Freigeben über


Berechtigung für APIs zum Lesen von Microsoft 365-Verwendungsberichten

Berichtsdaten, auf die über die Microsoft Graph-Berichts-API zugegriffen werden kann, sind vertraulich. Insbesondere werden Microsoft 365-Nutzungsberichte sowohl durch Berechtigungen als auch durch Microsoft Entra Rollen geschützt. Die Informationen in diesem Artikel beziehen sich auf die Berichts-API, die Microsoft 365-Verwendungsberichte liest.

Die APIs zum Lesen von Microsoft 365-Verwendungsberichten unterstützen zwei Arten von Autorisierung:

  • Autorisierung auf Anwendungsebene ‑ Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Die Berechtigungen, die der Anwendung gewährt wurden, bestimmen die Autorisierung.
  • Autorisierung durch den Benutzer‑ Die App kann alle Dienstverwendungsberichte im Namen des angemeldeten Benutzers lesen. Zusätzlich dazu, dass der App die erforderlichen Berechtigungen erteilt wurden, muss der Benutzer Mitglied einer Microsoft Entra ID eingeschränkten Administratorrolle sein. Dies kann eine der folgenden Rollen sein: Unternehmensadministrator, Exchange-Administrator, SharePoint-Administrator, Lync-Administrator, Teams-Dienstadministrator, Teams-Kommunikationsadministrator, globaler Leser, Leser von Nutzungszusammenfassungsberichten oder Berichtsleser. Die Rollen „Globaler Leser“ und „Leser von Nutzungszusammenfassungsberichten“ haben nur Zugriff auf Daten auf Mandantenebene, ohne Einblicke in detaillierte Metriken.

Wenn Sie die APIs aus Graph Explorer aufrufen:

  • Der Microsoft Entra Mandantenadministrator muss explizit die Zustimmung für die angeforderten Berechtigungen für die Graph Explorer-Anwendung erteilen.
  • Der Benutzer muss Mitglied einer eingeschränkten Administratorrolle in Microsoft Entra ID sein, die oben für die vom Benutzer delegierte Autorisierung aufgeführt ist.

Hinweis

Graph Explorer unterstützt keine Autorisierung auf Anwendungsebene.

Wenn Sie die APIs aus einer Anwendung aufrufen:

  • Der Microsoft Entra Mandantenadministrator muss Ihrer Anwendung explizit seine Zustimmung erteilen. Dies ist sowohl für die Autorisierung auf Anwendungsebene als auch für benutzerdelegierte Autorisierung erforderlich.
  • Wenn Sie die vom Benutzer delegierte Autorisierung verwenden, muss der angemeldete Benutzer Mitglied einer eingeschränkten Administratorrolle in Microsoft Entra ID sein.

Zuweisen von Microsoft Entra Rollen zu Benutzern

Nachdem einer Anwendung Berechtigungen erteilt wurden, erhält jeder Benutzer mit Zugriff auf die Anwendung (d. h. Mitglieder des Microsoft Entra Mandanten) die gewährten Berechtigungen. Um vertrauliche Berichtsdaten weiter zu schützen, müssen Mandantenadministratoren Benutzern der Anwendung die entsprechenden Microsoft Entra Rollen zuweisen. Weitere Informationen finden Sie unter Administratorrollenberechtigungen in Microsoft Entra ID und Zuweisen von Administrator- und Nicht-Administratorrollen zu Benutzern mit Microsoft Entra ID.

Hinweis

Sie müssen Mandantenadministrator sein, um diesen Schritt auszuführen.

So weisen Sie einem Benutzer eine Rolle zu

  1. Melden Sie sich beim Microsoft Entra Admin Centeran.
  2. Erweitern Sie das Menü >IdentitätBenutzer> wählen Alle Benutzer aus.
  3. Wählen Sie den Benutzer aus.
  4. Wählen Sie Zugewiesene Rollen und dann Zuweisung hinzufügen aus.
  5. Wählen Sie die zutreffende Rolle aus, und klicken Sie auf Hinzufügen.