Référence des autorisations de Microsoft Graph

Pour que votre application puisse accéder aux données dans Microsoft Graph, l’utilisateur ou l’administrateur doivent lui accorder les autorisations appropriées via un processus de consentement. Cette rubrique répertorie les autorisations associées à chaque ensemble majeur d’API Microsoft Graph. Elle fournit également des instructions sur l’utilisation des autorisations.

Notes

Il est préférable de demander les autorisations les moins privilégiés dont votre application a besoin pour accéder aux données et fonctionner correctement. La demande d’autorisations autres que les privilèges nécessaires est une pratique de sécurité médiocre, qui peut empêcher les utilisateurs de donner leur consentement et d’affecter l’utilisation de votre application.

Pour en savoir plus sur le fonctionnement des autorisations, consultez Principes de base de l’authentification et de l’autorisation et regardez la vidéo suivante.

Noms d’autorisation de Microsoft Graph

Les noms d’autorisation de Microsoft Graph suivent un modèle simple : ressource.opération.contrainte. Par exemple, User.Read donne l’autorisation de lire le profil de l’utilisateur connecté, User.ReadWrite donne l’autorisation de lire et de modifier le profil de l’utilisateur connecté et Mail.Send donne l’autorisation d’envoyer des messages au nom de l’utilisateur connecté.

L’élément contrainte du nom détermine l’étendue potentielle des droits d’accès de votre application dans le répertoire. Microsoft Graph prend actuellement en charge les contraintes suivantes :

  • All donne l’autorisation à l’application d’effectuer des opérations sur toutes les ressources du type spécifié dans un répertoire. Par exemple, User.Read.All donne potentiellement à l’application le droit de lire les profils de tous les utilisateurs dans un répertoire.
  • Shared donne l’autorisation à l’application d’effectuer des opérations sur des ressources que d’autres utilisateurs ont partagé avec l’utilisateur connecté. Cette contrainte est utilisée principalement avec des ressources Outlook comme des messages, des calendriers et des contacts. Par exemple, Mail.Read.Shared accorde le droit de lire le courrier dans la boîte aux lettres de l’utilisateur connecté, ainsi que le courrier dans les boîtes aux lettres que d’autres utilisateurs de l’organisation ont partagé avec l’utilisateur connecté.
  • AppFolder donne l’autorisation à l’application de lire et d’écrire des fichiers dans un dossier dédié de OneDrive. Cette contrainte est présente uniquement dans les autorisations de fichiers et n’est valable que pour les comptes Microsoft.
  • Si aucune contrainte n’est spécifiée, l’application est limitée pour effectuer des opérations sur les ressources appartenant à l’utilisateur connecté. Par exemple, User.Read accorde des droits pour lire le profil de l’utilisateur connecté uniquement, et Mail.Read donne l’autorisation de lire uniquement le courrier de la boîte aux lettres de l’utilisateur connecté.

Notes

Dans les scénarios délégués, l’accès de votre application est également limité par les privilèges de l’utilisateur connecté. Ces privilèges sont déterminés par les rôles attribués à l’utilisateur et par leur relation avec les données consultées. Par exemple, si l’utilisateur connecté ne dispose pas des privilèges appropriés pour afficher un fichier, l’application cliente ne pourra pas non plus lire ce fichier, même si l’application dispose de l’autorisation déléguée File.Read.All .

Comptes Microsoft et comptes professionnels ou scolaires

Toutes les autorisations ne sont pas valides pour les comptes Microsoft et les comptes professionnels ou scolaires. Vous pouvez consulter la colonne de Compte Microsoft pris en charge pour chaque groupe d’autorisations afin de déterminer si une autorisation spécifique est valide pour les comptes Microsoft, les comptes professionnels ou scolaires ou les deux.

Limites sur les autorisations demandées par application

Azure AD limite le nombre d’autorisations qui peuvent être demandées et consenties par une application cliente. Ces limites dépendent de la valeur de votre application, affichée dans le manifeste signInAudience de l’application.

signInAudience Utilisateurs autorisés Autorisations maximales que l’application peut demander Autorisations maximales de Graph Microsoft que l’application peut demander Autorisations maximales qui peuvent être consenties dans une seule demande
AzureADMyOrg Les utilisateurs de l’organisation où l’application est inscrite 400 400 Environ 155 autorisations déléguées et environ 300 autorisations d’application
AzureADMultipleOrgs Les utilisateurs de n’importe quelle organisation Azure AD 400 400 Environ 155 autorisations déléguées et environ 300 autorisations d’application
PersonalMicrosoftAccount Utilisateurs consommateurs (tels que les comptes Outlook.com ou Live.com) 30 30 30
AzureADandPersonalMicrosoftAccount Utilisateurs consommateurs et utilisateurs de n’importe quelle organisation Azure AD 30 30 30

État de disponibilité des autorisations

Les autorisations Microsoft Graph dans le Portail Azure sont généralement disponibles et dans l’état Disponibilité générale pour toutes les applications à utiliser, à l’exception de quelques jeux en version d'évaluation ou de version d'évaluation privée. Les autorisations en version d'évaluation sont accessibles au public. Elles peuvent changer et ne pas être promues au statut de Disponibilité générale. Les autorisations ayant le statut de version d'évaluation privée ne sont pas disponibles pour le public. Ne pas utiliser les autorisations ayant le statut de version d'évaluation ou de version d'évaluation privée dans des applications de production.

Limites de recherche de groupes et d’utilisateurs pour les utilisateurs invités dans les organisations

Les fonctionnalités de recherche d’utilisateurs et de groupes permettent à l’application de rechercher n’importe quel utilisateur ou groupe dans l’annuaire d’une organisation en effectuant des requêtes sur l’ensemble de ressources /users ou /groups (par exemple, https://graph.microsoft.com/v1.0/users). Les administrateurs et les utilisateurs disposent de cette fonctionnalité ; toutefois, les utilisateurs invités ne le font pas.

Si l’utilisateur connecté est un utilisateur invité, selon les autorisations dont une application bénéficie, il peut lire le profil d’un utilisateur ou d’un groupe spécifique (par exemple, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531). Toutefois, il ne peut pas exécuter des requêtes dans les ressources /users ou /groups qui renvoient potentiellement plusieurs ressources.

Avec les autorisations appropriées, l’application peut lire les profils des utilisateurs ou des groupes qu’elle obtient en suivant les liens dans les propriétés de navigation. Par exemple, /users/{id}/directReports ou /groups/{id}/members.

Informations limitées retournées pour les objets membres inaccessibles

Les objets conteneur tels que les groupes prennent en charge les membres de différents types, par exemple, les utilisateurs et les appareils. Lorsqu’une application interroge l’appartenance à un objet conteneur et ne dispose pas des autorisations nécessaires pour lire un certain type, les membres de ce type sont renvoyés, mais avec une information limitée. L’application reçoit une réponse 200 et une collection d’objets. Des informations complètes sont renvoyées pour les types d’objets que l’application a l’autorisation de lire. Pour les types d’objets que l’application n’a pas l’autorisation de lire, seul le type d’objet et l’ID sont renvoyés.

Celle-ci est appliquée à toutes les relations de type directoryObject (pas seulement les liens vers les membres). Voici des exemples :/groups/{id}/members, /users/{id}/memberOf ou me/ownedObjects.

Par exemple, supposons qu’une application a les autorisations User.Read.All et Group.Read.All pour Microsoft Graph. Un groupe a été créé et ce groupe contient un utilisateur, un groupe et un appareil. L’application appelle les membres du groupe de liste. L’application a accès aux objets utilisateur et groupe dans le groupe, mais pas à l’objet appareil. Dans la réponse, toutes les propriétés sélectionnées des objets utilisateur et groupe sont renvoyées. Pour l’objet d’appareil, toutefois, seules des informations limitées sont renvoyées. Le type de données et l’ID d’objet sont renvoyés pour l’appareil, mais toutes les autres propriétés ont une valeur de null. Les applications sans autorisation ne peuvent pas utiliser l’ID pour obtenir l’objet réel.

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

Voici la réponse JSON :

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

Autorisations révisions d’accès

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
AccessReview.Read.All Lire toutes les révisions d’accès Permet à l’application de lire des révisions d’accès au nom de l’utilisateur connecté. Oui Non
AccessReview.ReadWrite.All Gérer toutes les révisions d’accès Permet à l’application de lire et écrire des révisions d’accès au nom de l’utilisateur connecté. Oui Non
AccessReview.ReadWrite.Membership Gérer les révisions d’accès pour les adhésions aux groupes et aux applications Permet à l’application de lire et écrire des révisions d’accès au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AccessReview.Read.All Lire toutes les révisions d’accès Permet à l’application de lire des révisions d’accès sans utilisateur connecté. Oui
AccessReview.ReadWrite.All Gérer toutes les révisions d’accès Permet à l’application de lire, mettre à jour, supprimer et effectuer des actions sur les révisions d’accès, les réviseurs, les décisions et les paramètres de l’organisation, sans utilisateur connecté. Oui
AccessReview.ReadWrite.Membership Gérer les révisions d’accès pour les adhésions aux groupes et aux applications Permet à l’application de gérer les révisions d’accès aux groupes et aux applications sans utilisateur connecté. Oui

Remarques

AccessReview.Read.All, AccessReview.ReadWrite.All, AccessReview.ReadWrite.Membership sont valides pour les comptes professionnels ou scolaires uniquement.

Pour qu’une application avec des autorisations déléguées puisse lire les informations de groupe ou application, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité ou administrateur utilisateur. Pour qu’une application avec des autorisations déléguées puisse écrire les informations de groupe ou application, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur utilisateur.

Pour qu’une application avec des autorisations déléguées puisse lire les informations de rôle Azure AD, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité, lecteur sécurité ou administrateur rôle privilégié. Pour qu’une application avec des autorisations déléguées puisse écrire les informations de rôle Azure AD, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur rôle privilégié.

Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.


Autorisations pour les unités administratives

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
AdministrativeUnit.Read.All Lire les unités administratives Permet à l’application de lire les unités administratives et l’appartenance à une unité administrative au nom de l’utilisateur connecté. Oui Non
AdministrativeUnit.ReadWrite.All Lire et écrire les unités administratives Permet à l’application de créer, lire, mettre à jour et supprimer des unités administratives et de gérer l’appartenance à une unité administrative au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AdministrativeUnit.Read.All Lire toutes les unités administratives Permet à l’application de lire les unités administratives et l’appartenance à une unité administrative sans utilisateur connecté. Oui
AdministrativeUnit.ReadWrite.All Lire et écrire toutes les unités administratives Permet à l’application de créer, lire, mettre à jour et supprimer des unités administratives et de gérer l’appartenance à une unité administrative sans utilisateur connecté. Oui

Remarques

Avec l'autorisation AdministrativeUnit.Read.All, une application peut lire les informations d’unité administrative, y compris les membres.

Avec l'autorisation AdministrativeUnit.ReadWrite.All, une application peut créer, lire, mettre à jour et supprimer les informations d’unité administrative, y compris les membres.

AdministrativeUnit.Read.All and AdministrativeUnit.ReadWrite.All ne sont valides que pour les comptes professionnels ou scolaires.

Exemple d’utilisation

Notes

Le point de terminaison v1.0 pour l’API d’unités administratives est /v1.0/directory/administrativeUnits.

  • AdministrativeUnit.Read.All : lire les unités administratives (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All : lire la liste des membres d’une unité administrative (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All : créer une unité administrative (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All : mettre à jour une unité administrative (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All : ajouter des membres à une unité administrative (POST /beta/administrativeUnits/<id>/members)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de la ressource Analytics

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Analytics.Read Lire les statistiques d’activité de l’utilisateur. Permet à l’application de lire les statistiques d’activité de l’utilisateur connecté, comme le temps consacré par l’utilisateur aux e-mails, aux réunions ou aux sessions de discussion. Non

Autorisations de l’application

Aucun.

Exemple d’utilisation

Delegated

Application

Aucun.


Autorisations de la ressource AppCatalog

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Un compte Microsoft est nécessaire
AppCatalog.Read.All Accéder en lecture à tous les catalogues d’applications Permet à l’application de lire les applications dans les catalogues d’applications. Non Non
AppCatalog.ReadWrite.All Lire et écrire sur tous les catalogues d’application Permet à l’application de créer, de lire, de mettre à jour et de supprimer des applications dans les catalogues d’application. Oui Non
AppCatalog.Submit Soumettre une application pour révision par l’administrateur Permet à l’utilisateur de soumettre une application pour révision par l’administrateur pour la publication dans le catalogue d’applications d’une organisation et permet aux utilisateurs d’annuler les soumissions précédentes qui n’ont pas été publiées.
𝐍𝐎𝐓𝐄: Les utilisateurs non administrateurs envoient des applications pour révision en incluant le paramètre de requête requiresReview=true.
Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AppCatalog.Read.All Accéder en lecture à tous les catalogues d’applications Permet à l’application de lire des applications dans les catalogues d’applications sans utilisateur connecté. Oui
AppCatalog.ReadWrite.All Lire et écrire sur tous les catalogues d’application Permet à l’application de créer, de lire, de mettre à jour et de supprimer des applications dans les catalogues d’application sans utilisateur connecté. Oui

Remarques

Actuellement, le seul catalogue est la liste des applications dans Microsoft Teams.

Exemple d’utilisation

Delegated

Application

Aucun.


Autorisations de ressource d’application

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Application.Read.All Lire les applications Permet à l'application de lire les applications et les principes de service pour le compte de l'utilisateur connecté. Oui
Application.ReadWrite.All Lire et écrire toutes les applications Permet à l'application de créer, lire, mettre à jour, et supprimer les applications et les principales de service pour le compte de l’utilisateur connecté. Oui
AppRoleAssignment.ReadWrite.All Gérer les attributions d’autorisation d’application et les attributions de rôle d’application Permet à l’application de gérer les autorisations accordées aux applications pour toutes les API (y compris Microsoft Graph) et les affectations d’application pour une application, au nom de l’utilisateur connecté. Oui
DelegatedPermissionGrant.ReadWrite.All Gérer les attributions d’autorisations déléguées Autorise l’application à gérer les attributions d’autorisations déléguées des API (y compris Microsoft Graph), au nom de l’utilisateur connecté. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Application.Read.All Lire les applications Permet à l'application de lire les applications et les principales de service sans utilisateur connecté. Oui
Application.ReadWrite.All Lire et écrire toutes les applications Permet à l’application appelante de créer et de gérer (lire, mettre à jour, mettre à jour les secrets de l’application et supprimer) des applications et des principaux de service sans qu’aucun utilisateur ne soit connecté. Ne permet pas la gestion des octrois de consentement ou des affectations d’application à des utilisateurs ou à des groupes. Oui
Application.ReadWrite.OwnedBy Gérer les applications que cette application crée ou celles dont elle est propriétaire Permet à l’application appelante de créer d’autres applications et principaux de service, et de les gérer entièrement (lire, mettre à jour, mettre à jour les secrets de l’application et supprimer), sans qu’aucun utilisateur ne soit connecté. Elle ne peut pas mettre à jour les applications dont elle n’est pas propriétaire. Ne permet pas la gestion des octrois de consentement ou des affectations d’application à des utilisateurs ou à des groupes. Oui
AppRoleAssignment.ReadWrite.All Gérer les attributions d’autorisation d’application et les attributions de rôle d’application Permet à l’application de gérer les autorisations accordées aux applications pour toutes les API (y compris Microsoft Graph) et les affectations d’application pour une application, sans utilisateur connecté. Oui
DelegatedPermissionGrant.ReadWrite.All Gérer toutes les attributions d’autorisations déléguées Autorise l’application à accorder ou à révoquer les autorisations déléguées des API (y compris Microsoft Graph), sans utilisateur connecté. Oui

Remarques

Attention

Les autorisations qui permettent l’octroi d’autorisations, telles que AppRoleAssignment.ReadWrite.All permettent à une application d’accorder des privilèges supplémentaires à d’autres applications, à n’importe quel utilisateur ou à elle-même. De même, les autorisations qui permettent de gérer les informations d’identification, telles que Application.ReadWrite.All permettent à une application d’agir en tant qu’autres entités et d’utiliser les privilèges qu’ils ont été accordés. Procédez avec précautions lorsque vous octroyez l’une de ces autorisations.

L’autorisation Application.ReadWrite.OwnedBy autorise les mêmes opérations que Application.ReadWrite.All sauf que la première autorise ces opérations uniquement sur les applications et les principaux de service dont l’application appelante est propriétaire. La propriété est indiquée par la propriété de navigation owners sur la ressource d’application cible ou principal de service.

REMARQUE : l’utilisation de l’autorisation Application.ReadWrite.OwnedBy pour appeler GET /applications afin de répertorier les applications échouera avec l’erreur 403. Utilisez plutôt GET servicePrincipals/{id}/ownedObjects pour répertorier les applications appartenant à l’application appelante.

Exemple d’utilisation

Déléguée

  • Application.Read.All : répertorier toutes les applications (GET /v1.0/applications)
  • Application.ReadWrite.All : mettre à jour un principal de service (PATCH /v1.0/servicePrincipals/{id})

Application

  • Application.Read.All : répertorier toutes les applications (GET /v1.0/applications)
  • Application.ReadWrite.All : supprimer un principal de service (DELETE /v1.0/servicePrincipals/{id})
  • Application.ReadWrite.OwnedBy : créer une application (POST /v1.0/applications)
  • Application.ReadWrite.OwnedBy : répertorier toutes les applications appartenant à l’application appelante (GET /v1.0/servicePrincipals/{id}/ownedObjects)
  • Application.ReadWrite.OwnedBy : ajouter un autre propriétaire à une application ayant déjà un propriétaire (POST /v1.0/applications/{id}/owners/$ref).

    REMARQUE : cela peut nécessiter des autorisations supplémentaires.


Autorisations du journal d'audit

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
AuditLog.Read.All Lire les données du journal d'audit Permet à l'application de lire et d'interroger les activités de votre journal d'audit, au nom de l'utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
AuditLog.Read.All Lire toutes les données du journal d'audit Permet à l'application de lire et d'interroger les activités de votre journal d'audit, sans qu'un utilisateur soit connecté. Oui

Clé d’autorisations de récupération BitLocker

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
BitlockerKey.ReadBasic.All Lire les informations de base sur les clés BitLocker Permet à une application de lire les propriétés de la clé BitLocker pour tous les appareils du locataire. La clé de récupération n’est pas retournée. Oui Non
BitlockerKey.Read.All Lire la clé BitLocker Permet à une application de lire les clés BitLocker pour tous les appareils du client. Renvoie la clé de récupération. Oui Non

Autorisations de l’application

Aucun.

Exemple d’utilisation

Déléguée

  • BitlockerKey. ReadBasic. All: Répertorier les clés de récupération BitLocker pour tous les appareils du client sans renvoyer la propriété’key' (GET /bitlocker/recoveryKeys).
  • BitlockerKey. lire. tous les: Obtenir une clé de récupération BitLocker à l’aide de la clé de récupération (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key)

Autorisations Bookings

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Bookings.Read.All Permet à une application de lire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Destiné aux applications en lecture seule. L’utilisateur cible classique est le client d’une entreprise de réservation. Non Non
BookingsAppointment.ReadWrite.All Permet à une application de lire et d’écrire des rendez-vous et des clients Bookings, ainsi que de lire des entreprises, des services et du personnel pour le compte de l’utilisateur connecté. Conçue pour planifier des applications qui doivent gérer des rendez-vous et des clients. Ne peut pas modifier les informations fondamentales sur la réservation professionnelle, ni ses services et membres du personnel. L’utilisateur cible classique est le client d’une réservation professionnelle. Non Non
Bookings.ReadWrite.All Permet à une application de lire et écrire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Ne permet pas de créer, supprimer ni publier d’entreprises Bookings. Conçue pour les applications de gestion qui gèrent des entreprises existantes, leurs services et les membres de leur personnel. Ne peut pas créer, supprimer ni modifier l’état de publication d’une réservation professionnelle. L’utilisateur cible classique est le support technique d’une organisation. Non Non
Bookings.Manage.All Permet à une application de lire, écrire et gérer des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Permet à l’application de disposer d’un accès total.
Conçue pour une expérience de gestion complète. L’utilisateur cible classique est l’administrateur d’une organisation.
Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Bookings.Read.All Permet à une application de lire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Destiné aux applications en lecture seule. L’utilisateur cible classique est le client d’une entreprise de réservation. Oui Non
BookingsAppointment.ReadWrite.All Permet à une application de lire et d’écrire des rendez-vous et des clients Bookings, ainsi que de lire des entreprises, des services et du personnel pour le compte de l’utilisateur connecté. Conçue pour planifier des applications qui doivent gérer des rendez-vous et des clients. Ne peut pas modifier les informations fondamentales sur la réservation professionnelle, ni ses services et membres du personnel. L’utilisateur cible classique est le client d’une réservation professionnelle. Oui Non
Bookings.ReadWrite.All Permet à une application de lire et écrire des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Ne permet pas de créer, supprimer ni publier d’entreprises Bookings. Conçue pour les applications de gestion qui gèrent des entreprises existantes, leurs services et les membres de leur personnel. Ne peut pas créer, supprimer ni modifier l’état de publication d’une réservation professionnelle. L’utilisateur cible classique est le support technique d’une organisation. Oui Non
Bookings.Manage.All Permet à une application de lire, écrire et gérer des rendez-vous, des entreprises, des clients, des services et du personnel Bookings pour le compte de l’utilisateur connecté. Permet à l’application de disposer d’un accès total.
Conçue pour une expérience de gestion complète. L’utilisateur cible classique est l’administrateur d’une organisation.
Oui Non

Exemple d’utilisation

Déléguée

  • Bookings.Read.All : obtenir l’ID et les noms de la collection d’entreprises Bookings qui a été créée pour un client (GET /bookingBusinesses).
  • BookingsAppointment.ReadWrite.All : créer un rendez-vous pour un service dans une entreprise Bookings (POST /bookingBusinesses/{id}/appointments).
  • Bookings.ReadWrite.All : créer un service pour l’entreprise Bookings spécifiée (POST /bookingBusinesses/{id}/services).
  • Bookings.Manage.All : mettre la page de planification de cette entreprise à disposition des clients externes (POST /bookingBusinesses/{id}/publish).

Autorisations de calendriers

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Calendars.Read Accéder en lecture aux calendriers utilisateur Permet à l’application de lire les événements dans les calendriers utilisateur. Non Oui
Calendars.Read.Shared Accéder en lecture aux calendriers utilisateur et aux calendriers partagés Permet à l’application de lire des événements dans tous les calendriers auxquels l’utilisateur peut accéder, y compris les calendriers délégués et partagés. Non Non
Calendars.ReadWrite Avoir un accès total à des calendriers utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des événements dans des calendriers utilisateur. Non Oui
Calendars.ReadWrite.Shared Accéder en lecture et en écriture aux calendriers utilisateur et aux calendriers partagés Permet à l’application de créer, lire, mettre à jour et supprimer des événements dans tous les calendriers auxquels l’utilisateur peut accéder. Cela comprend les calendriers délégués et partagés. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Calendars.Read Lire les calendriers dans toutes les boîtes aux lettres Permet à l’application de lire les événements de tous les calendriers sans utilisateur connecté. Oui
Calendars.ReadWrite Lire et écrire les calendriers dans toutes les boîtes aux lettres Permet à l’application de créer, lire, mettre à jour et supprimer des événements de tous les calendriers sans utilisateur connecté. Oui

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Calendars.Read ou Calendars.ReadWrite.

Exemple d’utilisation

Déléguée

  • Calendars.Read : Accédez aux événements du calendrier de l’utilisateur compris entre le 23 avril 2017 et le 29 avril 2017 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00).
  • Calendars.Read.Shared: Recherchez des heures de réunion où tous les participants sont disponibles (POST /users/{id|userPrincipalName}/findMeetingTimes).
  • Calendars.ReadWrite : Ajoutez un événement au calendrier de l’utilisateur (POST /me/events).

Application

  • Calendars.Read : Recherchez des événements dans le calendrier d’une salle de conférence organisés par bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com').
  • Calendars.Read : Répertoriez tous les événements du calendrier d’un utilisateur pour le mois de mai (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite : Ajoutez un événement au calendrier d’un utilisateur pour les congés autorisés (POST /users/{id | userPrincipalName}/events).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations des appels

Autorisations déléguées

Aucun.


Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Calls.Initiate.All Lancer les appels sortants 1:1 depuis l’application Permet à l’application de passer des appels sortants à un seul utilisateur et de transférer des appels à des utilisateurs dans l’annuaire de votre organisation, sans utilisateur connecté. Oui
Calls.InitiateGroupCall.All Lancer les appels de groupe sortants 1:1 depuis l’application Permet à l’application de passer des appels sortants à plusieurs utilisateurs et d’ajouter des participants à des réunions dans votre organisation, sans utilisateur connecté. Oui
Calls.JoinGroupCall.All Participer à des réunions et à des appels de groupe en tant qu’application Permet à l’application de rejoindre les appels de groupe et les réunions planifiées dans votre organisation, sans utilisateur connecté. L’application se joindra aux réunions avec les privilèges d’un utilisateur d’annuaire dans votre client. Oui
Calls.JoinGroupCallasGuest.All Participer à des réunions et à des appels de groupe en tant qu’invité Permet à l’application de rejoindre anonymement les appels de groupe et les réunions planifiées dans votre organisation, sans utilisateur connecté. L’application se joindra aux réunions en tant qu’invité dans votre client. Oui
Calls.AccessMedia.All* Accéder aux flux multimédias dans un appel en tant qu’application Permet à l’application d’obtenir un accès direct aux flux multimédias dans un appel, sans utilisateur connecté. Oui

*Important : vous ne pouvez PAS utiliser les API de communication du cloud pour enregistrer voire conserver du contenu multimédia provenant d’appels ou de réunions auxquels votre application a accès ou des données dérivant de ce contenu multimédia. S’assurer que vous respectez les lois et réglementations de votre région en matière de protection des données et de confidentialité des communications. Pour plus d’informations, consultez les Conditions d’utilisation et contactez votre conseiller juridique.


Exemple d’utilisation

Application

  • Calls.Initiate.All : passer un appel pair à pair depuis l’application à un utilisateur de l’organisation (POST /beta/communications/calls).
  • Calls.InitiateGroupCall.All : créer un appel de groupe depuis l’application à un groupe d’utilisateurs dans l’organisation (POST /beta/communications/calls).
  • Calls.JoinGroupCall.All: rejoindre un appel de groupe ou une réunion en ligne depuis l’application (POST /beta/communications/calls).
  • Calls.JoinGroupCallasGuest.All : rejoindre un appel de groupe ou une réunion en ligne à partir de l’application, mais l’application ne dispose que des privilèges d’invité dans la réunion (POST /beta/communications/calls).
  • Calls.AccessMedia.All : créer ou rejoindre un appel et l’application obtient un accès direct aux flux multimédias des participants de l’appel (POST /beta/communications/calls).

Remarque : pour consulter des exemples de demande, consultez la section Créer un appel.

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations des enregistrements d’appels

Autorisations déléguées

Aucun.


Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
CallRecords.Read.All Lire tous les enregistrements d’appels Permet à l’application de lire les enregistrements d’appels pour l’ensemble des appels et réunions en ligne sans utilisateur connecté. Oui
CallRecord-PstnCalls.Read.All Lire les données de journal des appels de routage direct et RTC Permet à l’application de lire toutes les données de journal des appels de routage direct et RTC sans utilisateur connecté. Oui

Remarques

L’autorisation CallRecords.Read.All octroie un accès privilégié aux applications à callRecords pour chaque appel et réunion en ligne au sein de votre organisation, y compris les appels vers et à partir de numéros de téléphone externes. Cela inclut des détails potentiellement sensibles sur les personnes qui ont participé à l’appel, ainsi que des informations techniques relatives à ces appels et réunions qui peuvent être utilisés pour la résolution des problèmes de réseau, tels que des adresses IP, des détails sur les appareils et d’autres informations relatives au réseau.

L’autorisation CallRecord-PstnCalls.Read.All accorde à une application l’accès au réseau téléphonique (PSTN) et aux journaux d’appels de routage direct. Il s’agit notamment d’informations potentiellement sensibles sur les utilisateurs, ainsi que d’appels vers et à partir de numéros de téléphone externes.

Important : il convient de faire preuve de discrétion lors de l’octroi de ces autorisations aux applications. Les enregistrements d’appels peuvent fournir des informations sur le fonctionnement de votre entreprise et, par conséquent, constituer une cible pour des acteurs malveillants. Accordez ces autorisations uniquement aux applications de confiance pour répondre à vos besoins en matière de protection des données.

Important : assurez-vous que vous respectez les lois et réglementations de votre région en matière de protection des données et de confidentialité des communications. Pour plus d’informations, consultez les Conditions d’utilisation et contactez votre conseiller juridique.


Exemple d’utilisation

Application

  • CallRecords.Read.All : enregistrer un enregistrement d’appel (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All : s’abonner à de nouveaux enregistrements d’appels (POST /v1.0/subscriptions).
  • CallRecords.Read.All : récupérer les enregistrements d’appels de routage direct dans la plage de temps spécifiée (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: récupérer les enregistrements d’appels PSTN dans la plage de temps spécifiée ( GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)) )

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations d’une chaîne

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Channel.ReadBasic.All Accéder en lecture aux noms et les descriptions des canaux. Accéder en lecture aux noms des canaux et les descriptions des canaux au nom de l’utilisateur connecté. Non Non
Channel.Create Créer des chaînes. Créer les canaux d’une équipe au nom de l’utilisateur connecté. Oui Non
Channel.Delete.All Supprimer des canaux. Supprimer les canaux d’une équipe au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Channel.ReadBasic.All Accéder en lecture aux noms et les descriptions de tous les canaux. Accéder en lecture à tous les noms des canaux et descriptions des canaux sans utilisateur connecté. Oui Non
Channel.Create Créer des chaînes. Créer des canaux d’une équipe sans utilisateur connecté. Oui Non
Channel.Delete.All Supprimer des canaux. Supprimer des canaux d’une équipe sans utilisateur connecté. Oui Non
Teamwork.Migrate.All Gérer la migration vers Microsoft Teams Création et gestion de ressources pour la migration vers Microsoft Teams Oui Oui

Autorisations de membre du canal

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMember.Read.All Lisez les membres des canaux. Lisez les membres des canaux au nom de l’utilisateur connecté. Oui Non
ChannelMember.ReadWrite.All Ajoutez et supprimez des membres des canaux. Ajoutez et supprimez des membres de canaux au nom de l’utilisateur connecté. Permet également de modifier le rôle d’un membre, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMember.Read.All Lisez les membres de tous les canaux. Lisez les membres de tous les canaux, sans utilisateur connecté. Oui Non
ChannelMember.ReadWrite.All Ajoutez et supprimez des membres de tous les canaux. Ajoutez et supprimez des membres de tous les canaux, sans utilisateur connecté. Permet également de modifier le rôle d’un membre, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations pour le message de canal

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMessage.Edit (préversion privée) Modifier les messages de canal des utilisateurs Permet à une application de modifier des messages du canal dans Microsoft Teams, au nom de l’utilisateur connecté. Oui Non
ChannelMessage.Read.All Accéder en lecture aux messages du canal des utilisateurs Permet à une application de lire les messages d’un canal dans Microsoft Teams, au nom de l’utilisateur connecté. Oui Non
ChannelMessage.Send Envoyer des messages du canal Permet à une application d’envoyer des messages du canal dans Microsoft Teams, au nom de l’utilisateur connecté. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelMessage.Read.All Lire tous les messages du canal Permet à l’application de lire tous les messages du canal dans Microsoft Teams, sans utilisateur connecté. Oui Non
ChannelMessage.UpdatePolicyViolation.All Marquer des messages du canal en stratégie de violation Permet à l’application de mettre à jour les messages du canal Microsoft Teams en appliquant un correctif sur un groupe de propriétés de violation de stratégie DLP (Protection contre la perte de données) pour gérer la sortie du traitement DLP. Oui Non

Remarque : Voir aussi Group.Read.All.

Autorisations de paramètres de canal

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelSettings.Read.All Accéder en lecture aux noms, descriptions et paramètres des canaux. Accéder en lecture aux noms des canaux, descriptions des canaux et paramètres des canaux au nom de l’utilisateur connecté. Oui Non
ChannelSettings.ReadWrite.All Accéder en lecture et en écriture aux noms, descriptions et paramètres des canaux. Accéder en lecture et en écriture aux noms, descriptions et paramètres de tous les canaux, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChannelSettings.Read.All Accéder en lecture aux noms, descriptions et paramètres de tous les canaux. Accéder en lecture à tous les noms des canaux, descriptions des canaux et paramètres des canaux sans utilisateur connecté. Oui Non
ChannelSettings.ReadWrite.All Accéder en lecture et en écriture aux noms, descriptions et paramètres de tous les canaux. Accéder en lecture et en écriture aux noms, descriptions et paramètres de tous les canaux, sans utilisateur connecté. Oui Non

Autorisations de conversation

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Chat.Read Lire vos messages de conversation Permet à votre application de lire votre 1:1 ou les messages de conversation de groupe dans Microsoft Teams, en votre nom. Non Non
Chat.ReadBasic Accéder en lecture aux noms et les membres des threads de conversation des utilisateurs Permet à une application de lire les membres et les descriptions des threads de conversation en tête à tête et de groupe, au nom de l’utilisateur connecté. Non Non
Chat.ReadWrite Lire vos messages de conversation et en envoyer de nouveaux Permet à votre application de lire et d’envoyer votre 1:1 ou les messages de conversation de groupe dans Microsoft Teams, en votre nom. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Chat.Read.All Lire tous les messages de conversations. Permet à l’application de lire tous les 1:1 ou les messages de conversation de groupe dans Microsoft Teams, sans utilisateur connecté. Oui Non
Chat.ReadBasic.All Accéder en lecture aux noms et les membres des threads de conversation des utilisateurs Accéder en lecture aux noms et les membres de tous les threads de conversation. Oui Non
Chat.UpdatePolicyViolation.All Marquer des messages de conversation en stratégie de violation Autorise l’application à mettre à jour Microsoft Teams 1:1 ou les messages de conversation de groupe en corrigeant un ensemble de propriétés de violation de la stratégie de protection contre la perte de données (DLP) pour gérer la sortie du traitement de DLP. Oui Non

Remarque : pour les messages dans un canal, voir autorisations de ChannelMessage.

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChatSettings.Read.Chat Lire les paramètres de cette équipe. Permet à l’application de lire les paramètres de cette conversation sans qu’un utilisateur ne soit connecté. Non Non
ChatSettings.ReadWrite.Chat Lire et écrire les paramètres de cette conversation. Permet à l’application de lire et d’écrire tous les paramètres de déploiement de Windows Update pour l’organisation sans un utilisateur connecté. Non Non
ChatMessage.Read.Chat Lire les messages de cette conversation. Permet à une application de lire les messages de cette conversation, sans utilisateur connecté. Non Non
ChatMember.Read.Chat Lisez les membres de ce groupe. Permet à l’application de lire les membres de cette conversation sans que l’utilisateur soit connecté. Non Non
Chat.Manage.Chat Gérer cette conversation. Permet à l’application de gérer la conversation, les membres de la conversation et d’autoriser l’accès aux données de la conversation sans que l’utilisateur soit connecté. Non Non
TeamsTab.Read.Chat Lire les onglets de cette conversation. Permet à l’application de lire les onglets de cette conversation sans que l’utilisateur soit connecté. Non Non
TeamsTab.Create.Chat Créer des onglets au sein cette conversation. Permet à l'application de créer des onglets dans cette conversation, sans utilisateur connecté. Non Non
TeamsTab.Delete.Chat Supprimer les onglets de cette conversation. Permet à l’application de supprimer les onglets de cette conversation sans que l’utilisateur soit connecté. Non Non
TeamsTab.ReadWrite.Chat Gérer les onglets de cette conversation. Permet à l’application de gérer les onglets de cette conversation sans que l’utilisateur soit connecté. Non Non
TeamsAppInstallation.Read.Chat Voir quelles applications sont installées dans cette équipe. Permet à l’application de lire les applications Teams installées dans cette conversation, ainsi que les autorisations consenties à chaque application sans que l’utilisateur soit connecté. Non Non
OnlineMeeting.ReadBasic.Chat Lire les propriétés de base d’une réunion associée à cette conversation. Permet à l’application de lire les propriétés de base, telles que le nom, la planification, l’organisateur et un lien de participation, d’une réunion associée à cette conversation sans que l’utilisateur soit connecté. Non Non
Calls.AccessMedia.Chat Accéder aux flux multimédias dans les appels associés à cette conversation ou réunion Permet à l’application d’accéder aux flux multimédias dans les appels associés à cette conversation ou réunion, sans utilisateur. Non Non
Calls.JoinGroupCalls.Chat Participer aux appels associés à cette conversation ou réunion Permet à l'application de participer aux appels associés à ce chat ou à cette réunion, sans qu'un utilisateur soit connecté. Non Non
TeamsActivity.Send.Chat Envoyer des notifications de flux d’activités aux utilisateurs de ce clavardage. Permet à l'application de créer de nouvelles notifications dans les flux d'activités de travail en équipe des utilisateurs de ce clavardage, sans qu'un utilisateur soit connecté. Non Non

Notes

Actuellement, ces autorisations sont prises en charge uniquement dans la version bêta de Microsoft Graph.

Autorisations ChatMessage

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ChatMessage.Send Envoyer des messages de la conversation aux utilisateurs Permet à une application d’envoyer des messages en tête à tête et de groupe dans Microsoft Teams, au nom de l’utilisateur connecté. Non Non

Autorisations des PC cloud

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
CloudPC.Read.All Lire les PC cloud Permet à l’application de lire les objets des PC cloud tels que les stratégies d’approvisionnement, au nom de l’utilisateur connecté. Non Non
CloudPC.ReadWrite.All Lire et écrire des objets de PC cloud Permet à l’application de créer, lire, mettre à jour et supprimer des objets PC cloud tels que des connexions réseau Azure, des stratégies d’approvisionnement et des images d’appareil, pour le compte de l’utilisateur. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
CloudPC.Read.All Lire les PC cloud Permet à l'application de lire les objets du PC en nuage, tels que les stratégies de provisionnement, sans qu'un utilisateur soit connecté. Oui Non
CloudPC.ReadWrite.All Lire et écrire des objets de PC cloud Permet à l’application de créer, lire, mettre à jour et supprimer des objets PC cloud tels que des connexions réseau Azure, des stratégies d’approvisionnement et des images d’appareil, sans utilisateur connecté. Oui Non

Exemple d’utilisation

Déléguée

  • CloudPC.Read.All : affichez les propriétés de tous les PC cloud (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All : modifiez la stratégie d’approvisionnement de PC Cloud (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Application

  • CloudPC.Read.All : affichez les propriétés de tous les PC cloud (GET /deviceManagement/virtualEndpoint/cloudPCs).
  • CloudPC.ReadWrite.All : modifiez la stratégie d’approvisionnement de PC Cloud (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}).

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ConsentRequest.Read.All Demandes de consentement de lecture Permet à l’application de lire les demandes et approbations de consentement au nom de l’utilisateur connecté. Oui Non
ConsentRequest.ReadWrite.All Demandes de consentement en lecture et écriture Permet à l’application de lire les demandes et approbations de consentement d’application, et de refuser ou d’approuver ces demandes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ConsentRequest.Read.All Demandes de consentement de lecture Permet à l’application d’accéder en lecture aux demandes et approbations de consentement de l’application sans utilisateur connecté. Oui
ConsentRequest.ReadWrite.All Demandes de consentement en lecture et écriture Permet à l’application d’accéder en lecture aux demandes et approbations de consentement d’application, et de refuser ou d’approuver ces demandes sans utilisateur connecté. Oui

Autorisations de contacts

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Contacts.Read Accéder en lecture aux contacts utilisateur Permet à l’application de lire les contacts de l’utilisateur. Non Oui
Contacts.Read.Shared Accéder en lecture aux contacts utilisateur et aux contacts partagés Permet à l’application de lire les contacts auxquels l’utilisateur peut accéder, notamment les contacts utilisateur et les contacts partagés. Non Non
Contacts.ReadWrite Avoir un accès total à des contacts utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des contacts de l’utilisateur. Non Oui
Contacts.ReadWrite.Shared Accéder en lecture et en écriture aux contacts utilisateur et aux contacts partagés Permet à l’application de créer, lire, mettre à jour et supprimer des contacts auxquels l’utilisateur peut accéder, notamment les contacts utilisateur et les contacts partagés. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Contacts.Read Lire les contacts dans toutes les boîtes aux lettres Permet à l’application de lire tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté. Oui
Contacts.ReadWrite Lire et écrire les contacts dans toutes les boîtes aux lettres Permet à l’application de créer, lire, mettre à jour et supprimer tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté. Oui

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Contacts.Read ou Contacts.ReadWrite.

Exemple d’utilisation

Déléguée

  • Contacts.Read : Lisez un contact à partir de l’un des dossiers de contacts de niveau supérieur de l’utilisateur connecté (GET /me/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite : Mettez à jour la photo de l’un des contacts de l’utilisateur connecté (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite : Ajoutez des contacts au dossier racine de l’utilisateur connecté (POST /me/contacts).

Application

  • Contacts.Read : Lisez les contacts à partir de l’un des dossiers de contacts de niveau supérieur de tous les utilisateurs de l’organisation (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id}).
  • Contacts.ReadWrite : Mettez à jour la photo de n’importe quel contact de tous les utilisateurs d’une organisation (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value).
  • Contacts.ReadWrite : Ajoutez des contacts au dossier racine de tous les utilisateurs de l’organisation (POST /users/{id | userPrincipalName}/contacts).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations des attributs de sécurité personnalisés

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
CustomSecAttributeAssignment.Read.All Lire les affectations d’attributs de sécurité personnalisées Autorise l’application à lire les affectations d’attributs de sécurité personnalisées pour tous les principaux dans le client pour le compte d’un utilisateur connecté. Oui Non
CustomSecAttributeAssignment.ReadWrite.All Lecture et écriture des affectations d’attributs de sécurité personnalisés Permet à l’application d’accéder en lecture et en écriture aux affectations d’attributs de sécurité personnalisées pour tous les principaux dans le client au nom d’un utilisateur connecté. Oui Non
CustomSecAttributeDefinition.Read.All Lire les définitions d’attribut de sécurité personnalisées Autorise l’application à lire les définitions d’attribut de sécurité personnalisées pour le client pour le compte d’un utilisateur connecté. Oui Non
CustomSecAttributeDefinition.ReadWrite.All Lecture et écriture des définitions d’attribut de sécurité personnalisées Permet à l’application d’accéder en lecture et en écriture aux définitions d’attribut de sécurité personnalisées pour le client au nom d’un utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
CustomSecAttributeAssignment.Read.All Lire les affectations d’attributs de sécurité personnalisées Autorise l’application à lire les affectations d’attributs de sécurité personnalisées pour tous les principaux dans le client sans utilisateur connecté. Oui
CustomSecAttributeAssignment.ReadWrite.All Lecture et écriture des affectations d’attributs de sécurité personnalisés Permet à l’application de lire et d’écrire des affectations d’attributs de sécurité personnalisées pour tous les principaux du client sans utilisateur connecté. Oui
CustomSecAttributeDefinition.Read.All Lire les définitions d’attribut de sécurité personnalisées Autorise l’application à lire les définitions d’attribut de sécurité personnalisées pour le client sans utilisateur connecté. Oui
CustomSecAttributeDefinition.ReadWrite.All Lecture et écriture des définitions d’attribut de sécurité personnalisées Permet à l’application de lire et d’écrire des définitions d’attributs de sécurité personnalisées pour le client sans utilisateur connecté. Oui

Privilèges d’administration délégués granulaires (GDAP) d’autorisations

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
DelegatedAdminRelationship.Read.All Lire les relations d’administration déléguée avec les clients Permet à l'application de lire les détails des relations d'administration déléguée avec les clients, comme les détails d'accès (y compris les rôles) et la durée, ainsi que les devoirs de rôles spécifiques aux groupes de sécurité au nom de l'utilisateur connecté. Oui Non
DelegatedAdminRelationship.ReadWrite.All Gérer les relations d’administration déléguée avec les clients Permet à l'application de gérer (créer-update-terminer) les relations d'administrateur délégué avec les clients et les devoirs de rôles aux groupes de sécurité pour les relations d'administrateur délégué actives en votre nom. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
DelegatedAdminRelationship.Read.All Lire les relations d’administration déléguée avec les clients Permet à l'application de lire les détails des relations d'administration déléguée avec les clients, comme les détails d'accès (y compris les rôles) et la durée, ainsi que les devoirs de rôles spécifiques aux groupes de sécurité, sans qu'un utilisateur soit connecté. Oui Non
DelegatedAdminRelationship.ReadWrite.All Gérer les relations d’administration déléguée avec les clients Permet à l'application de gérer (créer-update-terminer) les relations d'administrateur délégué avec les clients et les devoirs de rôles aux groupes de sécurité pour les relations d'administrateur délégué actives sans utilisateur connecté. Oui Non

Autorisations de l’appareil

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Device.Read Lire les appareils de l’utilisateur Permet de lire la liste d’appareils d’un utilisateur au nom de l’utilisateur connecté. Non Oui
Device.Read.All Accéder en lecture à tous les appareils Permet à l’application de lire les informations de configuration des appareils de votre organisation pour le compte de l’utilisateur connecté. Oui Oui
Device.Command Communiquer avec les appareils de l’utilisateur Permet à l’application d’en lancer une autre ou de communiquer avec une autre sur l’appareil d’un utilisateur au nom de l’utilisateur connecté. Non Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Device.Read.All Accéder en lecture à tous les appareils Permet à l’application de lire les informations de configuration des appareils de votre organisation sans utilisateur connecté. Oui
Device.ReadWrite.All Accéder en lecture et en écriture à des appareils Permet à l’application de lire et d’écrire toutes les propriétés d’un appareil sans utilisateur connecté. N’autorise pas la création ou la suppression d’un appareil, ni la mise à jour de ses identificateurs de sécurité. Oui

Notes

Avant le 3 décembre 2020, lorsque l’autorisation d’application Device.Read.All était accordée, le rôle d’annuaire des Gestionnaires d’appareils était également attribué au principal du service de l’application. Cette affectation de rôle d’annuaire n’est pas supprimée automatiquement lorsque les autorisations d’application associées sont révoquées. Pour vous assurer que l’accès d’une application en lecture ou en écriture sur les appareils soit supprimé, les clients doivent également supprimer tous les rôles d’annuaire associés qui ont été accordés à l’application.

Le déploiement de la mise à jour de service désactivant ce comportement a commencé le 3 décembre 2020. Le déploiement à tous les clients a pris fin le 11 janvier 2021. Les rôles d’annuaire ne sont plus attribués automatiquement lorsque les autorisations d’application sont accordées.

Exemple d’utilisation

Application

  • Device.ReadWrite.All : Lisez tous les appareils enregistrés de l’organisation (GET /devices).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations du répertoire

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Directory.Read.All Lire les données de l’annuaire Permet à l’application de lire les données dans l’annuaire de votre organisation, comme les utilisateurs, les groupes et les applications. Remarque : les utilisateurs peuvent donner leur consentement aux applications nécessitant cette autorisation si l’application est inscrite dans le client de leur propre organisation. Oui Non
Directory.ReadWrite.All Lire et écrire les données de l’annuaire Permet à l’application de lire et écrire des données dans l’annuaire de votre organisation, telles que les utilisateurs et les groupes. Elle n’autorise pas l’application à supprimer des utilisateurs ou des groupes ou à réinitialiser les mots de passe de l’utilisateur. Oui Non
Directory.AccessAsUser.All Accéder à l’annuaire en tant qu’utilisateur connecté Permet à l’application de disposer du même accès aux informations dans l’annuaire que l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Directory.Read.All Lire les données de l’annuaire Permet à l’application de lire les données dans l’annuaire de votre organisation, comme les utilisateurs, les groupes et les applications, sans utilisateur connecté. Oui
Directory.ReadWrite.All Lire et écrire les données de l’annuaire Permet à l’application de lire et d’écrire des données dans l’annuaire de votre organisation, telles que les utilisateurs et les groupes, sans utilisateur connecté. N’autorise pas la suppression d’un utilisateur ou d’un groupe. Oui

Remarques

Les autorisations du répertoire fournissent le niveau de droits le plus élevé pour accéder aux ressources du répertoire comme Utilisateur, Groupe et Appareil dans une organisation.

Ils contrôlent également exclusivement l’accès à d’autres ressources d’annuaire, telles que : contacts organisationnels, api d’extension de schéma, api Privileged Identity Management (PIM), ainsi que de nombreuses ressources et API répertoriées sous le nœud Azure Active Directory dans la documentation de référence des API v1.0 et bêta. Il s’agit notamment des unités administratives, des rôles d’annuaire, des paramètres d’annuaire, de la stratégie et bien plus encore.

Notes

Avant le 3 décembre 2020, lorsque l’autorisation d’application Directory.Read.All était accordée, le rôle d’annuaire des Lecteurs de répertoire était également attribué au principal du service de l’application. Lorsque Directory.ReadWrite.All était octroyé, le rôle d’annuaire des Lecteurs de répertoire était également accordé. Ces rôles d’annuaire ne sont pas supprimés automatiquement lorsque les autorisations d’application associées sont révoquées. Pour supprimer l’accès d’une application en lecture ou en écriture à l’annuaire, les clients doivent également supprimer les rôles d’annuaire qui ont été accordés à l’application.

Le déploiement de la mise à jour de service désactivant ce comportement a commencé le 3 décembre 2020. Le déploiement à tous les clients a pris fin le 11 janvier 2021. Les rôles d’annuaire ne sont plus attribués automatiquement lorsque les autorisations d’application sont accordées.

L’autorisation Directory.ReadWrite.All accorde les droits suivants :

  • Lecture complète de toutes les ressources du répertoire (propriétés de navigation et propriétés déclarées)
  • Création et mise à jour des utilisateurs
  • Désactivation et activation des utilisateurs (mais pas de l’administrateur de l’entreprise)
  • Définition d’autres ID de sécurité pour l’utilisateur (mais pas pour les administrateurs)
  • Création et mise à jour de groupes
  • Gestion de l’appartenance aux groupes
  • Mise à jour du propriétaire du groupe
  • Gestion des affectations de licence
  • Définition des extensions de schéma sur les applications
  • Gérer les paramètres du répertoire
  • Gérer la configuration du flux de travail de consentement de l’administrateur (mais pas la question de savoir si l’autorisation de l’administrateur est obligatoire ou qui est autorisé à accorder le consentement de l’administrateur)

Remarque :

  • ne dispose pas du droit de réinitialiser les mots de passe utilisateur.
  • La mise à jour de la propriété businessPhones, MobilePhone ou otherMails d’un autre utilisateur est autorisée uniquement pour les utilisateurs qui ne sont pas administrateurs ou qui ont l’un des rôles suivants : lecteurs d’annuaires, inviteur d’invités, lecteur de centre de messages et lecteur de rapports. Pour plus de détails, voir Helpdesk (Password) Administrator dans les rôles disponibles d'Azure AD. C’est le cas des applications disposant des autorisations déléguées ou applicatives User.ReadWrite.All ou Directory.ReadWrite.All.
  • Ne dispose pas du droit de supprimer des ressources (y compris les utilisateurs ou groupes)
  • Exclut de manière spécifique la création ou la mise à jour des ressources non répertoriées ci-dessus. Cela comprend : l’application, oAauth2Permissiongrant, appRoleAssignment, l’appareil, servicePrincipal, l’organisation, les domaines, etc.

Exemple d’utilisation

Déléguée

  • Directory.Read.All : Répertoriez toutes les unités administratives d’une organisation (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All : Ajoutez des membres à un rôle d’annuaire (POST /directoryRoles/{id}/members/$ref)

Application

  • Directory.Read.All : Répertoriez toutes les appartenances d’un utilisateur, y compris les rôles d’annuaire et les unités administratives (GET /beta/users/{id}/memberOf)
  • Directory.Read.All : Répertoriez tous les membres du groupe, y compris les principaux de service (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All : Ajoutez un propriétaire à un groupe (POST /groups/{id}/owners/$ref)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de domaine

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Domain.Read.All Accéder en lecture aux domaines Permet à l’application de lire toutes les propriétés de domaine au nom de l’utilisateur connecté. Oui Non
Domain.ReadWrite.All Lire et en écrire des domaines Permet à l’application de lire et d’écrire toutes les propriétés de domaine au nom de l’utilisateur connecté. Permet également à l’application d’ajouter, de vérifier et de supprimer des domaines. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Domain.Read.All Accéder en lecture aux domaines Permet à l’application de lire toutes les propriétés de domaine sans utilisateur connecté. Oui
Domain.ReadWrite.All Lire et en écrire des domaines Permet à l’application de lire et écrire des domaines sans utilisateur connecté. Oui

Attribution d’autorisations eDiscovery

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
eDiscovery.Read.All Lecture de données de cas eDiscovery de l’utilisateur Permet à l'application de lire des objets eDiscovery tels que des cas, des consignataires, des jeux à réviser et d'autres objets connexes au nom de l'utilisateur connecté. Oui Non
eDiscovery.ReadWrite.All Lecture et écriture de données de cas eDiscovery Permet à l'application d’accéder en lecture et en écriture aux objets eDiscovery tels que des cas, des consignataires, des jeux à réviser et d'autres objets connexes au nom de l'utilisateur connecté. Oui Non

Autorisations de l’application

Aucun

Exemple d’utilisation

Déléguée

  • eDiscovery.Read.All : obtenir la liste des cas à la disposition de l’utilisateur (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All : créer une requête de reviewset dans un jeu à réviser (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’enseignement

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
EduAdministration.Read Lire les paramètres d’application d’enseignement Autorise l’application à lire les paramètres d’application d’enseignement au nom de l’utilisateur. Oui Non
EduAdministration.ReadWrite Gérer les paramètres d’application d’enseignement Autorise l’application à gérer les paramètres d’application d’enseignement au nom de l’utilisateur. Oui Non
EduAssignments.ReadBasic Lire les devoirs non notés des utilisateurs Autorise l’application à lire les devoirs non notés de l’utilisateur Oui Non
EduAssignments.ReadWriteBasic Lire et écrire les devoirs non notés des utilisateurs Autorise l’application à lire et à écrire les devoirs non notés pour le compte de l’utilisateur Oui Non
EduAssignments.Read Lire la vue des devoirs et de leurs notes Autorise l’application à lire les devoirs et les notes de l’utilisateur Oui Non
EduAssignments.ReadWrite Lire et écrire la vue des devoirs et de leurs notes Autorise l’application à lire et à écrire les devoirs et les notes de l’utilisateur Oui Non
EduRoster.ReadBasic Lire un sous-ensemble limité de l’affichage de la liste de présence Permet à l’application de lire un sous-ensemble limité des propriétés à partir de la structure des établissements scolaires et des classes dans la liste d’une organisation et un sous-ensemble limité de propriétés relatives aux utilisateurs à lire pour le compte de l’utilisateur. Inclut le nom, l’état, le rôle d’éducation, l’adresse e-mail et la photo. Oui Non
EduRoster.Read Lire l’affichage des utilisateurs de la liste de présence Autorise l’application à lire la structure des écoles et des classes dans la liste de présence d'une organisation et les informations spécifiques à l'éducation des utilisateurs à lire au nom de l'utilisateur. Oui
EduRoster.ReadWrite Lire et écrire l’affichage des utilisateurs de la liste de présence Autorise l’application à lire et à écrire la structure des écoles et des classes dans la liste de présence d'une organisation et les informations spécifiques à l'éducation des utilisateurs à lire au nom de l'utilisateur. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
EduAdministration.Read.All Lire les paramètres d’application d’éducation Lire l’état et les paramètres de toutes les applications d’éducation Microsoft pour le compte de l’utilisateur Oui
EduAdministration.ReadWrite.All Gérer les paramètres d’application d’éducation Gérer l’état et les paramètres de toutes les applications d’éducation Microsoft pour le compte de l’utilisateur oui
EduAssignments.ReadBasic.All Lire les devoirs non notés Autorise l’application à lire les devoirs non notés de tous les utilisateurs Oui
EduAssignments.ReadWriteBasic.All Lire et écrire les devoirs non notés Autorise l’application à lire et à écrire les devoirs non notés de tous les utilisateurs Oui
EduAssignments.Read.All Lire les devoirs notés Autorise l’application à lire les devoirs et les notes de tous les utilisateurs Oui
EduAssignments.ReadWrite.All Lire et écrire les devoirs notés Autorise l’application à lire et à écrire les devoirs et les notes de tous les utilisateurs Oui
EduRoster.ReadBasic.All Lire un sous-ensemble limité de la liste de l’organisation. Autorise l’application à lire un sous-ensemble limité des données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques sur tous les utilisateurs. Oui
EduRoster.Read.All Lire la liste de l’organisation. Autorise l’application à lire les données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire sur tous les utilisateurs. Oui
EduRoster.ReadWrite.All Lire et écrire la liste de l’organisation. Autorise l’application à lire et à écrire les données sur la structure des établissements et des classes dans la liste d’une organisation, et des informations pédagogiques à lire et à écrire sur tous les utilisateurs. Oui

Exemple d’utilisation

Déléguée

  • EduAssignments.Read : obtenir les informations sur le devoir de l’étudiant connecté (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic : soumettre le devoir de l’étudiant connecté (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic : cours auxquels l’utilisateur connecté assiste ou qu’il enseigne (GET /education/classes/{id}/members)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’apprentissage des employés

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
LearningContent.Read.All Lire le contenu d’apprentissage Permet à l’application de lire du contenu d’apprentissage dans l’annuaire de l’organisation, au nom de l’utilisateur connecté. Oui Non
LearningContent.ReadWrite.All Gérer le contenu d’apprentissage Permet à l’application de gérer tout le contenu d’apprentissage dans l’annuaire de l’organisation, au nom de l’utilisateur connecté. Oui Non
LearningProvider.Read Fournisseur d’apprentissage en lecture Permet à l’application de lire les données du fournisseur d’apprentissage dans l’annuaire de l’organisation, au nom de l’utilisateur connecté. Oui Non
LearningProvider.ReadWrite Gérer le fournisseur d’apprentissage Permet à l’application de créer, mettre à jour, lire et supprimer des données pour le fournisseur d’apprentissage dans l’annuaire de l’organisation, pour le compte de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
LearningContent.Read.All Lire le contenu d’apprentissage Permet à l’application de lire tout le contenu d’apprentissage dans l’annuaire de l’organisation, sans utilisateur connecté. Oui Non
LearningContent.ReadWrite.All Gérer le contenu d’apprentissage Permet à l’application de gérer tout le contenu d’apprentissage dans l’annuaire de l’organisation, sans utilisateur connecté. Oui Non

Autorisations pour la gestion des droits

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
EntitlementManagement.ReadWrite.All Accéder en lecture et en écriture aux ressources de gestion des droit Autorise l'application à demander l'accès pour lire et gérer les packages d'accès et les ressources de gestion des droits associées pour le compte de l'utilisateur connecté. Oui
EntitlementManagement.Read.All Accéder en lecture aux ressources de gestion des habilitations Autorise l'application à demander l'accès pour lire les packages d'accès et les ressources de gestion des droits associées pour le compte de l'utilisateur connecté. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
EntitlementManagement.ReadWrite.All Accéder en lecture et en écriture aux ressources de gestion des droit Permet à l'application de lire et gérer les packages d'accès et les ressources de gestion des droits associées. Oui
EntitlementManagement.Read.All Accéder en lecture aux ressources de gestion des habilitations Permet à l'application de lire les packages d'accès et les ressources de gestion des droits associées. Oui

Autorisations de fichiers

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Files.Read Lire les fichiers utilisateur Permet à l’application de lire les fichiers de l’utilisateur connecté. Non Oui
Files.Read.All Accéder en lecture à tous les fichiers auxquels cet utilisateur peut accéder Permet à l’application de lire tous les fichiers auxquels l’utilisateur connecté peut accéder. Non Oui
Files.ReadWrite Disposer d’un accès total aux fichiers utilisateur Permet à l’application de lire, créer, mettre à jour et supprimer tous les fichiers de l’utilisateur connecté. Non Oui
Files.ReadWrite.All Disposer d’un accès total à tous les fichiers accessibles par l’utilisateur Permet à l’application de lire, créer, mettre à jour et supprimer tous les fichiers auxquels l’utilisateur connecté peut accéder. Non Oui
Files.ReadWrite.AppFolder Disposer d’un accès total au dossier de l’application (aperçu) (Aperçu) Permet à l’application de lire, créer, mettre à jour et supprimer des fichiers dans le dossier de l’application. Non Oui
Files.Read.Selected Lire des fichiers sélectionnés par l’utilisateur Prise en charge limitée dans Microsoft Graph, consultez les remarques ci-dessous
(Aperçu) Permet à l’application de lire des fichiers sélectionnés par l’utilisateur. L’application dispose d’un accès pendant plusieurs heures une fois que l’utilisateur sélectionne un fichier.
Non Non
Files.ReadWrite.Selected Lire et écrire des fichiers sélectionnés par l’utilisateur Prise en charge limitée dans Microsoft Graph, consultez les remarques ci-dessous
(Aperçu) Permet à l’application de lire et d’écrire des fichiers sélectionnés par l’utilisateur. L’application dispose d’un accès pendant plusieurs heures une fois que l’utilisateur sélectionne un fichier.
Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Files.Read.All Lire les fichiers dans toutes les collections de sites Permet à l’application de lire tous les fichiers dans toutes les collections de sites sans utilisateur connecté. Oui
Files.ReadWrite.All Lire et écrire des fichiers dans toutes les collections de sites Permet à l’application de lire, de créer, de mettre à jour et de supprimer tous les fichiers des collections de sites sans utilisateur connecté. Oui

Remarques

Remarque : pour les comptes personnels, Files.Read et Files.ReadWrite octroient également l’accès aux fichiers partagés avec l’utilisateur connecté.

Les autorisations déléguées Files.Read.Selected et Files.ReadWrite.Selected ne sont valides que sur les comptes professionnels ou scolaires et sont uniquement exposées pour être utilisées avec le gestionnaires de fichiers Office 365 (version 1.0). Elles ne doivent pas être utilisées pour appeler directement les API Microsoft Graph.

L’autorisation déléguée Files.ReadWrite.AppFolder est valide uniquement pour les comptes personnels et est utilisée pour accéder au dossier spécial Racine de l’application avec l’API Microsoft Graph Obtenir le dossier spécial de OneDrive.

Exemple d’utilisation

Déléguée

  • Files.Read : Lire les fichiers stockés dans OneDrive de l’utilisateur connecté (GET /me/drive/root/children)
  • Files.Read.All : Lire les fichiers partagés avec l’utilisateur connecté (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite : Écrire un fichier dans OneDrive de l’utilisateur connecté (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All : Écrire un fichier partagé avec l’utilisateur (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder : Écrire des fichiers dans le dossier de l’application de OneDrive (PUT /me/drive/special/approot/children/file.txt/content)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de données financières

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Financials.ReadWrite.All Lire et écrire des données financières Permet à l’application de lire et d’écrire des données financières au nom de l’utilisateur connecté Non

Autorisations de groupes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Group.Read.All Lire tous les groupes Permet à l’application de répertorier les groupes et de lire leurs propriétés et toutes les appartenances au groupe, au nom de l’utilisateur connecté. Permet également à l’application de lire le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes auxquels l’utilisateur connecté peut accéder. Oui Non
Group.ReadWrite.All Lire et écrire tous les groupes Permet à l’application de créer des groupes et de lire toutes les propriétés et les appartenances du groupe, au nom de l’utilisateur connecté. Permet également à l’application de lire et de modifier le calendrier, les conversations, les fichiers et les autres types de contenu de groupe pour tous les groupes auxquels l’utilisateur connecté peut accéder. En outre, elle permet aux propriétaires de groupes de gérer leurs groupes et aux membres de groupes de mettre à jour le contenu des groupes. Oui Non
GroupMember.Read.All Consulter les abonnements de groupe Permet à l’application de répertorier des groupes, consulter leurs propriétés de base et voir les abonnements des groupes auxquels l’utilisateur connecté a accès. Oui Non
GroupMember.ReadWrite.All Consulter et inscrire des abonnements de groupes Permet à l’application de répertorier des groupes, consulter leurs propriétés de base et mettre à jour l’abonnement des groupes auxquels l’utilisateur connecté a accès. Il est impossible de mettre à jour les propriétés de groupes ainsi que leurs propriétaires et les groupes ne peuvent pas être supprimés. Oui Non
UnifiedGroupMember.Read.AsGuest Lire les appartenances à un groupe unifié (Microsoft 365) en tant qu’utilisateur invité Permet à l’application de lire les propriétés de groupe unifiés de base, les appartenances et les propriétaires du groupe dont l’invité connecté est membre. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Group.Read.All Accéder en lecture à tous les groupes Permet à l’application de lire les appartenances à tous les groupes sans utilisateur connecté. Oui
Group.ReadWrite.All Lire et écrire tous les groupes Permet à l'application de créer des groupes, de lire toutes les propriétés et adhésions de groupes, de mettre à jour les propriétés et adhésions de groupes et de supprimer des groupes. Permet également à l'application de lire et d'écrire des conversations. Toutes ces opérations peuvent être effectuées par l’application sans utilisateur connecté. Oui
Group.Selected Accéder aux groupes sélectionnés Remarque : cette autorisation est exposée dans le portail Azure pour une fonctionnalité qui n’est pas disponible pour une utilisation générale. N’utilisez pas cette autorisation, car elle peut faire l’objet de modifications. Oui
GroupMember.Read.All Consulter les abonnements de groupe Permet à l’application de consulter les abonnements et les propriétés de base de chaque groupe sans connexion d’utilisateur. Oui
GroupMember.ReadWrite.All Consulter et inscrire des abonnements de groupes Permet à l'application de lister les groupes, de lire les propriétés de base, de lire et de mettre à jour l'appartenance aux groupes sans qu'un utilisateur soit connecté. Il est impossible de mettre à jour les propriétés de groupes ainsi que leurs propriétaires et les groupes ne peuvent pas être supprimés. Oui
Group.Create Créer des groupes Permet à l’application appelante de créer des groupes sans connexion d’utilisateur. Ne permet pas la lecture, la mise à jour ou la suppression de groupes. Oui

Remarques

La fonctionnalité de groupe n’est pas prise en charge dans les comptes Microsoft personnels.

Pour les groupes Microsoft 365, les autorisations de groupes donnent à l’application le droit d’accéder au contenu du groupe. Par exemple, les conversations, les fichiers, les notes, etc.

Pour les autorisations de l’application, il existe certaines limites pour les API prises en charge. Pour plus d’informations, reportez-vous à la rubrique Problèmes connus.

Dans certains cas, une application peut nécessiter des autorisations de répertoire pour lire certaines propriétés du groupe comme member et memberOf. Par exemple, si un groupe a un ou plusieurs principaux de service en tant que membres, l’application aura besoin d’autorisations effectives pour lire les principaux de service et devra recevoir pour cela des autorisations de répertoire*. Dans le cas contraire, Microsoft Graph renvoie une erreur. (Dans le cas d’autorisations déléguées, l’utilisateur connecté aura également besoin de droits suffisants au sein de l’organisation pour lire les principaux de service.) La même recommandation s’applique pour la propriété memberOf, qui peut renvoyer administrativeUnits.

Pour définir l’attribut preferredDataLocation d’un groupe Microsoft 365, une autorisation Directory.ReadWrite.All est nécessaire à l’application. Quand un utilisateur dans un environnement multigéographique crée un groupe Microsoft 365, la valeur preferredDataLocation pour le groupe est automatiquement définie sur celle de l’utilisateur. Pour plus d’informations sur l’emplacement de données par défaut d’un groupe, voir Créer un groupe Microsoft 365 avec un Langage de description de page spécifique.

Les autorisations de groupe sont utilisées pour contrôler l’accès aux ressources et aux API de Microsoft Teams. Les comptes Microsoft personnels ne sont pas pris en charge.

Les autorisations de groupes sont également utilisées pour contrôler l’accès aux ressources et aux API de Microsoft Planner. Seules les autorisations déléguées sont prises en charge pour les API Microsoft Planner. Les autorisations de l’application ne sont pas prises en charge. Les comptes Microsoft personnels ne sont pas pris en charge.

Exemple d’utilisation

Delegated

  • Group.Read.All : Lire tous les groupes Microsoft 365 dont l’utilisateur connecté est membre (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')).
  • Group.Read.All : Lire tout le contenu du groupe Microsoft 365 comme les conversations (GET /groups/{id}/conversations).
  • Group.ReadWrite.All : mettre à jour les propriétés du groupe, comme une photo (PUT /groups/{id}/photo/$value).
  • Group.ReadWrite.All: mettre à jour les membres du groupe (POST /groups/{id}/members/$ref).

Remarque :: cela nécessite également que User.ReadBasic.All lise l’utilisateur à ajouter en tant que membre.

Application

  • Group.Read.All : Rechercher tous les groupes dont le nom commence par « Ventes » (GET /groups?$filter=startswith(displayName,'Sales')).
  • Group.ReadWrite.All : Le service démon crée des événements dans le calendrier d’un groupe Microsoft 365 (POST /groups/{id}/events).
  • Group.Create: crée un nouveau groupe (POST /groups).

Pour des scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux Scénarios d’autorisation.


Autorisations de fournisseur d’identité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityProvider.Read.All Lire les informations du fournisseur d’identité Autorise l’application à lire les fournisseurs d’identité configurés dans votre client Azure AD ou Azure AD B2C de la part de l’utilisateur connecté. Oui Non
IdentityProvider.ReadWrite.All Lire et écrire les informations du fournisseur d’identité Autorise l’application à lire ou à écrire les fournisseurs d’identité configurés dans votre client Azure AD ou Azure AD B2C de la part de l’utilisateur connecté. Oui Non

Remarques

IdentityProvider.Read.All et IdentityProvider.ReadWrite.Tous les sont valides uniquement pour les comptes professionnels ou scolaires. Pour qu’une application puisse lire ou écrire des fournisseurs d’identité avec des autorisations déléguées, le rôle Administrateur général doit être attribué à l’utilisateur connecté. Pour plus d’informations sur les rôles d’administrateur, consultez Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Déléguée

Les utilisations suivantes sont valides pour les autorisations déléguées :

  • IdentityProvider.Read.All : Lire tous les fournisseurs d’identité configurés dans le client (GET /beta/identityProviders)
  • IdentityProvider.Read.All : Lire un fournisseur d’identité existant (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Créer un fournisseur d’identité (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All Mettre à jour un fournisseur d’identité existant (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All Supprimer un fournisseur d’identité existant (DELETE /beta/identityProviders/{id})

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations sur les risques liés à la protection des identités

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityRiskEvent.Read.All Accéder en lecture aux informations des événements de risque d’identité Permet à l’application de lire les informations des événements de risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté. Oui Non
IdentityRiskyUser.Read.All Lire les informations sur les utilisateurs à risque d’identité Permet à l’application de lire les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté. Oui Non
IdentityRiskyUser.ReadWrite.All Lire et mettre à jour les informations sur les utilisateurs à risque d’identité Permet à l’application de lire et mettre à jour les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation au nom de l’utilisateur connecté. Oui Non
IdentityRiskyServicePrincipal.Read.All Lire toutes les informations relatives au principal du service à risque Autorise l’application à lire toutes les informations relatives au principal du service à risque pour votre organisation, au nom de l’utilisateur connecté. Oui Non
IdentityRiskyServicePrincipal.ReadWrite.All Lire et écrire toutes les informations relatives au principal du service à risque Permet à l’application de lire et de mettre à jour les informations de principal de service à risque pour tous les principaux de service de votre organisation, au nom de l’utilisateur connecté. Les opérations de mise à jour incluent le rejet des principaux de service à risque. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
IdentityRiskEvent.Read.All Accéder en lecture aux informations des événements de risque d’identité Permet à l’application de lire les informations des événements de risque d’identité pour tous les utilisateurs de votre organisation sans aucun utilisateur connecté. Oui
IdentityRiskyUser.Read.All Lire les informations sur les utilisateurs à risque d’identité Permet à l’application de lire les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation sans utilisateur connecté. Oui
IdentityRiskyUser.ReadWrite.All Lire et mettre à jour les informations sur les utilisateurs à risque d’identité Permet à l’application de lire et mettre à jour les informations des utilisateurs à risque d’identité pour tous les utilisateurs de votre organisation sans utilisateur connecté. Oui
IdentityRiskyServicePrincipal.Read.All Lire toutes les informations relatives au principal du service à risque Autorise l’application à lire toutes les informations relatives au principal de service à risque de votre organisation, sans utilisateur connecté. Oui
IdentityRiskyServicePrincipal.ReadWrite.All Lire et écrire toutes les informations relatives au principal du service à risque Autorise l’application à lire et à mettre à jour le principal du service à risque de votre organisation, sans utilisateur connecté. Oui

Toutes les autorisations de risque d’identité sont valides uniquement pour les comptes professionnels ou scolaires. Pour qu’une application disposant d’autorisations déléguées puisse lire les informations sur les risques d’identité, l’utilisateur connecté doit être membre de l’un des Rôles d’administrateur Azure AD suivants : Administrateur général, Administrateur de la sécurité, ou Lecteur sécurité.

Exemple d’utilisation

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

Lire les événements de risque

  • Lire tous les événements de risque générés pour tous les utilisateurs du client (GET /identityProtection/riskDetections)
  • Lire les 50 événements de risques les plus récents (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50)

Lire les utilisateurs à risque

  • Lire l’ensemble des propriétés et des utilisateurs à risque dans le client (GET /identityProtection/riskyUsers)
  • Lire tous les utilisateurs à risque dont le niveau de risque global est moyen (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
  • Lire les informations de risque dans le cadre d’un utilisateur spécifique (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

Lire les principaux de service à risque

  • Lire tous les principaux et propriétés de service à risque dans le locataire (GET /identityProtection/riskyServicePrincipals)
  • Lire tous les principaux de service à risque dont le niveau de risque agrégé est Moyen (GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium')
  • Lisez les informations sur les risques d’un principal de service spécifique (GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}')

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de flux d’utilisateur de l’identité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityUserFlow.Read.All Lecture de tous les flux d’utilisateur de l’identité dans un client Permet à l’application de lire les flux d’utilisateurs de votre organisation. Oui Non
IdentityUserFlow.ReadWrite.All Lecture et écriture de tous les flux d’utilisateur de l’identité dans un client. Cette fonction permet à l’application de lire ou d’écrire les flux d’utilisateurs de votre organisation. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
IdentityUserFlow.Read.All Lecture de tous les flux d’utilisateur de l’identité dans un client Permet à l’application de lire les flux d’utilisateurs de votre organisation. Oui Non
IdentityUserFlow.ReadWrite.All Lecture et écriture de tous les flux d’utilisateur de l’identité dans un client. Cette fonction permet à l’application de lire ou d’écrire les flux d’utilisateurs de votre organisation. Oui Non

Remarques

IdentityUserFlow.Read.All and IdentityUserFlow.ReadWrite.ALL est uniquement valide pour les comptes professionnels ou scolaires.

Pour qu’une application avec des autorisations déléguées puisse lire les flux d’utilisateurs, l’utilisateur connecté doit être membre de l’un de ces rôles d’administrateur : administrateur général, administrateur de flux d’utilisateurs des identités externes, ou lecteur général. Pour qu’une application avec des autorisations déléguées puisse écrire les flux d’utilisateurs, l’utilisateur connecté doit être membre de l’un de ces rôles d’administrateur : administrateur général, ou administrateur de flux d’utilisateurs des identités externes.

Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

  • IdentityUserFlow.Read.All : lire tous les flux d’utilisateurs dans un client Azure AD B2C (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All : lire tous les flux d’utilisateurs dans un client Azure Active Directory (Azure AD) (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All : Lire toutes les affectations d’attributs d’utilisateur dans un flux d’utilisateur Azure AD B2C ( GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments )
  • IdentityUserFlow.ReadWrite.All : lire un nouveau flux d’utilisateurs dans un client Azure AD B2C (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All : lire un nouveau flux d’utilisateurs dans un client Azure Active Directory (Azure AD) (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: ajouter un fournisseur d’identité à un flux d’utilisateur Azure AD B2C (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentitytUserFlow.ReadWrite.All: supprimer un fournisseur d’identité à un flux d’utilisateur Azure AD B2C (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: Créer une affectation d’attribut d’utilisateur dans un flux d’utilisateur Azure AD B2C ( POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments )

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de stratégie de protection des informations

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
InformationProtectionPolicy.Read Accéder en lecture aux étiquettes de confidentialité des utilisateurs et aux stratégies d’étiquette Permet à une application de lire les étiquettes de confidentialité de la protection des informations et les paramètres de stratégie d’étiquette, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
InformationProtectionPolicy.Read.All Accéder en lecture à toutes les étiquettes et stratégies d’étiquette publiées pour une organisation Permet à une application de lire les étiquettes de confidentialité et les paramètres de stratégie d’étiquette publiés pour l’ensemble de l’organisation ou un utilisateur spécifique, sans utilisateur connecté. Oui

Autorisations de gestion d'appareils Intune

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
DeviceManagementApps.Read.All Accéder en lecture aux applications Microsoft Intune Permet à l’application de lire les propriétés, les affectations à des groupes, ainsi que le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementApps.ReadWrite.All Accéder en lecture et en écriture aux applications gérées par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés, les affectations à des groupes, le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementConfiguration.Read.All Accéder en lecture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementConfiguration.ReadWrite.All Accéder en lecture et en écriture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementManagedDevices.PrivilegedOperations.All Effectuer des actions à distance à fort impact sur les appareils gérés par Microsoft Intune Permet à l’application d’effectuer des actions à distance à fort impact, telles que la suppression de l’appareil ou la réinitialisation du code secret sur les appareils géré par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.Read.All Accéder en lecture aux appareils gérés par Microsoft Intune Permet à l’application de lire les propriétés des appareils gérés par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.ReadWrite.All Accéder en lecture et en écriture aux appareils gérés par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés des appareils gérés par Microsoft Intune. N’autorise pas les opérations à fort impact, telles que l’effacement à distance et la réinitialisation du mot de passe, sur le propriétaire de l’appareil. Oui Non
DeviceManagementRBAC.Read.All Accéder en lecture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementRBAC.ReadWrite.All Accéder en lecture et en écriture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementServiceConfig.Read.All Accéder en lecture à la configuration de Microsoft Intune Permet à l’application de lire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non
DeviceManagementServiceConfig.ReadWrite.All Accéder en lecture et en écriture à la configuration de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
DeviceManagementApps.Read.All Accéder en lecture aux applications Microsoft Intune Permet à l’application de lire les propriétés, les affectations à des groupes, ainsi que le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementApps.ReadWrite.All Accéder en lecture et en écriture aux applications gérées par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés, les affectations à des groupes, le statut, les configurations et les stratégies de protection des applications gérées par Microsoft Intune. Oui Non
DeviceManagementConfiguration.Read.All Accéder en lecture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementConfiguration.ReadWrite.All Accéder en lecture et en écriture à la configuration et aux stratégies de l’appareil géré par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés de configuration de l’appareil géré par Microsoft Intune, ainsi que ses stratégies de conformité et son affectation à des groupes. Oui Non
DeviceManagementManagedDevices.PrivilegedOperations.All Effectuer des actions à distance à fort impact sur les appareils gérés par Microsoft Intune Permet à l’application d’effectuer des actions à distance à fort impact, telles que la suppression de l’appareil ou la réinitialisation du code secret sur les appareils géré par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.Read.All Accéder en lecture aux appareils gérés par Microsoft Intune Permet à l’application de lire les propriétés des appareils gérés par Microsoft Intune. Oui Non
DeviceManagementManagedDevices.ReadWrite.All Accéder en lecture et en écriture aux appareils gérés par Microsoft Intune Permet à l’application de lire et d’écrire les propriétés des appareils gérés par Microsoft Intune. N’autorise pas les opérations à fort impact, telles que l’effacement à distance et la réinitialisation du mot de passe, sur le propriétaire de l’appareil. Oui Non
DeviceManagementRBAC.Read.All Accéder en lecture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementRBAC.ReadWrite.All Accéder en lecture et en écriture aux paramètres RBAC de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés relatives aux paramètres de contrôle d’accès en fonction du rôle (RBAC) de Microsoft Intune. Oui Non
DeviceManagementServiceConfig.Read.All Accéder en lecture à la configuration de Microsoft Intune Permet à l’application de lire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non
DeviceManagementServiceConfig.ReadWrite.All Accéder en lecture et en écriture à la configuration de Microsoft Intune Permet à l’application de lire et d’écrire les propriétés du service Microsoft Intune, y compris les paramètres d’inscription de l’appareil et de connexion du service tiers. Oui Non

Remarques

Remarque : L’utilisation des API de Microsoft Graph pour configurer les stratégies et les contrôles Intune requiert que le service Intune dispose d’une licence appropriée accordée par le client.

Ces autorisations ne sont valides que pour les comptes professionnels ou scolaires.

Exemple d’utilisation

Déléguée

  • DeviceManagementServiceConfiguration.Read.All : vérifier l’état actuel de l’abonnement Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All : Créer de nouvelles conditions générales (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All : Rechercher l’état de la configuration d’un appareil (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All : Attribuer une stratégie de conformité de l’appareil à un groupe (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All : Rechercher toutes les applications Windows Store publiées sur Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All : Publier une nouvelle application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All : Rechercher une attribution de rôle par nom (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All : Créer un rôle personnalisé (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All : Rechercher un appareil géré par nom (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All : Supprimer un appareil géré (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All : Réinitialiser le mot de passe sur l’appareil géré par un utilisateur (POST /managedDevices/{id}/resetPasscode).

Application

  • DeviceManagementServiceConfiguration.Read.All : Vérifier l’état actuel de l’abonnement Intune (GET /deviceManagement/subscriptionState).
  • DeviceManagementServiceConfiguration.ReadWrite.All : Créer de nouvelles conditions générales (POST /deviceManagement/termsAndConditions).
  • DeviceManagementConfiguration.Read.All : Rechercher l’état de la configuration d’un appareil (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses).
  • DeviceManagementConfiguration.ReadWrite.All : Attribuer une stratégie de conformité de l’appareil à un groupe (POST deviceCompliancePolicies/{id}/assign).
  • DeviceManagementApps.Read.All : Rechercher toutes les applications Windows Store publiées sur Intune (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp')).
  • DeviceManagementApps.ReadWrite.All : Publier une nouvelle application (POST /deviceAppManagement/mobileApps).
  • DeviceManagementRBAC.Read.All : Rechercher une attribution de rôle par nom (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment').
  • DeviceManagementRBAC.ReadWrite.All : Créer un rôle personnalisé (POST /deviceManagement/roleDefinitions).
  • DeviceManagementManagedDevices.Read.All : Rechercher un appareil géré par nom (GET /managedDevices/?$filter=deviceName eq 'My Device').
  • DeviceManagementManagedDevices.ReadWrite.All : Supprimer un appareil géré (DELETE /managedDevices/{id}).
  • DeviceManagementManagedDevices.PrivilegedOperations.All : Réinitialiser le mot de passe sur l’appareil géré par un utilisateur (POST /managedDevices/{id}/resetPasscode).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de courrier

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Mail.Read Accéder en lecture aux courriers électroniques utilisateur Permet à l’application de lire les courriers électroniques dans des boîtes aux lettres utilisateur. Non Oui
Mail.ReadBasic Lire le courrier de base utilisateur Permet à l’application de lire le courrier électronique dans la boîte aux lettres de l’utilisateur connecté, à l’exception de corps, bodyPreview, uniqueBody, pièces jointes, extensions et toutes les propriétés étendues. N’inclut pas d’autorisations pour rechercher des messages. Non Non
Mail.ReadWrite Accéder en lecture et en écriture aux courriers électroniques utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des messages électroniques dans des boîtes aux lettres utilisateur. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non Oui
Mail.Read.Shared Accéder en lecture aux e-mails utilisateur et aux e-mails partagés Permet à l’application de lire les e-mails auxquels l’utilisateur peut accéder, notamment ses propres e-mails et les e-mails partagés. Non Non
Mail.ReadWrite.Shared Accéder en lecture et en écriture aux e-mails utilisateur et aux e-mails partagés Permet à l’application de créer, lire, mettre à jour et supprimer les e-mails auxquels l’utilisateur peut accéder, notamment ses propres e-mails et les e-mails partagés. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non Non
Mail.Send Envoyer un courrier électronique en tant qu’utilisateur Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur dans l’organisation. Non Oui
Mail.Send.Shared Envoyer des e-mails de la part d’autres personnes Permet à l’application d’envoyer des e-mails de la part de l’utilisateur connecté et d’autres personnes. Non Non
MailboxSettings.Read Lire les paramètres de boîte aux lettres d’utilisateur Permet à l’application de lire les paramètres de boîte aux lettres d’utilisateur. N’inclut pas l’autorisation d’envoyer des messages électroniques. Non Oui
MailboxSettings.ReadWrite Accéder en lecture et en écriture aux paramètres de boîte aux lettres d’utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer des paramètres de boîte aux lettres d’utilisateur. N’inclut pas l’autorisation permettant d’envoyer directement du courrier, mais permet à l’application de créer des règles qui peuvent transférer ou rediriger des messages. Non Oui
IMAP.AccessAsUser.All Lire et écrire l’accès à un courrier d’utilisateur via IMAP Autorise l’application à lire, mettre à jour, créer et supprimer des e-mails dans des boîtes aux lettres d’utilisateurs. N’inclut pas l’autorisation d’envoyer des courriers. Non Oui
POP.AccessAsUser.All Lire et écrire l’accès à un courrier d’utilisateur via POP Autorise l’application à lire, mettre à jour, créer et supprimer des e-mails dans des boîtes aux lettres d’utilisateurs. N’inclut pas l’autorisation d’envoyer des courriers. Non Oui
SMTP.Send Envoyer un message en tant qu’utilisateur à l’aide de l’authentification SMTP Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur dans l’organisation. Non Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Mail.Read Lire les messages dans toutes les boîtes aux lettres Permet à l’application de lire les messages dans toutes les boîtes aux lettres sans utilisateur connecté. Oui
Mail.ReadBasic.All Lire les e-mails de base de tous les utilisateurs Permet à l’application de lire les boîtes aux lettres de tous les utilisateurs sauf Body (corps), BodyPreview, UniqueBody, Attachments (pièces jointes) et Extensions. N’inclut pas les autorisations de recherche de messages. Oui
Mail.ReadWrite Lire et écrire les messages dans toutes les boîtes aux lettres Permet à l’application de créer, lire, mettre à jour et supprimer les messages dans toutes les boîtes aux lettres sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques. Oui
Mail.Send Envoyer des messages électroniques en tant qu’utilisateur Permet à l’application d’envoyer des messages électroniques en tant qu’utilisateur sans utilisateur connecté. Oui
MailboxSettings.Read Lire tous les paramètres de boîte aux lettres d’utilisateur Permet à l’application de lire les paramètres de boîte aux lettres d’utilisateur sans qu’un utilisateur ne soit connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques. Oui
MailboxSettings.ReadWrite Accéder en lecture et en écriture à tous les paramètres de boîte aux lettres d’utilisateur Permet à l’application de créer, lire, mettre à jour et supprimer les paramètres de boîte aux lettres d’utilisateur sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des messages électroniques. Oui

Important Les administrateurs peuvent configurer la stratégie d’accès des applications pour limiter l’accès des applications à des boîtes aux lettres spécifiques et non pas à toutes les boîtes aux lettres de l’organisation même si l’application a obtenu les autorisations d’application Mail.Read, Mail.ReadWrite, Mail.Send, MailboxSettings.Read ou MailboxSettings.ReadWrite.

Remarques

Mail.Read.Shared, Mail.ReadWrite.Shared et Mail.Send.Shared sont valides uniquement pour les comptes professionnels ou scolaires. Toutes les autres autorisations sont valides pour les comptes Microsoft et les comptes professionnels ou scolaires.

Avec l’autorisation Mail.Send ou Mail.Send.Shared, une application peut envoyer des messages électroniques et enregistrer une copie dans le dossier Éléments envoyés de l’utilisateur, même si l’application n’utilise pas d’autorisation Mail.ReadWrite ou Mail.ReadWrite.Shared correspondante.

Exemple d’utilisation

Déléguée

  • Mail.Read : Répertorier les messages dans la boîte de réception de l’utilisateur, triés par receivedDateTime (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC).
  • Mail.Read.Shared : Rechercher tous les messages comportant des pièces jointes dans la boîte de réception d’un utilisateur qui a partagé sa boîte de réception avec l’utilisateur connecté (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true).
  • Mail.ReadWrite : Marquer un message comme lu (PATCH /me/messages/{id}).
  • Mail.Send : Envoyer un message (POST /me/sendmail).
  • MailboxSettings.ReadWrite : Mettre à jour la réponse automatique de l’utilisateur (PATCH /me/mailboxSettings).

Application

  • Mail.Read : Rechercher des messages en provenance de bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com').
  • Mail.ReadWrite : Créer un nouveau dossier dans la boîte de réception intitulée Expense Reports (POST /users/{id | userPrincipalName}/mailfolders).
  • Mail.Send : Envoyer un message (POST /users/{id | userPrincipalName}/sendmail).
  • MailboxSettings.Read : Obtenir le fuseau horaire par défaut pour la boîte aux lettres de l’utilisateur (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations client géré

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ManagedTenants.Read.All Lire toutes les informations au client géré Permet à l’application de lire toutes les informations du locataire géré pour le compte de l’utilisateur connecté. Oui Non
ManagedTenants.ReadWrite.All Lire toutes les informations spécifiques au client géré Permet à l’application de lire et d’écrire toutes les informations de locataire gérées pour le compte de l’utilisateur connecté. Oui Non

Autorisations de l’application

Aucun.


Autorisations de membre

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Member.Read.Hidden Lire les appartenances masquées Permet à l’application de lire les appartenances des unités administratives et des groupes masqués de la part de l’utilisateur connecté, sur les unités administratives et les groupes masqués auxquels l’utilisateur connecté est autorisé à accéder. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Member.Read.Hidden Accéder en lecture à toutes les appartenances masquées à des groupes Permet à l’application de lire les appartenances masquées à des groupes et à des unités administratives sans utilisateur connecté. Oui

Remarques

Member.Read.Hidden est valide uniquement sur les comptes professionnels ou scolaires.

L’appartenance à certains groupes Microsoft 365 peut être masquée. Cela signifie que seuls les membres du groupe peuvent accéder à ses membres. Cette fonction peut être utilisée si des réglementations imposent de masquer les membres d’un groupe aux personnes extérieures (par exemple, un groupe Microsoft 365 qui représente des étudiants inscrits à une classe).

Exemple d’utilisation

Déléguée

  • Member.Read.Hidden : Lire les membres d’une unité administrative avec une appartenance masquée de la part de l’utilisateur connecté (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden : Lire les membres d’un groupe avec une appartenance masquée de la part de l’utilisateur connecté (GET /groups/{id}/members).

Application

  • Member.Read.Hidden : Lire les membres d’une unité administrative avec une appartenance masquée (GET /administrativeUnits/{id}/members).
  • Member.Read.Hidden : Lire les membres d’un groupe avec une appartenance masquée (GET /groups/{id}/members).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations relatives aux notes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Notes.Read Lire les blocs-notes OneNote pour l’utilisateur Permet à l’application de lire les titres de blocs-notes et de sections OneNote et de créer des pages, des blocs-notes et des sections au nom de l’utilisateur connecté. Non Oui
Notes.Create Créer des blocs-notes OneNote pour l’utilisateur Permet à l’application de lire les titres de blocs-notes et de sections OneNote et de créer des pages, des blocs-notes et des sections au nom de l’utilisateur connecté. Non Oui
Notes.ReadWrite Lire et écrire des blocs-notes OneNote pour l’utilisateur Permet à l’application de lire, partager et modifier des blocs-notes OneNote au nom de l’utilisateur connecté. Non Oui
Notes.Read.All Lire tous les blocs-notes OneNote auxquels cet utilisateur peut accéder Permet à l’application de lire des blocs-notes OneNote auxquels l’utilisateur connecté a accès au sein de l’organisation. Non Non
Notes.ReadWrite.All Lire et écrire tous les blocs-notes OneNote auxquels cet utilisateur peut accéder Permet à l’application de lire, partager et modifier des blocs-notes OneNote auxquels l’utilisateur connecté a accès au sein de l’organisation. Non Non
Notes.ReadWrite.CreatedByApp Accès limité au bloc-notes (déconseillé) Déconseillé
Ne pas utiliser. Aucun droit n’est accordé par cette autorisation.
Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Notes.Read.All Lire tous les blocs-notes OneNote Permet à l’application de lire tous les blocs-notes OneNote dans votre organisation, sans qu’aucun utilisateur ne soit connecté. Oui
Notes.ReadWrite.All Lire et écrire tous les blocs-notes OneNote Permet à l’application de lire, partager et modifier tous les blocs-notes OneNote dans votre organisation, sans qu’aucun utilisateur ne soit connecté. Oui

Remarques

Notes.Read.All et Notes.ReadWrite.All sont valides uniquement pour les comptes professionnels ou scolaires. Toutes les autres autorisations sont valides pour les comptes Microsoft et les comptes professionnels ou scolaires.

Avec l’autorisation Notes.Create, une application peut afficher la hiérarchie du bloc-notes OneNote de l’utilisateur connecté et créer un contenu OneNote (blocs-notes, groupes de sections, sections, pages, etc.).

Notes.ReadWrite et Notes.ReadWrite.All permettent également à l’application de modifier les autorisations relatives au contenu OneNote auquel l’utilisateur connecté peut accéder.

Pour les comptes professionnels ou scolaires, Notes.Read.All et Notes.ReadWrite.All permettent à l’application d’accéder au contenu OneNote d’un autre utilisateur auquel l’utilisateur connecté a accès au sein de l’organisation.

Exemple d’utilisation

Déléguée

  • Notes.Create : Créer un nouveau bloc-notes pour l’utilisateur connecté (POST /me/onenote/notebooks).
  • Notes.Read : Lire les blocs-notes pour l’utilisateur connecté (GET /me/onenote/notebooks).
  • Notes.Read.All : Accéder à tous les blocs-notes auxquels l’utilisateur connecté a accès dans l’organisation (GET /me/onenote/notebooks?includesharednotebooks=true).
  • Notes.ReadWrite : Mettre à jour la page de l’utilisateur connecté (PATCH /me/onenote/pages/{id}/$value).
  • Notes.ReadWrite.All : Créer une page dans le bloc-notes d’un autre utilisateur auquel l’utilisateur connecté a accès dans l’organisation (POST /users/{id}/onenote/pages).

Application

  • Notes.Read.All : Lire tous les blocs-notes d’utilisateurs dans un groupe (GET /groups/{id}/onenote/notebooks).
  • Notes.ReadWrite.All : Mettre à jour la page dans un bloc-notes pour un utilisateur de l’organisation (PATCH /users/{id}/onenote/pages/{id}/$value).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de notifications

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Notifications.ReadWrite.CreatedByApp Transmettre et gérer les notifications pour cette application. Permet à l’application de fournir des notifications au nom des utilisateurs connectés. Permet également à l’application de lire, de mettre à jour et de supprimer des éléments de notification de l’utilisateur pour cette application. Non

Remarques

Notifications.ReadWrite.CreatedByApp est valide pour les comptes Microsoft et les comptes professionnels ou scolaires. La contrainte CreatedByApp associée à cette autorisation indique que le service appliquera un filtrage implicite aux résultats en fonction de l’identité de l’application appelante, soit l’ID d’application compte Microsoft, soit un ensemble d’ID d’application configurés pour une identité d’application multiplateforme.

Exemple d’utilisation

Delegated

  • Notifications.ReadWrite.CreatedByApp: publiez une notification centrée sur l’utilisateur, qui peut ensuite être remise aux clients d’application multiples de l’utilisateur qui s’exécutent sur différents points de terminaison. (POST /me/notifications/).

Autorisations de réunions en ligne

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OnlineMeetings.Read Lire la Réunion en ligne. Autorise une application à lire les détails d'une réunion en ligne pour le compte de l'utilisateur connecté. Non Non
OnlineMeetings.ReadWrite Lire et créer des réunions en ligne. Autorise une application à créer, lire les réunions en ligne pour le compte de l'utilisateur connecté. Non Non
OnlineMeetingArtifact.Read.All Lire en ligne Meeting artifacts Autorise une application à lire les artifacts d'une réunion en ligne pour le compte de l'utilisateur connecté. Non Non
OnlineMeetingTranscript.Read.All Lisez toutes les transcriptions des réunions en ligne. Autorise une application à créer, lire les réunions en ligne pour le compte de l'utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
OnlineMeetings.Read.All Lire les détails de Réunion en ligne depuis l'application Permet à l’application de lire tous les détails de la réunion en ligne dans votre organisation, sans utilisateur connecté. Oui
OnlineMeetings.ReadWrite.All Lire les détails de Réunion en ligne depuis l'application Autorise une application à créer, lire des réunions sans utilisateur connecté. Oui
OnlineMeetingArtifact.Read.All Lire les détails de Réunion en ligne depuis l'application Permet à l’application de lire tous les artifacts de la réunion en ligne dans votre organisation, sans utilisateur connectée. Oui
OnlineMeetingTranscript.Read.All Lisez toutes les transcriptions des réunions en ligne. Permet à l’application de lire toutes les transcriptions de toutes les réunions en ligne, sans utilisateur connecté. Oui

Important Les administrateurs peuvent configurer une stratégie d’accès aux applications pour autoriser les applications à accéder aux réunions en ligne au nom d’un utilisateur.

Exemple d’utilisation

Déléguée

  • OnlineMeetings.Read : récupérer les propriétés et les relations d’une réunion en ligne (GET /beta/communications/onlinemeetings/{default id}).
  • OnlineMeetings.ReadWrite : créer une réunion en ligne (POST /beta/communications/onlinemeetings).

Application

  • OnlineMeetings.Read.All
    • Récupérez les propriétés et les relations d’une réunion en ligne (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}').
    • Récupérer une réunion en ligne au nom d’un utilisateur (`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • Créer une réunion en ligne au nom d’un utilisateur (`POST /beta/users/{userId}/onlineMeetings/)
    • Mettre à jour une réunion en ligne au nom d’un utilisateur (`PATCH /beta/users/{userId}/onlineMeetings/{id})
    • Supprimer une réunion en ligne au nom d’un utilisateur (`DELETE /beta/users/{userId}/onlineMeetings/{id})

Remarque: la création d’une réunion en ligne permet de créer une réunion au nom d’un utilisateur, mais pas de la montrer dans le calendrier de l’utilisateur.

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations des profils de publication locaux

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OnPremisesPublishingProfiles.ReadWrite.All Profils de publication locaux Access Permet à l’application de gérer la configuration de service d’identité hybride en créant, en affichant, en mettant à jour et en supprimant des ressources publiées localement, des agents et groupes d’agents locaux, au nom de l’utilisateur connecté. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OnPremisesPublishingProfiles.ReadWrite.All Profils de publication locaux Access Permet à l’application de créer, afficher, mettre à jour et supprimer des ressources publiées localement, des agents et groupes d’agents locaux, dans le cadre d’une configuration d’identité hybride, sans utilisateur connecté. Oui Non

Autorisations OpenID Connecter (OIDC)

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
email Afficher l’adresse de messagerie des utilisateurs Permet à l’application de lire l’adresse de messagerie principale de vos utilisateurs. Non Oui
offline_access Accéder aux données de l’utilisateur à tout moment Permet à l’application de lire et de mettre à jour les données de l’utilisateur, même si elles n’utilisent pas l’application actuellement. Non Oui
openid Connecter des utilisateurs En utilisant cette autorisation, une application peut recevoir un identificateur unique pour l’utilisateur sous la forme de la sous-revendication. L’autorisation permet également à l’application d’accéder au point de terminaison UserInfo. L’étendue openid peut être utilisée au point de terminaison de jeton de la plateforme d’identités Microsoft pour acquérir des jetons d’ID. L’application peut utiliser ces jetons pour l’authentification. Non Oui
profil Afficher le profil de base des utilisateurs Permet à l’application d’afficher le profil de base de vos utilisateurs (nom, image, nom d’utilisateur). Non Oui

Remarques

Vous pouvez utiliser ces étendues pour spécifier les artefacts que vous souhaitez renvoyer dans Azure AD demandes d’autorisation et de jeton. Elles sont prises en charge différemment par les points de terminaison Azure AD v1.0 et v2.0.

Avec le point de terminaison Azure AD v1.0, seule l’étendue openid est utilisée. Vous le spécifiez dans le paramètre d’étendue dans une demande d’autorisation pour retourner un jeton d’ID lorsque vous utilisez le protocole OpenID Connect pour connecter un utilisateur à votre application. Pour plus d’informations, consultez Autoriser l’accès aux applications web à l’aide de OpenID Connect et Azure Active Directory. Pour renvoyer correctement un jeton d’ID, vous devez également vous assurer que l’autorisation User.Read est configurée lors de l’inscription de votre application.

Avec le point de terminaison Azure AD v2.0, vous spécifiez l’étendue offline_access dans le paramètre scope pour demander explicitement un jeton d’actualisation lorsque vous utilisez les protocoles OAuth 2.0 ou OpenID Connect. Avec OpenID Connect, vous spécifiez l’étendue openid pour demander un jeton d’ID. Vous pouvez également spécifier l’étendue email, l’étendue profil ou les deux pour renvoyer des revendications supplémentaires dans le jeton d’ID. Vous ne devez pas spécifier l’étendue User.Read pour renvoyer un jeton ID avec le point de terminaison de version 2.0. Pour plus d’informations, voir Étendues OpenID Connect.

Important

La bibliothèque d’authentification Microsoft (MSAL) spécifie actuellement l’accès _hors connexion, openid, profil et e-mail par défaut dans les demandes d’autorisation et de jeton. Cela signifie que, pour le cas par défaut, si vous spécifiez explicitement ces étendues, Azure AD peut retourner une erreur.


Autorisations d’organisation

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Organization.Read.All Lire les informations de l’organisation Permet à l’application de lire les ressources de votre organisation et associées, pour le compte de l’utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui Non
Organization.ReadWrite.All Lire et écrire les informations de l’organisation Permet à l’application de lire et écrire les ressources de votre organisation et associées, pour le compte de l’utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Organization.Read.All Lire les informations de l’organisation Permet à l’application de lire les ressources de votre organisation et associées, sans utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui
Organization.ReadWrite.All Lire et écrire les informations de l’organisation Permet à l’application de lire et écrire les ressources de votre organisation et associées, sans utilisateur connecté. Les ressources connexes incluent des éléments tels que des références SKU abonnées et des informations sur la personnalisation des clients. Oui

Exemple d’utilisation

Déléguée

  • Organization.Read.All: obtenir les informations d’organisation (GET /organization).
  • Organization.Read.All: obtenez les références SKU auxquelles l’organisation s’est abonnée (GET /subscribedSkus).

Application

  • Organization.ReadWrite.All: mettre à jour les informations d'organisation (par exemple,technicalNotificationMails) (PATCH /organization/{id}).

Autorisations de contact organisationnel

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
OrgContact.Read.All Lire les contacts organisationnels Permet à l’application de lire tous les contacts organisationnels pour le compte de l’utilisateur connecté. Ces contacts sont gérés par l’organisation et sont différents des contacts personnels d’un utilisateur. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
OrgContact.Read.All Lire les contacts organisationnels Permet à l’application de lire tous les contacts organisationnels sans un utilisateur connecté.. Ces contacts sont gérés par l’organisation et sont différents des contacts personnels d’un utilisateur. Oui

Exemple d’utilisation

Déléguée

  • OrgContact.Read.All : Obtenir tous les contacts organisationnels (GET /contacts).

Autorisations de personnes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
People.Read Lire les listes des contacts pertinents des utilisateurs Permet à l’application de lire une liste notée de contacts pertinents pour l’utilisateur connecté. La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple). Non Oui
People.Read.All Lire les listes des contacts pertinents de tous les utilisateurs Permet à l’application de lire une liste notée des contacts pertinents pour l’utilisateur connecté ou d’autres utilisateurs dans l’organisation de l’utilisateur connecté. La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou de l’annuaire de votre organisation, et les contacts issus de communications récentes (messagerie électronique et Skype, par exemple). Permet également à l’application de rechercher dans tout l’annuaire de l’organisation de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
People.Read.All Lire les listes des contacts pertinents de tous les utilisateurs Permet à l’application de lire une liste notée des contacts pertinents pour l’utilisateur connecté ou d’autres utilisateurs dans l’organisation de l’utilisateur connecté.

La liste peut inclure des contacts locaux, des contacts provenant de réseaux sociaux ou du répertoire de votre organisation, et les contacts issus de communications récentes ( tels que les e-mails et Skype). Autoriser également l’application à rechercher le répertoire complet de l’organisation de l’utilisateur connecté.
Oui

Remarques

L’autorisation People.Read.All n’est valide que pour les comptes professionnels et scolaires.

Exemple d’utilisation

Déléguée

  • People.Read : Lire une liste de contacts pertinents (GET /me/people)
  • People.Read.All : Lire une liste de contacts appropriés pour un autre utilisateur de la même organisation (GET /users('{id})/people)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations d’accès privilégié

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
PrivilegedAccess.ReadWrite.AzureAD Lire et écrire des données Privileged Identity Management pour répertoire Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour Azure AD. Oui Non
PrivilegedAccess.ReadWrite.AzureADGroup Lire et écrire des données Privileged Identity Management pour les groupes d’accès privilégié Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour groupes. Oui Non
PrivilegedAccess.ReadWrite.AzureResources Lire et écrire des données Privileged Identity Management pour les ressources Azure Permet à l’application d’accéder en lecture et en écriture aux API Privileged Identity Management pour les ressources Azure. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
PrivilegedAccess.Read.AzureAD Lire des données Privileged Identity Management pour répertoire Permet à l’application d’accéder en lecture aux API Privileged Identity Management pour Azure AD. Oui
PrivilegedAccess.Read.AzureADGroup Lire des données Privileged Identity Management pour les groupes d’accès privilégié Permet à l’application d’accéder en lecture aux API Privileged Identity Management pour les groupes. Oui
PrivilegedAccess.Read.AzureResources Lire des données Privileged Identity Management pour les ressources Azure Permet à l’application d’accéder en lecture aux API Privileged Identity Management pour les ressources Azure AD. Oui

Autorisations de places

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Place.Read.All Lire toutes les places de la société Permet à l’application de lire les emplacements d’entreprise (salles de conférence et listes de salles) paramétrés dans Exchange Online pour le client. Oui Non
Place.ReadWrite.All Lire et écrire tous les emplacements de la société Permet à l’application de lire et d’entrer des emplacements d’entreprise (salles de conférence et listes de salles) paramétrés dans Exchange Online pour le client. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Place.Read.All Lire toutes les places de la société Permet à l’application de lire les emplacements d’entreprise (salles de conférence et listes de salles) pour les événements de calendrier et les autres applications. Oui

Autorisations de la stratégie

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Policy.Read.All Lire les stratégies de votre organisation Permet à l’application de lire les stratégies de votre organisation pour le compte de l’utilisateur connecté. Oui Non
Policy.Read.PermissionGrant Accéder en lecture aux stratégies d'octroi de consentement et d'autorisation Permet à l’application de lire les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.AccessReview Lire et écrire la stratégie de révision de l’accès de votre organisation Permet à l'application de lire et d'écrire la stratégie d'examen des accès de votre organisation au nom de l'utilisateur connecté. Oui Non
Policy.ReadWrite.ApplicationConfiguration Lecture et écriture des stratégies de configuration d'application de votre organisation Autorise la lecture et l'écriture des stratégies de configuration d'application de votre organisation par l'application pour le compte de l'utilisateur connecté. Oui Non
Policy.ReadWrite.AuthenticationFlows Accéder en lecture et en écriture aux stratégies de flux d’authentification de votre organisation Permet à l’application de lire et d’écrire des Stratégies de flux d’authentification au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.AuthenticationMethod Accéder en lecture et en écriture aux stratégies de méthode d’authentification Permet à l’application de lire et d’écrire des stratégies de méthode d’authentification au nom de l’utilisateur connecté. Le rôle Administrateur général doit également être attribué à l’utilisateur connecté. Oui Non
Policy.ReadWrite.Authorization Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application de lire et d’écrire la stratégie d’autorisation de votre organisation au nom de l’utilisateur connecté. Par exemple, les stratégies d’autorisation peuvent contrôler certaines autorisations définies par défaut pour le rôle d’utilisateur prêt à l’emploi dans la boîte de dialogue. Oui Non
Policy.ReadWrite.ConditionalAccess Lire et écrire les stratégies d’accès conditionnel de votre organisation Permet à l’application de lire et d’écrire les stratégies d’accès conditionnel de votre organisation au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.ConsentRequest Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application de lire et d’écrire la stratégie de demandes de consentement de votre organisation au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.CrossTenantAccess Lire et écrire la stratégie d’accès entre locataires de votre organisation Permet à l’application de lire et d’écrire la stratégie d’accès entre clients de votre organisation au nom de l’utilisateur. Oui Non
Policy.ReadWrite.FeatureRollout Lire et écrire les stratégies de déploiement des fonctionnalités de votre organisation Permet à l’application de lire et d’écrire les stratégies de déploiement des fonctionnalités de votre organisation au nom de l’utilisateur connecté. Inclut les capacités permettant d’affecter et de supprimer des utilisateurs et des groupes afin de déployer une fonctionnalité spécifique. Oui Non
Policy.ReadWrite.PermissionGrant Gérer les stratégies d’accord et d’octroi d’autorisations Permet à l’application de gérer les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.TrustFramework Lire et écrire les stratégies d’infrastructure de confiance de votre organisation Permet à l’application de lire et d’écrire les stratégies d’infrastructure de confiance de votre organisation au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.AuthenticationMethod Accéder en lecture et en écriture aux stratégies de méthode d’authentification de votre organisation Permet à l’application de lire et d’écrire des stratégies de méthode d’authentification au nom de l’utilisateur connecté. Oui Non
Policy.ReadWrite.MobilityManagement Accéder en lecture et en écriture aux stratégies de méthode d’authentification de votre organisation. Permet à l’application de lire et d’écrire les stratégies de gestion de la mobilité au nom de l’utilisateur connecté. Ils contrôlent les paramètres des applications de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM). Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Policy.Read.All Lire les stratégies de votre organisation Permet à l’application de lire toutes les stratégies de votre organisation sans qu’aucun utilisateur ne soit connecté. Oui
Policy.Read.PermissionGrant Accéder en lecture aux stratégies d'octroi de consentement et d'autorisation Permet à l’application de lire les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, sans utilisateur connecté. Oui
Policy.Read.ApplicationConfiguration Lecture des stratégies de configuration d'application de votre organisation Autorise la lecture des stratégies de configuration d'application de votre organisation par l'application sans que l'utilisateur soit connecté. Oui
Policy.ReadWrite.AccessReview Lire et écrire la stratégie de révision de l’accès de votre organisation Permet à l'application de lire et d'écrire la stratégie d'examen des accès de votre organisation, sans utilisateur connecté. Oui
Policy.ReadWrite.ApplicationConfiguration Lecture et écriture des stratégies de configuration d'application de votre organisation Permet à l’application de lire et d’écrire les stratégies de configuration de l’application de votre organisation sans qu’aucun utilisateur ne soit connecté. Oui
Policy.ReadWrite.AuthenticationFlows Accéder en lecture et en écriture aux stratégies de flux d’authentification de votre organisation Permet à l’application de lire et d’écrire les stratégies de flux d’authentification pour le locataire, sans utilisateur connecté. Oui
Policy.ReadWrite.Authorization Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application de lire et d’écrire la stratégie d’autorisation de votre organisation au nom de l’utilisateur connecté. Par exemple, les stratégies d’autorisation peuvent contrôler certaines autorisations définies par défaut pour le rôle d’utilisateur prêt à l’emploi dans la boîte de dialogue. Oui
Policy.ReadWrite.ConsentRequest Accéder en lecture et en écriture à la stratégie d’autorisation de votre organisation Permet à l’application d’accéder en lecture et en écriture à la stratégie de demandes de consentement de votre organisation sans utilisateur connecté. Oui
Policy.ReadWrite.CrossTenantAccess Lire et écrire la stratégie d’accès entre locataires de votre organisation Permet à l’application de lire et d’écrire la stratégie d’accès entre locataires de votre organisation sans utilisateur connecté. Oui
Policy.ReadWrite.AuthenticationMethod Accéder en lecture et en écriture à toutes les stratégies de méthode d’authentification Permet à l’application de lire et d’écrire toutes les stratégies de méthode d’authentification pour le locataire, sans utilisateur connecté. Oui
Policy.ReadWrite.FeatureRollout Lire et écrire les stratégies de déploiement de fonctionnalités Permet à l’application de lire et écrire les stratégies de déploiement de fonctionnalités sans qu’aucun utilisateur ne soit connecté. Inclut les capacités permettant d’affecter et de supprimer des utilisateurs et des groupes afin de déployer une fonctionnalité spécifique. Oui
Policy.ReadWrite.PermissionGrant Gérer les stratégies d’accord et d’octroi d’autorisations Permet à l’application de gérer les stratégies relatives au consentement et aux octrois d’autorisations pour les applications, sans utilisateur connecté. Oui
Policy.ReadWrite.TrustFramework Lire et écrire les stratégies d’infrastructure de confiance de votre organisation Permet à l’application de lire et d’écrire les stratégies d’infrastructure de confiance de votre organisation sans qu’aucun utilisateur ne soit connecté. Oui

Exemple d’utilisation

Les utilisations suivantes sont valides pour les autorisations déléguées et d’application :

  • Policy.Read.All : Lire les stratégies de votre organisation (GET /policies)
  • Policy.Read.All : Lire les stratégies d’infrastructure de confiance de votre organisation (GET /beta/trustFramework/policies)
  • Policy.Read.All : Lire les stratégies de déploiement des fonctionnalités de votre organisation (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.AccessReview: Lisez et écrivez les stratégies de révision d’accès de votre organisation (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration : lecture et écriture des stratégies de configuration d'application de votre organisation (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows : lire et écrire de la stratégie de flux d’authentification de votre organisation (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod: utilisez cette autorisation pour gérer les paramètres de la stratégie de méthodes d’authentification, notamment l’activation et la désactivation des méthodes d’authentification, l’autorisation des utilisateurs et des groupes à utiliser ces méthodes et la configuration d’autres paramètres liés aux méthodes d’authentification que les utilisateurs peuvent inscrire et utiliser dans un locataire.
  • Policy.ReadWrite.ConditionalAccess : Lire et écrire les stratégies d’accès conditionnel de votre organisation (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.CrossTenantAccessPolicy : Lire et écrire la stratégie d’accès entre clients de votre organisation (PATCH /beta/policies/crossTenantAccessPolicy)
  • Policy.ReadWrite.FeatureRollout : Lire et écrire les stratégies de déploiement des fonctionnalités de votre organisation (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: Lire et écrire les stratégies d’infrastructure de confiance de votre organisation (POST /beta/trustFramework/policies)

Pour des scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux Scénarios d’autorisation.


Autorisations de présence

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Presence.Read Lire les informations de présence de l’utilisateur Permet à l’application de lire les informations de présence au nom de l’utilisateur connecté. Les informations de présence incluent l’activité, la disponibilité, la note de statut, le message d’absence du bureau, le fuseau horaire et l’emplacement. Non
Presence.Read.All Lire les informations de présence de tous les utilisateurs au sein de votre organisation Permet à l’application de lire les informations de présence de tous les utilisateurs de l’annuaire au nom de l’utilisateur connecté. Les informations de présence incluent l’activité, la disponibilité, la note de statut, le message d’absence du bureau, le fuseau horaire et l’emplacement. Non
Presence.ReadWrite Lire et écrire les informations de présence d’un utilisateur Permet à l’application de lire les informations de présence et d’écrire l’activité et la disponibilité au nom de l’utilisateur inscrit. Les informations de présence incluent l’activité, la disponibilité, la note de statut, le message d’absence du bureau, le fuseau horaire et l’emplacement. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Presence.ReadWrite.All Lire et écrire des informations de présence pour tous les utilisateurs Permet à l’application de lire toutes les informations de présence et d’écrire l’activité et la disponibilité de tous les utilisateurs dans l’annuaire sans utilisateur connecté. Les informations de présence incluent l’activité, la disponibilité, la note de statut, le message d’absence du bureau, le fuseau horaire et l’emplacement. Oui

Exemple d’utilisation

  • Presence.Read : si vous êtes connecté, récupérez vos propres informations de présence (GET /me/presence)
  • Presence.Read.All : récupérez les informations de présence d’un autre utilisateur (GET /users/{id}/presence)
  • Presence.Read.All : récupérez les informations de présence de plusieurs utilisateurs (POST /communications/getPresencesByUserId)
  • Presence.ReadWrite:
    • Si vous êtes inscrit, définissez l’état de votre session de présence (POST /me/presence/setPresence).
    • Si vous êtes inscrit, définissez votre propre présence préférée (POST /me/presence/setUserPreferredPresence).
  • Presence.ReadWrite.All:
    • Définir l’état de la session de présence d’un utilisateur en tant qu’application (POST /users/{id}/presence/setPresence)
    • Définir la présence préférée d’un utilisateur en tant qu’application (POST /users/{id}/presence/setUserPreferredPresence)

Programmes et autorisations des contrôles de programme

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ProgramControl.Read.All Lire tous les programmes Permet à l’application de lire des programmes au nom de l’utilisateur connecté. Oui Non
ProgramControl.ReadWrite.All Gérer tous les programmes Permet à l’application de lire et écrire des programmes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ProgramControl.Read.All Lire tous les programmes Permet à l’application de lire des programmes sans utilisateur connecté. Oui
ProgramControl.ReadWrite.All Gérer tous les programmes Permet à l’application de lire et écrire des programmes sans utilisateur connecté. Oui

Remarques

ProgramControl.Read.All et ProgramControl.ReadWrite.All sont valides pour les comptes professionnels ou scolaires uniquement.

Pour qu’une application avec des autorisations déléguées puisse lire les programmes et contrôles de programmes, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, administrateur de sécurité, lecteur sécurité ou administrateur utilisateur. Pour qu’une application avec des autorisations déléguées puisse écrire les programmes et contrôles de programmes, l’utilisateur connecté doit être membre de l’un des rôles d’administrateur suivants : administrateur général, ou administrateur utilisateur. Pour en savoir plus sur les rôles d’administrateur, consultez la rubrique Attribution de rôles d’administrateur dans Azure Active Directory.


Autorisations pour la gestion des enregistrements

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
RecordsManagement.Read.All Lisez les données de Gestion des enregistrements Microsoft Purview. Permet à l’application de lire toutes les données de la solution ge Gestion des enregistrements Microsoft Purview, telles que les noms d’étiquette, les noms d’événements et les noms de type d’événement pour le compte de l’utilisateur connecté. Oui
RecordsManagement.ReadWrite.All Lisez et écrivez des données à partir de la Gestion des enregistrements Microsoft Purview. Autoriser l’application à créer, à mettre à jour et à supprimer des données de la solution Gestion des enregistrements Microsoft Purview, telles que des étiquettes, des événements et des types d’événements pour le compte de l’utilisateur connecté. Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
RecordsManagement.Read.All Lisez les données de Gestion des enregistrements Microsoft Purview. Permet à l’application de lire toutes les données de la solution ge Gestion des enregistrements Microsoft Purview, telles que les noms d’étiquette, les noms d’événements et les noms de type d’événement pour le compte de l’utilisateur connecté. Oui
RecordsManagement.ReadWrite.All Lisez et écrivez des données à partir de la Gestion des enregistrements Microsoft Purview. Autoriser l’application à créer, à mettre à jour et à supprimer des données de la solution Gestion des enregistrements Microsoft Purview, telles que des étiquettes, des événements et des types d’événements pour le compte de l’utilisateur connecté. Oui

Exemple d’utilisation

Delegated

  • RecordsManagement.Read.All: obtenir la liste des étiquettes disponibles pour l’utilisateur à partir de Gestion des enregistrements Microsoft Purview (GET /security/labels/retentionLabels)
  • RecordsManagement.ReadWrite.All : créer une étiquette dans la gestion des enregistrements Microsoft Purview (POST /security/labels/retentionLabels/)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de rapports

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Reports.Read.All Accéder en lecture à tous les rapports d’utilisation Autoriser une application à lire tous les rapports d’utilisation du service au nom de l’utilisateur connecté. Les services qui fournissent des rapports d’utilisation incluent Microsoft 365 et Azure Active Directory. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Reports.Read.All Accéder en lecture à tous les rapports d’utilisation Autoriser une application à lire tous les rapports d’utilisation du service sans utilisateur connecté. Les services qui fournissent des rapports d’utilisation incluent Microsoft 365 et Azure Active Directory. Oui

Remarques

  • Les autorisations de rapports sont valides uniquement pour les comptes professionnels ou scolaires.
  • Pour que les autorisations déléguées permettent aux applications de lire les rapports d’utilisation du service pour le compte d’un utilisateur, l’administrateur client doit avoir attribué à l’utilisateur un rôle d’administrateur Azure AD limité. Pour plus d’informations, consultez Autorisation pour que les API lisent Microsoft 365 rapports d’utilisation.

Exemple d’utilisation

Application

  • Reports.Read.All : Lire le rapport détaillé sur l’utilisation des applications de messagerie sur une période de 7 jours (GET /reports/EmailAppUsage(view='Detail',period='D7')/content).
  • Reports.Read.All : Lire le rapport détaillé sur l’activité de la messagerie daté du « 2017-01-01 » (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content).
  • Reports.Read.All : Lire le rapport détaillé des activations de Microsoft 365 (GET /reports/Office365Activations(view='Detail')/content).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations pour la gestion de rôles

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
RoleAssignmentSchedule.Read.Directory Consultez toutes les affectations actives de rôle pour l’annuaire de votre entreprise. Autoriser une application à lire les affectations active du contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Cela inclut la lecture des modèles du rôle du répertoire et les rôles du répertoire. Oui Non
RoleEligibilitySchedule.Read.Directory Consultez toutes les affectations éligibles de rôle pour le répertoire de votre entreprise. Autoriser une application à lire les affectations éligibles du contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Cela inclut la lecture des modèles du rôle du répertoire, les rôles du répertoire et les appartenances. Oui Non
RoleManagement.Read.All Consultez les données de gestion des rôles pour tous les fournisseurs RBAC. Permet à l’application de lire les paramètres de contrôle d’accès en fonction du rôle (RBAC) pour tous les fournisseurs RBAC pris en charge, pour le compte de l’utilisateur connecté. Cela inclut la lecture des définitions de rôles et des attributions de rôles. Oui Non
RoleManagement.Read.Directory Consultez les données de gestion des rôles pour Azure AD. Autoriser une application à lire les paramètres du contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Cela inclut la lecture des modèles du rôle du répertoire, les rôles du répertoire et les appartenances. Oui Non
RoleManagementPolicy.Read.Directory Consultez toutes les stratégies pour les affectations privilégiées de rôle pour le répertoire de votre entreprise. Permet à l’application de lire les stratégies d’affectations privilégiées de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Oui Non
RoleAssignmentSchedule.ReadWrite.Directory Consultez, mettez à jour et supprimez toutes les affectations actives de rôle pour l’annuaire de votre entreprise. Permet à l'application de lire et de gérer les affectations actives de contrôle d'accès basé sur les rôles (RBAC) pour l'annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut la gestion des adhésions actives aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions actives. Oui Non
RoleEligibilitySchedule.ReadWrite.Directory Consultez, mettez à jour et supprimez toutes les affectations éligibles de rôle pour l’annuaire de votre entreprise. Permet à l'application de lire et de gérer les affectations éligibles de contrôle d'accès basé sur les rôles (RBAC) pour l'annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut l'instanciation des rôles d'annuaire et la gestion des adhésions éligibles aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions éligibles. Oui Non
RoleManagement.ReadWrite.Directory Consultez et écrivez les données de gestion des rôles pour tous Azure AD. Permet à l'application de lire et de gérer les paramètres de contrôle d'accès basé sur les rôles (RBAC) pour l'annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut l'instanciation des rôles d'annuaire et la gestion des adhésions aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions. Oui Non
RoleManagementPolicy.ReadWrite.Directory Consultez, mettez à jour et supprimez toutes les stratégies pour les affectations privilégiées de rôle pour le répertoire de votre entreprise. Permet à l’application de consulter, mettre à jour et supprimer les stratégies de contrôle d’accès en fonction du rôle (RBAC) du répertoire de votre entreprise, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
RoleManagement.Read.All Consultez les données de gestion des rôles pour tous les fournisseurs RBAC. Permet à l’application de lire les paramètres de contrôle d’accès en fonction du rôle (RBAC) pour tous les fournisseurs RBAC pris en charge, sans utilisateur connecté. Cela inclut la lecture des définitions de rôles et des attributions de rôles. Oui
RoleManagement.Read.Directory Consultez les données de gestion des rôles pour Azure AD. Permet à l'application de lire les paramètres de contrôle d'accès basé sur les rôles (RBAC) de l'annuaire de votre entreprise, sans qu'un utilisateur soit connecté. Cela inclut la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions. Oui
RoleManagement.ReadWrite.Directory Consultez et écrivez les données de gestion des rôles pour tous Azure AD. Permet à l'application de lire, puis de gérer les paramètres de contrôle d'accès en fonction du rôle (RBAC) pour l’annuaire de votre entreprise, au nom de l'utilisateur connecté. Cela inclut l'instanciation des rôles d'annuaire et la gestion des adhésions aux rôles d'annuaire, ainsi que la lecture des modèles de rôles d'annuaire, des rôles d'annuaire et des adhésions. Oui

Remarques

Attention

Les autorisations qui autorisent l’octroi d’autorisations, telles que RoleManagement.ReadWrite.Directory, permettent à une application de s’accorder elle-même, d’autres applications ou tout utilisateur, des privilèges supplémentaires. Soyez prudent lorsque vous accordez l’une de ces autorisations.

Avec l'autorisation RoleManagement.Read.Directory, une application peut lire directoryRoles et directoryRoleTemplates. Cela inclut la lecture des informations d’appartenance pour les rôles d’annuaire.

Avec l'autorisation RoleManagement.ReadWrite.Directory, une application peut lire et écrire directoryRoles (directoryRoleTemplates sont des ressources en lecture seule). Cela inclut l’ajout et la suppression de membres des rôles d’annuaire.

Les autorisations de gestion des rôles sont valides uniquement pour les comptes professionnels ou scolaires.

Exemple d’utilisation

  • RoleManagement.Read.Directory : lire la liste des modèles de rôle disponibles (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory : lire la liste des rôles activés dans votre annuaire (GET /directoryRoles)
  • RoleManagement.Read.Directory : lire la liste des membres pour un rôle (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory : lire la liste des membres étendus de l’unité administrative pour un rôle (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory : activer un rôle de répertoire à partir d’un modèle de rôle (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory : ajouter un membre à un rôle de répertoire (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory : ajouter un membre étendu de l’unité administrative à un rôle de répertoire (POST /directoryRoles/<id>/scopedMembers)

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations pour la gestion de planning (version d'évaluation privée)

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Schedule.ReadWrite.All (préversion privée) Lire et écrire des données de service des équipes (Teams) Permet à une application de lire et d’écrire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées sans utilisateur connecté. Oui Non
Schedule.Read.All (préversion privée) Lire des données de service des équipes (Teams) Permet à l’application de lire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées sans utilisateur connecté. Oui Non

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Schedule.ReadWrite.All Lire et écrire des données de service des équipes (Teams) Permet à une application de lire et d’écrire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées au mon de l’utilisateur connecté. Non Non
Schedule.Read.All Lire des données de service des équipes (Teams) Permet à l’application de lire des plannings, des groupes de planning, des équipes et des entités associées dans les applications déplacées au mon de l’utilisateur connecté. Non Non
WorkforceIntegration.ReadWrite.All (préversion privée) Accéder en lecture et en lecture aux intégrations du personnel Permet à l’application de gérer les intégrations du personnel, de synchroniser les données des équipes Microsoft Teams avec un système intégré, au nom de l’utilisateur connecté. Oui Non
WorkforceIntegration.Read.All (préversion privée) Accéder en lecture et en lecture aux intégrations du personnel Permet à l’application de gérer les intégrations du personnel, de synchroniser les données des équipes Microsoft Teams avec un système intégré, au nom de l’utilisateur connecté. Oui Non

Autorisations de recherche

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ExternalConnection.Read.All Lire toutes les connexions externes Permet à l’application de lire toutes les connexions externes sans utilisateur connecté. Oui Non
ExternalConnection.ReadWrite.All Lire et écrire toutes les connexions externes Permet à l’application de lire et à écrire toutes les connexions externes sans utilisateur connecté. Oui Non
ExternalConnection.ReadWrite.OwnedBy Lire et écrire des connexions externes et des paramètres de connexion Permet à l’application de lire et d’écrire des connexions externes et leurs paramètres sans utilisateur connecté. L’application peut uniquement lire et écrire des connexions externes auxquelles elle est autorisée, ou elle peut créer de nouvelles connexions externes. Oui Non
ExternalItem.Read.All Lire tous les éléments externes Permet à l’application de lire tous les éléments externes sans utilisateur connecté. Oui Non
ExternalItem.ReadWrite.All Lire et écrire tous les éléments externes Permet à l’application de lire et d’écrire tous les éléments externes sans utilisateur connecté. Oui Non
ExternalItem.ReadWrite.OwnedBy Lire et écrire des éléments externes Permet à l’application de lire et d’écrire des éléments externes sans utilisateur connecté. L’application peut uniquement lire les éléments externes de la connexion à laquelle elle est autorisée. Oui Non

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ExternalConnection.Read.All Lire toutes les connexions externes Permet à l’application de lire toutes les connexions externes pour le compte d’un utilisateur connecté. Oui Non
ExternalConnection.ReadWrite.All Lire et écrire toutes les connexions externes Permet à l’application de lire et d’écrire toutes les connexions externes pour le compte d’un utilisateur connecté. Oui Non
ExternalConnection.ReadWrite.OwnedBy Lire et écrire des connexions externes Permet à l’application de lire et d’écrire des connexions externes pour le compte d’un utilisateur connecté. L’application peut uniquement lire et écrire des connexions externes auxquelles elle est autorisée, ou elle peut créer de nouvelles connexions externes. Oui Non
ExternalItem.Read.All Lire des données externes Permettre à l’application de lire des jeux de données externes et du contenu pour le compte de l’utilisateur connecté. Oui Non
ExternalItem.ReadWrite.All Lire et écrire tous les éléments externes Permet à l’application de lire et d’écrire tous les éléments externes pour le compte d’un utilisateur connecté. Oui Non
ExternalItem.ReadWrite.OwnedBy Lire et écrire des éléments externes Permet à l’application de lire et d’écrire des éléments externes pour le compte d’un utilisateur connecté. L’application peut uniquement lire les éléments externes de la connexion à laquelle elle est autorisée. Oui Non

Remarques

Les autorisations de recherche ne sont valides que pour les comptes professionnels ou scolaires.

Cette autorisation de recherche s’applique uniquement aux données ingérées à partir de l’API d’indexation.

L’accès aux données via la recherche nécessite l’autorisation de lecture dans l’élément. Par exemple : Files.Read.All pour accéder aux fichiers via la recherche.

Exemple d’utilisation

Déléguée

  • ExternalItem.ReadWrite.All : accéder à des données externes à partir de l’API de recherche (POST /search/query).

Autorisations de configuration de recherche

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
SearchConfiguration.Read.All Lire la configuration de recherche de votre organisation Autorise l’application à lire la configuration de recherche au nom de l’utilisateur connecté. Oui Non
SearchConfiguration.ReadWrite.All Lire et écrire la configuration de recherche de votre organisation Permet à l’application de lire et d’écrire des configurations de recherche pour le compte de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
SearchConfiguration.Read.All Lire la configuration de recherche de votre organisation Autorise l’application à lire les configurations de recherche, sans utilisateur connecté. Oui
SearchConfiguration.ReadWrite.All Lire et écrire la configuration de recherche de votre organisation Autorise l’application à lire et à écrire des configurations de recherche, sans utilisateur connecté. Oui

Remarques

Les autorisations de configuration de recherche ne sont valides que pour les comptes professionnels ou scolaires.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

  • SearchConfiguration.Read.All : lire la liste de tous les signets créés pour votre locataire (GET /beta/search/bookmarks)
  • SearchConfiguration.ReadWrite.All : mettre à jour ou lire tous les signets créés pour votre locataire (PATCH /beta/search/bookmarks/{id})

Autorisations de sécurité

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
SecurityEvents.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Oui Non
SecurityEvents.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Permet également à l’application de mettre à jour les propriétés modifiables dans les événements de sécurité pour le compte de l’utilisateur connecté. Oui Non
SecurityActions.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Oui Non
SecurityActions.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisation Permet à l’application de lire ou mettre à jour les événements de sécurité de votre organisation pour le compte de l’utilisateur connecté. Oui Non
ThreatIndicators.ReadWrite.OwnedBy Gérer les indicateurs contre les menaces cette application crée ou propriétaire Permet à l’application de créer des indicateurs de menaces et de gérer entièrement ces indicateurs de menaces (lire, mettre à jour et supprimer), au nom de l’utilisateur connecté. Oui Non
ThreatIndicators.Read.All Lecture des indicateurs de menace de votre organisation Permet à l’application de lire tous les indicateurs dans votre organisation, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
SecurityEvents.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation. Oui
SecurityEvents.ReadWrite.All Lire et mettre à jour les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation. Permet également à l’application de mettre à jour les propriétés modifiables dans les événements de sécurité. Oui
SecurityActions.Read.All Lire les événements de sécurité de votre organisation Permet à l’application de lire les événements de sécurité de votre organisation. Oui
SecurityActions.ReadWrite.All Créer et lire les événements de sécurité de votre organisation Permet à l’application lire ou créer des actions de sécurité, sans l’utilisateur connecté. Oui
ThreatIndicators.ReadWrite.OwnedBy Gérer les indicateurs contre les menaces cette application crée ou propriétaire Permet de l’application créer des indicateurs de contre les menaces et entièrement gérer ces indicateurs contre les menaces (lire, mettre à jour et supprimer), sans l’utilisateur connecté. Il ne peut pas mettre à jour les indicateurs contre les menaces dont il n’est pas propriétaire. Oui
ThreatIndicators.Read.All Gérer les indicateurs de menaces que cette application crée ou possède Permet à l’application de lire tous les indicateurs dans votre organisation, sans utilisateur connecté. Oui

Remarques

Les autorisations de sécurité sont valides uniquement sur les comptes professionnels ou scolaires.

Exemple d’utilisation

Autorisation déléguée et autorisation d’application

  • SecurityEvents.Read.All : lire la liste de toutes les alertes de sécurité à partir de tous les fournisseurs de sécurité sous licence disponibles à votre client (GET /beta/security/alerts)
  • SecurityEvents.ReadWrite.All : mettre à jour ou lire les alertes de sécurité à partir de tous les fournisseurs de sécurité sous licence disponibles à votre client (PATCH /beta/security/alerts/{id})

Autorisations de communication de service

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ServiceHealth.Read.All État du service de lecture Permet à l’application de lire les renseignements sur l’état du service de votre locataire au nom de l’utilisateur inscrit. Les renseignements sur l’état peuvent inclure des problèmes de service ou des aperçus de l’état du service. Oui Oui
ServiceMessage.Read.All Messages du service de lecture Permet à l’application de lire les messages d’annonce du service de votre locataire au nom de l’utilisateur inscrit. Les messages peuvent inclure des informations sur les nouvelles fonctionnalités ou les fonctionnalités modifiées. Oui Oui
ServiceMessageViewpoint.Write Mettre à jour l’état de votre utilisateur sur les messages d’annonce de service Permet à l’application de mettre à jour l’état utilisateur des messages d’annonce de service pour le compte de l’utilisateur connecté. L’état du message peut être marqué comme lu, archivé ou favori. Oui Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ServiceHealth.Read.All État du service de lecture Permet à l’application de lire les renseignements sur l’état du service de votre locataire, sans un utilisateur connecté. Les renseignements sur l’état peuvent inclure des problèmes de service ou des aperçus de l’état du service. Oui
ServiceMessage.Read.All Messages du service de lecture Permet à l’application de lire les messages d’annonce du service de votre locataire, sans un utilisateur connecté. Les messages peuvent inclure des informations sur les nouvelles fonctionnalités ou les fonctionnalités modifiées. Oui

Autorisations de brèves notes (préversion privée)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ShortNotes.Read Lire les brèves notes de l’utilisateur connecté Permet à l’application de lire toutes les brèves notes auxquelles l’utilisateur connecté a accès. Non Oui
ShortNotes.ReadWrite Lire, créer, modifier et supprimer de brèves notes de l’utilisateur connecté Permettre à l’application de lire, créer, modifier et supprimer de brèves notes d’un utilisateur connecté. Non Oui

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ShortNotes.Read.All Lire toutes les brèves notes des utilisateurs Permet à l’application de lire toutes les brèves notes, sans utilisateur connecté. Oui
ShortNotes.ReadWrite.All Lire, créer, modifier et supprimer les brèves notes de tous les utilisateurs Permettre à l’application de lire, créer, modifier et supprimer toutes les brèves notes, sans utilisateur connecté. Oui

Autorisations de sites

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Sites.Read.All Lire des éléments dans toutes les collections de sites Permet à l’application de lire des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. Non Non
Sites.ReadWrite.All Accéder en lecture et en écriture aux éléments de toutes les collections de sites Permet à l’application de modifier ou de supprimer des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. Non Non
Sites.Manage.All Créer, modifier et supprimer des éléments et des listes dans toutes les collections de sites Permet à l’application de gérer et de créer des listes, des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. Non Non
Sites.FullControl.All Contrôler pleinement toutes les collections de sites Permet à l’application de contrôler complètement les sites SharePoint dans toutes les collections de sites au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Sites.Read.All Lire des éléments dans toutes les collections de sites Permet à l’application de lire les documents et les éléments de liste dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.ReadWrite.All Accéder en lecture et en écriture aux éléments de toutes les collections de sites Permet à l’application de créer, de lire, de mettre à jour et de supprimer des documents et des éléments de liste dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.Manage.All Créer, modifier et supprimer des éléments et des listes dans toutes les collections de sites Permet à l’application de gérer et de créer les listes, les documents et les éléments de liste dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.FullControl.All Contrôler pleinement toutes les collections de sites Permet à l’application de contrôler complètement les sites SharePoint dans toutes les collections de sites sans utilisateur connecté. Oui
Sites.Selected Accéder aux collections de sites sélectionnées Autoriser l’application à accéder à un sous-ensemble de collections de sites sans utilisateur connecté. Les collections de sites spécifiques et les autorisations octroyées seront configurées dans SharePoint Online. Oui

Remarques

Les autorisations de sites sont valides uniquement dans les comptes professionnels ou scolaires. L’autorisation d’application Sites.Selected est uniquement disponible dans l’API Microsoft Graph.

Exemple d’utilisation

Déléguée

  • Sites.Read.All : Lire les listes sur le site racine de SharePoint (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All : Créer des éléments de liste dans une liste SharePoint (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All : Ajouter une nouvelle liste à un site SharePoint (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All : Accéder à tous les sites SharePoint et à toutes les listes.

Les droits du sujet demandent des autorisations

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
SubjectRightsRequest.Read.All* Lire les demandes de droits d'objet Permet à l'application de lire les demandes de droits d'objet au nom de l'utilisateur connecté. Oui Non
SubjectRightsRequest.ReadWrite.All* Lire et rédiger des demandes de droits d'objet Permet à l'application de lire et d'écrire des demandes de droits d'objet au nom de l'utilisateur connecté. Oui Non

Autorisations de l’application

Aucun.

Exemple d’utilisation

Delegated

  • SubjectRightsRequest.Read.All_ : obtenir la liste des demandes de droits d'objet disponibles pour l'utilisateur (GET /privacy/subjectrightsrequests).
  • SubjectRightsRequest.ReadWrite.All : crée une demande de droits d'objet (POST /privacy/subjectrightsrequests).

Pour des scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux Scénarios d’autorisation.

Autorisations de tâches

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Tasks.Read Lire les tâches et listes de tâches des utilisateurs (préversion) Permet à l’application de lire les tâches et listes des tâches de l’utilisateur connecté, y compris les partagées avec l’utilisateur. N’inclut pas l’autorisation de créer, supprimer ou mettre à jour quoi que ce soit. Non Oui
Tasks.Read.Shared Accéder en lecture aux tâches utilisateur et aux tâches partagées (aperçu) Permet à l’application de lire les tâches auxquelles un utilisateur peut accéder, qu’il s’agisse des siennes ou de tâches partagées. Non Non
Tasks.ReadWrite Créer, lire, mettre à jour et supprimer des tâches et des listes de tâches d’un utilisateur (préversion) Permet à l’application de créer, lire, mise à jour, et supprimer les tâches et listes des tâches de l’utilisateur connecté, y compris les partagées avec l’utilisateur. Non Oui
Tasks.ReadWrite.Shared Accéder en lecture et en écriture aux tâches utilisateur et aux tâches partagées (aperçu) Permet à l’application de créer, lire, mettre à jour et supprimer les tâches auxquelles un utilisateur peut accéder, qu’il s’agisse des siennes ou de tâches partagées. Non Non

Autorisations de l’application

Aucun.

Remarques

Les autorisations de tâches sont utilisées pour contrôler l’accès aux tâches Outlook. L’accès aux tâches Microsoft Planner est contrôlé par des autorisations de groupe.

Les autorisations partagées sont actuellement prises en charge uniquement pour les comptes professionnels ou scolaires. Même avec les autorisations partagées, la lecture et l’écriture peut échouer si l’utilisateur qui possède le contenu partagé n’a pas accordé des autorisations d’accès pour modifier le contenu du dossier.

Exemple d’utilisation

Déléguée

  • Tasks.Read : Obtenir toutes les tâches de la boîte aux lettres d’un utilisateur (GET /me/outlook/tasks).
  • Tasks.Read.Shared : Accéder aux tâches d’un dossier partagé avec vous par un autre utilisateur de votre organisation (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks).
  • Tasks.ReadWrite : Ajouter un événement au dossier de tâches par défaut de l’utilisateur (POST /me/outlook/tasks).
  • Tasks.Read : Obtenir toutes les tâches inachevées dans la boîte aux lettres d’un utilisateur (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed').
  • Tasks.ReadWrite : Mettre à jour une tâche dans la boîte aux lettres d’un utilisateur (PATCH /users/{id | userPrincipalName}/outlook/tasks/id).
  • Tasks.ReadWrite.Shared : Exécuter une tâche au nom d’un autre utilisateur (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.


Autorisations de taxonomie

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TermStore.Read.All Lire les données du magasin de termes Permet à l’application de lire plusieurs termes, ensembles et groupes dans le magasin de termes Oui Non
TermStore.ReadWrite.All Lire et écrire toutes les données du magasin de termes Permet à l’application de modifier ou supprimer les termes, ensembles et groupes dans le magasin de termes Oui Non

Remarques

Les autorisations de taxonomie sont valides uniquement sur les comptes professionnels ou scolaires.

Exemple d’utilisation

Delegated

  • TermStore.Read.All : lire le termstore pour le locataire (GET /termStore)
  • TermStore.ReadWrite.All : créer des conditions dans la termStore (POST /termStore/sets/123/children)

Autorisations Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Accéder en lecture aux noms et les descriptions des équipes Accéder en lecture aux noms et les descriptions des équipes au nom de l’utilisateur connecté. Non Non
Team.Create Créer des équipes Créer des équipes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Obtenir la liste de toutes les équipes Obtenir la liste de toutes les équipes, sans utilisateur connecté. Oui Non
Team.Create Créer des équipes Créer des équipes, sans utilisateur connecté. Oui Non
Teamwork.Migrate.All Gérer la migration vers Microsoft Teams Création et gestion de ressources pour la migration vers Microsoft Teams Oui Oui

Autorisations de paramètres des équipes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamSettings.Read.All Accéder en lecture aux paramètres des équipes Accéder en lecture aux paramètres de cette équipe au nom de l’utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Lire et modifier les paramètres des équipes Lire et modifier les paramètres de toutes les équipes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamSettings.Read.All Accéder en lecture à tous les paramètres des équipes Accéder en lecture aux paramètres de cette équipe, sans utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Accéder en lecture et en modification à tous les paramètres des équipes. Accéder en lecture et en modification à tous les paramètres de toutes les équipes sans utilisateur connecté. Oui Non

Autorisations d’activité des équipes

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsActivity.Read (préversion privée) Lire le flux d’activités du travail en équipe d’un utilisateur Permet à l’application de lire le flux d’activités du travail en équipe de l’utilisateur connecté. Non Non
TeamsActivity.Send Envoyer une activité de travail d’équipe en tant qu’utilisateur Autorise l’application à créer des notifications dans les flux de travail en équipe des utilisateurs pour le compte de l’utilisateur connecté. Ces notifications peuvent être indétectables ou être retenues ou gouvernées par des stratégies de conformité. Non Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsActivity.Read.All (préversion privée) Lire le flux d’activités du travail en équipe de tous les utilisateurs Permet à l’application de lire le flux d’activités du travail en équipe de tous les utilisateurs, sans utilisateur connecté. Oui Non
TeamsActivity.Send Envoyer une activité de travail d’équipe à un utilisateur Autorise l’application à créer des notifications dans les flux de travail en équipe des utilisateurs sans utilisateur connecté. Ces notifications peuvent être indétectables ou être retenues ou gouvernées par des stratégies de conformité. Oui Non

Autorisations de l'application Teams (déconseillées)

Notes

Ces autorisations sont déconseillées. Utilisez les autorisations TeamsAppInstallation.*.All équivalentes à la place.

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsApp.Read.All (déconseillée) Accéder en lecture aux applications Teams installées Autorise une application à lire les applications Teams installées pour l’utilisateur connecté, et dans toutes les équipes dont l’utilisateur est membre. Ne permet pas la lecture de paramètres spécifiques d’une application. Oui Non
TeamsApp.ReadWrite.All (Déconseillée) Gérer toutes les applications Teams Autorise l’application à lire, installer, mettre à niveau, et désinstaller les applications Teams, pour le compte de l’utilisateur connecté, ainsi que pour les équipes dont l’utilisateur est membre. Ne permet de lire ou d’écrire les paramètres spécifiques d’une application. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsApp.Read.All (déconseillée) Lire les applications Teams installées de tous les utilisateurs Permet à l'application de lire les applications Teams qui sont installées pour n'importe quel utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsApp.ReadWrite.All (Déconseillée) Gérer les applications Teams de tous les utilisateurs Permet à l'application de lire, d'installer, de mettre à niveau et de désinstaller les applications Teams pour tout utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire ou d'écrire les paramètres spécifiques à l'application. Oui Non

Autorisations d’installation pour les applications Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsAppInstallation.ReadForUser Accéder en lecture aux applications Teams installées d’un utilisateur Permet à l'application de lire les applications Teams qui sont installées pour l'utilisateur connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Non Non
TeamsAppInstallation.ReadWriteForUser Gérer les applications Teams installées d’un utilisateur Permet à l'application de lire, installer, mettre à niveau et désinstaller les applications Teams installées pour l'utilisateur connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteSelfForUser Autoriser l’application à se gérer elle-même dans les équipes Permet à l’application Teams de lire, installer, mettre à jour et se désinstaller elle-même des équipes auxquelles l’utilisateur connecté peut accéder. Non Non
TeamsAppInstallation.ReadForTeam Lire les applications Teams installées dans les équipes Permet à l'application de lire les applications Teams qui sont installées dans les équipes auxquelles l'utilisateur connecté peut accéder. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteForTeam Gérer les applications Teams installées dans les équipes Permet à l'application de lire, installer, mettre à niveau et désinstaller les applications Teams dans les équipes auxquelles l'utilisateur connecté peut accéder. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui Non
TeamsAppInstallation.ReadWriteSelfForTeam Autoriser l’application à se gérer elle-même dans les équipes Permet à l’application Teams de lire, installer, mettre à jour et se désinstaller elle-même des équipes auxquelles l’utilisateur connecté peut accéder. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
TeamsAppInstallation.ReadForUser.All Lire les applications Teams installées pour tous les utilisateurs Permet à l'application de lire les applications Teams qui sont installées pour n'importe quel utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteForUser.All Gérer les applications Teams pour tous les utilisateurs Permet à l'application de lire, d'installer, de mettre à niveau et de désinstaller les applications Teams pour tout utilisateur, sans qu'il soit nécessaire de se connecter. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteSelfForUser.All Autoriser l’application à se gérer elle-même pour tous les utilisateurs Permet à Teams de lire, installer, mettre à jour et se désinstaller elle-même pour n'importe quel utilisateur, sans qu'il soit connecté. Oui
TeamsAppInstallation.ReadForTeam.All Lire les applications Teams installées pour toutes les équipes Permet à l'application de lire les applications Teams qui sont installées dans n'importe quelle équipe, sans qu'un utilisateur soit connecté. Ne donne pas la possibilité de lire les paramètres spécifiques à l'application. Oui
TeamsAppInstallation.ReadWriteForTeam.All Gérer les applications Teams pour toutes les équipes Permet à l'application de lire, d'installer, de mettre à niveau, puis de désinstaller les applications Teams de n’importe quelle équipe, sans qu'il soit nécessaire de se connecter. Ne permet pas de lire les paramètres spécifiques à l’application. Oui
TeamsAppInstallation.ReadWriteSelfForTeam.All Autoriser l’application Teams à se gérer elle-même pour toutes les équipes Permet à Teams de lire, installer, mettre à jour et se désinstaller elle-même dans une équipe, sans utilisateur connecté. Oui

Autorisations de gestion des appareils Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamworkDevice.Read.All Lire les appareils Teams. Permet à l’application de lire les données de gestion des appareils Teams pour le compte de l’utilisateur connecté. Oui Non
TeamworkDevice.ReadWrite.All Lire et écrire des appareils Teams. Permet à l’application de lire et d’écrire les données de gestion des appareils Teams pour le compte de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamworkDevice.Read.All Lire les appareils Teams. Permet à l’application de lire les données de gestion pour les appareils Teams, sans utilisateur connecté. Oui Non
TeamworkDevice.ReadWrite.All Lire et écrire des appareils Teams. Permet à l’application de lire et d’écrire les données de gestion pour les appareils Teams, sans utilisateur connecté. Oui Non

Autorisations de membre del’équipe

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamMember.Read.All Lisez les membres des équipes. Lisez les membres des équipes au nom de l’utilisateur connecté. Oui Non
TeamMember.ReadWrite.All Ajoutez et supprimez des membres des équipes. Ajoutez et supprimez des membres des équipes au nom de l’utilisateur connecté. Permet également de modifier le rôle d’un membre, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamMember.Read.All Lisez les membres de toutes les équipes. Lisez les membres de toutes les équipes, sans utilisateur connecté. Oui Non
TeamMember.ReadWrite.All Ajoutez et supprimez des membres de toutes les équipes. Ajoutez et supprimez des membres de toutes les équipes, sans utilisateur connecté. Permet également de modifier le rôle d’un membre d’équipe, par exemple, de propriétaire à non propriétaire. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamSettings.Read.Group Lire les paramètres de cette équipe. Accéder en lecture aux paramètres de cette équipe, sans utilisateur connecté. Non Non
TeamSettings.ReadWrite.Group Mettez à jour les paramètres de cette équipe. Accédez en lecture et en écriture aux paramètres de cette équipe, sans utilisateur connecté. Non Non
ChannelSettings.Read.Group Accéder en lecture aux noms, descriptions et paramètres des canaux de cette équipe. Accéder en lecture aux noms des canaux de cette équipe, descriptions des canaux et paramètres des canaux sans utilisateur connecté. Non Non
ChannelSettings.ReadWrite.Group Mettez à jour les noms, les descriptions et les paramètres des canaux de cette équipe. Mettez à jour les noms des canaux de cette équipe, les descriptions des canaux et les paramètres des canaux sans utilisateur connecté. Non Non
Channel.Create.Group Créer des canaux au sein de cette équipe. Créer des canaux au sein de cette équipe, sans utilisateur connecté. Non Non
Channel.Delete.Group Supprimer les canaux de l’équipe. Supprimer les canaux de cette équipe, sans utilisateur connecté. Non Non
ChannelMessage.Read.Group Lire les messages des canaux de l’équipe. Permet à une application de lire les messages du canal de cette équipe, sans utilisateur connecté. Non Non
TeamsAppInstallation.Read.Group Voir quelles applications sont installées dans cette équipe. Voir quelles applications sont installées dans cette équipe, sans utilisateur connecté. Non Non
TeamsTab.Read.Group Lire les onglets de cette équipe. Accéder en lecture aux onglets de cette équipe, sans utilisateur connecté. Non Non
TeamsTab.Create.Group Créer des onglets au sein cette équipe. Créer des onglets au sein de cette équipe, sans utilisateur connecté. Non Non
TeamsTab.ReadWrite.Group Mettez à jour les onglets de cette équipe. Mettez à jour les onglets de cette équipe, sans utilisateur connecté. Non Non
TeamsTab.Delete.Group Supprimer les onglets de cette équipe. Supprimer les onglets de cette équipe, sans utilisateur connecté. Non Non
TeamMember.Read.Group Lire les membres de cette équipe. Lisez les membres de cette équipe, sans utilisateur connecté. Non Non
Member.Read.Group Lisez les membres de ce groupe. Lire les membres de ce groupe, sans utilisateur connecté. Non Non
Owner.Read.Group Lisez les propriétaires de ce groupe. Lire les propriétaires de ce groupe, sans utilisateur connecté. Non Non
File.Read.Group Lire les fichiers et les dossiers de cette équipe. Support limité
(Aperçu) Lire les fichiers et les dossiers de cette équipe sans utilisateur connecté.
Non Non
TeamsActivity.Send.Group Envoyer des notifications de flux d’activités aux utilisateurs de cette équipe. Permet à l’application de créer des notifications dans les flux d’activités de travail d’équipe des utilisateurs de cette équipe, sans utilisateurs. Non Non

Autorisations de paramètres Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Accéder en lecture aux noms et les descriptions des équipes Accéder en lecture aux noms et les descriptions des équipes au nom de l’utilisateur connecté. Non Non
TeamSettings.Read.All Accéder en lecture aux paramètres des équipes Accéder en lecture aux paramètres de toutes les équipes au nom de l’utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Lire et modifier les paramètres des équipes. Lire et modifier les paramètres de toutes les équipes au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Team.ReadBasic.All Obtenir la liste de toutes les équipes. Obtenir la liste de toutes les équipes, sans utilisateur connecté. Oui Non
TeamSettings.Read.All Accéder en lecture à tous les paramètres des équipes Accéder en lecture aux paramètres de cette équipe, sans utilisateur connecté. Oui Non
TeamSettings.ReadWrite.All Accéder en lecture et en modification à tous les paramètres des équipes Accéder en lecture et en modification à tous les paramètres de toutes les équipes sans utilisateur connecté. Oui Non

Autorisations de l’onglet Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsTab.Read.All Accéder en lecture aux onglets dans Microsoft Teams. Autorise une application à lire les applications Teams installées pour l’utilisateur connecté, et dans toutes les équipes dont l’utilisateur est membre. Ne permet pas la lecture de paramètres spécifiques d’une application. Oui Non
TeamsTab.ReadWrite.All Accéder en lecture et en écriture aux onglets dans Microsoft Teams. Autorise l’application à lire, installer, mettre à niveau, et désinstaller les applications Teams, pour le compte de l’utilisateur connecté, ainsi que pour les équipes dont l’utilisateur est membre. Ne permet de lire ou d’écrire les paramètres spécifiques d’une application. Oui Non
TeamsTab.Create Créer des onglets dans Microsoft Teams. Permet à l'application de créer des onglets dans une équipe Microsoft Teams, au nom de l’utilisateur connecté. Vous n’avez donc pas la possibilité de lire, modifier ou de supprimer des onglets après leur création, ou d’autoriser l’accès au contenu à l’intérieur des onglets. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamsTab.Read.All Accéder en lecture aux onglets dans Microsoft Teams. Lire les noms et paramètres des onglets d'une équipe Microsoft Teams, sans utilisateur connecté. Cela ne donne pas la possibilité d’accéder au contenu à l’intérieur des onglets. Oui Non
TeamsTab.ReadWrite.All Accéder en lecture et en écriture aux onglets dans Microsoft Teams. Lire et écrire des onglets dans une équipe Microsoft Teams, sans utilisateur connecté. Cela ne donne pas la possibilité d’accéder au contenu à l’intérieur des onglets. Oui Non
TeamsTab.Create Créer des onglets dans Microsoft Teams. Permet à l'application de créer des onglets dans une équipe Microsoft Teams, sans utilisateur connecté. Vous n’avez donc pas la possibilité de lire, modifier ou de supprimer des onglets après leur création, ou d’autoriser l’accès au contenu à l’intérieur des onglets. Oui Non

Autorisations de balise Teams

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamworkTag.ReadWrite Balises de lecture et d’écriture dans Microsoft Teams. Permet à l’application de lire et d’écrire des balises dans Teams, au nom de l’utilisateur connecté. Oui Non
TeamworkTag.Read Balises de lecture dans Microsoft Teams. Permet à l’application de lire les balises Teams, au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
TeamworkTag.ReadWrite.All Balises de lecture et d’écriture dans Microsoft Teams. Permet à l’application de lire et d’écrire des balises dans Teams sans utilisateur connecté. Oui Non
TeamworkTag.Read.All Balises de lecture dans Microsoft Teams. Permet à l’application de lire des balises dans Teams sans utilisateur connecté Oui Non

Autorisations de conditions d’utilisation

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Agreement.Read.All Lire toutes les conditions d’utilisation Permet à l’application de lire les conditions d’utilisation au nom de l’utilisateur connecté. Oui Non
Agreement.ReadWrite.All Lire et écrire toutes les conditions d’utilisation Permet à l’application de lire et d’écrire les conditions d’utilisation au nom de l’utilisateur connecté. Oui Non
AgreementAcceptance.Read Lire les statuts d’acceptation des conditions d’utilisation Permet à l’application de lire les statuts d’acceptation des conditions d’utilisation au nom de l’utilisateur connecté. Oui Non
AgreementAcceptance.Read.All Lire les statuts d’acceptation des conditions d’utilisation accessibles par l’utilisateur Permet à l’application de lire les statuts d’acceptation des conditions d’utilisation au nom de l’utilisateur connecté. Oui Non

Remarques

Toutes les autorisations ci-dessus sont valides uniquement pour les comptes professionnels ou scolaires.

Pour qu’une application puisse lire ou écrire tous les contrats ou acceptations de contrats avec des autorisations déléguées, l’utilisateur connecté doit disposer du rôle Administrateur général, Administrateur de l’accès conditionnel ou Administrateur de la sécurité. Pour plus d’informations sur les rôles d’administrateur, consultez Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Déléguée

Les utilisations suivantes sont valides pour les autorisations déléguées :

  • Agreement.Read.All : lire toutes les conditions d’utilisation (GET /beta/agreements)
  • Agreement.ReadWrite.All : lire et écrire toutes les conditions d’utilisation (POST /beta/agreements)
  • AgreementAcceptance.Read : lire les statuts d’acceptation des conditions d’utilisation (GET /beta/me/agreementAcceptances)

Pour des scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux Scénarios d’autorisation.


Autorisations d’évaluation des menaces

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
ThreatAssessment.ReadWrite.All Lire et écrire des demandes d’évaluation des menaces Permet à une application de lire les demandes d’évaluation des menaces de votre organisation à la place de l’utilisateur connecté. Permet également à l’application de créer des demandes pour évaluer les menaces reçues par votre organisation à la place de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
ThreatAssessment.Read.All Lire les demandes d’évaluation des menaces Permet à une application de lire les demandes d’évaluation des menaces de votre organisation sans utilisateur connecté. Oui

Remarques

Les autorisations d’évaluation sont valides uniquement dans les comptes professionnels ou scolaires.

Exemple d’utilisation

Déléguée

  • ThreatAssessment.ReadWrite.All : lire et écrire les demandes d’évaluation des menaces (POST /informationProtection/threatAssessmentRequests)

Application

  • ThreatAssessment.Read.All : lire les demandes d’évaluation des menaces (GET /informationProtection/threatAssessmentRequests)

Autorisations d’impression universelle

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
Printer.Create Enregistrer des imprimantes Permet à l’application de créer (enregistrer) des imprimantes au nom de l’utilisateur connecté. Oui Non
Printer.FullControl.All Enregistrer, lire, mettre à jour et désinscrire des imprimantes Permet à l'application de créer (enregistrer), lire, mettre à jour, et supprimer (désinscrire) les imprimantes au nom de l’utilisateur connecté. Oui Non
Printer.Read.All Lire des imprimantes Permet à l’application de lire les imprimantes au nom de l’utilisateur connecté. Oui Non
Printer.ReadWrite.All Lire et mettre à jour des imprimantes Permet à l’application de lire et de mettre à jour les imprimantes au nom de l’utilisateur connecté. N’autorise pas la création (inscription) ou la suppression d’imprimantes (désinscription). Oui Non
PrinterShare.ReadBasic.All Lire les informations de base sur les partages d’imprimantes Autorise l’application à lire des informations de base sur les partages d’imprimantes au nom de l’utilisateur connecté. Ne permet pas de lire des informations de contrôle d’accès. Non Non
PrinterShare.Read.All Lire des partages d’imprimantes Permet à l’application de lire les partages d’imprimantes au nom de l’utilisateur connecté. Non Non
PrinterShare.ReadWrite.All Lire et écrire des partages d’imprimantes Permet à l’application de lire et de mettre à jour les partages d’imprimantes au nom de l’utilisateur connecté. Oui Non
PrintJob.Create Créer des tâches d’impression Permet à l’application de créer des tâches d’impression au nom de l’utilisateur connecté et de charger le contenu d’un document dans les tâches d’impression créées par l’utilisateur connecté. Non Non
PrintJob.Read Lire les tâches d’impression de l’utilisateur Permet à l’application de lire les métadonnées et le contenu du document des tâches d’impression créées par l’utilisateur connecté. Non Non
PrintJob.Read.All Lire les tâches d’impression Permet à l’application de lire les métadonnées et le contenu du document des tâches d’impression au nom de l’utilisateur connecté. Oui Non
PrintJob.ReadBasic Lire des informations de base sur les tâches d’impression de l’utilisateur Permet à l’application de lire les métadonnées des tâches d’impression créées par l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Non Non
PrintJob.ReadBasic.All Lire des informations de base sur les tâches d’impression Permet à l’application de lire les métadonnées des tâches d’impression au nom de l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui Non
PrintJob.ReadWrite Lire et écrire des tâches d’impression de l’utilisateur Permet à l’application de lire et de mettre à jour les métadonnées et le contenu du document des tâches d’impression créées par l’utilisateur connecté. Non Non
PrintJob.ReadWrite.All Lire et écrire des tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées et le contenu du document des tâches d’impression au nom de l’utilisateur connecté. Oui Non
PrintJob.ReadWriteBasic Lire et écrire des informations de base sur les tâches d’impression d’un utilisateur Permet à l’application de lire et de mettre à jour les métadonnées des tâches d’impression créées par l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Non Non
PrintJob.ReadWriteBasic.All Lire et écrire des informations de base sur les tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées des tâches d’impression au nom de l’utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui Non
PrintConnector.Read.All Lire les connecteurs Permet à l’application de lire les connecteurs de la part de l’utilisateur connecté. Oui Non
PrintConnector.ReadWrite.All Lire et écrire des connecteurs d’impression Permet à l’application de lire et d’écrire des connecteurs d’impression au nom de l’utilisateur connecté. Oui Non
PrintSettings.Read.All Lire les paramètres d’impression à l’échelle du client Permet à l’application de lire les paramètres d’impression de la part de l’utilisateur signé. Oui Non
PrintSettings.ReadWrite.All Lire et écrire des paramètres d’impression à l’échelle du client Permet à l’application de lire et de mettre à jour les paramètres d’impression de la part de l’utilisateur inscrit. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
Printer.Read.All Lire des imprimantes Permet à l'application de lire les imprimantes sans utilisateur connecté. Oui
Printer.ReadWrite.All Lire et mettre à jour des imprimantes Permet à l'application de lire et de mettre à jour les imprimantes sans utilisateur connecté. N’autorise pas la création (inscription) ou la suppression d’imprimantes (désinscription). Oui
PrintJob.Manage.All Effectuer des opérations avancées sur des tâches d’impression Permet à l’application d’effectuer des opérations avancées telles que la redirection d’une tâche d’impression vers une autre imprimante sans utilisateur connecté. Permet également à l’application de lire et de mettre à jour les métadonnées des tâches d’impression. Oui
PrintJob.Read.All Lire les tâches d’impression Permet à l’application de lire les métadonnées et le contenu du document des tâches d’impression sans utilisateur connecté. Oui
PrintJob.ReadBasic.All Lire des informations de base pour les tâches d’impression Permet à l’application de lire les métadonnées des tâches d’impression sans utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui
PrintJob.ReadWrite.All Lire et écrire des tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées et le contenu du document des tâches d’impression sans utilisateur connecté. Oui
PrintJob.ReadWriteBasic.All Lire et écrire des informations de base pour les tâches d’impression Permet à l’application de lire et de mettre à jour les métadonnées des tâches d’impression sans utilisateur connecté. Ne permet pas l'accès au contenu des documents de tâche d’impression. Oui
PrintTaskDefinition.ReadWrite.All Lire, écrire et mettre à jour les définitions de tâche d’impression Permet à l'application de lire et de mettre à jour les définitions des tâches d'impression sans utilisateur connecté. Oui

Remarques

  • Pour utiliser le service d’impression universel, le locataire ou l’utilisateur de l’application doit avoir un abonnement d’impression universelle actif, outre les autorisations précédemment répertoriées.

  • Certaines autorisations font la distinction entre les métadonnées de tâches d’impression et la charge utile. Les métadonnées décrivent la configuration d’une tâche d’impression (son nom et la configuration du document, par exemple, s’il doit être agrafé ou imprimé en couleur). La charge utile représente les données du document proprement dit (fichier PDF ou XPS à imprimer).

  • Les autorisations Toutes les tâches d’impression.* nécessitent également Printer.Read.All (ou une autorisation plus privilégiée), car les tâches d’impression sont stockées dans les imprimantes.

Exemple d’utilisation

Delegated

  • Printer.Read.All : obtenir la liste de toutes les imprimantes chez le client (GET /print/printers)
  • Printer.Read.All : obtenir la liste de toutes les tâches d’impression mises en file d’attente dans une imprimante (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All : supprimer (désinscrire) une imprimante (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All : mettre à jour les métadonnées (par exemple, l’état actuel) des tâches d’impression (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All : créer des tâches d’impression et y charger des données de document (POST /print/printers/{id}/jobs)

Application

  • Printer.Read.All : obtenir la liste de toutes les imprimantes chez le client (GET /print/printers)

Autorisations utilisateur

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
User.Read Activer la connexion et lire le profil utilisateur Permet aux utilisateurs de se connecter à l’application et permet à l’application de lire le profil des utilisateurs connectés. Elle permet également à l’application de lire les informations de base sur la société des utilisateurs connectés. Non Oui
User.ReadWrite Accéder en lecture et en écriture au profil utilisateur Permet à l’application de lire le profil complet de l’utilisateur connecté. Elle permet également à l’application de mettre à jour les informations de profil de l’utilisateur connecté à sa place. Non Oui
User.ReadBasic.All Lire les profils de base de tous les utilisateurs Permet à l’application de lire un ensemble de base de propriétés de profil d’autres utilisateurs de votre organisation au nom de l’utilisateur connecté. Cela inclut le nom d’affichage, le nom et prénom, l’adresse e-mail, les extensions ouvertes et la photo. Permet également à l’application de lire le profil complet de l’utilisateur connecté. Non Non
User.Read.All Lire les profils complets de tous les utilisateurs Permet à l’application de lire l’ensemble complet des propriétés de profil, les rapports et les responsables d’autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. Oui Non
User.ReadWrite.All Lire et écrire les profils complets de tous les utilisateurs Permet à l’application de lire et d’écrire l’ensemble complet des propriétés de profil, les rapports et les responsables d’autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. Permet également à l’application de créer et de supprimer des utilisateurs, ainsi que de réinitialiser les mots de passe au nom de l’utilisateur connecté. Oui Non
User.Invite.All Inviter des utilisateurs à rejoindre l’organisation Permet à l’application d’inviter des utilisateurs à rejoindre votre organisation au nom de l’utilisateur connecté. Oui Non
User.Export.All Exporter les données des utilisateurs Permet à l’application d’exporter les données de l’utilisateur d’une organisation, lorsque l’opération est effectuée par un administrateur de la société. Oui Non
User.ManageIdentities.All Gérer les identités des utilisateurs Autorise une application à lire, de mettre à jour et supprimer les identités associées au compte d’un utilisateur auquel l’utilisateur connecté a accès. Cela contrôle les identités pouvant servir à la connexion de vos utilisateurs. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
User.Read.All Lire les profils complets de tous les utilisateurs Permet à l’application de lire l’ensemble complet des propriétés de profil, l’appartenance à un groupe, les rapports et les responsables d’autres utilisateurs de votre organisation, sans utilisateur connecté. Oui
User.ReadWrite.All Lire et écrire les profils complets de tous les utilisateurs Permet à l’application de lire et d’écrire l’ensemble complet des propriétés de profil, l’appartenance à un groupe, les rapports et les responsables d’autres utilisateurs de votre organisation, sans utilisateur connecté. Permet également à l’application de créer et de supprimer des utilisateurs non administrateurs. N’autorise pas la réinitialisation des mots de passe utilisateur. Oui
User.Invite.All Inviter des utilisateurs à rejoindre l’organisation Permet à l’application d’inviter des utilisateurs à rejoindre votre organisation sans qu’aucun utilisateur ne soit connecté. Oui
User.Export.All Exporter les données des utilisateurs Permet à l’application d’exporter les données de l’utilisateur d’une organisation, sans utilisateur connecté. Oui
User.ManageIdentities.All Gérer toutes les identités des utilisateurs Autorise une application à lire, mettre à jour et supprimer les identités associées au compte d'un utilisateur, sans utilisateur connecté. Cela contrôle les identités pouvant servir à la connexion des utilisateurs. Oui

Remarques

Avec l’autorisation User.Read, une application peut également lire les informations de base de l’entreprise de l’utilisateur connecté pour un compte scolaire ou professionnel via la ressource organisation. Les propriétés suivantes sont disponibles : id, displayName et verifiedDomains.

Pour les comptes professionnels ou scolaires, le profil complet inclut toutes les propriétés déclarées de la ressource Utilisateur. Au cours des lectures, seul un nombre limité de propriétés est renvoyé par défaut. Pour lire les propriétés qui ne se trouvent pas dans l’ensemble par défaut, utilisez $select. Les propriétés par défaut sont :

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

Les autorisations déléguées User.ReadWrite et User.Readwrite.All autorisent l’application à mettre à jour les propriétés de profil suivantes pour les comptes professionnels ou scolaires :

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • Photo
  • preferredName
  • responsibilities
  • schools
  • skills

Avec l’autorisation de l’application User.ReadWrite.All, l’application peut mettre à jour toutes les propriétés déclarées des comptes professionnels ou scolaires à l’exception de votre mot de passe.

Avec l’autorisation User.ReadWrite.All déléguée ou d’application, la mise à jour des businessPhone d’un autre utilisateur, mobilePhone ou otherMails est uniquement autorisée pour les utilisateurs qui ne sont pas administrateurs ou qui se voient attribuer l’un des rôles suivants : Lecteurs d’annuaire, Inviteur invité, lecteur Centre de messages et lecteur de rapports. Pour plus d’informations, consultez Administrateur du support technique (Mot de passe) dans rôles disponibles Azure AD.

Pour lire ou écrire des rapports directs (directReports) ou le responsable (manager) d’un compte scolaire ou professionnel, l’application doit avoir l’autorisation User.Read.All (lecture seule) ou User.ReadWrite.All.

L’autorisation User.ReadBasic.All limite l’accès de l’application à un ensemble limité de propriétés appelé profil de base. En effet, le profil complet peut contenir des informations sensibles concernant le répertoire. Le profil de base inclut uniquement les propriétés suivantes :

  • displayName
  • givenName
  • mail
  • photo
  • surname
  • userPrincipalName

Pour lire les appartenances aux groupes d’un utilisateur (memberOf), l’application doit avoir l’autorisation Group.Read.All ou Group.ReadWrite.All. Toutefois, si l’utilisateur a également une appartenance à un rôle d’annuaire ou à une unité administrative, l’application devra obtenir les autorisations effectives pour lire également ces ressources. Dans le cas contraire, Microsoft Graph renvoie une erreur. Cela signifie que l’application aura également besoin des autorisations du répertoire, et, pour les autorisations déléguées, l’utilisateur connecté devra également disposer des droits suffisants dans l’organisation pour accéder aux rôles d’annuaire et aux unités administratives.

Avec l’autorisation User.ManageIdentities.All déléguée ou d’application, il est possible de mettre à jour les identités (identities) d’un utilisateur. Cela inclut les identités fédérées (ou sociales) ou locales avec des noms de connexion par e-mail ou par nom.

Exemple d’utilisation

Déléguée

  • User.Read : Lire le profil complet de l’utilisateur connecté (GET /me).
  • User.ReadWrite : Mettre à jour la photo de l’utilisateur connecté (PUT /me/photo/$value).
  • User.ReadBasic.All : Rechercher tous les utilisateurs dont le nom commence par « David » (GET /users?$filter=startswith(displayName,'David')).
  • User.Read.All : Lire le responsable d’un utilisateur (GET /users/{id | userPrincipalName}/manager).

Application

  • User.Read.All : Lire tous les utilisateurs et toutes les relations au moyen de la requête delta (GET /beta/users/delta?$select=displayName,givenName,surname).
  • User.ReadWrite.All : Mettre à jour la photo d’un utilisateur dans l’organisation (PUT /users/{id | userPrincipalName}/photo/$value).

Pour les scénarios plus complexes impliquant plusieurs autorisations, reportez-vous aux scénarios d’autorisations.

Autorisations d’activité utilisateur

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
UserActivity.ReadWrite.CreatedByApp Lire et écrire l’activité de l’application dans le flux d’activités des utilisateurs Permet à l’application de lire et de signaler l’activité de l’utilisateur connecté dans l’application. Non Oui

Autorisations de l’application

Aucun.

Remarques

UserActivity.ReadWrite.CreatedByApp est valide pour les comptes Microsoft et les comptes professionnels ou scolaires.

La contrainte CreatedByApp associée à cette autorisation indique que le service appliquera un filtrage implicite aux résultats en fonction de l’identité de l’application appelante, soit l’ID d’application MSA soit un ensemble d’ID d’application configuré pour une identité d’application multiplateforme.

Exemple d’utilisation

Déléguée

  • UserActivity.ReadWrite.CreatedByApp: obtenez une liste des activités utilisateur uniques récentes en fonction des éléments d’historique associés publiés au cours du dernier jour. (GET /me/activities/recent).
  • UserActivity.ReadWrite.CreatedByApp: publier ou mettre à jour une activité utilisateur qui peut être reprise par l’utilisateur de l’application. (PUT /me/activities/%2Farticle%3F12345).
  • UserActivity.ReadWrite.CreatedByApp : publier ou mettre à jour un élément d’historique pour une activité utilisateur spécifiée afin de représenter la période d’engagement utilisateur. (PUT /me/activities/{id}/historyItems/{id}).
  • UserActivity.ReadWrite.CreatedByApp : supprimer une activité utilisateur en réponse à une demande initiée par l’utilisateur ou pour supprimer des données non valides.(DELETE /me/activities/{id}).
  • UserActivity.ReadWrite.CreatedByApp : supprimer un élément d’historique en réponse à une demande initiée par l’utilisateur ou pour supprimer des données non valides. (DELETE /me/activities/{id}/historyItems/{id}).

Autorisations des méthodes d’authentification des utilisateurs (aperçu)

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
UserAuthenticationMethod.Read (aperçu) Lire ses propres méthodes d'authentification Permet à l’application de lire les méthodes d’authentification de l’utilisateur connecté, y compris les numéros de téléphone et les paramètres d’application d’Authentificateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe de l'utilisateur et ne peut pas se connecter ou utiliser les moyens d'authentification de l'utilisateur connecté. Oui Non
UserAuthenticationMethod.Read.All (aperçu) Lecture des méthodes d'authentification de l'utilisateur Permet à l’application de lire les méthodes d’authentification de tous les utilisateurs de votre organisation auxquelles l’utilisateur connecté a accès. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui Non
UserAuthenticationMethod.ReadWrite (aperçu) Gérer ses propres méthodes d'authentification Permet à l’application de lire et d'écrire les méthodes d’authentification de l’utilisateur connecté, y compris les numéros de téléphone et les paramètres d’application d’Authentificateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe de l'utilisateur et ne peut pas se connecter ou utiliser les moyens d'authentification de l'utilisateur connecté. Oui Non
UserAuthenticationMethod.ReadWrite.All (aperçu) Gestion des méthodes d'authentification de l'utilisateur Permet à l’application de lire et écrire les méthodes d’authentification de tous les utilisateurs de votre organisation auxquelles l’utilisateur connecté a accès. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
UserAuthenticationMethod.Read.All (aperçu) Lecture des méthodes d'authentification de l'utilisateur Permet à l’application de lire les méthodes d’authentification de tous les utilisateurs de votre organisation sans utilisateur connecté. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui
UserAuthenticationMethod.ReadWrite.All (aperçu) Gestion des méthodes d'authentification de l'utilisateur Permet à l’application de lire et écrire les méthodes d’authentification de tous les utilisateurs de votre organisation sans utilisateur connecté. Les méthodes d’authentification incluent des éléments tels que les numéros de téléphone et les paramètres d’application de l’Authentificateur d’un utilisateur. L'application ne peut pas lire des informations secrètes, telles que les mots de passe et ne peut pas se connecter ou utiliser des méthodes d'authentification. Oui

Remarques

Les autorisations d’une méthode d’authentification d’utilisateur sont utilisées pour gérer des méthodes d’authentification d’utilisateurs. Avec ces autorisations un utilisateur délégué ou une application peut enregistrer de nouvelles méthodes d’authentification d’un utilisateur, lire les méthodes d’authentification que l’utilisateur a inscrites, mettre à jour ces méthodes d’authentification, et les supprimer chez l’utilisateur.

Grâce à ces autorisations, toutes les méthodes d’authentification d’un utilisateur peuvent être lues et gérées :

  • Authentification principale (mot de passe)
  • Deuxième facteur de l'authentification multifacteur/MFA (numéros de téléphone)
  • Réinitialisation du mot de passe libre-service/SSPR (adresse e-mail)

Autorisations des mises à jour Windows

Autorisations déléguées

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise Compte Microsoft pris en charge
WindowsUpdates.ReadWrite.All Lire et écrire tous les paramètres de déploiement de Windows Update Permet à l’application de lire et d’écrire tous les paramètres de déploiement de Windows Update pour l’organisation au nom de l’utilisateur connecté. Oui Non

Autorisations de l’application

Autorisation Chaîne d’affichage Description Autorisation de l’administrateur requise
WindowsUpdates.ReadWrite.All Lire et écrire tous les paramètres de déploiement de Windows Update Permet à l’application de lire et d’écrire tous les paramètres de déploiement de Windows Update pour l’organisation sans un utilisateur connecté. Oui

Remarques

Toutes les autorisations ci-dessus sont valides uniquement pour les comptes professionnels ou scolaires.

Pour qu’une application puisse lire ou écrire tous les paramètres de déploiement de Windows Update avec des autorisations déléguées, l’utilisateur connecté doit disposer du rôle Administrateur général, Administrateur Intune ou Administrateur de déploiement Windows Update. Pour plus d’informations sur les rôles d’administrateur, consultez Attribution de rôles d’administrateur dans Azure Active Directory.

Exemple d’utilisation

Déléguée

  • WindowsUpdates.ReadWrite.All: Créer un déploiement (POST /beta/admin/windows/updates/deployments).

Application

  • WindowsUpdates.ReadWrite.All: Créer un déploiement (POST /beta/admin/windows/updates/deployments).

Scénarios d’autorisation

Cette section présente quelques scénarios courants qui ciblent les ressources utilisateur et groupe dans une organisation. Les tableaux indiquent les autorisations dont une application a besoin pour effectuer des opérations spécifiques requises par le scénario. Notez que, dans certains cas, la possibilité pour l’application d’effectuer des opérations spécifiques dépend de s’il s’agit d’une autorisation de l’application ou d’une autorisation déléguée. Dans le cas d’autorisations déléguées, les autorisations effectives de l’application dépendent également des droits de l’utilisateur connecté au sein de l’organisation. Pour plus d’informations, reportez-vous à la rubrique Autorisations déléguées, autorisations de l’application et autorisations effectives.

Scénarios d’accès relatifs aux ressources de l’utilisateur

Tâches de l’application impliquant l’utilisateur Autorisations requises Chaînes d’autorisation
L’application souhaite lire les informations de base d’autres utilisateurs (nom d’affichage et image uniquement), par exemple pour les afficher dans une expérience de choix de personnes User.ReadBasic.All Lire les profils de base de tous les utilisateurs
L’application souhaite lire le profil utilisateur complet pour l’utilisateur connecté (voir rapports directs, responsable, etc.) User.Read Activer la connexion et lire le profil utilisateur
L’application souhaite lire le profil utilisateur complet de tous les utilisateurs User.Read.All Lire les profils complets de tous les utilisateurs
L’application souhaite lire les fichiers, ainsi que les informations de messagerie et de calendrier de l’utilisateur connecté User.Read, Files.Read, Mail.Read, Calendars.Read Activer la connexion et lire le profil utilisateur, Accéder en lecture aux fichiers utilisateur, Accéder en lecture aux courriers électroniques utilisateur, Accéder en lecture aux calendriers utilisateur
L’application souhaite lire les fichiers (my) de l’utilisateur connecté et les fichiers que d’autres utilisateurs ont partagés avec l’utilisateur connecté (me). User.Read, Files.Read, Sites.Read.All Activer la connexion et lire le profil utilisateur, Accéder en lecture aux fichiers utilisateur, Lire des éléments dans toutes les collections de sites
L’application souhaite lire et écrire le profil complet de l’utilisateur connecté User.ReadWrite Accéder en lecture et en écriture au profil utilisateur
L’application souhaite lire et écrire le profil complet de tous les utilisateurs User.ReadWrite.All Lire et écrire les profils complets de tous les utilisateurs
L’application souhaite lire et écrire les fichiers, ainsi que les informations de messagerie et de calendrier de l’utilisateur connecté User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite Accéder en lecture et en écriture au profil utilisateur, Accéder en lecture et en écriture au profil utilisateur, Accéder en lecture et en écriture aux courriers électroniques utilisateur, Avoir un accès total à des calendriers utilisateur
L’application souhaite envoyer une demande d’opération de stratégie de données pour exporter les données personnelles d’un utilisateur User.Export.All Exporter les données personnelles d’un utilisateur.

Scénarios d’accès relatifs aux ressource du groupe

Tâches de l’application impliquant le groupe Autorisations requises Chaînes d’autorisation
L’application souhaite lire les informations du groupe de base (nom d’affichage et image uniquement), par exemple pour les afficher dans une expérience de choix de groupes Group.Read.All Accéder en lecture à tous les groupes
L'application veut lire tout le contenu de tous les groupes Microsoft 365, y compris les fichiers et les conversations. Elle doit également afficher les membres du groupe, être en mesure de mettre à jour les membres du groupe (si propriétaire). Group.Read.All Lire des éléments dans toutes les collections de sites, Lire tous les groupes
L'application veut lire et écrire tout le contenu de tous les groupes Microsoft 365, y compris les fichiers et les conversations. Elle doit également afficher les membres du groupe, être en mesure de mettre à jour les membres du groupe (si propriétaire). Group.ReadWrite.All, Sites.ReadWrite.All Lire et écrire tous les groupes, Modifier ou supprimer des éléments dans toutes les collections de sites
L'application veut découvrir (trouver) un groupe Microsoft 365. Elle permet à l'utilisateur de rechercher un groupe particulier et d'en choisir un dans la liste énumérée pour permettre à l'utilisateur de rejoindre le groupe. Group.ReadWrite.All Lire et écrire tous les groupes
L’application souhaite créer un groupe via AAD Graph Group.ReadWrite.All Lire et écrire tous les groupes

Toutes les autorisations et ID

Autorisation Type ID
AccessReview.Read.All Application d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.Read.All Déléguée ebfcd32b-baseb-40f4-a14b-42706e83bd28
AccessReview.ReadWrite.All Application ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.All Delegated e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.Membership Application 18228521-a591-40f1-b215-5fad4488c117
AccessReview.ReadWrite.Membership Delegated 5af8c3f5-baca-439a-97b0-ea58a435e269
AdministrativeUnit.Read.All Application 134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.Read.All Déléguée 3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.ReadWrite.All Application 5eb59dd3-1da2-4329-8733-9dabdc435916
AdministrativeUnit.ReadWrite.All Déléguée 7b8a2d34-6b3f-4542-a343-54651608ad81
Agreement.Read.All Application 2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.Read.All Déléguée af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.ReadWrite.All Application c9090d00-6101-42f0-a729-c41074260d47
Agreement.ReadWrite.All Delegated ef4b5d93-3104-4664-9053-a5c49ab44218
AgreementAcceptance.Read Déléguée 0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All Application d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
AgreementAcceptance.Read.All Delegated a66a5341-e66e-4897-9d52-c2df58c2bfb9
Analytics.Read Delegated e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All Application b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.Read.All Delegated 1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.ReadWrite.All Application 1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
APIConnectors.ReadWrite.All Delegated c67b52c5-7c69-48b6-9d48-7b3af3ded914
AppCatalog.Read.All Application e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.Read.All Déléguée 88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.ReadWrite.All Application dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.ReadWrite.All Déléguée 1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.Submit Delegated 3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All Application 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.Read.All Delegated c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.ReadWrite.All Application 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.All Déléguée bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.OwnedBy Application 18a4783c-866b-4cc7-a460-3d5e5662c884
AppRoleAssignment.ReadWrite.All Application 06b708a9-e830-4db3-a914-8e69da51d44f
AppRoleAssignment.ReadWrite.All Déléguée 84bccea3-f856-4a8a-967b-dbe0a3d53a64
Approval.Read.All Delegated 1196552e-b226-4363-b01e-b8901fe10a11
Approval.ReadWrite.All Déléguée 1d3d0bc7-4b3a-427a-ae9f-6de4e1edc95f
AttackSimulation.Read.All Application 93283d0a-6322-4fa8-966b-8c121624760d
AttackSimulation.Read.All Déléguée 104a7a4b-ca76-4677-b7e7-2f4bc482f381
AuditLog.Read.All Application b0afded3-3588-46d8-8b3d-9842eff778da
AuditLog.Read.All Delegated e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuthenticationContext.Read.All Application 381f742f-e1f8-4309-b4ab-e3d91ae4c5c1
AuthenticationContext.Read.All Déléguée 57b030f1-8c35-469c-b0d9-e4a077debe70
AuthenticationContext.ReadWrite.All Application a88eef72-fed0-4bf7-a2a9-f19df33f8b83
AuthenticationContext.ReadWrite.All Déléguée ba6d575a-1344-4516-b777-1404f5593057
BitlockerKey.Read.All Application 57f1cf28-c0c4-4ec3-9a30-19a2eaaf2f6e
BitlockerKey.Read.All Delegated b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.ReadBasic.All Application f690d423-6b29-4d04-98c6-694c42282419
BitlockerKey.ReadBasic.All Delegated 5a107bfc-4f00-4e1a-b67e-66451267bc68
Bookings.Manage.All Delegated 7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All Application 6e98f277-b046-4193-a4f2-6bf6a78cd491
Bookings.Read.All Déléguée 33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All Delegated 948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All Application 9769393e-5a9f-4302-9e3d-7e018ecb64a7
BookingsAppointment.ReadWrite.All Delegated 02a5a114-36a6-46ff-a102-954d89d9ab02
Calendars.Read Application 798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read Déléguée 465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read.Shared Déléguée 2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadWrite Application ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite Déléguée 1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite.Shared Delegated 12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All Application a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All Application 45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All Application a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All Application 284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All Application 4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All Application f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallasGuest.All Application fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create Application f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Create Déléguée 101147cf-4178-4455-9d58-02b5c164e759
Channel.Delete.All Application 6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.Delete.All Déléguée cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.ReadBasic.All Application 59a6b24b-4225-4393-8165-ebaec5f55d7a
Channel.ReadBasic.All Delegated 9d8982ae-4365-4f57-95e9-d6032a4c0b87
ChannelMember.Read.All Application 3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.Read.All Delegated 2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.ReadWrite.All Application 35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMember.ReadWrite.All Déléguée 0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMessage.Edit Déléguée 2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All Application 7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Read.All Déléguée 767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.ReadWrite Déléguée 5922d31f-46c8-4404-9eaf-2117e390a8a4
ChannelMessage.Send Déléguée ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All Application 4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All Application c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.Read.All Delegated 233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.ReadWrite.All Application 243cded2-bd16-4fd6-a953-ff8177894c3d
ChannelSettings.ReadWrite.All Delegated d649fb7c-72b4-4eec-b2b4-b15acf79e378
Chat.Create Application d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Create Delegated 38826093-1258-4dea-98f0-00003be2b8d0
Chat.Read Delegated f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All Application 6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.ReadBasic Déléguée 9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All Application b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadWrite Delegated 9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All Application 294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.UpdatePolicyViolation.All Application 7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read Delegated c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All Application a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.ReadWrite Delegated dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All Application 57257249-34ce-4810-a8a2-a03adf0c5693
ChatMessage.Read Delegated bdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All Application b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send Delegated 116b7235-7cc6-461e-b163-8e55691d839e
CloudPC.Read.All Application a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.Read.All Déléguée 5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC.ReadWrite.All Application 3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
CloudPC.ReadWrite.All Déléguée 9d77138f-f0e2-47ba-ab33-cd246c8b79d1
ConsentRequest.Read.All Application 1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.Read.All Delegated f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.ReadWrite.All Application 9f1b81a7-0223-4428-bfa4-0bcb5535f27d
ConsentRequest.ReadWrite.All Delegated 497d9dfa-3bd1-481a-baab-90895e54568c
Contacts.Read Application 089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read Déléguée ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read.Shared Déléguée 242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite Application 6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite Déléguée d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite.Shared Delegated afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All Application cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantInformation.ReadBasic.All Delegated 81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantUserProfileSharing.Read Delegated cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All Application 8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.Read.All Delegated 759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.ReadWrite Delegated eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All Application 306785c5-c09b-4ba0-a4ee-023f3da165cb
CrossTenantUserProfileSharing.ReadWrite.All Delegated 64dfa325-cbf8-48e3-938d-51224a0cac01
CustomAuthenticationExtension.Read.All Application 88bb2658-5d9e-454f-aacd-a3933e079526
CustomAuthenticationExtension.Read.All Delegated b2052569-c98c-4f36-a5fb-43e5c111e6d0
CustomAuthenticationExtension.ReadWrite.All Application c2667967-7050-4e7e-b059-4cbbb3811d03
CustomAuthenticationExtension.ReadWrite.All Déléguée 8dfcf82f-15d0-43b3-bc78-a958a13a5792
CustomAuthenticationExtension.Receive.Payload Application 214e810f-fda8-4fd7-a475-29461495eb00
CustomSecAttributeAssignment.Read.All Application 3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.Read.All Delegated b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.ReadWrite.All Application de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeAssignment.ReadWrite.All Delegated ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeDefinition.Read.All Application b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.Read.All Delegated ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.ReadWrite.All Application 12338004-21f4-4896-bf5e-b75dfaf1016d
CustomSecAttributeDefinition.ReadWrite.All Déléguée 8b0160d4-5743-482b-bb27-efc0a485ca4a
DelegatedAdminRelationship.Read.All Application f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.Read.All Delegated 0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.ReadWrite.All Application cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedAdminRelationship.ReadWrite.All Déléguée 885f682f-a990-4bad-a642-36736a74b0c7
DelegatedPermissionGrant.ReadWrite.All Application 8e8e4742-1d95-4f68-9d56-6ee75648c72a
DelegatedPermissionGrant.ReadWrite.All Déléguée 41ce6ca6-6826-4807-84f1-1c82854f7ee5
Device.Command Déléguée bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read Déléguée 11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All Application 7438b122-aefc-4978-80ed-43db9fcc7715
Device.Read.All Delegated 951183d1-1a61-466f-a6d1-1fde911bfd95
Device.ReadWrite.All Application 1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceManagementApps.Read.All Application 7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.Read.All Déléguée 4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.ReadWrite.All Application 78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementApps.ReadWrite.All Delegated 7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementConfiguration.Read.All Application dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.Read.All Delegated f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.ReadWrite.All Application 9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementConfiguration.ReadWrite.All Déléguée 0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementManagedDevices.PrivilegedOperations.All Application 5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.PrivilegedOperations.All Delegated 3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.Read.All Application 2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.Read.All Déléguée 314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.ReadWrite.All Application 243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementManagedDevices.ReadWrite.All Delegated 44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementRBAC.Read.All Application 58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.Read.All Déléguée 49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.ReadWrite.All Application e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementRBAC.ReadWrite.All Déléguée 0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementServiceConfig.Read.All Application 06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.Read.All Delegated 8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.ReadWrite.All Application 5ac13192-7ace-4fcf-b828-1a26f28068ee
DeviceManagementServiceConfig.ReadWrite.All Delegated 662ed50a-ac44-4eef-ad86-62eed9be2a29
Directory.AccessAsUser.All Déléguée 0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All Application 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.Read.All Delegated 06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.ReadWrite.All Application 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.ReadWrite.All Déléguée c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.Write.Restricted Application f20584af-9290-4153-9280-ff8bb2c0ea7f
Directory.Write.Restricted Déléguée cba5390f-ed6a-4b7f-b657-0efc2210ed20
DirectoryRecommendations.Read.All Application ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.Read.All Delegated 34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.ReadWrite.All Application 0e9eea12-4f01-45f6-9b8d-3ea4c8144158
DirectoryRecommendations.ReadWrite.All Déléguée f37235e8-90a0-4189-93e2-e55b53867ccd
Domain.Read.All Application dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.Read.All Déléguée 2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.ReadWrite.All Application 7e05723c-0bb0-42da-be95-ae9f08a6e53c
Domain.ReadWrite.All Delegated 0b5d694c-a244-4bde-86e6-eb5cd07730fe
EAS.AccessAsUser.All Delegated ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All Application 50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.Read.All Déléguée 99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.ReadWrite.All Application b2620db1-3bf7-4c5b-9cb9-576d29eac736
eDiscovery.ReadWrite.All Delegated acb8f680-0834-4146-b69e-4ab1b39745ad
EduAdministration.Read Déléguée 8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All Application 7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite Delegated 63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All Application 9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read Delegated 091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All Application 4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic Delegated c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All Application 6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite Déléguée 2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All Application 0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic Déléguée 2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All Application f431cc63-a2de-48c4-8054-a34bc093af84
EduRoster.Read Delegated a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All Application e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic Delegated 5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All Application 0d412a8c-a06c-439f-b3ec-8abcf54d2f96
EduRoster.ReadWrite Delegated 359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All Application d1808e82-ce13-47af-ae0d-f9b254e6d58a
email Déléguée 64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All Application c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.Read.All Déléguée 5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.ReadWrite.All Application 9acd699f-1e81-4958-b001-93b1d2506e19
EntitlementManagement.ReadWrite.All Delegated ae7a573d-81d7-432b-ad44-4ed5c9d89038
EventListener.Read.All Application b7f6385c-6ce6-4639-a480-e23c42ed9784
EventListener.Read.All Déléguée f7dd3bed-5eec-48da-bc73-1c0ef50bc9a1
EventListener.ReadWrite.All Application 0edf5e9e-4ce8-468a-8432-d08631d18c43
EventListener.ReadWrite.All Déléguée d11625a6-fe21-4fc6-8d3d-063eba5525ad
EWS.AccessAsUser.All Déléguée 9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All Application 1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.Read.All Delegated a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.ReadWrite.All Application 34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.All Delegated bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.OwnedBy Application f431331c-49a6-499f-be1c-62af19c34a9d
ExternalConnection.ReadWrite.OwnedBy Déléguée 4082ad95-c812-4f02-be92-780c4c4f1830
ExternalItem.Read.All Application 7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.Read.All Déléguée 922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.ReadWrite.All Application 38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.All Delegated b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.OwnedBy Application 8116ae0f-55c2-452d-9944-d18420f5b2c8
ExternalItem.ReadWrite.OwnedBy Delegated 4367b9d7-cee7-4995-853c-a0bdfe95c1f9
Family.Read Déléguée 3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read Déléguée 10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All Application 01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.All Déléguée df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.Selected Delegated 5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite Delegated 5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All Application 75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.All Delegated 863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.AppFolder Delegated 8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected Delegated 17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All Déléguée f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create Application bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All Application 5b567255-7703-4780-807c-7be8301ae99b
Group.Read.All Déléguée 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.ReadWrite.All Application 62a82d76-70ea-41e2-9197-370581804d09
Group.ReadWrite.All Déléguée 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
GroupMember.Read.All Application 98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.Read.All Déléguée bc024368-1153-4739-b217-4326f2e966d0
GroupMember.ReadWrite.All Application dbaae8cf-10b5-4b86-a4a1-f871c94c6695
GroupMember.ReadWrite.All Delegated f81125ac-d3b7-4573-a3b2-7099cc39df9e
IdentityProvider.Read.All Application e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.Read.All Delegated 43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.ReadWrite.All Application 90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityProvider.ReadWrite.All Déléguée f13ce604-1677-429f-90bd-8a10b9f01325
IdentityRiskEvent.Read.All Application 6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.Read.All Delegated 8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.ReadWrite.All Application db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskEvent.ReadWrite.All Delegated 9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskyServicePrincipal.Read.All Application 607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.Read.All Delegated ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.ReadWrite.All Application cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyServicePrincipal.ReadWrite.All Déléguée bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyUser.Read.All Application dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.Read.All Déléguée d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.ReadWrite.All Application 656f6061-f9fe-4807-9708-6a2e0934df76
IdentityRiskyUser.ReadWrite.All Déléguée e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityUserFlow.Read.All Application 1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.Read.All Déléguée 2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.ReadWrite.All Application 65319a09-a2be-469d-8782-f6b07debf789
IdentityUserFlow.ReadWrite.All Delegated 281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IMAP.AccessAsUser.All Déléguée 652390e4-393a-48de-9484-05f9b1212954
InformationProtectionContent.Sign.All Application cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All Application 287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read Delegated 4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All Application 19da66cb-0fb0-4390-b071-ebc76a349482
LicenseAssignment.ReadWrite.All Application 5facf0c1-8979-4e95-abcf-ff3d079771c0
LicenseAssignment.ReadWrite.All Déléguée f55016cc-149c-447e-8f21-7cf3ec1d6350
Mail.Read Application 810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read Déléguée 570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read.Shared Delegated 7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic Application 6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic Déléguée a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic.All Application 693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadWrite Application e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite Delegated 024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite.Shared Déléguée 5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send Application b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send Delegated e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send.Shared Déléguée a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read Application 40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.Read Delegated 87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.ReadWrite Application 6931bccd-447a-43d1-b442-00a195474933
MailboxSettings.ReadWrite Delegated 818c620a-27a9-40bd-a6a5-d96f7d610b4b
ManagedTenants.Read.All Delegated dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All Delegated b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden Application 658aa5d8-239f-45c4-aa12-864f4fc7e490
Member.Read.Hidden Déléguée f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Notes.Create Déléguée 9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read Delegated 371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All Application 3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.Read.All Delegated dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.ReadWrite Delegated 615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All Application 0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.All Delegated 64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.CreatedByApp Déléguée ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp Déléguée 89497502-6e42-46a2-8cb2-427fd3df970a
offline_access Delegated 7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All Application df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingArtifact.Read.All Delegated 110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingRecording.Read.All Application a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetingRecording.Read.All Déléguée 190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetings.Read Déléguée 9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All Application c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite Déléguée a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All Application b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All Application a4a80d8d-d283-4bd8-8504-555ec3870630
OnlineMeetingTranscript.Read.All Delegated 30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnPremisesPublishingProfiles.ReadWrite.All Application 0b57845e-aa49-4e6f-8109-ce654fffa618
OnPremisesPublishingProfiles.ReadWrite.All Déléguée 8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
openid Delegated 37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All Application 498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.Read.All Delegated 4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.ReadWrite.All Application 292d869f-3427-49a8-9dab-8c70152b74e9
Organization.ReadWrite.All Déléguée 46ca0847-7e6b-426e-9775-ea810a948356
OrgContact.Read.All Application e1a88a34-94c4-4418-be12-c87b00e26bea
OrgContact.Read.All Déléguée 08432d1b-5911-483c-86df-7980af5cdee0
People.Read Déléguée ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All Application b528084d-ad10-4598-8b93-929746b4d7d6
People.Read.All Delegated b89f9189-71a5-4e70-b041-9887f0bc7e4a
Place.Read.All Application 913b9306-0ce1-42b8-9137-6a7df690a760
Place.Read.All Déléguée cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.ReadWrite.All Déléguée 4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All Application 246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.All Delegated 572fea84-0151-49b2-9301-11cb16974376
Policy.Read.ConditionalAccess Application 37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.ConditionalAccess Delegated 633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.PermissionGrant Application 9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.Read.PermissionGrant Déléguée 414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.ReadWrite.AccessReview Application 77c863fd-06c0-47ce-a7eb-49773e89d319
Policy.ReadWrite.AccessReview Déléguée 4f5bc9c8-ea54-4772-973a-9ca119cb0409
Policy.ReadWrite.ApplicationConfiguration Application be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.ApplicationConfiguration Déléguée b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.AuthenticationFlows Application 25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationFlows Delegated edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationMethod Application 29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.AuthenticationMethod Delegated 7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.Authorization Application fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.Authorization Delegated edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.ConditionalAccess Application 01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConditionalAccess Delegated ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConsentRequest Application 999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.ConsentRequest Déléguée 4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.CrossTenantAccess Application 338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.CrossTenantAccess Delegated 014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.DeviceConfiguration Déléguée 40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.FeatureRollout Application 2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.FeatureRollout Delegated 92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.MobilityManagement Déléguée a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant Application a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.PermissionGrant Déléguée 2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.TrustFramework Application 79a677f7-b79d-40d0-a36a-3e6f8688dd7a
Policy.ReadWrite.TrustFramework Delegated cefba324-1a70-4a6e-9c1d-fd670b7ae392
POP.AccessAsUser.All Delegated d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read Delegated 76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All Déléguée 9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite Delegated 8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All Application 83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All Déléguée d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All Déléguée 79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create Déléguée 90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All Delegated 93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All Application 9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.Read.All Déléguée 3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.ReadWrite.All Application f5b3f73d-6247-44df-a74c-866173fddab0
Printer.ReadWrite.All Delegated 89f66824-725f-4b8f-928e-e1c5258dc565
PrinterShare.Read.All Delegated ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All Déléguée 5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All Delegated 06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create Delegated 21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All Application 58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read Déléguée 248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All Application ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.Read.All Delegated afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.ReadBasic Delegated 6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All Application fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadBasic.All Delegated 04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadWrite Delegated b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All Application 5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWrite.All Déléguée 036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWriteBasic Delegated 6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All Application 57878358-37f4-4d3a-8c20-4816e0d457b1
PrintJob.ReadWriteBasic.All Déléguée 3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintSettings.Read.All Application b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.Read.All Déléguée 490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.ReadWrite.All Delegated 9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All Application 456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD Application 4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureAD Delegated b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureADGroup Application 01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureADGroup Déléguée d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureResources Application 5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.Read.AzureResources Déléguée 1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.ReadWrite.AzureAD Application 854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureAD Delegated 3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureADGroup Application 2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureADGroup Delegated 32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureResources Application 6f9d5abc-2db6-400b-a267-7de22a40fb87
PrivilegedAccess.ReadWrite.AzureResources Delegated a84a9652-ffd3-496e-a991-22ba5529156a
profil Delegated 14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All Application eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.Read.All Déléguée c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.ReadWrite.All Application 60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
ProgramControl.ReadWrite.All Déléguée 50fd364f-9d93-4ae1-b170-300e87cccf84
RecordsManagement.Read.All Application ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.Read.All Déléguée 07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.ReadWrite.All Application eb158f57-df43-4751-8b21-b8932adb3d34
RecordsManagement.ReadWrite.All Delegated f2833d75-a4e6-40ab-86d4-6dfe73c97605
Reports.Read.All Application 230c1aed-a721-4c5d-9cb4-a90514e508ef
Reports.Read.All Delegated 02e97553-ed7b-43d0-ab3c-f8bace0d040c
RoleAssignmentSchedule.Read.Directory Déléguée 344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory Delegated 8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory Déléguée eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory Delegated 62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All Application c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.All Delegated 48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.CloudPC Application 031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.CloudPC Delegated 9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.Directory Application 483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.Read.Directory Déléguée 741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.ReadWrite.CloudPC Application 274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.CloudPC Delegated 501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.Directory Application 9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagement.ReadWrite.Directory Delegated d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagementPolicy.Read.Directory Déléguée 3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.Directory Delegated 1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All Application 7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.Read.All Delegated nbf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.ReadWrite.All Application b7760610-0545-4e8a-9ec3-cce9e63db01c
Schedule.ReadWrite.All Delegated 63f27281-c9d9-4f29-94dd-6942f7f1feb0
SearchConfiguration.Read.All Application ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.Read.All Déléguée 7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.ReadWrite.All Application 0e778b85-fefa-466d-9eec-750569d92122
SearchConfiguration.ReadWrite.All Delegated b1a7d408-cab0-47d2-a2a5-a74a3733600d
SecurityActions.Read.All Application 5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.Read.All Delegated 1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.ReadWrite.All Application f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityActions.ReadWrite.All Delegated dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityAlert.Read.All Application 472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.Read.All Déléguée bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.ReadWrite.All Application ed4fca05-be46-441f-9803-1873825f8fdb
SecurityAlert.ReadWrite.All Déléguée 471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityEvents.Read.All Application bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.Read.All Déléguée 64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.ReadWrite.All Application d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityEvents.ReadWrite.All Déléguée 6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityIncident.Read.All Application 45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.Read.All Delegated b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.ReadWrite.All Application 34bf0e97-1971-4929-b999-9e2442d941d7
SecurityIncident.ReadWrite.All Delegated 128ca929-1a19-45e6-a3b8-435ec44a36ba
ServiceHealth.Read.All Application 79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceHealth.Read.All Delegated 55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceMessage.Read.All Application 1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessage.Read.All Delegated eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessageViewpoint.Write Déléguée 636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All Application 5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.Read.All Delegated 9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.ReadWrite.All Application 89c8469c-83ad-45f7-8ff2-6e3d4285709e
ServicePrincipalEndpoint.ReadWrite.All Delegated 7297d82c-9546-4aed-91df-3d4f0a9b3ff0
SharePointTenantSettings.Read.All Application 83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.Read.All Déléguée 2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.ReadWrite.All Application 19b94e34-907c-4f43-bde9-38b1909ed408
SharePointTenantSettings.ReadWrite.All Déléguée aa07f155-3612-49b8-a147-6c590df35536
ShortNotes.Read Delegated 50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All Application 0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite Déléguée 328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All Application 842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All Application a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.FullControl.All Déléguée 5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.Manage.All Application 0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Manage.All Déléguée 65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Read.All Application 332a536c-c7ef-4017-ab91-336970924f0d
Sites.Read.All Déléguée 205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.ReadWrite.All Application 9492366f-7969-46a4-8d15-ed1a20078fff
Sites.ReadWrite.All Déléguée 89fe6a52-be36-487e-b7d8-d061c450a026
Sites.Selected Application 883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send Delegated 258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All* Application ee1460f0-368b-4153-870a-4e1ca7e72c42
SubjectRightsRequest.Read.All* Delegated 9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All* Application 8387eaa4-1a3c-41f5-b261-f888138e6041
SubjectRightsRequest.ReadWrite.All* Déléguée 2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All Delegated 5f88184c-80bb-4d52-9ff2-757288b2e9b7
Tasks.Read Delegated f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All Application f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared Delegated 88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite Delegated 2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All Application 44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared Déléguée c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Create Application 23fc2474-f741-46ce-8465-674744c5c361
Team.Create Déléguée 7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.ReadBasic.All Application 2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
Team.ReadBasic.All Delegated 485be79e-c497-4b35-9400-0e3fa7f2a5d4
TeamMember.Read.All Application 660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.Read.All Déléguée 2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.ReadWrite.All Application 0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWrite.All Déléguée 4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWriteNonOwnerRole.All Application 4437522e-9a86-4a41-a7da-e380edd4a97d
TeamMember.ReadWriteNonOwnerRole.All Delegated 2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamsActivity.Read Delegated 0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All Application 70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send Application a267235f-af13-44dc-8385-c1dc93023186
TeamsActivity.Send Delegated 7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsAppInstallation.ReadForChat Déléguée bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All Application cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam Delegated 5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All Application 1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser Delegated c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All Application 9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteForChat Déléguée aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All Application 9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam Déléguée 2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All Application 5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser Déléguée 093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All Application 74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat Delegated 0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All Application 73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam Delegated 0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All Application 9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser Delegated 207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All Application 908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All Application 242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.Read.All Delegated 48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.ReadWrite.All Application bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamSettings.ReadWrite.All Delegated 39d65650-9d3e-4223-80db-a335590d027e
TeamsTab.Create Application 49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Create Déléguée a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Read.All Application 46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.Read.All Déléguée 59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.ReadWrite.All Application a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWrite.All Déléguée b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWriteForChat Delegated ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All Application fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam Delegated c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All Application 6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser Delegated c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All Application 425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat Déléguée 0c219d04-3abf-47f7-912d-5cca239e90e6
TeamsTab.ReadWriteSelfForChat.All Application 9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam Delegated f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All Application 91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser Delegated 395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All Application 3c42dec6-49e8-4a0a-b469-36cff0d9da93
Teamwork.Migrate.All Application dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkAppSettings.Read.All Application 475ebe88-f071-4bd7-af2b-642952bd4986
TeamworkAppSettings.ReadWrite.All Application ab5b445e-8f10-45f4-9c79-dd3f8062cc4e
TeamworkDevice.Read.All Application 0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.Read.All Déléguée b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.ReadWrite.All Application 79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkDevice.ReadWrite.All Déléguée ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkTag.Read Delegated 57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All Application b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite Delegated 539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All Application a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All Application ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.Read.All Déléguée 297f747b-0005-475b-8fef-c890f5152b38
TermStore.ReadWrite.All Application f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
TermStore.ReadWrite.All Delegated 6c37c71d-f50f-4bff-8fd3-8a41da390140
ThreatAssessment.Read.All Application f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All Delegated cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHouting.Read.All Application dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatHouting.Read.All Delegated b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatIndicators.Read.All Application 197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.Read.All Delegated 9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.ReadWrite.OwnedBy Application 21792b6c-c986-4ffc-85de-df9da54b52fa
ThreatIndicators.ReadWrite.OwnedBy Delegated 91e7d36d-022a-490f-a748-f8e011357b42
ThreatSubmission.Read Déléguée fd5353c6-26dd-449f-a565-c4e16b9fce78
ThreatSubmission.Read.All Application 86632667-cd15-4845-ad89-48a88e8412e1
ThreatSubmission.Read.All Déléguée 7083913a-4966-44b6-9886-c5822a5fd910
ThreatSubmission.ReadWrite Déléguée 68a3156e-46c9-443c-b85c-921397f082b5
ThreatSubmission.ReadWrite.All Application d72bdbf4-a59b-405c-8b04-5995895819ac
ThreatSubmission.ReadWrite.All Déléguée 8458e264-4eb9-4922-abe9-768d58f13c7f
ThreatSubmissionPolicy.ReadWrite.All Application 926a6798-b100-4a20-a22f-a4918f13951d
ThreatSubmissionPolicy.ReadWrite.All Déléguée 059e5840-5353-4c68-b1da-666a033fc5e8
TrustFrameworkKeySet.Read.All Application fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.Read.All Déléguée 7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.ReadWrite.All Application 4a771c9a-1cf2-4609-b88e-3d3e02d539cd
TrustFrameworkKeySet.ReadWrite.All Delegated 39244520-1e7d-4b4a-aee0-57c65826e427
UnifiedGroupMember.Read.AsGuest Déléguée 73e75199-7c3e-41bb-9357-167164dbb415
User.Export.All Application 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All Déléguée 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All Application 09850681-111b-4a89-9bed-3f2cae46d706
User.Invite.All Delegated 63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.ManageIdentities.All Application c529cfca-c91b-489c-af2b-d92990b66ce6
User.ManageIdentities.All Delegated 637d7bec-b31e-4deb-acc9-24275642a2c9
User.Read Delegated e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All Application df021288-bdef-4463-88db-98f22de89214
User.Read.All Delegated a154be20-db9c-4678-8ab7-66f6cc099a59
User.ReadBasic.All Delegated b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite Déléguée b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All Application 741f803b-c850-494e-b5df-cde7c675a1ca
User.ReadWrite.All Delegated 204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
UserActivity.ReadWrite.CreatedByApp Déléguée 47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read Delegated 1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All Application 38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.Read.All Déléguée aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.ReadWrite Déléguée 48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All Application 50483e42-d915-4231-9639-7fdb7fd190e5
UserAuthenticationMethod.ReadWrite.All Déléguée b7887744-6746-4312-813d-72daeaee7e2d
UserNotification.ReadWrite.CreatedByApp Application 4e774092-a092-48d1-90bd-baad67c7eb47
UserNotification.ReadWrite.CreatedByApp Déléguée 26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserShiftPreferences.Read.All Application de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All Application d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp Delegated 367492fc-594d-4972-a9b5-0d58c622c91c
WindowsUpdates.ReadWrite.All Application 7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WindowsUpdates.ReadWrite.All Delegated 11776c0c-6138-4db3-a668-ee621bea2555
WorkforceIntegration.Read.All Déléguée f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All Application 202bf709-e8e6-478e-bcfd-5d63c50b68e3
WorkforceIntegration.ReadWrite.All Déléguée 08c4b377-0d23-4a8b-be2a-23c1c1d88545