Comentarios Editar

Referencia de permisos de Microsoft Graph

  • Artículo
  • Tiempo de lectura: 174 minutos

Para que su aplicación pueda obtener acceso a los datos de Microsoft Graph, el usuario o el administrador deben concederle los permisos correctos a través de un proceso de consentimiento. Este tema enumera los permisos asociados con cada conjunto principal de las API de Microsoft Graph. También se proporciona información sobre cómo usar los permisos.

Nota

El procedimiento recomendado es solicitar los permisos con menos privilegios que necesita la aplicación para acceder a los datos y funcionar correctamente. Solicitar permisos con más privilegios de los necesarios es una mala práctica de seguridad que puede hacer que los usuarios se abstengan de dar su consentimiento y que afecten al uso de la aplicación.

Para saber cómo funcionan los permisos, consulte Fundamentos de autenticación y autorización y vea el siguiente vídeo.

Nombres de permisos de Microsoft Graph

Los nombres de permisos de Microsoft Graph siguen un patrón sencillo: recurso.operación.restricción. Por ejemplo, User.Read concede el permiso de leer el perfil del usuario que ha iniciado sesión, User.ReadWrite concede el permiso de leer y modificar el perfil del usuario que ha iniciado sesión, y Mail.Send concede el permiso de enviar correo en nombre del usuario que ha iniciado sesión.

El elemento restricción del nombre determina el posible alcance del acceso que tendrá la aplicación dentro del directorio. Actualmente, Microsoft Graph admite las siguientes restricciones:

  • All concede permiso a la aplicación para realizar las operaciones en todos los recursos del tipo especificado en un directorio. Por ejemplo, User.Read.All concede potencialmente a la aplicación privilegios para leer los perfiles de todos los usuarios de un directorio.
  • Shared concede permiso a la aplicación para realizar las operaciones en los recursos que otros usuarios han compartido con el usuario que ha iniciado sesión. Esta restricción se usa principalmente con recursos de Outlook, como correo, calendarios y contactos. Por ejemplo, Mail.Read.Shared concede privilegios para leer el correo del buzón del usuario que ha iniciado sesión y el correo de los buzones que otros usuarios de la organización han compartido con el usuario que ha iniciado sesión.
  • AppFolder concede permiso a la aplicación para leer y escribir archivos en una carpeta dedicada en OneDrive. Esta restricción solo se expone en Permisos de archivos y solo es válida para cuentas de Microsoft.
  • Si no se especifica ninguna restricción, la aplicación se limita a realizar las operaciones en los recursos que posee el usuario que ha iniciado sesión. Por ejemplo, User.Read concede privilegios para leer el perfil únicamente del usuario que ha iniciado sesión, y Mail.Read concede permiso para leer únicamente el correo del buzón del usuario que ha iniciado sesión.

Nota

En escenarios delegados, el acceso de la aplicación también está limitado por los privilegios del usuario que ha iniciado sesión. Estos privilegios vienen determinados por los roles asignados del usuario y su relación con los datos a los que se accede. Por ejemplo, si el usuario que inició sesión no tiene los privilegios adecuados para ver un archivo, la aplicación cliente tampoco podrá leer ese archivo, incluso si se concede a la aplicación el permiso delegado File.Read.All.

Cuentas de Microsoft y cuentas profesionales o educativas

No todos los permisos son válidos para las cuentas de Microsoft y para las cuentas profesionales o educativas. Consulte la columna Cuentas de Microsoft compatibles de cada grupo de permisos para determinar si un permiso concreto es válido para las cuentas de Microsoft, para las cuentas profesionales o educativas, o para ambas.

Límites de permisos solicitados por aplicación

Azure AD limita el número de permisos que una aplicación cliente puede solicitar y dar su consentimiento. Estos límites dependen del signInAudience valor de la aplicación, que se muestra en el manifiesto de la aplicación.

signInAudience Usuarios permitidos Permisos máximos que la aplicación puede solicitar Permisos máximos Microsoft Graph que la aplicación puede solicitar Permisos máximos que se pueden consentir en una sola solicitud
AzureADMyOrg Usuarios de la organización donde está registrada la aplicación 400 400 Unos 155 permisos delegados y unos 300 permisos de aplicación
AzureADMultipleOrgs Usuarios de cualquier organización de Azure AD 400 400 Unos 155 permisos delegados y unos 300 permisos de aplicación
PersonalMicrosoftAccount Usuarios consumidores (como cuentas de Outlook.com o Live.com) 30 30 30
AzureADandPersonalMicrosoftAccount Usuarios de consumidores y usuarios de cualquier organización de Azure AD 30 30 30

Estado de disponibilidad de permisos

Los permisos de Microsoft Graph en Azure Portal suelen estar disponibles y en estado GA para todas las aplicaciones, excepto en el caso de algunos conjuntos en el estado de versión preliminar o versión preliminar privada. Los permisos en la versión preliminar están disponibles para el público; pueden cambiar y no pueden ser promovidos al estado GA. Los permisos en el estado de versión preliminar privada no están ni pueden estar disponibles para el público. No use permisos en el estado de versión preliminar o versión preliminar privada en aplicaciones de producción.

Limitaciones de búsqueda de usuarios y grupos para usuarios invitados en las organizaciones

Las funciones de búsqueda de grupos y usuarios permiten que la aplicación busque cualquier usuario o grupo en un directorio de la organización mediante la realización de consultas en el conjunto de recursos /users o /groups (por ejemplo, https://graph.microsoft.com/v1.0/users). Los administradores y los usuarios puede realizar esta función, pero los usuarios invitados no.

Si el usuario que ha iniciado sesión es un usuario invitado, en función de los permisos que se hayan concedido a una aplicación, puede leer el perfil de un usuario o grupo específico (por ejemplo, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531), pero no puede realizar consultas en el conjunto de recursos /users o /groups que devuelvan potencialmente más de un solo recurso.

Con los permisos adecuados, la aplicación puede leer los perfiles de usuarios o grupos que obtiene al seguir los vínculos de las propiedades de navegación, como /users/{id}/directReports o /groups/{id}/members.

Información limitada devuelta por objetos miembro inaccesibles

Los objetos contenedores, como los grupos, admiten distintos tipos de miembros; por ejemplo, usuarios y dispositivos. Cuando una aplicación consulta la pertenencia de un objeto contenedor y no dispone de permiso para leer un tipo determinado, los miembros de ese tipo se devuelven, pero con información limitada. La aplicación recibe una respuesta 200 y una colección de objetos. Se devuelve información completa de los tipos de objeto para los que la aplicación dispone de permisos de lectura. En el caso de los tipos de objeto para los que la aplicación no tiene permiso de lectura, solo se devuelve el tipo y el ID de objeto.

Esto se aplica a todas las relaciones de tipo directoryObject (no solo a enlaces de miembro). Algunos ejemplos son /groups/{id}/members, /users/{id}/memberOf o me/ownedObjects.

Por ejemplo, supongamos que una aplicación tiene permisos User.Read.All y Group.Read.All para Microsoft Graph. Se ha creado un grupo que contiene un usuario, un grupo y un dispositivo. La aplicación realiza una llamada de lista de miembros del grupo. La aplicación tiene acceso a los objetos de usuario y de grupo ubicados en el grupo, pero no al objeto de dispositivo. En la respuesta, se devuelven todas las propiedades seleccionadas de los objetos de usuario y de grupo. Sin embargo, para el objeto de dispositivo solo se devuelve información limitada. Se devolverán el tipo de datos y el ID de objeto, pero el valor del resto de propiedades será null. Las aplicaciones sin permiso no podrán usar el ID para obtener el objeto real.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

A continuación se muestra la respuesta JSON:

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Acceder a permisos de revisión

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
AccessReview.Read.All Leer todas las revisiones de acceso Permite que la aplicación lea revisiones de acceso en nombre del usuario que ha iniciado sesión. No
AccessReview.ReadWrite.All Administración de todas las revisiones del acceso Permite que la aplicación lea y escriba revisiones de acceso en nombre del usuario que ha iniciado sesión. No
AccessReview.ReadWrite.Membership Administrar las revisiones de acceso para pertenencia a aplicaciones y grupos Permite que la aplicación lea y escriba revisiones de acceso de grupos y aplicaciones en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
AccessReview.Read.All Leer todas las revisiones de acceso Permite que la aplicación lea revisiones de acceso sin tener un usuario que haya iniciado sesión.
AccessReview.ReadWrite.All Administración de todas las revisiones del acceso Permite que la aplicación lea, actualice, elimine y realice acciones en revisiones de acceso, revisores, decisiones y configuraciones en la organización, sin que un usuario haya iniciado sesión.
AccessReview.ReadWrite.Membership Administrar las revisiones de acceso para pertenencia a aplicaciones y grupos Permite que la aplicación administre las revisiones de acceso de grupos y aplicaciones sin un usuario que haya iniciado sesión.

Comentarios

AccessReview.Read.All, AccessReview.ReadWrite.All y AccessReview.ReadWrite.Membership son válidos solo para cuentas profesionales o educativas.

Para que una aplicación con permisos delegados pueda leer revisiones de acceso de un grupo o aplicación, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad, Lector de seguridad o Administrador usuario. Para que una aplicación con permisos delegados pueda escribir revisiones de acceso de un grupo o aplicación, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador usuario.

Para que una aplicación con permisos delegados pueda leer revisiones de acceso de un rol de Azure AD, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad, Lector de seguridad o Administrador con rol privilegiado. Para que una aplicación con permisos delegados pueda escribir revisiones de acceso de un rol de Azure AD, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador de rol privilegiado.

Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.

Permisos de unidades administrativas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
AdministrativeUnit.Read.All Leer unidades administrativas Permite a la aplicación leer las unidades administrativas y la pertenencia a la unidad administrativa en nombre del usuario que ha iniciado sesión. No
AdministrativeUnit.ReadWrite.All Leer y escribir unidades administrativas Permite a la aplicación crear, leer, actualizar y eliminar unidades administrativas y administrar la pertenencia a la unidad administrativa en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
AdministrativeUnit.Read.All Leer todas las unidades administrativas Permite a la aplicación leer las unidades administrativas y la pertenencia a la unidad administrativa sin un usuario que haya iniciado sesión.
AdministrativeUnit.ReadWrite.All Leer y escribir todas las unidades administrativas Permite a la aplicación crear, leer, actualizar y eliminar unidades administrativas y administrar la pertenencia a una unidad administrativa sin un usuario que haya iniciado sesión.

Comentarios

Con el permiso AdministrativeUnit.Read.All una aplicación puede leer la información de la unidad administrativa, incluidos los miembros.

Con el permiso AdministrativeUnit.ReadWrite.All una aplicación puede crear, leer, actualizar y eliminar la información de la unidad administrativa, incluidos los miembros.

AdministrativeUnit.Read.All y AdministrativeUnit.ReadWrite.All son válidos solo para las cuentas profesionales o educativas.

Ejemplos de uso

Nota

El punto de conexión v1.0 para la API de unidades administrativas es /v1.0/directory/administrativeUnits.

  • AdministrativeUnit.Read.All: leer las unidades administrativas (GET /beta/administrativeUnits).
  • AdministrativeUnit.Read.All: leer la lista de miembros de una unidad administrativa (GET /beta/administrativeUnits/<id>/members).
  • AdministrativeUnit.ReadWrite.All: crear una unidad administrativa (POST /beta/administrativeUnits).
  • AdministrativeUnit.ReadWrite.All: actualizar una unidad administrativa (PATCH /beta/administrativeUnits/<id>).
  • AdministrativeUnit.ReadWrite.All: agregar miembros a una unidad administrativa (POST /beta/administrativeUnits/<id>/members).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de recursos de análisis

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Analytics.Read Lea las estadísticas de actividad de usuario. Permite que la aplicación lea las estadísticas de actividad del usuario que ha iniciado sesión, como la cantidad de tiempo que ha pasado mirando correos electrónicos, en reuniones o en sesiones de chat. No

Permisos de la aplicación

Ninguno.

Ejemplos de uso

Delegated

Aplicación

Ninguna.

Permisos de recursos de AppCatalog

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Requiere una cuenta de Microsoft
AppCatalog.Read.All Leer todos los catálogos de aplicaciones Permite que la aplicación lea las aplicaciones del catálogo de aplicaciones. No No
AppCatalog.ReadWrite.All Lectura y escritura para todos los catálogos de la aplicación Permite que la aplicación cree, lea, actualice y elimine aplicaciones de los catálogo de aplicaciones. No
AppCatalog.Submit Enviar una aplicación para la revisión de administración Permite que el usuario envíe una aplicación para la revisión del administrador para su publicación en el catálogo de aplicaciones de una organización y permite al usuario cancelar las entregas pasadas que no se han publicado.
𝐍𝐎𝐓𝐄: Los usuarios que no sean administradores pueden enviar aplicaciones para su revisión incluyendo el parámetro de consulta requiresReview=true.		 No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
AppCatalog.Read.All Leer todos los catálogos de aplicaciones Permite que la aplicación lea aplicaciones en los catálogos de aplicaciones sin que un usuario haya iniciado sesión.
AppCatalog.ReadWrite.All Lectura y escritura para todos los catálogos de la aplicación Permite que la aplicación cree, lea, actualice y elimine aplicaciones en los catálogos de aplicaciones sin que un usuario haya iniciado sesión.

Observaciones

Actualmente, el único catálogo es la lista de aplicaciones de Microsoft Teams.

Ejemplos de uso

Delegados

Aplicación

Ninguna.

Permisos de recursos de aplicación

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Application.Read.All Leer aplicaciones Permite que la aplicación lea las aplicaciones y entidades de servicio en nombre del usuario que ha iniciado sesión.
Application.ReadWrite.All Leer y escribir en todas las aplicaciones Permite que la aplicación cree, lea y actualice las aplicaciones y entidades de servicio en nombre del usuario que ha iniciado sesión.
AppRoleAssignment.ReadWrite.All Administrar concesiones de permisos de aplicación y asignaciones de rol de aplicación Permite que la aplicación administre concesiones de permisos para los permisos de aplicación a cualquier API (incluyendo Microsoft Graph), y asignaciones de aplicación para cualquier aplicación, en nombre del usuario que ha iniciado sesión.
DelegatedPermissionGrant.ReadWrite.All Administrar concesiones de permisos delegados Permite que la aplicación administre concesiones de permisos delegados para cualquier API (incluido Microsoft Graph) en nombre del usuario que ha iniciado sesión.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Application.Read.All Leer aplicaciones Permite que la aplicación lea las aplicaciones y entidades de servicio sin que un usuario haya iniciado sesión.
Application.ReadWrite.All Leer y escribir en todas las aplicaciones Permite que la aplicación de llamada cree y administre (leer, actualizar, actualizar los secretos de la aplicación y eliminar) aplicaciones y entidades de seguridad sin que haya un usuario con sesión iniciada. No permite la administración de concesiones de consentimiento ni de asignaciones de aplicación para usuarios o grupos.
Application.ReadWrite.OwnedBy Administrar aplicaciones que esta aplicación cree o posea Permite que la aplicación de llamada cree otras aplicaciones y administre por completo esas aplicaciones y entidades de seguridad (leer, actualizar, actualizar los secretos de la aplicación y eliminar) sin que haya un usuario con sesión iniciada. No puede actualizar ninguna aplicación de la que no sea propietaria. No permite la administración de concesiones de consentimiento ni de asignaciones de aplicación para usuarios o grupos.
AppRoleAssignment.ReadWrite.All Administrar concesiones de permisos de aplicación y asignaciones de rol de aplicación Permite que la aplicación administre concesiones de permisos para los permisos de aplicación a cualquier API (incluyendo Microsoft Graph), y asignaciones de aplicación para cualquier aplicación, sin que un usuario haya iniciado sesión.
DelegatedPermissionGrant.ReadWrite.All Administrar todas las concesiones de permisos delegados Permite que la aplicación conceda o revoque cualquier permiso delegado para cualquier API (incluido Microsoft Graph), sin que un usuario haya iniciado sesión.

Observaciones

Precaución

Los permisos que permiten conceder autorización, como AppRoleAssignment.ReadWrite.All, permiten que una aplicación se conceda privilegios adicionales a sí misma, a otras aplicaciones o a cualquier usuario. Del mismo modo, los permisos que permiten administrar credenciales, como Application.ReadWrite.All, permiten que una aplicación actúe como otras entidades y usen los privilegios que se les otorgaron. Actúe con precaución al conceder cualquiera de estos permisos.

El permiso Application.ReadWrite.OwnedBy permite las mismas operaciones que Application.ReadWrite.All, excepto en que el primero solo permite estas operaciones en las aplicaciones y las entidades de seguridad que sean propiedad de la aplicación de llamada. La propiedad de navegación owners indica la propiedad en el recurso de aplicación o entidad de servicio de destino.

NOTA: La utilización del permiso Application.ReadWrite.OwnedBy para llamar a GET /applications para que muestre la lista de aplicaciones generará un código 403. En su lugar, use GET servicePrincipals/{id}/ownedObjects para mostrar la lista de aplicaciones que son propiedad de la aplicación de llamada.

Ejemplos de uso

Delegado

  • Application.Read.All: Mostrar lista de todas las aplicaciones (GET /v1.0/applications)
  • Application.ReadWrite.All: Actualizar una entidad de servicio (PATCH /v1.0/servicePrincipals/{id})

Aplicación

  • Application.Read.All: Mostrar lista de todas las aplicaciones (GET /v1.0/applications)
  • Application.ReadWrite.All: Eliminar una entidad de seguridad (DELETE /v1.0/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy: Crear una aplicación (POST /v1.0/applications)
  • Application.ReadWrite.OwnedBy: Mostrar lista de todas las aplicaciones propiedad de la aplicación de llamada (GET /v1.0/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy: Agregar otro propietario a una aplicación que tiene propietario (POST /v1.0/applications/{id}/owners/$ref).

    NOTA: Es posible que se requieran permisos adicionales.

Permisos de registro de auditoría

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
AuditLog.Read.All Leer datos del registro de auditoría Permite que la aplicación lea y consulte las actividades del registro de auditoría en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
AuditLog.Read.All Leer todos los datos del registro de auditoría Permite que la aplicación lea y consulte las actividades del registro de auditoría sin un usuario que haya iniciado sesión.

Permisos de clave de recuperación de BitLocker

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
BitlockerKey.ReadBasic.All Leer información de claves básicas de BitLocker Permite que una aplicación lea las propiedades de la clave de BitLocker para todos los dispositivos del inquilino. No se devuelve la clave de recuperación. No
BitlockerKey.Read.All Leer la clave de BitLocker Permite que una aplicación lea las claves de BitLocker para todos los dispositivos del inquilino. Se devuelve la clave de recuperación. No

Permisos de la aplicación

Ninguno.

Ejemplos de uso

Delegado

  • BitlockerKey.ReadBasic.All: muestra una lista de las claves de recuperación de BitLocker para todos los dispositivos del espacio empresarial sin devolver la propiedad "clave" (GET /bitlocker/recoveryKeys).
  • BitlockerKey.Read.All: obtener una clave de recuperación de BitLocker con la clave de recuperación (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Permisos de Bookings

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Bookings.Read.All Permite a una aplicación leer citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión. Destinado a aplicaciones de solo lectura. Un usuario de destino típico es el cliente de una empresa de reservas. No No
BookingsAppointment.ReadWrite.All Permite a una aplicación leer y escribir citas y clientes de Bookings y, además, permite leer empresas, servicios y personal en nombre del usuario que inició la sesión. Su uso previsto es para aplicaciones de programación que necesitan manipular citas y clientes. No se puede cambiar información básica sobre la empresa de reservas, ni tampoco sus servicios ni miembros del personal. El usuario de destino típico es el cliente de una empresa de reservas. No No
Bookings.ReadWrite.All Permite a una aplicación leer y escribir citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión. No permite crear, eliminar ni publicar empresas de Bookings. Su uso previsto es para aplicaciones de administración que manipulan empresas existentes, sus servicios y miembros del personal. No permite crear, eliminar ni cambiar el estado de publicación de una empresa de reservas. El usuario de destino típico es el personal de soporte técnico de una organización. No No
Bookings.Manage.All Permite a una aplicación leer, escribir y administrar citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión. Permite a la aplicación tener acceso total.
Su uso previsto es ofrecer una experiencia de administración completa. El usuario de destino típico es el administrador de una organización.		 No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Bookings.Read.All Permite a una aplicación leer citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión. Destinado a aplicaciones de solo lectura. Un usuario de destino típico es el cliente de una empresa de reservas. No
BookingsAppointment.ReadWrite.All Permite a una aplicación leer y escribir citas y clientes de Bookings y, además, permite leer empresas, servicios y personal en nombre del usuario que inició la sesión. Su uso previsto es para aplicaciones de programación que necesitan manipular citas y clientes. No se puede cambiar información básica sobre la empresa de reservas, ni tampoco sus servicios ni miembros del personal. El usuario de destino típico es el cliente de una empresa de reservas. No
Bookings.ReadWrite.All Permite a una aplicación leer y escribir citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión. No permite crear, eliminar ni publicar empresas de Bookings. Su uso previsto es para aplicaciones de administración que manipulan empresas existentes, sus servicios y miembros del personal. No permite crear, eliminar ni cambiar el estado de publicación de una empresa de reservas. El usuario de destino típico es el personal de soporte técnico de una organización. No
Bookings.Manage.All Permite a una aplicación leer, escribir y administrar citas, empresas, clientes, servicios y personal de Bookings en nombre del usuario que inició la sesión. Permite a la aplicación tener acceso total.
Su uso previsto es ofrecer una experiencia de administración completa. El usuario de destino típico es el administrador de una organización.		 No

Ejemplos de uso

Delegado

  • Bookings.Read.All: obtiene los id. y los nombres de la colección de empresas de Bookings creados para un espacio empresarial (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All: crea una cita para un servicio en una empresa de Bookings (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All: crea un servicio para la empresa de Bookings especificada (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All: permite que la página de programación de esta empresa esté disponible para clientes externos (POST /bookingBusinesses/{id}/publish).

Permisos de calendarios

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Calendars.Read Leer los calendarios del usuario Permite que la aplicación lea los eventos en los calendarios del usuario. No
Calendars.Read.Shared Leer los calendarios del usuario y los calendarios compartidos Permite que la aplicación lea los eventos en todos los calendarios a los que tiene acceso el usuario, incluidos los calendarios delegados y compartidos. No No
Calendars.ReadWrite Obtener acceso completo a los calendarios del usuario Permite que la aplicación cree, lea, actualice y elimine eventos de los calendarios del usuario. No
Calendars.ReadWrite.Shared Leer y escribir los calendarios del usuario y los calendarios compartidos Permite que la aplicación cree, lea, actualice y elimine eventos en todos los calendarios para los que el usuario tiene permisos de acceso. Esto incluye los calendarios de delegado y los calendarios compartidos. No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Calendars.Read Leer los calendarios de todos los buzones Permite que la aplicación lea los eventos de todos los calendarios sin la necesidad de que un usuario haya iniciado sesión.
Calendars.ReadWrite Leer los calendarios de todos los buzones y escribir en ellos Permite que la aplicación cree, lea, actualice y elimine eventos en todos los calendarios sin la necesidad de que un usuario haya iniciado sesión.

Los administradores importantes pueden configurar la política de acceso a las aplicaciones para limitarle el acceso a las aplicaciones a buzones de correo específicos y no a todos los buzones de correo de la organización, incluso si a la aplicación se le han otorgado los permisos de aplicación de Calendars.Read o Calendars.ReadWrite.

Ejemplos de uso

Delegado

  • Calendars.Read: obtener los eventos del calendario del usuario entre el 23 de abril de 2017 y el 29 de abril de 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: buscar horas de reunión en las que todos los asistentes estén disponibles (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite: agregar un evento al calendario del usuario (POST /me/events).

Aplicación

  • Calendars.Read: buscar eventos en el calendario de una sala de conferencias organizados por bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read: mostrar todos los eventos del calendario de un usuario para el mes de mayo (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00).
  • Calendars.ReadWrite: agregar un evento al calendario de un usuario para una baja aprobada (POST /users/{id | userPrincipalName}/events).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de llamadas

Permisos delegados

Ninguno.


Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Calls.Initiate.All Iniciar llamadas salientes de 1:1 desde la aplicación (versión preliminar) Permite a la aplicación realizar llamadas a un único usuario y transferir las llamadas a usuarios en el directorio de su organización, sin que el usuario haya iniciado sesión en la aplicación.
Calls.InitiateGroupCall.All Iniciar llamadas de grupo salientes desde la aplicación Permite a la aplicación realizar llamadas a varios usuarios y agregar a participantes a las reuniones de su organización, sin que el usuario haya iniciado sesión en la aplicación.
Calls.JoinGroupCall.All Unirse a llamadas y reuniones grupales como aplicación Permite a la aplicación unirse a llamadas de grupo y reuniones programadas de la organización, sin que el usuario haya iniciado sesión en la aplicación. La aplicación se combinará con los privilegios de un usuario del directorio a las reuniones en su espacio empresarial.
Calls.JoinGroupCallasGuest.All Unirse a llamadas y reuniones grupales como invitado Permite a la aplicación unirse a llamadas de grupo y reuniones programadas de la organización de forma anónima, sin que el usuario haya iniciado sesión en la aplicación. La aplicación se unirá como invitado a las reuniones de su espacio empresarial.
Calls.AccessMedia.All* Acceder a los flujos de medios en una llamada como aplicación Permite a la aplicación obtener acceso directo a los flujos de medios en una llamada, sin que el usuario haya iniciado sesión en la aplicación.

*Importante: no se pueden usar las API de comunicaciones en la nube para grabar o conservar de otra manera el contenido multimedia de las llamadas o reuniones a las que tiene acceso la aplicación o los datos derivados de ese contenido multimedia. Asegúrese de que cumple la legislación y la reglamentación de su área respecto a la protección de datos y la confidencialidad de las comunicaciones. Consulte las Condiciones de uso y consulte con su asesor legal para obtener más información.


Ejemplos de uso

Aplicación

  • Calls.Initiate.All: realizar una llamada de punto a punto desde la aplicación a un usuario de la organización (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All: realizar una llamada de grupo desde la aplicación a un grupo de usuarios de la organización (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All: unirse a una llamada de grupo o una reunión en línea desde la aplicación (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All: unirse a una llamada de grupo o reunión en línea desde la aplicación, pero la aplicación solo tiene privilegios de invitado en la reunión (POST /beta/communications/calls).
  • Calls.AccessMedia.All: Al crear o unirse a una llamada, la aplicación obtiene acceso directo a las transmisiones multimedia de los participantes en la llamada(POST /beta/communications/calls).

Nota: Para más ejemplos de solicitudes, vea Crear llamada.

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de registro de llamadas

Permisos delegados

Ninguno.


Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
CallRecords.Read.All Leer todos los registros de llamadas Permita que la aplicación lea los registros de llamadas para todas las llamadas y reuniones en línea sin un usuario que ha iniciado sesión.
CallRecord-PstnCalls.Read.All Leer los datos del registro de llamadas de enrutamiento directo y RTC Permite que la aplicación lea todos los datos del registro de llamadas de enrutamiento directo y RTC sin ningún usuario con sesión iniciada.

Comentarios

El permiso CallRecords.Read.All concede a una aplicación acceso privilegiado a callRecords para todas las llamadas y reuniones en línea de su organización, incluidas las llamadas a y desde números telefónicos externos. Se incluye información confidencial sobre los participantes de las llamadas, así como información técnica sobre las mismas y sobre reuniones que se puede usar para solucionar problemas de red, como direcciones IP, detalles del dispositivo y otra información de red.

El permiso CallRecord-PstnCalls.Read.All concede a una aplicación acceso a RTC (planes de llamadas) y a registros de llamadas de enrutamiento directo. Esto incluye información potencialmente confidencial sobre los usuarios, así como llamadas desde y hacia números de teléfono externos.

Importante: Debe tenerse discreción al conceder este permiso a las aplicaciones. Los registros de llamadas pueden proporcionar información sobre el funcionamiento de su empresa y, por lo tanto, ser un objetivo para actores malintencionados. Solo conceda este permiso a las aplicaciones en las que confía para cumplir con los requisitos de protección de datos.

Importante: Asegúrese de que cumple con la legislación y la reglamentación de su área respecto a la protección de datos y la confidencialidad de las comunicaciones. Consulte las Condiciones de uso y consulte con su asesor legal para obtener más información.


Ejemplos de uso

Aplicación

  • CallRecords. Read. All: recuperar un registro de llamada (GET /v1.0/communications/callRecords/{id}).
  • CallRecords. Read. All: Suscríbase a los nuevos registros de llamadas (POST /v1.0/subscriptions).
  • CallRecords.Read.All: recuperar registros de llamadas de enrutamiento directo en el intervalo de tiempo especificado (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: recuperar registros de llamadas RTC dentro del intervalo de tiempo especificado (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)))

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de canal

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Channel.ReadBasic.All Leer los nombres y descripciones de los canales. Leer nombres de canales y descripciones de canales en nombre del usuario que ha iniciado sesión. No No
Channel.Create Crear canales. Crear canales en cualquier equipo, en nombre del usuario que ha iniciado sesión. No
Channel.Delete.All Eliminar canales. Eliminar canales de cualquier equipo, en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Channel.ReadBasic.All Leer los nombres y descripciones de todos los canales. Leer todos los nombres y las descripciones de canales, sin un usuario que haya iniciado sesión. No
Channel.Create Crear canales. Crear canales en cualquier equipo, sin un usuario que haya iniciado sesión. No
Channel.Delete.All Eliminar canales. Eliminar canales de cualquier equipo, sin un usuario que haya iniciado sesión. No
Teamwork.Migrate.All Administrar la migración a Microsoft Teams Creación y administración de recursos para la migración a Microsoft Teams

Permisos de miembro de canal

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChannelMember.Read.All Lea los miembros de los canales. Lea los miembros de los canales en nombre del usuario que ha iniciado sesión. No
ChannelMember.ReadWrite.All Agregar y quitar miembros de canales. Agregar y quitar miembros de canales, en nombre del usuario con la sesión iniciada. También permite cambiar la función de un miembro, por ejemplo, del propietario al no propietario. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChannelMember.Read.All Lea los miembros de todos los canales. Lea los miembros de todos los canales, sin un usuario que ha iniciado sesión. No
ChannelMember.ReadWrite.All Agregar y quitar miembros de todos los canales. Agregar y quitar miembros de todos los canales, sin un usuario que ha iniciado sesión. También permite cambiar la función de un miembro, por ejemplo, del propietario al no propietario. No

Permisos de mensajes de canal

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChannelMessage.Edit (versión preliminar privada) Editar mensajes de canal de usuario Permite que una aplicación edite mensajes de canales en Microsoft Teams en nombre del usuario que ha iniciado sesión. No
ChannelMessage.Read.All Leer mensajes de canal de usuario Permite que una aplicación lea los mensajes de un canal en Microsoft Teams, en nombre del usuario que ha iniciado sesión. No
ChannelMessage.Send Enviar mensajes de canal Permite que una aplicación envíe mensajes de canal en Microsoft Teams en nombre del usuario que ha iniciado sesión. No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChannelMessage.Read.All Leer todos los mensajes de canal Permite que la aplicación lea todos los mensajes de canal de Microsoft Teams, sin un usuario que haya iniciado sesión. No
ChannelMessage.UpdatePolicyViolation.All Marcar mensajes de canal por infringir una directiva Permite que la aplicación actualice los mensajes de canal de Microsoft Teams al aplicar la revisión de un conjunto de propiedades de infracción de directivas de Prevención de pérdida de datos (DLP) para controlar el resultado del procesamiento de DLP. No

Nota: vea también Group.Read.All.

Permisos de configuración de canal

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChannelSettings.Read.All Leer los nombres, las descripciones y la configuración de canales. Leer y escribir los nombres, las descripciones y la configuración de canales en nombre del usuario que ha iniciado sesión. No
ChannelSettings.ReadWrite.All Leer y escribir los nombres, las descripciones y la configuración de canales. Leer y escribir los nombres, las descripciones y la configuración de todos los canales en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChannelSettings.Read.All Leer los nombres, las descripciones y la configuración de todos los canales. Leer todos los nombres, las descripciones y la configuración de canales, sin que un usuario haya iniciado sesión. No
ChannelSettings.ReadWrite.All Leer y escribir los nombres, las descripciones y la configuración de todos los canales. Leer y escribir los nombres, las descripciones y la configuración de todos los canales, sin que un usuario haya iniciado sesión. No

Permisos de chat

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Chat.Read Leer sus mensajes de chat Permite a una aplicación leer en su nombre los mensajes de sus charlas entre 2 personas o en grupo en Microsoft Teams. No No
Chat.ReadBasic Leer nombres y miembros de hilos de chat de usuarios Permite que una aplicación lea los miembros y descripciones de los hilos de conversaciones de grupo y entre dos personas en nombre del usuario con la sesión iniciada. No No
Chat.ReadWrite Leer mensajes de chat y enviar nuevos Permite a una aplicación leer y enviar en su nombre mensajes de chat entre 2 personas o en grupo en Microsoft Teams. No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Chat.Read.All Leer todos los mensajes de chat Permite leer todos los mensajes de chat entre 2 personas o en grupo en Microsoft Teams, sin que el usuario haya iniciado sesión en la aplicación. No
Chat.ReadBasic.All Leer nombres y miembros de hilos de chat de usuarios Leer nombres y miembros de todos los hilos de chat. No
Chat.UpdatePolicyViolation.All Marcar mensajes de chat por infringir una directiva Permite que la aplicación actualice los mensajes de chats privados o grupales de Microsoft Teams al aplicar la revisión de un conjunto de propiedades de infracción de directivas de Prevención de pérdida de datos (DLP) para controlar el resultado del procesamiento de DLP. No

Nota: para los mensajes de un canal, vea permisos ChannelMessage.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChatSettings.Read.Chat Leer la configuración de este chat. Permite que la aplicación lea la configuración de este chat, sin que un usuario haya iniciado sesión. No No
ChatSettings.ReadWrite.Chat Leer y escribir en la configuración de este chat. Permite que la aplicación lea y escriba en la configuración de este chat, sin que un usuario haya iniciado sesión. No No
ChatMessage.Read.Chat Leer los mensajes de este chat. Permite que la aplicación lea los mensajes de este chat, sin que un usuario haya iniciado sesión. No No
ChatMember.Read.Chat Leer los miembros de este chat. Permite que la aplicación lea los miembros de este chat, sin que un usuario haya iniciado sesión. No No
Chat.Manage.Chat Administrar este chat. Permite que la aplicación administre el chat, los miembros del chat y conceda acceso a los datos del chat, sin que un usuario haya iniciado sesión. No No
TeamsTab.Read.Chat Leer las pestañas de este chat. Permite que la aplicación lea las pestañas de este chat, sin que un usuario haya iniciado sesión. No No
TeamsTab.Create.Chat Crear pestañas en este chat. Permite que la aplicación cree pestañas en este chat, sin que un usuario haya iniciado sesión. No No
TeamsTab.Delete.Chat Eliminar las pestañas de este chat. Permite que la aplicación elimine las pestañas de este chat, sin que un usuario haya iniciado sesión. No No
TeamsTab.ReadWrite.Chat Administrar las pestañas de este chat. Permite que la aplicación administre las pestañas de este chat, sin que un usuario haya iniciado sesión. No No
TeamsAppInstallation.Read.Chat Leer qué aplicaciones están instaladas en este chat. Permite que la aplicación lea las aplicaciones de Teams instaladas en este chat junto con los permisos concedidos a cada aplicación, sin que un usuario haya iniciado sesión. No No
OnlineMeeting.ReadBasic.Chat Lee las propiedades básicas de una reunión asociada a este chat. Permite que la aplicación lea las propiedades básicas (como el nombre, la programación, el organizador y el vínculo para unirse) de una reunión asociada a este chat, sin que un usuario haya iniciado sesión. No No
Calls.AccessMedia.Chat Accede a secuencias multimedia en llamadas asociadas a este chat o reunión. Permite que la aplicación acceda a secuencias multimedia en llamadas asociadas a este chat o reunión sin que un usuario haya iniciado sesión. No No
Calls.JoinGroupCalls.Chat Unirse a llamadas asociadas a este chat o reunión. Permite que la aplicación se una a las llamadas asociadas a este chat o reunión sin que un usuario haya iniciado sesión. No No
TeamsActivity.Send.Chat Enviar notificaciones de fuente de actividad a los usuarios en este chat. Permite que la aplicación cree nuevas notificaciones en las fuentes de actividad de trabajo en equipo de los usuarios de este chat sin que un usuario haya iniciado sesión. No No

Nota

Actualmente, estos permisos solo son compatibles con la versión beta de Microsoft Graph.

Permisos de ChatMessage

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ChatMessage.Send Enviar mensajes de chat de usuario Permite a una aplicación enviar mensajes de chat entre 2 personas o en grupo en Microsoft Teams en nombre del usuario que ha iniciado sesión. No No

Permisos de equipo en la nube

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
CloudPC.Read.All Leer equipos en la nube Permite que la aplicación lea objetos del equipo en la nube, como directivas de aprovisionamiento, en nombre del usuario con la sesión iniciada. No No
CloudPC. ReadWrite. All Leer y escribir en equipos en la nube Permite que la aplicación cree, lea, actualice y elimine objetos del PC en la nube en nombre del usuario tales como conexiones de red de Azure, directivas de aprovisionamiento e imágenes de dispositivo. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
CloudPC.Read.All Leer equipos en la nube Permite que la aplicación lea objetos del equipo en la nube, como directivas de aprovisionamiento, sin el nombre del usuario con la sesión iniciada. No
CloudPC. ReadWrite. All Leer y escribir en equipos en la nube Permite que la aplicación cree, lea, actualice y elimine objetos del PC en la nube tales como conexiones de red de Azure, directivas de aprovisionamiento e imágenes de dispositivo, sin que un usuario haya iniciado sesión. No

Ejemplos de uso

Delegado

  • CloudPC.Read.All: ver las propiedades de todos los equipos en la nube (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: editar la directiva de aprovisionamiento del equipo en la nube (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Aplicación

  • CloudPC.Read.All: ver las propiedades de todos los equipos en la nube (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All: editar la directiva de aprovisionamiento del equipo en la nube (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ConsentRequest.Read.All Leer solicitudes de consentimiento Permite que la aplicación lea las aprobaciones y las solicitudes de consentimiento en nombre del usuario que ha iniciado sesión. No
ConsentRequest.ReadWrite.all Leer y escribir solicitudes de consentimiento Permite que la aplicación lea las aprobaciones y las solicitudes de consentimiento de la aplicación, y las deniegue o apruebe en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
ConsentRequest.Read.All Leer solicitudes de consentimiento Permite que la aplicación lea solicitudes de consentimiento y aprobaciones sin un usuario que haya iniciado sesión.
ConsentRequest.ReadWrite.all Leer y escribir solicitudes de consentimiento Permite que la aplicación lea las solicitudes de consentimiento y aprobaciones de la aplicación, y rechace o apruebe esas solicitudes sin un usuario que haya iniciado sesión.

Permisos de contactos

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Contacts.Read Leer los contactos del usuario Permite que la aplicación lea los contactos del usuario. No
Contacts.Read.Shared Leer los contactos del usuario y los contactos compartidos Permite que la aplicación lea los contactos para los que el usuario tiene permisos de acceso, incluidos los contactos propios y compartidos del usuario. No No
Contacts.ReadWrite Obtener acceso completo a los contactos del usuario Permite que la aplicación cree, lea, actualice y elimine los contactos del usuario. No
Contacts.ReadWrite.Shared Leer y escribir los contactos del usuario y los contactos compartidos Permite que la aplicación cree, lea, actualice y elimine los contactos para los que el usuario tiene permisos, incluidos los contactos propios y compartidos del usuario. No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Contacts.Read Leer los contactos de todos los buzones Permite que la aplicación lea todos los contactos de todos los buzones sin la necesidad de que un usuario haya iniciado sesión.
Contacts.ReadWrite Leer y escribir contactos en todos los buzones Permite que la aplicación cree, lea, actualice y elimine todos los contactos en todos los buzones sin la necesidad de que un usuario haya iniciado sesión.

Los administradores importantes pueden configurar la política de acceso a las aplicaciones para limitarle el acceso a las aplicaciones a buzones de correo específicos y no a todos los buzones de correo de la organización, incluso si a la aplicación se le han otorgado los permisos de aplicación de Contacts.Read o Contacts.ReadWrite.

Ejemplos de uso

Delegado

  • Contacts.Read: leer un contacto de una de las carpetas de nivel superior de contactos del usuario que ha iniciado sesión (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: actualizar la fotografía de contacto de uno de los contactos del usuario que ha iniciado sesión (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: agregar contactos a la carpeta raíz del usuario que ha iniciado sesión (POST /me/contacts).

Aplicación

  • Contacts.Read: leer contactos de una de las carpetas de contactos de nivel superior de cualquier usuario de la organización (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite: actualizar la fotografía de cualquier contacto de cualquier usuario de una organización (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite: agregar contactos a la carpeta raíz de cualquier usuario de la organización (POST /users/{id | userPrincipalName}/contacts).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de atributos de seguridad personalizados

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
CustomSecAttributeAssignment.Read.All Leer asignaciones de atributos de seguridad personalizados Permite que la aplicación lea las asignaciones de atributos de seguridad personalizados para todas las entidades de seguridad del espacio empresarial en nombre de un usuario que ha iniciado sesión. No
CustomSecAttributeAssignment.ReadWrite.All Lee y escribe asignaciones de atributos de seguridad personalizados Permite que la aplicación lea y escriba asignaciones de atributos de seguridad personalizados para todos los entidades de seguridad del espacio empresarial en nombre de un usuario que haya iniciado sesión. No
CustomSecAttributeDefinition.Read.All Leer definiciones de atributos de seguridad personalizados Permite que la aplicación lea las definiciones de atributo de seguridad personalizados para el espacio empresarial en nombre de un usuario que ha iniciado sesión. No
CustomSecAttributeDefinition.ReadWrite.All Lee y escribe definiciones de atributos de seguridad personalizados Permite que la aplicación lea y escriba definiciones de atributo de seguridad personalizados para el espacio empresarial en nombre de un usuario que haya iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
CustomSecAttributeAssignment.Read.All Leer asignaciones de atributos de seguridad personalizados Permite que la aplicación lea asignaciones de atributos de seguridad personalizados para todas las entidades de seguridad del espacio empresarial sin que un usuario haya iniciado sesión.
CustomSecAttributeAssignment.ReadWrite.All Lee y escribe asignaciones de atributos de seguridad personalizados Permite que la aplicación lea y escriba asignaciones de atributos de seguridad personalizados para todas las entidades de seguridad del espacio empresarial sin que un usuario haya iniciado sesión.
CustomSecAttributeDefinition.Read.All Leer definiciones de atributos de seguridad personalizados Permite que la aplicación lea las definiciones de atributo de seguridad personalizados para el espacio empresarial sin que un usuario haya iniciado sesión.
CustomSecAttributeDefinition.ReadWrite.All Lee y escribe definiciones de atributos de seguridad personalizados Permite que la aplicación lea y escriba definiciones de atributo de seguridad personalizados para el espacio empresarial sin que un usuario haya iniciado sesión.

Permisos de privilegios de administrador delegado pormenorizados (GDAP)

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
DelegatedAdminRelationship.Read.All Leer las relaciones de administrador delegado con los clientes Permite que la aplicación lea los detalles de las relaciones de administrador delegado con los clientes, como los detalles de acceso (que incluye roles) y la duración, así como las asignaciones de roles específicas a grupos de seguridad en nombre del usuario que ha iniciado sesión. No
DelegatedAdminRelationship.ReadWrite.All Administrar las relaciones de administrador delegado con los clientes Permite que la aplicación administre en su nombre (cree, actualice y finalice), relaciones de administrador delegado con clientes y asignaciones de roles a grupos de seguridad para las relaciones de administrador delegado activas. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
DelegatedAdminRelationship.Read.All Leer las relaciones de administrador delegado con los clientes Permite que la aplicación lea los detalles de las relaciones de administrador delegado con los clientes, tales como los detalles de acceso (que incluye roles) y la duración, así como las asignaciones de roles específicas a grupos de seguridad sin un usuario que haya iniciado sesión. No
DelegatedAdminRelationship.ReadWrite.All Administrar las relaciones de administrador delegado con los clientes Permite que la aplicación administre relaciones de administrador delegado (crear-actualizar-finalizar) con clientes y asignaciones de roles a grupos de seguridad para relaciones de administrador delegado activas sin que un usuario haya iniciado sesión. No

Permisos de dispositivo

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Device.Read Leer los dispositivos del usuario Permite a la aplicación leer la lista de dispositivos de un usuario en nombre del usuario que inició sesión. No
Device.Read.All Leer todos los dispositivos Permite a la aplicación leer la información de configuración de los dispositivos de la organización en nombre del usuario que ha iniciado sesión.
Device.Command Comunicarse con los dispositivos del usuario Permite a la aplicación iniciar otra aplicación o comunicarse con otra aplicación del dispositivo de un usuario en nombre del usuario que inició sesión. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Device.Read.All Leer todos los dispositivos Permite a la aplicación leer la información de configuración de los dispositivos de la organización, sin que un usuario haya iniciado sesión.
Device.ReadWrite.All Leer y escribir dispositivos Permite que la aplicación lea y escriba todas las propiedades del dispositivo sin la necesidad de que un usuario haya iniciado sesión. No permite la creación de dispositivos, su eliminación o la actualización de identificadores de seguridad alternativos de dispositivos.

Nota

Antes del 3 de diciembre de 2020, cuando se concedía el permiso de aplicación Device.Read.All, el rol de directorio de Administradores del dispositivo también se asignaba a la entidad de servicio de la aplicación. Esta asignación de rol de directorio no se quita automáticamente cuando se revocan los permisos de la aplicación asociada. Para asegurarse de que se elimina el acceso de una aplicación a los dispositivos de lectura y escritura, los clientes también deben quitar los roles de directorio relacionados que se hayan concedido a la aplicación.

Empezó a implementarse una actualización del servicio para deshabilitar este comportamiento el 3 de diciembre de 2020. Se completó la implementación para todos los clientes el 11 de enero de 2021. Los roles de directorio ya no se asignan automáticamente cuando se conceden los permisos de aplicación.

Ejemplos de uso

Aplicación

  • Device.ReadWrite.All: leer todos los dispositivos registrados de la organización (GET /devices).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de directorio

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Directory.Read.All Leer datos del directorio Permite que la aplicación lea los datos del directorio de su organización, como los usuarios, los grupos y las aplicaciones. Nota: Los usuarios pueden dar su consentimiento a las aplicaciones que requieren este permiso si la aplicación está registrada en el espacio empresarial de su propia organización. No
Directory.ReadWrite.All Leer y escribir datos en el directorio Permite que la aplicación lea y escriba los datos del directorio de su organización, como los usuarios y los grupos. No permite que la aplicación elimine usuarios o grupos ni que restablezca contraseñas de usuario. No
Directory.AccessAsUser.All Obtener acceso al directorio como usuario que ha iniciado sesión Permite que la aplicación tenga el mismo acceso a la información del directorio que el usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Directory.Read.All Leer datos del directorio Permite que la aplicación lea los datos del directorio de su organización, como los usuarios, los grupos y las aplicaciones sin iniciar sesión con ningún usuario.
Directory.ReadWrite.All Leer y escribir datos en el directorio Permite que la aplicación lea y escriba los datos del directorio de su organización, como los usuarios y los grupos sin iniciar sesión con ningún usuario. No se permite la eliminación de un usuario o un grupo.

Observaciones

Los permisos de directorio proporcionan el mayor nivel de privilegio para obtener acceso a los recursos del directorio, como el usuario, el grupo y el dispositivo de una organización.

También controlan de manera exclusiva el acceso a otros recursos del directorio, como los contactos de la organización, las API de extensión de esquema y las API de Privileged Identity Management (PIM), así como muchos de los recursos y API indicados en el nodo Azure Active Directory en la documentación de referencia de la API v1.0 y beta. Entre estos se incluyen las unidades administrativas, los roles de directorio, las configuraciones de directorio, las directivas y mucho más.

Nota

Antes del 3 de diciembre de 2020, cuando se concedía el permiso de aplicación Directory.Read.All, también se asignaba el rol de directorio Lectores de directorio a la entidad de servicio de la aplicación. Cuando se concedía Directory.ReadWrite.All, también se asignaba el rol de directorio Escritores de directorios. Estos roles de directorio no se quitan automáticamente cuando se revocan los permisos de la aplicación asociada. Para quitar el acceso de una aplicación a la lectura y escritura del directorio, los clientes también deben quitar los roles de directorio que se hayan concedido a la aplicación.

Empezó a implementarse una actualización del servicio para deshabilitar este comportamiento el 3 de diciembre de 2020. Se completó la implementación para todos los clientes el 11 de enero de 2021. Los roles de directorio ya no se asignan automáticamente cuando se conceden los permisos de aplicación.

El permiso Directory.ReadWrite.All concede los privilegios siguientes:

  • Acceso completo de lectura a todos los recursos del directorio (propiedades declaradas y propiedades de navegación)
  • Crear y actualizar usuarios
  • Deshabilitar y habilitar usuarios (pero no el administrador de la compañía)
  • Establecer un identificador de seguridad alternativo para el usuario (pero no para los administradores)
  • Crear y actualizar grupos
  • Administrar pertenencias de grupo
  • Actualizar el propietario del grupo
  • Administrar asignaciones de licencias
  • Definir extensiones de esquema en aplicaciones
  • Administrar la configuración del directorio
  • Administrar la configuración de flujo de trabajo del consentimiento del administrador (pero sin administrar si se requiere el consentimiento del administrador o quién está autorizado para conceder el consentimiento del administrador)

Nota:

  • No hay permisos para restablecer contraseñas de usuario.
  • La actualización de la propiedad businessPhones, mobilePhone u otherMails de otro usuario solo está permitida en usuarios que no son administradores o que tienen asignados uno de los siguientes roles: lectores de directorio, invitador de usuarios, lector del centro de mensajes y lector de informes. Para obtener más información, consulte administrador de soporte técnico (contraseña) en Roles disponibles de Azure AD. Este es el caso para las aplicaciones que concedieron los permisos User.ReadWrite.All o Directory.ReadWrite.All de aplicación o delegados.
  • No hay permisos para eliminar recursos (incluidos usuarios o grupos)
  • Excluye específicamente la posibilidad de crear o actualizar los recursos que no se han enumerado anteriormente. Esto incluye: aplicación, oAauth2Permissiongrant, appRoleAssignment, dispositivo, servicePrincipal, organización, dominios, etc.

Ejemplos de uso

Delegado

  • Directory.Read.All: enumerar todas las unidades administrativas de una organización (GET /beta/administrativeUnits).
  • Directory.ReadWrite.All: agregar miembros a un rol de directorio (POST /directoryRoles/{id}/members/$ref).

Aplicación

  • Directory.Read.All: enumerar todas las pertenencias de un usuario, incluidos los roles de directorio y las unidades administrativas (GET /beta/users/{id}/memberOf).
  • Directory.Read.All: enumerar todos los miembros del grupo, incluidas las entidades de servicio (GET /beta/groups/{id}/members).
  • Directory.ReadWrite.All: agregar un propietario a un grupo (POST /groups/{id}/owners/$ref).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de dominio

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Domain.Read.All Leer dominios Permite a la aplicación leer todas las propiedades de dominio en nombre del usuario que ha iniciado sesión. No
Domain.ReadWrite.All Leer y escribir dominios Permite que la aplicación lea y escriba todas las propiedades de dominio en nombre del usuario que ha iniciado sesión. También permite que la aplicación agregue, compruebe y quite dominios. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Domain.Read.All Leer dominios Permite a la aplicación leer todas las propiedades de dominio sin que un usuario haya iniciado sesión.
Domain.ReadWrite.All Leer y escribir dominios Permite a la aplicación leer y escribir dominios sin necesidad de que el usuario haya iniciado sesión.

Permisos de eDiscovery

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
eDiscovery.Read.All Leer los datos de casos de eDiscovery de usuarios Permite que la aplicación lea objetos de eDiscovery como casos, tutores, revisar conjuntos y otros objetos relacionados en nombre del usuario que haya iniciado sesión. No
eDiscovery.ReadWrite.All Leer y escribir datos de casos de eDiscovery de documentos electrónicos Permite que la aplicación lea y escriba objetos de eDiscovery tales como casos, tutores, revisar conjuntos y otros objetos relacionados en nombre del usuario que haya iniciado sesión. No

Permisos de la aplicación

Ninguno

Ejemplos de uso

Delegado

  • eDiscovery.read.All: obtener una lista de casos disponibles para el usuario (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: crear una consulta de conjunto de revisión en un conjunto de revisión (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos para el ámbito educativo

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
EduAdministration.Read Leer configuración de aplicación educativa Permite a la aplicación leer la configuración de la aplicación educativa en nombre del usuario. No
EduAdministration.ReadWrite Administrar configuración de aplicación educativa Permite a la aplicación administrar la configuración de la aplicación educativa en nombre del usuario. No
EduAssignments.ReadBasic Leer las tareas de clase de los usuarios sin calificaciones Permite a la aplicación leer las tareas sin calificaciones en nombre del usuario No
EduAssignments.ReadWriteBasic Leer y escribir las tareas de clase de los usuarios sin calificaciones Permite a la aplicación leer y escribir las tareas sin calificaciones en nombre del usuario No
EduAssignments.Read Leer la vista de los usuarios de las tareas de clase y sus calificaciones Permite a la aplicación leer las tareas y sus calificaciones en nombre del usuario No
EduAssignments.ReadWrite Leer y escribir la vista de los usuarios de las tareas de clase y sus calificaciones Permite a la aplicación leer y escribir las tareas y sus calificaciones en nombre del usuario No
EduRoster.ReadBasic Leer un subconjunto limitado de la vista de los usuarios de la lista Permite que la aplicación lea un subconjunto limitado de las propiedades de la estructura de escuelas y clases en una lista de organización, y un subconjunto limitado de propiedades sobre los usuarios que se leerán en nombre del usuario. Se incluye el nombre, el estado, el papel educativo, la dirección de correo electrónico y la foto. No
EduRoster.Read Leer la vista de los usuarios de la lista Permite que la aplicación lea la estructura de escuelas y clases en una lista de organización, y la información específica de educación sobre los usuarios que se leerá en nombre del usuario.
EduRoster.ReadWrite Leer y escribir la vista de los usuarios de la lista Permite que la aplicación lea y escriba la estructura de escuelas y clases en una lista de organización, y la información específica de educación sobre los usuarios que se leerá y escribirá en nombre del usuario.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
EduAdministration.Read.All Leer la configuración de la aplicación Education Lea el estado y la configuración de todas las aplicaciones de Microsoft Education en nombre del usuario
EduAdministration.ReadWrite.All Administrar la configuración de la aplicación Education Administre el estado y la configuración de todas las aplicaciones de Microsoft Education en nombre del usuario
EduAssignments.ReadBasic.All Leer las tareas de clase sin calificaciones Permite a la aplicación leer las tareas sin calificaciones para todos los usuarios
EduAssignments.ReadWriteBasic.All Leer y escribir las tareas de clase sin calificaciones Permite a la aplicación leer y escribir las tareas sin calificaciones para todos los usuarios
EduAssignments.Read.All Leer las tareas de clase con calificaciones Permite a la aplicación leer las tareas y sus calificaciones para todos los usuarios
EduAssignments.ReadWrite.All Leer y escribir las tareas de clase con calificaciones Permite a la aplicación leer y escribir las tareas y sus calificaciones para todos los usuarios
EduRoster.ReadBasic.All Leer un subconjunto limitado de la lista de la organización. Permite a la aplicación leer un subconjunto limitado de los datos de la estructura de escuelas y de clases en una lista de organización, y leer la información específica de educación sobre los usuarios.
EduRoster.Read.All Lea la lista de la organización. Permite a la aplicación leer la estructura de escuelas y de clases en una lista de organización, y leer la información específica de educación sobre los usuarios.
EduRoster.ReadWrite.All Leer y escribir la lista de la organización. Permite a la aplicación leer y escribir la estructura de escuelas y de clases en una lista de organización, y leer y escribir la información específica de educación sobre los usuarios.

Ejemplos de uso

Delegado

  • EduAssignments.Read: Obtener información de las tareas del alumno que haya iniciado sesión (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: Enviar la tarea del alumno que haya iniciado sesión (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: Clases a las que asiste o en las que enseña un alumno que haya iniciado sesión (GET /education/classes/{id}/members)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de aprendizaje de los empleados

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
LearningContent.Read.All Leer el contenido de aprendizaje Permite que la aplicación lea contenido de aprendizaje en el directorio de la organización, en nombre del usuario que ha iniciado sesión. No
LearningContent.ReadWrite.All Administrar el contenido de aprendizaje Permite que la aplicación administre todo el contenido de aprendizaje en el directorio de la organización, en nombre del usuario que ha iniciado sesión. No
LearningProvider.Read Leer proveedor de aprendizaje Permite que la aplicación lea los datos del proveedor de aprendizaje en el directorio de la organización, en nombre del usuario que ha iniciado sesión. No
LearningProvider.ReadWrite Administrar el proveedor de aprendizaje Permite a la aplicación crear, actualizar, leer y eliminar datos para el proveedor de aprendizaje en el directorio de la organización, en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
LearningContent.Read.All Leer el contenido de aprendizaje Permite que la aplicación lea todo el contenido de aprendizaje en el directorio de la organización, sin que un usuario haya iniciado sesión. No
LearningContent.ReadWrite.All Administrar el contenido de aprendizaje Permite que la aplicación administre todo el contenido de aprendizaje en el directorio de la organización, sin que un usuario haya iniciado sesión. No

Permisos de administración de derechos

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
EntitlementManagement.ReadWrite.All Leer y escribir recursos de administración de derechos Permite que la aplicación solicite acceso para leer y administrar paquetes de acceso y recursos de administración de derechos asociados en nombre del usuario que ha iniciado sesión.
EntitlementManagement.Read.All Leer todos los recursos de administración de privilegios Permite que la aplicación solicite acceso para leer paquetes de acceso y recursos de administración de derechos asociados en nombre del usuario que ha iniciado sesión.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
EntitlementManagement.ReadWrite.All Leer y escribir recursos de administración de derechos Permite que la aplicación lea y administre paquetes de acceso y recursos de administración de derechos asociados.
EntitlementManagement.Read.All Leer todos los recursos de administración de privilegios Permite que la aplicación lea paquetes de acceso y recursos de administración de derechos asociados.

Permisos de archivos

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Files.Read Leer archivos de usuario Permite a la aplicación leer los archivos del usuario que inició la sesión. No
Files.Read.All Leer todos los archivos a los que el usuario puede tener acceso Permite que la aplicación lea todos archivos a los que puede tener acceso el usuario que ha iniciado sesión. No
Files.ReadWrite Obtener acceso total a los archivos de usuario Permite a la aplicación leer, crear, actualizar y eliminar los archivos del usuario que inició la sesión. No
Files.ReadWrite.All Obtener acceso total a todos los archivos a los que puede tener acceso el usuario Permite que la aplicación lea, cree, actualice y elimine todos los archivos a los que puede obtener acceso el usuario que inició la sesión. No
Files.ReadWrite.AppFolder Obtener acceso total a la carpeta de la aplicación (versión preliminar) (Versión preliminar) Permite que la aplicación lea, cree, actualice y elimine archivos de la carpeta de la aplicación. No
Files.Read.Selected Leer los archivos que el usuario selecciona Compatibilidad limitada en Microsoft Graph (vea los comentarios)
(Versión preliminar) Permite que la aplicación lea los archivos que el usuario selecciona. La aplicación puede obtener acceso a un archivo durante varias horas después de que el usuario lo haya seleccionado.		 No No
Files.ReadWrite.Selected Leer los archivos que el usuario selecciona y escribir en ellos Compatibilidad limitada en Microsoft Graph (vea los comentarios)
(Versión preliminar) Permite que la aplicación lea y escriba archivos que el usuario selecciona. La aplicación puede obtener acceso a un archivo durante varias horas después de que el usuario lo haya seleccionado.		 No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Files.Read.All Leer archivos en todas las colecciones de sitios Permite que la aplicación lea todos los archivos de todas las colecciones de sitios sin la necesidad de que un usuario haya iniciado sesión.
Files.ReadWrite.All Leer y escribir archivos en todas las colecciones de sitios Permite que la aplicación lea, cree, actualice y elimine todos los archivos de todas las colecciones de sitios sin la necesidad de que un usuario haya iniciado sesión.

Observaciones

Nota: Para las cuentas personales, Files.Read y Files.ReadWrite también conceden acceso a archivos compartidos con el usuario que inició la sesión.

Los permisos delegados Files.Read.Selected y Files.ReadWrite.Selected solo son válidos en cuentas profesionales o educativas, y solo se exponen para trabajar con controladores de archivos de Office 365 (v1.0). No tienen que usarse para llamar directamente a las API de Microsoft Graph.

El permiso delegado Files.ReadWrite.AppFolder solo es válido para cuentas personales y se usa para obtener acceso a la carpeta especial del directorio raíz de la aplicación con la API de Microsoft Graph Obtener carpeta especial de OneDrive.

Ejemplos de uso

Delegado

  • Files.Read: leer archivos almacenados en el OneDrive del usuario que ha iniciado sesión (GET /me/drive/root/children).
  • Files.Read.All: leer archivos compartidos con el usuario que ha iniciado sesión (GET /me/drive/root/sharedWithMe).
  • Files.ReadWrite: escribir un archivo en el OneDrive del usuario que ha iniciado sesión (PUT /me/drive/root/children/filename.txt/content).
  • Files.ReadWrite.All: escribir un archivo compartido con el usuario (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content).
  • Files.ReadWrite.AppFolder: escribir archivos en la carpeta de la aplicación en OneDrive (PUT /me/drive/special/approot/children/file.txt/content).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de finanzas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Financials.ReadWrite.All Lee y escribe datos financieros Permite a la aplicación leer y escribir datos financieros en nombre del usuario que inició sesión. No

Permisos de grupo

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Group.Read.All Leer todos los grupos Permite que la aplicación enumere grupos y lea sus propiedades y todas las pertenencias a los grupos en nombre del usuario que ha iniciado sesión. También permite que la aplicación lea el calendario, las conversaciones, los archivos y otro contenido del grupo de todos los grupos en los que el usuario que ha iniciado sesión tiene acceso. No
Group.ReadWrite.All Leer y escribir en todos los grupos Permite que la aplicación cree grupos y lea todas las propiedades de los grupos y las pertenencias en nombre del usuario que ha iniciado sesión. También permite que la aplicación lea y escriba en el calendario, las conversaciones, los archivos y otro contenido del grupo de todos los grupos a los que el usuario que ha iniciado sesión tiene acceso. Además, permite a los propietarios del grupo que administren sus grupos y permite a los miembros del grupo que actualicen su contenido del grupo. No
GroupMember.Read.All Leer las pertenencias a grupos Permite que la aplicación enumere grupos, lea las propiedades básicas del grupo y lea la pertenencia de todos los grupos a los que tiene acceso el usuario ha iniciado sesión. No
GroupMember.ReadWrite.All Leer y escribir las pertenencias a grupos Permite que la aplicación enumere grupos, lea propiedades básicas, lea y actualice la pertenencia a los grupos a los que tiene acceso el usuario que ha iniciado sesión. Las propiedades y los propietarios de los grupos no se pueden actualizar y los grupos no se pueden eliminar. No
UnifiedGroupMember.Read.AsGuest Leer membresías de grupos unificados (Microsoft 365) como usuario invitado Permite a la aplicación leer las propiedades básicas del grupo unificado, las afiliaciones y los propietarios del grupo al que pertenece el invitado que ha iniciado la sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Group.Read.All Leer todos los grupos Permite que la aplicación lea las propiedades y pertenencias a grupos, así como las conversaciones de todos los grupos, sin que un usuario haya iniciado sesión.
Group.ReadWrite.All Leer y escribir en todos los grupos Permite que la aplicación cree grupos, lea todas las propiedades de los grupos y suscripciones, actualice las propiedades de grupo y los miembros y elimine grupos. También permite que la aplicación lea y escriba conversaciones. La aplicación puede realizar todas esas operaciones sin que un usuario haya iniciado sesión.
Group.Selected Acceso a los grupos seleccionados Nota: este permiso está en el portal de Azure asociado a una característica no disponible para el uso general. No lo use puesto que está sujeto a cambios.
GroupMember.Read.All Leer las pertenencias a grupos Permite que la aplicación lea pertenencias y propiedades de grupo básicas para todos los grupos sin un usuario que haya iniciado sesión.
GroupMember.ReadWrite.All Leer y escribir las pertenencias a grupos Permite que la aplicación enumere los grupos, lea las propiedades básicas, lea y actualice la membresía de los grupos sin un usuario registrado. Las propiedades y los propietarios de los grupos no se pueden actualizar y los grupos no se pueden eliminar.
Group.Create Crear grupos Permite a la aplicación de llamadas crear grupos sin un usuario que haya iniciado sesión. No permite la lectura, actualización o eliminación de grupos.

Comentarios

No se admite la funcionalidad de grupo en cuentas personales de Microsoft.

En el caso de los Grupos de Microsoft 365, los permisos de Grupo conceden a la aplicación acceso al contenido del grupo, como conversaciones, archivos, notas, etc.

En el caso de los permisos de la aplicación, se admiten algunas limitaciones para las API. Para obtener más información, vea los problemas conocidos.

En algunos casos, una aplicación podría necesitar permisos de directorio para leer algunas propiedades de grupo, como member y memberOf. Por ejemplo, si un grupo tiene una o más entidades de servicio servicePrincipals como miembros, la aplicación necesitará permisos efectivos para leer las entidades de servicio mediante la concesión de uno de los permisos Directory.*. De lo contrario, Microsoft Graph devolverá un error. (En el caso de los permisos delegados, el usuario que ha iniciado sesión también deberá tener privilegios suficientes en la organización para leer entidades de servicio). Lo mismo se aplica a la propiedad memberOf, que puede devolver administrativeUnits.

Para establecer el atributo preferredDataLocation de un grupo de Microsoft 365, una aplicación necesita el permiso Directory.ReadWrite.All. Cuando los usuarios en un entorno multigeográfico crean un grupo de Microsoft 365, el valor de preferredDataLocation del grupo se establece automáticamente según el del usuario. Para más información sobre la ubicación de los datos preferida de los grupos, consulte Crear un grupo de Microsoft 365 con un PDL específico.

Los permisos del grupo se usan para controlar el acceso a los recursos y las API de Microsoft Teams. Las cuentas personales de Microsoft no son compatibles.

Los permisos de grupo también se usan para controlar el acceso a los recursos y las API de Microsoft Planner. Solo se admiten los permisos delegados para las API de Microsoft Planner; no se admiten los permisos de aplicación. No se admiten las cuentas personales de Microsoft.

Ejemplos de uso

Delegated

  • Group.Read.All: leer todos los grupos de Microsoft 365 de los que es miembro el usuario que ha iniciado sesión (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All: leer todo el contenido del grupo de Microsoft 365 como conversaciones (GET /groups/{id}/conversations).
  • Group.ReadWrite.All: actualizar propiedades del grupo, como la fotografía (PUT /groups/{id}/photo/$value).
  • GroupMember.ReadWrite.All: actualizar miembros del grupo (POST /groups/{id}/members/$ref).

Nota:: Esto también requiere User.ReadBasic.All para leer el usuario que se va a agregar como miembro.

Aplicación

  • Group.Read.All: buscar todos los grupos cuyo nombre empieza por "Sales" (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All: el servicio de demonio crea eventos en el calendario de un grupo de Microsoft 365 (POST /groups/{id}/events).
  • Group.Create: crea un grupo nuevo (POST /groups).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos del proveedor de identidades

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
IdentityProvider.Read.All Leer la información del proveedor de identidades Permite que la aplicación lea los proveedores de identidades configurados en el inquilino de Azure AD o Azure AD B2C en nombre del usuario que ha iniciado sesión. No
IdentityProvider.ReadWrite.All Leer y escribir información del proveedor de identidades Permite que la aplicación lea o escriba los proveedores de identidades configurados en el inquilino de Azure AD o Azure AD B2C en nombre del usuario que ha iniciado sesión. No

Observaciones

IdentityProvider.Read.All y IdentityProvider.ReadWrite.All solo son válidos para cuentas profesionales o educativas. Para que una aplicación lea o escriba proveedores de identidades con permisos delegados, el usuario que ha iniciado sesión debe tener asignado el rol de administrador global. Para más información sobre los roles de administrador, consulte Asignación de roles de administrador en Azure Active Directory.

Ejemplos de uso

Delegado

Los siguientes usos son válidos para los permisos delegados:

  • IdentityProvider.Read.All: leer todos los proveedores de identidades configurados en el inquilino (GET /beta/identityProviders).
  • IdentityProvider.Read.All: leer un proveedor de identidades existente (GET /beta/identityProviders/{id}).
  • IdentityProvider.ReadWrite.All: crear un proveedor de identidades (POST /beta/identityProviders).
  • IdentityProvider.ReadWrite.All: actualizar un proveedor de identidades existente (PATCH /beta/identityProviders/{id}).
  • IdentityProvider.ReadWrite.All: eliminar un proveedor de identidades existente (DELETE /beta/identityProviders/{id}).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de riesgo de protección de identidades

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
IdentityRiskEvent.Read.All Leer información de eventos de riesgo de identidad Permite que la aplicación lea información de eventos de riesgo de identidad para todos los usuarios de la organización de parte del usuario que ha iniciado sesión. No
IdentityRiskyUser.Read.All Lee la información de riesgo de usuario de identidad Permite a la aplicación leer información de riesgo de usuario de identidad para todos los usuarios de la organización de parte del usuario que ha iniciado sesión. No
IdentityRiskyUser.ReadWrite.All Lea y actualice la información de riesgo de usuarios de identidad Permite a la aplicación leer y actualizar información de riesgo de usuario de identidad para todos los usuarios de la organización de parte del usuario que ha iniciado sesión. No
IdentityRiskyServicePrincipal.Read.All Leer toda la información de la entidad de servicio de riesgo Permite que la aplicación lea toda la información de entidad de servicio de riesgo de la organización, en nombre del usuario que ha iniciado sesión. No
IdentityRiskyServicePrincipal.ReadWrite.All Leer y escribir toda la información de la entidad de servicio de riesgo Permite que la aplicación lea y actualice la información de entidad de servicio de riesgo para todas las entidades de servicio de su organización, en nombre del usuario que ha iniciado sesión. Las operaciones de actualización incluyen descartar entidades de servicio de riesgo. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
IdentityRiskEvent.Read.All Leer información de eventos de riesgo de identidad Permite que la aplicación lea información de eventos de riesgo de identidad para todos los usuarios de la organización sin que un usuario haya iniciado sesión.
IdentityRiskyUser.Read.All Lee la información de riesgo de usuario de identidad Permite que la aplicación lea información de riesgo de usuario de identidad para todos los usuarios de la organización sin que un usuario haya iniciado sesión.
IdentityRiskyUser.ReadWrite.All Lea y actualice la información de riesgo de usuarios de identidad Permite que la aplicación lea y actualice información de riesgo de usuario de identidad para todos los usuarios de la organización sin que un usuario haya iniciado sesión.
IdentityRiskyServicePrincipal.Read.All Leer toda la información de la entidad de servicio de riesgo Permite que la aplicación lea toda la información de entidad de servicio de riesgo de la organización, sin que un usuario haya iniciado sesión.
IdentityRiskyServicePrincipal.ReadWrite.All Leer y escribir toda la información de la entidad de servicio de riesgo Permite que la aplicación lea y actualice la entidad de servicio de riesgo para la organización, sin que un usuario haya iniciado sesión.

Todos los permisos de riesgo de identidad son válidos solo para cuentas de trabajo o educativas. Para que una aplicación con permisos delegados pueda leer información de riesgo de identidad, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador de Azure AD: Administrador global, Administrador de seguridad o Lector de seguridad.

Ejemplos de uso

Los siguientes usos son válidos para los permisos delegados y de la aplicación:

Leer eventos de riesgo

  • Leer todos los eventos de riesgo generados para todos los usuarios del inquilino (GET /identityProtection/riskDetections).
  • Leer los 50 eventos de riesgo más recientes (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50).

Leer usuarios de riesgo

  • Leer todos los usuarios y propiedades de riesgo del espacio empresarial (GET /identityProtection/riskyUsers)
  • Leer todos los usuarios de riesgo cuyo nivel de riesgo agregado es medio (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
  • Leer la información de riesgo de un usuario específico (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

Leer entidades de servicio de riesgo

  • Leer todas las entidades de servicio de riesgo y las propiedades del inquilino (GET /identityProtection/riskyServicePrincipals)
  • Leer todas las entidades de servicio de riesgo cuyo nivel de riesgo agregado es Medio (GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium')
  • Leer la información de riesgo de una entidad de servicio específica (GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}')

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de flujo de usuarios de identidad

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
IdentityUserFlow.Read.All Leer todos los flujos de usuarios de identidad en un espacio empresarial Permite que la aplicación lea los flujos de usuario de la organización. No
IdentityUserFlow.ReadWrite.All Leer y escribir todos los flujos de usuarios de identidad en un espacio empresarial. Permite que la aplicación lea o escriba los flujos de usuario de la organización. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
IdentityUserFlow.Read.All Leer todos los flujos de usuarios de identidad en un espacio empresarial Permite que la aplicación lea los flujos de usuario de la organización. No
IdentityUserFlow.ReadWrite.All Leer y escribir todos los flujos de usuarios de identidad en un espacio empresarial. Permite que la aplicación lea o escriba los flujos de usuario de la organización. No

Comentarios

IdentityUserFlow.Read.All y IdentityUserFlow.ReadWrite.ALL solo es válido para cuentas profesionales o educativas.

Para que una aplicación con permisos delegados pueda leer flujos de usuario, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de flujos de usuario de identidades externas o Lector global. Para que una aplicación con permisos delegados pueda leer flujos de usuario, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador de flujos de usuario de identidades externas.

Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.

Ejemplos de uso

Permisos delegados y de la aplicación

Los siguientes usos son válidos para los permisos delegados y de la aplicación:

  • IdentityUserFlow.Read.All: Leer todos los flujos de usuario en un espacio empresarial de Azure AD B2C (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: leer todos los flujos de usuario en un espacio empresarial de Azure Active Directory (Azure AD) (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All: leer todas las asignaciones de atributos de usuario en un flujo de usuario de Azure AD B2C (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments).
  • IdentityUserFlow.ReadWrite.All: crear un nuevo flujo de usuario en un espacio empresarial de Azure AD B2C (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: Crear un nuevo flujo de usuario en un espacio empresarial de Azure Active Directory (Azure AD) (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: Agregar un proveedor de identidades a un flujo de usuario de Azure AD B2C (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentityUserFlow.ReadWrite.All: quitar un proveedor de identidades de un flujo de usuario de Azure AD B2C (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: crear una asignación de atributo de usuario en un flujo de usuario de Azure AD B2C (POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de directiva de protección de la información

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
InformationProtectionPolicy.Read Leer etiquetas de confidencialidad de usuario y directivas de etiqueta. Permite que una aplicación lea las etiquetas de confidencialidad de protección de la información y la configuración de la directiva de etiquetas en nombre del usuario con la sesión iniciada. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
InformationProtectionPolicy.Read.All Lea todas las etiquetas publicadas y las directivas de etiqueta de una organización. Permite que una aplicación lea las opciones de configuración de directiva de etiquetas y las etiquetas de confidencialidad publicadas para toda la organización o un usuario específico, sin que un usuario haya iniciado sesión.

Permisos de la administración de dispositivos de Intune

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
DeviceManagementApps.Read.All Leer aplicaciones de Microsoft Intune Permite que la aplicación lea las propiedades, asignaciones de grupos y estados de aplicaciones, configuraciones de aplicaciones y directivas de protección de aplicaciones administradas por Microsoft Intune. No
DeviceManagementApps.ReadWrite.All Leer y escribir aplicaciones de Microsoft Intune Permite que la aplicación lea y escriba las propiedades, asignaciones de grupos y estados de aplicaciones, configuraciones de aplicaciones y directivas de protección de aplicaciones administradas por Microsoft Intune. No
DeviceManagementConfiguration.Read.All Leer las directivas y configuración de dispositivo de Microsoft Intune Permite que la aplicación lea las propiedades de una configuración de dispositivo administrada por Microsoft Intune y las directivas de cumplimiento de dispositivos y su asignación a grupos. No
DeviceManagementConfiguration.ReadWrite.All Leer y escribir las directivas y configuración de dispositivo de Microsoft Intune Permite que la aplicación lea y escriba las propiedades de una configuración de dispositivo administrada por Microsoft Intune y las directivas de cumplimiento de dispositivos y su asignación a grupos. No
DeviceManagementManagedDevices.PrivilegedOperations.All Realizar acciones remotas que repercutan en el usuario en dispositivos de Microsoft Intune Permite que la aplicación realice acciones de alto impacto remotas como la eliminación remota de datos del dispositivo o restablecer la contraseña en dispositivos administrados por Microsoft Intune. No
DeviceManagementManagedDevices.Read.All Leer dispositivos de Microsoft Intune Permite que la aplicación lea las propiedades de dispositivos administrados por Microsoft Intune. No
DeviceManagementManagedDevices.ReadWrite.All Leer y escribir dispositivos de Microsoft Intune Permite que la aplicación lea y escriba las propiedades de dispositivos administrados por Microsoft Intune. No permite operaciones de alto impacto como la eliminación remota y el restablecimiento de contraseña del propietario del dispositivo. No
DeviceManagementRBAC.Read.All Leer la configuración de RBAC de Microsoft Intune Permite que la aplicación lea las propiedades relacionadas con la configuración del control de acceso basado en roles (RBAC) de Microsoft Intune. No
DeviceManagementRBAC.ReadWrite.All Leer y escribir la configuración de RBAC de Microsoft Intune Permite que la aplicación lea y escriba las propiedades relacionadas con la configuración del control de acceso basado en roles (RBAC) de Microsoft Intune. No
DeviceManagementServiceConfig.Read.All Leer la configuración de Microsoft Intune Permite que la aplicación lea las propiedades de servicio de Intune, incluidas la inscripción del dispositivo y la configuración de conexión del servicio de terceros. No
DeviceManagementServiceConfig.ReadWrite.All Leer y escribir la configuración de Microsoft Intune Permite que la aplicación lea y escriba las propiedades de servicio de Microsoft Intune, incluidas la inscripción del dispositivo y la configuración de conexión del servicio de terceros. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
DeviceManagementApps.Read.All Leer aplicaciones de Microsoft Intune Permite que la aplicación lea las propiedades, asignaciones de grupos y estados de aplicaciones, configuraciones de aplicaciones y directivas de protección de aplicaciones administradas por Microsoft Intune. No
DeviceManagementApps.ReadWrite.All Leer y escribir aplicaciones de Microsoft Intune Permite que la aplicación lea y escriba las propiedades, asignaciones de grupos y estados de aplicaciones, configuraciones de aplicaciones y directivas de protección de aplicaciones administradas por Microsoft Intune. No
DeviceManagementConfiguration.Read.All Leer las directivas y configuración de dispositivo de Microsoft Intune Permite que la aplicación lea las propiedades de una configuración de dispositivo administrada por Microsoft Intune y las directivas de cumplimiento de dispositivos y su asignación a grupos. No
DeviceManagementConfiguration.ReadWrite.All Leer y escribir las directivas y configuración de dispositivo de Microsoft Intune Permite que la aplicación lea y escriba las propiedades de una configuración de dispositivo administrada por Microsoft Intune y las directivas de cumplimiento de dispositivos y su asignación a grupos. No
DeviceManagementManagedDevices.PrivilegedOperations.All Realizar acciones remotas que repercutan en el usuario en dispositivos de Microsoft Intune Permite que la aplicación realice acciones de alto impacto remotas como la eliminación remota de datos del dispositivo o restablecer la contraseña en dispositivos administrados por Microsoft Intune. No
DeviceManagementManagedDevices.Read.All Leer dispositivos de Microsoft Intune Permite que la aplicación lea las propiedades de dispositivos administrados por Microsoft Intune. No
DeviceManagementManagedDevices.ReadWrite.All Leer y escribir dispositivos de Microsoft Intune Permite que la aplicación lea y escriba las propiedades de dispositivos administrados por Microsoft Intune. No permite operaciones de alto impacto como la eliminación remota y el restablecimiento de contraseña del propietario del dispositivo. No
DeviceManagementRBAC.Read.All Leer la configuración de RBAC de Microsoft Intune Permite que la aplicación lea las propiedades relacionadas con la configuración del control de acceso basado en roles (RBAC) de Microsoft Intune. No
DeviceManagementRBAC.ReadWrite.All Leer y escribir la configuración de RBAC de Microsoft Intune Permite que la aplicación lea y escriba las propiedades relacionadas con la configuración del control de acceso basado en roles (RBAC) de Microsoft Intune. No
DeviceManagementServiceConfig.Read.All Leer la configuración de Microsoft Intune Permite que la aplicación lea las propiedades de servicio de Intune, incluidas la inscripción del dispositivo y la configuración de conexión del servicio de terceros. No
DeviceManagementServiceConfig.ReadWrite.All Leer y escribir la configuración de Microsoft Intune Permite que la aplicación lea y escriba las propiedades de servicio de Microsoft Intune, incluidas la inscripción del dispositivo y la configuración de conexión del servicio de terceros. No

Comentarios

Nota: El uso de las API de Microsoft Graph para configurar las directivas y los controles de Intune requiere que el cliente tenga la licencia correcta para el servicio Intune.

Estos permisos solo son válidos para las cuentas profesionales o educativas.

Ejemplos de uso

Delegado

  • DeviceManagementServiceConfiguration.Read.All: Comprobar el estado actual de la suscripción de Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: crear términos y condiciones (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: encontrar el estado de una configuración de dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: asignar una directiva de cumplimiento de dispositivos a un grupo (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: buscar todas las aplicaciones de la Tienda Windows publicadas en Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: publicar una aplicación nueva (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: buscar una asignación de roles por nombre (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: crear un rol personalizado (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: buscar un dispositivo administrado por nombre (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: eliminar un dispositivo administrado (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: restablecer el código de acceso del dispositivo administrado de un usuario (POST /managedDevices/{id}/resetPasscode).

Aplicación

  • DeviceManagementServiceConfiguration.Read.All: comprobar el estado actual de la suscripción de Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All: crear términos y condiciones (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All: encontrar el estado de una configuración de dispositivo (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All: asignar una directiva de cumplimiento de dispositivos a un grupo (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All: buscar todas las aplicaciones de la Tienda Windows publicadas en Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All: publicar una aplicación nueva (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All: buscar una asignación de roles por nombre (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All: crear un rol personalizado (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All: buscar un dispositivo administrado por nombre (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All: eliminar un dispositivo administrado (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All: restablecer el código de acceso del dispositivo administrado de un usuario (POST /managedDevices/{id}/resetPasscode).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de correo

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Mail.Read Leer el correo del usuario Permite que la aplicación lea el correo electrónico de los buzones del usuario. No
Mail.ReadBasic Leer el correo básico de usuario Permite que la aplicación lea el correo electrónico en el buzón del usuario que inició sesión, excepto en cuerpo, bodyPreview, uniqueBody, datos adjuntos, extensiones y todas las propiedades extendidas. No incluye los permisos para buscar mensajes. No No
Mail.ReadWrite Acceso al correo del usuario para la lectura y la escritura Permite que la aplicación cree, lea, actualice y elimine correos electrónicos en los buzones del usuario. No incluye el permiso para enviar correos. No
Mail.Read.Shared Leer el correo del usuario y el correo compartido Permite que la aplicación lea el correo al que tiene acceso el usuario, incluido el correo propio y el compartido del usuario. No No
Mail.ReadWrite.Shared Leer y escribir el correo del usuario y el correo compartido Permite que la aplicación cree, lea, actualice y elimine el correo para el que el usuario tiene permiso de acceso, incluido el correo propio y compartido del usuario. No incluye el permiso para enviar correos. No No
Mail.Send Enviar correo como usuario Permite que la aplicación envíe correos como si fueran usuarios de la organización. No
Mail.Send.Shared Enviar correo en nombre de otros Permite que la aplicación envíe correos como el usuario que ha iniciado sesión, incluidos envíos de parte de terceros. No No
MailboxSettings.Read Leer la configuración del buzón del usuario Permite que la aplicación lea la configuración del buzón del usuario. No incluye el permiso para enviar correos. No
MailboxSettings.ReadWrite Leer y escribir la configuración del buzón del usuario Permite que la aplicación cree, lea, actualice y elimine la configuración del buzón del usuario. No se incluye el permiso para enviar correo directamente, pero permite a la aplicación crear reglas que pueden reenviar o redirigir mensajes. No
IMAP.AccessAsUser.All Acceso al correo del usuario para la lectura y la escritura a través de IMAP. Permite que la aplicación cree, lea, actualice y elimine correos electrónicos en los buzones del usuario. No incluye el permiso para enviar correos. No
POP.AccessAsUser.All Acceso al correo del usuario para la lectura y la escritura a través de POP. Permite que la aplicación cree, lea, actualice y elimine correos electrónicos en los buzones del usuario. No incluye el permiso para enviar correos. No
SMTP.Send Enviar correo como usuario mediante autenticación SMTP Permite que la aplicación envíe correos como si fueran usuarios de la organización. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Mail.Read Leer el correo de todos los buzones Permite que la aplicación lea el correo de todos los buzones sin la necesidad de que un usuario haya iniciado sesión.
Mail.ReadBasic.All Leer el correo electrónico básico de todos los usuarios Permite que la aplicación lea todos los buzones de correo excepto Body, BodyPreview, UniqueBody, Attachments, ExtendedProperties y Extensions. No incluye permisos para buscar mensajes.
Mail.ReadWrite Leer y escribir correos en todos los buzones Permite que la aplicación cree, lea, actualice y elimine correos en todos los buzones sin un usuario que ha iniciado sesión. No incluye el permiso para enviar correos.
Mail.Send Enviar correo como cualquier usuario Permite que la aplicación envíe correos como cualquier usuario sin la necesidad de que un usuario haya iniciado sesión.
MailboxSettings.Read Leer toda la configuración del buzón del usuario Permite que la aplicación lea la configuración del buzón del usuario sin la necesidad de que un usuario haya iniciado sesión. No incluye el permiso para enviar correos.
MailboxSettings.ReadWrite Leer y escribir toda la configuración del buzón del usuario. Permite que la aplicación cree, lea, actualice y elimine la configuración del buzón del usuario sin que un usuario haya iniciado sesión. No incluye el permiso para enviar correos.

Los administradores importantes pueden configurar la política de acceso a las aplicaciones para limitarle el acceso a las aplicaciones a buzones de correo específicos y no a todos los buzones de correo de la organización, incluso si a la aplicación se le han otorgado los permisos de aplicación de Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read, o MailboxSettings.ReadWrite.

Comentarios

Mail.Read.Shared, Mail.ReadWrite.Shared y Mail.Send.Shared solo son válidos para las cuentas profesionales o educativas. Todos los demás permisos son válidos para las cuentas de Microsoft y para las cuentas profesionales o educativas.

Con el permiso Mail.Send o Mail.Send.Shared, una aplicación puede enviar un correo y guardar una copia en la carpeta Elementos enviados del usuario, incluso si la aplicación no usa un permiso Mail.ReadWrite o Mail.ReadWrite.Shared correspondiente.

Ejemplos de uso

Delegado

  • Mail.Read: enumera los mensajes de la Bandeja de entrada del usuario, ordenados por receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared: buscar todos los mensajes con datos adjuntos en la Bandeja de entrada de un usuario que ha compartido su Bandeja de entrada con el usuario que ha iniciado sesión (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite: marcar un mensaje como leído (PATCH /me/messages/{id}).
  • Mail.Send: enviar un mensaje (POST /me/sendmail).
  • MailboxSettings.ReadWrite: actualizar la respuesta automática del usuario (PATCH /me/mailboxSettings).

Aplicación

  • Mail.Read: buscar mensajes de bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite: crear una carpeta en la Bandeja de entrada denominada Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send: enviar un mensaje (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read: obtener la zona horaria predeterminada del buzón del usuario (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de inquilino administrado

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ManagedTenants.Read.All Leer toda la información específica del inquilino administrado Permite que la aplicación lea toda la información del inquilino administrado en nombre del usuario que ha iniciado sesión. No
ManagedTenants.ReadWrite.All Leer y escribir toda la información específica del inquilino administrado Permite que la aplicación lea y escriba toda la información del inquilino administrado en nombre del usuario que ha iniciado sesión. No

Permisos de la aplicación

Ninguno.

Permisos de miembro

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Member.Read.Hidden Leer todas las pertenencias ocultas Permite a la aplicación leer las pertenencias a grupos ocultos y unidades administrativas en nombre del usuario que inició sesión, para esos grupos ocultos y unidades administrativas a los que dicho usuario tiene acceso. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Member.Read.Hidden Leer todas las pertenencias ocultas Permite que la aplicación lea las pertenencias de grupos ocultos y unidades administrativas sin la necesidad de que un usuario haya iniciado sesión.

Comentarios

Member.Read.Hidden solo es válido en las cuentas profesionales o educativas.

Es posible ocultar la pertenencia a algunos grupos de Microsoft 365. Esto significa que solo los miembros del grupo pueden ver a los demás miembros. Puede usar esta característica para ayudar a cumplir los reglamentos que exigen que una organización oculte la pertenencia a grupos a usuarios externos (por ejemplo, un grupo de Microsoft 365 que representa a los alumnos inscritos en una clase).

Ejemplos de uso

Delegado

  • Member.Read.Hidden: leer los miembros de una unidad administrativa con pertenencia oculta en nombre del usuario que ha iniciado sesión (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: leer los miembros de un grupo con pertenencia oculta en nombre del usuario que ha iniciado sesión (GET /groups/{id}/members).

Aplicación

  • Member.Read.Hidden: leer los miembros de una unidad administrativa con pertenencia oculta (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden: leer los miembros de un grupo con pertenencia oculta (GET /groups/{id}/members).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de notas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Notes.Read Leer blocs de notas de usuario de OneNote Permite que la aplicación lea los títulos de los blocs de notas y las secciones de OneNote y cree páginas, blocs de notas y secciones en nombre del usuario que ha iniciado sesión. No
Notes.Create Crear blocs de notas de usuario de OneNote Permite que la aplicación lea los títulos de los blocs de notas y las secciones de OneNote y cree páginas, blocs de notas y secciones en nombre del usuario que ha iniciado sesión. No
Notes.ReadWrite Leer y escribir blocs de notas de usuario de OneNote Permite que la aplicación lea, comparta y modifique blocs de notas de OneNote en nombre del usuario que ha iniciado sesión. No
Notes.Read.All Leer todos los blocs de notas de OneNote a los que el usuario puede tener acceso Permite que la aplicación lea blocs de notas de OneNote a los que tiene acceso en la organización el usuario que ha iniciado sesión. No No
Notes.ReadWrite.All Leer y escribir todos los blocs de notas de OneNote a los que el usuario puede tener acceso Permite que la aplicación lea, comparta y modifique blocs de notas de OneNote a los que tiene acceso en la organización el usuario que ha iniciado sesión. No No
Notes.ReadWrite.CreatedByApp Acceso limitado al bloc de notas (en desuso) En desuso
No usar. Este permiso no concede privilegios.		 No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Notes.Read.All Leer todos los blocs de notas de OneNote Permite que la aplicación lea todos los blocs de notas de OneNote de la organización, sin la necesidad de que un usuario haya iniciado sesión.
Notes.ReadWrite.All Leer y escribir todos los blocs de notas de OneNote Permite que la aplicación lea, comparta y modifique todos los blocs de notas de OneNote de la organización, sin la necesidad de que un usuario haya iniciado sesión.

Comentarios

Notes.Read.All y Notes.ReadWrite.All solo son válidos para las cuentas profesionales o educativas. Todos los demás permisos son válidos para las cuentas de Microsoft y para las cuentas profesionales o educativas.

Con el permiso Notes.Create, una aplicación puede ver la jerarquía de blocs de notas de OneNote del usuario que ha iniciado sesión y crear contenido de OneNote (blocs de notas, grupos de secciones, secciones, páginas, etc.).

Notes.ReadWrite y Notes.ReadWrite.All también permiten que la aplicación modifique los permisos para el contenido de OneNote al que puede tener acceso el usuario que ha iniciado sesión.

En el caso de las cuentas profesionales o educativas, Notes.Read.All y Notes.ReadWrite.All permiten que la aplicación tenga acceso al contenido de OneNote de otros usuarios al que tiene permiso de acceso dentro de la organización el usuario que ha iniciado sesión.

Ejemplos de uso

Delegado

  • Notes.Create: crear un bloc de notas para el usuario que ha iniciado sesión (POST /me/onenote/notebooks).
  • Notes.Read: leer el bloc de notas del usuario que ha iniciado sesión (GET /me/onenote/notebooks).
  • Notes.Read.All: obtener todos los blocs de notas a los que tiene acceso en la organización el usuario que ha iniciado sesión (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite: actualizar la página del usuario que ha iniciado sesión (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All: crear una página en el bloc de notas de otro usuario al que el usuario que ha iniciado sesión tiene acceso dentro de la organización (POST /users/{id}/onenote/pages).

Aplicación

  • Notes.Read.All: leer todos los blocs de notas de los usuarios de un grupo (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All: actualizar la página de un bloc de notas de cualquier usuario de la organización (PATCH /users/{id}/onenote/pages/{id}/$value).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de notificaciones

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Notifications.ReadWrite.CreatedByApp Entregar y administrar las notificaciones para esta aplicación. Permite a la aplicación entregar las notificaciones en nombre de los usuarios que hayan iniciado sesión. También permite a la aplicación leer, actualizar y eliminar elementos de notificación del usuario para esta aplicación. No

Observaciones

Notifications.ReadWrite.CreatedByApp es válido tanto para cuentas Microsoft como para cuentas profesionales o educativas. La restricción de CreatedByApp asociada a este permiso indica que el servicio aplicará un filtrado implícito en los resultados basándose en la identidad de la aplicación que realiza la llamada, ya sea el id. de la aplicación de la cuenta de Microsoft o un conjunto de id. de aplicaciones configurado para una identidad de aplicación multiplataforma.

Ejemplos de uso

Delegados

  • Notifications.ReadWrite.CreatedByApp: publicar una notificación centrada en el usuario, con la posibilidad de que se entregue a varios clientes de la aplicación del usuario que se ejecuta en diferentes extremos. (POST /me/notifications/).

Permisos de reuniones en línea

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
OnlineMeetings.Read Lee la reunión en línea. Permite que la aplicación lea los detalles de la reunión en línea en nombre del usuario que ha iniciado sesión. No No
OnlineMeetings.ReadWrite Lee y crea reuniones en línea. Permite a la aplicación crear y ver reuniones en línea en nombre del usuario que ha iniciado sesión. No No
OnlineMeetingArtifact.Read.All Leer artefactos de Reunión en línea. Permite que la aplicación lea los artefactos de las reuniones en línea en nombre del usuario que ha iniciado la sesión. No No
OnlineMeetingTranscript.Read.All Leer todas las transcripciones de las reuniones en línea. Permite que la aplicación lea todas las transcripciones de las reuniones en línea en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
OnlineMeetings.Read.All Lea los detalles de la reunión en línea en la aplicación Permite que la aplicación lea los detalles de las reuniones en línea de su organización sin que un usuario haya iniciado sesión.
OnlineMeetings.ReadWrite.All Lea los detalles de la reunión en línea en la aplicación Permite que una aplicación cree y lea Reuniones en línea sin un usuario registrado.
OnlineMeetingArtifact.Read.All Leer los artefactos de las Reuniones en línea desde la aplicación Permite que la aplicación lea los artefactos de las Reuniones en línea en su organización, sin que un usuario haya iniciado sesión.
OnlineMeetingTranscript.Read.All Leer todas las transcripciones de las reuniones en línea. Permite que la aplicación lea todas las transcripciones de todas las reuniones en línea sin que el usuario haya iniciado sesión.

Importante Los administradores pueden configurar la política de acceso a las aplicaciones para permitirle el acceso a las aplicaciones a reuniones en línea en nombre de un usuario.

Ejemplos de uso

Delegado

  • OnlineMeetings.Read: recupera las propiedades y relaciones de una reunión en línea (GET /beta/communications/onlinemeetings/{default id}).
  • OnlineMeetings.ReadWrite.All: crea una reunión en línea (POST /beta/communications/onlinemeetings).

Aplicación

  • OnlineMeetings.Read.All
    • Recuperar las propiedades y las relaciones de una reunión en línea (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Recuperar una reunión en línea en nombre de un usuario (`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • Crear una reunión en línea en nombre de un usuario (`POST /beta/users/{userId}/onlineMeetings/)
    • Actualizar una reunión en línea en nombre de un usuario (`PATCH /beta/users/{userId}/onlineMeetings/{id})
    • Eliminar una reunión en línea en nombre de un usuario (`DELETE /beta/users/{userId}/onlineMeetings/{id})

Nota: Al crear una reunión en línea se inicia una reunión en nombre del usuario, pero no se muestra en el Calendario del usuario.

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de perfiles de publicación locales

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
OnPremisesPublishingProfiles.ReadWrite.All Acceso a perfiles de publicación locales Permite a la aplicación gestionar la configuración de servicios de identidad híbrida mediante la creación, visualización, actualización y eliminación de recursos publicados locales, agentes locales y grupos de agentes, en nombre del usuario que ha iniciado sesión. No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
OnPremisesPublishingProfiles.ReadWrite.All Acceso a perfiles de publicación locales Permite a la aplicación crear, ver, actualizar y eliminar recursos publicados locales, agentes locales y grupos de agentes, como parte de una configuración de identidad híbrida, sin un usuario que haya iniciado sesión. No

Ámbitos de OpenID Connect (OIDC)

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
email Ver la dirección de correo electrónico de los usuarios Permite que la aplicación lea la dirección de correo electrónico principal de los usuarios. No
offline_access Acceso a los datos de usuario en cualquier momento Permite que la aplicación lea y actualice los datos del usuario, incluso cuando no están usando en ese momento la aplicación. No
openid Inicio de sesión de los usuarios Con este permiso, una aplicación puede recibir un identificador único para el usuario en forma de subclase. El permiso también proporciona a la aplicación acceso al punto de conexión UserInfo. El ámbito openid se puede usar en el punto de conexión del token de la Plataforma de identidad de Microsoft para adquirir tokens de identificador. La aplicación puede usar estos tokens para la autenticación. No
profile Ver el perfil básico de los usuarios Permite que la aplicación vea el perfil básico de los usuarios (nombre, imagen, nombre de usuario). No

Comentarios

Puede usar estos ámbitos para especificar artefactos que quiera que se devuelvan en solicitudes de token y autorización de Azure AD. Los puntos de conexión de Azure AD v1.0 y v2.0 los admiten de forma diferente.

Con el punto de conexión de Azure AD (v1.0), solo se usa el permiso openid. Lo tiene que especificar en el parámetro scope en una solicitud de autorización para devolver un token de identificador al usar el protocolo OpenID Connect para que un usuario inicie sesión en su aplicación. Para obtener más información, consulte Autorización del acceso a aplicaciones web con OpenID Connect y Azure Active Directory. Para devolver correctamente un token de identificador, también debe asegurarse de que se configure el permiso User.Read al registrar la aplicación.

Con el punto de conexión de Azure AD v2.0, se especifica el permiso offline_access en el parámetro scope para solicitar de forma explícita un token de actualización al usar los protocolos OAuth 2.0 u OpenID Connect. Con OpenID Connect, debe especificar el ámbito openid para solicitar un token de identificador. También puede especificar los ámbitos email y profile, o ambos, para devolver notificaciones adicionales en el token de identificador. No es necesario especificar el permiso User.Read para devolver un token de identificador con el punto de conexión v2.0. Para obtener más información, consulte Ámbitos de OpenID Connect.

Importante

_ Actualmente, la biblioteca de autenticación de Microsoft (MSAL) especifica offline_access, openid, profile y email de forma predeterminada en las solicitudes de token y autorización. Esto significa que, para el caso predeterminado, si se especifican estos ámbitos de forma explícita, es posible que Azure AD devuelva un error.

Permisos de organización

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Organization.Read.All Leer la información de la organización Permite a la aplicación leer los recursos de la organización y recursos relacionados, en nombre del usuario que ha iniciado sesión. Entre los recursos relacionados se incluyen aspectos como las SKU suscritas y la información de marcas del espacio empresarial. No
Organization.ReadWrite.All Leer y escribir la información de la organización Permite a la aplicación leer y escribir los recursos de la organización y recursos relacionados, en nombre del usuario que ha iniciado sesión. Entre los recursos relacionados se incluyen aspectos como las SKU suscritas y la información de marcas del espacio empresarial. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Organization.Read.All Leer la información de la organización Permite a la aplicación leer los recursos de la organización y recursos relacionados, sin necesidad de que un usuario haya iniciado sesión. Entre los recursos relacionados se incluyen aspectos como las SKU suscritas y la información de marcas del espacio empresarial.
Organization.ReadWrite.All Leer y escribir la información de la organización Permite a la aplicación leer y escribir los recursos de la organización y recursos relacionados, sin necesidad de que un usuario haya iniciado sesión. Entre los recursos relacionados se incluyen aspectos como las SKU suscritas y la información de marcas del espacio empresarial.

Ejemplos de uso

Delegated

  • Organization.Read.All: obtener la información de la organización (GET /organization).
  • Organization.Read.All: obtener las SKU a las que la organización se ha suscrito (GET /subscribedSkus).

Aplicación

  • Organization.ReadWrite.All: actualizar la información de la organización (por ejemplo, technicalNotificationMails) (PATCH /organization/{id}).

Permisos de contacto organizacional

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
OrgContact.Read.All Leer contactos de la organización Permite a la aplicación leer todos los contactos de la organización en nombre del usuario que ha iniciado sesión. Estos contactos son administrados por la organización estos contacto y son distintos a los contactos personales de los usuarios. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
OrgContact.Read.All Leer contactos de la organización Permite a la aplicación leer todos los contactos de la organización sin que el usuario haya iniciado sesión. Estos contactos son administrados por la organización estos contacto y son distintos a los contactos personales de los usuarios.

Ejemplos de uso

Delegated

  • OrgContact. Read. All: obtener todos los contactos de la organización (GET /contacts).

Permisos de personas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
People.Read Leer las listas de personas relevantes de los usuarios Permite que la aplicación lea una lista con puntuación de los contactos relevantes del usuario que ha iniciado sesión. La lista puede incluir contactos locales, contactos de las redes sociales o el directorio de la organización y contactos de comunicaciones recientes (como de correo electrónico y Skype). No
People.Read.All Leer las listas de personas relevantes de todos los usuarios Permite leer una lista con puntuación de los contactos relevantes para el usuario que ha iniciado sesión o para otros usuarios de la organización del usuario que ha iniciado sesión. La lista puede incluir contactos locales, contactos de las redes sociales o el directorio de la organización y contactos de comunicaciones recientes (como de correo electrónico y Skype). También permite que la aplicación busque en todo el directorio de la organización del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
People.Read.All Leer las listas de personas relevantes de todos los usuarios Permite leer una lista con puntuación de los contactos relevantes para el usuario que ha iniciado sesión o para otros usuarios de la organización del usuario que ha iniciado sesión.

La lista puede incluir contactos locales, contactos de las redes sociales o el directorio de la organización y contactos de comunicaciones recientes (como de correo electrónico y Skype). También permite que la aplicación busque en todo el directorio de la organización del usuario que ha iniciado sesión.

Comentarios

El permiso People.Read.All solo es válido para las cuentas profesionales y educativas.

Ejemplos de uso

Delegado

  • People.Read: leer una lista de los contactos relevantes (GET /me/people)
  • People.Read.All: leer una lista de los contactos relevantes para otro usuario de la misma organización (GET /users('{id})/people)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de acceso con privilegios

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
PrivilegedAccess.ReadWrite.AzureAD Lee y escribe datos de Privileged Identity Management para Directory Permite a la aplicación tener acceso de lectura y escritura a las API de Privileged Identity Management para Azure AD. No
PrivilegedAccess.ReadWrite.AzureADGroup Leer y escribir los datos de Administración de identidades con privilegios para los grupos que requieren acceso con privilegios Permite a la aplicación tener acceso de lectura y escritura a las API de Administración de identidades con privilegios de los grupos. No
PrivilegedAccess.ReadWrite.AzureResources Lee y escribe datos de Privileged Identity Management para los recursos de Azure Permite a la aplicación tener acceso de lectura y escritura a las API de Privileged Identity Management para los recursos de Azure. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
PrivilegedAccess.Read.AzureAD Leer los datos de Administración de identidades con privilegios para el Directorio Permite a la aplicación tener acceso de lectura a las API de Administración de identidades con privilegios de Azure AD.
PrivilegedAccess.Read.AzureADGroup Leer los datos de Administración de identidades con privilegios de los grupos que tienen acceso con privilegios Permite a la aplicación tener acceso de lectura a las API de Administración de identidades con privilegios de los grupos.
PrivilegedAccess.Read.AzureResources Leer los datos de Administración de identidades con privilegios para los recursos de Azure Permite a la aplicación tener acceso de lectura a las API de Administración de identidades con privilegios para los recursos de Azure AD.

Permisos de sitios

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Place.Read.All Leer todos los sitios de la empresa Permite a la aplicación leer los sitios de la empresa (salas de conferencias y listas de salas) configurado en Exchange Online para el espacio empresarial. No
Place.ReadWrite.All Lea y escriba todos los lugares de la empresa Permite a la aplicación leer y escribir en los sitios de la empresa (salas de conferencias y listas de salas) configurado en Exchange Online para el espacio empresarial. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Place.Read.All Leer todos los sitios de la empresa Permite a la aplicación leer los sitios de la empresa (salas de conferencias y listas de salas) para eventos de calendario u otras aplicaciones.

Permisos de directivas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Policy.Read.All Leer las directivas de la organización Permite a la aplicación leer las directivas de la organización en nombre del usuario que ha iniciado sesión. No
Policy.Read.PermissionGrant Leer directivas de consentimiento y concesión de permisos Permite que la aplicación lea directivas relacionadas con concesiones de permisos y consentimiento para aplicaciones, en nombre del usuario con la sesión iniciada. No
Policy.ReadWrite.AccessReview Leer y escribir la directiva de revisión de acceso de la organización Permite a la aplicación leer y escribir la directiva revisión de acceso de la organización en nombre del usuario que ha iniciado sesión. No
Policy.ReadWrite.ApplicationConfiguration Leer y escribir las directivas de configuración de la aplicación de su organización Permite a la aplicación leer y escribir las directivas de configuración de aplicación de la organización en nombre del usuario que ha iniciado sesión. No
Policy.ReadWrite.AuthenticationFlows Leer y escribir las directivas de flujo de autenticación de su organización Permite a la aplicación leer y escribir las directivas de flujo de autenticación en nombre del usuario que inició sesión. No
Policy.ReadWrite.AuthenticationMethod Leer y escribir directivas de método de autenticación Permite a la aplicación leer y escribir las directivas de método de autenticación en nombre del usuario que inició sesión. El usuario que ha iniciado sesión también debe tener asignado el rol de administrador global. No
Policy.ReadWrite.Authorization Leer y escribir la directiva de autorización de su organización Permite a la aplicación leer y escribir la directiva de autorización de la organización en nombre del usuario que ha iniciado sesión. Por ejemplo, las directivas de autorización pueden controlar algunos de los permisos que tiene el rol de usuario de forma predeterminada. No
Policy.ReadWrite.ConditionalAccess Leer y escribir las directivas de acceso condicional de la organización Permite a la aplicación leer y escribir las directivas de acceso condicional de la organización en nombre del usuario que ha iniciado sesión. No
Policy.ReadWrite.ConsentRequest Lea y escriba la política de solicitud de consentimiento de su organización Permite a la aplicación leer y escribir la directiva de solicitudes de consentimiento de la organización en nombre del usuario que ha iniciado sesión. No
Policy.ReadWrite.CrossTenantAccess Leer y escribir la directiva de acceso entre inquilinos de su organización Permite que la aplicación lea y escriba la directiva de acceso entre inquilinos de su organización en nombre del usuario que ha iniciado sesión. No
Policy.ReadWrite.FeatureRollout Leer y escribir las directivas de lanzamiento de características de la organización Permite a la aplicación leer y escribir las directivas de lanzamiento de características de la organización en nombre del usuario que ha iniciado sesión. Se incluyen capacidades para asignar y quitar usuarios y grupos para el lanzamiento de una característica específica. No
Policy.ReadWrite.PermissionGrant Administrar directivas de consentimiento y concesión de permisos Permite que la aplicación administre directivas relacionadas con concesiones de permisos y consentimiento para aplicaciones, en nombre del usuario con la sesión iniciada. No
Policy.ReadWrite.TrustFramework Leer y escribir las directivas del marco de confianza de la organización Permite a la aplicación leer y escribir las directivas del marco de confianza de la organización en nombre del usuario que ha iniciado sesión. No
Policy.ReadWrite.AuthenticationMethod Leer y escribir las directivas de flujo de autenticación de su organización Permite a la aplicación leer y escribir las directivas de método de autenticación en nombre del usuario que inició sesión. No
Policy.ReadWrite.MobilityManagement Leer y escribir las directivas de flujo de autenticación de su organización. Permite a la aplicación leer y escribir las directivas de administración de movilidad en nombre del usuario que ha iniciado sesión. Estas controlan la configuración de las aplicaciones de administración de dispositivos móviles (MDM) y de administración de aplicaciones móviles (MAM). No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Policy.Read.All Leer las directivas de la organización Permite a la app leer todas las directivas de la organización sin que el usuario haya iniciado sesión.
Policy.Read.PermissionGrant Leer directivas de consentimiento y concesión de permisos Permite que la aplicación lea directivas relacionadas con concesiones de permisos y consentimiento para aplicaciones, sin un usuario que haya iniciado sesión.
Policy.Read.ApplicationConfiguration Leer las directivas de configuración de la aplicación de su organización Permite a la aplicación leer todas las directivas de configuración de aplicación de la organización sin que el usuario haya iniciado sesión.
Policy.ReadWrite.AccessReview Leer y escribir la directiva de revisión de acceso de la organización Permite a la app leer y escribir la directiva de revisión de acceso de la organización sin que un usuario haya iniciado sesión.
Policy.ReadWrite.ApplicationConfiguration Leer y escribir las directivas de configuración de la aplicación de su organización Permite a la aplicación leer y escribir todas las directivas de configuración de aplicación de la organización, sin un usuario que haya iniciado sesión.
Policy.ReadWrite.AuthenticationFlows Leer y escribir las directivas de flujo de autenticación de su organización Permite que la aplicación lea y escriba las directivas de flujo de autenticación del espacio empresarial, sin un usuario que haya iniciado sesión.
Policy.ReadWrite.Authorization Leer y escribir la directiva de autorización de su organización Permite a la aplicación leer y escribir la directiva de autorización de la organización en nombre del usuario que ha iniciado sesión. Por ejemplo, las directivas de autorización pueden controlar algunos de los permisos que tiene el rol de usuario de forma predeterminada.
Policy.ReadWrite.ConsentRequest Lea y escriba la política de solicitud de consentimiento de su organización Permite que la aplicación lea y escriba la política de solicitudes de consentimiento de su organización sin un usuario que haya iniciado sesión.
Policy.ReadWrite.CrossTenantAccess Leer y escribir la directiva de acceso entre inquilinos de su organización Permite que la aplicación lea y escriba la directiva de acceso entre inquilinos de su organización sin que un usuario haya iniciado sesión.
Policy.ReadWrite.AuthenticationMethod Leer y escribir todas las directivas de método de autenticación Permite que la aplicación lea y escriba todas las directivas de método de autenticación del espacio empresarial, sin un usuario que haya iniciado sesión.
Policy.ReadWrite.FeatureRollout Leer y escribir las directivas sobre el lanzamiento de características Permite a la aplicación leer y escribir las directivas sobre el lanzamiento de características sin que el usuario haya iniciado sesión. Se incluyen capacidades para asignar y quitar usuarios y grupos para el lanzamiento de una característica específica.
Policy.ReadWrite.PermissionGrant Administrar directivas de consentimiento y concesión de permisos Permite que la aplicación administre directivas relacionadas con concesiones de permisos y consentimiento para aplicaciones sin necesidad de que un usuario haya iniciado sesión.
Policy.ReadWrite.TrustFramework Leer y escribir las directivas del marco de confianza de la organización Permite a la app leer y escribir las directivas del marco de confianza de la organización sin que el usuario haya iniciado sesión.

Ejemplos de uso

Los siguientes usos son válidos para los permisos delegados y de la aplicación:

  • Policy.Read.All: leer las directivas de la organización (GET /policies)
  • Policy.Read.All: leer las directivas del marco de confianza de su organización (GET /beta/trustFramework/policies)
  • Policy.Read.All: leer las directivas de lanzamiento de características de la organización (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.AccessReview: Leer y escribir las directivas de revisión de acceso de su organización (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: Leer y escribir las directivas de configuración de la aplicación de su organización (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows: leer y escribir la directiva de flujos de autenticación de su organización (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod: use este permiso para administrar la configuración de la directiva de métodos de autenticación, incluida la habilitación y deshabilitación de métodos de autenticación, la posibilidad de que los usuarios y grupos usen esos métodos y la configuración de otras opciones relacionadas con los métodos de autenticación que los usuarios pueden registrar y usar en un inquilino.
  • Policy.ReadWrite.ConditionalAccess: Leer y escribir las directivas de acceso condicional de la organización (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.CrossTenantAccess: leer y escribir la directiva de acceso entre inquilinos de la organización (PATCH /beta/policies/crossTenantAccessPolicy)
  • Policy.ReadWrite.FeatureRollout: leer y escribir todas las directivas de lanzamiento de características de la organización (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: leer y escribir las directivas del marco de confianza de la organización (POST /beta/trustFramework/policies)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de presencia

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Presence.Read Leer la información de presencia del usuario Permite que la aplicación lea información de presencia en nombre del usuario que ha iniciado sesión. La información de presencia incluye actividad, disponibilidad, estado, nota, mensaje programado de fuera de la oficina, zona geográfica y ubicación del calendario. No
Presence.Read.All Leer la información de presencia de todos los usuarios de la organización Permite que la aplicación lea información de presencia todos los usuarios en el directorio en nombre del usuario que ha iniciado sesión. La información de presencia incluye actividad, disponibilidad, estado, nota, mensaje programado de fuera de la oficina, zona geográfica y ubicación del calendario. No
Presence.ReadWrite Leer y escribir la información de presencia de un usuario Permite que la aplicación lea la información de presencia y escriba la actividad y la disponibilidad en nombre del usuario que ha iniciado sesión. La información de presencia incluye actividad, disponibilidad, estado, nota, mensaje programado de fuera de la oficina, zona geográfica y ubicación del calendario.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Presence.ReadWrite.All Leer y escribir la información de presencia para todos los usuarios Permite a la aplicación leer toda la información de presencia y escribir la actividad y la disponibilidad de todos los usuarios en el directorio sin que un usuario haya iniciado sesión. La información de presencia incluye actividad, disponibilidad, estado, nota, mensaje programado de fuera de la oficina, zona geográfica y ubicación del calendario.

Ejemplos de uso

  • Presence.Read: si ha iniciado sesión, recupera su propia información de presencia (GET /me/presence)
  • Presence.Read.All: recupera la información de presencia de otro usuario (GET /users/{id}/presence)
  • Presence.Read.All: recupera la información de presencia de múltiples usuarios (POST /communications/getPresencesByUserId)
  • Presence.ReadWrite:
    • Si ha iniciado sesión, establezca el estado de su sesión de presencia (POST /me/presence/setPresence)
    • Si ha iniciado sesión, establezca su propia presencia preferida (POST /me/presence/setUserPreferredPresence)
  • Presence.ReadWrite.All:
    • Establecer el estado de la sesión de presencia de un usuario como una aplicación (POST /users/{id}/presence/setPresence)
    • Establecer la presencia preferida de un usuario como aplicación (POST /users/{id}/presence/setUserPreferredPresence)

Programas y permisos de controles de programa

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ProgramControl.Read.All Leer todos los programas Permite que la aplicación lea programas en nombre del usuario que ha iniciado sesión. No
ProgramControl.ReadWrite.All Administrar todos los programas Permite que la aplicación lea y escriba programas en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
ProgramControl.Read.All Leer todos los programas Permite que la aplicación lea programas sin tener un usuario que haya iniciado sesión.
ProgramControl.ReadWrite.All Administrar todos los programas Permite que la aplicación lea y escriba programas sin tener un usuario que haya iniciado sesión.

Comentarios

ProgramControl.Read.All y ProgramControl.ReadWrite.All solo son válidos para las cuentas profesionales o educativas.

Para que una aplicación con permisos delegados pueda leer programas y controles de programas, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global, Administrador de seguridad, Lector de seguridad o Administrador usuario. Para que una aplicación con permisos delegados pueda escribir programas y controles de programas, el usuario que ha iniciado sesión debe ser miembro de uno de los siguientes roles de administrador: Administrador global o Administrador usuario. Para obtener más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.

Permisos de administración de registros

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
RecordsManagement.Read.All Leer datos de la administración de registros de Microsoft Purview. Permite a la aplicación leer cualquier dato de la solución de administración de registros Microsoft Purview, como los nombres de las etiquetas, los nombres de los eventos y los nombres de los tipos de eventos en nombre del usuario que ha iniciado la sesión.
RecordsManagement.ReadWrite.All Lea y escriba cualquier dato de la administración de registros de Microsoft Purview. Permitir que la aplicación cree, actualice y elimine cualquier dato de la solución de administración de registros Microsoft Purview, como etiquetas, eventos y tipos de eventos en nombre del usuario que ha iniciado sesión.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
RecordsManagement.Read.All Leer datos de la administración de registros de Microsoft Purview. Permite a la aplicación leer cualquier dato de la solución de administración de registros Microsoft Purview, como los nombres de las etiquetas, los nombres de los eventos y los nombres de los tipos de eventos en nombre del usuario que ha iniciado la sesión.
RecordsManagement.ReadWrite.All Lea y escriba cualquier dato de la administración de registros de Microsoft Purview. Permitir que la aplicación cree, actualice y elimine cualquier dato de la solución de administración de registros Microsoft Purview, como etiquetas, eventos y tipos de eventos en nombre del usuario que ha iniciado sesión.

Ejemplos de uso

Delegated

  • RecordsManagement.Read.All: Obtener la lista de etiquetas disponibles para el usuario desde la Administración de registros de Microsoft Purview (GET /security/labels/retentionLabels)
  • RecordsManagement.ReadWrite.All: Crear una etiqueta en Administración de registros de Microsoft Purview (POST /security/labels/retentionLabels/)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de informes

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Reports.Read.All Leer todos los informes de uso Permite a una aplicación leer todos los informes de uso de servicio en nombre del usuario que haya iniciado sesión. Los servicios que proporcionan informes de uso incluyen Microsoft 365 y Azure Active Directory. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Reports.Read.All Leer todos los informes de uso Permite a una aplicación leer todos los informes de uso de servicio sin necesidad de que un usuario haya iniciado sesión. Los servicios que proporcionan informes de uso incluyen Microsoft 365 y Azure Active Directory.

Comentarios

  • Los permisos de informes solo son válidos para las cuentas profesionales o educativas.
  • Para que los permisos delegados permitan a las aplicaciones leer los informes de uso del servicio en nombre de un usuario, el administrador de inquilinos debe haber asignado al usuario un rol de administrador limitado de Azure AD. Para obtener más información, consulte Autorización de las API para leer los informes de uso de Microsoft 365.

Ejemplos de uso

Aplicación

  • Reports.Read.All: leer el informe de detalles de uso de las aplicaciones de correo electrónico durante un período de siete días (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All: leer el informe de detalles de actividad de correo electrónico con fecha de 01-01-2017 (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All: leer el informe de detalles de activaciones de Microsoft 365 (GET /reports/Office365Activations(view='Detail')/content).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de administración de roles

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
RoleAssignmentSchedule.Read.Directory Lee todas las asignaciones de roles activas para el directorio de su empresa. Permite que la aplicación lea las asignaciones activas de control de acceso basado en roles (RBAC) en el directorio de su empresa, en nombre del usuario que ha iniciado sesión. Esto incluye la lectura de las plantillas de rol de directorio, y los roles de directorio. No
RoleEligibilitySchedule.Read.Directory Lee todas las asignaciones de roles válidas para el directorio de su empresa. Permite que la aplicación lea las asignaciones válidas de control de acceso basado en roles (RBAC) en el directorio de su empresa, en nombre del usuario que ha iniciado sesión. Esto incluye la lectura de las plantillas de rol de directorio, y los roles de directorio. No
RoleManagement.Read.All Lee los datos de administración de roles para todos los proveedores de RBAC Permite a la aplicación leer la configuración de control de acceso basado en roles (RBAC) de todos los proveedores de RBAC admitidos, en nombre del usuario que ha iniciado sesión. Esto incluye leer las definiciones y las asignaciones de roles. No
RoleManagement.Read.Directory Lee los datos de administración de roles para Azure AD. Permite a la aplicación leer la configuración de control de acceso basado en roles (RBAC) en el directorio de su empresa, en nombre del usuario que ha iniciado sesión. Esto incluye la lectura de las plantillas de rol de directorio, los roles de directorio y las pertenencias. No
RoleManagementPolicy.Read.Directory Lee todas las directivas de asignaciones de roles con privilegios para el directorio de su empresa. Permite que la aplicación lea las directivas para las asignaciones de control de acceso basado en roles (RBAC) con privilegios para el directorio de la empresa, en nombre del usuario que ha iniciado sesión. No
RoleAssignmentSchedule.ReadWrite.Directory Lee, actualiza y elimina todas las asignaciones de roles activas del directorio de su empresa. Permite que la aplicación lea y administre las asignaciones activas de control de acceso basado en roles (RBAC) del directorio de su compañía, en nombre del usuario que ha iniciado sesión. Esto incluye la administración de la pertenencia a roles de directorio y la lectura de las plantillas de roles de directorio, roles de directorio y pertenencias activas. No
RoleEligibilitySchedule.ReadWrite.Directory Lee, actualiza y elimina todas las asignaciones de roles válidas para el directorio de su empresa. Permite que la aplicación lea y administre las asignaciones válidas de control de acceso basado en roles (RBAC) del directorio de su compañía, en nombre del usuario que ha iniciado sesión. Esto incluye administrar la pertenencia válida a roles de directorio y leer las plantillas de roles de directorio, los roles de directorio y las pertenencias válidas. No
RoleManagement.ReadWrite.Directory Lee y escribe los datos de administración de roles para Azure AD. Permite que la aplicación lea y administre la configuración de control de acceso basado en roles (RBAC) del directorio de su compañía, en nombre del usuario que ha iniciado sesión. Esto incluye crear instantáneas de los roles de directorio, administrar la pertenencia a roles de directorio y leer las plantillas de roles de directorio, los roles de directorio y las pertenencias. No
RoleManagementPolicy.ReadWrite.Directory Lee, actualiza y elimina todas las directivas de asignaciones de roles con privilegios para el directorio de su empresa. Permite que la aplicación lea, actualice y elimine directivas para las asignaciones de control de acceso basado en roles (RBAC) con privilegios para el directorio de su empresa, en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
RoleManagement.Read.All Lee los datos de administración de roles para todos los proveedores de RBAC Permite a la aplicación leer la configuración de control de acceso basado en roles (RBAC) de todos los proveedores de RBAC admitidos, sin que un usuario haya iniciado sesión. Esto incluye leer las definiciones y las asignaciones de roles.
RoleManagement.Read.Directory Lee los datos de administración de roles para Azure AD. Permite a la aplicación leer la configuración de control de acceso basado en roles (RBAC) en el directorio de su empresa, sin que un usuario haya iniciado sesión. Esto incluye la lectura de las plantillas de rol de directorio, los roles de directorio y las pertenencias.
RoleManagement.ReadWrite.Directory Lee y escribe los datos de administración de roles para Azure AD. Permite que la aplicación lea y administre la configuración de control de acceso basado en roles (RBAC) del directorio de su compañía, sin que un usuario haya iniciado sesión. Esto incluye crear instantáneas de los roles de directorio, administrar la pertenencia a roles de directorio y leer las plantillas de roles de directorio, los roles de directorio y las pertenencias.

Comentarios

Precaución

Los permisos que permiten conceder autorización, como RoleManagement.ReadWrite.Directory, permiten que una aplicación se conceda a sí misma, a otras aplicaciones o a cualquier usuario privilegios adicionales. Conceda cualquiera de estos permisos con precaución.

Con el permiso RoleManagement.Read.Directory, una aplicación puede leer directoryRoles y directoryRoleTemplates. Esto incluye la lectura de la información de suscripción a los roles de directorio.

Con el permiso RoleManagement.ReadWrite.Directory, una aplicación puede leer y escribir directoryRoles (directoryRoleTemplates son recursos de solo lectura). Esto incluye agregar y quitar miembros de los roles de directorio.

Los permisos de administración de roles solo son válidos para las cuentas profesionales o educativas.

Ejemplos de uso

  • RoleManagement.Read.Directory: leer la lista de plantillas de roles disponibles (GET /directoryRoleTemplates).
  • RoleManagement.Read.Directory: leer la lista de roles activados en el directorio (GET /directoryRoles).
  • RoleManagement.Read.Directory: leer la lista de miembros de un rol (GET /directoryRoles/<id>/members).
  • RoleManagement.Read.Directory: leer la lista de miembros con ámbito de unidad administrativa de un rol (GET /directoryRoles/<id>/scopedMembers).
  • RoleManagement.Read.Directory: activar un rol de directorio desde una plantilla de rol (POST /directoryRoles).
  • RoleManagement.Read.Directory: agregar un miembro a un rol de directorio (POST /directoryRoles/<id>/members).
  • RoleManagement.Read.Directory: agregar un miembro de ámbito de unidad administrativa a un rol de directorio (POST /directoryRoles/<id>/scopedMembers).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de Administración de la programación (versión preliminar privada)

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Schedule.ReadWrite.All (versión preliminar privada) Lectura y escritura de datos de turno del servicio (Teams) Permite que una aplicación lea y escriba programaciones, grupos de programación, turnos y entidades asociadas en aplicaciones de turnos sin que un usuario inicie sesión. No
Schedule.Read.All (versión preliminar privada) Lectura de datos de turno del servicio (Teams) Permite a la aplicación leer programaciones, grupos de programación, turnos y entidades asociadas en aplicaciones de turnos sin que un usuario inicie sesión. No

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Schedule.ReadWrite.All Lectura y escritura de datos de turno del servicio (Teams) Permite que una aplicación lea y escriba programaciones, grupos de programación, turnos y entidades asociadas en aplicaciones de turnos en nombre del usuario que haya iniciado sesión. No No
Schedule.Read.All Lectura de datos de turno del servicio (Teams) Permite a la aplicación leer programaciones, grupos de programación, turnos y entidades asociadas en aplicaciones de turnos en nombre del usuario que haya iniciado sesión. No No
WorkforceIntegration.ReadWrite.All (versión preliminar privada) Leer y escribir integraciones del personal Permite que la aplicación administre las integraciones de los empleados, para sincronizar los datos de Turnos de Microsoft Teams con un sistema integrado, en nombre del usuario con la sesión iniciada. No
WorkforceIntegration.Read.All (versión preliminar privada) Leer y escribir integraciones del personal Permite que la aplicación administre las integraciones de los empleados, para sincronizar los datos de Turnos de Microsoft Teams con un sistema integrado, en nombre del usuario con la sesión iniciada. No

Permisos de búsqueda

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ExternalConnection.Read.All Leer todas las conexiones externas Permite que la aplicación lea todas las conexiones externas sin que un usuario haya iniciado sesión. No
ExternalConnection.ReadWrite.All Leer y escribir todas las conexiones externas Permite que la aplicación lea y escriba todas las conexiones externas sin que un usuario haya iniciado sesión. No
ExternalConnection.ReadWrite.OwnedBy Leer y escribir conexiones externas y configuración de conexión Permite que la aplicación lea y escriba conexiones externas y su configuración sin un usuario que haya iniciado sesión. La aplicación solo puede leer y escribir conexiones externas a las que está autorizada, o puede crear nuevas conexiones externas. No
ExternalItem.Read.All Leer todos los elementos externos Permite que la aplicación lea todos los elementos externos sin que un usuario haya iniciado sesión. No
ExternalItem.ReadWrite.All Leer y escribir todos los elementos externos Permite a la aplicación leer y escribir todos elementos externos sin un usuario que haya iniciado sesión. No
ExternalItem.ReadWrite.OwnedBy Leer y escribir elementos externos Permite a la aplicación leer y escribir elementos externos sin necesidad de que el usuario haya iniciado sesión. La aplicación solo puede leer elementos externos de la conexión a la que está autorizada. No

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ExternalConnection.Read.All Leer todas las conexiones externas Permite a la aplicación leer todas las conexiones externas en nombre de un usuario que ha iniciado sesión. No
ExternalConnection.ReadWrite.All Leer y escribir todas las conexiones externas Permite a la aplicación leer y escribir todas las conexiones externas en nombre de un usuario que ha iniciado sesión. No
ExternalConnection.ReadWrite.OwnedBy Leer y escribir conexiones externas Permite a la aplicación leer y escribir las conexiones externas en nombre de un usuario que ha iniciado sesión. La aplicación solo puede leer y escribir conexiones externas a las que está autorizada, o puede crear nuevas conexiones externas. No
ExternalItem.Read.All Leer datos externos Permite que la aplicación lea el contenido y los conjuntos de datos externos en nombre del usuario que ha iniciado sesión. No
ExternalItem.ReadWrite.All Leer y escribir todos los elementos externos Permite a la aplicación leer y escribir todos los elementos externos en nombre de un usuario que ha iniciado sesión. No
ExternalItem.ReadWrite.OwnedBy Leer y escribir elementos externos Permite a la aplicación leer y escribir elementos externos en nombre de un usuario que ha iniciado sesión. La aplicación solo puede leer elementos externos de la conexión a la que está autorizada. No

Comentarios

Los permisos de búsqueda solo son válidos para las cuentas profesionales o educativas.

Este permiso de búsqueda solo se aplica a los datos ingeridos desde la API de indexación.

El acceso a los datos mediante la búsqueda requiere el permiso de lectura del elemento. Por ejemplo: Files.Read.All para acceder a los archivos a través de la búsqueda.

Ejemplos de uso

Delegado

  • ExternalItem.Read.All: accede a los datos externos desde la API de búsqueda (POST /search/query).

Buscar permisos de configuración

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
SearchConfiguration.Read.All Leer la configuración de búsqueda de su organización Permite que la aplicación lea la configuración de búsqueda en nombre del usuario que ha iniciado sesión. No
SearchConfiguration.ReadWrite.All Leer y escribir la configuración de búsqueda de su organización Permite que la aplicación lea y escriba configuraciones de búsqueda en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
SearchConfiguration.Read.All Leer la configuración de búsqueda de su organización Permite que la aplicación lea las configuraciones de búsqueda, sin que un usuario haya iniciado sesión.
SearchConfiguration.ReadWrite.All Leer y escribir la configuración de búsqueda de su organización Permite que la aplicación lea y escriba configuraciones de búsqueda, sin que un usuario haya iniciado sesión.

Comentarios

Los permisos de configuración de búsqueda solo son válidos para las cuentas profesionales o educativas.

Ejemplos de uso

Permisos delegados y de la aplicación

  • SearchConfiguration.Read.All: lee la lista de todos los marcadores creados para el inquilino (GET /beta/search/bookmarks)
  • SearchConfiguration.ReadWrite.All: actualiza o lee todos los marcadores creados para el inquilino (PATCH /beta/search/bookmarks/{id})

Permisos de seguridad

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
SecurityEvents.Read.All Leer los eventos de seguridad de la organización Permite a la aplicación leer los eventos de seguridad de la organización en nombre del usuario que ha iniciado sesión. No
SecurityEvents.ReadWrite.All Leer y actualizar los eventos de seguridad de la organización Permite a la aplicación leer los eventos de seguridad de la organización en nombre del usuario que ha iniciado sesión. También le permite actualizar las propiedades editables de los eventos de seguridad en nombre del usuario que ha iniciado sesión. No
SecurityActions.Read.All Leer las acciones de seguridad de la organización Permite a la aplicación leer las acciones de seguridad de la organización en nombre del usuario que ha iniciado sesión. No
SecurityActions.ReadWrite.All Leer y actualizar las acciones de seguridad de la organización Permite a la aplicación leer o actualizar las acciones de seguridad de la organización en nombre del usuario que ha iniciado sesión. No
ThreatIndicators.ReadWrite.OwnedBy Administrar los indicadores de amenazas que esta aplicación crea o posee Permite que la aplicación cree y administre por completo (lea, actualice y elimine) indicadores de amenazas en nombre del usuario que ha iniciado sesión. No
ThreatIndicators.Read.All Leer los indicadores de amenazas de su organización Permite que la aplicación lea todos los indicadores de amenazas de la organización, en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
SecurityEvents.Read.All Leer los eventos de seguridad de la organización Permite a la aplicación leer los eventos de seguridad de la organización
SecurityEvents.ReadWrite.All Leer y actualizar los eventos de seguridad de la organización Permite a la aplicación leer los eventos de seguridad de la organización También permite la aplicación actualizar propiedades editables de los eventos de seguridad.
SecurityActions.Read.All Leer los eventos de seguridad de la organización Permite a la aplicación leer las acciones de seguridad de la organización
SecurityActions.ReadWrite.All Crear y leer las acciones de seguridad de su organización Permite que la aplicación lea o cree acciones de seguridad sin la necesidad de que un usuario haya iniciado sesión.
ThreatIndicators.ReadWrite.OwnedBy Administrar los indicadores de amenazas que esta aplicación crea o posee Permite que la aplicación cree y administre por completo (lea, actualice y elimine) indicadores de amenazas sin necesidad de que un usuario haya iniciado sesión. No puede actualizar los indicadores de amenazas de los que no sea el propietario.
ThreatIndicators.Read.All Administrar los indicadores de amenazas que esta aplicación crea o posee Permite que la aplicación lea todos los indicadores de amenazas de la organización, sin la necesidad de que un usuario haya iniciado sesión.

Comentarios

Los permisos de seguridad solo son válidos en las cuentas profesionales o educativas.

Ejemplos de uso

Permisos delegados y de la aplicación

  • SecurityEvents.Read.All: leer la lista completa de alertas de seguridad de todos los proveedores de seguridad con licencia disponibles para su inquilino (GET /beta/security/alerts)
  • SecurityEvents.Write.All: actualizar o leer las alertas de seguridad de todos los proveedores de seguridad con licencia disponibles para su inquilino (PATCH /beta/security/alerts/{id})

Permisos de comunicaciones del servicio

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ServiceHealth.Read.All Leer el estado del servicio Permite que la aplicación lea la información de estado del servicio del inquilino en nombre del usuario que ha iniciado sesión. La información del estado puede incluir problemas de servicio o información general sobre el estado del servicio.
ServiceMessage.Read.All Leer los mensajes del servicio Permite que la aplicación lea los mensajes de anuncio del servicio del inquilino en nombre del usuario que ha iniciado sesión. Los mensajes pueden incluir información sobre características nuevas o modificadas.
ServiceMessageViewpoint.Write Actualizar el estado del usuario en los mensajes de anuncio del servicio Permite que la aplicación actualice el estado del usuario en los mensajes del servicio del inquilino en nombre del usuario que ha iniciado sesión. El estado del mensaje se puede marcar como leído, archivado o favorito.

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
ServiceHealth.Read.All Leer el estado del servicio Permite que la aplicación lea la información de estado del servicio del inquilino sin necesidad de que un usuario haya iniciado sesión. La información del estado puede incluir problemas de servicio o información general sobre el estado del servicio.
ServiceMessage.Read.All Leer los mensajes del servicio Permite que la aplicación lea los mensajes de anuncio del servicio del inquilino sin necesidad de que un usuario haya iniciado sesión. Los mensajes pueden incluir información sobre características nuevas o modificadas.

Permisos de notas breves (versión preliminar privada)

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ShortNotes.Read Leer notas breves del usuario con la sesión iniciada Permite que la aplicación lea todas las notas breves a las que el usuario que ha iniciado sesión tiene acceso. No
ShortNotes.ReadWrite Leer, crear, editar y eliminar notas breves del usuario con la sesión iniciada Permite que la aplicación lea, cree, edite y elimine las notas breves del usuario que ha iniciado sesión. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
ShortNotes.Read.All Leer las notas breves de todos los usuarios Permite que la aplicación lea todas las notas breves sin necesidad de que un usuario haya iniciado sesión.
ShortNotes.ReadWrite.All Leer, crear, editar y eliminar las notas breves de todos los usuarios Permite que la aplicación lea, cree, edite y elimine todas las notas breves sin necesidad de que un usuario haya iniciado sesión.

Permisos de sitios

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Sites.Read.All Leer los elementos de todas las colecciones de sitios Permite que la aplicación lea los documentos y enumere los elementos en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión. No No
Sites.ReadWrite.All Leer y escribir elementos en todas las colecciones de sitios. Permite que la aplicación edite o elimine los documentos y enumere los elementos en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión. No No
Sites.Manage.All Crear, editar y eliminar elementos y listas en todas las colecciones de sitios Permite que la aplicación administre y cree listas, documentos y elementos de listas en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión. No No
Sites.FullControl.All Tomar el control total de todas las colecciones de sitios Permite que la aplicación tenga control total de los sitios de SharePoint en todas las colecciones de sitios en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Sites.Read.All Leer los elementos de todas las colecciones de sitios Permite que la aplicación lea todos los documentos y elementos de lista de todas las colecciones de sitios sin necesidad de que un usuario haya iniciado sesión.
Sites.ReadWrite.All Leer y escribir elementos en todas las colecciones de sitios. Permite que la aplicación cree, lea, actualice y elimine documentos y elementos de lista de todas las colecciones de sitios sin necesidad de que un usuario haya iniciado sesión.
Sites.Manage.All Crear, editar y eliminar elementos y listas en todas las colecciones de sitios Permite a la aplicación administrar y crear listas, documentos y elementos de listas en todas las colecciones de sitios sin que un usuario haya iniciado sesión.
Sites.FullControl.All Tomar el control total de todas las colecciones de sitios Permite a la aplicación tener control total de los sitios de SharePoint en todas las colecciones de sitios sin que un usuario haya iniciado sesión.
Sites.Selected Acceder a las colecciones de sitios seleccionadas Permite que la aplicación tenga acceso a un subconjunto de colecciones de sitios sin que un usuario haya iniciado sesión. Las colecciones de sitios específicas y los permisos concedidos se configurarán en SharePoint Online.

Comentarios

Los permisos de sitios solo son válidos en las cuentas profesionales o educativas. El permiso de aplicación Sites.Selected solo está disponible en la API de Microsoft Graph.

Ejemplos de uso

Delegado

  • Sites.Read.All: leer las listas del sitio raíz de SharePoint (GET /v1.0/sites/root/lists).
  • Sites.ReadWrite.All: crear elementos de lista en una lista de SharePoint (POST /v1.0/sites/root/lists/123/items).
  • Sites.Manage.All: agregar una nueva lista a un sitio de SharePoint (POST /v1.0/sites/root/lists).
  • Sites.FullControl.All: acceso completo a listas y sitios de SharePoint.

Permisos de solicitud de derechos del interesado

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
SubjectRightsRequest.Read.All Leer solicitudes de derechos del interesado Permite que la aplicación lea las solicitudes de derechos del interesado en nombre del usuario que ha iniciado sesión. No
SubjectRightsRequest.ReadWrite.All Leer y escribir solicitudes de derechos del interesado Permite que la aplicación lea y escriba las solicitudes de derechos del interesado en nombre del usuario que ha iniciado sesión. No

Permisos de la aplicación

Ninguno.

Ejemplos de uso

Delegated

  • SubjectRightsRequest.Read.All_: obtener la lista de solicitudes de derechos del interesado disponibles para el usuario (GET /privacy/subjectrightsrequests).
  • SubjectRightsRequest.ReadWrite.All: crear una solicitud de derechos del interesado (POST /privacy/subjectrightsrequests).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de tareas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Tasks.Read Leer las listas de tareas y tareas del usuario (versión preliminar) Permite que la aplicación lea las tareas del usuario que ha iniciado sesión y las listas de tareas, incluidas las compartidas con el usuario. No incluye permisos para crear, eliminar o actualizar nada. No
Tasks.Read.Shared Leer tareas del usuario y tareas compartidas (versión preliminar) Permite que la aplicación lea las tareas para las que el usuario tiene permisos de acceso, incluidas las tareas propias y compartidas del usuario. No No
Tasks.ReadWrite Crear, leer, actualizar y eliminar tareas y listas de tareas del usuario (versión preliminar) Permite que la aplicación cree, lea, actualice y elimine las tareas y listas de tareas del usuario que ha iniciado sesión, incluido cualquier recurso compartido con el usuario. No
Tasks.ReadWrite.Shared Leer y escribir las tareas del usuario y tareas compartidas (versión preliminar) Permite que la aplicación cree, lea, actualice y elimine las tareas para las que el usuario tiene permisos, incluidas las tareas propias y compartidas. No No

Permisos de la aplicación

Ninguno.

Comentarios

Los permisos Tasks se usan para controlar el acceso a las tareas de To Do y Outlook (en desuso). El acceso a las tareas de Microsoft Planner se controla mediante permisos de grupo.

Los permisos Shared actualmente solo se admiten para las cuentas profesionales o educativas. Incluso con permisos Shared, puede producirse un error en las lecturas y las escrituras si el usuario que posee el contenido compartido no ha concedido al usuario que tiene acceso los permisos necesarios para modificar el contenido de la carpeta.

Ejemplos de uso

Delegado

  • Tasks.Read: obtener todas las tareas del buzón de un usuario (GET /me/outlook/tasks).
  • Tasks.Read.Shared: tener acceso a las tareas de una carpeta que otro usuario de la organización ha compartido con usted (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite: agregar un evento a la carpeta de tareas predeterminada del usuario (POST /me/outlook/tasks).
  • Tasks.Read: obtener todas las tareas sin completar del buzón de un usuario (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite: actualizar una tarea del buzón de un usuario (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared: completar una tarea en nombre de otro usuario (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de taxonomía

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TermStore.Read.All Leer datos del almacén de términos Permite que la aplicación lea varios términos, conjuntos y grupos en el almacén de términos No
TermStore.ReadWrite.All Leer y escribir todos los datos del almacén de términos Permite que la aplicación edite o elimine términos, conjuntos y grupos en el almacén de términos No

Comentarios

Los permisos de taxonomía solo son válidos en las cuentas profesionales o educativas.

Ejemplos de uso

Delegated

  • TermStore.Read.All: leer el termstore del espacio empresarial (GET /termStore)
  • TermStore.ReadWrite.All: crear términos nuevos en el termStore (POST /termStore/sets/123/children)

Permisos de Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Team.ReadBasic.All Leer los nombres y descripciones de los equipos Leer los nombres y descripciones de los equipos en nombre del usuario con la sesión iniciada. No No
Team.Create Crear equipos Crear equipos en nombre del usuario con la sesión iniciada. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Team.ReadBasic.All Obtener una lista de todos los equipos Obtener una lista de todos los equipos, sin un usuario que haya iniciado sesión. No
Team.Create Crear equipos Crear equipos sin un usuario que haya iniciado sesión. No
Teamwork.Migrate.All Administrar la migración a Microsoft Teams Creación y administración de recursos para la migración a Microsoft Teams

Permisos de configuración de equipo

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamSettings.Read.All Leer la configuración de equipos Leer la configuración de este equipo, en nombre del usuario con la sesión iniciada. No
TeamSettings.ReadWrite.All Leer y cambiar la configuración de equipos Leer y cambiar la configuración de todos los equipos en nombre del usuario que ha iniciado sesión. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamSettings.Read.All Leer la configuración de todos los equipos Leer la configuración de este equipo, sin que un usuario haya iniciado sesión. No
TeamSettings.ReadWrite.All Leer y cambiar la configuración de todos los equipos. Leer y cambiar la configuración de todos los equipos, sin un usuario que haya iniciado sesión. No

Permisos de actividad de Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsActivity.Read (versión preliminar privada) Leer la fuente de actividades de trabajo en equipo de usuario Permite que la aplicación lea la fuente de actividades de trabajo en equipo del usuario que ha iniciado sesión. No No
TeamsActivity.Send Enviar una actividad de trabajo en equipo como el usuario Permite que la aplicación cree notificaciones en las fuentes de actividad de trabajo en equipo de los usuarios en nombre del usuario que haya iniciado sesión. Es posible que estas notificaciones no se puedan detectar, retener o regir por directivas de cumplimiento. No No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsActivity.Read.All (versión preliminar privada) Leer la fuente de actividades de trabajo de equipo de todos los usuarios Permite que la aplicación lea la fuente de actividades del trabajo en equipo de todos los usuarios, sin necesidad de que un usuario haya iniciado sesión. No
TeamsActivity.Send Enviar una actividad de trabajo en equipo a cualquier usuario Permite que la aplicación cree notificaciones en las fuentes de actividad de trabajo en equipo de los usuarios sin un usuario que haya iniciado sesión. Es posible que estas notificaciones no se puedan detectar, retener o regir por directivas de cumplimiento. No

Permisos de la aplicación Teams (en desuso)

Nota

Estos permisos están en desuso. En su lugar, utilice los permisos equivalentes TeamsAppInstallation.*.All.

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsApp.Read.All (Deprecated) Leer todas las aplicaciones instaladas de Teams Permite que la aplicación lea las aplicaciones de Teams instaladas para el usuario que ha iniciado sesión y en todos los equipos de los que el usuario es miembro. No permite leer la configuración específica de una aplicación. No
TeamsApp.ReadWrite.All (Deprecated) Administrar todas las aplicaciones de Teams Permite que la aplicación lea, instale, actualice y desinstale aplicaciones de Teams en nombre del usuario que ha iniciado sesión, así como para los equipos de los que el usuario sea miembro. No ofrece la capacidad de leer o escribir configuración específica de una aplicación. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsApp.Read.All (Deprecated) Lea todas las aplicaciones de Teams instaladas de los usuarios Permite que la aplicación lea las aplicaciones de Teams que están instaladas para cualquier usuario sin necesidad de que un usuario haya iniciado sesión. No permite leer la configuración específica de una aplicación. No
TeamsApp.ReadWrite.All (Deprecated) Administrar aplicaciones de Teams de todos los usuarios Permite que la aplicación lea, instale, actualice y desinstale aplicaciones de Teams para cualquier usuario, sin necesidad de que un usuario haya iniciado sesión. No ofrece la capacidad de leer o escribir configuración específica de una aplicación. No

Permisos de instalación de la aplicación de Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsAppInstallation.ReadForUser Leer las aplicaciones de Teams instaladas del usuario Permite que la aplicación lea las aplicaciones de Teams que están instaladas para el usuario que ha iniciado sesión. No permite leer la configuración específica de una aplicación. No No
TeamsAppInstallation.ReadWriteForUser Administrar aplicaciones de Teams instaladas del usuario Permite que la aplicación lea, instale, actualice y desinstale las aplicaciones de Teams instaladas para el usuario que ha iniciado sesión. No permite leer la configuración específica de una aplicación. No
TeamsAppInstallation.ReadWriteSelfForUser Permitir que la aplicación se administre a sí misma en equipos Permite que una aplicación de Teams se lea, instale, actualice y desinstale a sí misma en los equipos a los que el usuario que ha iniciado sesión tenga acceso. No No
TeamsAppInstallation.ReadForTeam Leer aplicaciones de Teams instaladas en los equipos Permite que la aplicación lea las aplicaciones de Teams instaladas en equipos a los que el usuario que ha iniciado sesión puede acceder. No permite leer la configuración específica de una aplicación. No
TeamsAppInstallation.ReadWriteForTeam Administrar aplicaciones de Teams instaladas en los equipos Permite que la aplicación lea, instale, actualice y desinstale aplicaciones de Teams en equipos a los que el usuario que ha iniciado sesión puede acceder. No permite leer la configuración específica de una aplicación. No
TeamsAppInstallation.ReadWriteSelfForTeam Permitir que la aplicación se administre a sí misma en equipos Permite que una aplicación de Teams se lea, instale, actualice y desinstale a sí misma en los equipos a los que el usuario que ha iniciado sesión tenga acceso. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
TeamsAppInstallation.ReadForUser.All Lea las aplicaciones de Teams instaladas para todos los usuarios Permite que la aplicación lea las aplicaciones de Teams que están instaladas para cualquier usuario sin necesidad de que un usuario haya iniciado sesión. No permite leer la configuración específica de una aplicación.
TeamsAppInstallation.ReadWriteForUser.All Administrar aplicaciones de Teams para todos los usuarios Permite que la aplicación lea, instale, actualice y desinstale aplicaciones de Teams para cualquier usuario, sin necesidad de que un usuario haya iniciado sesión. No ofrece la capacidad de leer la configuración específica de una aplicación.
TeamsAppInstallation.ReadWriteSelfForUser.All Permitir que la aplicación se administre a sí misma para todos los usuarios Permite que una aplicación de Teams se lea, instale, actualice y desinstale a sí misma para cualquier usuario sin que un usuario haya iniciado sesión.
TeamsAppInstallation.ReadForTeam.All Lea las aplicaciones de Teams instaladas para todos los equipos Permite que la aplicación lea las aplicaciones de Teams que están instaladas en cualquier equipo sin necesidad de que un usuario haya iniciado sesión. No permite leer la configuración específica de una aplicación.
TeamsAppInstallation.ReadWriteForTeam.All Administrar aplicaciones de Teams para todos los equipos Permite que la aplicación lea, instale, actualice y desinstale aplicaciones de Teams en cualquier equipo, sin necesidad de que un usuario haya iniciado sesión. No ofrece la capacidad de leer la configuración específica de una aplicación.
TeamsAppInstallation.ReadWriteSelfForTeam.All Permitir que la aplicación de Teams se administre a sí misma para todos los equipos Permite que una aplicación de Teams se lea, instale, actualice y desinstale a sí misma en cualquier equipo sin que un usuario haya iniciado sesión.

Permisos de administración de dispositivos con Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamworkDevice.Read.All Lea dispositivos con Teams. Permite a la aplicación leer los datos de administración de dispositivos con Teams en nombre del usuario que ha iniciado sesión. No
TeamworkDevice.ReadWrite.All Lea y escriba en dispositivos con Teams. Permite que la aplicación lea y escriba los datos de administración de dispositivos con Teams en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamworkDevice.Read.All Lea dispositivos con Teams. Permite que la aplicación lea los datos de administración de dispositivos con Teams sin que un usuario haya iniciado sesión. No
TeamworkDevice.ReadWrite.All Lea y escriba en dispositivos con Teams. Permite que la aplicación lea y escriba los datos de administración de dispositivos con Teams sin que un usuario haya iniciado sesión. No

Permisos de miembro de grupo

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamMember.Read.All Lea a los miembros de los equipos. Lea a los miembros de equipos, en nombre del usuario con la sesión iniciada. No
TeamMember.ReadWrite.All Agregar y quitar miembros de equipos. Agregar y quitar miembros de equipos, en nombre del usuario con la sesión iniciada. También permite cambiar la función de un miembro, por ejemplo, del propietario al no propietario. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamMember.Read.All Lea los miembros de todos los equipos. Lea a los miembros de todos los equipos, sin un usuario registrado. No
TeamMember.ReadWrite.All Agregue y quite miembros de todos los canales. Agregue y quite miembros de todos los canales, sin un usuario registrado. También permite cambiar la función de un miembro del equipo, por ejemplo del propietario al no propietario. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamSettings.Read.Group Leer la configuración de este equipo. Leer la configuración de este equipo, sin que un usuario haya iniciado sesión. No No
TeamSettings.ReadWrite.Group Actualizar la configuración de este equipo. Leer y escribir la configuración de este equipo, sin que un usuario haya iniciado sesión. No No
ChannelSettings.Read.Group Leer los nombres, las descripciones y la configuración de los canales de este equipo. Leer los nombres, las descripciones y la configuración del canal de este grupo, sin que un usuario haya iniciado sesión. No No
ChannelSettings.ReadWrite.Group Actualizar los nombres, las descripciones y la configuración de los canales de este equipo. Actualizar los nombres, las descripciones y la configuración del canal de este grupo, sin que un usuario haya iniciado sesión. No No
Channel.Create.Group Crear canales en este equipo. Crear canales en este grupo, sin que un usuario haya iniciado sesión. No No
Channel.Delete.Group Eliminar los canales de este equipo. Eliminar los canales de este grupo, sin que un usuario haya iniciado sesión. No No
ChannelMessage.Read.Group Leer los mensajes de canal del equipo. Permite a una aplicación leer los mensajes del canal de este grupo, sin que un usuario haya iniciado sesión. No No
TeamsAppInstallation.Read.Group Ver qué aplicaciones están instaladas en este equipo. Ver qué aplicaciones están instaladas en este grupo, sin que un usuario haya iniciado sesión. No No
TeamsTab.Read.Group Leer las pestañas de este equipo. Leer las pestañas de este grupo, sin que un usuario haya iniciado sesión. No No
TeamsTab.Create.Group Crear pestañas en este equipo. Crear pestañas en este grupo, sin que un usuario haya iniciado sesión. No No
TeamsTab.ReadWrite.Group Actualizar las pestañas de este equipo. Actualizar las pestañas de este grupo, sin que un usuario haya iniciado sesión. No No
TeamsTab.Delete.Group Eliminar las pestañas de este equipo. Eliminar las pestañas de este grupo, sin que un usuario haya iniciado sesión. No No
TeamMember.Read.Group Leer a los miembros de este equipo. Leer los miembros de este grupo, sin que un usuario haya iniciado sesión. No No
Member.Read.Group Leer a los miembros de este grupo. Leer los miembros de este grupo, sin que un usuario haya iniciado sesión. No No
Owner.Read.Group Lea a los propietarios de este grupo. Leer los propietarios de este grupo, sin que un usuario haya iniciado sesión. No No
File.Read.Group Leer los archivos y carpetas de este grupo. Compatibilidad limitada
(Vista previa) Leer los archivos y carpetas de este equipo, sin que los usuarios hayan iniciado sesión.		 No No
TeamsActivity.Send.Group Enviar notificaciones de fuente de actividad a los usuarios de este equipo. Permite que la aplicación cree nuevas notificaciones en las fuentes de actividad de trabajo en equipo de los usuarios de este equipo sin que un usuario haya iniciado sesión. No No

Permisos de configuración de Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Team.ReadBasic.All Leer los nombres y descripciones de los equipos Leer los nombres y descripciones de los equipos, en nombre del usuario con la sesión iniciada. No No
TeamSettings.Read.All Leer la configuración de equipos Leer la configuración de todos los equipos, en nombre del usuario con la sesión iniciada. No
TeamSettings.ReadWrite.All Leer y cambiar la configuración de equipos. Leer y cambiar la configuración de todos los equipos en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Team.ReadBasic.All Obtener una lista de todos los equipos. Obtener una lista de todos los equipos, sin un usuario que haya iniciado sesión. No
TeamSettings.Read.All Leer la configuración de todos los equipos Leer la configuración de este equipo, sin que un usuario haya iniciado sesión. No
TeamSettings.ReadWrite.All Leer y cambiar la configuración de todos los equipos Leer y cambiar la configuración de todos los equipos, sin un usuario que haya iniciado sesión. No

Permisos de la pestaña de Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsTab.Read.All Leer pestañas en Microsoft Teams. Permite que la aplicación lea las aplicaciones de Teams instaladas para el usuario que ha iniciado sesión y en todos los equipos de los que el usuario es miembro. No permite leer la configuración específica de una aplicación. No
TeamsTab.ReadWrite.All Leer y escribir pestañas en Microsoft Teams. Permite que la aplicación lea, instale, actualice y desinstale aplicaciones de Teams en nombre del usuario que ha iniciado sesión, así como para los equipos de los que el usuario sea miembro. No ofrece la capacidad de leer o escribir configuración específica de una aplicación. No
TeamsTab.Create Crear pestañas en Microsoft Teams. Permite que la aplicación cree pestañas en cualquier equipo de Microsoft Teams en nombre del usuario que ha iniciado sesión. Esto no concede la posibilidad de leer, modificar o eliminar las pestañas después de que se creen, o de dar acceso al contenido dentro de las pestañas. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamsTab.Read.All Leer pestañas en Microsoft Teams. Leer los nombres y las opciones de las pestañas de un equipo en Microsoft Teams, sin un usuario que haya iniciado sesión. Esto no da acceso al contenido de las pestañas. No
TeamsTab.ReadWrite.All Leer y escribir pestañas en Microsoft Teams. Leer y escribir pestañas en cualquier equipo en Microsoft Teams, sin un usuario que haya iniciado sesión. Esto no da acceso al contenido de las pestañas. No
TeamsTab.Create Crear pestañas en Microsoft Teams. Permite que la aplicación cree pestañas en cualquier equipo de Microsoft Teams, sin un usuario que haya iniciado sesión. Esto no concede la posibilidad de leer, modificar o eliminar las pestañas después de que se creen, o de dar acceso al contenido dentro de las pestañas. No

Permisos de la pestaña de Teams

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamworkTag.ReadWrite Leer y escribir etiquetas en Microsoft Teams. Permite que la aplicación lea y escriba etiquetas en Teams, en nombre del usuario que ha iniciado sesión. No
TeamworkTag.Read Leer etiquetas en Microsoft Teams. Permite que la aplicación lea etiquetas en Teams, en nombre del usuario que ha iniciado sesión. No

Permisos de la aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
TeamworkTag.ReadWrite.All Leer y escribir etiquetas en Microsoft Teams. Permite que la aplicación lea y escriba etiquetas en Teams sin necesidad de que el usuario haya iniciado sesión. No
TeamworkTag.Read.All Leer etiquetas en Microsoft Teams. Permite que la aplicación lea etiquetas en Teams sin necesidad de que el usuario haya iniciado sesión No

Permisos de términos de uso

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Agreement.Read.All Leer todos los acuerdos de términos de uso Permite a la aplicación leer los acuerdos de términos de uso en nombre del usuario que inició sesión. No
Agreement.ReadWrite.All Leer y escribir todos los acuerdos de términos de uso Permite a la aplicación leer y escribir los acuerdos de términos de uso en nombre del usuario que inició sesión. No
AgreementAcceptance.Read Leer los estados de aceptación de los términos de uso del usuario Permite a la aplicación leer los estados de aceptación de los términos de uso en nombre del usuario que inició sesión. No
AgreementAcceptance.Read.All Leer los estados de aceptación de los términos de uso del usuario a los que el usuario tiene acceso Permite a la aplicación leer los estados de aceptación de los términos de uso en nombre del usuario que inició sesión. No

Observaciones

Todos los permisos anteriores solo son válidos en las cuentas profesionales o educativas.

Para que una aplicación lea o escriba todos los acuerdos o las aceptaciones de acuerdo con permisos delegados, el usuario que ha iniciado sesión debe tener asignado el rol de administrador global, administrador de acceso condicional o administrador de seguridad. Para más información sobre los roles de administrador, vea Asignar roles de administrador en Azure Active Directory.

Ejemplos de uso

Delegado

Los siguientes usos son válidos para ambos permisos delegados:

  • Agreement.Read.All: Leer todos los acuerdos de términos de uso (GET /beta/agreements)
  • Agreement.ReadWrite.All: Leer y escribir todos los acuerdos de términos de uso (POST /beta/agreements)
  • AgreementAcceptance.Read: Leer los estados de aceptación de los términos de uso (GET /beta/me/agreementAcceptances)

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de evaluación de amenazas

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
ThreatAssessment.ReadWrite.All Solicitudes de evaluación de amenazas de lectura y escritura Permite que una aplicación lea las solicitudes de evaluación de amenazas de su organización en nombre del usuario que inició sesión. También permite a la aplicación crear nuevas solicitudes para evaluar las amenazas que recibe la organización en nombre del usuario que inició sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
ThreatAssessment.Read.All Solicitudes de evaluación de amenazas de lectura Permite que una aplicación lea las solicitudes de evaluación de amenazas de su organización, sin un usuario que haya iniciado sesión.

Comentarios

Los permisos de evaluación de amenazas solo son válidos en cuentas profesionales o educativas.

Ejemplos de uso

Delegated

  • ThreatAssessment.ReadWrite.All: solicitudes de evaluación de amenazas de lectura y escritura (POST /informationProtection/threatAssessmentRequests)

Aplicación

  • ThreatAssessment.ReadWrite.All: solicitudes de evaluación de amenazas de lectura (GET /informationProtection/threatAssessmentRequests)

Permisos de impresión universal

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
Printer.Create Registrar impresoras Permite que la aplicación cree (registre) impresoras en nombre del usuario que ha iniciado sesión. No
Printer.FullControl.All Registrar, leer, actualizar impresoras y anular registros de impresoras Permite que la aplicación cree (registre), lea, actualice y elimine (anule el registro) impresoras en nombre del usuario que ha iniciado sesión. No
Printer.Read.All Leer impresoras Permite que la aplicación lea impresoras en nombre del usuario que ha iniciado sesión. No
Printer.ReadWrite.All Leer y actualizar impresoras Permite que la aplicación lea y actualice impresoras en nombre del usuario que ha iniciado sesión. No permite la creación (registro) ni la eliminación (anulación de registro) de impresoras. No
PrinterShare.ReadBasic.All Leer información básica sobre los recursos compartidos de impresoras Permite que la aplicación lea información básica sobre los recursos compartidos de impresora en nombre del usuario que ha iniciado sesión. No permite leer información de control de acceso. No No
PrinterShare.Read.All Leer recursos compartidos de impresión Permite que la aplicación lea los recursos compartidos de impresión en nombre del usuario que ha iniciado sesión. No No
PrinterShare.ReadWrite.All Leer y escribir recursos compartidos de impresión Permite que la aplicación lea y actualice los recursos compartidos de impresión en nombre del usuario que ha iniciado sesión. No
PrintJob.Create Crear trabajos de impresión Permite que la aplicación cree trabajos de impresión en nombre del usuario que inició sesión y cargue el contenido del documento para imprimir trabajos que creó el usuario que inició sesión. No No
PrintJob.Read Leer los trabajos de impresión del usuario Permite que la aplicación lea los metadatos y el contenido de los documentos de los trabajos de impresión que el usuario que ha iniciado sesión ha creado. No No
PrintJob.Read.All Leer trabajos de impresión Permite que la aplicación lea los metadatos y el contenido de los documentos de los trabajos de impresión en nombre del usuario que ha iniciado sesión. No
PrintJob.ReadBasic Leer información básica de trabajos de impresión del usuario Permite que la aplicación lea los metadatos de los trabajos de impresión que el usuario que ha iniciado sesión ha creado. No permite el acceso al contenido de los documentos del trabajo de impresión. No No
PrintJob.ReadBasic.All Leer información básica de trabajos de impresión Permite que la aplicación lea los metadatos de los trabajos de impresión en nombre del usuario que ha iniciado sesión. No permite el acceso al contenido de los documentos del trabajo de impresión. No
PrintJob.ReadWrite Leer y escribir trabajos de impresión del usuario Permite que la aplicación lea y actualice los metadatos y el contenido de los documentos de los trabajos de impresión que el usuario que ha iniciado sesión ha creado. No No
PrintJob.ReadWrite.All Leer y escribir trabajos de impresión Permite que la aplicación lea y actualice los metadatos y el contenido de los documentos de los trabajos de impresión en nombre del usuario que ha iniciado sesión. No
PrintJob.ReadWriteBasic Leer y escribir información básica de trabajos de impresión del usuario Permite que la aplicación lea y actualice los metadatos de los trabajos de impresión que el usuario que ha iniciado sesión ha creado. No permite el acceso al contenido de los documentos del trabajo de impresión. No No
PrintJob.ReadWriteBasic.All Leer y escribir información básica de trabajos de impresión Permite que la aplicación lea y actualice los metadatos de los trabajos de impresión en nombre del usuario que ha iniciado sesión. No permite el acceso al contenido de los documentos del trabajo de impresión. No
PrintConnector.Read.All Leer conectores Permite que la aplicación lea los recursos compartidos en nombre del usuario que ha iniciado sesión. No
PrintConnector.ReadWrite.All Leer y escribir conectores de impresión Permite que la aplicación lea y escriba conectores de impresión en nombre del usuario que inició sesión. No
PrintSettings.Read.All Leer la configuración de impresión de todo el espacio empresarial Permite que la aplicación lea la configuración de impresión en nombre del usuario que ha iniciado sesión. No
PrintSettings.ReadWrite.All Leer y escribir la configuración de impresión en todo el espacio empresarial Permite que la aplicación lea y actualice la configuración de impresión en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
Printer.Read.All Leer impresoras Permite que la aplicación lea las impresoras sin necesidad de que un usuario haya iniciado sesión.
Printer.ReadWrite.All Leer y actualizar impresoras Permite que la aplicación lea y actualice las impresoras sin necesidad de que un usuario haya iniciado sesión. No permite la creación (registro) ni la eliminación (anulación de registro) de impresoras.
PrintJob.Manage.All Realizar operaciones avanzadas en trabajos de impresión Permite que la aplicación realice operaciones avanzadas, como redirigir un trabajo de impresión a otra impresora, sin necesidad de que un usuario haya iniciado sesión. También permite que la aplicación lea y actualice los metadatos de los trabajos de impresión.
PrintJob.Read.All Leer trabajos de impresión Permite que la aplicación lea los metadatos y el contenido de los documentos de los trabajos de impresión sin que un usuario haya iniciado sesión.
PrintJob.ReadBasic.All Leer información básica de trabajos de impresión Permite que la aplicación lea los metadatos de los trabajos de impresión sin que un usuario haya iniciado sesión. No permite el acceso al contenido de los documentos del trabajo de impresión.
PrintJob.ReadWrite.All Leer y escribir trabajos de impresión Permite que la aplicación lea y actualice los metadatos y el contenido de los documentos de los trabajos de impresión sin que un usuario haya iniciado sesión.
PrintJob.ReadWriteBasic.All Leer y escribir información básica de trabajos de impresión Permite que la aplicación lea y actualice los metadatos de los trabajos de impresión sin que un usuario haya iniciado sesión. No permite el acceso al contenido de los documentos del trabajo de impresión.
PrintTaskDefinition.ReadWrite.All Leer, escribir y actualizar definiciones de tareas de impresión Permite que la aplicación lea y actualice las definiciones de tareas impresión sin necesidad de que un usuario haya iniciado sesión.

Comentarios

  • Para usar el servicio de Impresión universal, el usuario o el espacio empresarial de la aplicación debe tener una suscripción activa de Impresión universal, además de los permisos enumerados anteriormente.

  • Algunos permisos distinguen entre metadatos de trabajos de impresión y carga útil. Los metadatos describen la configuración de un trabajo de impresión (su nombre y la configuración del documento, como si se debe grapar o imprimir en color). La carga útil son los datos del documento en sí (el archivo PDF o XPS que se imprimirá).

  • Todos los permisos de PrintJob.* también requieren al menos Printer.Read.All (o un permiso con más privilegios) porque los trabajos de impresión se almacenan en las impresoras.

Ejemplos de uso

Delegado

  • Printer.Read.All: obtener una lista de todas las impresoras en el espacio empresarial (GET /print/printers)
  • PrintJob.Read.All: obtener una lista de todos los trabajos de impresión en cola de una impresora (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: eliminar (anular el registro) una impresora (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: actualizar metadatos (por ejemplo, el estado actual) de trabajos de impresión (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: crear trabajos de impresión y cargar los datos del documento (POST /print/printers/{id}/jobs)

Aplicación

  • Printer.Read.All: obtener una lista de todas las impresoras en el espacio empresarial (GET /print/printers)

Permisos de usuario

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
User.Read Iniciar sesión y leer el perfil del usuario Permite a los usuarios iniciar sesión en la aplicación y permite a la aplicación leer el perfil de los usuarios que han iniciado sesión. También permite que la aplicación lea la información empresarial básica de los usuarios que han iniciado sesión. No
User.ReadWrite Acceso al perfil del usuario para la lectura y la escritura Permite a la aplicación leer el perfil completo del usuario que inició la sesión. También permite a la aplicación actualizar la información del perfil del usuario que inició la sesión en su nombre. No
User.ReadBasic.All Leer perfiles básicos de todos los usuarios Permite a la aplicación leer un conjunto básico de propiedades del perfil de otros usuarios de su organización en nombre del usuario que inició la sesión. Entre estas propiedades, se incluye el nombre para mostrar, el nombre y los apellidos, la dirección de correo electrónico, las extensiones abiertas y la foto. También permite a la aplicación leer el perfil completo del usuario que inició la sesión. No No
User.Read.All Leer los perfiles completos de todos los usuarios Permite que la aplicación lea el conjunto completo de las propiedades del perfil, los informes y los administradores de otros usuarios de su organización, en nombre del usuario que ha iniciado sesión. No
User.ReadWrite.All Leer los perfiles completos de todos los usuarios y escribir en ellos Permite que la aplicación lea y escriba el conjunto completo de las propiedades del perfil, los informes y los administradores de otros usuarios de su organización, en nombre del usuario que ha iniciado sesión. También permite que la aplicación cree y elimine usuarios, así como restablecer contraseñas de usuario en nombre del usuario que ha iniciado sesión. No
User.Invite.All Invitar a usuarios a la organización Permite que la aplicación invite a usuarios a la organización en nombre del usuario que ha iniciado sesión. No
User.Export.All Exportar datos de usuarios Permite a la aplicación exportar los datos de un usuario de la organización por un administrador de la compañía. No
User.ManageIdentities.All Administrar identidades de usuario Permite que una aplicación lea, actualice y elimine identidades que estén asociadas a una cuenta de usuario, a las que tiene acceso el usuario que ha iniciado sesión. Esto controla con qué identidades pueden iniciar sesión los usuarios. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
User.Read.All Leer los perfiles completos de todos los usuarios Permite que la aplicación lea el conjunto completo de las propiedades del perfil, las pertenencias del grupo, los informes y los administradores de otros usuarios de su organización, sin un usuario que ha iniciado sesión.
User.ReadWrite.All Leer los perfiles completos de todos los usuarios y escribir en ellos Permite que la aplicación lea y escriba el conjunto completo de las propiedades del perfil, las pertenencias del grupo, los informes y los administradores de otros usuarios de su organización sin la necesidad de que un usuario haya iniciado sesión. También permite que la aplicación cree y elimine usuarios no administrativos. No permite el restablecimiento de contraseñas de usuario.
User.Invite.All Invitar a usuarios a la organización Permite que la aplicación invite a usuarios a la organización sin la necesidad de que un usuario haya iniciado sesión.
User.Export.All Exportar datos de usuarios Permite a la aplicación exportar datos de los usuarios de la organización sin un usuario autenticado.
User.ManageIdentities.All Administrar todas las identidades de usuario Permite que una aplicación lea, actualice y elimine identidades que estén asociadas con una cuenta de usuario, sin que un usuario haya iniciado sesión. Esto controla con qué identidades pueden iniciar sesión los usuarios.

Comentarios

Con el permiso User.Read, una aplicación también puede leer información empresarial básica del usuario que ha iniciado sesión para una cuenta profesional o educativa en el recurso de organización. Están disponibles las propiedades siguientes: id, displayName y verifiedDomains.

En el caso de las cuentas profesionales o educativas, el perfil completo incluye todas las propiedades declaradas del recurso usuario. En las lecturas, solo se devuelve de forma predeterminada un número limitado de propiedades. Para leer las propiedades que no están incluidas en el conjunto predeterminado, use $select. Las propiedades predeterminadas son:

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

Los permisos delegados User.ReadWrite y User.Readwrite.All permiten que la aplicación actualice las siguientes propiedades de perfil para las cuentas profesionales o educativas:

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • photo
  • preferredName
  • responsibilities
  • schools
  • skills

Con el permiso de la aplicación User.ReadWrite.All, la aplicación puede actualizar todas las propiedades declaradas de las cuentas profesionales o educativas, excepto la contraseña.

Con el permiso User.ReadWrite.All de aplicación o delegado, la actualización de la propiedad businessPhones, mobilePhone u otherMails de otro usuario solo está permitida en usuarios que no son administradores o que tienen asignados uno de los siguientes roles: Lectores de directorio, Invitador de usuarios, Lector del Centro de mensajes y Lector de informes. Para más información, consulte Administrador (contraseña) de soporte técnico en roles disponibles de Azure AD.

Para leer o escribir subordinados directos (directReports) o el administrador (manager) de una cuenta profesional o educativa, la aplicación debe tener el permiso User.Read.All (solo lectura) o User.ReadWrite.All.

El permiso User.ReadBasic.All restringe el acceso de la aplicación a un conjunto limitado de propiedades conocidas como perfil básico. Esto se debe a que el perfil completo podría contener información confidencial del directorio. El perfil básico incluye solo las propiedades siguientes:

  • displayName
  • givenName
  • mail
  • photo
  • surname
  • userPrincipalName

Para leer las pertenencias a grupos de un usuario (memberOf), la aplicación debe tener el permiso Group.Read.All o Group.ReadWrite.All. Pero si el usuario es también miembro de directoryRole o administrativeUnit, la aplicación necesitará permisos efectivos para leer esos recursos. De lo contrario, Microsoft Graph devolverá un error. Esto significa que la aplicación también necesitará permisos de directorio y, para los permisos delegados, el usuario que ha iniciado sesión también necesitará privilegios suficientes en la organización para obtener acceso a los roles del directorio y las unidades administrativas.

Con el permiso de aplicación o delegado User.ManageIdentities.All es posible actualizar las identidades (identities) de un usuario. Esto incluye identidades federadas (o sociales) o locales con correo electrónico o nombres de inicio de sesión basados en el nombre.

Ejemplos de uso

Delegado

  • User.Read: leer el perfil completo del usuario que ha iniciado sesión (GET /me).
  • User.ReadWrite: actualizar la fotografía del usuario que ha iniciado sesión (PUT /me/photo/$value).
  • User.ReadBasic.All: buscar todos los usuarios cuyo nombre empieza por "David" (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All: leer el administrador de un usuario (GET /users/{id | userPrincipalName}/manager).

Aplicación

  • User.Read.All: leer todos los usuarios y las relaciones mediante una consulta delta (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All: actualizar la fotografía de cualquier usuario de la organización (PUT /users/{id | userPrincipalName}/photo/$value).

Para obtener información sobre escenarios más complejos que implican varios permisos, vea Escenarios de permisos.

Permisos de actividad de usuario

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
UserActivity.ReadWrite.CreatedByApp Leer y escribir la actividad de la aplicación en la fuente de actividades de los usuarios Permite a la aplicación leer la actividad del usuario que inició la sesión en la aplicación e informar sobre las actividades. No

Permisos de la aplicación

Ninguno.

Comentarios

UserActivity.ReadWrite.CreatedByApp es válido tanto para cuentas Microsoft, como para cuentas profesionales o educativas.

La restricción de CreatedByApp asociada a este permiso indica que el servicio aplicará un filtrado implícito en los resultados basándose en la identidad de la aplicación que realiza la llamada, ya sea el id. de la aplicación de MSA o un conjunto de id. de aplicaciones configurado para una identidad de aplicación multiplataforma.

Ejemplos de uso

Delegado

  • UserActivity.ReadWrite.CreatedByApp: obtiene una lista de las actividades de usuario únicas recientes basadas en los elementos del historial asociados publicados el último día. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: publica o actualiza una actividad de usuario que puede reanudar el usuario de la aplicación. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp: publica o actualizar un elemento del historial para una actividad de usuario especificada con el fin de representar el período de interacción del usuario. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp: elimina una actividad de usuario en respuesta a una solicitud iniciada por el usuario, o con el fin de quitar datos no válidos. (DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp: elimina un elemento del historial en respuesta a una solicitud iniciada por el usuario, o bien para quitar datos no válidos. (DELETE /me/activities/{id}/historyItems/{id}).

Permisos de método de autenticación de usuario (versión preliminar)

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
UserAuthenticationMethod.Read (versión preliminar ) Leer métodos de autenticación propios Permite que la aplicación lea los métodos de autenticación del usuario que inició sesión, incluidos los números de teléfono y la configuración de la aplicación Authenticator. Esto impide que la aplicación vea información secreta, como las contraseñas del usuario que ha iniciado sesión. O que inicie sesión o que utilice los métodos de autenticación del usuario que inició sesión. No
UserAuthenticationMethod.Read.All (versión preliminar) Leer los métodos de autenticación de los usuarios Permite que la aplicación lea los métodos de autenticación de todos los usuarios de su organización a los que tiene acceso el usuario que inició sesión. Los métodos de autenticación incluyen datos como los números de teléfono de un usuario y la configuración de la aplicación Authenticator. Esto impide que la aplicación vea información secreta, como las contraseñas del usuario que ha iniciado sesión. O que inicie sesión o que utilice los métodos de autenticación. No
UserAuthenticationMethod.ReadWrite (versión preliminar) Administrar métodos de autenticación propios Permite que la aplicación lea y escriba los métodos de autenticación del usuario que inició sesión, incluidos los números de teléfono y la configuración de la aplicación Authenticator. Esto impide que la aplicación vea información secreta, como las contraseñas del usuario que ha iniciado sesión. O que inicie sesión o que utilice los métodos de autenticación del usuario que inició sesión. No
UserAuthenticationMethod.ReadWrite.All (versión preliminar) Administrar métodos de autenticación de usuarios Permite que la aplicación lea y escriba métodos de autenticación de todos los usuarios de su organización a los que tiene acceso el usuario que inició sesión. Los métodos de autenticación incluyen datos como los números de teléfono de un usuario y la configuración de la aplicación Authenticator. Esto impide que la aplicación vea información secreta, como las contraseñas del usuario que ha iniciado sesión. O que inicie sesión o que utilice los métodos de autenticación. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
UserAuthenticationMethod.Read.All (versión preliminar) Leer los métodos de autenticación de los usuarios Permite que la aplicación lea los métodos de autenticación de todos los usuarios de su organización, sin un usuario que haya iniciado sesión. Los métodos de autenticación incluyen datos como los números de teléfono de un usuario y la configuración de la aplicación Authenticator. Esto impide que la aplicación vea información secreta, como las contraseñas del usuario que ha iniciado sesión. O que inicie sesión o que utilice los métodos de autenticación.
UserAuthenticationMethod.ReadWrite.All (versión preliminar) Administrar métodos de autenticación de usuarios Permite que la aplicación lea y escriba métodos de autenticación de todos los usuarios de su organización, sin un usuario que haya iniciado sesión. Los métodos de autenticación incluyen datos como los números de teléfono de un usuario y la configuración de la aplicación Authenticator. Esto impide que la aplicación vea información secreta, como las contraseñas del usuario que ha iniciado sesión. O que inicie sesión o que utilice los métodos de autenticación.

Comentarios

Los permisos del método de autenticación del usuario se utilizan para administrar los métodos de autenticación de los usuarios. Con estos permisos, un usuario o aplicación delegada puede registrar nuevos métodos de autenticación en un usuario, leer los métodos de autenticación que el usuario ya registró, actualizar esos métodos de autenticación y quitarlos del usuario.

Con estos permisos, es posible leer y administrar todos los métodos de autenticación en un usuario. Esto incluyen los métodos usados para:

  • Autenticación principal (contraseña)
  • Segundo factor de autenticación multifactor/MFA (números de teléfono)
  • Restablecimiento de contraseña de autoservicio/SSPR (dirección de correo electrónico)

Permisos de actualizaciones de Windows

Permisos delegados

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador Cuenta de Microsoft compatible
WindowsUpdates.ReadWrite.All Leer y escribir todas las opciones de configuración de implementación de Windows Update Permite que la aplicación lea y escriba todas las opciones de configuración de implementación de Windows Update para la organización en nombre del usuario que ha iniciado sesión. No

Permisos de aplicación

Permiso Cadena para mostrar Descripción Se requiere el consentimiento del administrador
WindowsUpdates.ReadWrite.All Leer y escribir todas las opciones de configuración de implementación de Windows Update Permite que la aplicación lea y escriba todas las opciones de configuración de implementación de Windows Update para la organización sin un usuario que ha iniciado sesión.

Observaciones

Todos los permisos anteriores solo son válidos en las cuentas profesionales o educativas.

Para que una aplicación lea o escriba toda la configuración de implementación de Windows Update con permisos delegados, el usuario que ha iniciado sesión debe tener asignado el rol administrador global, administrador de Intune o Windows Update administrador de implementación. Para obtener más información sobre los roles de administrador, vea Asignación de roles de administrador en Azure Active Directory.

Ejemplos de uso

Delegado

  • WindowsUpdates.ReadWrite.All: Crear una implementación (POST /beta/admin/windows/updates/deployments).

Aplicación

  • WindowsUpdates.ReadWrite.All: Crear una implementación (POST /beta/admin/windows/updates/deployments).

Escenarios de permisos

En esta sección se muestran algunos escenarios comunes destinados a los recursos de usuario y grupo de una organización. En las tablas se muestran los permisos que una aplicación necesita para poder realizar operaciones específicas requeridas por el escenario. Tenga en cuenta que, en algunos casos, la capacidad de la aplicación de realizar operaciones específicas dependerá de si un permiso es un permiso delegado o un permiso de la aplicación. En el caso de los permisos delegados, los permisos efectivos de la aplicación también dependerán de los privilegios del usuario que ha iniciado sesión en la organización. Para obtener más información, vea Permisos delegados, permisos de la aplicación y permisos efectivos.

Escenarios de acceso en el recurso User

Tareas de la aplicación que implican el uso del recurso User Permisos necesarios Cadenas de permiso
La aplicación quiere leer más información básica de los usuarios (solo el nombre para mostrar y la imagen), por ejemplo, para mostrarla en una experiencia de selección de contactos User.ReadBasic.All Leer todos los perfiles básicos de usuario
La aplicación quiere leer el perfil de usuario completo del usuario que ha iniciado sesión (ver los subordinados directos y el administrador, etc.) User.Read Habilitar el inicio de sesión y leer el perfil del usuario
La aplicación desea leer el perfil de usuario completo de todos los usuarios User.Read.All Leer todos los perfiles completos del usuario
La aplicación desea leer archivos, información del calendario y el correo del usuario que ha iniciado sesión User.Read, Files.Read, Mail.Read, Calendars.Read Habilitar el inicio de sesión y leer el perfil del usuario, Leer los archivos de los usuarios, Leer el correo del usuario, Leer los calendarios del usuario
La aplicación desea leer los archivos del usuario que ha iniciado sesión (los míos) y los archivos que otros usuarios han compartido con el usuario que ha iniciado sesión (el mío). User.Read, Files.Read, Sites.Read.All Habilitar el inicio de sesión y leer el perfil del usuario, Leer los archivos de los usuarios, Leer los elementos de todas las colecciones de sitios
La aplicación desea leer y escribir en el perfil completo del usuario que ha iniciado sesión User.ReadWrite Acceso al perfil del usuario para la lectura y la escritura
La aplicación desea leer y escribir en el perfil de usuario completo de todos los usuarios User.ReadWrite.All Leer todos los perfiles completos del usuario y escribir en ellos
La aplicación desea leer los archivos, el correo y la información del calendario del usuario que ha iniciado sesión y escribir en ellos User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Acceso de lectura y escritura al perfil del usuario, Acceso de lectura y escritura al perfil del usuario, Acceso de lectura y escritura al correo del usuario, Tener acceso completo a los calendarios del usuario
La aplicación quiere enviar una solicitud de operación de directiva de datos para exportar los datos personales de un usuario. User.Export.All Exportar los datos personales de un usuario.

Escenarios de acceso en el recurso Group

Tareas de la aplicación que implican el uso del recurso Group Permisos necesarios Cadenas de permiso
La aplicación quiere leer la información básica del grupo (solo el nombre para mostrar y la imagen), por ejemplo, para mostrarla en una experiencia de selección de grupos Group.Read.All Leer todos los grupos
La aplicación quiere leer todo el contenido de todos los grupos de Microsoft 365, incluidos los archivos y las conversaciones. También necesita mostrar las pertenencias a grupos, ser capaz de actualizar las pertenencias a grupos (si es el propietario). Group.Read.All Leer los elementos de todas las colecciones de sitios, Leer todos los grupos
La aplicación quiere leer y escribir todo el contenido de todos los grupos de Microsoft 365, incluidos los archivos y las conversaciones. También necesita mostrar las pertenencias a grupos, ser capaz de actualizar las pertenencias a grupos (si es el propietario). Group.ReadWrite.All, Sites.ReadWrite.All Leer y escribir en todos los grupos, Editar o eliminar elementos en todas las colecciones de sitios
La aplicación quiere descubrir (buscar) un grupo de Microsoft 365. Permite al usuario buscar un determinado grupo y elegir uno desde la lista enumerada para permitir que el usuario se una al grupo. Group.ReadWrite.All Leer y escribir en todos los grupos
La aplicación desea crear un grupo a través de AAD Graph Group.ReadWrite.All Leer y escribir en todos los grupos

Todos los permisos e identificadores

Permiso Tipo ID
AccessReview.Read.All Aplicación d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.Read.All Delegado ebfcd32b-babb-40f4-a14b-42706e83bd28
AccessReview.ReadWrite.All Aplicación ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.All Delegado e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.Membership Aplicación 18228521-a591-40f1-b215-5fad4488c117
AccessReview.ReadWrite.Membership Delegado 5af8c3f5-baca-439a-97b0-ea58a435e269
AdministrativeUnit.Read.All Aplicación 134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.Read.All Delegado 3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.ReadWrite.All Aplicación 5eb59dd3-1da2-4329-8733-9dabdc435916
AdministrativeUnit.ReadWrite.All Delegado 7b8a2d34-6b3f-4542-a343-54651608ad81
Agreement.Read.All Aplicación 2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.Read.All Delegado af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.ReadWrite.All Aplicación c9090d00-6101-42f0-a729-c41074260d47
Agreement.ReadWrite.All Delegado ef4b5d93-3104-4664-9053-a5c49ab44218
AgreementAcceptance.Read Delegado 0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All Aplicación d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
AgreementAcceptance.Read.All Delegado a66a5341-e66e-4897-9d52-c2df58c2bfb9
Analytics.Read Delegado e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All Aplicación b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.Read.All Delegado 1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.ReadWrite.All Aplicación 1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
APIConnectors.ReadWrite.All Delegado c67b52c5-7c69-48b6-9d48-7b3af3ded914
AppCatalog.Read.All Aplicación e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.Read.All Delegado 88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.ReadWrite.All Aplicación dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.ReadWrite.All Delegado 1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.Submit Delegado 3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All Aplicación 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.Read.All Delegado c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.ReadWrite.All Aplicación 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.All Delegado bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.OwnedBy Aplicación 18a4783c-866b-4cc7-a460-3d5e5662c884
AppRoleAssignment.ReadWrite.All Aplicación 06b708a9-e830-4db3-a914-8e69da51d44f
AppRoleAssignment.ReadWrite.All Delegado 84bccea3-f856-4a8a-967b-dbe0a3d53a64
Approval.Read.All Delegado 1196552e-b226-4363-b01e-b8901fe10a11
Approval.ReadWrite.All Delegado 1d3d0bc7-4b3a-427a-ae9f-6de4e1edc95f
AttackSimulation.Read.All Aplicación 93283d0a-6322-4fa8-966b-8c121624760d
AttackSimulation.Read.All Delegado 104a7a4b-ca76-4677-b7e7-2f4bc482f381
AuditLog.Read.All Aplicación b0afded3-3588-46d8-8b3d-9842eff778da
AuditLog.Read.All Delegado e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuthenticationContext.Read.All Aplicación 381f742f-e1f8-4309-b4ab-e3d91ae4c5c1
AuthenticationContext.Read.All Delegado 57b030f1-8c35-469c-b0d9-e4a077debe70
AuthenticationContext.ReadWrite.All Aplicación a88eef72-fed0-4bf7-a2a9-f19df33f8b83
AuthenticationContext.ReadWrite.All Delegado ba6d575a-1344-4516-b777-1404f5593057
BitlockerKey.Read.All Aplicación 57f1cf28-c0c4-4ec3-9a30-19a2eaaf2f6e
BitlockerKey.Read.All Delegado b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.ReadBasic.All Aplicación f690d423-6b29-4d04-98c6-694c42282419
BitlockerKey.ReadBasic.All Delegado 5a107bfc-4f00-4e1a-b67e-66451267bc68
Bookings.Manage.All Delegado 7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All Aplicación 6e98f277-b046-4193-a4f2-6bf6a78cd491
Bookings.Read.All Delegado 33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All Delegado 948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All Aplicación 9769393e-5a9f-4302-9e3d-7e018ecb64a7
BookingsAppointment.ReadWrite.All Delegado 02a5a114-36a6-46ff-a102-954d89d9ab02
Calendars.Read Aplicación 798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read Delegado 465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read.Shared Delegado 2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadWrite Aplicación ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite Delegado 1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite.Shared Delegado 12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All Aplicación a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All Aplicación 45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All Aplicación a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All Aplicación 284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All Aplicación 4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All Aplicación f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallAsGuest.All Aplicación fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create Aplicación f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Create Delegado 101147cf-4178-4455-9d58-02b5c164e759
Channel.Delete.All Aplicación 6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.Delete.All Delegado cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.ReadBasic.All Aplicación 59a6b24b-4225-4393-8165-ebaec5f55d7a
Channel.ReadBasic.All Delegado 9d8982ae-4365-4f57-95e9-d6032a4c0b87
ChannelMember.Read.All Aplicación 3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.Read.All Delegado 2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.ReadWrite.All Aplicación 35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMember.ReadWrite.All Delegado 0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMessage.Edit Delegado 2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All Aplicación 7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Read.All Delegado 767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.ReadWrite Delegado 5922d31f-46c8-4404-9eaf-2117e390a8a4
ChannelMessage.Send Delegado ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All Aplicación 4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All Aplicación c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.Read.All Delegado 233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.ReadWrite.All Aplicación 243cded2-bd16-4fd6-a953-ff8177894c3d
ChannelSettings.ReadWrite.All Delegado d649fb7c-72b4-4eec-b2b4-b15acf79e378
Chat.Create Aplicación d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Create Delegado 38826093-1258-4dea-98f0-00003be2b8d0
Chat.Read Delegado f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All Aplicación 6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.ReadBasic Delegado 9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All Aplicación b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadWrite Delegado 9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All Aplicación 294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.UpdatePolicyViolation.All Aplicación 7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read Delegado c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All Aplicación a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.ReadWrite Delegado dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All Aplicación 57257249-34ce-4810-a8a2-a03adf0c5693
ChatMessage.Read Delegado cdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All Aplicación b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send Delegado 116b7235-7cc6-461e-b163-8e55691d839e
CloudPC.Read.All Aplicación a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.Read.All Delegado 5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC. ReadWrite. All Aplicación 3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
CloudPC. ReadWrite. All Delegado 9d77138f-f0e2-47ba-ab33-cd246c8b79d1
ConsentRequest.Read.All Aplicación 1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.Read.All Delegado f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.ReadWrite.all Aplicación 9f1b81a7-0223-4428-bfa4-0bcb5535f27d
ConsentRequest.ReadWrite.all Delegado 497d9dfa-3bd1-481a-baab-90895e54568c
Contacts.Read Aplicación 089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read Delegado ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read.Shared Delegado 242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite Aplicación 6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite Delegado d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite.Shared Delegado afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All Aplicación cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantInformation.ReadBasic.All Delegado 81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantUserProfileSharing.Read Delegado cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All Aplicación 8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.Read.All Delegado 759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.ReadWrite Delegado eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All Aplicación 306785c5-c09b-4ba0-a4ee-023f3da165cb
CrossTenantUserProfileSharing.ReadWrite.All Delegado 64dfa325-cbf8-48e3-938d-51224a0cac01
CustomAuthenticationExtension.Read.All Aplicación 88bb2658-5d9e-454f-aacd-a3933e079526
CustomAuthenticationExtension.Read.All Delegado b2052569-c98c-4f36-a5fb-43e5c111e6d0
CustomAuthenticationExtension.ReadWrite.All Aplicación c2667967-7050-4e7e-b059-4cbbb3811d03
CustomAuthenticationExtension.ReadWrite.All Delegado 8dfcf82f-15d0-43b3-bc78-a958a13a5792
CustomAuthenticationExtension.Receive.Payload Aplicación 214e810f-fda8-4fd7-a475-29461495eb00
CustomSecAttributeAssignment.Read.All Aplicación 3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.Read.All Delegado b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.ReadWrite.All Aplicación de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeAssignment.ReadWrite.All Delegado ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeDefinition.Read.All Aplicación b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.Read.All Delegado ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.ReadWrite.All Aplicación 12338004-21f4-4896-bf5e-b75dfaf1016d
CustomSecAttributeDefinition.ReadWrite.All Delegado 8b0160d4-5743-482b-bb27-efc0a485ca4a
DelegatedAdminRelationship.Read.All Aplicación f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.Read.All Delegado 0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.ReadWrite.All Aplicación cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedAdminRelationship.ReadWrite.All Delegado 885f682f-a990-4bad-a642-36736a74b0c7
DelegatedPermissionGrant.ReadWrite.All Aplicación 8e8e4742-1d95-4f68-9d56-6ee75648c72a
DelegatedPermissionGrant.ReadWrite.All Delegado 41ce6ca6-6826-4807-84f1-1c82854f7ee5
Device.Command Delegado bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read Delegado 11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All Aplicación 7438b122-aefc-4978-80ed-43db9fcc7715
Device.Read.All Delegado 951183d1-1a61-466f-a6d1-1fde911bfd95
Device.ReadWrite.All Aplicación 1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceManagementApps.Read.All Aplicación 7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.Read.All Delegado 4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.ReadWrite.All Aplicación 78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementApps.ReadWrite.All Delegado 7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementConfiguration.Read.All Aplicación dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.Read.All Delegado f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.ReadWrite.All Aplicación 9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementConfiguration.ReadWrite.All Delegado 0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementManagedDevices.PrivilegedOperations.All Aplicación 5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.PrivilegedOperations.All Delegado 3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.Read.All Aplicación 2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.Read.All Delegado 314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.ReadWrite.All Aplicación 243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementManagedDevices.ReadWrite.All Delegado 44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementRBAC.Read.All Aplicación 58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.Read.All Delegado 49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.ReadWrite.All Aplicación e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementRBAC.ReadWrite.All Delegado 0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementServiceConfig.Read.All Aplicación 06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.Read.All Delegado 8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.ReadWrite.All Aplicación 5ac13192-7ace-4fcf-b828-1a26f28068ee
DeviceManagementServiceConfig.ReadWrite.All Delegado 662ed50a-ac44-4eef-ad86-62eed9be2a29
Directory.AccessAsUser.All Delegado 0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All Aplicación 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.Read.All Delegado 06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.ReadWrite.All Aplicación 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.ReadWrite.All Delegado c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.Write.Restricted Aplicación f20584af-9290-4153-9280-ff8bb2c0ea7f
Directory.Write.Restricted Delegado cba5390f-ed6a-4b7f-b657-0efc2210ed20
DirectoryRecommendations.Read.All Aplicación ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.Read.All Delegado 34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.ReadWrite.All Aplicación 0e9eea12-4f01-45f6-9b8d-3ea4c8144158
DirectoryRecommendations.ReadWrite.All Delegado f37235e8-90a0-4189-93e2-e55b53867ccd
Domain.Read.All Aplicación dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.Read.All Delegado 2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.ReadWrite.All Aplicación 7e05723c-0bb0-42da-be95-ae9f08a6e53c
Domain.ReadWrite.All Delegado 0b5d694c-a244-4bde-86e6-eb5cd07730fe
EAS.AccessAsUser.All Delegado ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All Aplicación 50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.Read.All Delegado 99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.ReadWrite.All Aplicación b2620db1-3bf7-4c5b-9cb9-576d29eac736
eDiscovery.ReadWrite.All Delegado acb8f680-0834-4146-b69e-4ab1b39745ad
EduAdministration.Read Delegado 8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All Aplicación 7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite Delegado 63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All Aplicación 9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read Delegado 091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All Aplicación 4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic Delegado c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All Aplicación 6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite Delegado 2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All Aplicación 0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic Delegado 2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All Aplicación f431cc63-a2de-48c4-8054-a34bc093af84
EduRoster.Read Delegado a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All Aplicación e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic Delegado 5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All Aplicación 0d412a8c-a06c-439f-b3ec-8abcf54d2f96
EduRoster.ReadWrite Delegado 359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All Aplicación d1808e82-ce13-47af-ae0d-f9b254e6d58a
correo electrónico Delegado 64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All Aplicación c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.Read.All Delegado 5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.ReadWrite.All Aplicación 9acd699f-1e81-4958-b001-93b1d2506e19
EntitlementManagement.ReadWrite.All Delegado ae7a573d-81d7-432b-ad44-4ed5c9d89038
EventListener.Read.All Aplicación b7f6385c-6ce6-4639-a480-e23c42ed9784
EventListener.Read.All Delegado f7dd3bed-5eec-48da-bc73-1c0ef50bc9a1
EventListener.ReadWrite.All Aplicación 0edf5e9e-4ce8-468a-8432-d08631d18c43
EventListener.ReadWrite.All Delegado d11625a6-fe21-4fc6-8d3d-063eba5525ad
EWS.AccessAsUser.All Delegado 9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All Aplicación 1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.Read.All Delegado a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.ReadWrite.All Aplicación 34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.All Delegado bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.OwnedBy Aplicación f431331c-49a6-499f-be1c-62af19c34a9d
ExternalConnection.ReadWrite.OwnedBy Delegado 4082ad95-c812-4f02-be92-780c4c4f1830
ExternalItem.Read.All Aplicación 7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.Read.All Delegado 922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.ReadWrite.All Aplicación 38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.All Delegado b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.OwnedBy Aplicación 8116ae0f-55c2-452d-9944-d18420f5b2c8
ExternalItem.ReadWrite.OwnedBy Delegado 4367b9d7-cee7-4995-853c-a0bdfe95c1f9
Family.Read Delegado 3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read Delegado 10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All Aplicación 01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.All Delegado df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.Selected Delegado 5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite Delegado 5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All Aplicación 75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.All Delegado 863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.AppFolder Delegado 8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected Delegado 17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All Delegado f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create Aplicación bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All Aplicación 5b567255-7703-4780-807c-7be8301ae99b
Group.Read.All Delegado 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.ReadWrite.All Aplicación 62a82d76-70ea-41e2-9197-370581804d09
Group.ReadWrite.All Delegado 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
GroupMember.Read.All Aplicación 98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.Read.All Delegado bc024368-1153-4739-b217-4326f2e966d0
GroupMember.ReadWrite.All Aplicación dbaae8cf-10b5-4b86-a4a1-f871c94c6695
GroupMember.ReadWrite.All Delegado f81125ac-d3b7-4573-a3b2-7099cc39df9e
IdentityProvider.Read.All Aplicación e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.Read.All Delegado 43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.ReadWrite.All Aplicación 90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityProvider.ReadWrite.All Delegado f13ce604-1677-429f-90bd-8a10b9f01325
IdentityRiskEvent.Read.All Aplicación 6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.Read.All Delegado 8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.ReadWrite.All Aplicación db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskEvent.ReadWrite.All Delegado 9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskyServicePrincipal.Read.All Aplicación 607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.Read.All Delegado ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.ReadWrite.All Aplicación cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyServicePrincipal.ReadWrite.All Delegado bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyUser.Read.All Aplicación dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.Read.All Delegado d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.ReadWrite.All Aplicación 656f6061-f9fe-4807-9708-6a2e0934df76
IdentityRiskyUser.ReadWrite.All Delegado e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityUserFlow.Read.All Aplicación 1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.Read.All Delegado 2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.ReadWrite.All Aplicación 65319a09-a2be-469d-8782-f6b07debf789
IdentityUserFlow.ReadWrite.All Delegado 281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IMAP.AccessAsUser.All Delegado 652390e4-393a-48de-9484-05f9b1212954
InformationProtectionContent.Sign.All Aplicación cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All Aplicación 287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read Delegado 4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All Aplicación 19da66cb-0fb0-4390-b071-ebc76a349482
LicenseAssignment.ReadWrite.All Aplicación 5facf0c1-8979-4e95-abcf-ff3d079771c0
LicenseAssignment.ReadWrite.All Delegado f55016cc-149c-447e-8f21-7cf3ec1d6350
Mail.Read Aplicación 810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read Delegado 570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read.Shared Delegado 7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic Aplicación 6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic Delegado a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic.All Aplicación 693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadWrite Aplicación e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite Delegado 024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite.Shared Delegado 5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send Aplicación b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send Delegado e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send.Shared Delegado a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read Aplicación 40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.Read Delegado 87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.ReadWrite Aplicación 6931bccd-447a-43d1-b442-00a195474933
MailboxSettings.ReadWrite Delegado 818c620a-27a9-40bd-a6a5-d96f7d610b4b
ManagedTenants.Read.All Delegado dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All Delegado b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden Aplicación 658aa5d8-239f-45c4-aa12-864f4fc7e490
Member.Read.Hidden Delegado f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Notes.Create Delegado 9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read Delegado 371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All Aplicación 3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.Read.All Delegado dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.ReadWrite Delegado 615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All Aplicación 0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.All Delegado 64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.CreatedByApp Delegado ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp Delegado 89497502-6e42-46a2-8cb2-427fd3df970a
offline_access Delegado 7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All Aplicación df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingArtifact.Read.All Delegado 110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingRecording.Read.All Aplicación a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetingRecording.Read.All Delegado 190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetings.Read Delegado 9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All Aplicación c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite Delegado a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All Aplicación b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All Aplicación a4a80d8d-d283-4bd8-8504-555ec3870630
OnlineMeetingTranscript.Read.All Delegado 30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnPremisesPublishingProfiles.ReadWrite.All Aplicación 0b57845e-aa49-4e6f-8109-ce654fffa618
OnPremisesPublishingProfiles.ReadWrite.All Delegado 8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
OpenID Delegado 37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All Aplicación 498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.Read.All Delegado 4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.ReadWrite.All Aplicación 292d869f-3427-49a8-9dab-8c70152b74e9
Organization.ReadWrite.All Delegado 46ca0847-7e6b-426e-9775-ea810a948356
OrgContact.Read.All Aplicación e1a88a34-94c4-4418-be12-c87b00e26bea
OrgContact.Read.All Delegado 08432d1b-5911-483c-86df-7980af5cdee0
People.Read Delegado ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All Aplicación b528084d-ad10-4598-8b93-929746b4d7d6
People.Read.All Delegado b89f9189-71a5-4e70-b041-9887f0bc7e4a
Place.Read.All Aplicación 913b9306-0ce1-42b8-9137-6a7df690a760
Place.Read.All Delegado cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.ReadWrite.All Delegado 4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All Aplicación 246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.All Delegado 572fea84-0151-49b2-9301-11cb16974376
Policy.Read.ConditionalAccess Aplicación 37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.ConditionalAccess Delegado 633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.PermissionGrant Aplicación 9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.Read.PermissionGrant Delegado 414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.ReadWrite.AccessReview Aplicación 77c863fd-06c0-47ce-a7eb-49773e89d319
Policy.ReadWrite.AccessReview Delegado 4f5bc9c8-ea54-4772-973a-9ca119cb0409
Policy.ReadWrite.ApplicationConfiguration Aplicación be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.ApplicationConfiguration Delegado b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.AuthenticationFlows Aplicación 25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationFlows Delegado edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationMethod Aplicación 29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.AuthenticationMethod Delegado 7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.Authorization Aplicación fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.Authorization Delegado edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.ConditionalAccess Aplicación 01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConditionalAccess Delegado ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConsentRequest Aplicación 999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.ConsentRequest Delegado 4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.CrossTenantAccess Aplicación 338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.CrossTenantAccess Delegado 014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.DeviceConfiguration Delegado 40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.FeatureRollout Aplicación 2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.FeatureRollout Delegado 92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.MobilityManagement Delegado a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant Aplicación a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.PermissionGrant Delegado 2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.TrustFramework Aplicación 79a677f7-b79d-40d0-a36a-3e6f8688dd7a
Policy.ReadWrite.TrustFramework Delegado cefba324-1a70-4a6e-9c1d-fd670b7ae392
POP.AccessAsUser.All Delegado d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read Delegado 76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All Delegado 9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite Delegado 8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All Aplicación 83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All Delegado d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All Delegado 79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create Delegado 90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All Delegado 93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All Aplicación 9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.Read.All Delegado 3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.ReadWrite.All Aplicación f5b3f73d-6247-44df-a74c-866173fddab0
Printer.ReadWrite.All Delegado 89f66824-725f-4b8f-928e-e1c5258dc565
PrinterShare.Read.All Delegado ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All Delegado 5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All Delegado 06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create Delegado 21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All Aplicación 58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read Delegado 248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All Aplicación ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.Read.All Delegado afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.ReadBasic Delegado 6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All Aplicación fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadBasic.All Delegado 04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadWrite Delegado b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All Aplicación 5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWrite.All Delegado 036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWriteBasic Delegado 6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All Aplicación 57878358-37f4-4d3a-8c20-4816e0d457b1
PrintJob.ReadWriteBasic.All Delegado 3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintSettings.Read.All Aplicación b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.Read.All Delegado 490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.ReadWrite.All Delegado 9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All Aplicación 456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD Aplicación 4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureAD Delegado b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureADGroup Aplicación 01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureADGroup Delegado d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureResources Aplicación 5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.Read.AzureResources Delegado 1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.ReadWrite.AzureAD Aplicación 854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureAD Delegado 3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureADGroup Aplicación 2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureADGroup Delegado 32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureResources Aplicación 6f9d5abc-2db6-400b-a267-7de22a40fb87
PrivilegedAccess.ReadWrite.AzureResources Delegado a84a9652-ffd3-496e-a991-22ba5529156a
perfil Delegado 14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All Aplicación eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.Read.All Delegado c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.ReadWrite.All Aplicación 60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
ProgramControl.ReadWrite.All Delegado 50fd364f-9d93-4ae1-b170-300e87cccf84
RecordsManagement.Read.All Aplicación ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.Read.All Delegado 07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.ReadWrite.All Aplicación eb158f57-df43-4751-8b21-b8932adb3d34
RecordsManagement.ReadWrite.All Delegado f2833d75-a4e6-40ab-86d4-6dfe73c97605
Reports.Read.All Aplicación 230c1aed-a721-4c5d-9cb4-a90514e508ef
Reports.Read.All Delegado 02e97553-ed7b-43d0-ab3c-f8bace0d040c
RoleAssignmentSchedule.Read.Directory Delegado 344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory Delegado 8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory Delegado eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory Delegado 62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All Aplicación c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.All Delegado 48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.CloudPC Aplicación 031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.CloudPC Delegado 9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.Directory Aplicación 483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.Read.Directory Delegado 741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.ReadWrite.CloudPC Aplicación 274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.CloudPC Delegado 501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.Directory Aplicación 9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagement.ReadWrite.Directory Delegado d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagementPolicy.Read.Directory Delegado 3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.Directory Delegado 1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All Aplicación 7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.Read.All Delegado fccf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.ReadWrite.All Aplicación b7760610-0545-4e8a-9ec3-cce9e63db01c
Schedule.ReadWrite.All Delegado 63f27281-c9d9-4f29-94dd-6942f7f1feb0
SearchConfiguration.Read.All Aplicación ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.Read.All Delegado 7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.ReadWrite.All Aplicación 0e778b85-fefa-466d-9eec-750569d92122
SearchConfiguration.ReadWrite.All Delegado b1a7d408-cab0-47d2-a2a5-a74a3733600d
SecurityActions.Read.All Aplicación 5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.Read.All Delegado 1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.ReadWrite.All Aplicación f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityActions.ReadWrite.All Delegado dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityAlert.Read.All Aplicación 472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.Read.All Delegado bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.ReadWrite.All Aplicación ed4fca05-be46-441f-9803-1873825f8fdb
SecurityAlert.ReadWrite.All Delegado 471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityEvents.Read.All Aplicación bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.Read.All Delegado 64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.ReadWrite.All Aplicación d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityEvents.ReadWrite.All Delegado 6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityIncident.Read.All Aplicación 45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.Read.All Delegado b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.ReadWrite.All Aplicación 34bf0e97-1971-4929-b999-9e2442d941d7
SecurityIncident.ReadWrite.All Delegado 128ca929-1a19-45e6-a3b8-435ec44a36ba
ServiceHealth.Read.All Aplicación 79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceHealth.Read.All Delegado 55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceMessage.Read.All Aplicación 1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessage.Read.All Delegado eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessageViewpoint.Write Delegado 636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All Aplicación 5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.Read.All Delegado 9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.ReadWrite.All Aplicación 89c8469c-83ad-45f7-8ff2-6e3d4285709e
ServicePrincipalEndpoint.ReadWrite.All Delegado 7297d82c-9546-4aed-91df-3d4f0a9b3ff0
SharePointTenantSettings.Read.All Aplicación 83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.Read.All Delegado 2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.ReadWrite.All Aplicación 19b94e34-907c-4f43-bde9-38b1909ed408
SharePointTenantSettings.ReadWrite.All Delegado aa07f155-3612-49b8-a147-6c590df35536
ShortNotes.Read Delegado 50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All Aplicación 0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite Delegado 328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All Aplicación 842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All Aplicación a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.FullControl.All Delegado 5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.Manage.All Aplicación 0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Manage.All Delegado 65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Read.All Aplicación 332a536c-c7ef-4017-ab91-336970924f0d
Sites.Read.All Delegado 205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.ReadWrite.All Aplicación 9492366f-7969-46a4-8d15-ed1a20078fff
Sites.ReadWrite.All Delegado 89fe6a52-be36-487e-b7d8-d061c450a026
Sites.Selected Aplicación 883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send Delegado 258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All Aplicación ee1460f0-368b-4153-870a-4e1ca7e72c42
SubjectRightsRequest.Read.All Delegado 9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All Aplicación 8387eaa4-1a3c-41f5-b261-f888138e6041
SubjectRightsRequest.ReadWrite.All Delegado 2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All Delegado 5f88184c-80bb-4d52-9ff2-757288b2e9b7
Tasks.Read Delegado f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All Aplicación f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared Delegado 88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite Delegado 2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All Aplicación 44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared Delegado c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Create Aplicación 23fc2474-f741-46ce-8465-674744c5c361
Team.Create Delegado 7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.ReadBasic.All Aplicación 2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
Team.ReadBasic.All Delegado 485be79e-c497-4b35-9400-0e3fa7f2a5d4
TeamMember.Read.All Aplicación 660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.Read.All Delegado 2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.ReadWrite.All Aplicación 0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWrite.All Delegado 4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWriteNonOwnerRole.All Aplicación 4437522e-9a86-4a41-a7da-e380edd4a97d
TeamMember.ReadWriteNonOwnerRole.All Delegado 2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamsActivity.Read Delegado 0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All Aplicación 70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send Aplicación a267235f-af13-44dc-8385-c1dc93023186
TeamsActivity.Send Delegado 7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsAppInstallation.ReadForChat Delegado bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All Aplicación cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam Delegado 5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All Aplicación 1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser Delegado c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All Aplicación 9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteForChat Delegado aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All Aplicación 9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam Delegado 2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All Aplicación 5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser Delegado 093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All Aplicación 74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat Delegado 0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All Aplicación 73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam Delegado 0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All Aplicación 9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser Delegado 207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All Aplicación 908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All Aplicación 242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.Read.All Delegado 48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.ReadWrite.All Aplicación bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamSettings.ReadWrite.All Delegado 39d65650-9d3e-4223-80db-a335590d027e
TeamsTab.Create Aplicación 49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Create Delegado a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Read.All Aplicación 46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.Read.All Delegado 59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.ReadWrite.All Aplicación a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWrite.All Delegado b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWriteForChat Delegado ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All Aplicación fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam Delegado c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All Aplicación 6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser Delegado c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All Aplicación 425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat Delegado 0c219d04-3abf-47f7-912d-5cca239e90e6
TeamsTab.ReadWriteSelfForChat.All Aplicación 9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam Delegado f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All Aplicación 91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser Delegado 395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All Aplicación 3c42dec6-49e8-4a0a-b469-36cff0d9da93
Teamwork.Migrate.All Aplicación dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkAppSettings.Read.All Aplicación 475ebe88-f071-4bd7-af2b-642952bd4986
TeamworkAppSettings.ReadWrite.All Aplicación ab5b445e-8f10-45f4-9c79-dd3f8062cc4e
TeamworkDevice.Read.All Aplicación 0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.Read.All Delegado b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.ReadWrite.All Aplicación 79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkDevice.ReadWrite.All Delegado ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkTag.Read Delegado 57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All Aplicación b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite Delegado 539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All Aplicación a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All Aplicación ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.Read.All Delegado 297f747b-0005-475b-8fef-c890f5152b38
TermStore.ReadWrite.All Aplicación f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
TermStore.ReadWrite.All Delegado 6c37c71d-f50f-4bff-8fd3-8a41da390140
ThreatAssessment.Read.All Aplicación f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All Delegado cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHunting.Read.All Aplicación dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatHunting.Read.All Delegado b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatIndicators.Read.All Aplicación 197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.Read.All Delegado 9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.ReadWrite.OwnedBy Aplicación 21792b6c-c986-4ffc-85de-df9da54b52fa
ThreatIndicators.ReadWrite.OwnedBy Delegado 91e7d36d-022a-490f-a748-f8e011357b42
ThreatSubmission.Read Delegado fd5353c6-26dd-449f-a565-c4e16b9fce78
ThreatSubmission.Read.All Aplicación 86632667-cd15-4845-ad89-48a88e8412e1
ThreatSubmission.Read.All Delegado 7083913a-4966-44b6-9886-c5822a5fd910
ThreatSubmission.ReadWrite Delegado 68a3156e-46c9-443c-b85c-921397f082b5
ThreatSubmission.ReadWrite.All Aplicación d72bdbf4-a59b-405c-8b04-5995895819ac
ThreatSubmission.ReadWrite.All Delegado 8458e264-4eb9-4922-abe9-768d58f13c7f
ThreatSubmissionPolicy.ReadWrite.All Aplicación 926a6798-b100-4a20-a22f-a4918f13951d
ThreatSubmissionPolicy.ReadWrite.All Delegado 059e5840-5353-4c68-b1da-666a033fc5e8
TrustFrameworkKeySet.Read.All Aplicación fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.Read.All Delegado 7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.ReadWrite.All Aplicación 4a771c9a-1cf2-4609-b88e-3d3e02d539cd
TrustFrameworkKeySet.ReadWrite.All Delegado 39244520-1e7d-4b4a-aee0-57c65826e427
UnifiedGroupMember.Read.AsGuest Delegado 73e75199-7c3e-41bb-9357-167164dbb415
User.Export.All Aplicación 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All Delegado 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All Aplicación 09850681-111b-4a89-9bed-3f2cae46d706
User.Invite.All Delegado 63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.ManageIdentities.All Aplicación c529cfca-c91b-489c-af2b-d92990b66ce6
User.ManageIdentities.All Delegado 637d7bec-b31e-4deb-acc9-24275642a2c9
User.Read Delegado e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All Aplicación df021288-bdef-4463-88db-98f22de89214
User.Read.All Delegado a154be20-db9c-4678-8ab7-66f6cc099a59
User.ReadBasic.All Delegado b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite Delegado b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All Aplicación 741f803b-c850-494e-b5df-cde7c675a1ca
User.ReadWrite.All Delegado 204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
UserActivity.ReadWrite.CreatedByApp Delegado 47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read Delegado 1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All Aplicación 38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.Read.All Delegado aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.ReadWrite Delegado 48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All Aplicación 50483e42-d915-4231-9639-7fdb7fd190e5
UserAuthenticationMethod.ReadWrite.All Delegado b7887744-6746-4312-813d-72daeaee7e2d
UserNotification.ReadWrite.CreatedByApp Aplicación 4e774092-a092-48d1-90bd-baad67c7eb47
UserNotification.ReadWrite.CreatedByApp Delegado 26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserShiftPreferences.Read.All Aplicación de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All Aplicación d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp Delegado 367492fc-594d-4972-a9b5-0d58c622c91c
WindowsUpdates.ReadWrite.All Aplicación 7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WindowsUpdates.ReadWrite.All Delegado 11776c0c-6138-4db3-a668-ee621bea2555
WorkforceIntegration.Read.All Delegado f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All Aplicación 202bf709-e8e6-478e-bcfd-5d63c50b68e3
WorkforceIntegration.ReadWrite.All Delegado 08c4b377-0d23-4a8b-be2a-23c1c1d88545