Azure AD Graph と Microsoft Graph のアクセス許可の違い

この記事は、アプリを移行するプロセスの API の違いを確認する手順 1 の一部です。

特定のシナリオの最小特権アクセス許可は、Azure AD Graph と Microsoft Graph で異なる場合があります。 アプリを移行して Microsoft Graph を呼び出す場合は、最小限の特権を維持するために、より狭い範囲の Microsoft Graph アクセス許可に移行する必要があるかどうかを分析します。

たとえば、Azure AD Graph では、アプリのみのシナリオでユーザーを読み取るには 、Directory.Read.All アクセス許可が必要です。 このアクセス許可を使用すると、アプリはテナント内のすべてのグループ、アプリ、および一部のポリシーを読み取ることもできます。 ただし、Microsoft Graph では、アプリのみのシナリオでユーザーを読み取るには、 User.Read.All アクセス許可のみが必要です。

アクセス許可文字列は、Azure AD Graph と Microsoft Graph の両方で同じである可能性があります。識別子は異なります。 ただし、Azure AD Graph と同様に、Microsoft Graph では、アプリケーションと委任されたアクセス許可の両方も公開されます。 アプリケーションのアクセス許可には常に管理者の同意が必要です。

この記事では、アプリの移行に役立つ Azure AD Graph と Microsoft Graph のアクセス許可のマッピングについて説明します。

Application.Read.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	c79f8feb-a9db-4090-85f9-90d820caa0eb
表示文字列	使用不可	アプリケーションを読み取る
同意管理必要ですか?	使用不可	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	3afa6a7d-9b1a-42eb-948e-1650a849e176	9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
表示文字列	すべてのアプリケーションを読み取る	すべてのアプリケーションを読み取る

---

Application.ReadWrite.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	bdfbf15f-ee85-4955-8675-146e8e5296b5
表示文字列	使用不可	すべてのアプリケーションの読み取りと書き込み
同意管理必要ですか?	使用不可	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	1cda74f2-2616-4834-b122-5cb1b07f8a59	1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
表示文字列	すべてのアプリケーションの読み取りと書き込み	すべてのアプリケーションを読み取る

---

Application.ReadWrite.OwnedBy

委任

該当なし。

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	1cda74f2-2616-4834-b122-5cb1b07f8a59	18a4783c-866b-4cc7-a460-3d5e5662c884
表示文字列	このアプリの作成または所有するアプリを管理	このアプリの作成または所有するアプリを管理

---

Device.ReadWrite.All

委任

該当なし。

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	1138cb37-bd11-4084-a2b7-9f71582aeddb	1138cb37-bd11-4084-a2b7-9f71582aeddb
表示文字列	デバイスの読み取りと書き込み	デバイスの読み取りと書き込み

---

Directory.Read.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	5778995a-e1bf-45b8-affa-663a9f3f4d04	06da0dbc-49e2-44d2-8312-53f166ab848a
表示文字列	ディレクトリ データの読み取り	ディレクトリ データの読み取り
同意管理必要ですか?	はい	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	5778995a-e1bf-45b8-affa-663a9f3f4d04	7ab1d382-f21e-4acd-a863-ba3e13f7da61
表示文字列	ディレクトリ データの読み取り	ディレクトリ データの読み取り

---

Directory.ReadWrite.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	78c8a3c8-a07e-4b9e-af1b-b5ccab50a175	c5366453-9fb0-48a5-a156-24f0c49a4b84
表示文字列	ディレクトリ データの読み取りおよび書き込み	ディレクトリ データの読み取りおよび書き込み
同意管理必要ですか?	はい	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	78c8a3c8-a07e-4b9e-af1b-b5ccab50a175	19dbc75e-c2e2-444c-a770-ec69d8559fc7
表示文字列	ディレクトリ データの読み取りおよび書き込み	ディレクトリ データの読み取りおよび書き込み

---

Directory.AccessAsUser.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	a42657d6-7f20-40e3-b6f0-cee03008a62a	0e263e50-5827-48a4-b97c-d940288653c7
表示文字列	サインインしているユーザーとしてのディレクトリへのアクセス	サインインしているユーザーとしてのディレクトリへのアクセス
同意管理必要ですか?	はい	はい

アプリケーション

該当なし。

---

Domain.ReadWrite.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	ドメインの読み取りと書き込み
表示文字列	使用不可	ドメインの読み取りと書き込み
同意管理必要ですか?	使用不可	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	abefe9df-d5a9-41c6-a60b-27b38eac3efb	7e05723c-0bb0-42da-be95-ae9f08a6e53c
表示文字列	ドメインの読み取りと書き込み	ドメインの読み取りと書き込み

---

Group.Read.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	6234d376-f627-4f0f-90e0-dff25c5211a3	5f8c59db-677d-491f-a6b8-5f174b11ec1d
表示文字列	すべてのグループの読み取り	すべてのグループの読み取り
同意管理必要ですか?	はい	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	5b567255-7703-4780-807c-7be8301ae99b
表示文字列	使用不可	すべてのグループの読み取り

---

Group.ReadWrite.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	970d6fa6-214a-4a9b-8513-08fad511e2fd	4e46008b-f24c-477d-8fff-7bb4ec7aafe0
表示文字列	すべてのグループの読み取りと書き込み	すべてのグループの読み取りと書き込み
同意管理必要ですか?	はい	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	62a82d76-70ea-41e2-9197-370581804d09
表示文字列	使用不可	すべてのグループの読み取りと書き込み

---

Member.Read.Hidden

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	2d05a661-f651-4d57-a595-489c91eda336	f6a3db3e-f7e8-4ed2-a414-557c8c9830be
表示文字列	非表示のメンバーシップの読み取り	非表示のメンバーシップの読み取り
同意管理必要ですか?	はい	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	9728c0c4-a06b-4e0e-8d1b-3d694e8ec207	658aa5d8-239f-45c4-aa12-864f4fc7e490
表示文字列	すべての非表示のメンバーシップの読み取り	すべての非表示のメンバーシップの読み取り

---

Policy.Read.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	572fea84-0151-49b2-9301-11cb16974376
表示文字列	使用不可	組織のポリシーの読み取り
同意管理必要ですか?	使用不可	はい

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	6c2d1b1d-a490-4178-ba6b-7efceda9129b	246dd0d5-5bd0-4def-940b-0421030a5b68
表示文字列	組織のポリシーの読み取り	組織のポリシーを読み取る

---

User.Read

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	311a71cc-e848-46a1-bdf8-97ff7156d8e6	e1fe6dd8-ba31-4d61-89e7-88639da4683d
表示文字列	サインインおよびユーザー プロファイルの読み取り	サインインおよびユーザー プロファイルの読み取り
同意管理必要ですか?	いいえ	いいえ

アプリケーション

該当なし。

---

User.ReadBasic.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	cba73afc-7f69-4d86-8450-4978e04ecd1a	b340eb25-3456-403f-be2f-af7a0d370277
表示文字列	すべてのユーザーの基本プロファイルの読み取り	すべてのユーザーの基本プロファイルの読み取り
同意管理必要ですか?	いいえ	いいえ

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	97235f07-e226-4f63-ace3-39588e11d3a1
表示文字列	使用不可	すべてのユーザーの基本プロファイルの読み取り

---

User.Read.All

委任

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	c582532d-9d9e-43bd-a97c-2667a28ce295	a154be20-db9c-4678-8ab7-66f6cc099a59
表示文字列	すべてのユーザーの完全なプロファイルの読み取り	すべてのユーザーの完全なプロファイルの読み取り
同意管理必要ですか?	管理者	管理者

アプリケーション

パラメーター	Azure AD Graph	Microsoft Graph
アクセス許可 ID	使用不可	df021288-bdef-4463-88db-98f22de89214
表示文字列	使用不可	すべてのユーザーの完全なプロファイルの読み取り

---

次の手順

移行チェックリストをもう一度確認する