Autorización para que las API lean los informes de uso de Microsoft 365

Los datos de informes accesibles a través de la API de informes de Microsoft Graph son confidenciales. En particular, los informes de uso de Microsoft 365 están protegidos por permisos y roles de Azure Active Directory (Azure AD). La información de este artículo se aplica a la API de informes que lee los informes de uso de Microsoft 365.

Las API que leen los informes de uso de Microsoft 365 son compatibles con dos tipos de autorización:

  • Autorización de nivel de aplicación: Permite a una aplicación leer todos los informes de uso de servicio sin necesidad de que un usuario haya iniciado sesión. Los permisos otorgados a la aplicación determinan la autorización.
  • Autorización de usuario delegado: Permite a una aplicación leer todos los informes de uso de servicio en nombre del usuario que ha iniciado sesión. Además de que la aplicación debe contar con los permisos necesarios, el usuario debe ser miembro de un rol de administrador limitado de Azure AD. Este puede ser uno de los siguientes roles: Administrador de empresa, Administrador de Exchange, Administrador de SharePoint, Administrador de Lync, Administrador de servicios de Teams, Administrador de comunicaciones de Teams, Lector global, Lector de informes de resumen de uso, o Lector de informes. Los roles Lector global y de Lector de informes de resumen de uso solo tendrán acceso a datos de nivel de inquilino, sin visibilidad de métricas detalladas.

Si realiza una llamada a la API desde el Explorador de Graph:

  • El administrador del espacio empresarial de Azure AD debe conceder explícitamente los permisos solicitados a la aplicación del Explorador de Graph.
  • El usuario debe ser un miembro de un rol de administrador limitado en Azure AD, indicado arriba para la autorización delegada por el usuario.

Nota

El Explorador de Graph no admite la autorización a nivel de aplicación.

Si realiza una llamada a la API desde una aplicación:

  • El administrador del espacio empresarial de Azure AD debe conceder explícitamente los permisos a su aplicación. Esto es necesario tanto para las autorizaciones a nivel de aplicación como para las delegadas por usuarios.
  • Si utiliza una autorización delegada, el usuario debe ser un miembro de un rol de administrador limitado en Azure AD.

Asignar roles de Azure AD a usuarios

Después de que se conceden permisos a una aplicación, todos los usuarios con acceso a ella (es decir, los miembros del espacio empresarial de Azure AD) reciben los permisos concedidos. Para una mayor protección de los datos de los informes confidenciales, los administradores del espacio empresarial deben asignar a los usuarios los correspondientes roles de Azure AD. Para obtener más información, vea Permisos de roles de administrador en Azure Active Directory y Asignar roles de administrador y no administrador a los usuarios con Azure Active Directory.

Nota

Debe ser administrador de un espacio empresarial para realizar este paso.

Para asignar un rol a un usuario:

  1. Inicie sesión en Azure Portal (https://portal.azure.com)).
  2. Haga clic en el icono de la esquina superior izquierda para expandir el menú de Azure Portal. Seleccione Azure Active Directory > Usuarios.
  3. Haga clic en el nombre del usuario.
  4. Elija Roles asignados y, después, Agregar tarea.
  5. Seleccione el rol adecuado y haga clic en Agregar.