	4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.ReadWrite.All	Anwendung	292d869f-3427-49a8-9dab-8c70152b74e9
Organization.ReadWrite.All	Delegiert	46ca0847-7e6b-426e-9775-ea810a948356
OrgContact.Read.All	Anwendung	e1a88a34-94c4-4418-be12-c87b00e26bea
OrgContact.Read.All	Delegiert	08432d1b-5911-483c-86df-7980af5cdee0
People.Read	Delegiert	ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All	Anwendung	b528084d-ad10-4598-8b93-929746b4d7d6
People.Read.All	Delegiert	b89f9189-71a5-4e70-b041-9887f0bc7e4a
Place.Read.All	Anwendung	913b9306-0ce1-42b8-9137-6a7df690a760
Place.Read.All	Delegiert	cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.ReadWrite.All	Delegiert	4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All	Anwendung	246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.All	Delegiert	572fea84-0151-49b2-9301-11cb16974376
Policy.Read.ConditionalAccess	Anwendung	37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.ConditionalAccess	Delegiert	633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.PermissionGrant	Anwendung	9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.Read.PermissionGrant	Delegiert	414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.ReadWrite.AccessReview	Anwendung	77c863fd-06c0-47ce-a7eb-49773e89d319
Policy.ReadWrite.AccessReview	Delegiert	4f5bc9c8-ea54-4772-973a-9ca119cb0409
Policy.ReadWrite.ApplicationConfiguration	Anwendung	be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.ApplicationConfiguration	Delegiert	b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.AuthenticationFlows	Anwendung	25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationFlows	Delegiert	edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationMethod	Anwendung	29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.AuthenticationMethod	Delegiert	7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.Authorization	Anwendung	fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.Authorization	Delegiert	edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.ConditionalAccess	Anwendung	01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConditionalAccess	Delegiert	ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConsentRequest	Anwendung	999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.ConsentRequest	Delegiert	4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.CrossTenantAccess	Anwendung	338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.CrossTenantAccess	Delegiert	014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.DeviceConfiguration	Delegiert	40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.FeatureRollout	Anwendung	2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.FeatureRollout	Delegiert	92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.MobilityManagement	Delegiert	a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant	Anwendung	a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.PermissionGrant	Delegiert	2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.TrustFramework	Anwendung	79a677f7-b79d-40d0-a36a-3e6f8688dd7a
Policy.ReadWrite.TrustFramework	Delegiert	cefba324-1a70-4a6e-9c1d-fd670b7ae392
POP.AccessAsUser.All	Delegiert	d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read	Delegiert	76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All	Delegiert	9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite	Delegiert	8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All	Anwendung	83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All	Delegiert	d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All	Delegiert	79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create	Delegiert	90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All	Delegiert	93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All	Anwendung	9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.Read.All	Delegiert	3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.ReadWrite.All	Anwendung	f5b3f73d-6247-44df-a74c-866173fddab0
Printer.ReadWrite.All	Delegiert	89f66824-725f-4b8f-928e-e1c5258dc565
PrinterShare.Read.All	Delegiert	ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All	Delegiert	5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All	Delegiert	06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create	Delegiert	21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All	Anwendung	58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read	Delegiert	248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All	Anwendung	ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.Read.All	Delegiert	afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.ReadBasic	Delegiert	6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All	Anwendung	fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadBasic.All	Delegiert	04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadWrite	Delegiert	b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All	Anwendung	5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWrite.All	Delegiert	036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWriteBasic	Delegiert	6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All	Anwendung	57878358-37f4-4d3a-8c20-4816e0d457b1
PrintJob.ReadWriteBasic.All	Delegiert	3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintSettings.Read.All	Anwendung	b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.Read.All	Delegiert	490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.ReadWrite.All	Delegiert	9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All	Anwendung	456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD	Anwendung	4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureAD	Delegiert	b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureADGroup	Anwendung	01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureADGroup	Delegiert	d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureResources	Anwendung	5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.Read.AzureResources	Delegiert	1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.ReadWrite.AzureAD	Anwendung	854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureAD	Delegiert	3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureADGroup	Anwendung	2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureADGroup	Delegiert	32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureResources	Anwendung	6f9d5abc-2db6-400b-a267-7de22a40fb87
PrivilegedAccess.ReadWrite.AzureResources	Delegiert	a84a9652-ffd3-496e-a991-22ba5529156a
Profil	Delegiert	14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All	Anwendung	eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.Read.All	Delegiert	c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.ReadWrite.All	Anwendung	60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
ProgramControl.ReadWrite.All	Delegiert	50fd364f-9d93-4ae1-b170-300e87cccf84
RecordsManagement.Read.All	Anwendung	ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.Read.All	Delegiert	07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.ReadWrite.All	Anwendung	eb158f57-df43-4751-8b21-b8932adb3d34
RecordsManagement.ReadWrite.All	Delegiert	f2833d75-a4e6-40ab-86d4-6dfe73c97605
Reports.Read.All	Anwendung	230c1aed-a721-4c5d-9cb4-a90514e508ef
Reports.Read.All	Delegiert	02e97553-ed7b-43d0-ab3c-f8bace0d040c
RoleAssignmentSchedule.Read.Directory	Delegiert	344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory	Delegiert	8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory	Delegiert	eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory	Delegiert	62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All	Anwendung	c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.All	Delegiert	48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.CloudPC	Anwendung	031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.CloudPC	Delegiert	9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.Directory	Anwendung	483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.Read.Directory	Delegiert	741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.ReadWrite.CloudPC	Anwendung	274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.CloudPC	Delegiert	501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.Directory	Anwendung	9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagement.ReadWrite.Directory	Delegiert	d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagementPolicy.Read.Directory	Delegiert	3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.Directory	Delegiert	1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All	Anwendung	7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.Read.All	Delegiert	fccf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.ReadWrite.All	Anwendung	b7760610-0545-4e8a-9ec3-cce9e63db01c
Schedule.ReadWrite.All	Delegiert	63f27281-c9d9-4f29-94dd-6942f7f1feb0
SearchConfiguration.Read.All	Anwendung	ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.Read.All	Delegiert	7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.ReadWrite.All	Anwendung	0e778b85-fefa-466d-9eec-750569d92122
SearchConfiguration.ReadWrite.All	Delegiert	b1a7d408-cab0-47d2-a2a5-a74a3733600d
SecurityActions.Read.All	Anwendung	5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.Read.All	Delegiert	1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.ReadWrite.All	Anwendung	f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityActions.ReadWrite.All	Delegiert	dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityAlert.Read.All	Anwendung	472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.Read.All	Delegiert	bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.ReadWrite.All	Anwendung	ed4fca05-be46-441f-9803-1873825f8fdb
SecurityAlert.ReadWrite.All	Delegiert	471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityEvents.Read.All	Anwendung	bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.Read.All	Delegiert	64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.ReadWrite.All	Anwendung	d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityEvents.ReadWrite.All	Delegiert	6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityIncident.Read.All	Anwendung	45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.Read.All	Delegiert	b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.ReadWrite.All	Anwendung	34bf0e97-1971-4929-b999-9e2442d941d7
SecurityIncident.ReadWrite.All	Delegiert	128ca929-1a19-45e6-a3b8-435ec44a36ba
ServiceHealth.Read.All	Anwendung	79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceHealth.Read.All	Delegiert	55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceMessage.Read.All	Anwendung	1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessage.Read.All	Delegiert	eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessageViewpoint.Write	Delegiert	636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All	Anwendung	5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.Read.All	Delegiert	9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.ReadWrite.All	Anwendung	89c8469c-83ad-45f7-8ff2-6e3d4285709e
ServicePrincipalEndpoint.ReadWrite.All	Delegiert	7297d82c-9546-4aed-91df-3d4f0a9b3ff0
SharePointTenantSettings.Read.All	Anwendung	83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.Read.All	Delegiert	2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.ReadWrite.All	Anwendung	19b94e34-907c-4f43-bde9-38b1909ed408
SharePointTenantSettings.ReadWrite.All	Delegiert	aa07f155-3612-49b8-a147-6c590df35536
ShortNotes.Read	Delegiert	50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All	Anwendung	0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite	Delegiert	328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All	Anwendung	842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All	Anwendung	a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.FullControl.All	Delegiert	5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.Manage.All	Anwendung	0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Manage.All	Delegiert	65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Read.All	Anwendung	332a536c-c7ef-4017-ab91-336970924f0d
Sites.Read.All	Delegiert	205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.ReadWrite.All	Anwendung	9492366f-7969-46a4-8d15-ed1a20078fff
Sites.ReadWrite.All	Delegiert	89fe6a52-be36-487e-b7d8-d061c450a026
Sites.Selected	Anwendung	883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send	Delegiert	258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All	Anwendung	ee1460f0-368b-4153-870a-4e1ca7e72c42
SubjectRightsRequest.Read.All	Delegiert	9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All	Anwendung	8387eaa4-1a3c-41f5-b261-f888138e6041
SubjectRightsRequest.ReadWrite.All	Delegiert	2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All	Delegiert	5f88184c-80bb-4d52-9ff2-757288b2e9b7
Tasks.Read	Delegiert	f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All	Anwendung	f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared	Delegiert	88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite	Delegiert	2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All	Anwendung	44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared	Delegiert	c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Erstellen	Anwendung	23fc2474-f741-46ce-8465-674744c5c361
Team.Erstellen	Delegiert	7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.ReadBasic.All	Anwendung	2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
Team.ReadBasic.All	Delegiert	485be79e-c497-4b35-9400-0e3fa7f2a5d4
TeamMember.Read.All	Anwendung	660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.Read.All	Delegiert	2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.ReadWrite.All	Anwendung	0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWrite.All	Delegiert	4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWriteNonOwnerRole.All	Anwendung	4437522e-9a86-4a41-a7da-e380edd4a97d
TeamMember.ReadWriteNonOwnerRole.All	Delegiert	2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamsActivity.Read	Delegiert	0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All	Anwendung	70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send	Anwendung	a267235f-af13-44dc-8385-c1dc93023186
TeamsActivity.Send	Delegiert	7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsAppInstallation.ReadForChat	Delegiert	bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All	Anwendung	cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam	Delegiert	5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All	Anwendung	1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser	Delegiert	c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All	Anwendung	9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteForChat	Delegiert	aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All	Anwendung	9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam	Delegiert	2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All	Anwendung	5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser	Delegiert	093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All	Anwendung	74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat	Delegiert	0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All	Anwendung	73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam	Delegiert	0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All	Anwendung	9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser	Delegiert	207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All	Anwendung	908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All	Anwendung	242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.Read.All	Delegiert	48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.ReadWrite.All	Anwendung	bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamSettings.ReadWrite.All	Delegiert	39d65650-9d3e-4223-80db-a335590d027e
TeamsTab.Create	Anwendung	49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Create	Delegiert	a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Read.All	Anwendung	46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.Read.All	Delegiert	59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.ReadWrite.All	Anwendung	a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWrite.All	Delegiert	b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWriteForChat	Delegiert	ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All	Anwendung	fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam	Delegiert	c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All	Anwendung	6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser	Delegiert	c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All	Anwendung	425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat	Delegiert	0c219d04-3abf-47f7-912d-5cca239e90e6
TeamsTab.ReadWriteSelfForChat.All	Anwendung	9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam	Delegiert	f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All	Anwendung	91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser	Delegiert	395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All	Anwendung	3c42dec6-49e8-4a0a-b469-36cff0d9da93
Teamwork.Migrate.All	Anwendung	dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkAppSettings.Read.All	Anwendung	475ebe88-f071-4bd7-af2b-642952bd4986
TeamworkAppSettings.ReadWrite.All	Anwendung	ab5b445e-8f10-45f4-9c79-dd3f8062cc4e
TeamworkDevice.Read.All	Anwendung	0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.Read.All	Delegiert	b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.ReadWrite.All	Anwendung	79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkDevice.ReadWrite.All	Delegiert	ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkTag.Read	Delegiert	57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All	Anwendung	b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite	Delegiert	539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All	Anwendung	a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All	Anwendung	ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.Read.All	Delegiert	297f747b-0005-475b-8fef-c890f5152b38
TermStore.ReadWrite.All	Anwendung	f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
TermStore.ReadWrite.All	Delegiert	6c37c71d-f50f-4bff-8fd3-8a41da390140
ThreatAssessment.Read.All	Anwendung	f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All	Delegiert	cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHunting.Read.All	Anwendung	dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatHunting.Read.All	Delegiert	b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatIndicators.Read.All	Anwendung	197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.Read.All	Delegiert	9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.ReadWrite.OwnedBy	Anwendung	21792b6c-c986-4ffc-85de-df9da54b52fa
ThreatIndicators.ReadWrite.OwnedBy	Delegiert	91e7d36d-022a-490f-a748-f8e011357b42
ThreatSubmission.Read	Delegiert	fd5353c6-26dd-449f-a565-c4e16b9fce78
ThreatSubmission.Read.All	Anwendung	86632667-cd15-4845-ad89-48a88e8412e1
ThreatSubmission.Read.All	Delegiert	7083913a-4966-44b6-9886-c5822a5fd910
ThreatSubmission.ReadWrite	Delegiert	68a3156e-46c9-443c-b85c-921397f082b5
ThreatSubmission.ReadWrite.All	Anwendung	d72bdbf4-a59b-405c-8b04-5995895819ac
ThreatSubmission.ReadWrite.All	Delegiert	8458e264-4eb9-4922-abe9-768d58f13c7f
ThreatSubmissionPolicy.ReadWrite.All	Anwendung	926a6798-b100-4a20-a22f-a4918f13951d
ThreatSubmissionPolicy.ReadWrite.All	Delegiert	059e5840-5353-4c68-b1da-666a033fc5e8
TrustFrameworkKeySet.Read.All	Anwendung	fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.Read.All	Delegiert	7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.ReadWrite.All	Anwendung	4a771c9a-1cf2-4609-b88e-3d3e02d539cd
TrustFrameworkKeySet.ReadWrite.All	Delegiert	39244520-1e7d-4b4a-aee0-57c65826e427
UnifiedGroupMember.Read.AsGuest	Delegiert	73e75199-7c3e-41bb-9357-167164dbb415
User.Export.All	Anwendung	405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All	Delegiert	405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All	Anwendung	09850681-111b-4a89-9bed-3f2cae46d706
User.Invite.All	Delegiert	63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.ManageIdentities.All	Anwendung	c529cfca-c91b-489c-af2b-d92990b66ce6
User.ManageIdentities.All	Delegiert	637d7bec-b31e-4deb-acc9-24275642a2c9
User.Read	Delegiert	e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All	Anwendung	df021288-bdef-4463-88db-98f22de89214
User.Read.All	Delegiert	a154be20-db9c-4678-8ab7-66f6cc099a59
User.ReadBasic.All	Delegiert	b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite	Delegiert	b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All	Anwendung	741f803b-c850-494e-b5df-cde7c675a1ca
User.ReadWrite.All	Delegiert	204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
UserActivity.ReadWrite.CreatedByApp	Delegiert	47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read	Delegiert	1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All	Anwendung	38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.Read.All	Delegiert	aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.ReadWrite	Delegiert	48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All	Anwendung	50483e42-d915-4231-9639-7fdb7fd190e5
UserAuthenticationMethod.ReadWrite.All	Delegiert	b7887744-6746-4312-813d-72daeaee7e2d
UserNotification.ReadWrite.CreatedByApp	Anwendung	4e774092-a092-48d1-90bd-baad67c7eb47
UserNotification.ReadWrite.CreatedByApp	Delegiert	26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserShiftPreferences.Read.All	Anwendung	de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All	Anwendung	d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp	Delegiert	367492fc-594d-4972-a9b5-0d58c622c91c
WindowsUpdates.ReadWrite.All	Anwendung	7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WindowsUpdates.ReadWrite.All	Delegiert	11776c0c-6138-4db3-a668-ee621bea2555
WorkforceIntegration.Read.All	Delegiert	f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All	Anwendung	202bf709-e8e6-478e-bcfd-5d63c50b68e3
WorkforceIntegration.ReadWrite.All	Delegiert	08c4b377-0d23-4a8b-be2a-23c1c1d88545