Microsoft Graph のアクセス許可のリファレンス

アプリから Microsoft Graph のデータにアクセスする場合、ユーザーまたは管理者は、同意のプロセスを通してそのアプリに正しいアクセス許可を付与する必要があります。 このトピックでは、Microsoft Graph API の各主要なセットに関連付けられているアクセス許可について説明します。 また、アクセス許可の使用方法に関するガイダンスを提供しています。 すべてのアクセス許可の一意の識別子を見つけるには、[ すべてのアクセス許可と ID] に移動します。

注:

ベスト プラクティスとして、データにアクセスして正しく機能するためにアプリに必要な最小限のアクセス許可を要求します。 必要以上の権限でアクセス許可を要求することはセキュリティ対策としては不十分であり、ユーザーが同意を控え、アプリの使用に影響を与える可能性があります。

アクセス許可の詳細については、「認証と承認の基本」と、次に示すビデオを参照してください。

Microsoft Graph のアクセス許可名

Microsoft Graph のアクセス許可名は、resource.operation.constraint という単純なパターンに従います。 たとえば、 User.Read はサインインしているユーザーのプロファイルを読み取るためのアクセス許可を付与し、 User.ReadWrite はサインインしているユーザーのプロファイルの読み取りと変更のアクセス許可を付与し、 Mail.Send はサインインしたユーザーに代わってメールを送信するアクセス許可を付与します。

名前の constraint 要素は、アプリがディレクトリ内に持つ可能性のあるアクセス範囲を決定します。 現在Microsoft Graph では、次の制約がサポートされています。

  • すべての アクセス許可は、ディレクトリ内の指定した型のすべてのリソースに対してアプリが操作を実行するためのアクセス許可を付与します。 たとえば、 User.Read.All は、ディレクトリ内のすべてのユーザーのプロファイルを読み取るためのアプリ特権を付与する可能性があります。
  • Shared は、他のユーザーがサインインしているユーザーと共有しているリソースに対して操作を実行するためのアクセス許可をアプリに付与します。 この制約は、主にメール、予定表、連絡先などの Outlook リソースで使用されます。 たとえば、 Mail.Read.Shared は、サインインしているユーザーのメールボックス内のメールを読み取る権限と、組織内の他のユーザーがサインインしているユーザーと共有しているメールボックス内のメールを読み取る権限を付与します。
  • AppFolder は 、OneDrive の専用フォルダー内のファイルを読み書きするためのアクセス許可をアプリに付与します。 この制約は、ファイルのアクセス許可でのみ公開され、Microsoft アカウントでのみ有効です。
  • WhereInstalled は、関連付けられている Teams アプリケーションがインストールされているすべてのリソースに対して操作を実行するためのアクセス許可をアプリに付与します。 たとえば、 Chat.Read.WhereInstalled は 、関連付けられている Teams アプリケーションがインストールされているすべてのチャットのすべてのチャット メッセージを読み取るためのアプリ特権を付与します。 通常、アプリ (Azure AD アプリケーション) と Teams アプリケーションの間には 1 対 1 のマッピングがあります。 Teams アプリの Teams アプリ マニフェストwebApplicationInfo セクションでは、Azure AD アプリケーション ID を指定します。
  • 制約が指定されていない場合、アプリはサインインしているユーザーが所有するリソースに対する操作の実行に制限されます。 たとえば、 User.Read はサインインユーザーのプロファイルのみを読み取る権限を付与し、 Mail.Read はサインインしているユーザーのメールボックス内のメールのみを読み取る権限を付与します。

注:

委任されたシナリオでは、アプリのアクセスは、サインインしているユーザーの特権によっても制限されます。 これらの特権は、ユーザーに割り当てられたロールと、アクセスするデータとの関係によって決まります。 たとえば、サインインしているユーザーがファイルを表示するための適切な権限を持っていない場合、クライアント アプリは、委任されたアクセス許可 File.Read.All が付与されている場合でも、そのファイルを読み取ることもできません。

Microsoft アカウントと職場または学校アカウント

すべてのアクセス許可が、Microsoft アカウントと職場または学校アカウントの両方で有効になるわけではない点に注意してください。 各アクセス許可グループについては、「Microsoft アカウントのサポート」列を確認して、特定のアクセス許可が Microsoft アカウントと職場または学校アカウントのどちらで有効になるか、または両方で有効になるかを判断してください。

アプリごとの要求されたアクセス許可の制限

Azure AD は、クライアント アプリが要求および同意できるアクセス許可の数を制限します。 これらの制限は、アプリのマニフェストに表示されるアプリの signInAudience 値によって異なります。

signInAudience 許可されたユーザー アプリが要求できるアクセス許可の最大数 アプリが要求できる Microsoft Graph アクセス許可の最大数 1 つの要求で同意できるアクセス許可の最大数
AzureADMyOrg アプリが登録されている組織のユーザー 400 400 約 155 の委任されたアクセス許可と約 300 のアプリケーションのアクセス許可
AzureADMultipleOrgs Azure AD 組織のユーザー 400 400 約 155 の委任されたアクセス許可と約 300 のアプリケーションのアクセス許可
PersonalMicrosoftAccount コンシューマー ユーザー (Outlook.com、Live.com アカウントなど) 30 30 30
AzureADandPersonalMicrosoftAccount Azure AD 組織のコンシューマー ユーザーとユーザー 30 30 30

アクセス許可の提供状況

Azure portal の Microsoft Graph のアクセス許可は、プレビュー状態またはプライベート プレビュー状態であるいくつかのセットを除き、一般提供が開始されており、すべてのアプリで使用できる GA 状態です。 プレビュー状態のアクセス許可は、公開されていますが、変更される可能性があり、GA 状態には昇格されない可能性もあります。 プライベート プレビュー状態のアクセス許可は、公開されておらず、今後も公開されません。 プレビュー状態やプライベート プレビュー状態のアクセス許可は、製品版アプリでは使用しないでください。

組織のゲスト ユーザーに対するユーザーとグループの検索の制限事項

ユーザーとグループの検索機能を使用すると、/users または /groups リソース セットに対するクエリ (例: https://graph.microsoft.com/v1.0/users) を実行して、アプリで組織のディレクトリ内のユーザーまたはグループを検索できるようになります 管理者とユーザーは、どちらもこの機能を使用でますが、ゲスト ユーザーは使用できません。

注:

ゲスト ユーザーは、[外部 ID]> [外部コラボレーション設定]> ゲスト ユーザー アクセスで有効になっているメンバーと同じアクセス権を持ちます。 users API は、ゲスト トークンでも機能します。

サインインしているユーザーがゲスト ユーザーの場合、アプリに付与されたアクセス許可に応じて、特定のユーザーまたはグループのプロファイルを読み取ることはできますが (例: https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531)、複数のリソースを返す可能性のある /users または /groups リソース セットに対するクエリは実行できません。

適切なアクセス許可があるアプリは、ナビゲーション プロパティのリンク (たとえば、/users/{id}/directReports/groups/{id}/members) に従って取得するユーザーまたはグループのプロファイルの読み取りが可能になります。

アクセスできないメンバー オブジェクトについて、限定された情報が返される

グループなどのコンテナー オブジェクトは、ユーザーやデバイスなど、さまざまな型のメンバーをサポートしています。 アプリケーションがコンテナー オブジェクトのメンバーシップーに対してクエリを実行する際に、特定の型を読み取るためのアクセス許可を持っていない場合、その型のメンバーは返されますが、情報は限定的なものとなります。 アプリケーションは、応答 200 とオブジェクトのコレクションを受け取ります。 アプリケーションが読み取り権限を持っているオブジェクト型の完全な情報が返されます。 アプリケーションが読み取り権限を持っていないオブジェクト型の場合、オブジェクト型 と ID だけが返されます。

これは、(メンバー リンクだけでなく) directoryObject 型のすべてのリレーションシップに適用されます。 例として、/groups/{id}/members/users/{id}/memberOfme/ownedObjects などがあります。

たとえば、アプリケーションには、Microsoft Graph に対する User.Read.All アクセス許可と Group.Read.All アクセス許可が付与されているとします。 グループが作成され、そのグループにはユーザー、グループ、およびデバイスが含まれてます。 アプリケーションがリスト グループメンバーを呼び出します。 アプリケーションは、グループ内のユーザー オブジェクトとグループ オブジェクトにはアクセスできますが、デバイス オブジェクトにはアクセスできません。 応答では、ユーザー オブジェクトとグループ オブジェクトの選択したすべてのプロパティが返されます。 一方、デバイス オブジェクトの場合は、限定的な情報のみが返されます。 デバイスのデータ型とオブジェクト ID は返されますが、その他のすべてのプロパティの値は null となります。 アクセス許可が付与されていないアプリは、ID を使用して実際のオブジェクトを取得することはできません。

GET https://graph.microsoft.com/v1.0/groups/{id}/members?$select=id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl HTTP/1.1

JSON 応答は次のようになります。

{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#directoryObjects(id,displayName,description,createdDateTime,deletedDateTime,homepage,loginUrl)",
    "value":[
        {
            "@odata.type":"#microsoft.graph.user",
            "id":"69d035a3-29c9-469f-809d-d21a4ae69e65",
            "displayName":"Jane Dane",
            "createdDateTime":"2019-09-18T09:06:51Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.group",
            "id":"c43a7cc9-2d95-44b6-bf6a-6392e41949b4",
            "displayName":"Group 1",
            "description":null,
            "createdDateTime":"2019-10-24T01:34:35Z",
            "deletedDateTime":null
        },
        {
            "@odata.type":"#microsoft.graph.device",
            "id": "d282309e-f91d-43b6-badb-9e68aa4b4fc8",
            "accountEnabled":null,
            "deviceId":null,
            "displayName":null,
            "operatingSystem":null,
            "operatingSystemVersion":null
        }
    ]
}

アクセス レビューのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AccessReview.Read.All すべてのアクセス レビューを読み取る サインインしているユーザーの代わりに、アプリでアクセス レビューの読み取りを実行できるようにします。 はい いいえ
AccessReview.ReadWrite.All すべてのアクセス レビューを管理する サインインしているユーザーの代わりに、アプリでアクセス レビューの読み取りと書き込みを実行できるようにします。 はい いいえ
AccessReview.ReadWrite.Membership グループとアプリのメンバーシップのアクセス レビューを管理する サインインしているユーザーの代わりに、アプリでグループとアプリのアクセス レビューの読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AccessReview.Read.All すべてのアクセス レビューを読み取る サインインしているユーザーなしで、アプリでアクセス レビューの読み取りを実行できるようにします。 はい
AccessReview.ReadWrite.All すべてのアクセス レビューを管理する アプリでサインインしているユーザーがいなくても、組織内でアクセス レビュー、レビュー担当者、決定事項、設定の読み取り、更新、削除、操作を実行できるようにします。 はい
AccessReview.ReadWrite.Membership グループとアプリのメンバーシップのアクセス レビューを管理する サインイン ユーザーなしで、アプリでグループとアプリのアクセス レビューを管理できます。 はい

解説

AccessReview.Read.AllAccessReview.ReadWrite.AllAccessReview.ReadWrite.Membership は、職場または学校アカウントに対してのみ有効です。

委任されたアクセス許可があるアプリの場合、ID ユーザー リスク情報を読み取るには、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、または「セキュリティ閲覧者」のいずれかの管理者ロールのメンバーになっている必要があります。 グループまたはアプリのアクセス レビューを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。

Azure AD ロールのアクセス レビューを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、「セキュリティ閲覧者」、または「特権ロール管理者」のいずれかの管理者ロールのメンバーになっている必要があります。 Azure AD ロールのアクセス レビューを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」または「特権ロール管理者」のいずれかの管理者ロールのメンバーになっている必要があります。

管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。


管理単位のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AdministrativeUnit.Read.All 管理単位を読み取る サインインしているユーザーの代わりに、アプリで管理単位および管理単位のメンバーシップの読み取りを実行できるようにします。 はい いいえ
AdministrativeUnit.ReadWrite.All 管理単位の読み取りと書き込み サインインしたユーザーの代わりに、アプリで管理単位の作成、読み取り、更新、削除および管理単位のメンバーシップの管理を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AdministrativeUnit.Read.All すべての管理単位を読み取る サインインしているユーザーがいない場合でも、アプリで管理単位および管理単位のメンバーシップの読み取りを実行できるようにします。 はい
AdministrativeUnit.ReadWrite.All すべての管理単位の読み取りと書き込み サインインしたユーザーがいない場合でも、アプリで管理単位の作成、読み取り、更新、削除および管理単位のメンバーシップの管理を実行できるようにします。 はい

Remarks

AdministrativeUnit.Read.All のアクセス許可を持つアプリケーションでは、メンバーを含む管理単位情報を読み取ることができます。

AdministrativeUnit.ReadWrite.All のアクセス許可を持つアプリケーションでは、メンバーを含む管理単位情報の作成、読み取り、更新、削除を行うことができます。

AdministrativeUnit.Read.All および AdministrativeUnit.ReadWrite.All は、職場または学校のアカウントでのみ有効です。

使用例

注:

管理単位 API の v1.0 エンドポイントは /v1.0/directory/administrativeUnits です。

  • AdministrativeUnit.Read.All: 管理単位を読み取ります (GET /beta/administrativeUnits)
  • AdministrativeUnit.Read.All: 管理単位のメンバーの一覧を読み取ります (GET /beta/administrativeUnits/<id>/members)
  • AdministrativeUnit.ReadWrite.All: 管理単位を作成します (POST /beta/administrativeUnits)
  • AdministrativeUnit.ReadWrite.All: 管理単位を更新します (PATCH /beta/administrativeUnits/<id>)
  • AdministrativeUnit.ReadWrite.All: 管理単位にメンバーを追加する (POST /beta/administrativeUnits/<id>/members)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


分析リソースのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Analytics.Read ユーザー アクティビティの統計情報を読み取ります。 ユーザーがメール、会議、チャット セッションに費やした時間など、サインインしているユーザーのアクティビティ統計を読み取ることをアプリに許可します。 いいえ

アプリケーションのアクセス許可

なし。

使用例

委任

アプリケーション

なし。


AppCatalog リソースのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントが必要です
AppCatalog.Read.All すべてのアプリ カタログの読み取り このアプリがアプリ カタログのアプリを読み取れるようにします。 いいえ いいえ
AppCatalog.ReadWrite.All すべてのアプリ カタログの読み取りと書き込み アプリで、アプリ カタログ内のアプリを作成、読み取り、更新、削除できるようにします。 はい いいえ
AppCatalog.Submit 管理者レビューのためにアプリを提出する ユーザーは、組織のアプリ カタログに掲載するために、管理者の確認用に、申請とアプリの送信を行うことができ、公開されていない過去の申請をキャンセルすることができます。
注: 管理者以外のユーザーは、クエリ パラメーターを含めることにより、アプリをレビュー用に requiresReview=true 送信します。
はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AppCatalog.Read.All すべてのアプリ カタログの読み取り サインインしているユーザーがいない状態で アプリ カタログ内のアプリを読み取るアプリを許可します。 はい
AppCatalog.ReadWrite.All すべてのアプリ カタログの読み取りと書き込み サインインしているユーザーがいない状態で、アプリ カタログ内のアプリの作成、読み取り、更新、削除をアプリに許可します。 はい

解説

現在のところ、唯一のカタログは Microsoft Teams のアプリケーション一覧です。

使用例

Delegated

アプリケーション

なし。


アプリケーション リソースのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Application.Read.All アプリケーションを読み取る サインインしたユーザーの代理としてアプリとサービスプリンシパルを読み取ることをアプリに許可します。 はい
Application.ReadWrite.All 全アプリの読み取りと書き込み サインインしているユーザーの代わりに、アプリケーションとサービス プリンシパルを作成、読み取り、更新、削除することをアプリに許可します。 はい
AppRoleAssignment.ReadWrite.All アプリのアクセス許可の付与とアプリの役割の割り当ての管理 サインインしているユーザーの代わりに、アプリで任意の API (Microsoft Graph を含む) へのアプリケーションのアクセス許可の付与と、任意のアプリへのアプリケーション割り当てを管理できるようにします。 はい
DelegatedPermissionGrant.ReadWrite.All 委任された権限の付与の管理 サインインしているユーザーに代わって、アプリが任意の API (Microsoft Graph を含む) の委任されたアクセス許可の付与を管理できるようにします。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Application.Read.All アプリケーションを読み取る サインインしているユーザーなしで、アプリケーションとサービス プリンシパルを読み取ることをアプリに許可します。 はい
Application.ReadWrite.All 全アプリの読み取りと書き込み 呼び出し元アプリが、ユーザーのサインインなしでアプリケーションおよびサービス プリンシパルの作成と管理 (読み取り、更新、アプリケーション シークレットの更新、および削除) をすることを可能にします。 同意付与管理やユーザーやグループへのアプリケーション割り当ては許可されません。 はい
Application.ReadWrite.OwnedBy このアプリの作成または所有するアプリを管理 呼び出し元アプリが、ユーザー サインインなしで他のアプリケーションおよびサービス プリンシパルを作成したり、それらのアプリケーションおよびサービス プリンシパルをあらゆる方法で管理 (読み取り、更新、アプリケーション シークレットの更新、および削除) したりできるようにします。 所有者として所有していないアプリケーションの更新はできません。 同意付与管理やユーザーやグループへのアプリケーション割り当ては許可されません。 はい
AppRoleAssignment.ReadWrite.All アプリのアクセス許可の付与とアプリの役割の割り当ての管理 ユーザーがサインインしていない状態で、アプリで任意の API (Microsoft Graph を含む) へのアプリケーションのアクセス許可の付与と、任意のアプリへのアプリケーション割り当てを管理できるようにします。 はい
DelegatedPermissionGrant.ReadWrite.All 委任されたすべての権限の付与の管理 ユーザーがサインインしていない状態で、アプリが任意の API (Microsoft Graph を含む) の委任されたアクセス許可を付与または取り消すことができるようにします。 はい

注釈

注意

AppRoleAssignment.ReadWrite.Allなどの承認を許可するアクセス許可により、アプリケーションは自身、他のアプリケーション、または任意のユーザーに追加の特権を付与できます。 同様にApplication.ReadWrite.Allなどの資格情報の管理を許可するアクセス許可により、アプリケーションは他のエンティティとして動作し、 付与された特権を使用できます。 これらのアクセス許可のいずれかを付与するときは注意してください。

Application.ReadWrite.OwnedBy アクセス許可は、Application.ReadWrite.All と同じ操作を許可しますが、前者の場合、それらの操作は呼び出し元アプリが所有者となっているアプリケーションおよびサービス プリンシパルに対してのみ可能です。 所有権は、ターゲットのアプリケーションまたはサービス プリンシパル リソースの owners ナビゲーション プロパティによって示されます。

注:

Application.ReadWrite.OwnedBy アクセス許可を使用すると、アプリがテナント内のすべてのアプリケーションとサービス プリンシパルを呼び出してGET /applicationsGET /servicePrincipals一覧表示できます。 このアクセス範囲は、アクセス許可に対して許可されています。

使用例

委任

  • Application.Read.All: 全アプリケーションのリストを取得する (GET /v1.0/applications)
  • Application.ReadWrite.All: サービス プリンシパルを更新する (PATCH /v1.0/servicePrincipals/{id})

アプリケーション

  • Application.Read.All: 全アプリケーションのリストを取得する (GET /v1.0/applications)

  • Application.ReadWrite.All: サービス プリンシパルを削除する (DELETE /v1.0/servicePrincipals/{id})

  • Application.ReadWrite.OwnedBy: アプリケーションを作成する (POST /v1.0/applications)

  • Application.ReadWrite.OwnedBy: 呼び出し元アプリケーションによって所有されている全アプリケーションのリストを取得する (GET /v1.0/servicePrincipals/{id}/ownedObjects)

  • Application.ReadWrite.OwnedBy: 所有されているアプリケーションに別の所有者を追加する (POST /v1.0/applications/{id}/owners/$ref)。

    注: これにはさらに追加のアクセス許可が必要になる場合があります。


監査ログのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AuditLog.Read.All 監査ログ データの読み取り サインインしているユーザーの代わりに、アプリで監査ログ アクティビティの読み取りとクエリを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AuditLog.Read.All すべての監査ログ データの読み取り アプリでサインインしているユーザーがいなくても、監査ログ アクティビティの読み取りとクエリを実行できるようにします。 はい

BitLocker 回復キーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
BitlockerKey.ReadBasic.All 基本 BitLocker キー情報の読み取り アプリが、テナント内のすべてのデバイスに対する BitLocker キーのプロパティを読み取れるようにします。 回復キーは返されません。 はい いいえ
BitlockerKey.Read.All BitLocker キーを読み取る アプリが、テナント内のすべてのデバイスに対する BitLocker キーを読み取れるようにします。 回復キーが返されます。 はい いいえ

アプリケーションのアクセス許可

なし。

使用例

委任

  • BitlockerKey.ReadBasic.All: 「キー」プロパティ (GET /bitlocker/recoveryKeys) を返さずに、テナント内のすべてのデバイスに対する BitLocker 回復キーを一覧表示します。
  • BitlockerKey.Read.All: 回復キー (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key) を使用して BitLocker 回復キーを取得します

予約のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Bookings.Read.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。 読み取り専用アプリケーションを対象としています。 一般的なターゲット ユーザーは、予約業務の顧客です。 いいえ いいえ
BookingsAppointment.ReadWrite.All アプリで、予約の予定と顧客を読み書きできるようにします。さらに、業務、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。 予定と顧客を操作する必要があるスケジュール設定アプリケーションを対象としています。 予約の業務、サービス、およびスタッフ メンバーに関する基本的な情報を変更することはできません。 一般的なターゲット ユーザーは、予約業務の顧客です。 いいえ いいえ
Bookings.ReadWrite.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み書きできるようにします。 予約業務の作成、削除、発行はできません。 既存の業務、サービス、およびスタッフ メンバーを操作する管理アプリケーションを対象としています。 予約業務の発行状態の作成、削除、変更はできません。 一般的なターゲット ユーザーは、組織のサポート スタッフです。 いいえ いいえ
Bookings.Manage.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取り、書き込み、および管理できるようにします。 アプリにフル アクセスを許可します。
完全な管理操作環境を対象としています。 一般的なターゲット ユーザーは、組織の管理者です。
いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Bookings.Read.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。 読み取り専用アプリケーションを対象としています。 一般的なターゲット ユーザーは、予約業務の顧客です。 はい いいえ
BookingsAppointment.ReadWrite.All アプリで、予約の予定と顧客を読み書きできるようにします。さらに、業務、サービス、およびサインインしているユーザーの代理となるスタッフを読み取れるようにします。 予定と顧客を操作する必要があるスケジュール設定アプリケーションを対象としています。 予約の業務、サービス、およびスタッフ メンバーに関する基本的な情報を変更することはできません。 一般的なターゲット ユーザーは、予約業務の顧客です。 はい いいえ
Bookings.ReadWrite.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み書きできるようにします。 予約業務の作成、削除、発行はできません。 既存の業務、サービス、およびスタッフ メンバーを操作する管理アプリケーションを対象としています。 予約業務の発行状態の作成、削除、変更はできません。 一般的なターゲット ユーザーは、組織のサポート スタッフです。 はい いいえ
Bookings.Manage.All アプリで、予約の予定、業務、顧客、サービス、およびサインインしているユーザーの代理となるスタッフを読み取り、書き込み、および管理できるようにします。 アプリにフル アクセスを許可します。
完全な管理操作環境を対象としています。 一般的なターゲット ユーザーは、組織の管理者です。
はい いいえ

使用例

委任

  • Bookings.Read.All: あるテナントのために作成された予約業務のコレクションの ID と名前を取得します (GET /bookingBusinesses)。
  • BookingsAppointment.ReadWrite.All: ある予約業務のサービスの予定を作成します (POST /bookingBusinesses/{id}/appointments)。
  • Bookings.ReadWrite.All: 指定した予約業務の新しいサービスを作成します (POST /bookingBusinesses/{id}/services)。
  • Bookings.Manage.All: この業務のスケジュール設定ページを外部の顧客が使用できるようにします (POST /bookingBusinesses/{id}/publish)。

ブラウザー管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
BrowserSiteLists.Read.All 組織のブラウザー サイト リストを読み取る サインインしているユーザーの代わりに、組織用に構成されたブラウザー サイト リストをアプリで読み取ることができます。 いいえ いいえ
BrowserSiteLists.ReadWrite.All 組織のブラウザー サイト リストの読み取りと書き込み サインインしているユーザーの代わりに、組織用に構成されたブラウザー サイト リストの読み取りと書き込みをアプリに許可します。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
BrowserSiteLists.Read.All 組織のすべてのブラウザー サイト リストを読み取る サインインしているユーザーなしで、組織用に構成されたすべてのブラウザー サイト リストをアプリで読み取ることができます。 はい いいえ
BrowserSiteLists.ReadWrite.All 組織のすべてのブラウザー サイト リストの読み取りと書き込み サインインしているユーザーなしで、組織用に構成されたすべてのブラウザー サイト リストの読み取りと書き込みをアプリに許可します。 はい いいえ

使用例

委任

  • BrowserSiteLists.Read.All: サインインしているユーザーの代わりに、すべてのブラウザー サイト リストを一覧表示します (GET /beta/admin/edge/internetExplorerMode/siteLists)
  • BrowserSiteLists.ReadWrite.All: サインインしているユーザーの代わりにブラウザー サイトリストを更新する (PATCH /beta/admin/edge/internetExplorerMode/siteLists/{browserSiteListId})

アプリケーション

  • BrowserSiteLists.Read.All: サインインしているユーザーなしですべてのブラウザー サイト リストを一覧表示する (GET /beta/admin/edge/internetExplorerMode/siteLists)
  • BrowserSiteLists.ReadWrite.All: サインインしているユーザーなしでブラウザー サイトリストを削除する (DELETE /beta/admin/edge/internetExplorerMode/siteLists/{browserSiteListId})

カレンダーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Calendars.Read ユーザーのカレンダーの読み取り アプリは、ユーザーの予定表内のイベントを読み取ることができます。 いいえ はい
Calendars.Read.Shared ユーザーのカレンダーと共有のカレンダーの読み取り ユーザーがアクセスできるすべてのカレンダー (委任されたカレンダーと共有のカレンダーを含む) のイベントをアプリで読み取りできるようにします。  いいえ いいえ
Calendars.ReadWrite ユーザーのカレンダーへのフル アクセス ユーザーのカレンダー内のイベントをアプリで作成、読み取り、更新、削除できるようにします。 いいえ はい
Calendars.ReadWrite.Shared ユーザーのカレンダーと共有のカレンダーの読み取りと書き込み アプリで、ユーザーがアクセス許可を得ているすべてのカレンダー内のイベントを作成、読み取り、更新、および削除できるようにします。 これには、委任されたカレンダーと共有のカレンダーが含まれます。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Calendars.Read すべてのメールボックスにあるカレンダーの読み取り サインインしているユーザーなしで、すべてのカレンダーのイベントをアプリで読み取れるようにします。 必要
Calendars.ReadWrite すべてのメールボックスにあるカレンダーの読み取りと書き込み サインインしているユーザーなしで、すべての予定表のイベントをアプリで作成、読み取り、更新、および削除できるようにします。 はい

重要 アプリケーションに Calendars.Read または Calendars.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者はアプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく特定のメールボックスにアプリケーション アクセスを制限することができます。

使用例

委任

  • Calendars.Read:ユーザーのカレンダーについて、2017 年 4 月 23 日から 2017 年 4 月 29 日までのイベントを取得します (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00)。
  • Calendars.Read.Shared: すべての出席者が出席可能な会議の日時を検索します (POST /users/{id|userPrincipalName}/findMeetingTimes)。
  • Calendars.ReadWrite:ユーザーの予定表にイベントを追加します (POST /me/events)。

アプリケーション

  • Calendars.Read: bob@contoso.comが編成した会議室のカレンダーのイベントを検索します (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com')。
  • Calendars.Read: ユーザーのカレンダーにある 5 月のイベントをすべてリストします (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
  • Calendars.ReadWrite: 承認された休暇 (POST /users/{id | userPrincipalName}/events) のイベントをユーザーの予定表に追加します。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

通話のアクセス許可

委任されたアクセス許可

なし。


アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Calls.Initiate.All アプリから 1 対 1 通話の発信を開始する アプリで、サインインしているユーザーがいなくても、1 人のユーザーに発信し、組織のディレクトリ内のユーザーに通話を転送することができるようにします。 はい
Calls.InitiateGroupCall.All アプリからグループ通話の発信を開始する アプリで、サインインしているユーザーがいなくても、複数のユーザーに発信し、組織内の会議に参加者を追加することができるようにします。 はい
Calls.JoinGroupCall.All グループ通話と会議にアプリとして参加する アプリで、サインインしているユーザーがいなくても、組織のグループ通話やスケジュールされた会議に参加することができるようにします。 このアプリは、ディレクトリ ユーザーの特権を使用してテナントの会議に参加します。 はい
Calls.JoinGroupCallasGuest.All グループ通話と会議にゲストとして参加する アプリで、サインインしているユーザーがいなくても、組織のグループ通話とスケジュールされた会議に匿名で参加することができるようにします。 このアプリは、テナントの会議にゲストとして参加します。 はい
Calls.AccessMedia.All* 通話内のメディア ストリームにアプリとしてアクセスする アプリで、サインインしているユーザーがいなくても、通話内のメディア ストリームに直接アクセスすることができるようにします。 はい

*重要: アプリケーションでアクセスする通話または会議のメディア コンテンツ、またはそのメディア コンテンツから派生したデータの記録またはその他の方法の永続化に、クラウド コミュニケーション API を使用できない可能性があります。 データ保護および通信の秘密に関する領域の法律および規制を必ず遵守してください。 詳細については、利用規約 を確認して、法律顧問にご相談ください。


使用例

アプリケーション

  • Calls.Initiate.All: アプリケーションから組織内のユーザーにピアツーピアで発信します (POST /beta/communications/calls)。
  • Calls.InitiateGroupCall.All: アプリケーションから組織内のユーザーのグループにグループ発信を行います (POST /beta/communications/calls)。
  • Calls.JoinGroupCall.All: アプリケーションからグループ通話またはオンライン会議に参加します (POST /beta/communications/calls)。
  • Calls.JoinGroupCallasGuest.All: アプリケーションからグループ通話またはオンライン会議に参加しますが、アプリケーションには会議のゲスト特権のみが付与されます (POST /beta/communications/calls)。
  • Calls.AccessMedia.All: 通話の作成または参加を行い、通話内の参加者のメディア ストリームにアプリから直接アクセスします (POST /beta/communications/calls)。

注: 要求の例については、「通話の作成」を参照してください。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

通話レコードのアクセス許可

委任されたアクセス許可

なし。


アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
CallRecords.Read.All すべての通話レコードを読み取る アプリが、サインイン ユーザーなしですべての通話およびオンライン会議の通話レコードを読み取ることができるようにします。 はい
CallRecord-PstnCalls.Read.All PSTN および ダイレクト ルーティングの通話記録データの読み取り サインインしたユーザーがいない PSTN およびダイレクトルーティングのすべての通話記録データを読み取ることができます。 はい

備考

CallRecords.Read.All アクセス許可によって、組織内のすべての通話とオンライン会議 (外部の電話番号との通話を含む) に使用する callRecords へのアクセス権がアプリケーションに与えられます。 これには、通話への参加者に関する機密情報の詳細や、IPアドレス、デバイスの詳細、その他のネットワーク情報など、ネットワークのトラブルシューティングに使用できる、これらの通話と会議に関する技術情報があります。

CallRecord-PstnCalls.Read.All のアクセス許可によって、アプリケーションにPSTN (通話プラン)ダイレクトルーティング 通話記録へのアクセス許可が与えられます。 これには、外部電話番号を経由した通話も含むユーザーに関する機密情報がある可能性が含まれます。

重要: アプリケーションにこれらのアクセス許可を付与する場合は、慎重に行う必要があります。 通話記録は、ビジネスの運用に関する分析情報を提供できるため、悪意のある人物のターゲットになる可能性があります。 これらのアクセス許可は、データ保護要件を満たすと信頼できるアプリケーションにのみ許可してください。

重要: データ保護および通信の秘密に関する領域の法律および規制を必ず遵守してください。 詳細については、利用規約 を確認して、法律顧問にご相談ください。


使用例

アプリケーション

  • CallRecords.Read.All: 通話レコードを取得する (GET /v1.0/communications/callRecords/{id}).
  • CallRecords.Read.All: 新しい通話レコードを購読する (POST /v1.0/subscriptions).
  • CallRecords.Read.All: 指定された時間範囲内でダイレクトルーティング通話記録を取得する (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time)))
  • CallRecord-PstnCalls.Read.All: 指定した時間範囲内の PSTN 通話記録を取得する (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time)))

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

チャネルのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Channel.ReadBasic.All チャネル名とチャネルの説明を読み取ります。 サインインしているユーザーの代わりに、チャネル名とチャネルの説明を読み取ります。 いいえ いいえ
Channel.Create チャネルを作成します。 サインインしているユーザーの代わりに、任意のチームのチャネルを作成します。 はい いいえ
Channel.Delete.All チャネルを削除します。 サインインしているユーザーの代わりに、任意のチームのチャネルを削除します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Channel.ReadBasic.All すべてのチャネルの名前と説明を読みます。 ユーザーがサインインしていない状態で、すべてのチャネルの名前と説明を読み取ります。 はい いいえ
Channel.Create チャネルを作成します。 ユーザーがサインインしていない状態で、任意のチームのチャネルを作成します。 はい いいえ
Channel.Delete.All チャネルを削除します。 ユーザーがサインインしていない状態で、任意のチームのチャネルを削除します。 はい いいえ
Teamwork.Migrate.All Microsoft Teams への移行の管理 Microsoft Teams に移行するためのリソースを作成して管理する はい 必要

チャネル メンバーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMember.Read.All チャネルのメンバーを読み取ります。 サインインしたユーザーの代わりに、チャネルのメンバーを読み取ります。 はい いいえ
ChannelMember.ReadWrite.All チャネルからメンバーを追加および削除します。 サインインしたユーザーの代わりに、チャネルからメンバーを追加および削除します。 また、たとえば所有者から非所有者にメンバーの役割を変更できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMember.Read.All すべてのチャネルのメンバーを読み取ります。 サインインしたユーザーなしに、すべてのチャネルのメンバーを読み取ります。 はい いいえ
ChannelMember.ReadWrite.All すべてのチャネルからメンバーを追加および削除します。 サインインしたユーザーなしに、すべてのチャネルからメンバーを追加および削除します。 また、たとえば所有者から非所有者にメンバーの役割を変更できます。 はい いいえ

チャネル メッセージのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMessage.Edit (プライベート プレビュー) ユーザーのチャネル メッセージの編集 サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージを編集できるようにします。 はい いいえ
ChannelMessage.Read.All ユーザー チャネル メッセージの読み取り サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージの読み取りを実行できるようにします。 はい いいえ
ChannelMessage.Send チャネル メッセージを送信する サインインしているユーザーの代わりに、アプリが Microsoft Teams でチャネル メッセージを送信できるようにします。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelMessage.Read.All すべてのチャネル メッセージを読み取る サインイン ユーザーなしで、アプリで Microsoft Teams のすべてのチャネル メッセージを読み取ることができます。 はい いいえ
ChannelMessage.UpdatePolicyViolation.All ポリシー違反のチャネル メッセージにフラグを設定する アプリで、一連のデータ損失防止 (DLP) ポリシーの違反プロパティにパッチを適用して DLP 処理の出力を処理し、Microsoft Teams のチャネル メッセージを更新できるようにします。 はい いいえ

注:Group.Read.All」も参照してください。

チャンネル設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelSettings.Read.All チャネルの名前、説明、設定を読み取ります。 サインインしているユーザーの代わりに、すべてのチャネル名、チャネルの説明、チャネルの設定を読み取ります。 はい いいえ
ChannelSettings.ReadWrite.All チャネルの名前、説明、設定の読み取りと書き込みをします。 サインインしているユーザーの代わりに、すべてのチャネルの名前、説明、設定を読み取り、書き込みます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChannelSettings.Read.All すべてのチャネルの名前、説明、設定を読み取ります。 ユーザーがサインインしていない状態で、すべてのチャネル名、チャネルの説明、チャネルの設定を読み取ります。 はい いいえ
ChannelSettings.ReadWrite.All すべてのチャネルの名前、説明、設定の読み取りと書き込みをします。 ユーザーがサインインしていない状態で、すべてのチャネルの名前、説明、設定を読み取り、書き込みます。 はい いいえ

チャットのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Chat.Read チャット メッセージを読む。  Microsoft Teams で 1 対 1 のメッセージまたグループ チャット メッセージをユーザーに代わってアプリが読み取ることを許可します。 いいえ いいえ
Chat.ReadBasic ユーザー チャット スレッドの名前とメンバーを読み取ります。 サインインしているユーザーに代わり、1 対 1 のチャットとグループ チャットのメンバーと説明をアプリが読み取れるようにします。 いいえ いいえ
Chat.ReadWrite チャット メッセージを読み、新しいメッセージを送信します。  Microsoft Teams での 1 対 1 またはグループ チャット メッセージを、あなたに代わってアプリが送受信することを許可します。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Chat.Read.WhereInstalled 関連付けられている Teams アプリケーションがインストールされているチャットのすべてのチャット メッセージを読み取ります。 アプリが、サインインしているユーザーなしで、関連付けられている Teams アプリケーションがインストールされているチャットのために、Microsoft Teams 内のすべての 1 対 1 またはグループチャット メッセージを読み取ることができます。 はい いいえ
Chat.Read.All すべてのチャット メッセージを読み取ります。  Microsoft Teams ですべての 1 対 1 のメッセージまたはグループ チャット メッセージを、アプリがサインイン ユーザーなしで読み取ることを許可します。 はい いいえ
Chat.ReadBasic.WhereInstalled 関連付けられている Teams アプリケーションがインストールされているすべてのチャット スレッドの名前とメンバーを読み取ります。 アプリが、サインインしているユーザーなしで、関連付けられている Teams アプリケーションがインストールされている teams Microsoftのすべての 1 対 1 およびグループ チャットの名前とメンバーを読み取ることができます。 はい いいえ
Chat.ReadBasic.All ユーザー チャット スレッドの名前とメンバーを読み取ります。 すべてのチャット スレッドの名前とメンバーを読み取ります。 はい いいえ
Chat.UpdatePolicyViolation.All ポリシーに違反するチャット メッセージにフラグを設定します。 アプリで、一連のデータ損失防止 (DLP) ポリシーの違反プロパティにパッチを適用して DLP 処理の出力を処理し、Microsoft Teams の 1:1 またはグループ チャット メッセージを更新できるようにします。 はい いいえ
Chat.ReadWrite.WhereInstalled 関連付けられている Teams アプリケーションがインストールされているチャットのすべてのチャット メッセージを読み書きします。 アプリが、サインインしているユーザーなしで、関連付けられている Teams アプリケーションがインストールされているチャット用に、Microsoft Teams 内のすべてのチャット メッセージを読み書きできるようにします。 はい いいえ
Chat.ReadWrite.All すべてのチャット メッセージの読み取りと書き込み。 サインインしているユーザーなしで、アプリが Microsoft Teams 内のすべての 1 対 1 チャットとグループ チャットを読み書きできるようにします。 メッセージの送信を許可しません。 はい いいえ

注: チャネル内のメッセージの詳細については、「ChannelMessage のアクセス許可」を参照してください。

チャット メンバーシップのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChatMember.Read チャットのメンバーを読む。 サインインしているユーザーの代わりにチャットのメンバーを読み取ります。 はい いいえ
ChatMember.ReadWrite チャットからメンバーを追加および削除します。 サインインしているユーザーの代わりに、チャットからメンバーを追加および削除します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChatMember.Read.WhereInstalled 関連付けられている Teams アプリケーションがインストールされているすべてのチャットのメンバーを読み取ります。 サインインしているユーザーなしで、関連付けられている Teams アプリケーションがインストールされているすべてのチャットのメンバーをアプリで読み取ることができます。 はい いいえ
ChatMember.Read.All すべてのチャットのメンバーを読む。 Microsoft Teams ですべての 1 対 1 のメッセージまたはグループ チャット メッセージを、アプリがサインイン ユーザーなしで読み取ることを許可します。 はい いいえ
ChatMember.ReadWrite.WhereInstalled 関連付けられている Teams アプリケーションがインストールされているすべてのチャットからメンバーを追加および削除します。 アプリが、サインインしているユーザーなしで、関連付けられている Teams アプリケーションがインストールされているすべてのチャットのメンバーを追加および削除できるようにします。 はい いいえ
ChatMember.ReadWrite.All すべてのチャットのメンバーを追加および削除します。 すべてのチャット スレッドの名前とメンバーを読み取ります。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChatSettings.Read.Chat このチャットの設定を読み取ります。 アプリでサインインしているユーザーがいなくても、チャットの設定をアプリで読み取れるようにします。 いいえ いいえ
ChatSettings.ReadWrite.Chat このチャットの設定の読み取りおよび書き込みを行います。 アプリでサインインしているユーザーがいなくても、チャットの設定をアプリで読み取りおよび書き取りができるようにします。 いいえ いいえ
ChatMessage.Read.Chat このチャットのメッセージを読み取ります。 アプリでサインインしているユーザーがいなくても、チャットのメッセージをアプリで読み取れるようにします。 いいえ いいえ
ChatMember.Read.Chat このチャットのメンバーを読み取ります。 アプリでサインインしているユーザーがいなくても、チャットのメンバーをアプリで読み取れるようにします。 いいえ いいえ
Chat.Manage.Chat このチャットを管理します。 アプリでチャット、チャットのメンバーを管理できるようにし、サインインしたユーザーがいない場合でもチャットのデータにアクセス許可を付与します。 いいえ いいえ
TeamsTab.Read.Chat このチャットのタブを読み取ります。 アプリでサインインしているユーザーがいなくても、チャットのタブをアプリで読み取れるようにします。 いいえ いいえ
TeamsTab.Create.Chat このチャットでタブを作成します。 サインインしたユーザーがいない場合でも、アプリがこのチャットでタブを作成できるようにします。 いいえ いいえ
TeamsTab.Delete.Chat このチャットのタブを削除します。 アプリでサインインしているユーザーがいなくても、チャットのタブをアプリ削除できるようにします。 いいえ いいえ
TeamsTab.ReadWrite.Chat このチャットのタブを管理します。 アプリでサインインしているユーザーがいなくても、チャットのタブをアプリ管理できるようにします。 いいえ いいえ
TeamsAppInstallation.Read.Chat このチャットにインストールされているアプリを読み取ります。 アプリでサインインしているユーザーがいなくても、アクセス許可を付与して、このチャットにインストールされている Teams アプリの読み取りを行えるようにします。 いいえ いいえ
OnlineMeeting.ReadBasic.Chat このチャットに関連付けられた会議の基本的なプロパティを読み取ります。 アプリでサインインしているユーザーがいなくても、このチャットに関連付けられた会議の名前、スケジュール、開催者、参加リンクなどの基本的なプロパティを読み取れるようにします。 いいえ 不要
Calls.AccessMedia.Chat このチャットまたは会議に関連付けられた通話でメディア ストリームにアクセスします。 アプリでサインインしているユーザーがいなくても、このチャットまたは会議に関連付けられている通話のメディア ストリームにアクセスできるようにします。 不要 不要
Calls.JoinGroupCalls.Chat このチャットまたは会議に関連付けられた通話に参加します。 アプリでサインインしているユーザーがいなくても、このチャットまたは会議に関連付けられている通話に接続できるようにします。 不要 いいえ
TeamsActivity.Send.Chat このチャットのユーザーにアクティビティ フィード通知を送信します。 サインインしているユーザーなしで、このチャットのユーザーのチームワーク アクティビティ フィードに新しい通知を作成することをアプリに許可します。 いいえ いいえ

注:

現在、これらのアクセス許可は、Microsoft Graph のベータ版でのみサポートされています。

ChatMessage のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ChatMessage.Send ユーザーのチャット メッセージを送信 サインインしているユーザーに代わり、アプリが Microsoft Teams で 1 対 1 のチャットとグループ チャットを送信できるようにします。 いいえ いいえ

Cloud PC のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
CloudPC.Read.All Cloud PC の読み取り サインインしたユーザーに代わり、プロビジョニング ポリシーなどの Cloud PC オブジェクトをアプリが読み取れるようにします。 いいえ いいえ
CloudPC.ReadWrite.All Cloud PC の読み取りと書き込み Azure ネットワーク接続、プロビジョニングポリシー、デバイスイメージなどの Cloud PC オブジェクトを、ユーザーに代わってアプリが作成、読み取り、更新、削除できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
CloudPC.Read.All Cloud PC の読み取り ユーザーがサインインしていない状態で、プロビジョニング ポリシーなどの Cloud PC オブジェクトをアプリが読み取れるようにします。 はい いいえ
CloudPC.ReadWrite.All Cloud PC の読み取りと書き込み ユーザーがサインインしていない状態で、Azureネットワーク接続、プロビジョニング ポリシー、デバイス イメージなどの Cloud PC オブジェクトを、作成、読み取り、更新、および削除することをアプリに許可します。 はい いいえ

使用例

委任

  • CloudPC.Read.All: すべての Cloud PC のプロパティを表示します (GET /deviceManagement/virtualEndpoint/cloudPCs)。
  • CloudPC.ReadWrite.All: Cloud PC のプロビジョニング ポリシーを編集します (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id})。

アプリケーション

  • CloudPC.Read.All: すべての Cloud PC のプロパティを表示します (GET /deviceManagement/virtualEndpoint/cloudPCs)。
  • CloudPC.ReadWrite.All: Cloud PC のプロビジョニング ポリシーを編集します (PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id})。

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ConsentRequest.Read.All 同意要求の読み取り サインインしているユーザーの代わりに、アプリで同意要求と承認の読み取りを実行できるようにします。 はい いいえ
ConsentRequest.ReadWrite.All 同意要求の読み取りと書き込み サインインしているユーザーの代わりに、アプリでアプリの同意要求と承認の読み取り、およびそれらの要求の拒否または承認を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
ConsentRequest.Read.All 同意要求の読み取り サインインしたユーザーなしで、アプリの同意要求と承認の読み取りをアプリに許可します。 はい
ConsentRequest.ReadWrite.All 同意要求の読み取りと書き込み サインインしたユーザーなしで、アプリの同意要求と承認の読み取り、およびそれらの要求の拒否または承認の実行をアプリに許可します。 はい

連絡先のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Contacts.Read ユーザーの連絡先の読み取り アプリは、ユーザーの連絡先を読み取ることができます。 いいえ はい
Contacts.Read.Shared ユーザーの連絡先と共有の連絡先の読み取り アプリで、ユーザー自身の連絡先と共有の連絡先を含む、ユーザーがアクセス許可を得ている連絡先を読み取ることができるようにします。  いいえ いいえ
Contacts.ReadWrite ユーザーの連絡先へのフル アクセス アプリで、ユーザーの連絡先の作成、読み取り、更新、削除を行えるようにします。 いいえ はい
Contacts.ReadWrite.Shared ユーザーの連絡先と共有の連絡先の読み取りと書き込み アプリで、ユーザー自身の連絡先と共有の連絡先を含むユーザーがアクセス許可を得ている連絡先の作成、読み取り、更新、削除を行えるようにします。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Contacts.Read すべてのメールボックスにある連絡先の読み取り サインインしているユーザーなしで、すべてのメールボックス内のすべての連絡先をアプリで読み取りできるようにします。  必要
Contacts.ReadWrite すべてのメールボックスにある連絡先の読み取りと書き込み サインインしているユーザーなしで、すべてのメールボックス内のすべての連絡先をアプリで作成、読み取り、更新、および削除できるようにします。 はい

重要 アプリケーションに Contacts.Read または Contacts.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者はアプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく特定のメールボックスにアプリケーション アクセスを制限することができます。

使用例

委任

  • Contacts.Read:サインインしているユーザーの最上位レベルの連絡先フォルダーの 1 つから連絡先を読み取ります (GET /me/contactfolders/{Id}/contacts/{id})。
  • Contacts.ReadWrite:サインインしているユーザーの連絡先のうち、1 つの連絡先の写真を更新します (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。
  • Contacts.ReadWrite:サインインしているユーザーのルート フォルダーに連絡先を追加します (POST /me/contacts)。

アプリケーション

  • Contacts.Read:組織内の任意のユーザーの最上位レベルの 1 つのフォルダーから連絡先を読み取ります (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id})。
  • Contacts.ReadWrite:組織内の任意のユーザーの連絡先の写真を更新します (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。
  • Contacts.ReadWrite:組織内の任意のユーザーのルート フォルダーに連絡先を追加します (POST /users/{id | userPrincipalName}/contacts)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


カスタム セキュリティ属性のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
CustomSecAttributeAssignment.Read.All カスタム セキュリティ属性の割り当ての読み取り サインインしたユーザーに代わって、テナント内のすべてのプリンシパルのカスタム セキュリティ属性の割り当てを読み取ることをアプリに許可します。 はい 不要
CustomSecAttributeAssignment.ReadWrite.All カスタム セキュリティ属性の割り当ての読み取りと書き込み サインインしたユーザーに代わって、テナント内のすべてのプリンシパルのカスタム セキュリティ属性の割り当ての読み取りと書き込みをアプリに許可します。 はい 不要
CustomSecAttributeDefinition.Read.All カスタム セキュリティ属性の定義の読み取り サインインしたユーザーに代わって、テナントのカスタム セキュリティ属性の定義を読み取ることをアプリに許可します。 はい 不要
CustomSecAttributeDefinition.ReadWrite.All カスタム セキュリティ属性の定義の読み取りと書き込み サインインしたユーザーに代わって、テナントのカスタム セキュリティ属性の定義の読み書きをアプリに許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
CustomSecAttributeAssignment.Read.All カスタム セキュリティ属性の割り当ての読み取り サインインしているユーザーがいなくても、テナント内のすべてのプリンシパルのカスタム セキュリティ属性の割り当てを読み取ることをアプリに許可します。 はい
CustomSecAttributeAssignment.ReadWrite.All カスタム セキュリティ属性の割り当ての読み取りと書き込み サインインしたユーザーがなくても、テナント内のすべてのプリンシパルのカスタム セキュリティ属性の割り当ての読み取りと書き込みをアプリに許可します。 はい
CustomSecAttributeDefinition.Read.All カスタム セキュリティ属性の定義の読み取り サインインしているユーザーがいなくても、テナントのカスタム セキュリティ属性の定義を読み取ることをアプリに許可します。 はい
CustomSecAttributeDefinition.ReadWrite.All カスタム セキュリティ属性の定義の読み取りと書き込み サインインしたユーザーがなくても、テナントのカスタム セキュリティ属性の定義の読み書きをアプリに許可します。 はい

詳細な代理管理者特権 (GDAP) のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
DelegatedAdminRelationship.Read.All 顧客との委任された管理者の関係を読み取る サインインしたユーザーに代わって、アクセスの詳細 (役割を含む) や期間、セキュリティ グループへの特定の役割の割り当てなど、顧客との委任された管理関係の詳細をアプリが読み取れるようにします。 はい 不要
DelegatedAdminRelationship.ReadWrite.All 顧客との委任された管理者の関係を管理する アプリが顧客との委任された管理者の関係と、ユーザーに代わってアクティブな委任された管理者の関係のセキュリティ グループへの役割の割り当てを管理 (作成-更新-終了) できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
DelegatedAdminRelationship.Read.All 顧客との委任された管理者の関係を読み取る サインインしているユーザーがいなくても、アクセスの詳細 (役割を含む) や期間、セキュリティ グループへの特定の役割の割り当てなど、顧客との委任された管理関係の詳細をアプリが読み取れるようにします。 はい 不要
DelegatedAdminRelationship.ReadWrite.All 顧客との委任された管理者の関係を管理する アプリが、顧客との委任された管理者の関係と、サインインしたユーザーなしでアクティブな委任された管理者の関係のセキュリティ グループへの役割の割り当てを管理 (作成-更新-終了) できるようにします。 はい 不要

デバイス アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Device.Read ユーザー デバイスの読み取り サインインしているユーザーの代わりに、アプリでユーザーのデバイスの一覧を読み取ることができるようにします。 いいえ はい
Device.Read.All すべてのデバイスの読み取り サインインしているユーザーの代わりに、アプリで組織のデバイス構成情報の読み取りを実行できるようにします。 はい はい
Device.Command ユーザーのデバイスとの通信 サインインしているユーザーの代わりに、アプリで、別のアプリを起動するか、ユーザーのデバイス上にある別のアプリと通信できるようにします。 いいえ はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Device.Read.All すべてのデバイスの読み取り サインインしているユーザーがいなくても、アプリで組織のデバイス構成情報の読み取りを実行できるようにします。 はい
Device.ReadWrite.All デバイスの読み取りと書き込み アプリで、サインインしているユーザーなしで、すべてのデバイス プロパティの読み取りと書き込みができるようにします。 デバイスの作成、デバイスの削除、またはデバイスの代替セキュリティ識別子の更新を許可しません。 はい

注:

2020 年 12 月 3 日以前、アプリケーションのアクセス許可 Device.ReadWrite.All が付与されたとき、デバイス マネージャー ディレクトリの役割もアプリのサービス プリンシパルに割り当てられました。 このディレクトリの役割の割り当ては、関連するアプリケーションのアクセス許可が取り消されても自動的に削除されません。 デバイスへの読み取りまたは書き込みへのアプリケーションのアクセスを確実に削除するには、顧客は、アプリケーションに付与された関連するディレクトリロールもすべて削除する必要があります。

この動作を無効にするサービス更新は、2020 年 12 月 3 日に開始されました。 2021 年 1 月 11 日にすべての顧客への展開が完了しました。 アプリケーションのアクセス許可が付与されたときに、ディレクトリの役割が自動的に割り当てられなくなりました。

使用例

アプリケーション

  • Device.ReadWrite.All:組織内のすべての登録済デバイスを読み取ります (GET /devices)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ディレクトリのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Directory.Read.All ディレクトリ データの読み取り アプリで、ユーザー、グループ、アプリなどの組織のディレクトリ内のデータを読み取ることができるようにします。 : ユーザーが所属する組織のテナントにアプリケーションが登録されている場合、このアクセス許可を必要とするアプリケーションにユーザーが同意することがあります。 はい いいえ
Directory.ReadWrite.All ディレクトリ データの読み取りおよび書き込み アプリで、ユーザーやグループなどの組織のディレクトリ内のデータを読み書きできるようにします。 アプリでユーザーまたはグループの削除や、ユーザー パスワードのリセットはできません。 はい いいえ
Directory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセス サインインしているユーザーと同じように、アプリでディレクトリ内の情報にアクセスできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Directory.Read.All ディレクトリ データの読み取り サインインしているユーザーなしで、ユーザー、グループ、アプリなどの組織のディレクトリ内のデータをアプリで読み取りできるようにします。 必要
Directory.ReadWrite.All ディレクトリ データの読み取りおよび書き込み アプリで、サインインしているユーザーなしで、ユーザー、グループなどの組織のディレクトリ内のデータを読み取りと書き込みができるようにします。 ユーザーまたはグループの削除はできません。 必要

解説

ディレクトリのアクセス許可は、組織内のディレクトリ リソース (ユーザーグループデバイスなど) に対する最上位レベルの特権を提供します。

また、その他のディレクトリ リソースへのアクセスを排他的に制御します。このリソースには、組織の連絡先スキーマ拡張 APIPrivileged Identity Management (PIM) API などに加え、v1.0 およびベータの API リファレンス ドキュメントの Azure Active Directory ノードにリストされる多数のリソースや API があります。 これには、管理単位、ディレクトリ ロール、ディレクトリ設定、ポリシーなど多くのものが含まれます。

注:

2020 年 12 月 3 日以前、アプリケーション権限 Directory.Read.All が付与されると、非推奨のディレクトリ リーダー ディレクトリの役割もアプリのサービス プリンシパルに割り当てられました。 Directory.ReadWrite.All が付与されると、ディレクトリ ライター ディレクトリの役割も割り当てられました。 これらのディレクトリ ロールは、関連するアプリケーションのアクセス許可が取り消されても自動的に削除されません。 ディレクトリの読み取りまたは書き込みに対するアプリケーションのアクセスを削除するには、アプリケーションに付与されているディレクトリ ロールもすべて削除する必要があります。

この動作を無効にするサービス更新は、2020 年 12 月 3 日に開始されました。 2021 年 1 月 11 日にすべての顧客への展開が完了しました。 アプリケーションのアクセス許可が付与されたときに、ディレクトリの役割が自動的に割り当てられなくなりました。

Directory.ReadWrite.All アクセス許可は、次に示す特権を付与します。

  • すべてのディレクトリ リソースの完全な読み取り (宣言されたプロパティとナビゲーション プロパティの両方)
  • ユーザーの作成と更新
  • ユーザー (会社管理者以外) の無効化と有効化
  • ユーザーの代替セキュリティ ID の設定 (管理者以外)
  • グループの作成と更新
  • グループ メンバーシップの管理
  • グループ所有者の更新
  • ライセンス割り当ての管理
  • アプリケーションのスキーマ拡張の定義
  • ディレクトリの設定を管理
  • 管理者の同意のワークフロー構成を管理する (ただし、管理者の同意の必要性、権限を与えるユーザーは管理できません)

:

  • ユーザーのパスワードを再設定する権限はありません。
  • 他のユーザーのbusinessPhonesmobilePhone、またはotherMails のプロパティの更新を許可されているのは、管理者以外のユーザーまたは次のロールのいずれかを割り当てられたユーザーのみになります。ディレクトリ閲覧者、ゲスト招待元、メッセージ センター閲覧者およびレポート閲覧者。 詳細については、「Azure AD で使用できるロール」のヘルプデスク (パスワード) 管理者を参照してください。 User.ReadWrite.All または Directory.ReadWrite.All の委任またはアプリケーションのアクセス許可のいずれかが与えられているアプリの場合、これに該当します。
  • リソース (ユーザーまたはグループを含む) を削除する権限はありません。
  • 具体的には、上記の一覧に示されていないリソースの作成と更新が除外されます。 これには、application、oAauth2Permissiongrant、appRoleAssignment、device、servicePrincipal、organization、domains などが含まれます。

使用例

委任

  • Directory.Read.All:組織内のすべての管理単位をリストします (GET /beta/administrativeUnits)
  • Directory.ReadWrite.All:ディレクトリ ロールにメンバーを追加します (POST /directoryRoles/{id}/members/$ref)

アプリケーション

  • Directory.Read.All:ディレクトリ ロールと管理単位を含むユーザーのメンバーシップをすべてリストします (GET /beta/users/{id}/memberOf)
  • Directory.Read.All:サービス プリンシパルを含むグループ メンバーをすべてリストします (GET /beta/groups/{id}/members)
  • Directory.ReadWrite.All:グループに所有者を追加します (POST /groups/{id}/owners/$ref)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ドメインのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Domain.Read.All ドメインの読み取り サインインしているユーザーの代わりに、アプリですべてのドメイン プロパティの読み取りを実行できるようにします。 はい 不要
Domain.ReadWrite.All ドメインの読み取りと書き込み サインインしているユーザーの代わりに、アプリですべてのドメイン プロパティの読み取りと書き込みを実行できるようにします。 アプリでドメインの追加、確認、削除を実行できるようにすることもできます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Domain.Read.All ドメインの読み取り ユーザーがサインインしていない状態で、アプリですべてのドメイン プロパティの読み取りを実行できるようにします。 はい
Domain.ReadWrite.All ドメインの読み取りと書き込み サインインしているユーザーなしで、アプリでドメインの読み取りと書き込みを実行できるようにします。 はい

電子情報開示のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
eDiscovery.Read.All ユーザーの電子情報開示ケース データを読み取る サインインしたユーザーに代わって、ケース、カストディアン、レビュー セット、その他の関連オブジェクトなどの電子情報開示オブジェクトの読み取りをアプリに許可します。 はい いいえ
eDiscovery.ReadWrite.All 電子情報開示ケース データの読み取りおよび書き込み サインインしたユーザーに代わって、ケース、カストディアン、レビュー セット、その他の関連オブジェクトなどの電子情報開示オブジェクトの読み取りと書き込みをアプリに許可します。 はい いいえ

アプリケーションのアクセス許可

なし

使用例

委任

  • eDiscovery.Read.All: ユーザーが利用可能なケースの一覧を取得する (GET /compliance/ediscovery/cases)
  • eDiscovery.ReadWrite.All: レビュー セットでレビューセット クエリを作成する (POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


教育機関アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
EduAdministration.Read 教育機関向けアプリの設定を読む ユーザーに代わって教育機関向けアプリ設定をアプリが読み取ることを許可します。 はい いいえ
EduAdministration.ReadWrite 教育機関向けアプリ設定の管理 ユーザーに代わって教育機関向けアプリ設定をアプリが管理することを許可します。 はい いいえ
EduAssignments.ReadBasic 成績を含まないユーザーのクラスの課題の読み取り 対象ユーザーのために、成績を含めずに課題を読み取ることをアプリに許可します はい いいえ
EduAssignments.ReadWriteBasic 成績を含まないユーザーのクラスの課題の読み取りと書き込み 対象ユーザーのために、成績を含めずに課題を読み取ることと書き込むことをアプリに許可します はい いいえ
EduAssignments.Read クラスの課題とその成績のユーザー ビューの読み取り 対象ユーザーのために、課題と成績を読み取ることをアプリに許可します はい いいえ
EduAssignments.ReadWrite クラスの課題とその成績のユーザー ビューの読み取りと書き込み 対象ユーザーのために、課題と成績を読み取ることと書き込むことをアプリに許可します はい いいえ
EduRoster.ReadBasic 名簿のユーザー ビューの限定された一部の読み取り アプリに許可を与えて、組織の名簿内にある学校とクラスの構造のプロパティの限定された一部、およびユーザーの代理として読み込めるユーザーに関するプロパティの限定された一部を読み取ります。 名前、状態、教育ロール、電子メール アドレスが含まれます。 はい いいえ
EduRoster.Read 名簿のユーザー ビューの読み取り アプリに許可を与えて、組織の名簿内にある学校とクラスの構造、およびユーザーの代理として読み込めるユーザーに関する教育機関固有の情報を読み取ります。 はい
EduRoster.ReadWrite 名簿のユーザー ビューの読み取りと書き込み アプリに許可を与えて、組織の名簿内にある学校とクラスの構造、およびユーザーの代理として読み取りと書き込みが行われるユーザーに関する教育機関固有の情報を読み取りおよび書き込みます。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
EduAdministration.Read.All 教育機関向けアプリの設定の読み取り ユーザーに代わって、すべてのMicrosoft教育アプリの状態と設定を読み取ります。 はい
EduAdministration.ReadWrite.All 教育機関向けアプリの設定の管理 ユーザーに代わって、すべてのMicrosoft教育アプリの状態と設定を管理します。 はい
EduAssignments.ReadBasic.All 成績なしですべてのクラス課題を読み取る サインインしているユーザーを持たないすべてのユーザーに対して、成績なしですべてのクラス割り当てを読み取ることができます。 はい
EduAssignments.ReadWriteBasic.All 成績なしですべてのクラス課題を作成、読み取り、更新、削除する サインインしているユーザーを持たないすべてのユーザーに対して、成績なしですべてのクラス割り当てを作成、読み取り、更新、削除できます。 はい
EduAssignments.Read.All 成績を含むすべてのクラス課題を読み取る サインインしているユーザーを持たないすべてのユーザーの成績を含むすべてのクラス割り当てをアプリで読み取ることができます。 はい
EduAssignments.ReadWrite.All 成績を含むすべてのクラス課題を作成、読み取り、更新、削除する サインインしているユーザーを持たないすべてのユーザーの成績を含むすべてのクラス課題をアプリで作成、読み取り、更新、削除できるようにします。 はい
EduRoster.ReadBasic.All 組織の名簿の限定された一部の読み取り。 組織の名簿に含まれている学校とクラスの構造の両方の限定された一部と、すべてのユーザーについての教育に関する特定の情報を読み取ることをアプリに許可します。 はい
EduRoster.Read.All 組織の名簿の読み取り。 組織の名簿に含まれている学校とクラスの両方の構造と、読み取り対象のすべてのユーザーについての教育に関する特定の情報を読み取ることをアプリに許可します。 はい
EduRoster.ReadWrite.All 組織の名簿の読み取りと書き込み。 組織の名簿に含まれている学校とクラスの構造と、読み取りと書き込みの対象となるすべてのユーザーについての教育に関する特定の情報を読み取ることと書き込むことをアプリに許可します。 はい

使用例

委任

  • EduAssignments.Read: サインインしている学生の課題情報を取得します (GET /education/classes/{id}/assignments/{id})
  • EduAssignments.ReadWriteBasic: サインインしている学生の課題を送信します (GET /education/classes/{id}/assignments/{id}submit)
  • EduRoster.ReadBasic: サインインしているユーザーを参加者または教師としてクラス分けします (GET /education/classes/{id}/members)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


従業員学習のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
LearningContent.Read.All 学習コンテンツの読み取り サインインしているユーザーの代わりに、アプリで組織のディレクトリにある学習コンテンツの読み取りを実行できるようにします。  はい 不要
LearningContent.ReadWrite.All 学習コンテンツの管理 サインインしているユーザーの代わりに、アプリが組織のディレクトリにあるすべての学習コンテンツを管理できるようにします。 はい 不要
LearningProvider.Read 学習プロバイダーの読み取り サインインしているユーザーの代わりに、アプリで組織のディレクトリにある学習プロバイダーのデータの読み取りを実行できるようにします。  はい 不要
LearningProvider.ReadWrite 学習プロバイダーの管理 サインインしているユーザーの代わりに、アプリで組織のディレクトリにある学習プロバイダーのデータの作成、更新、読み取り、削除を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
LearningContent.Read.All 学習コンテンツの読み取り ユーザーがサインインしていない状態で、アプリが組織のディレクトリにあるすべての学習コンテンツの読み取りを実行できるようにします。  はい 不要
LearningContent.ReadWrite.All 学習コンテンツの管理 ユーザーがサインインしていない状態で、アプリが組織のディレクトリにあるすべての学習コンテンツを管理できるようにします。 はい 不要

エンタイトルメント管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
EntitlementManagement.ReadWrite.All エンタイトルメント管理リソースの読み取りと書き込み アクセス パッケージと関連するエンタイトルメント管理リソースを読み取り管理するためのアクセスを、サインインしているユーザーの代理としてアプリが要求することを許可します。 はい
EntitlementManagement.Read.All エンタイトルメント管理リソースの読み取り アクセス パッケージと関連するエンタイトルメント管理リソースを読み取るためのアクセスを、サインインしているユーザーの代理としてアプリが要求することを許可します。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
EntitlementManagement.ReadWrite.All エンタイトルメント管理リソースの読み取りと書き込み アプリでアクセス パッケージと関連するエンタイトルメント管理リソースの読み取りと管理を実行できるようにします。 はい
EntitlementManagement.Read.All エンタイトルメント管理リソースの読み取り アプリでアクセス パッケージと関連するエンタイトルメント管理リソースの読み取りを実行できるようにします。 はい

ファイルのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Files.Read ユーザー ファイルの読み取り アプリで、サインインしているユーザーのファイルを読み取れるようにします。 いいえ はい
Files.Read.All ユーザーがアクセスできるすべてのファイルの読み取り アプリで、サインしているユーザーがアクセスできるすべてのファイルを読み取ることができるようにします。 いいえ はい
Files.ReadWrite ユーザー ファイルへのフル アクセスを持つ アプリで、サインインしているユーザーのファイルを読み取り、作成、更新、および削除できるようにします。 いいえ はい
Files.ReadWrite.All ユーザーがアクセスできるすべてのファイルへのフル アクセス アプリで、サインインしているユーザーがアクセス可能なすべてのファイルを読み取り、作成、更新、および削除できるようにします。 いいえ はい
Files.ReadWrite.AppFolder アプリケーションのフォルダーへのフル アクセス (プレビュー) (プレビュー) アプリで、アプリケーションのフォルダー内のファイルを読み取り、作成、更新、および削除できるようにします。 いいえ はい
Files.Read.Selected ユーザーが選んだファイルの読み取り Microsoft Graph の限定的なサポートについては、注釈を参照してください
(プレビュー)ユーザーが選択したファイルをアプリで読み取ることができます。 ユーザーがファイルを選んだ後、アプリで数時間アクセスできます。
いいえ いいえ
Files.ReadWrite.Selected ユーザーが選んだファイルの読み取りと書き込み Microsoft Graph の限定的なサポートについては、注釈を参照してください
(プレビュー)ユーザーが選択したファイルの読み取りと書き込みをアプリに許可します。 ユーザーがファイルを選んだ後、アプリで数時間アクセスできます。
いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Files.Read.All すべてのサイト コレクションにおけるファイルの読み取り アプリで、サインインしているユーザーなしで、すべてのサイト コレクション内のすべてのファイルを読み取れるようにします。 はい
Files.ReadWrite.All すべてのサイト コレクションにおけるファイルの読み取りと書き込み サインイン ユーザーなしで、アプリがすべてのサイト コレクション内のすべてのファイルの読み取り、作成、更新、削除を行えるようにします。 はい

解説

: 個人用アカウントの場合、Files.Read および Files.ReadWrite はサインインしているユーザーと共有しているファイルへのアクセスも許可されます。

Files.Read.Selected および Files.ReadWrite.Selected 委任されたアクセス許可は、職場または学校のアカウントでのみ有効であり、Office 365 ファイル ハンドラー (v1.0) を操作するためにのみ公開されます。 Microsoft Graph API を直接呼び出す場合は使用しないでください。

委任されたアクセス許可の Files.ReadWrite.AppFolder は、個人用アカウントでのみ有効です。また、OneDrive の特殊フォルダーを取得する Microsoft Graph API で App Root 特殊フォルダーにアクセスする場合に使用します。

使用例

委任

  • Files.Read:サインインしているユーザーの OneDrive に保存されているファイルを読み取ります (GET /me/drive/root/children)
  • Files.Read.All:サインインしているユーザーと共有しているファイルを読み取ります (GET /me/drive/root/sharedWithMe)
  • Files.ReadWrite:サインインしているユーザーの OneDrive にファイルを書き込みます (PUT /me/drive/root/children/filename.txt/content)
  • Files.ReadWrite.All:ユーザーと共有するファイルを書き込みます (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
  • Files.ReadWrite.AppFolder:OneDrive 内のアプリのフォルダーにファイルを書き込みます (PUT /me/drive/special/approot/children/file.txt/content)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


財務のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Financials.ReadWrite.All 財務データの読み取りと書き込み アプリで、サインインしているユーザーの代わりに、財務データの読み取りと書き込みを行うことができるようにします。 いいえ

グループのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Group.Read.All すべてのグループの読み取り アプリで、サインインしているユーザーの代わりに、グループを一覧表示し、グループのプロパティとすべてのグループ メンバーシップを読み取ることができるようにします。 アプリで、サインインしているユーザーがアクセスできるすべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツを読み取ることができるようにします。 はい いいえ
Group.ReadWrite.All すべてのグループの読み取りと書き込み アプリで、サインインしているユーザーの代わりに、グループを作成したり、すべてのグループのプロパティとメンバーシップを読み取ったりできるようにします。 アプリで、サインインしているユーザーがアクセスできるすべてのグループの予定表、会話、ファイル、およびその他のグループのコンテンツの読み取りと書き込みができるようにします。 さらに、グループの所有者が自身のグループを管理できるよう、またグループ メンバーがグループのコンテンツを更新できるようにします。 はい いいえ
GroupMember.Read.All グループ メンバーシップを読み取る グループのリスト、基本的なグループ プロパティの読み取り、およびサインインしているユーザーがアクセスできるすべてのグループのメンバーシップの読み取りをアプリに許可します。 はい いいえ
GroupMember.ReadWrite.All グループ メンバーシップを読み取り、書き込みます。 サインインしているユーザーがアクセスできるグループのリスト、基本的なプロパティの読み取り、およびすべてのグループのメンバーシップの読み取りと更新をアプリに許可します。 グループのプロパティと所有者を更新したり、グループを削除したりすることはできません。 はい いいえ
UnifiedGroupMember.Read.AsGuest 統合 (Microsoft 365) グループ メンバーシップをゲスト ユーザーとして読み取る サインインしたゲストがメンバーになっているグループの基本的な統合グループ プロパティ、メンバーシップ、および所有者をアプリが読み取れるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Group.Read.All すべてのグループの読み取り アプリでサインインしているユーザーがいなくても、グループのプロパティとメンバーシップを読み取り、すべてのグループの会話の読み取りができるようにします。 はい
Group.ReadWrite.All すべてのグループの読み取りと書き込み アプリでグループの作成、すべてのグループのプロパティとメンバーシップの読み取り、グループのプロパティとメンバーシップの更新、グループの削除を行うことができるようにします。 また、アプリが会話を読み書きできるようにします。 これらの操作はすべて、サインインしているユーザーがいなくても、アプリで実行できます。 はい
GroupMember.Read.All グループ メンバーシップを読み取る アプリで、サインインしているユーザーがいなくても、すべてのグループのメンバーシップおよび基本的なグループのプロパティを読み取れるようにします。 はい
GroupMember.ReadWrite.All グループ メンバーシップを読み取り、書き込みます。 サインインしているユーザーなしで、アプリが、グループのリスト、基本的なプロパティの読み取り、およびグループのメンバーシップの読み取りと更新をすることを許可します。 グループのプロパティと所有者を更新したり、グループを削除したりすることはできません。 はい
Group.Create グループを作成する サインインしているユーザーがいなくても通話アプリがグループを作成できるようにします。 グループの読み取り、更新、または削除を許可しません。 はい

注釈

グループ機能は、個人用 Microsoft アカウントではサポートされません。

Microsoft 365 グループの場合は、グループのアクセス許可により、グループのコンテンツ (会話、ファイル、メモなど) へのアクセスがアプリに許可されます。

アプリケーションのアクセス許可の場合、サポートされている API にはいくつかの制限があります。 詳細については、「既知の 問題」を参照してください。

場合によっては、 や memberOfなどのmemberグループ プロパティを読み取るために、アプリにディレクトリアクセス許可が必要な場合があります。 たとえば、グループに 1 つ以上の servicePrincipal がメンバーとして含まれている場合、アプリには、いずれかの Directory.* アクセス許可が付与されることで、サービス プリンシパルを読み取るための有効なアクセス許可が必要になります。それ以外の場合、graph Microsoftエラーが返されます。 (委任されたアクセス許可の場合、サインインしているユーザーは、サービス プリンシパルを読み取るために組織内で十分な特権も必要になります)。プロパティにも同じガイダンスが memberOf 適用され、 administrativeUnits を返すことができます。

Microsoft 365 グループの preferredDataLocation 属性を設定するには、アプリに Directory.ReadWrite.All アクセス許可が必要です。 複数地域環境のユーザーが Microsoft 365 グループを作成すると、グループの preferredDataLocation の値は自動的にそのユーザーの場所に設定されます。 グループの優先データの場所の詳細については、「特定のPDL を使用して Microsoft 365 グループを作成」 を参照してください。

グループのアクセス許可は、Microsoft Teams のリソースと API へのアクセスを制御するために使用されます。 個人用 Microsoft アカウントはサポートされません。

グループのアクセス許可は、Microsoft Plannerリソースと API へのアクセスを制御するためにも使用されます。 Microsoft Planner API では委任されたアクセス許可のみがサポートされています。アプリケーションのアクセス許可はサポートされていません。 個人用 Microsoft アカウントはサポートされません。

使用例

委任

  • Group.Read.All: サインインしているユーザーが (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified')) のメンバーになっているすべての Microsoft 365 グループを読み取ります。
  • Group.Read.All: すべての Microsoft 365 グループ コンテンツ (会話など) を読み取ります (GET /groups/{id}/conversations)。
  • Group.ReadWrite.All: グループ プロパティ (photo など) を更新します (PUT /groups/{id}/photo/$value)。
  • GroupMember.ReadWrite.All:: グループ メンバーを更新します (POST /groups/{id}/members/$ref)。

注: これには、メンバーとして追加するユーザーを読み取るための User.ReadBasic.All も必要になります。

アプリケーション

  • Group.Read.All:名前が 'Sales' で始まるグループをすべて検索します (GET /groups?$filter=startswith(displayName,'Sales'))。
  • Group.ReadWrite.All: デーモン サービスにより、Microsoft 365 グループの予定表に新しいイベントを作成します (POST /groups/{id}/events)。
  • Group.Create: 新しいグループを作成します (POST /groups)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID プロバイダーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityProvider.Read.All ID プロバイダー情報の読み取り Azure AD または Azure AD B2C テナントで構成された ID プロバイダーを、サインインしているユーザーの代わりにアプリが読み取れるようにします。 はい いいえ
IdentityProvider.ReadWrite.All ID プロバイダー情報の読み取りと書き込み Azure AD または Azure AD B2C テナントで構成された ID プロバイダーを、サインインしているユーザーの代わりにアプリが読み取りおよび書き込みできるようにします。 はい いいえ

解説

IdentityProvider.Read.AllIdentityProvider.ReadWrite.All は、職場または学校アカウントに対してのみ有効です。 アプリが委任されたアクセス許可で ID プロバイダーを読み取りおよび書き込みするには、サインインしているユーザーにグローバル管理者ロールを割り当てる必要があります。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任

次に示す使用法は、委任されたアクセス許可に対して有効です。

  • IdentityProvider.Read.All:テナントで構成されたすべての ID プロバイダーを読み取ります (GET /beta/identityProviders)
  • IdentityProvider.Read.All:既存の ID プロバイダーを読み取ります (GET /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: ID プロバイダーを作成します (POST /beta/identityProviders)
  • IdentityProvider.ReadWrite.All: 既存の ID プロバイダーを更新します (PATCH /beta/identityProviders/{id})
  • IdentityProvider.ReadWrite.All: 既存の ID プロバイダーを削除します (DELETE /beta/identityProviders/{id})

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID 保護リスクのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityRiskEvent.Read.All ID リスク イベント情報の読み取り アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID リスク イベント情報を読み取れるようにします。 はい 不要
IdentityRiskyUser.Read.All ID ユーザー リスク情報を読み取る アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID ユーザー リスク情報を読み取ることができるようにします。 はい いいえ
IdentityRiskyUser.ReadWrite.All ID ユーザー リスク情報の読み取りと更新 アプリで、サインインしているユーザーの代わりに、組織内のすべてのユーザーの ID ユーザー リスク情報の読み取りおよび更新ができるようにします。 はい 不要
IdentityRiskyServicePrincipal.Read.All すべてのリスクの高いサービス プリンシパル情報の読み取り サインインしているユーザーの代わりに、アプリで組織のすべての危険なサービス プリンシパル情報の読み取りを実行できるようにします。 はい 不要
IdentityRiskyServicePrincipal.ReadWrite.All すべてのリスクの高いサービス プリンシパル情報の読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織内のすべてのサービス プリンシパルの危険なサービス プリンシパル情報の読み取りおよび更新を実行できるようにします。 更新操作には、危険なサービス プリンシパルの却下が含まれます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
IdentityRiskEvent.Read.All ID リスク イベント情報の読み取り サインインしているユーザーなしで、組織内のすべてのユーザーの ID リスク イベント情報をアプリで読み取れるようにします。 必要
IdentityRiskyUser.Read.All ID ユーザー リスク情報を読み取る アプリで、サインインしているユーザーがいなくても、組織内のすべてのユーザーの ID リスク イベント情報を読み取れるようにします。 はい
IdentityRiskyUser.ReadWrite.All ID ユーザー リスク情報の読み取りと更新 アプリで、サインインしているユーザーがいなくても、組織内のすべてのユーザーの ID リスク イベント情報の読み取りおよび更新ができるようにします。 はい
IdentityRiskyServicePrincipal.Read.All すべてのリスクの高いサービス プリンシパル情報の読み取り ユーザーがサインインしなくても、アプリで組織のすべての危険なサービス プリンシパル情報の読み取りを実行できるようにします。 はい
IdentityRiskyServicePrincipal.ReadWrite.All すべてのリスクの高いサービス プリンシパル情報の読み取りと書き込み ユーザーがサインインしていない状態で、組織のリスク サービス プリンシパルの読み取りと更新をアプリに許可します。 はい

すべての ID リスクのアクセス許可は、職場または学校アカウントに対してのみ有効です。 IDリスク情報を読み取るための委任されたアクセス許可を持つアプリの場合、サインインしたユーザーは、次のAzure AD管理者ロール のいずれかのメンバーである必要があります: グローバル管理者、セキュリティ管理者、またはセキュリティリーダー。

使用例

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

リスク イベントの読み取り

  • テナント内のすべてのユーザーに対して生成されたすべてのリスク イベントを読み取ります (GET /identityProtection/riskDetections)
  • 最新の 50 件のリスク イベントを読み取ります (GET /identityProtection/riskDetections?$orderBy=detectedDateTime desc&top=50)

危険なユーザーの読み取り

  • テナント内のリスクが高いユーザーとプロパティをすべて読み取ります (GET /identityProtection/riskyUsers)
  • 集計リスク レベルが中のリスクが高いユーザーをすべて読み取ります (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
  • 特定のユーザーのリスク情報を読み取ります (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

リスクの高いサービス プリンシパルを読み取ります

  • テナント内のリスクの高いサービス プリンシパルとプロパティをすべて読み取ります (GET /identityProtection/riskyServicePrincipals)
  • 集計リスク レベルが中のリスクの高いサービス プリンシパルをすべて読み取ります (GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium')
  • 特定のサービス プリンシパルのリスク情報を読み取ります (GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}')

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ID ユーザー フローのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityUserFlow.Read.All テナントのすべての ID ユーザー フローの読み取り アプリで、組織のユーザー フローの読み取りを実行できるようにします。 はい いいえ
IdentityUserFlow.ReadWrite.All テナントのすべての ID ユーザー フローの読み取りと書き込み。 アプリで、組織のユーザー フローを読み取りまたは書き込みできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
IdentityUserFlow.Read.All テナントのすべての ID ユーザー フローの読み取り アプリで、組織のユーザー フローの読み取りを実行できるようにします。 はい いいえ
IdentityUserFlow.ReadWrite.All テナントのすべての ID ユーザー フローの読み取りと書き込み。 アプリで、組織のユーザー フローを読み取りまたは書き込みできるようにします。 はい いいえ

解説

IdentityUserFlow.Read.AllIdentityUserFlow.ReadWrite.ALL は、職場または学校アカウントでのみ有効です。

ユーザー フローを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが "全体管理者"、"外部 ID ユーザー フロー管理者"、または "グローバル閲覧者" のいずれかの管理者ロールのメンバーになっている必要があります。 ユーザー フローを書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが "全体管理者"、または "外部 ID ユーザー フロー管理者" のいずれかの管理者ロールのメンバーになっている必要があります。

管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任およびアプリケーション

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

  • IdentityUserFlow.Read.All: Azure AD B2C テナントのすべてのユーザー フローの読み取り (GET beta/identity/b2cUserFlows)
  • IdentityUserFlow.Read.All: Azure Active Directory (Azure AD) テナントのすべてのユーザー フローの読み取り (GET beta/identity/b2xUserFlows)
  • IdentityUserFlow.Read.All: Azure AD B2C ユーザー フローのすべてのユーザー属性の割り当ての読み取り (GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments)
  • IdentityUserFlow.ReadWrite.All: Azure AD B2C テナントの新しいユーザー フローの作成 (POST beta/identity/b2cUserFlows)
  • IdentityUserFlow.ReadWrite.All: Azure Active Directory (Azure AD) テナントの新しいユーザー フローの作成 (POST beta/identity/b2xUserflows)
  • IdentitytUserFlow.ReadWrite.All: Azure AD B2C ユーザー フローへの ID プロバイダーの追加 (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
  • IdentitytUserFlow.ReadWrite.All: Azure AD B2C ユーザー フローからの ID プロバイダーの削除 (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
  • IdentityUserFlow.ReadWrite.All: Azure AD B2C ユーザー フローのユーザー属性の割り当ての作成 ( POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments )

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


インシデントのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
SecurityIncident.Read.All インシデントの読み取り サインインしているユーザーの代わりに、アプリでインシデントの読み取りを実行できるようにします。 はい いいえ
SecurityIncident.ReadWrite.All インシデントの読み取りおよび書き込み サインインしているユーザーの代わりに、アプリでインシデントの読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
SecurityIncident.Read.All すべてのインシデントの読み取り サインインしているユーザーなしで、アプリですべてのインシデントの読み取りを実行できるようにします。 はい
SecurityIncident.ReadWrite.All すべてのインシデントの読み取りと書き込み サインインしているユーザーなしで、すべてのインシデントの読み取りと書き込みを実行できるようにします。 はい

備考

インシデントのアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • SecurityIncident.Read.All: ユーザーが読み取りを許可されている組織内のすべてのインシデントを読み取ります (GET /security/incidents)
  • SecurityIncident.ReadWrite.All: ユーザーが読み取りと書き込みを許可されている組織内のすべてのインシデントに対する読み取りと書き込み (GET /security/incidents)

アプリケーション

  • SecurityIncident.Read.All: 組織内のすべてのインシデントを読み取ります (GET /security/incidents)
  • SecurityIncident.ReadWrite.All: 組織内のすべてのインシデントに対する読み取りと書き込み (GET /security/incidents)

情報保護ポリシーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
InformationProtectionPolicy.Read ユーザーの機密ラベルとラベル ポリシーの読み取り サインインしているユーザーの代わりに、アプリで情報保護の機密ラベルとラベル ポリシー設定の読み取りを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
InformationProtectionPolicy.Read.All 組織のすべての発行済みラベルとラベル ポリシーの読み取り ユーザーがサインインしていない状態で、組織全体または特定ユーザーの発行済み機密ラベルとラベル ポリシー設定の読み取りをアプリに許可します。 はい

Intune デバイス管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
DeviceManagementApps.Read.All Microsoft Intune アプリの読み取り アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み取れるようにします。 はい いいえ
DeviceManagementApps.ReadWrite.All Microsoft Intune アプリの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み書きできるようにします。 はい いいえ
DeviceManagementConfiguration.Read.All Microsoft Intune のデバイスの構成とポリシーの読み取り アプリで、Microsoft Intune で管理されるデバイス構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み取れるようにします。 はい いいえ
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune のデバイスの構成とポリシーの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスの構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み書きできるようにします。 はい いいえ
DeviceManagementManagedDevices.PrivilegedOperations.All Microsoft Intune デバイスでユーザーに影響を与えるリモート操作を実行する アプリで、デバイスのワイプや Microsoft Intune で管理されるデバイスのパスコードのリセットなど、影響の大きいリモート操作を実行できるようにします。 はい いいえ
DeviceManagementManagedDevices.Read.All Microsoft Intune デバイスの読み取り アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune デバイスの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み書きできるようにします。 リモート ワイプやデバイスの所有者のパスワードのリセットなど、影響の大きい操作は許可されません。 はい いいえ
DeviceManagementRBAC.Read.All Microsoft Intune RBAC の設定の読み取り アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み取れるようにします。 はい いいえ
DeviceManagementRBAC.ReadWrite.All Microsoft Intune RBAC の設定の読み取りおよび書き込み アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み書きできるようにします。 はい いいえ
DeviceManagementServiceConfig.Read.All Microsoft Intune 構成の読み取り アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Intune サービスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune 構成の読み取りおよび書き込み アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Microsoft Intune サービスのプロパティを読み書きできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
DeviceManagementApps.Read.All Microsoft Intune アプリの読み取り アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み取れるようにします。 はい いいえ
DeviceManagementApps.ReadWrite.All Microsoft Intune アプリの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるアプリ、アプリの構成、アプリ保護ポリシーについて、プロパティ、グループの割り当て、状態を読み書きできるようにします。 はい いいえ
DeviceManagementConfiguration.Read.All Microsoft Intune のデバイスの構成とポリシーの読み取り アプリで、Microsoft Intune で管理されるデバイス構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み取れるようにします。 はい いいえ
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune のデバイスの構成とポリシーの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスの構成のプロパティおよびデバイスのコンプライアンス ポリシーとそのポリシーのグループへの割り当てを読み書きできるようにします。 はい いいえ
DeviceManagementManagedDevices.PrivilegedOperations.All Microsoft Intune デバイスでユーザーに影響を与えるリモート操作を実行する アプリで、デバイスのワイプや Microsoft Intune で管理されるデバイスのパスコードのリセットなど、影響の大きいリモート操作を実行できるようにします。 はい いいえ
DeviceManagementManagedDevices.Read.All Microsoft Intune デバイスの読み取り アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementManagedDevices.ReadWrite.All Microsoft Intune デバイスの読み取りおよび書き込み アプリで、Microsoft Intune で管理されるデバイスのプロパティを読み書きできるようにします。 リモート ワイプやデバイスの所有者のパスワードのリセットなど、影響の大きい操作は許可されません。 はい いいえ
DeviceManagementRBAC.Read.All Microsoft Intune RBAC の設定の読み取り アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み取れるようにします。 はい いいえ
DeviceManagementRBAC.ReadWrite.All Microsoft Intune RBAC の設定の読み取りおよび書き込み アプリで、Microsoft Intune のロール ベースのアクセス制御 (RBAC) の設定に関連するプロパティを読み書きできるようにします。 はい いいえ
DeviceManagementServiceConfig.Read.All Microsoft Intune 構成の読み取り アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Intune サービスのプロパティを読み取れるようにします。 はい いいえ
DeviceManagementServiceConfig.ReadWrite.All Microsoft Intune 構成の読み取りおよび書き込み アプリで、デバイスの登録やサード パーティのサービスの接続構成を含む Microsoft Intune サービスのプロパティを読み書きできるようにします。 はい いいえ

注釈

注:Intune のコントロールおよびポリシーの構成に Microsoft Graph API を使用するには、これまでどおりに顧客が Intune サービスの適切なライセンスを持っている必要があります。

これらのアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • DeviceManagementServiceConfiguration.Read.All:Intune サブスクリプションの現在の状態を確認します (GET /deviceManagement/subscriptionState)。
  • DeviceManagementServiceConfiguration.ReadWrite.All:新しい条項および条件を作成します (POST /deviceManagement/termsAndConditions)。
  • DeviceManagementConfiguration.Read.All:デバイス構成の状態を検索します (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。
  • DeviceManagementConfiguration.ReadWrite.All:デバイス コンプライアンス ポリシーをグループに割り当てます (POST deviceCompliancePolicies/{id}/assign)。
  • DeviceManagementApps.Read.All:Intune に公開したすべての Windows ストア アプリを検索します (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。
  • DeviceManagementApps.ReadWrite.All:新しいアプリケーションを公開します (POST /deviceAppManagement/mobileApps)。
  • DeviceManagementRBAC.Read.All:ロールの割り当てを名前で検索します (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。
  • DeviceManagementRBAC.ReadWrite.All:新しいカスタム ロールを作成します (POST /deviceManagement/roleDefinitions)。
  • DeviceManagementManagedDevices.Read.All:管理対象デバイスを名前で検索します (GET /managedDevices/?$filter=deviceName eq 'My Device')。
  • DeviceManagementManagedDevices.ReadWrite.All:管理対象デバイスを削除します (DELETE /managedDevices/{id})。
  • DeviceManagementManagedDevices.PrivilegedOperations.All:ユーザーの管理対象デバイスのパスコードをリセットします (POST /managedDevices/{id}/resetPasscode)。

アプリケーション

  • DeviceManagementServiceConfiguration.Read.All:Intune サブスクリプションの現在の状態を確認します (GET /deviceManagement/subscriptionState)。
  • DeviceManagementServiceConfiguration.ReadWrite.All:新しい条項および条件を作成します (POST /deviceManagement/termsAndConditions)。
  • DeviceManagementConfiguration.Read.All:デバイス構成の状態を検索します (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。
  • DeviceManagementConfiguration.ReadWrite.All:デバイス コンプライアンス ポリシーをグループに割り当てます (POST deviceCompliancePolicies/{id}/assign)。
  • DeviceManagementApps.Read.All:Intune に公開したすべての Windows ストア アプリを検索します (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。
  • DeviceManagementApps.ReadWrite.All:新しいアプリケーションを公開します (POST /deviceAppManagement/mobileApps)。
  • DeviceManagementRBAC.Read.All:ロールの割り当てを名前で検索します (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。
  • DeviceManagementRBAC.ReadWrite.All:新しいカスタム ロールを作成します (POST /deviceManagement/roleDefinitions)。
  • DeviceManagementManagedDevices.Read.All:管理対象デバイスを名前で検索します (GET /managedDevices/?$filter=deviceName eq 'My Device')。
  • DeviceManagementManagedDevices.ReadWrite.All:管理対象デバイスを削除します (DELETE /managedDevices/{id})。
  • DeviceManagementManagedDevices.PrivilegedOperations.All:ユーザーの管理対象デバイスのパスコードをリセットします (POST /managedDevices/{id}/resetPasscode)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


ライフサイクル ワークフローのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
LifecycleWorkflows.Read.All ライフサイクル ワークフローのすべてのリソースを読み取る アプリがサインインしているユーザーに代わって、すべてのワークフロー、タスク、および関連するライフサイクル ワークフロー リソースを一覧表示および読み取ることができます。 はい いいえ
LifecycleWorkflows.ReadWrite.All すべてのライフサイクル ワークフロー リソースの読み取りと書き込み アプリがサインインしているユーザーに代わって、すべてのワークフロー、タスク、および関連するライフサイクル ワークフロー リソースを作成、更新、一覧表示、読み取り、削除できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
LifecycleWorkflows.Read.All ライフサイクル ワークフローのすべてのリソースを読み取る アプリがサインインしているユーザーなしで、すべてのワークフロー、タスク、関連するライフサイクル ワークフロー リソースを一覧表示および読み取ることができます。 はい
LifecycleWorkflows.ReadWrite.All すべてのライフサイクル ワークフロー リソースの読み取りと書き込み アプリがサインインしているユーザーなしで、すべてのワークフロー、タスク、関連するライフサイクル ワークフロー リソースを作成、更新、一覧表示、読み取り、削除できるようにします。 はい

メールのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Mail.Read ユーザー メールの読み取り アプリで、ユーザー メールボックス内のメールを読み取ることができるようにします。  いいえ はい
Mail.ReadBasic 基本的なメールを読む アプリに、本文BodyPreviewUniqueBody添付ファイル拡張子、および拡張プロパティを除く、サインインしているユーザーのメールボックスを読み取ることを許可します。 メッセージを検索するアクセス許可は含まれていません。 いいえ いいえ
Mail.ReadWrite ユーザーのメールの読み取りおよび書き込みアクセス許可 アプリで、ユーザー メールボックス内のメールの作成、読み取り、更新、削除を行えるようにします。 メールを送信するためのアクセス許可は含まれません。 いいえ はい
Mail.Read.Shared ユーザーのメールと共有のメールの読み取り アプリで、ユーザー自身のメールと共有のメールを含む、ユーザーがアクセス許可を得ているメールを読み取れるようにします。  いいえ いいえ
Mail.ReadWrite.Shared ユーザーのメールと共有のメールの読み取りと書き込み アプリで、ユーザー自身のメールと共有のメールを含むユーザーがアクセス許可を得ているメールの作成、読み取り、更新、削除を行えるようにします。 メールを送信するためのアクセス許可は含まれません。 いいえ いいえ
Mail.Send ユーザーからのメールとして送信 アプリで、組織内のユーザーとしてメールを送信できるようにします。  いいえ はい
Mail.Send.Shared 他のユーザーに代わってメールを送信 アプリで、他のユーザーの代理としての送信を含め、サインインしているユーザーとしてメールを送信できるようにします。  いいえ いいえ
MailboxSettings.Read ユーザーのメールボックス設定の読み取り 読み取りユーザーのメールボックス設定にアプリを許可します。 メールを送信するためのアクセス許可は含まれません。 いいえ はい
MailboxSettings.ReadWrite ユーザーのメールボックス設定の読み取りと書き込み アプリで、ユーザーのメールボックス設定を作成、読み取り、更新、削除できるようにします。 メールを直接送信するためのアクセス許可は含まれていませんが、アプリでメッセージの転送やリダイレクトのルールを作成できるようになります。 いいえ はい
IMAP.AccessAsUser.All IMAP を介したユーザーのメールの読み取りおよび書き込みアクセス許可 アプリで、ユーザー メールボックス内のメールの読み取り、更新、作成、削除を行えるようにします。 メールを送信するためのアクセス許可は含まれません。 いいえ はい
POP.AccessAsUser.All POP を介したユーザーのメールの読み取りおよび書き込みアクセス許可 アプリで、ユーザー メールボックス内のメールの読み取り、更新、作成、削除を行えるようにします。 メールを送信するためのアクセス許可は含まれません。 いいえ はい
SMTP.Send SMTP 認証を使用して、ユーザーとしてメールを送信する アプリで、組織内のユーザーとしてメールを送信できるようにします。 いいえ はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Mail.Read すべてのメールボックスにあるメールの読み取り サインインしているユーザーなしで、すべてのメールボックス内のメールをアプリで読み取れるようにします。 はい
Mail.ReadBasic.All すべてのユーザーの基本メールを読む アプリに、本文、BodyPreview、UniqueBody、添付ファイル、ExtendedProperties、拡張子を除く、すべてのユーザーのメールボックスを読み取ることを許可します。 メッセージを検索するアクセス許可は含まれていません。 はい
Mail.ReadWrite すべてのメールボックスにあるメールの読み取りと書き込み サインインしているユーザーなしで、アプリですべてのメールボックス内のメールの作成、読み取り、更新、削除を行えるようにします。 メールを送信するためのアクセス許可は含まれません。 必要
Mail.Send 任意のユーザーからのメールを送信 サインインしているユーザーなしで、任意のユーザーとしてアプリでメールを送信できるようにします。 必要
MailboxSettings.Read すべてのユーザーのメールボックス設定の読み取り サインインしているユーザーなしでユーザーのメールボックス設定を読み取ることができます。 メールを送信するためのアクセス許可は含まれません。 はい
MailboxSettings.ReadWrite ユーザーのすべてのメールボックス設定の読み取りと書き込み サインインしているユーザーなしで、アプリでユーザーのメールボックス設定の作成、読み取り、更新、削除を行えるようにします。 メールを送信するためのアクセス許可は含まれません。 はい

重要 アプリケーションに Mail.Read、Mail.ReadWrite、Mail.Send、MailboxSettings.Read、または MailboxSettings.ReadWrite のアプリケーション アクセス許可が付与されている場合でも、管理者はアプリケーション アクセス ポリシーを構成して、組織内のすべてのメールボックスではなく特定のメールボックスにアプリケーション アクセスを制限することができます。

注釈

Mail.Read.SharedMail.ReadWrite.SharedMail.Send.Shared は、職場または学校のアカウントでのみ有効です。 その他のすべてのアクセス許可は、Microsoft アカウントと職場または学校アカウントの両方で有効です。

アクセス許可の Mail.Send または Mail.Send.Shared があるアプリは、対応するアクセス許可の Mail.ReadWrite または Mail.ReadWrite.Shared を使用しない場合でも、メールの送信とユーザーの [送信済みアイテム] フォルダーへのコピーが可能になります。

使用例

委任

  • Mail.Read:ユーザーの受信トレイ内のメッセージを receivedDateTime で並べ替えてリストします (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC)。
  • Mail.Read.Shared: サインインしているユーザーと受信トレイを共有しているユーザーのメールボックス内にある添付ファイル付きのメッセージをすべて検索します (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true)。
  • Mail.ReadWrite:メッセージに既読のマークを付けます (PATCH /me/messages/{id})。
  • Mail.Send: メッセージを送信します (POST /me/sendmail)。
  • MailboxSettings.ReadWrite:ユーザーの自動応答を更新します (PATCH /me/mailboxSettings)。

アプリケーション

  • Mail.Read: bob@contoso.com からメッセージを検索します (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com')。
  • Mail.ReadWrite:Expense Reports という名前の受信トレイに新しいフォルダーを作成します (POST /users/{id | userPrincipalName}/mailfolders)。
  • Mail.Send: メッセージを送信します (POST /users/{id | userPrincipalName}/sendmail)。
  • MailboxSettings.Read: ユーザーのメールボックスの既定のタイムゾーンを取得します (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


管理対象テナントのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ManagedTenants.Read.All すべての管理対象テナント固有の情報を読み込む サインインしているユーザーの代わりに、アプリがすべてのマネージド テナント情報の読み取りを実行できるようにします。 はい いいえ
ManagedTenants.ReadWrite.All すべての管理対象テナント固有の情報を読み込み書き込む サインインしているユーザーの代わりに、アプリがすべてのマネージド テナント情報の読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

なし。


メンバーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Member.Read.Hidden 非表示のメンバーシップの読み取り サインインしているユーザーのために、非表示のグループおよび管理単位のメンバーシップをアプリケーションが読み取ることを許可します。サインインしているユーザーがアクセス権を持つ非表示のグループおよび管理単位が対象です。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Member.Read.Hidden すべての非表示のメンバーシップの読み取り サインインしているユーザーなしで、非表示のグループのメンバーシップと管理単位をアプリで読み取れるようにします。 必要

注釈

Member.Read.Hidden は、職場または学校のアカウントでのみ有効です。

一部の Microsoft 365 グループのメンバーシップは非表示にできます。 これは、そのメンバーを表示できるのは、そのグループのメンバーのみになるということです。 この機能は、部外者にはグループのメンバーシップを隠すことを要求する組織の規制に従う際に役立ちます (たとえば、クラスに登録した学生を表す Microsoft 365 グループなど)。

使用例

委任

  • Member.Read.Hidden:サインインしているユーザーのために、メンバーシップが非表示になっている管理単位のメンバーを読み取ります (GET /administrativeUnits/{id}/members)。
  • Member.Read.Hidden:サインインしているユーザーのために、メンバーシップが非表示になっているグループのメンバーを読み取ります (GET /groups/{id}/members)。

アプリケーション

  • Member.Read.Hidden:メンバーシップが非表示になっている管理単位のメンバーを読み取ります (GET /administrativeUnits/{id}/members)。
  • Member.Read.Hidden:メンバーシップが非表示になっているグループのメンバーを読み取ります (GET /groups/{id}/members)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


メモのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Notes.Read ユーザーの OneNote ノートブックの読み取り サインインしているユーザーの代わりに、アプリで OneNote ノートブックとセクションのタイトルの読み取りと、新しいページ、ノートブック、セクションの作成を実行できるようにします。 いいえ はい
Notes.Create ユーザーの OneNote ノートブックの作成 サインインしているユーザーの代わりに、アプリで OneNote ノートブックとセクションのタイトルの読み取りと、新しいページ、ノートブック、セクションの作成を実行できるようにします。 いいえ はい
Notes.ReadWrite ユーザーの OneNote ノートブックの読み取りと書き込み サインインしているユーザーの代わりに、アプリで OneNote ノートブックの読み取り、共有、および変更を実行できるようにします。 いいえ はい
Notes.Read.All ユーザーがアクセスできるすべての OneNote ノートブックの読み取り サインインしているユーザーがアクセスできる組織内の OneNote ノートブックをアプリで読み取れるようにします。 いいえ いいえ
Notes.ReadWrite.All ユーザーがアクセスできるすべての OneNote ノートブックの読み取りと書き込み サインインしているユーザーがアクセスできる組織内の OneNote ノートブックの読み取り、共有、および変更をアプリで実行できるようにします。 いいえ いいえ
Notes.ReadWrite.CreatedByApp ノートブックへの限定的なアクセス (非推奨) 非推奨
使用しないでください。 このアクセス許可によって特権は付与されません。
いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Notes.Read.All すべての OneNote ノートブックの読み取り サインインしているユーザーなしで、組織内のすべての OneNote ノートブックをアプリで読み取れるようにします。 はい
Notes.ReadWrite.All すべての OneNote ノートブックの読み取りと書き込み サインインしているユーザーなしで、組織内のすべての OneNote ノートブックをアプリで読み取り、共有、および変更できるようにします。 必要

注釈

Notes.Read.AllNotes.ReadWrite.All は、職場または学校のアカウントでのみ有効です。 その他のすべてのアクセス許可は、Microsoft アカウントと職場または学校アカウントの両方で有効です。

Notes.Create 権限を使用すると、アプリはサインインしているユーザーの OneNote ノートブック階層を表示し、OneNote コンテンツ (ノートブック、セクション グループ、セクション、ページなど) を作成できます。

また、Notes.ReadWrite および Notes.ReadWrite.All によって、アプリはサインインしているユーザーがアクセス可能な OneNote コンテンツのアクセス許可を変更することもできるようになります。

職場または学校アカウントの場合、Notes.Read.All および Notes.ReadWrite.All により、アプリは、サインインしているユーザーが組織内でアクセス許可を持つ別のユーザーの OneNote コンテンツにアクセスできるようになります。

使用例

委任

  • Notes.Create:サインインしているユーザー用に新しいノートブックを作成します (POST /me/onenote/notebooks)。
  • Notes.Read:サインインしているユーザーのノートブックを読み取ります (GET /me/onenote/notebooks)。
  • Notes.Read.All:サインインしているユーザーが組織内でアクセス可能なすべてのノートブックを取得します (GET /me/onenote/notebooks?includesharednotebooks=true)。
  • Notes.ReadWrite:サインインしているユーザーのページを更新します (PATCH /me/onenote/pages/{id}/$value)。
  • Notes.ReadWrite.All:サインインしているユーザーが組織内でアクセス可能な別のユーザーのノートブックにページを作成します (POST /users/{id}/onenote/pages)。

アプリケーション

  • Notes.Read.All:グループ内のすべてのユーザーのノートブックを読み取ります (GET /groups/{id}/onenote/notebooks)。
  • Notes.ReadWrite.All:組織内の任意のユーザーのノートブックのページを更新します (PATCH /users/{id}/onenote/pages/{id}/$value)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


通知のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Notifications.ReadWrite.CreatedByApp このアプリの通知を配信および管理します。 アプリで、サインインしているユーザーの代わりに、通知を配信することができるようにします。 また、アプリで、このアプリのユーザーの通知項目の読み取り、更新、削除が行えるようにします。 いいえ

解説

Notifications.ReadWrite.CreatedByApp は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。 このアクセス許可に関連付けられている CreatedByApp 制約は、このサービスが呼び出し元アプリの ID (Microsoft アカウント アプリ ID またはクロスプラットフォーム アプリケーション ID 用に構成されたアプリ ID のセットのいずれか) に基づいて結果に暗黙的なフィルター処理を適用することを示しています。

使用例

Delegated

  • Notifications.ReadWrite.CreatedByApp: ユーザー指向の通知を発行します。この通知は、異なるエンドポイントで実行されているユーザーの複数のアプリケーション クライアントに配信することができます (POST /me/notifications/)。

オンライン会議のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OnlineMeetings.Read オンライン会議を読み取ります。 アプリにサインインしたユーザーの代理としてオンライン会議の詳細を読み取ることを許可します。 いいえ いいえ
OnlineMeetings.ReadWrite オンライン会議の読み取りおよび作成を行います。 アプリにサインインしたユーザーの代理としてオンライン会議の作成、および読み取りを行うことを許可します。 いいえ いいえ
OnlineMeetingArtifact.Read.All オンライン会議の成果物を読み取ります。 サインインしているユーザーの代わりに、アプリでオンライン会議の成果物の読み取りを実行できるようにします。 いいえ いいえ
OnlineMeetingTranscript.Read.All オンライン会議のすべてのトランスクリプトを読み取ります。 サインインしているユーザーの代わりに、オンライン会議のすべてのトランスクリプトを読み取ることをアプリに許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
OnlineMeetings.Read.All アプリからオンライン会議の詳細を読み取る アプリで、サインインしているユーザーがいなくても、組織内のオンライン会議の詳細を読み取ることができるようにします。 はい
OnlineMeetings.ReadWrite.All アプリからオンライン会議の詳細を読み取る サインインしているユーザーなしで、オンライン会議の作成、および読み取りを行うことをアプリに許可します。 はい
OnlineMeetingArtifact.Read.All アプリからオンライン会議の成果物を読み取る サインインしているユーザーがいなくても、アプリが組織内のオンライン会議の成果物を読み取ることができるようにします。 はい
OnlineMeetingTranscript.Read.All オンライン会議のすべてのトランスクリプトを読み取ります。 サインインしているユーザーがいなくても、アプリがすべてのオンライン会議のすべてのトランスクリプトを読み取ることができるようにします。 はい

重要 管理者は アプリケーションアクセスポリシー を構成して、ユーザーに代わってアプリがオンライン会議にアクセスできるようにすることができます。

使用例

委任

  • OnlineMeetings.Read: オンライン会議 のプロパティとリレーションシップを取得します (GET /beta/communications/onlinemeetings/{default id})。
  • OnlineMeetings.ReadWrite: オンライン会議 を作成します (POST /beta/communications/onlinemeetings)。

アプリケーション

  • OnlineMeetings.Read.All
    • オンライン会議 (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}')のプロパティと関係を取得します。
    • ユーザーの代理としてオンライン会議 を取得する(`GET /beta/users/{userId}/onlineMeetings/{id})
  • OnlineMeetings.ReadWrite.All
    • ユーザーの代理としてオンライン会議 を作成する(`投稿する /beta/users/{userId}/onlineMeetings/)
    • ユーザーの代理で オンライン会議の をパッチする (' パッチ/beta/ユーザー/{userId}/onlineMeetings/{id})
    • ユーザーの代理として オンライン会議 を削除する(`削除する /beta/users/{userId}/onlineMeetings/{id})

: オンライン会議を作成すると、ユーザーの代理として会議が作成されますが、ユーザーの予定表には表示されません。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


オンプレミスの発行プロファイルのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OnPremisesPublishingProfiles.ReadWrite.All オンプレミスの発行プロファイルにアクセスする サインインしたユーザーの代理としてオンプレミスの発行済みリソース、オンプレミスのエージェントおよびエージェント グループを作成、表示、更新、削除することで、アプリがハイブリッド ID サービスの構成を管理できるようにします。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OnPremisesPublishingProfiles.ReadWrite.All オンプレミスの発行プロファイルにアクセスする ユーザーがサインインしていない状態で、ハイブリッド識別構成の一環としてオンプレミスの公開済みリソース、オンプレミスのエージェントとエージェント グループの作成、表示、更新、削除をアプリに許可します。 はい いいえ

OpenID Connect (OIDC) スコープ

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
email ユーザーのメール アドレスの表示 ユーザーのプライマリ電子メール アドレスをアプリで読み取れるようにします。 いいえ はい
offline_access ユーザーのデータへの常時アクセス 現在アプリを使用していない場合も、アプリでユーザー データの読み取りと更新ができるようにします。 いいえ はい
openid ユーザーのサインイン このアクセス許可を使用すると、アプリは sub 要求の形式でユーザーの一意の識別子を受け取ることができます。 また、このアクセス許可により、UserInfo エンドポイントへのアクセス権もアプリに付与されます。 openid スコープは、Microsoft ID プラットフォーム トークン エンドポイントで ID トークンを取得するために使用できます。 アプリでは、これらのトークンを認証に使用できます。 いいえ はい
profile ユーザーの基本プロファイルの表示 ユーザーの基本プロファイル (名前、写真、ユーザー名) をアプリで確認できるようにします。 いいえ はい

注釈

これらのスコープを使用して、Azure AD の承認とトークン要求で返す成果物を指定できます。 これらは、Azure AD v1.0 エンドポイントと v2.0 エンドポイントによって異なる方法でサポートされます。

Azure AD v1.0 エンドポイントでは、 openid スコープのみが使用されます。 OpenID Connect プロトコルを使用してユーザーをアプリにサインインするときに ID トークンを返す認証要求の スコープ パラメーターで指定します。 詳細については、「 OpenID Connect と Azure Active Directory を使用して Web アプリケーションへのアクセスを承認する」を参照してください。 ID トークンを正常に返すには、アプリを登録するときに User.Read アクセス許可が構成されていることを確認する必要もあります。

Azure AD v2.0 エンドポイントでは、OAuth 2.0 または OpenID Connect プロトコルを使用するときに、offline_access スコープを scope パラメーターに指定して、更新トークンを明示的に要求します。 OpenID Connect では、ID トークンを要求する openid スコープを指定します。 また、電子メール スコープ、プロファイル スコープ、またはその両方を指定して、ID トークンに追加の要求を返すこともできます。 v2.0 エンドポイントで ID トークンを返すために User.Read アクセス許可を指定する必要はありません。 詳細については、「 OpenID Connect スコープ」を参照してください。

重要

現在、Microsoft認証ライブラリ (MSAL) では、承認要求とトークン要求で、offline_accessopenidプロファイルおよび電子メールが既定で指定されています。 つまり、既定のケースでは、これらのスコープを明示的に指定すると、Azure AD からエラーが返される可能性があります。


組織のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Organization.Read.All 会社情報の読み取り サインインしたユーザーの代理として、アプリで組織および関連するリソースの読み取りを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい いいえ
Organization.ReadWrite.All 組織情報の読み取りと書き込み サインインしたユーザーの代理として、アプリで組織および関連するリソースの読み取りと書き込みを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Organization.Read.All 会社情報の読み取り サインインしたユーザーがいない場合でも、アプリで組織および関連するリソースの読み取りを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい
Organization.ReadWrite.All 組織情報の読み取りと書き込み サインインしたユーザーがいない場合でも、アプリで組織および関連するリソースの読み取りと書き込みを実行できるようにします。 関連するリソースには、購読している SKU やテナントのブランド情報などがあります。 はい

使用例

委任

  • Organization.Read.All: 組織情報を取得 (GET /organization)。
  • Organization.Read.All: 組織が購読した SKU を取得 (GET /subscribedSkus)。

アプリケーション

  • Organization.ReadWrite.All: 組織情報を更新 (technicalNotificationMails など) (PATCH /organization/{id})。

組織の連絡先のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
OrgContact.Read.All 組織の連絡先の読み取り サインインしているユーザーの代わりに、アプリですべての組織の連絡先を読み取れるようにします。 これらは組織によって管理されている連絡先であり、ユーザー個人の連絡先とは異なります。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
OrgContact.Read.All 組織の連絡先の読み取り ユーザーのサインインなしで、アプリですべての組織の連絡先を読み取れるようにします。 これらは組織によって管理されている連絡先であり、ユーザー個人の連絡先とは異なります。 はい

使用例

委任

  • OrgContact.Read.All: すべての組織の連絡先を取得 (GET /contacts)。

People のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
People.Read ユーザーに関係する連絡先リストの読み取り サインインしているユーザーに関連するユーザーのスコア付けされた一覧をアプリで読み取ることができます。 リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。 いいえ はい
People.Read.All すべてのユーザーに関係する連絡先リストの読み取り サインインしたユーザー、またはサインインしているユーザーの組織内の他のユーザーに関連する、ユーザーのスコアの付いたリストを、アプリで読み取れるようにします。 リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。 また、サインインしているユーザーの組織のディレクトリ全体を、アプリで検索することもできます。  はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
People.Read.All すべてのユーザーに関係する連絡先リストの読み取り サインインしたユーザー、またはサインインしているユーザーの組織内の他のユーザーに関連する、ユーザーのスコアの付いたリストを、アプリで読み取れるようにします。

リストには、個人の連絡先、ソーシャル ネットワーキングまたは組織のディレクトリからの連絡先、最近 (電子メール、Skype などで) 連絡した人を含めることができます。 また、サインインしているユーザーの組織のディレクトリ全体を、アプリで検索することもできます。 
はい

注釈

People.Read.All アクセス許可は会社用および学校用のアカウントにのみ有効です。

使用例

委任

  • People.Read:関連する人物のリストを読み取ります (GET /me/people)
  • People.Read.All:同じ組織内の他のユーザーに関連する人物のリストを読み取ります (GET /users('{id})/people)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


特権アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
PrivilegedAccess.ReadWrite.AzureAD ディレクトリの Privileged Identity Management データの読み取りと書き込み Azure AD の Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 はい いいえ
PrivilegedAccess.ReadWrite.AzureADGroup 特権アクセス グループの Privileged Identity Management データの読み取りと書き込み グループの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 はい いいえ
PrivilegedAccess.ReadWrite.AzureResources Azure リソースの Privileged Identity Management データの読み取りと書き込み Azure リソースの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
PrivilegedAccess.Read.AzureAD ディレクトリの Privileged Identity Management データの読み取り Azure AD の Privileged Identity Management API に対する読み取りアクセス権をアプリに付与できます。 必要
PrivilegedAccess.Read.AzureADGroup 特権アクセス グループの Privileged Identity Management データの読み取り Azure AD の Privileged Identity Management API に対する読み取りアクセス権をアプリに付与できます。 必要
PrivilegedAccess.Read.AzureResources Azure リソースの Privileged Identity Management データの読み取り Azure AD リソースの Privileged Identity Management API に対する読み取りおよび書き込みアクセス権をアプリに付与できます。 必要

場所のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Place.Read.All 会社全体の場所を読み取る アプリでテナント用に Exchange Online でセットアップされた会社内の場所 (会議室や会議室一覧) の読み取りを実行できるようにします。 はい いいえ
Place.ReadWrite.All すべての会社の場所の読み取りと書き込み アプリでテナント用に Exchange Online でセットアップされた会社内の場所 (会議室や会議室一覧) の読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Place.Read.All 会社全体の場所を読み取る アプリでカレンダー イベントやその他のアプリケーション用に会社内の場所 (会議室や会議室一覧) の読み取りを実行できるようにします。 はい

ポリシー許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Policy.Read.All 組織のポリシーの読み取り サインインしているユーザーの代わりに、アプリで組織のポリシーを読み取れるようにします。 はい いいえ
Policy.Read.PermissionGrant 同意とアクセス許可付与ポリシーの読み取り サインインしているユーザーに代わり、アプリケーションが、同意とアクセス許可付与ポリシーを読み取れるようにします。 はい いいえ
Policy.ReadWrite.AccessReview 組織のアクセス レビュー ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織のアクセス レビュー ポリシーの読み取りと書き込みを実行できるようにします。 はい いいえ
Policy.ReadWrite.ApplicationConfiguration 組織のアプリケーション構成ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織のアプリケーション構成ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.AuthenticationFlows 組織の認証フロー ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで認証フロー ポリシーの読み取りと書き込みを実行できるようにします。 はい いいえ
Policy.ReadWrite.AuthenticationMethod 認証方法ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリが認証方法ポリシーの読み取りと書き込みを実行できるようにします。 サインインしたユーザーには、グローバル管理者の役割も割り当てられている必要があります。 はい いいえ
Policy.ReadWrite.Authorization 組織の承認ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の承認ポリシーの読み取りと書き込みを実行できるようにします。 たとえば、承認ポリシーでは既定のユーザー ロールに既定で割り当てられるアクセス許可の一部を制御できます。 必要 いいえ
Policy.ReadWrite.ConditionalAccess 組織の条件付きアクセス ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の条件付きアクセス ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.ConsentRequest 組織の同意要求ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の同意要求ポリシーの読み取りと書き込みを実行できるようにします。 はい 不要
Policy.ReadWrite.CrossTenantAccess 組織のクロス テナント アクセス ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織のクロス テナント アクセス ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.FeatureRollout 組織の機能ロールアウト ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の機能ロールアウト ポリシーの読み取りと書き込みを行えるようにします。 特定の機能のロールアウトにユーザーとグループを割り当てたり、除去したりできます。 はい いいえ
Policy.ReadWrite.PermissionGrant 同意とアクセス許可付与ポリシーの管理 サインインしているユーザーに代わり、アプリケーションが、同意とアクセス許可付与ポリシーを管理できるようにします。 はい いいえ
Policy.ReadWrite.TrustFramework 組織の信頼フレームワーク ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の信頼フレームワーク ポリシーの読み取りと書き込みを行えるようにします。 はい いいえ
Policy.ReadWrite.AuthenticationMethod 組織の認証方法ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリが認証方法ポリシーの読み取りと書き込みを実行できるようにします。 必要 いいえ
Policy.ReadWrite.MobilityManagement 組織のモビリティ管理ポリシーの読み取りと書き込みを行います。 サインインしているユーザーの代わりに、アプリにモビリティ管理ポリシーの読み取りおよび書き取りを許可します。 これらは、モバイル デバイス管理 (MDM) およびモバイル アプリケーション管理 (MAM) アプリケーションの設定を制御します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Policy.Read.All 組織のポリシーを読み取る サインインしているユーザーなしで、組織のすべてのポリシーをアプリで読み取れるようにします。 はい
Policy.Read.PermissionGrant 同意とアクセス許可付与ポリシーの読み取り ユーザーがサインインしていない状態で、アプリケーションが、同意とアクセス許可付与ポリシーを読み取れるようにします。 はい
Policy.Read.ApplicationConfiguration 組織のアプリケーション構成ポリシーの読み取り サインインしているユーザーなしに、アプリですべての組織のアプリケーション構成ポリシーの読み取りを行えるようにします。 はい
Policy.ReadWrite.AccessReview 組織のアクセス レビュー ポリシーの読み取りと書き込み サインインしたユーザーなしで、組織のアクセス レビュー ポリシーの読み取りと書き込みをアプリに許可します。 はい
Policy.ReadWrite.ApplicationConfiguration 組織のアプリケーション構成ポリシーの読み取りと書き込み ユーザーがサインインしていない状態で、アプリですべての組織のアプリケーション構成ポリシーの読み取りと書き込みを実行できるようにします。 はい
Policy.ReadWrite.AuthenticationFlows 組織の認証フロー ポリシーの読み取りと書き込み ユーザーがサインインしていない状態で、アプリで認証フロー ポリシーの読み取りと書き込みを実行できるようにします。 必要
Policy.ReadWrite.Authorization 組織の承認ポリシーの読み取りと書き込み サインインしているユーザーの代わりに、アプリで組織の承認ポリシーの読み取りと書き込みを実行できるようにします。 たとえば、承認ポリシーでは既定のユーザー ロールに既定で割り当てられるアクセス許可の一部を制御できます。 必要
Policy.ReadWrite.ConsentRequest 組織の同意要求ポリシーの読み取りと書き込み サインインしたユーザーなしで、組織の同意要求ポリシーの読み取りと書き込みをアプリに許可します。 はい
Policy.ReadWrite.CrossTenantAccess 組織のクロス テナント アクセス ポリシーの読み取りと書き込み ユーザーがサインインしていない状態で、アプリで組織のクロス テナント アクセス ポリシーの読み取りと書き込みを実行できるようにします。 必要
Policy.ReadWrite.AuthenticationMethod すべての認証方法ポリシーの読み取りと書き込み ユーザーがサインインしていなくても、アプリですべての認証方法ポリシーの読み取りと書き込みを実行できるようにします。 はい
Policy.ReadWrite.FeatureRollout 機能ロールアウト ポリシーの読み取りと書き込み サインインしているユーザーなしで、機能ロールアウト ポリシーの読み取りと書き込みがアプリでできるようにします。 特定の機能のロールアウトにユーザーとグループを割り当てたり、除去したりできます。 はい
Policy.ReadWrite.PermissionGrant 同意とアクセス許可付与ポリシーの管理 ユーザーがサインインしていない状態で、アプリケーションが、同意とアクセス許可付与ポリシーを管理できるようにします。 はい
Policy.ReadWrite.TrustFramework 組織の信頼フレームワーク ポリシーの読み取りと書き込み サインインしているユーザーなしで、アプリで組織の信頼フレームワーク ポリシーの読み取りと書き込みを行えるようにします。 はい

使用例

次に示す使用法は、委任されたアクセス許可とアプリケーションのアクセス許可のどちらでも有効です。

  • Policy.Read.All: 組織のポリシーの読み取り (GET /policies)
  • Policy.Read.All: 組織の信頼フレームワーク ポリシーの読み取り (GET /beta/trustFramework/policies)
  • Policy.Read.All: 組織の機能ロールアウト ポリシーの読み取り (GET /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.ConditionalAccess: 組織のアクセス レビュー ポリシーの読み取りと書き込み (PATCH /beta/policies/accessReviewPolicy)
  • Policy.ReadWrite.ApplicationConfiguration: 組織のアプリケーション構成ポリシーの読み取りと書き込み (POST /beta/policies/tokenLifetimePolicies)
  • Policy.ReadWrite.AuthenticationFlows: 組織の認証フロー ポリシーを読み取り書き込みます (PATCH /beta/policies/authenticationFlowsPolicy)
  • Policy.ReadWrite.AuthenticationMethod: このアクセス許可を使用して、認証方法の有効化と無効化、ユーザーとグループによるこれらの方法の使用の許可、ユーザーがテナントに登録して使用できる認証方法に関連するその他の設定の構成など、認証方法ポリシーの設定を管理します。
  • Policy.ReadWrite.ConditionalAccess: 組織の条件付きアクセス ポリシーの読み取りと書き込み (POST /beta/identity/conditionalAccess/policies)
  • Policy.ReadWrite.CrossTenantAccess: 組織のクロス テナント アクセス ポリシーの読み取りと書き込み (PATCH /beta/policies/crossTenantAccessPolicy)
  • Policy.ReadWrite.FeatureRollout: 組織の機能ロールアウト ポリシーの読み取りと書き込み (POST /beta/directory/featureRolloutPolicies)
  • Policy.ReadWrite.TrustFramework: 組織の信頼フレームワーク ポリシーの読み取りと書き込み (POST /beta/trustFramework/policies)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


プレゼンスのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Presence.Read ユーザーのプレゼンス情報を読み取る サインインしているユーザーの代わりに、プレゼンス情報の読み取りを実行できるようにします。 プレゼンス情報には、アクティビティ、可用性、ステータス メモ、カレンダーの不在メッセージ、タイムゾーン、場所が含まれます。 いいえ
Presence.Read.All 組織内のすべてのユーザーのプレゼンス情報を読み取る サインインしているユーザーの代わりに、ディレクトリ内のすべてのユーザーのプレゼンス情報の読み取りを実行できるようにします。 プレゼンス情報には、アクティビティ、可用性、ステータス メモ、カレンダーの不在メッセージ、タイムゾーン、場所が含まれます。 いいえ
Presence.ReadWrite ユーザーのプレゼンス情報の読み取りと書き込み サインインしているユーザーの代わりに、アプリでプレゼンス情報の読み取り、アクティビティと可用性の書き込みを実行できるようにします。 プレゼンス情報には、アクティビティ、可用性、ステータス メモ、カレンダーの不在メッセージ、タイムゾーン、場所が含まれます。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Presence.ReadWrite.All すべてのユーザーのプレゼンス情報の読み取りと書き込み サインインしているユーザーなしで、アプリですべてのプレゼンス情報を読み取り、ディレクトリ内のすべてのユーザーのアクティビティと可用性を書き込みます。 プレゼンス情報には、アクティビティ、可用性、ステータス メモ、カレンダーの不在メッセージ、タイムゾーン、場所が含まれます。 はい

使用例

  • Presence.Read: サインインしている場合は、自分のプレゼンス情報を取得する (GET /me/presence)
  • Presence.Read.All: 別のユーザーのプレゼンス情報を取得する (GET /users/{id}/presence)
  • Presence.Read.All: 複数のユーザーのプレゼンス情報を取得する (POST /communications/getPresencesByUserId)
  • Presence.ReadWrite:
    • サインインしている場合は、プレゼンス セッションの状態を設定する (POST /me/presence/setPresence)
    • サインインしている場合は、独自の優先プレゼンスを設定する (POST /me/presence/setUserPreferredPresence)
  • Presence.ReadWrite.All:
    • ユーザーのプレゼンス セッションの状態をアプリケーションに設定する (POST /users/{id}/presence/setPresence)
    • ユーザーの優先プレゼンスをアプリケーションに設定する (POST /users/{id}/presence/setUserPreferredPresence)

プログラムおよびプログラム コントロールのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ProgramControl.Read.All すべてのプログラムを読み取る サインインしているユーザーの代わりに、アプリでプログラムの読み取りを実行できるようにします。 はい いいえ
ProgramControl.ReadWrite.All すべてのプログラムを管理する サインインしているユーザーの代わりに、アプリでプログラムの読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ProgramControl.Read.All すべてのプログラムを読み取る サインインしているユーザーなしで、アプリでプログラムの読み取りを実行できるようにします。 はい
ProgramControl.ReadWrite.All すべてのプログラムを管理する サインインしているユーザーなしで、アプリでプログラムの読み取りと書き込みを実行できるようにします。 はい

注釈

ProgramControl.Read.AllProgramControl.ReadWrite.All は、職場または学校アカウントに対してのみ有効です。

プログラムおよびプログラム コントロールを読み取るための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、「セキュリティ管理者」、「セキュリティ閲覧者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。 プログラムとプログラム コントロールに書き込むための委任されたアクセス許可があるアプリの場合、サインインしているユーザーが「全体管理者」、または「ユーザー管理者」のいずれかの管理者ロールのメンバーになっている必要があります。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。


レコード管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
RecordsManagement.Read.All Microsoft Purview レコード管理からデータを読み取る。 アプリケーションは、サインインしているユーザーに代わって、ラベル名、イベント名、イベントの種類名など、Microsoft Purview レコード管理ソリューションから任意のデータを読み取ることを許可します。 はい
RecordsManagement.ReadWrite.All Microsoft Purview レコード管理から任意のデータを読み取り、書き込みます。 サインインしているユーザーに代わって、ラベル、イベント、イベント タイプなど、Microsoft Purview レコード管理ソリューションからデータを作成、更新、削除できるようにします。 はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
RecordsManagement.Read.All Microsoft Purview レコード管理からデータを読み取る。 アプリケーションは、サインインしているユーザーに代わって、ラベル名、イベント名、イベントの種類名など、Microsoft Purview レコード管理ソリューションから任意のデータを読み取ることを許可します。 はい
RecordsManagement.ReadWrite.All Microsoft Purview レコード管理から任意のデータを読み取り、書き込みます。 サインインしているユーザーに代わって、ラベル、イベント、イベント タイプなど、Microsoft Purview レコード管理ソリューションからデータを作成、更新、削除できるようにします。 はい

使用例

委任

  • RecordsManagement.Read.All: Microsoft Purview レコード管理 (GET /security/labels/retentionLabels) からユーザーが使用できるラベルの一覧を取得します。
  • RecordsManagement.ReadWrite.All: Microsoft Purview レコード管理でラベルを作成する (POST /security/labels/retentionLabels/)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


レポートのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Reports.Read.All すべての利用状況レポートの読み取り サインインしているユーザーの代わりに、アプリですべてのサービス利用状況レポートの読み取りを実行できるようにします。 利用状況レポートを提供するサービスには、Microsoft 365 と Azure Active Directory が含まれます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Reports.Read.All すべての利用状況レポートの読み取り アプリでサインインしているユーザーがいなくても、すべてのサービス利用状況レポートの読み取りができるようにします。 利用状況レポートを提供するサービスには、Microsoft 365 と Azure Active Directory が含まれます。 はい

備考

  • レポートのアクセス許可は、職場または学校アカウントでのみ有効です。
  • アプリがユーザーの代わりにサービス利用状況レポートを読み込むことを許可するための委任されたアクセス許可については、テナント管理者は Azure AD の制限付き管理者ロールをユーザーに割り当てておく必要があります。 詳細については、「Microsoft 365 利用状況レポートを読み込むための API 用の承認」 を参照してください。

使用例

アプリケーション

  • Reports.Read.All:7 日間の期間で電子メール アプリの利用状況詳細レポートを読み取ります (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)。
  • Reports.Read.All:'2017-01-01' の日付で電子メールのアクティビティ詳細レポートを読み取ります (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)。
  • Reports.Read.All: Microsoft 365 ライセンス認証詳細レポートを読み取ります (GET /reports/Office365Activations(view='Detail')/content)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


役割管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
RoleAssignmentSchedule.Read.Directory 会社のディレクトリのアクティブなロールの割り当てをすべて読み取ります。 サインインしているユーザーの代わりに、アプリが会社のディレクトリのアクティブなロールベースのアクセス制御 (RBAC) 割り当てを読み取ることができます。 これには、ディレクトリ ロール テンプレートの読み取りとディレクトリ ロールが含まれます。 はい いいえ
RoleEligibilitySchedule.Read.Directory 会社のディレクトリの資格のあるロールの割り当てをすべて読み取ります。 サインインしているユーザーの代わりに、アプリが会社のディレクトリの対象となるロールベースのアクセス制御 (RBAC) の割り当てを読み取ることができます。 これには、ディレクトリ ロール テンプレートの読み取りとディレクトリ ロールが含まれます。 はい いいえ
RoleManagement.Read.All すべての RBAC プロバイダーのロール管理データを読み取ります。 サインインしたユーザーに代わって、サポートされているすべての RBAC プロバイダーのロールベースのアクセス制御 (RBAC) 設定をアプリが読み取ることができるようにします。 これには、ロール定義の読み取り、およびロールの割り当ても含まれます。 はい いいえ
RoleManagement.Read.Directory Azure AD のロール管理データを読み取ります。 サインインしたユーザーの代わりに、アプリで会社のディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りを実行できるようにします。 これには、ディレクトリ ロール テンプレート、ディレクトリ ロール、およびメンバーシップの読み取りが含まれます。 はい いいえ
RoleManagementPolicy.Read.Directory 会社のディレクトリの特権ロールの割り当てをすべて読み取ります。 サインインしたユーザーの代わりに、アプリで会社のディレクトリの役割ベースのアクセス制御 (RBAC) 割り当てを読み取れるようにします。 はい いいえ
RoleAssignmentSchedule.ReadWrite.Directory 会社のディレクトリのアクティブなロールの割り当てをすべて読み取り、更新、削除します。 サインインしているユーザーに代わって、アプリが会社のディレクトリのアクティブなロールベースのアクセス制御 (RBAC) 割り当てを読み取って管理できるようにします。 これには、Active Directory ロール メンバーシップの管理、ディレクトリ ロール テンプレート、ディレクトリ ロール、アクティブ メンバーシップの読み取りが含まれます。 はい いいえ
RoleEligibilitySchedule.ReadWrite.Directory 会社のディレクトリの対象となるすべてのロールの割り当てを読み取り、更新、削除します。 サインインしているユーザーの代わりに、アプリが会社のディレクトリの対象となるロールベースのアクセス制御 (RBAC) 割り当てを読み取って管理できるようにします。 これには、対象となるディレクトリ ロール メンバーシップの管理、ディレクトリ ロール テンプレート、ディレクトリ ロール、および適格なメンバーシップの読み取りが含まれます。 はい いいえ
RoleManagement.ReadWrite.Directory Azure AD のロール管理データの読み取りと書き込みを行います。 サインインしたユーザーの代わりに、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。 これには、ディレクトリ ロールのインスタンスの作成、ディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。 はい いいえ
RoleManagementPolicy.ReadWrite.Directory 会社のディレクトリに対する特権ロールの割り当てポリシーをすべて読み取り、更新、削除します。 サインインしたユーザーの代わりに、アプリで会社のディレクトリに対する特権役割ベースのアクセス制御 (RBAC) 割り当ての読み取りと管理を実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
RoleManagement.Read.All すべての RBAC プロバイダーのロール管理データを読み取ります。 サインインしたユーザーなしで、サポートされているすべての RBAC プロバイダーのロールベースのアクセス制御 (RBAC) 設定をアプリが読み取ることができるようにします。 これには、ロール定義の読み取り、およびロールの割り当ても含まれます。 はい
RoleManagement.Read.Directory Azure AD のロール管理データを読み取ります。 サインインしているユーザーがいない場合でも、アプリで会社のディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りを実行できるようにします。 これには、ディレクトリ ロール テンプレート、ディレクトリ ロール、およびメンバーシップの読み取りが含まれます。 はい
RoleManagement.ReadWrite.Directory Azure AD のロール管理データの読み取りと書き込みを行います。 サインインしているユーザーがいない場合でも、アプリでディレクトリの役割ベースのアクセス制御 (RBAC) 設定の読み取りと管理を実行できるようにします。 これには、ディレクトリ ロールのインスタンスの作成、ディレクトリ ロール メンバーシップの管理、およびディレクトリ ロール テンプレート、ディレクトリ ロール、メンバーシップの読み取りが含まれます。 はい

注釈

注意

RoleManagement.ReadWrite.Directory などの承認を許可するアクセス許可を使用すると、アプリケーションは自分自身、他のアプリケーション、または任意のユーザーに追加の特権を付与できます。 これらのアクセス許可のいずれかを付与するときは注意してください。

RoleManagement.Read.Directory のアクセス許可を持つアプリケーションでは、directoryRoles および directoryRoleTemplates を読み取ることができます。 これには、ディレクトリ ロールのメンバーシップ情報の読み取りが含まれます。

RoleManagement.ReadWrite.Directory のアクセス許可を持つアプリケーションでは、directoryRoles (directoryRoleTemplates は読み取り専用リソースです) の読み取りと書き込みを行えます。 これには、ディレクトリ ロールでのメンバーの追加と削除が含まれます。

役割管理のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

  • RoleManagement.Read.Directory: 利用可能なロール テンプレートの一覧を読み取ります (GET /directoryRoleTemplates)
  • RoleManagement.Read.Directory: ディレクトリで有効化された役割の一覧を読み取ります (GET /directoryRoles)
  • RoleManagement.Read.Directory: 役割のメンバーの一覧を読み取ります (GET /directoryRoles/<id>/members)
  • RoleManagement.Read.Directory: 役割の、管理単位の対象メンバーの一覧を読み取ります (GET /directoryRoles/<id>/scopedMembers)
  • RoleManagement.ReadWrite.Directory: ロール テンプレートからディレクトリ ロールをアクティブ化する (POST /directoryRoles)
  • RoleManagement.ReadWrite.Directory: メンバーをディレクトリ ロールに追加します (POST /directoryRoles/<id>/members)
  • RoleManagement.ReadWrite.Directory: 管理単位の対象メンバーをディレクトリ ロールに追加します (POST /directoryRoles/<id>/scopedMembers)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


スケジュール管理のアクセス許可 (プライベート プレビュー)

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Schedule.ReadWrite.All (プライベート プレビュー) シフト サービス (Teams) データの読み取りと書き込み サインインしているユーザーがいない場合でも、スケジュール、スケジュール グループ、シフト、およびシフト アプリケーションの関連エンティティの読み取りと書き込みをアプリが実行できるようにします。 必要 いいえ
Schedule.Read.All (プライベート プレビュー) シフト サービス (Teams) データの読み取り サインインしているユーザーがいない場合でも、スケジュール、スケジュール グループ、シフト、およびシフト アプリケーションの関連エンティティの読み取りをアプリが実行できるようにします。 必要 いいえ

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Schedule.ReadWrite.All シフト サービス (Teams) データの読み取りと書き込み サインインしたユーザーに代わって、アプリがスケジュール、スケジュールグループ、シフト、およびシフトアプリケーション内の関連エンティティを読み取りおよび書き出しできるようにします。 いいえ いいえ
Schedule.Read.All シフト サービス (Teams) データの読み取り サインインしたユーザーに代わって、アプリがスケジュール、スケジュールグループ、シフト、およびシフトアプリケーション内の関連エンティティを読み取ることができるようにします。 いいえ いいえ
WorkforceIntegration.ReadWrite.All (プライベートプレビュー) 従業員の統合の読み取りと書き込み サインインしたユーザーに代わってアプリが従業員の統合を管理し、Microsoft Teams Shifts からのデータを統合システムと同期できるようにします。 必要 いいえ
WorkforceIntegration.Read.All (プライベートプレビュー) 従業員の統合の読み取りと書き込み サインインしたユーザーに代わってアプリが従業員の統合を管理し、Microsoft Teams Shifts からのデータを統合システムと同期できるようにします。 必要 いいえ

検索アクセス許可

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ExternalConnection.Read.All すべての外部接続の読み取り サインインしているユーザーなしで、すべての外部接続の読み取りを実行できるようにします。 はい いいえ
ExternalConnection.ReadWrite.All すべての外部接続の読み取りと書き込み サインインしているユーザーなしで、すべての外部接続の読み取りと書き込みを実行できるようにします。 はい いいえ
ExternalConnection.ReadWrite.OwnedBy 外部接続と接続設定の読み取りおよび書き込み サインインしているユーザーなしで、外部接続およびその設定の読み取りと書き込みを実行できるようにします。 アプリは、承認されている外部接続の読み取りと書き込みのみが可能であるか、新しい外部接続を作成することができます。 はい いいえ
ExternalItem.Read.All すべての外部アイテムの読み取り サインインしているユーザーなしで、すべての外部アイテムの読み取りを実行できるようにします。 はい いいえ
ExternalItem.ReadWrite.All すべての外部アイテムの読み取りと書き込み サインインしているユーザーなしで、すべての外部アイテムの読み取りと書き込みを実行できるようにします。 はい いいえ
ExternalItem.ReadWrite.OwnedBy 外部アイテムの読み取りと書き込み サインインしているユーザーなしで、外部アイテムの読み取りと書き込みを実行できるようにします。 アプリは、承認されている接続の外部アイテムのみを読み取ることができます。 はい いいえ

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Acronym.Read.All すべての頭字語を読み取る サインインしているユーザーの代わりに、アプリがすべての頭字語を読み取ることができます。 いいえ いいえ
Bookmark.Read.All すべてのブックマークを読み取る サインインしているユーザーの代わりに、アプリですべてのブックマークを読み取ることができます。 いいえ いいえ
ExternalConnection.Read.All すべての外部接続の読み取り サインインしているユーザーの代わりに、アプリがすべての外部接続の読み取りを実行できるようにします。 はい いいえ
ExternalConnection.ReadWrite.All すべての外部接続の読み取りと書き込み サインインしているユーザーの代わりに、アプリがすべての外部接続の読み取りと書き込みを実行できるようにします。 はい いいえ
ExternalConnection.ReadWrite.OwnedBy 外部接続の読み取りと書き込み サインインしているユーザーの代わりに、アプリでプログラムの読み取りと書き込みを実行できるようにします。 アプリは、承認されている外部接続の読み取りと書き込みのみが可能であるか、新しい外部接続を作成することができます。 はい いいえ
ExternalItem.Read.All 外部データの読み取り アプリがサインインしているユーザーに代わって外部データセットとコンテンツを読み取ることを許可します。 はい いいえ
ExternalItem.ReadWrite.All すべての外部アイテムの読み取りと書き込み サインインしているユーザーの代わりに、アプリがすべての外部アイテムの読み取りと書き込みを実行できるようにします。 はい いいえ
ExternalItem.ReadWrite.OwnedBy 外部アイテムの読み取りと書き込み サインインしているユーザーの代わりに、アプリが外部アイテムの読み取りと書き込みを実行できるようにします。 アプリは、承認されている接続の外部アイテムのみを読み取ることができます。 はい いいえ

注釈

検索アクセス許可は、職場または学校アカウントでのみ有効です。

この検索アクセス許可は、インデックス API から取得したデータにのみ適用されます。

検索を介してデータにアクセスするには、アイテムの読み取り権限が必要です。 例: 検索を使用してファイルにアクセスする場合は Files.Read.All

使用例

委任

  • ExternalItem.Read.All : 検索 API (POST /search/query) から外部データにアクセスします。

検索構成のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
SearchConfiguration.Read.All 組織の検索構成を読み取ります。 サインインしているユーザーの代わりに、アプリが検索構成の読み取りを実行できるようにします。 はい いいえ
SearchConfiguration.ReadWrite.All 組織の検索構成を読み書きします。 サインインしているユーザーの代わりに、アプリがプログラムの読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
SearchConfiguration.Read.All 組織の検索構成を読み取ります。 アプリがサインインしているユーザーなしで検索構成を読み取ることができます。 はい
SearchConfiguration.ReadWrite.All 組織の検索構成を読み書きします。 サインインしているユーザーなしで、アプリで検索構成の読み取りと書き込みを行うことができます。 はい

解説

検索構成のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任およびアプリケーション

  • SearchConfiguration.Read.All: テナント用に作成されたブックマークのリストを読み取る (GET /beta/search/bookmarks)
  • SearchConfiguration.ReadWrite.All: テナント用に作成されたすべてのブックマークを更新または読み取ります (PATCH /beta/search/bookmarks/{id})

セキュリティのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
AttackSimulation.Read.All 組織の攻撃シミュレーション データを読み取る アプリがサインインしているユーザーの組織の攻撃シミュレーションとトレーニング データを読み取ることができます。 はい いいえ
SecurityActions.Read.All 組織のセキュリティ アクションの読み取り サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを読み取れるようにします。 はい いいえ
SecurityActions.ReadWrite.All 組織のセキュリティ アクションの読み取りおよび更新 サインインしているユーザーの代わりに、アプリで組織のセキュリティ アクションを、読み取ったり更新したりできるようにします。 はい いいえ
SecurityAlert.Read.All アラートを読み取る サインインしているユーザーに代わって、アプリがアラートを読み取ることができます。 はい いいえ
SecurityAlert.ReadWrite.All アラートの読み取りと書き込み サインインしているユーザーの代わりに、アプリでアラートの読み取りと書き込みを行うことができます。 はい いいえ
SecurityEvents.Read.All 組織のセキュリティ イベントの読み取り サインインしているユーザーの代わりに、アプリで組織のセキュリティ イベントを読み取れるようにします。 はい いいえ
SecurityEvents.ReadWrite.All 組織のセキュリティ イベントの読み取りおよび更新 サインインしているユーザーの代わりに、アプリで組織のセキュリティ イベントを読み取れるようにします。 また、サインインしているユーザーの代わりに、アプリでセキュリティ イベントの編集可能なプロパティを更新できるようにします。 はい いいえ
SecurityIncident.Read.All インシデントの読み取り サインインしているユーザーの代わりに、アプリでインシデントの読み取りを実行できるようにします。 はい いいえ
SecurityIncident.ReadWrite.All インシデントの読み取りおよび書き込み サインインしているユーザーの代わりに、アプリでインシデントの読み取りと書き込みを実行できるようにします。 はい いいえ
ThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理 サインインしているユーザーの代わりに、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。 はい いいえ
ThreatIndicators.Read.All 組織の脅威インジケーターを読む サインインしているユーザーの代わりに、アプリで組織のすべての脅威インジケーターの読み取りを実行できるようにします。 はい いいえ
ThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理 サインインしているユーザーの代わりに、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
AttackSimulation.Read.All 組織の攻撃シミュレーション データを読み取る サインインしているユーザーなしで、アプリが組織の攻撃シミュレーションとトレーニング データを読み取ることができます。 はい
SecurityActions.Read.All 組織のセキュリティ イベントの読み取り アプリで、組織のセキュリティ アクションを読み取れるようにします。 はい
SecurityActions.ReadWrite.All 組織のセキュリティ アクションの作成と読み取り ユーザーがサインインしなくても、アプリによってセキュリティ アクションを読み取りまたは作成できるようにします。 はい
SecurityAlert.Read.All すべてのアラートを読み取る サインインしているユーザーなしで、アプリがすべてのアラートを読み取ることができます。 はい
SecurityAlert.ReadWrite.All すべてのアラートの読み取りと書き込み アプリがサインインしているユーザーなしで、すべてのアラートの読み取りと書き込みを行うことができます。 はい
SecurityEvents.Read.All 組織のセキュリティ イベントの読み取り アプリで、組織のセキュリティ イベントを読み取れるようにします。 はい
SecurityEvents.ReadWrite.All 組織のセキュリティ イベントの読み取りおよび更新 アプリで、組織のセキュリティ イベントを読み取れるようにします。 また、アプリでセキュリティ イベントの編集可能なプロパティを更新できるようにします。 はい
SecurityIncident.Read.All すべてのインシデントの読み取り サインインしているユーザーなしで、アプリですべてのインシデントの読み取りを実行できるようにします。 はい
SecurityIncident.ReadWrite.All すべてのインシデントの読み取りと書き込み サインインしているユーザーなしで、すべてのインシデントの読み取りと書き込みを実行できるようにします。 はい
ThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理 ユーザーがサインインしなくても、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。 アプリが所有していない脅威の指標を更新することはできません。 はい
ThreatIndicators.Read.All このアプリによって作成または所有される脅威インジケーターを管理する サインインしているユーザーなしで、組織のすべての脅威インジケーターをアプリで読み取れるようにします。 はい
ThreatIndicators.ReadWrite.OwnedBy このアプリによって作成または所有される脅威の指標の管理 ユーザーがサインインしなくても、アプリによって脅威の指標を作成し、これらの脅威の指標を完全に管理できるようにします (読み取り、更新、および削除)。 アプリが所有していない脅威の指標を更新することはできません。 はい

注釈

セキュリティのアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • SecurityAlert.Read.All: ユーザーが読み取りを許可されている組織内のすべてのアラートを読み取ります (GET /security/alerts_v2)。
  • SecurityAlert.ReadWrite.All: ユーザーが読み取りと書き込みを許可されている組織内のすべてのアラートの読み取りと書き込み (GET /security/alerts_v2)。
  • SecurityEvents.Read.All: 組織で使用できるライセンスを持つすべてのセキュリティ プロバイダーからのすべてのセキュリティ アラートの一覧を読み取ります (GET /beta/security/alerts)。
  • SecurityEvents.ReadWrite.All: 組織で使用できるライセンスを持つすべてのセキュリティ プロバイダーからのセキュリティ アラートを更新または読み取ります (PATCH /beta/security/alerts/{id})。

アプリケーション

  • SecurityAlert.Read.All: 組織内のすべてのアラートを読み取ります (GET /security/alerts_v2)。
  • SecurityAlert.ReadWrite.All: 組織内のすべてのアラート (GET /security/alerts) の読み取りと書き込みを行います。
  • SecurityEvents.Read.All: 組織で使用できるライセンスを持つすべてのセキュリティ プロバイダーからのすべてのセキュリティ アラートの一覧を読み取ります (GET /beta/security/alerts)。
  • SecurityEvents.ReadWrite.All: 組織で使用できるライセンスを持つすべてのセキュリティ プロバイダーからのセキュリティ アラートを更新または読み取ります (PATCH /beta/security/alerts/{id})。

サービス通信アクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ServiceHealth.Read.All サービスの正常性を読む サインインしているユーザーの代わりに、アプリがテナントのサービスの正常性情報を読み取れるようにします。 正常性情報には、サービスの問題やサービスの正常性の概要が含まれます。 はい はい
ServiceMessage.Read.All サービス メッセージを読む サインインしたユーザーの代わりに、アプリがテナントのサービスのお知らせメッセージを読み取れるようにします。 メッセージには、新規または変更された機能に関する情報を含めることができます。 はい はい
ServiceMessageViewpoint.Write サービスのお知らせメッセージのユーザー状態を更新する サインインしたユーザーの代わりに、アプリがサービスのお知らせメッセージのユーザー状態を更新できるようにします。 メッセージの状態は、既読、アーカイブ、またはお気に入りとしてマークできます。 はい はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ServiceHealth.Read.All サービスの正常性を読む サインインしたユーザーがいない場合でも、アプリがテナントのサービスの正常性情報を読み取れるようにします。 正常性情報には、サービスの問題やサービスの正常性の概要が含まれます。 はい
ServiceMessage.Read.All サービス メッセージを読む サインインしているユーザーがいなくても、アプリがテナントのサービスのお知らせメッセージを読み取れるようにします。 メッセージには、新規または変更された機能に関する情報を含めることができます。 はい

短いメモのアクセス許可 (プライベートプレビュー)

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ShortNotes.Read サインインしたユーザーの短いノートを読む サインインユーザーがにアクセスしているすべての短いメモを、アプリで読み取ることができます。 いいえ はい
ShortNotes.ReadWrite サインインしているユーザーの短いノートを読み取り、作成、編集、削除する サインインしているユーザーの短いノートをアプリに読み取り、作成、編集、削除させる。 いいえ はい

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ShortNotes.Read.All すべてのユーザーの短いノートを読む サインインしているユーザーがいない場合でも、アプリがすべての短いノートを読み取れるようにします。 はい
ShortNotes.ReadWrite.All すべてのユーザーの短いノートを読み取り、作成、編集、削除する サインインしたユーザーがいない場合でも、アプリがすべての短いノートを読み取り、作成、編集、および削除することができます。 はい

サイトのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Sites.Read.All すべてのサイト コレクションに含まれるアイテムの読み取り アプリは、サインインしているユーザーに代わって、すべてのサイト コレクション内のドキュメントを読み取り、アイテムを一覧表示できます。 いいえ いいえ
Sites.ReadWrite.All すべてのサイト コレクション内のアイテムの読み取りおよび書き込み サインイン ユーザーの代わりに、すべてのサイト コレクションに含まれるドキュメントとリスト アイテムをアプリで編集または削除できるようにします。 いいえ いいえ
Sites.Manage.All すべてのサイト コレクションにおけるアイテムとリストの作成、編集、および削除 サインイン ユーザーの代わりに、すべてのサイト コレクションに含まれるリスト、ドキュメント、およびリスト アイテムをアプリで管理および作成できるようにします。 いいえ いいえ
Sites.FullControl.All すべてのサイト コレクションのフル コントロール サインイン ユーザーに代わって、アプリはすべてのサイト コレクション内の SharePoint サイトをフル コントロールできます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
Sites.Read.All すべてのサイト コレクションに含まれるアイテムの読み取り アプリは、サインインしているユーザーなしで、すべてのサイト コレクション内のドキュメントを読み取り、アイテムを一覧表示できます。 はい
Sites.ReadWrite.All すべてのサイト コレクション内のアイテムの読み取りおよび書き込み アプリは、サインインしているユーザーなしで、すべてのサイト コレクション内のドキュメントの作成、読み取り、更新、削除と、アイテムの一覧表示を行うことができます。 はい
Sites.Manage.All すべてのサイト コレクションにおけるアイテムとリストの作成、編集、および削除 アプリで、サインインしているユーザーがいなくても、すべてのサイト コレクションに含まれるリスト、ドキュメント、およびリスト アイテムを管理および作成できるようにします。 はい
Sites.FullControl.All すべてのサイト コレクションのフル コントロール アプリで、サインインしているユーザーがいなくても、すべてのサイト コレクション内の SharePoint サイトをフル コントロールできるようにします。 はい
Sites.Selected 選択したサイト コレクションにアクセスする サインインしたユーザーなしで、アプリケーションがサイト コレクションの一部にアクセスできるようにします。  特定のサイト コレクションと与えられたアクセス許可は、SharePoint Online で構成されます。 はい

注釈

サイトのアクセス許可は、職場または学校アカウントでのみ有効です。 Sites.Selected アプリケーションのアクセス許可は、Microsoft Graph API でのみ使用できます。

使用例

委任

  • Sites.Read.All:SharePoint ルート サイトのリストを読み取ります (GET /v1.0/sites/root/lists)
  • Sites.ReadWrite.All:SharePoint リストに新しいリスト アイテムを作成します (POST /v1.0/sites/root/lists/123/items)
  • Sites.Manage.All:新しいリストを SharePoint サイトに追加します (POST /v1.0/sites/root/lists)
  • Sites.FullControl.All:SharePoint サイトとリストへのアクセスを完了します。

主体の権利要求へのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
SubjectRightsRequest.Read.All 主体の権利要求を読み取る サインインしているユーザーではなく、アプリで主体の権利要求の読み取りを実行できるようにします。 はい いいえ
SubjectRightsRequest.ReadWrite.All 主体の権利要求の読み取って書き込む サインインしているユーザーではなく、アプリで主体の権利要求の読み取りと書き込みを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

なし。

使用例

委任

  • SubjectRightsRequest.Read.All_: ユーザー (GET /privacy/subjectrightsrequests) が利用できる主体の権利要求の一覧を取得します。
  • SubjectRightsRequest.ReadWrite.All: 主体の権利要求 (POST /privacy/subjectrightsrequests) を作成します。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

タスクのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Tasks.Read ユーザーのタスクおよびタスク リストを読み取る (プレビュー) アプリで、サインインしているユーザーのタスクと、そのユーザーと共有されているものを含むタスク リスト読み取ることができるようにします。 作成、削除、または更新のアクセス許可は含まれません。 いいえ はい
Tasks.Read.Shared ユーザー タスクと共有のタスクの読み取り (プレビュー) アプリで、ユーザー自身のタスクと共有のタスクを含む、ユーザーがアクセス許可を得ているタスクを読み取れるようにします。 いいえ いいえ
Tasks.ReadWrite ユーザーのタスクとタスク リストの作成、読み取り、更新、削除 (プレビュー) アプリで、サインインしているユーザーのタスクと、そのユーザーと共有されているものを含むタスク リストの作成、読み取り、更新、削除を行うことができるようにします。 いいえ はい
Tasks.ReadWrite.Shared ユーザー タスクと共有のタスクの読み取りと書き込み (プレビュー) アプリで、ユーザー自身のタスクと共有のタスクを含むユーザーがアクセス許可を得ているタスクの作成、読み取り、更新、削除を行えるようにします。 いいえ いいえ

アプリケーションのアクセス許可

なし。

注釈

タスクのアクセス許可は、To do タスクおよび Outlook タスクのアクセスを制御するために使用します。 Microsoft Planner のタスクへのアクセスは、グループのアクセス許可で制御します。

共有 アクセス許可は現在、職場または学校アカウントでのみサポートされています。 共有アクセス許可を持つ場合でも、 共有 コンテンツを所有するユーザーがフォルダー内のコンテンツを変更するためのアクセス許可を付与していない場合、読み取りと書き込みが失敗する可能性があります。

使用例

委任

  • Tasks.Read:ユーザーのメールボックス内のすべてのタスクを取得します (GET /me/outlook/tasks)。
  • Tasks.Read.Shared:組織内の別のユーザーによって共有されているフォルダー内のタスクにアクセスします (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks)。
  • Tasks.ReadWrite:ユーザーの既定のタスク フォルダーにイベントを追加します (POST /me/outlook/tasks)。
  • Tasks.Read:ユーザーのメールボックス内にある未完了のタスクをすべて取得します (GET /users/{id | userPrincipalName}/outlook/tasks?$filter=status ne 'completed')。
  • Tasks.ReadWrite:ユーザーのメールボックス内のタスクを更新します (PATCH /users/{id | userPrincipalName}/outlook/tasks/id)。
  • Tasks.ReadWrite.Shared:別のユーザーの代わりにタスクを完了します (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


分類のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TermStore.Read.All 用語ストアのデータを読む 用語ストアのさまざまな用語、セット、グループをアプリで読み取ることができるようにします。 はい いいえ
TermStore.ReadWrite.All 用語ストアのすべてのデータの読み取りと書き込み アプリが用語ストアの用語、セット、グループを編集または削除することを許可します はい いいえ

注釈

分類のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • TermStore.Read.All: テナントの termStore を読む (GET /termStore)
  • TermStore.ReadWrite.All:termStore で新しい用語を作成する (POST /termStore/sets/123/children)

Teams のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All チーム名とチームの説明の読み取り サインインしているユーザーの代わりに、チーム名とチームの説明を読み取ります。 いいえ いいえ
Team.Create チームを作成する サインインしているユーザーの代わりに、チームを作成します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All すべてのチームのリストの取得 ユーザーがサインインしていない状態で、すべてのチームのリストを取得します。 はい いいえ
Team.Create チームを作成する ユーザーがサインインしていない状態で、チームを作成します。 はい いいえ
Teamwork.Migrate.All Microsoft Teams への移行の管理 Microsoft Teams に移行するためのリソースを作成して管理する はい はい

チーム設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamSettings.Read.All チームの設定の読み取り サインインしているユーザーの代わりに、このチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All チームの設定の読み取りと変更 サインインしているユーザーの代わりに、すべてのチームの設定を読み取り変更します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamSettings.Read.All すべてのチームの設定の読み取り ユーザーがサインインしていない状態で、このチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All すべてのチームの設定を読み取り変更します。 ユーザーがサインインしていない状態で、すべてのチームの設定の読み取りと変更を実行します。 はい いいえ

Teams アクティビティのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsActivity.Read (プライベート プレビュー) ユーザーのチームワーク アクティビティ フィードを読み取る アプリで、サインインしているユーザーのチームワーク アクティビティ フィードを読み取れるようにします。 いいえ いいえ
TeamsActivity.Send ユーザーとしてチームワーク アクティビティを送信する サインインしたユーザーの代わりに、このアプリでユーザーのチームワーク アクティビティ フィードに新しい通知を作成できるようになります。 これらの通知は、コンプライアンス ポリシーで検出、保持、管理できない場合があります。 いいえ いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsActivity.Read.All (プライベート プレビュー) すべてのユーザーのチームワーク アクティビティ フィードを読み取る アプリで、すべてのユーザーのチームワーク アクティビティ フィードを、サインインしているユーザーなしで読み取れるようにします。 はい いいえ
TeamsActivity.Send すべてのユーザーにチームワーク アクティビティを送信する サインインしたユーザーではなく、このアプリでユーザーのチームワーク アクティビティ フィードに新しい通知を作成できるようになります。 これらの通知は、コンプライアンス ポリシーで検出、保持、管理できない場合があります。 はい いいえ

Teams アプリの権限 (非推奨)

注:

これらの権限は廃止されます。 同等の TeamsAppInstallation.*を使用します。代わりに、すべてのアクセス許可。

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsApp.Read.All (非推奨) インストールされているすべての Teams アプリの読み取り サインインしているユーザーのために、またユーザーがメンバーであるすべてのチームにインストールされた Teams アプリをアプリが読み取ることができます。 アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsApp.ReadWrite.All (非推奨) すべての Teams アプリの管理 サインインしているユーザーに代わって、またユーザーがメンバーであるチームのために、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。 アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsApp.Read.All (非推奨) すべてのユーザーのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリをアプリが読み取ることができます。 アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsApp.ReadWrite.All (非推奨) すべてのユーザーの Teams アプリを管理する ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリが行うことができます。 アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ

Teams アプリのインストールのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsAppInstallation.ReadForUser ユーザーのインストールされている Teams アプリの読み取り アプリでサインインしているユーザーにインストールされている Teams アプリの読み取りを実行できるようにします。 アプリケーション固有の設定の読み取りはできません。 いいえ いいえ
TeamsAppInstallation.ReadWriteForUser ユーザーのインストールされている Teams アプリを管理する サインインしているユーザー用にインストールされている Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリに許可します。 アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsAppInstallation.ReadWriteSelfForUser チームでアプリが自分自身を管理することを許可する サインインしているユーザーがアクセスできるチームに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 いいえ いいえ
TeamsAppInstallation.ReadForTeam チームでインストールされている Teams アプリを読み取る サインインしているユーザーがアクセスできるチームにインストールされている Teams アプリの読み取りをアプリに許可します。 アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsAppInstallation.ReadWriteForTeam インストールされている Teams アプリをチームで管理する サインインしているユーザーがアクセスできるチーム内の Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリに許可します。 アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsAppInstallation.ReadWriteSelfForTeam チームでアプリが自分自身を管理することを許可する サインインしているユーザーがアクセスできるチームに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
TeamsAppInstallation.ReadForUser.All すべてのユーザーのインストールされている Teams アプリを読み取る ユーザーがサインインしなくても、どのユーザーにもインストールされている Teams アプリをアプリが読み取ることができます。 アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteForUser.All すべてのユーザーの Teams アプリを管理する ユーザーがサインインしていない状態で、どのユーザーにも Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリが行うことができます。 アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteSelfForUser.All すべてのユーザーに対してアプリが自分自身を管理することを許可する ユーザーがサインインしていない状態で、すべてのユーザーに対して、Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい
TeamsAppInstallation.ReadForTeam.All すべてのチームのインストールされている Teams アプリを読み取る ユーザーがサインインしていない状態で、どのチームにもインストールされている Teams アプリをアプリが読み取ることができます。 アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteForTeam.All すべてのチームの Teams アプリを管理する ユーザーがサインインしていない状態で、すべてのチームの Teams アプリの読み取り、インストール、アップグレード、アンインストールをアプリが行うことができます。 アプリケーション固有の設定の読み取りはできません。 はい
TeamsAppInstallation.ReadWriteSelfForTeam.All すべてのチームに対して Teams アプリが自分自身を管理することを許可する ユーザーがサインインしていない状態で、すべてのチームに対して Teams アプリが自分自身を読み取り、インストール、アップグレード、アンインストールすることを許可します。 はい

Teams アプリ設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamworkAppSettings.Read.All Teams アプリ設定の読み取り サインインしているユーザーの代わりに、アプリが Teams アプリの設定を読み取ることができます。 いいえ いいえ
TeamworkAppSettings.ReadWrite.All Teams アプリ設定の読み取りと書き込み サインインしているユーザーの代わりに、アプリで Teams アプリ設定の読み取りと書き込みを行うことができます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
TeamworkAppSettings.Read.All Teams アプリ設定の読み取り サインインしているユーザーなしで、アプリで Teams アプリの設定を読み取ることができます。 はい
TeamworkAppSettings.ReadWrite.All Teams アプリ設定の読み取りと書き込み サインインしているユーザーなしで、アプリで Teams アプリ設定の読み取りと書き込みを行うことができます。 はい

Teams デバイス管理のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamworkDevice.Read.All Teams デバイスを読み取ります。 アプリで、サインインしているユーザーに代わって、Teams デバイスの管理データを読み取ることができます。 はい いいえ
TeamworkDevice.ReadWrite.All Teams デバイスの読み取りおよび書き込みを行います。 アプリで、サインインしているユーザーに代わって、Teams デバイスの管理データの読み取りおよび書き込みすることができます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamworkDevice.Read.All Teams デバイスを読み取ります。 アプリは、サインインしているユーザーなしで、Teamsデバイスの管理データを読み取る許可を与えます。 はい いいえ
TeamworkDevice.ReadWrite.All Teams デバイスの読み取りおよび書き込みを行います。 サインインしているユーザーなしに、アプリが Teamsデバイスの管理データを読み取り、書き込みできます。 はい いいえ

チーム メンバーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamMember.Read.All チームのメンバーを読み取ります。 サインインしたユーザーの代わりに、チームのメンバーを読み取ります。 はい いいえ
TeamMember.ReadWrite.All チームからメンバーを追加および削除します。 サインインしたユーザーの代わりに、チームからメンバーを追加および削除します。 また、たとえば所有者から非所有者にメンバーの役割を変更できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamMember.Read.All すべてのチームのメンバーを読み取ります。 サインインしたユーザーなしに、すべてのチームのメンバーを読み取ります。 はい いいえ
TeamMember.ReadWrite.All すべてのチームからメンバーを追加および削除します。 サインインしたユーザーなしに、すべてのチームからメンバーを追加および削除します。 また、たとえば所有者から非所有者にチーム メンバーの役割を変更できます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamSettings.Read.Group このチームの設定を読み取ります。 ユーザーがサインインしていない状態で、このチームの設定を読み取ります。 いいえ いいえ
TeamSettings.ReadWrite.Group このチームの設定を更新します。 ユーザーがサインインしていない状態で、このチームの設定を読み取りと書き込みをします。 いいえ いいえ
ChannelSettings.Read.Group このチームのチャネルの名前、説明、設定を読み取ります。 ユーザーがサインインしていない状態で、このチームのチャネル名、チャネルの説明、チャネルの設定を読み取ります。 いいえ いいえ
ChannelSettings.ReadWrite.Group このチームのチャネルの名前、説明、設定を更新します。 ユーザーがサインインしていない状態で、このチームのチャネル名、チャネルの説明、チャネルの設定を更新します。 いいえ いいえ
Channel.Create.Group このチームのチャネルを作成します。 ユーザーがサインインしていない状態で、このチームのチャネルを作成します。 いいえ いいえ
Channel.Delete.Group このチームのチャネルを削除します。 ユーザーがサインインしていない状態で、このチームのチャネルを削除します。 いいえ いいえ
ChannelMessage.Read.Group チームのチャネル メッセージを読み取ります。 ユーザーがサインインしていない状態で、このチームのチャネル メッセージの読み取りをアプリに許可します。 いいえ いいえ
TeamsAppInstallation.Read.Group このチームにインストールされているアプリを確認します。 ユーザーがサインインしていない状態で、このチームにインストールされているアプリを確認します。 いいえ いいえ
TeamsTab.Read.Group このチームのタブを読み取ります。 ユーザーがサインインしていない状態で、このチームのタブを読み取ります。 いいえ いいえ
TeamsTab.Create.Group このチームのタブを作成します。 ユーザーがサインインしていない状態で、このチームのタブを作成します。 いいえ いいえ
TeamsTab.ReadWrite.Group このチームのタブを更新します。 ユーザーがサインインしていない状態で、このチームのタブを更新します。 いいえ いいえ
TeamsTab.Delete.Group このチームのタブを削除します。 ユーザーがサインインしていない状態で、このチームのタブを削除します。 いいえ いいえ
TeamMember.Read.Group このチームのメンバーを読み取ります。 ユーザーがサインインしていない状態で、このグループのメンバーを読み取ります。 いいえ いいえ
Member.Read.Group このグループのメンバーを読み取ります。 ユーザーがサインインしていない状態で、このグループのメンバーを読み取ります。 いいえ いいえ
Owner.Read.Group このグループの所有者を読み取ります。 ユーザーがサインインしていない状態で、このグループの所有者を読み取ります。 いいえ いいえ
File.Read.Group このチームのファイルおよびフォルダーを読み取ります。 限定サポート
(プレビュー) ユーザーがサインインしていない状態で、このチームのファイルおよびフォルダーを読み取ります。
いいえ いいえ
TeamsActivity.Send.Group このチームのユーザーにアクティビティ フィード通知を送信します。 サインインしているユーザーなしで、このチームのユーザーのチームワーク アクティビティ フィードに新しい通知を作成することをアプリに許可します。 いいえ いいえ

Teams 設定のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All チーム名とチームの説明の読み取り サインインしているユーザーの代わりに、チーム名とチームの説明を読み取ります。 いいえ いいえ
TeamSettings.Read.All チームの設定の読み取り サインインしているユーザーの代わりに、すべてのチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All チームの設定を読み取り変更します。 サインインしているユーザーの代わりに、すべてのチームの設定を読み取り変更します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Team.ReadBasic.All すべてのチームのリストを取得します。 ユーザーがサインインしていない状態で、すべてのチームのリストを取得します。 はい いいえ
TeamSettings.Read.All すべてのチームの設定の読み取り ユーザーがサインインしていない状態で、このチームの設定を読み取ります。 はい いいえ
TeamSettings.ReadWrite.All すべてのチームの設定の読み取りと変更 ユーザーがサインインしていない状態で、すべてのチームの設定の読み取りと変更を実行します。 はい いいえ

Teams タブのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsTab.Read.All Microsoft Teams でタブを読み取ります。 サインインしているユーザーのために、またユーザーがメンバーであるすべてのチームにインストールされた Teams アプリをアプリが読み取ることができます。 アプリケーション固有の設定の読み取りはできません。 はい いいえ
TeamsTab.ReadWrite.All Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーに代わって、またユーザーがメンバーであるチームのために、Teams アプリの読み取り、インストール、アップグレード、およびアンインストールをアプリが行うことができます。 アプリケーション固有の設定の読み取りまたは書き込みはできません。 はい いいえ
TeamsTab.Create Microsoft Teams でタブを作成します。 サインインしているユーザーの代わりに、アプリが Microsoft Teams の任意のチームでタブを作成できるようにします。 この操作によって、タブの作成後にタブの読み取り、変更、削除を許可したり、またタブ内のコンテンツへのアクセスを許可したりすることはできません。 はい いいえ
TeamsTab.ReadWriteSelfForChat Teams アプリがチャット内の独自のタブのみを管理できるようにします。 Teams アプリが、サインインしているユーザーがアクセスできるチャット内の独自のタブを読み取り、インストール、アップグレード、アンインストールできるようにします。 はい いいえ
TeamsTab.ReadWriteSelfForTeam Teams アプリがチーム内の独自のタブのみを管理できるようにします。 Teams アプリが、サインインしているユーザーがアクセスできるチームに対して、独自のタブの読み取り、インストール、アップグレード、アンインストールを行うことができます。 はい いいえ
TeamsTab.ReadWriteSelfForUser Teams アプリがユーザーの独自のタブのみを管理できるようにします。 Teams アプリで、サインインしているユーザーの独自のタブの読み取り、インストール、アップグレード、アンインストールを行うことができます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamsTab.Read.All Microsoft Teams でタブを読み取ります。 サインインしているユーザーなしで、Microsoft Teams の任意のチーム内のタブの名前と設定を読み取ります。 これは、タブ内のコンテンツへのアクセスを許可しません。 はい いいえ
TeamsTab.ReadWrite.All Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーなしで、Microsoft Teams の任意のチームでタブの読み取りおよび書き込みを行うことができます。 これは、タブ内のコンテンツへのアクセスを許可しません。 はい いいえ
TeamsTab.Create Microsoft Teams でタブを作成します。 サインインしているユーザーなしで、アプリが Microsoft Teams の任意のチームでタブを作成できるようにします。 この操作によって、タブの作成後にタブの読み取り、変更、削除を許可したり、またタブ内のコンテンツへのアクセスを許可したりすることはできません。 はい いいえ
TeamsTab.ReadWriteSelfForChat.All Teams アプリで、すべてのチャットの独自のタブのみを管理できるようにします。 Teams アプリがサインインしているユーザーなしで、チャット用の独自のタブの読み取り、インストール、アップグレード、アンインストールを行うことができます。 はい いいえ
TeamsTab.ReadWriteSelfForTeam.All Teams アプリで、すべてのチームの独自のタブのみを管理できるようにします。 Teams アプリがサインインしているユーザーなしで、任意のチームの独自のタブの読み取り、インストール、アップグレード、アンインストールを行うことができます。 はい いいえ
TeamsTab.ReadWriteSelfForUser.All Teams アプリで、すべてのユーザーの独自のタブのみを管理できるようにします。 Teams アプリで、サインインしているユーザーなしで、任意のユーザーの独自のタブの読み取り、インストール、アップグレード、アンインストールを行うことができます。 はい いいえ

Teams タブのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamworkTag.ReadWrite Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーの代わりに、アプリが Teams でタグの読み取りと書き込みを実行できるようにします。 はい いいえ
TeamworkTag.Read Microsoft Teams でタブを読み取ります。 サインインしているユーザーの代わりに、アプリが Teams でタグの読み取りを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
TeamworkTag.ReadWrite.All Microsoft Teams でタブを読み取り、書き込みます。 サインインしているユーザーなしで、アプリが Teams でタグの読み取りと書き込みを実行できるようにします。 はい いいえ
TeamworkTag.Read.All Microsoft Teams でタブを読み取ります。 サインインしているユーザーなしで、アプリが Teams でタグの読み取りを実行できるようにします。 はい いいえ

テナント情報のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
CrossTenantInformation.ReadBasic.All 外部テナントに関する基本情報を読み取る。 サインインしているユーザーの代わりに、アプリが外部テナントに関する限定的な情報を読み取ることができます。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
CrossTenantInformation.ReadBasic.All 外部テナントに関する基本情報を読み取る。 サインインしているユーザーなしで、アプリが外部テナントに関する限定的な情報を読み取ることができます。 はい

アクセス許可の使用条件

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Agreement.Read.All すべての利用規約の読み取り サインインしているユーザーの代わりに、アプリで利用規約を読み取ることができるようにします。 はい いいえ
Agreement.ReadWrite.All すべての利用規約の読み取りと書き込み サインインしているユーザーの代わりに、アプリで利用規約の読み取りと書き込みを行えるようにします。 はい いいえ
AgreementAcceptance.Read 利用規約に対するユーザー承認状態の読み取り サインインしているユーザーの代わりに、アプリで利用規約に対するユーザー承認状態を読み取ることができるようにします。 はい いいえ
AgreementAcceptance.Read.All ユーザーがアクセスできる、利用規約に対するユーザー承認状態の読み取り サインインしているユーザーの代わりに、アプリで利用規約に対するユーザー承認状態を読み取ることができるようにします。 はい いいえ

解説

上記のすべてのアクセス許可は、職場または学校のアカウントでのみ有効です。

アクセス許可を委任したアプリですべての利用規約または利用規約に対する承認状態の読み取りまたは書き込みを行うには、サインインしているユーザーにグローバル管理者、条件付きアクセス管理者、またはセキュリティ管理者のロールが割り当てられていなければなりません。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任

次に示す使用法は、両方の委任されたアクセス許可に対して有効です。

  • Agreement.Read.All: すべての利用規約の読み取り (GET /beta/agreements)
  • Agreement.ReadWrite.All: すべての利用規約の読み取りと書き込み (POST /beta/agreements)
  • AgreementAcceptance.Read: 利用規約に対するユーザー承認状態の読み取り (GET /beta/me/agreementAcceptances)

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。


脅威評価へのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ThreatAssessment.ReadWrite.All 脅威評価要求の読み取りと書き込み アプリがサインインしたユーザーの代わりに組織の脅威評価要求を読み取ることを許可します。 また、アプリがサインインしたユーザーの代わりに、組織が受け取った脅威を評価するための新しい要求を作成することも許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ThreatAssessment.Read.All 脅威評価要求の読み取り サインインしたユーザーがいない場合でも、アプリが組織の脅威評価要求を読み取ることを許可します。 はい

注釈

脅威評価のアクセス許可は、職場または学校アカウントでのみ有効です。

使用例

委任

  • ThreatAssessment.ReadWrite.All: 脅威評価要求の読み取りと書き込み (POST /informationProtection/threatAssessmentRequests)

アプリケーション

  • ThreatAssessment.Read.All: 脅威評価結果の読み取りと書き込み (GET /informationProtection/threatAssessmentRequests)

脅威ハンティングのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
ThreatHunting.Read.All ハンティング クエリを実行する アプリで、サインインしているユーザーに代わってハンティング クエリを実行できるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
ThreatHunting.Read.All ハンティング クエリを実行する アプリで、サインインしているユーザーなしでハンティング クエリを実行できるようにします。 はい

注釈

脅威ハンティングのアクセス許可は、職場または学校のアカウントでのみ有効です。

使用例

委任

  • ThreatHunting.Read.All: サインインしているユーザーに代わってハンティング クエリを実行する (POST /security/runHuntingQuery)

アプリケーション

  • ThreatHunting.Read.All: ハンティング クエリを実行する (POST /security/runHuntingQuery)

ユニバーサル印刷のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
Printer.Create プリンターの登録 サインインしているユーザーの代わりに、アプリケーションがプリンターを作成 (登録) することを許可します。 はい いいえ
Printer.FullControl.All プリンターの登録、読み取り、更新、登録解除 サインインしているユーザーの代わりに、アプリケーションがプリンターを作成 (登録)、読み取り、更新、削除 (登録解除) できるようにします。 はい いいえ
Printer.Read.All プリンターの読み取り サインインしているユーザーの代わりに、アプリケーションがプリンターを読み取ることを許可します。 はい いいえ
Printer.ReadWrite.All プリンターの読み取りと更新 サインインしているユーザーの代わりに、アプリケーションがプリンターを読み取って更新することを許可します。 プリンターの作成 (登録) または削除 (登録解除) はできません。 はい いいえ
PrinterShare.ReadBasic.All プリンター共有に関する基本情報を読み取る サインインしたユーザーに代わって、アプリケーションがプリンター共有に関する基本情報を読み取ることができるようにします。 アクセス制御情報の読み取りを許可しません。 いいえ いいえ
PrinterShare.Read.All プリンター共有の読み取り サインインしているユーザーの代わりに、アプリケーションがプリンター共有を読み取ることを許可します。 いいえ いいえ
PrinterShare.ReadWrite.All プリンター共有を読み書きする サインインしているユーザーの代わりに、アプリケーションがプリンター共有を読み取って更新することを許可します。 はい いいえ
PrintJob.Create 印刷ジョブを作成する サインインしたユーザーに代わってアプリケーションが印刷ジョブを作成し、ドキュメントのコンテンツをアップロードして、サインインしたユーザーが作成した印刷ジョブを印刷できるようにします。 いいえ いいえ
PrintJob.Read ユーザーの印刷ジョブを読み取る サインインしているユーザーが作成した印刷ジョブのメタデータとドキュメント コンテンツの読み取りをアプリケーションに許可します。 いいえ いいえ
PrintJob.Read.All 印刷ジョブを読み取る サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取ることを許可します。 はい いいえ
PrintJob.ReadBasic ユーザーの印刷ジョブの基本情報を読み取る サインインしているユーザーが作成した印刷ジョブのメタデータの読み取りをアプリケーションに許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 いいえ いいえ
PrintJob.ReadBasic.All 印刷ジョブの基本情報を読み取る サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータを読み取ることを許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい いいえ
PrintJob.ReadWrite ユーザーの印刷ジョブの読み取りと書き込み サインインしているユーザーが作成した印刷ジョブのメタデータとドキュメント コンテンツの読み取りと更新をアプリケーションに許可します。 いいえ いいえ
PrintJob.ReadWrite.All 印刷ジョブの読み取りと書き込み サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取って更新することを許可します。 はい いいえ
PrintJob.ReadWriteBasic ユーザーの印刷ジョブの基本情報を読み書きする サインインしているユーザーが作成した印刷ジョブのメタデータの読み取りと更新をアプリケーションに許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 いいえ いいえ
PrintJob.ReadWriteBasic.All 印刷ジョブの基本情報を読み書きする サインインしているユーザーの代わりに、アプリケーションが印刷ジョブのメタデータを読み取って更新することを許可します。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい いいえ
PrintConnector.Read.All 閲覧コネクタ サインインしたユーザーに代わって、アプリケーションがコネクタを読み取れるようにします。 はい いいえ
PrintConnector.ReadWrite.All 印刷コネクタの読み取りと書き込み サインインしたユーザーに代わって、アプリケーションが印刷コネクタの読み取りと書き込みを行えるようにします。  はい いいえ
PrintSettings.Read.All テナント全体の印刷設定を読み取る サインインしているユーザーの代わりに、アプリケーションが印刷設定を読み取ることを許可します。 はい いいえ
PrintSettings.ReadWrite.All テナント全体の印刷設定の読み取りと書き込み サインインしているユーザーの代わりに、アプリケーションが印刷設定を読み取って更新することを許可します。  はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
Printer.Read.All プリンターの読み取り ユーザーがサインインしなくても、アプリケーションがプリンターを読み取ることを許可します。 はい
Printer.ReadWrite.All プリンターの読み取りと更新 ユーザーがサインインしていない状態で、アプリケーションがプリンターを読み取り更新できるようにします。 プリンターの作成 (登録) または削除 (登録解除) はできません。 はい
PrintJob.Manage.All 印刷ジョブで高度な操作を実行する ユーザーがサインインしなくても、印刷ジョブを別のプリンターにリダイレクトするなどの高度な操作をアプリケーションで実行できるようにします。 また、アプリケーションが印刷ジョブのメタデータを読み取って更新することを許可します。 はい
PrintJob.Read.All 印刷ジョブを読み取る ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取れるようにします。 はい
PrintJob.ReadBasic.All 印刷ジョブの基本情報を読み取る ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータを読み取れるようにします。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい
PrintJob.ReadWrite.All 印刷ジョブの読み取りと書き込み ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータとドキュメント コンテンツを読み取り更新できるようにします。 はい
PrintJob.ReadWriteBasic.All 印刷ジョブの基本情報を読み書きする ユーザーがサインインしていない状態で、アプリケーションが印刷ジョブのメタデータを読み取り更新できるようにします。 印刷ジョブのドキュメント コンテンツへのアクセスを許可しません。 はい
PrintTaskDefinition.ReadWrite.All 印刷タスク定義を読み取り、書き込み、更新する ユーザーがサインインしなくても、アプリケーションが印刷タスク定義を読み取って更新できるようにします。 はい

注釈

  • ユニバーサル印刷サービスを使用するには、ユーザーまたはアプリのテナントに、前に示したアクセス許可に加えて、アクティブなユニバーサル 印刷サブスクリプションが必要です。

  • 一部のアクセス許可は、印刷ジョブのメタデータとペイロードを区別します。 メタデータは、印刷ジョブ (ホチキス止めするか、カラーで印刷するかなど、その名前やドキュメント構成) の構成を記述します。 ペイロードは、ドキュメント データそのもの (印刷する PDF または XPS ファイル) です。

  • また、印刷ジョブはプリンター内に保存されるため、All PrintJob.* アクセス許可には、少なくとも Printer.Read.All (または、より特権のあるアクセス許可) も必要です。

使用例

委任

  • Printer.Read.All: テナント内にあるすべてのプリンターの一覧を取得する (GET /print/printers)
  • PrintJob.Read.All: プリンターに登録されているすべての印刷ジョブの一覧を取得する (GET /print/printers/{id}/jobs)
  • Printer.FullControl.All: プリンターを削除(登録解除) する (DELETE /print/printers/{id})
  • PrintJob.ReadWriteBasic.All: 印刷ジョブのメタデータ (現在の状態など) を更新する (PATCH /print/printers/{id}/jobs/{id})
  • PrintJob.ReadWrite.All: 印刷ジョブを作成し、そこにドキュメント データをアップロードする (POST /print/printers/{id}/jobs)

アプリケーション

  • Printer.Read.All: テナント内にあるすべてのプリンターの一覧を取得する (GET /print/printers)

ユーザーのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
User.Read サインインとユーザー プロファイルの読み取り ユーザーがアプリにサインインできるようにし、アプリがサインインしているユーザーのプロファイルを読み取ることができます。 また、アプリはサインインしているユーザーの基本的な会社情報を読み取ることもできます。 いいえ はい
User.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可 アプリで、サインインしているユーザーの完全なプロファイルを読み取れるようにします。 また、サインインしているユーザーの代わりに、アプリでプロファイル情報を更新できるようにします。 いいえ はい
User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り サインインしているユーザーの代わりに、アプリで組織内の他のユーザーのプロファイル プロパティの基本的なセットを読み取れるようにします。 これには表示名、氏名、メール アドレス、オープン拡張機能、写真が含まれます。 また、アプリで、サインインしているユーザーの完全なプロファイルを読み取れるようにします。 いいえ いいえ
User.Read.All すべてのユーザーの完全なプロファイルの読み取り アプリで、サインインしているユーザーの代わりに、組織内の他のユーザーのプロファイル プロパティ、部下、および上司の完全なセットを読み取れるようにします。 はい いいえ
User.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込み アプリで、サインインしているユーザーの代わりに、組織内の他のユーザーのプロファイル プロパティ、部下、上司の完全なセットを読み書きできるようにします。 また、アプリでユーザーを作成および削除したり、サインインしているユーザーの代わりにユーザー パスワードをリセットしたりすることもできます。 はい いいえ
User.Invite.All 組織へのゲスト ユーザーの招待 サインインしているユーザーの代わりに、アプリで組織にゲスト ユーザーを招待できるようにします。 はい いいえ
User.Export.All ユーザーのデータのエクスポート アプリが会社の管理者によって実行されたときに、組織ユーザーのデータをエクスポートできるようにします。 はい いいえ
User.ManageIdentities.All ユーザー ID の管理 サインインしたユーザーがアクセス権を持つユーザーのアカウントに関連付けられた ID の読み取り、更新、削除をアプリケーションに許可します。 これで、ユーザーがサインインに使用できる ID を制御します。 はい いいえ
User-LifeCycleInfo.Read.All すべてのユーザーのライフサイクル情報を読み取る サインインしているユーザーの代わりに、アプリが組織内のユーザーの employeeLeaveDateTime などのライフサイクル情報を読み取ることができます。 はい いいえ
User-LifeCycleInfo.ReadWrite.All すべてのユーザーのライフサイクル情報の読み取りと書き込み サインインしているユーザーに代わって、アプリが組織内のユーザーの employeeLeaveDateTime などのライフサイクル情報を読み書きできるようにします。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意の要不要
User.Read.All すべてのユーザーの完全なプロファイルの読み取り サインインしているユーザーなしで、アプリで組織内の他のユーザーのプロファイル プロパティ、グループ メンバーシップ、部下、上司の完全なセットを読み取ることができるようにします。 はい
User.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込み サインインしているユーザーなしで、アプリで組織内の他のユーザーのプロファイル プロパティ、グループ メンバーシップ、部下、上司の完全なセットを読み書きできるようにします。 また、アプリで非管理ユーザーの作成と削除もできるようにします。 ユーザーのパスワードのリセットはできません。 はい
User.Invite.All 組織へのゲスト ユーザーの招待 サインインしているユーザーなしで、ゲスト ユーザーをアプリで組織に招待できるようにします。 はい
User.Export.All ユーザーのデータのエクスポート アプリで、サインインしているユーザーなしで、組織ユーザーのデータをエクスポートできるようにします。 はい
User.ManageIdentities.All すべてのユーザー ID の管理 ユーザーのアカウントに関連付けられていて、サインイン ユーザーが存在しない ID の読み取り、更新、削除をアプリケーションに許可します。 これで、ユーザーがサインインに使用できる ID を制御します。 はい
User-LifeCycleInfo.Read.All すべてのユーザーのライフサイクル情報を読み取る サインインしているユーザーなしで、組織内のユーザーの employeeLeaveDateTime などのライフサイクル情報をアプリで読み取ることができます。 はい
User-LifeCycleInfo.ReadWrite.All すべてのユーザーのライフサイクル情報の読み取りと書き込み アプリで、サインインしているユーザーなしで、組織内のユーザーの employeeLeaveDateTime などのライフサイクル情報を読み書きできるようにします。 はい

注釈

User.Read アクセス許可を使用すると、アプリは、組織のリソースを介して職場または学校アカウントのサインインユーザーの基本的な会社情報を読み取ることもできます。 id、displayName、verifiedDomains の各プロパティを使用できます。

職場または学校アカウントの場合、完全なプロファイルには 、User リソースの宣言されたすべてのプロパティが含まれます。 読み取りでは、既定では限られた数のプロパティのみが返されます。 既定のセットにないプロパティを読み取る場合は、 を使用します $select。 既定のプロパティは次のとおりです。

  • displayName
  • givenName
  • jobTitle
  • mail
  • mobilePhone
  • officeLocation
  • preferredLanguage
  • surname
  • userPrincipalName

委任されたアクセス許可の User.ReadWrite および User.Readwrite.All により、アプリは、次に示す職場または学校アカウントのプロファイル プロパティを更新できるようになります。

  • aboutMe
  • birthday
  • hireDate
  • interests
  • mobilePhone
  • mySite
  • pastProjects
  • photo
  • preferredName
  • responsibilities
  • schools
  • skills

アプリケーションのアクセス許可の User.ReadWrite.All があるアプリは、職場または学校アカウントのすべての宣言されたプロパティ (パスワードを除く) を更新できるようになります。

User.ReadWrite.Allの委任またはアプリケーションのアクセス許可とともに、他のユーザーのbusinessPhonesmobilePhoneまたはotherMailsの更新を許可されているのは、管理者以外のユーザーまたは次のロールのいずれかを割り当てられたユーザーのみになります。ディレクトリ閲覧者、ゲスト招待元、メッセージ センター閲覧者およびレポート閲覧者。 詳細については、「Azure AD で使用できるロール」のヘルプデスク (パスワード) 管理者を参照してください。

職場または学校アカウントの直属の部下 (directReports) または上司 (manager) を読み取りまたは書き込みするには、アプリに User.Read.All (読み取り専用) または User.ReadWrite.All が付与されている必要があります。

User.ReadBasic.All アクセス許可は、基本プロファイルと呼ばれる制限付きプロパティ セットへのアプリ アクセスを制限します。 これは、完全なプロファイルに機密性の高いディレクトリ情報が含まれている可能性があるためです。 基本プロファイルには、次のプロパティのみが含まれます。

  • displayName
  • givenName
  • mail
  • photo
  • surname
  • userPrincipalName

ユーザー (memberOf) のグループ メンバーシップを読み取るために、アプリには Group.Read.All または Group.ReadWrite.All が必要です。 ただし、ユーザーが directoryRole または managementUnit のメンバーシップを持っている場合、アプリにはそれらのリソースを読み取るために有効なアクセス許可も必要になります。または、Microsoft Graph はエラーを返します。 つまり、アプリには ディレクトリのアクセス許可も必要であり、委任されたアクセス許可の場合、サインインしているユーザーには、ディレクトリ ロールと管理単位にアクセスするための十分な特権も組織内で必要になります。

User.ManageIdentities.All を委任するか、アプリケーションのアクセス許可を使用することにより、ユーザーの ID (identities) を更新できます。 これには、メールや名前ベースのサインイン名を使用しているフェデレーション ID (またはソーシャル ID) やローカル ID も含まれます。

使用例

委任

  • User.Read:サインインしているユーザーの完全なプロファイルを読み取ります (GET /me)。
  • User.ReadWrite:サインインしているユーザーの写真を更新します (PUT /me/photo/$value)。
  • User.ReadBasic.All:名前が "David" で始まるユーザーをすべて検索します (GET /users?$filter=startswith(displayName,'David'))。
  • User.Read.All:ユーザーの上司を読み取ります (GET /users/{id | userPrincipalName}/manager)。

アプリケーション

  • User.Read.All:デルタ クエリによってすべてのユーザーとリレーションシップを読み取ります (GET /beta/users/delta?$select=displayName,givenName,surname)。
  • User.ReadWrite.All:組織内の任意のユーザーの写真を更新します (PUT /users/{id | userPrincipalName}/photo/$value)。

より複雑な複数のアクセス許可を伴うシナリオについては、「アクセス許可のシナリオ」を参照してください。

ユーザー アクティビティのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
UserActivity.ReadWrite.CreatedByApp ユーザーのアクティビティ フィードへのアプリのアクティビティの読み取りと書き込み アプリで、サインインしているユーザーのアプリ内でのアクティビティを読み取りおよび報告できるようにします。 いいえ はい

アプリケーションのアクセス許可

なし。

注釈

UserActivity.ReadWrite.CreatedByApp は、Microsoft アカウントと職場または学校アカウントのどちらでも有効です。

このアクセス許可に関連付けられている CreatedByApp 制約は、このサービスが呼び出し元アプリの ID (MSA アプリ ID またはクロスプラットフォーム アプリケーション ID 用に構成されたアプリ ID のセットのいずれか) に基づいて結果に暗黙的なフィルター処理を適用することを示しています。

使用例

委任

  • UserActivity.ReadWrite.CreatedByApp: 最後の日に発行された関連する履歴項目に基づいて、最近の一意のユーザー アクティビティのリストを取得します (GET /me/activities/recent)。
  • UserActivity.ReadWrite.CreatedByApp: アプリケーションのユーザーによって再開される可能性があるユーザー アクティビティを発行または更新します (PUT /me/activities/%2Farticle%3F12345)。
  • UserActivity.ReadWrite.CreatedByApp: ユーザー契約の期間を表すため、指定したユーザー アクティビティの履歴項目を発行または更新します (PUT /me/activities/{id}/historyItems/{id})。
  • UserActivity.ReadWrite.CreatedByApp: ユーザーによって開始された要求への応答でユーザー アクティビティを削除します。または、無効なデータを削除します (DELETE /me/activities/{id})。
  • UserActivity.ReadWrite.CreatedByApp: ユーザーによって開始された要求への応答で履歴項目を削除します。または、無効なデータを削除します (DELETE /me/activities/{id}/historyItems/{id})。

ユーザー認証方法のアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントのサポート
UserAuthenticationMethod.Read 自己の認証方法を読み取ります サインイン ユーザーの認証方法 (電話番号や Authenticator アプリの設定など) の読み取りをアプリに許可します。 このアクセス許可では、アプリには、サインイン ユーザーのパスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法でサインイン ユーザーの認証方法を使用する許可も与えられません。 必要 いいえ
UserAuthenticationMethod.Read.All ユーザーの認証方法を読み取ります サインイン ユーザーがアクセス許可を持つ、組織内のすべてのユーザーの認証方法の読み取りをアプリに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要 いいえ
UserAuthenticationMethod.ReadWrite 自己の認証方法を管理します サインイン ユーザーの認証方法 (電話番号や Authenticator アプリの設定など) の読み取りと書き込みをアプリに許可します。 このアクセス許可では、アプリには、サインイン ユーザーのパスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法でサインイン ユーザーの認証方法を使用する許可も与えられません。 必要 いいえ
UserAuthenticationMethod.ReadWrite.All ユーザーの認証方法を管理します サインイン ユーザーがアクセス許可を持つ、組織内のすべてのユーザーの認証方法の読み取りと書き込みをアプリに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要 いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
UserAuthenticationMethod.Read.All ユーザーの認証方法を読み取ります サインイン ユーザーがいない場合でも、組織内のすべてのユーザーの認証方法の読み取りをアプリに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要
UserAuthenticationMethod.ReadWrite.All ユーザーの認証方法を管理します サインイン ユーザーがいない場合でも、組織内のすべてのユーザーの認証方法の読み取りと書き込みをアプリケーションに許可します。 認証方法には、ユーザーの電話番号や Authenticator アプリの設定などが含まれます。 このアクセス許可では、アプリには、パスワードなどの機密情報を表示する許可は与えられません。また、サインインする許可やその他の方法で認証方法を使用する許可も与えられません。 必要

注釈

ユーザー認証方法のアクセス許可は、ユーザーに関する認証方法を管理するために使用されます。 これらのアクセス許可を使用すると、委任されたユーザーやアプリケーションは、ユーザーに関する新しい認証方法の登録、ユーザーが既に登録している認証方法の読み取り、それらの認証方法の更新、認証方法のユーザーからの削除を行なえます。

これらのアクセス許可を使用すると、ユーザーに関してすべての認証方法を読み取って管理することができます。 これには、次の目的で使用される方法が含まれます。

  • プライマリ認証 (パスワード、FIDO2、Microsoft Authenticator など)
  • 多要素認証/MFA の 2 番目の要素 (電話番号、Microsoft Authenticator など)
  • Self-Service パスワード リセット/SSPR (メール アドレスなど)

Windows の更新プログラムのアクセス許可

委任されたアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要 Microsoft アカウントがサポートされています
WindowsUpdates.ReadWrite.All Windows 更新プログラムのすべての展開設定の読み取りおよび書き込み サインインしているユーザーの代わりに、アプリに組織のすべての Windows 更新プログラム展開設定の読み取りおよび書き込みを許可します。 はい いいえ

アプリケーションのアクセス許可

アクセス許可 表示文字列 説明 管理者の同意が必要
WindowsUpdates.ReadWrite.All Windows 更新プログラムのすべての展開設定の読み取りおよび書き込み サインインしているユーザーがいなくても、アプリに組織のすべての Windows 更新プログラム展開設定の読み取りおよび書き込みを許可します。 はい

解説

上記のすべてのアクセス許可は、職場または学校のアカウントでのみ有効です。

アクセス許可を委任したアプリですべての Windows 更新プログラム展開設定の読み取りまたは書き込みを行うには、サインインしているユーザーにグローバル管理者、Intune 管理者、または Windows Update 展開管理者のロールが割り当てられていなければなりません。 管理者ロールの詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。

使用例

委任

  • WindowsUpdates.ReadWrite.All: 展開を作成します (POST /beta/admin/windows/updates/deployments)。

アプリケーション

  • WindowsUpdates.ReadWrite.All: 展開を作成します (POST /beta/admin/windows/updates/deployments)。

アクセス許可のシナリオ

このセクションでは、組織内の ユーザー リソースと グループ リソースを対象とする一般的なシナリオをいくつか示します。 次の表は、アプリがシナリオで必要な特定の操作を実行できる必要があるアクセス許可を示しています。 場合によっては、特定の操作を実行するアプリの機能は、アクセス許可がアプリケーションか委任されたアクセス許可かによって異なります。 委任されたアクセス許可の場合、アプリの有効なアクセス許可は、組織内のサインインユーザーの特権にも依存します。 詳細については、「 委任されたアクセス許可、アプリケーションのアクセス許可、および有効なアクセス許可」を参照してください。

ユーザー リソースに対するアクセスのシナリオ

ユーザーが関与するアプリ タスク 必要なアクセス許可 アクセス許可文字列
アプリの目的は、人材選択画面への表示などのために、他のユーザーの基本情報 (表示名と写真のみ) を読み取ること User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り
アプリは、サインインしているユーザーの完全なユーザー プロファイルを読み取りたいと考えています (「直属のレポート」や「マネージャー」など) User.Read サインインを有効にし、ユーザー プロファイルを読み取ります
アプリの目的は、すべてのユーザーの完全なユーザー プロファイルを読み取ること User.Read.All すべてのユーザーの完全なプロファイルの読み取り
アプリの目的は、サインインしているユーザーのファイル、メール、カレンダー情報を読み取ること User.Read, Files.Read, Mail.Read, Calendars.Read サインインとユーザー プロファイルの読み取り、ユーザーのファイルの読み取り、ユーザー メールの読み取り、ユーザー予定表の読み取りを有効にする
アプリの目的は、サインインしているユーザー (自分) のファイルと、サインインしているユーザー (自分) が他のユーザーから共有してもらっているファイルを読み取ること User.Read, Files.Read, Sites.Read.All サインインとユーザー プロファイルの読み取り、ユーザーのファイルの読み取り、すべてのサイト コレクション内のアイテムの読み取りを有効にする
アプリの目的は、サインインしているユーザーの完全なユーザー プロファイルを読み書きすること User.ReadWrite ユーザーのプロファイルの読み取りおよび書き込みアクセス許可
アプリの目的は、すべてのユーザーの完全なユーザー プロファイルを読み書きすること User.ReadWrite.All すべてのユーザーの完全なプロファイルの読み取りと書き込み
アプリの目的は、サインインしているユーザーのファイル、メール、カレンダー情報を読み書きすること User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite ユーザー プロファイルへの読み取りと書き込みアクセス、ユーザー プロファイルへの読み取りと書き込みアクセス、ユーザー メールへの読み取りと書き込みアクセス、ユーザー予定表へのフル アクセス権
アプリの目的は、ユーザーの個人データをエクスポートするためにデータ ポリシー操作要求を送信すること User.Export.All ユーザーの個人データをエクスポートします。

グループ リソースに対するアクセスのシナリオ

グループが関与するアプリ タスク 必要なアクセス許可 アクセス許可文字列
アプリの目的は、グループ選択画面への表示などのために、基本グループ情報 (表示名と写真のみ) を読み取ること Group.Read.All すべてのグループの読み取り
アプリの目的は、ファイルや会話を含むすべての Microsoft 365 グループ内のすべてのコンテンツを読み取ることです。 グループ メンバーシップを表示したり、グループ メンバーシップを更新できたり (所有者の場合) する必要もあります。 Group.Read.All すべてのサイト コレクションにあるアイテムの読み取り、すべてのグループの読み取り
アプリの目的は、ファイルや会話を含むすべての Microsoft 365 グループ内のすべてのコンテンツの読み取りと書き込みです。 グループ メンバーシップを表示したり、グループ メンバーシップを更新できたり (所有者の場合) する必要もあります。 Group.ReadWrite.All, Sites.ReadWrite.All すべてのグループの読み取りと書き込み、すべてのサイト コレクション内のアイテムの編集または削除
アプリの目的は、Microsoft 365 グループを検出 (検索) することです。 ユーザーが、特定のグループから検索し、一覧表から選択して、グループに参加できるようにします。 Group.ReadWrite.All すべてのグループの読み取りと書き込み
アプリの目的は、AAD グラフを経由してグループを作成すること Group.ReadWrite.All すべてのグループの読み取りと書き込み

すべてのアクセス許可と ID

アクセス許可名 ID
AccessReview.Read.All アプリケーション d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.Read.All 委任 ebfcd32b-babb-40f4-a14b-42706e83bd28
AccessReview.ReadWrite.All アプリケーション ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.All 委任 e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.Membership アプリケーション 18228521-a591-40f1-b215-5fad4488c117
AccessReview.ReadWrite.Membership 委任 5af8c3f5-baca-439a-97b0-ea58a435e269
Acronym.Read.All アプリケーション 8c0aed2c-0c61-433d-b63c-6370ddc73248
Acronym.Read.All 委任 9084c10f-a2d6-4713-8732-348def50fe02
AdministrativeUnit.Read.All アプリケーション 134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.Read.All 委任 3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.ReadWrite.All アプリケーション 5eb59dd3-1da2-4329-8733-9dabdc435916
AdministrativeUnit.ReadWrite.All 委任 7b8a2d34-6b3f-4542-a343-54651608ad81
Agreement.Read.All アプリケーション 2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.Read.All 委任 af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.ReadWrite.All アプリケーション c9090d00-6101-42f0-a729-c41074260d47
Agreement.ReadWrite.All 委任 ef4b5d93-3104-4664-9053-a5c49ab44218
AgreementAcceptance.Read 委任 0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All アプリケーション d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
AgreementAcceptance.Read.All 委任 a66a5341-e66e-4897-9d52-c2df58c2bfb9
Analytics.Read 委任 e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All アプリケーション b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.Read.All 委任 1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.ReadWrite.All アプリケーション 1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
APIConnectors.ReadWrite.All 委任 c67b52c5-7c69-48b6-9d48-7b3af3ded914
AppCatalog.Read.All アプリケーション e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.Read.All 委任 88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.ReadWrite.All アプリケーション dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.ReadWrite.All 委任 1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.Submit 委任 3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All アプリケーション 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.Read.All 委任 c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.ReadWrite.All アプリケーション 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.All 委任 bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.OwnedBy アプリケーション 18a4783c-866b-4cc7-a460-3d5e5662c884
AppRoleAssignment.ReadWrite.All アプリケーション 06b708a9-e830-4db3-a914-8e69da51d44f
AppRoleAssignment.ReadWrite.All 委任 84bccea3-f856-4a8a-967b-dbe0a3d53a64
AttackSimulation.Read.All アプリケーション 93283d0a-6322-4fa8-966b-8c121624760d
AttackSimulation.Read.All 委任 104a7a4b-ca76-4677-b7e7-2f4bc482f381
AuditLog.Read.All アプリケーション b0afded3-3588-46d8-8b3d-9842eff778da
AuditLog.Read.All 委任 e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuthenticationContext.Read.All アプリケーション 381f742f-e1f8-4309-b4ab-e3d91ae4c5c1
AuthenticationContext.Read.All 委任 57b030f1-8c35-469c-b0d9-e4a077debe70
AuthenticationContext.ReadWrite.All アプリケーション a88eef72-fed0-4bf7-a2a9-f19df33f8b83
AuthenticationContext.ReadWrite.All 委任 ba6d575a-1344-4516-b777-1404f5593057
BitlockerKey.Read.All 委任 b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.ReadBasic.All 委任 5a107bfc-4f00-4e1a-b67e-66451267bc68
Bookings.Manage.All 委任 7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All アプリケーション 6e98f277-b046-4193-a4f2-6bf6a78cd491
Bookings.Read.All 委任 33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All 委任 948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All アプリケーション 9769393e-5a9f-4302-9e3d-7e018ecb64a7
BookingsAppointment.ReadWrite.All 委任 02a5a114-36a6-46ff-a102-954d89d9ab02
Bookmark.Read.All アプリケーション be95e614-8ef3-49eb-8464-1c9503433b86
Bookmark.Read.All 委任 98b17b35-f3b1-4849-a85f-9f13733002f0
BrowserSiteLists.Read.All アプリケーション c5ee1f21-fc7f-4937-9af0-c91648ff9597
BrowserSiteLists.Read.All 委任 fb9be2b7-a7fc-4182-aec1-eda4597c43d5
BrowserSiteLists.ReadWrite.All アプリケーション 8349ca94-3061-44d5-9bfb-33774ea5e4f9
BrowserSiteLists.ReadWrite.All 委任 83b34c85-95bf-497b-a04e-b58eca9d49d0
Calendars.Read アプリケーション 798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read 委任 465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read.Shared 委任 2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadWrite アプリケーション ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite 委任 1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite.Shared 委任 12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All アプリケーション a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All アプリケーション 45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All アプリケーション a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All アプリケーション 284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All アプリケーション 4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All アプリケーション f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallAsGuest.All アプリケーション fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create アプリケーション f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Create 委任 101147cf-4178-4455-9d58-02b5c164e759
Channel.Delete.All アプリケーション 6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.Delete.All 委任 cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.ReadBasic.All アプリケーション 59a6b24b-4225-4393-8165-ebaec5f55d7a
Channel.ReadBasic.All 委任 9d8982ae-4365-4f57-95e9-d6032a4c0b87
ChannelMember.Read.All アプリケーション 3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.Read.All 委任 2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.ReadWrite.All アプリケーション 35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMember.ReadWrite.All 委任 0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMessage.Edit 委任 2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All アプリケーション 7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Read.All 委任 767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.ReadWrite 委任 5922d31f-46c8-4404-9eaf-2117e390a8a4
ChannelMessage.Send 委任 ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All アプリケーション 4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All アプリケーション c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.Read.All 委任 233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.ReadWrite.All アプリケーション 243cded2-bd16-4fd6-a953-ff8177894c3d
ChannelSettings.ReadWrite.All 委任 d649fb7c-72b4-4eec-b2b4-b15acf79e378
Chat.Create アプリケーション d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Create 委任 38826093-1258-4dea-98f0-00003be2b8d0
Chat.Read 委任 f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All アプリケーション 6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.Read.WhereInstalled アプリケーション 1c1b4c8e-3cc7-4c58-8470-9b92c9d5848b
Chat.ReadBasic 委任 9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All アプリケーション b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadBasic.WhereInstalled アプリケーション 818ba5bd-5b3e-4fe0-bbe6-aa4686669073
Chat.ReadWrite 委任 9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All アプリケーション 294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.ReadWrite.WhereInstalled アプリケーション ad73ce80-f3cd-40ce-b325-df12c33df713
Chat.UpdatePolicyViolation.All アプリケーション 7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read 委任 c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All アプリケーション a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.Read.WhereInstalled アプリケーション 93e7c9e4-54c5-4a41-b796-f2a5adaacda7
ChatMember.ReadWrite 委任 dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All アプリケーション 57257249-34ce-4810-a8a2-a03adf0c5693
ChatMember.ReadWrite.WhereInstalled アプリケーション e32c2cd9-0124-4e44-88fc-772cd98afbdb
ChatMessage.Read 委任 cdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All アプリケーション b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send 委任 116b7235-7cc6-461e-b163-8e55691d839e
CloudPC.Read.All アプリケーション a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.Read.All 委任 5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC.ReadWrite.All アプリケーション 3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
CloudPC.ReadWrite.All 委任 9d77138f-f0e2-47ba-ab33-cd246c8b79d1
ConsentRequest.Read.All アプリケーション 1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.Read.All 委任 f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.ReadWrite.All アプリケーション 9f1b81a7-0223-4428-bfa4-0bcb5535f27d
ConsentRequest.ReadWrite.All 委任 497d9dfa-3bd1-481a-baab-90895e54568c
Contacts.Read アプリケーション 089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read 委任 ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read.Shared 委任 242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite アプリケーション 6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite 委任 d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite.Shared 委任 afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All アプリケーション cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantInformation.ReadBasic.All 委任 81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantUserProfileSharing.Read 委任 cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All アプリケーション 8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.Read.All 委任 759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.ReadWrite 委任 eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All アプリケーション 306785c5-c09b-4ba0-a4ee-023f3da165cb
CrossTenantUserProfileSharing.ReadWrite.All 委任 64dfa325-cbf8-48e3-938d-51224a0cac01
CustomAuthenticationExtension.Read.All アプリケーション 88bb2658-5d9e-454f-aacd-a3933e079526
CustomAuthenticationExtension.Read.All 委任 b2052569-c98c-4f36-a5fb-43e5c111e6d0
CustomAuthenticationExtension.ReadWrite.All アプリケーション c2667967-7050-4e7e-b059-4cbbb3811d03
CustomAuthenticationExtension.ReadWrite.All 委任 8dfcf82f-15d0-43b3-bc78-a958a13a5792
CustomAuthenticationExtension.Receive.Payload アプリケーション 214e810f-fda8-4fd7-a475-29461495eb00
CustomSecAttributeAssignment.Read.All アプリケーション 3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.Read.All 委任 b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.ReadWrite.All アプリケーション de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeAssignment.ReadWrite.All 委任 ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeDefinition.Read.All アプリケーション b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.Read.All 委任 ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.ReadWrite.All アプリケーション 12338004-21f4-4896-bf5e-b75dfaf1016d
CustomSecAttributeDefinition.ReadWrite.All 委任 8b0160d4-5743-482b-bb27-efc0a485ca4a
DelegatedAdminRelationship.Read.All アプリケーション f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.Read.All 委任 0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.ReadWrite.All アプリケーション cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedAdminRelationship.ReadWrite.All 委任 885f682f-a990-4bad-a642-36736a74b0c7
DelegatedPermissionGrant.ReadWrite.All アプリケーション 8e8e4742-1d95-4f68-9d56-6ee75648c72a
DelegatedPermissionGrant.ReadWrite.All 委任 41ce6ca6-6826-4807-84f1-1c82854f7ee5
Device.Command 委任 bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read 委任 11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All アプリケーション 7438b122-aefc-4978-80ed-43db9fcc7715
Device.Read.All 委任 951183d1-1a61-466f-a6d1-1fde911bfd95
Device.ReadWrite.All アプリケーション 1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceManagementApps.Read.All アプリケーション 7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.Read.All 委任 4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.ReadWrite.All アプリケーション 78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementApps.ReadWrite.All 委任 7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementConfiguration.Read.All アプリケーション dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.Read.All 委任 f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.ReadWrite.All アプリケーション 9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementConfiguration.ReadWrite.All 委任 0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementManagedDevices.PrivilegedOperations.All アプリケーション 5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.PrivilegedOperations.All 委任 3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.Read.All アプリケーション 2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.Read.All 委任 314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.ReadWrite.All アプリケーション 243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementManagedDevices.ReadWrite.All 委任 44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementRBAC.Read.All アプリケーション 58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.Read.All 委任 49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.ReadWrite.All アプリケーション e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementRBAC.ReadWrite.All 委任 0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementServiceConfig.Read.All アプリケーション 06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.Read.All 委任 8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.ReadWrite.All アプリケーション 5ac13192-7ace-4fcf-b828-1a26f28068ee
DeviceManagementServiceConfig.ReadWrite.All 委任 662ed50a-ac44-4eef-ad86-62eed9be2a29
Directory.AccessAsUser.All 委任 0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All アプリケーション 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.Read.All 委任 06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.ReadWrite.All アプリケーション 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.ReadWrite.All 委任 c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.Write.Restricted アプリケーション f20584af-9290-4153-9280-ff8bb2c0ea7f
Directory.Write.Restricted 委任 cba5390f-ed6a-4b7f-b657-0efc2210ed20
DirectoryRecommendations.Read.All アプリケーション ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.Read.All 委任 34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.ReadWrite.All アプリケーション 0e9eea12-4f01-45f6-9b8d-3ea4c8144158
DirectoryRecommendations.ReadWrite.All 委任 f37235e8-90a0-4189-93e2-e55b53867ccd
Domain.Read.All アプリケーション dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.Read.All 委任 2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.ReadWrite.All アプリケーション 7e05723c-0bb0-42da-be95-ae9f08a6e53c
Domain.ReadWrite.All 委任 0b5d694c-a244-4bde-86e6-eb5cd07730fe
EAS.AccessAsUser.All 委任 ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All アプリケーション 50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.Read.All 委任 99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.ReadWrite.All アプリケーション b2620db1-3bf7-4c5b-9cb9-576d29eac736
eDiscovery.ReadWrite.All 委任 acb8f680-0834-4146-b69e-4ab1b39745ad
EduAdministration.Read 委任 8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All アプリケーション 7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite 委任 63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All アプリケーション 9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read 委任 091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All アプリケーション 4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic 委任 c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All アプリケーション 6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite 委任 2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All アプリケーション 0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic 委任 2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All アプリケーション f431cc63-a2de-48c4-8054-a34bc093af84
EduRoster.Read 委任 a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All アプリケーション e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic 委任 5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All アプリケーション 0d412a8c-a06c-439f-b3ec-8abcf54d2f96
EduRoster.ReadWrite 委任 359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All アプリケーション d1808e82-ce13-47af-ae0d-f9b254e6d58a
メール 委任 64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All アプリケーション c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.Read.All 委任 5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.ReadWrite.All アプリケーション 9acd699f-1e81-4958-b001-93b1d2506e19
EntitlementManagement.ReadWrite.All 委任 ae7a573d-81d7-432b-ad44-4ed5c9d89038
EventListener.Read.All アプリケーション b7f6385c-6ce6-4639-a480-e23c42ed9784
EventListener.Read.All 委任 f7dd3bed-5eec-48da-bc73-1c0ef50bc9a1
EventListener.ReadWrite.All アプリケーション 0edf5e9e-4ce8-468a-8432-d08631d18c43
EventListener.ReadWrite.All 委任 d11625a6-fe21-4fc6-8d3d-063eba5525ad
EWS.AccessAsUser.All 委任 9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All アプリケーション 1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.Read.All 委任 a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.ReadWrite.All アプリケーション 34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.All 委任 bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.OwnedBy アプリケーション f431331c-49a6-499f-be1c-62af19c34a9d
ExternalConnection.ReadWrite.OwnedBy 委任 4082ad95-c812-4f02-be92-780c4c4f1830
ExternalItem.Read.All アプリケーション 7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.Read.All 委任 922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.ReadWrite.All アプリケーション 38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.All 委任 b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.OwnedBy アプリケーション 8116ae0f-55c2-452d-9944-d18420f5b2c8
ExternalItem.ReadWrite.OwnedBy 委任 4367b9d7-cee7-4995-853c-a0bdfe95c1f9
Family.Read 委任 3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read 委任 10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All アプリケーション 01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.All 委任 df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.Selected 委任 5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite 委任 5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All アプリケーション 75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.All 委任 863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.AppFolder 委任 8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected 委任 17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All 委任 f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create アプリケーション bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All アプリケーション 5b567255-7703-4780-807c-7be8301ae99b
Group.Read.All 委任 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.ReadWrite.All アプリケーション 62a82d76-70ea-41e2-9197-370581804d09
Group.ReadWrite.All 委任 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
GroupMember.Read.All アプリケーション 98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.Read.All 委任 bc024368-1153-4739-b217-4326f2e966d0
GroupMember.ReadWrite.All アプリケーション dbaae8cf-10b5-4b86-a4a1-f871c94c6695
GroupMember.ReadWrite.All 委任 f81125ac-d3b7-4573-a3b2-7099cc39df9e
IdentityProvider.Read.All アプリケーション e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.Read.All 委任 43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.ReadWrite.All アプリケーション 90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityProvider.ReadWrite.All 委任 f13ce604-1677-429f-90bd-8a10b9f01325
IdentityRiskEvent.Read.All アプリケーション 6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.Read.All 委任 8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.ReadWrite.All アプリケーション db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskEvent.ReadWrite.All 委任 9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskyServicePrincipal.Read.All アプリケーション 607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.Read.All 委任 ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.ReadWrite.All アプリケーション cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyServicePrincipal.ReadWrite.All 委任 bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyUser.Read.All アプリケーション dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.Read.All 委任 d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.ReadWrite.All アプリケーション 656f6061-f9fe-4807-9708-6a2e0934df76
IdentityRiskyUser.ReadWrite.All 委任 e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityUserFlow.Read.All アプリケーション 1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.Read.All 委任 2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.ReadWrite.All アプリケーション 65319a09-a2be-469d-8782-f6b07debf789
IdentityUserFlow.ReadWrite.All 委任 281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IMAP.AccessAsUser.All 委任 652390e4-393a-48de-9484-05f9b1212954
InformationProtectionContent.Sign.All アプリケーション cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All アプリケーション 287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read 委任 4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All アプリケーション 19da66cb-0fb0-4390-b071-ebc76a349482
LearningContent.Read.All アプリケーション 8740813e-d8aa-4204-860e-2a0f8f84dbc8
LearningContent.Read.All 委任 ea4c1fd9-6a9f-4432-8e5d-86e06cc0da77
LearningContent.ReadWrite.All アプリケーション 444d6fcb-b738-41e5-b103-ac4f2a2628a3
LearningContent.ReadWrite.All 委任 53cec1c4-a65f-4981-9dc1-ad75dbf1c077
LearningProvider.Read 委任 dd8ce36f-9245-45ea-a99e-8ac398c22861
LearningProvider.ReadWrite 委任 40c2eb57-abaf-49f5-9331-e90fd01f7130
LicenseAssignment.ReadWrite.All アプリケーション 5facf0c1-8979-4e95-abcf-ff3d079771c0
LicenseAssignment.ReadWrite.All 委任 f55016cc-149c-447e-8f21-7cf3ec1d6350
LifecycleWorkflows.Read.All アプリケーション 7c67316a-232a-4b84-be22-cea2c0906404
LifecycleWorkflows.Read.All 委任 9bcb9916-765a-42af-bf77-02282e26b01a
LifecycleWorkflows.ReadWrite.All アプリケーション 5c505cf4-8424-4b8e-aa14-ee06e3bb23e3
LifecycleWorkflows.ReadWrite.All 委任 84b9d731-7db8-4454-8c90-fd9e95350179
Mail.Read アプリケーション 810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read 委任 570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read.Shared 委任 7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic アプリケーション 6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic 委任 a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic.All アプリケーション 693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadWrite アプリケーション e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite 委任 024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite.Shared 委任 5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send アプリケーション b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send 委任 e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send.Shared 委任 a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read アプリケーション 40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.Read 委任 87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.ReadWrite アプリケーション 6931bccd-447a-43d1-b442-00a195474933
MailboxSettings.ReadWrite 委任 818c620a-27a9-40bd-a6a5-d96f7d610b4b
ManagedTenants.Read.All 委任 dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All 委任 b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden アプリケーション 658aa5d8-239f-45c4-aa12-864f4fc7e490
Member.Read.Hidden 委任 f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Notes.Create 委任 9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read 委任 371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All アプリケーション 3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.Read.All 委任 dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.ReadWrite 委任 615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All アプリケーション 0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.All 委任 64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.CreatedByApp 委任 ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp 委任 89497502-6e42-46a2-8cb2-427fd3df970a
offline_access 委任 7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All アプリケーション df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingArtifact.Read.All 委任 110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingRecording.Read.All アプリケーション a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetingRecording.Read.All 委任 190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetings.Read 委任 9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All アプリケーション c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite 委任 a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All アプリケーション b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All アプリケーション a4a80d8d-d283-4bd8-8504-555ec3870630
OnlineMeetingTranscript.Read.All 委任 30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnPremisesPublishingProfiles.ReadWrite.All アプリケーション 0b57845e-aa49-4e6f-8109-ce654fffa618
OnPremisesPublishingProfiles.ReadWrite.All 委任 8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
openid 委任 37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All アプリケーション 498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.Read.All 委任 4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.ReadWrite.All アプリケーション 292d869f-3427-49a8-9dab-8c70152b74e9
Organization.ReadWrite.All 委任 46ca0847-7e6b-426e-9775-ea810a948356
OrgContact.Read.All アプリケーション e1a88a34-94c4-4418-be12-c87b00e26bea
OrgContact.Read.All 委任 08432d1b-5911-483c-86df-7980af5cdee0
People.Read 委任 ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All アプリケーション b528084d-ad10-4598-8b93-929746b4d7d6
People.Read.All 委任 b89f9189-71a5-4e70-b041-9887f0bc7e4a
Place.Read.All アプリケーション 913b9306-0ce1-42b8-9137-6a7df690a760
Place.Read.All 委任 cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.ReadWrite.All 委任 4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All アプリケーション 246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.All 委任 572fea84-0151-49b2-9301-11cb16974376
Policy.Read.ConditionalAccess アプリケーション 37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.ConditionalAccess 委任 633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.PermissionGrant アプリケーション 9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.Read.PermissionGrant 委任 414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.ReadWrite.AccessReview アプリケーション 77c863fd-06c0-47ce-a7eb-49773e89d319
Policy.ReadWrite.AccessReview 委任 4f5bc9c8-ea54-4772-973a-9ca119cb0409
Policy.ReadWrite.ApplicationConfiguration アプリケーション be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.ApplicationConfiguration 委任 b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.AuthenticationFlows アプリケーション 25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationFlows 委任 edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationMethod アプリケーション 29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.AuthenticationMethod 委任 7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.Authorization アプリケーション fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.Authorization 委任 edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.ConditionalAccess アプリケーション 01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConditionalAccess 委任 ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConsentRequest アプリケーション 999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.ConsentRequest 委任 4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.CrossTenantAccess アプリケーション 338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.CrossTenantAccess 委任 014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.DeviceConfiguration 委任 40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.FeatureRollout アプリケーション 2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.FeatureRollout 委任 92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.MobilityManagement 委任 a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant アプリケーション a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.PermissionGrant 委任 2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.TrustFramework アプリケーション 79a677f7-b79d-40d0-a36a-3e6f8688dd7a
Policy.ReadWrite.TrustFramework 委任 cefba324-1a70-4a6e-9c1d-fd670b7ae392
POP.AccessAsUser.All 委任 d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read 委任 76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All 委任 9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite 委任 8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All アプリケーション 83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All 委任 d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All 委任 79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create 委任 90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All 委任 93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All アプリケーション 9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.Read.All 委任 3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.ReadWrite.All アプリケーション f5b3f73d-6247-44df-a74c-866173fddab0
Printer.ReadWrite.All 委任 89f66824-725f-4b8f-928e-e1c5258dc565
PrinterShare.Read.All 委任 ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All 委任 5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All 委任 06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create 委任 21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All アプリケーション 58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read 委任 248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All アプリケーション ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.Read.All 委任 afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.ReadBasic 委任 6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All アプリケーション fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadBasic.All 委任 04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadWrite 委任 b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All アプリケーション 5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWrite.All 委任 036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWriteBasic 委任 6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All アプリケーション 57878358-37f4-4d3a-8c20-4816e0d457b1
PrintJob.ReadWriteBasic.All 委任 3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintSettings.Read.All アプリケーション b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.Read.All 委任 490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.ReadWrite.All 委任 9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All アプリケーション 456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD アプリケーション 4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureAD 委任 b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureADGroup アプリケーション 01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureADGroup 委任 d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureResources アプリケーション 5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.Read.AzureResources 委任 1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.ReadWrite.AzureAD アプリケーション 854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureAD 委任 3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureADGroup アプリケーション 2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureADGroup 委任 32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureResources アプリケーション 6f9d5abc-2db6-400b-a267-7de22a40fb87
PrivilegedAccess.ReadWrite.AzureResources 委任 a84a9652-ffd3-496e-a991-22ba5529156a
profile 委任 14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All アプリケーション eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.Read.All 委任 c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.ReadWrite.All アプリケーション 60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
ProgramControl.ReadWrite.All 委任 50fd364f-9d93-4ae1-b170-300e87cccf84
RecordsManagement.Read.All アプリケーション ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.Read.All 委任 07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.ReadWrite.All アプリケーション eb158f57-df43-4751-8b21-b8932adb3d34
RecordsManagement.ReadWrite.All 委任 f2833d75-a4e6-40ab-86d4-6dfe73c97605
Reports.Read.All アプリケーション 230c1aed-a721-4c5d-9cb4-a90514e508ef
Reports.Read.All 委任 02e97553-ed7b-43d0-ab3c-f8bace0d040c
ReportSettings.Read.All アプリケーション ee353f83-55ef-4b78-82da-555bfa2b4b95
ReportSettings.Read.All 委任 84fac5f4-33a9-4100-aa38-a20c6d29e5e7
ReportSettings.ReadWrite.All アプリケーション 2a60023f-3219-47ad-baa4-40e17cd02a1d
ReportSettings.ReadWrite.All 委任 b955410e-7715-4a88-a940-dfd551018df3
RoleAssignmentSchedule.Read.Directory 委任 344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory 委任 8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory 委任 eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory 委任 62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All アプリケーション c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.All 委任 48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.CloudPC アプリケーション 031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.CloudPC 委任 9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.Directory アプリケーション 483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.Read.Directory 委任 741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.ReadWrite.CloudPC アプリケーション 274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.CloudPC 委任 501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.Directory アプリケーション 9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagement.ReadWrite.Directory 委任 d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagementPolicy.Read.Directory 委任 3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.Directory 委任 1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All アプリケーション 7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.Read.All 委任 fccf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.ReadWrite.All アプリケーション b7760610-0545-4e8a-9ec3-cce9e63db01c
Schedule.ReadWrite.All 委任 63f27281-c9d9-4f29-94dd-6942f7f1feb0
SearchConfiguration.Read.All アプリケーション ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.Read.All 委任 7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.ReadWrite.All アプリケーション 0e778b85-fefa-466d-9eec-750569d92122
SearchConfiguration.ReadWrite.All 委任 b1a7d408-cab0-47d2-a2a5-a74a3733600d
SecurityActions.Read.All アプリケーション 5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.Read.All 委任 1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.ReadWrite.All アプリケーション f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityActions.ReadWrite.All 委任 dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityAlert.Read.All アプリケーション 472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.Read.All 委任 bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.ReadWrite.All アプリケーション ed4fca05-be46-441f-9803-1873825f8fdb
SecurityAlert.ReadWrite.All 委任 471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityEvents.Read.All アプリケーション bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.Read.All 委任 64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.ReadWrite.All アプリケーション d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityEvents.ReadWrite.All 委任 6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityIncident.Read.All アプリケーション 45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.Read.All 委任 b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.ReadWrite.All アプリケーション 34bf0e97-1971-4929-b999-9e2442d941d7
SecurityIncident.ReadWrite.All 委任 128ca929-1a19-45e6-a3b8-435ec44a36ba
ServiceHealth.Read.All アプリケーション 79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceHealth.Read.All 委任 55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceMessage.Read.All アプリケーション 1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessage.Read.All 委任 eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessageViewpoint.Write 委任 636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All アプリケーション 5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.Read.All 委任 9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.ReadWrite.All アプリケーション 89c8469c-83ad-45f7-8ff2-6e3d4285709e
ServicePrincipalEndpoint.ReadWrite.All 委任 7297d82c-9546-4aed-91df-3d4f0a9b3ff0
SharePointTenantSettings.Read.All アプリケーション 83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.Read.All 委任 2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.ReadWrite.All アプリケーション 19b94e34-907c-4f43-bde9-38b1909ed408
SharePointTenantSettings.ReadWrite.All 委任 aa07f155-3612-49b8-a147-6c590df35536
ShortNotes.Read 委任 50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All アプリケーション 0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite 委任 328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All アプリケーション 842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All アプリケーション a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.FullControl.All 委任 5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.Manage.All アプリケーション 0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Manage.All 委任 65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Read.All アプリケーション 332a536c-c7ef-4017-ab91-336970924f0d
Sites.Read.All 委任 205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.ReadWrite.All アプリケーション 9492366f-7969-46a4-8d15-ed1a20078fff
Sites.ReadWrite.All 委任 89fe6a52-be36-487e-b7d8-d061c450a026
Sites.Selected アプリケーション 883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send 委任 258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All アプリケーション ee1460f0-368b-4153-870a-4e1ca7e72c42
SubjectRightsRequest.Read.All 委任 9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All アプリケーション 8387eaa4-1a3c-41f5-b261-f888138e6041
SubjectRightsRequest.ReadWrite.All 委任 2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All 委任 5f88184c-80bb-4d52-9ff2-757288b2e9b7
Tasks.Read 委任 f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All アプリケーション f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared 委任 88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite 委任 2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All アプリケーション 44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared 委任 c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Create アプリケーション 23fc2474-f741-46ce-8465-674744c5c361
Team.Create 委任 7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.ReadBasic.All アプリケーション 2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
Team.ReadBasic.All 委任 485be79e-c497-4b35-9400-0e3fa7f2a5d4
TeamMember.Read.All アプリケーション 660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.Read.All 委任 2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.ReadWrite.All アプリケーション 0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWrite.All 委任 4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWriteNonOwnerRole.All アプリケーション 4437522e-9a86-4a41-a7da-e380edd4a97d
TeamMember.ReadWriteNonOwnerRole.All 委任 2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamsActivity.Read 委任 0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All アプリケーション 70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send アプリケーション a267235f-af13-44dc-8385-c1dc93023186
TeamsActivity.Send 委任 7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsAppInstallation.ReadForChat 委任 bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All アプリケーション cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam 委任 5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All アプリケーション 1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser 委任 c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All アプリケーション 9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteForChat 委任 aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All アプリケーション 9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam 委任 2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All アプリケーション 5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser 委任 093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All アプリケーション 74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat 委任 0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All アプリケーション 73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam 委任 0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All アプリケーション 9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser 委任 207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All アプリケーション 908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All アプリケーション 242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.Read.All 委任 48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.ReadWrite.All アプリケーション bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamSettings.ReadWrite.All 委任 39d65650-9d3e-4223-80db-a335590d027e
TeamsTab.Create アプリケーション 49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Create 委任 a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Read.All アプリケーション 46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.Read.All 委任 59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.ReadWrite.All アプリケーション a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWrite.All 委任 b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWriteForChat 委任 ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All アプリケーション fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam 委任 c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All アプリケーション 6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser 委任 c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All アプリケーション 425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat 委任 0c219d04-3abf-47f7-912d-5cca239e90e6
TeamsTab.ReadWriteSelfForChat.All アプリケーション 9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam 委任 f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All アプリケーション 91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser 委任 395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All アプリケーション 3c42dec6-49e8-4a0a-b469-36cff0d9da93
Teamwork.Migrate.All アプリケーション dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkAppSettings.Read.All アプリケーション 475ebe88-f071-4bd7-af2b-642952bd4986
TeamworkAppSettings.ReadWrite.All アプリケーション ab5b445e-8f10-45f4-9c79-dd3f8062cc4e
TeamworkDevice.Read.All アプリケーション 0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.Read.All 委任 b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.ReadWrite.All アプリケーション 79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkDevice.ReadWrite.All 委任 ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkTag.Read 委任 57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All アプリケーション b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite 委任 539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All アプリケーション a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All アプリケーション ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.Read.All 委任 297f747b-0005-475b-8fef-c890f5152b38
TermStore.ReadWrite.All アプリケーション f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
TermStore.ReadWrite.All 委任 6c37c71d-f50f-4bff-8fd3-8a41da390140
ThreatAssessment.Read.All アプリケーション f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All 委任 cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHunting.Read.All アプリケーション dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatHunting.Read.All 委任 b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatIndicators.Read.All アプリケーション 197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.Read.All 委任 9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.ReadWrite.OwnedBy アプリケーション 21792b6c-c986-4ffc-85de-df9da54b52fa
ThreatIndicators.ReadWrite.OwnedBy 委任 91e7d36d-022a-490f-a748-f8e011357b42
ThreatSubmission.Read 委任 fd5353c6-26dd-449f-a565-c4e16b9fce78
ThreatSubmission.Read.All アプリケーション 86632667-cd15-4845-ad89-48a88e8412e1
ThreatSubmission.Read.All 委任 7083913a-4966-44b6-9886-c5822a5fd910
ThreatSubmission.ReadWrite 委任 68a3156e-46c9-443c-b85c-921397f082b5
ThreatSubmission.ReadWrite.All アプリケーション d72bdbf4-a59b-405c-8b04-5995895819ac
ThreatSubmission.ReadWrite.All 委任 8458e264-4eb9-4922-abe9-768d58f13c7f
ThreatSubmissionPolicy.ReadWrite.All アプリケーション 926a6798-b100-4a20-a22f-a4918f13951d
ThreatSubmissionPolicy.ReadWrite.All 委任 059e5840-5353-4c68-b1da-666a033fc5e8
TrustFrameworkKeySet.Read.All アプリケーション fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.Read.All 委任 7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.ReadWrite.All アプリケーション 4a771c9a-1cf2-4609-b88e-3d3e02d539cd
TrustFrameworkKeySet.ReadWrite.All 委任 39244520-1e7d-4b4a-aee0-57c65826e427
UnifiedGroupMember.Read.AsGuest 委任 73e75199-7c3e-41bb-9357-167164dbb415
User.Export.All アプリケーション 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All 委任 405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All アプリケーション 09850681-111b-4a89-9bed-3f2cae46d706
User.Invite.All 委任 63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.ManageIdentities.All アプリケーション c529cfca-c91b-489c-af2b-d92990b66ce6
User.ManageIdentities.All 委任 637d7bec-b31e-4deb-acc9-24275642a2c9
User.Read 委任 e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All アプリケーション df021288-bdef-4463-88db-98f22de89214
User.Read.All 委任 a154be20-db9c-4678-8ab7-66f6cc099a59
User.ReadBasic.All アプリケーション 97235f07-e226-4f63-ace3-39588e11d3a1
User.ReadBasic.All 委任 b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite 委任 b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All アプリケーション 741f803b-c850-494e-b5df-cde7c675a1ca
User.ReadWrite.All 委任 204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
UserActivity.ReadWrite.CreatedByApp 委任 47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read 委任 1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All アプリケーション 38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.Read.All 委任 aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.ReadWrite 委任 48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All アプリケーション 50483e42-d915-4231-9639-7fdb7fd190e5
UserAuthenticationMethod.ReadWrite.All 委任 b7887744-6746-4312-813d-72daeaee7e2d
User-LifeCycleInfo.Read.All アプリケーション 8556a004-db57-4d7a-8b82-97a13428e96f
User-LifeCycleInfo.Read.All 委任 ed8d2a04-0374-41f1-aefe-da8ac87ccc87
User-LifeCycleInfo.ReadWrite.All アプリケーション 925f1248-0f97-47b9-8ec8-538c54e01325
User-LifeCycleInfo.ReadWrite.All 委任 7ee7473e-bd4b-4c9f-987c-bd58481f5fa2
UserNotification.ReadWrite.CreatedByApp アプリケーション 4e774092-a092-48d1-90bd-baad67c7eb47
UserNotification.ReadWrite.CreatedByApp 委任 26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserShiftPreferences.Read.All アプリケーション de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All アプリケーション d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp 委任 367492fc-594d-4972-a9b5-0d58c622c91c
WindowsUpdates.ReadWrite.All アプリケーション 7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WindowsUpdates.ReadWrite.All 委任 11776c0c-6138-4db3-a668-ee621bea2555
WorkforceIntegration.Read.All 委任 f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All アプリケーション 202bf709-e8e6-478e-bcfd-5d63c50b68e3
WorkforceIntegration.ReadWrite.All 委任 08c4b377-0d23-4a8b-be2a-23c1c1d88545