Microsoft.Graph oauth2PermissionGrants
Berechtigungen
Wählen Sie die Berechtigung oder Berechtigungen aus, die als am wenigsten privilegierte für diese API gekennzeichnet sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App sie benötigt. Ausführliche Informationen zu delegierten und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
Hinweis
Berechtigungen für persönliche Microsoft-Konten können nicht zum Bereitstellen von Microsoft Graph-Ressourcen verwendet werden, die in Bicep-Dateien deklariert sind.
| Berechtigungstyp | Berechtigungen mit geringsten Berechtigungen | Berechtigungen mit höheren Berechtigungen |
|---|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | DelegatedPermissionGrant.ReadWrite.All | Directory.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Wird nicht unterstützt. | Wird nicht unterstützt. |
| Application | DelegatedPermissionGrant.ReadWrite.All | Directory.ReadWrite.All |
Ressourcenformat
Um eine Microsoft.Graph/oauth2PermissionGrants-Ressource zu erstellen, fügen Sie der Vorlage die folgende Bicep hinzu.
resource symbolicname 'Microsoft.Graph/oauth2PermissionGrants@v1.0' = {
clientId: 'string'
consentType: 'string'
principalId: 'string'
resourceId: 'string'
scope: 'string'
}
Eigenschaftswerte
oauth2PermissionGrants
| Name | Beschreibung | Wert |
|---|---|---|
| apiVersion | Die Ressourcen-API-Version | 'v1.0' (ReadOnly) |
| clientId | Die Objekt-ID (nicht appId) des Clientdienstprinzipals für die Anwendung, die berechtigt ist, im Namen eines angemeldeten Benutzers zu handeln, wenn auf eine API zugegriffen wird. Erforderlich | Zeichenfolge (Erforderlich) |
| consentType | Gibt an, ob die Autorisierung für die Clientanwendung erteilt wird, um alle Benutzer oder nur einen bestimmten Benutzer zu imitieren. AllPrincipals gibt die Autorisierung zum Identitätswechsel aller Benutzer an. Prinzipal gibt die Autorisierung zum Identitätswechsel eines bestimmten Benutzers an. Die Zustimmung im Namen aller Benutzer kann von einem Administrator erteilt werden. Nichtadmin-Benutzer sind möglicherweise berechtigt, im Namen von sich selbst für einige delegierte Berechtigungen zuzustimmen. Erforderlich | Zeichenfolge (Erforderlich) |
| id | Der eindeutige Bezeichner für eine Entität. Schreibgeschützt. | string (ReadOnly) |
| principalId | Die ID des Benutzers im Auftrag, von dem der Client für den Zugriff auf die Ressource autorisiert ist, wenn consentType "Principal" ist. Wenn consentType "AllPrincipals" lautet, ist dieser Wert null. Erforderlich, wenn consentType prinzipal ist | Zeichenfolge |
| Ressourcen-ID | Die ID des Ressourcendienstprinzipals, auf den der Zugriff autorisiert ist. Dadurch wird die API identifiziert, die der Client autorisiert ist, um im Namen eines angemeldeten Benutzers aufzurufen. | Zeichenfolge (Erforderlich) |
| scope | Eine durch Leerzeichen getrennte Liste der Anspruchswerte für delegierte Berechtigungen, die in Zugriffstoken für die Ressourcenanwendung (die API) enthalten sein sollten. Beispiel: openid User.Read GroupMember.Read.All. Jeder Anspruchswert sollte mit dem Wertfeld einer der delegierten Berechtigungen übereinstimmen, die von der API definiert sind, die in der oauth2PermissionScopes-Eigenschaft des Ressourcendienstprinzipals aufgeführt sind. Darf maximal 3.850 Zeichen lang sein. | Zeichenfolge |
| Typ | Der Ressourcentyp | "Microsoft.Graph/oauth2PermissionGrants" (ReadOnly) |