Diferenças de permissões entre Azure AD Graph e Microsoft Graph

  • Artigo

Este artigo faz parte da etapa 1: examine as diferenças de API do processo para migrar aplicativos.

A permissão menos privilegiada para um cenário específico pode ser diferente entre Azure AD Graph e o Microsoft Graph. Ao migrar seus aplicativos para chamar o Microsoft Graph, analise se você também precisa migrar para permissões mais restritas do Microsoft Graph para manter menos privilégios.

Por exemplo, no Azure AD Graph, a leitura de usuários em cenários somente de aplicativo requer a permissão Directory.Read.All. Essa permissão também permite que seu aplicativo leia todos os grupos, aplicativos e algumas políticas em seu locatário. No entanto, no Microsoft Graph, a leitura de usuários em cenários somente de aplicativo requer apenas a permissão User.Read.All .

Embora as cadeias de caracteres de permissão possam ser as mesmas em Azure AD Graph e Microsoft Graph, elas têm identificadores diferentes. No entanto, semelhante ao Azure AD Graph, o Microsoft Graph também expõe permissões de aplicativo e delegadas. O consentimento do administrador é sempre necessário para permissões de aplicativo.

O artigo fornece um mapeamento das permissões do Azure AD Graph para o Microsoft Graph para ajudá-lo a migrar seus aplicativos.

Application.Read.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível c79f8feb-a9db-4090-85f9-90d820caa0eb
Exibir Cadeia de Caracteres Não disponível Ler aplicativos
Administração consentimento necessário? Não disponível Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 3afa6a7d-9b1a-42eb-948e-1650a849e176 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Exibir Cadeia de Caracteres Ler todos os aplicativos Ler todos os aplicativos

Application.ReadWrite.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível bdfbf15f-ee85-4955-8675-146e8e5296b5
Exibir Cadeia de Caracteres Não disponível Ler e gravar todos os aplicativos
Administração consentimento necessário? Não disponível Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 1cda74f2-2616-4834-b122-5cb1b07f8a59 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Exibir Cadeia de Caracteres Ler e gravar todos os aplicativos Ler todos os aplicativos

Application.ReadWrite.OwnedBy

Delegated

Não aplicável.

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 1cda74f2-2616-4834-b122-5cb1b07f8a59 18a4783c-866b-4cc7-a460-3d5e5662c884
Exibir Cadeia de Caracteres Gerenciar aplicativos que este aplicativo criar ou possuir Gerenciar aplicativos que este aplicativo criar ou possuir

Device.ReadWrite.All

Delegated

Não aplicável.

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 1138cb37-bd11-4084-a2b7-9f71582aeddb 1138cb37-bd11-4084-a2b7-9f71582aeddb
Exibir Cadeia de Caracteres Ler e registrar dispositivos Ler e registrar dispositivos

Directory.Read.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 5778995a-e1bf-45b8-affa-663a9f3f4d04 06da0dbc-49e2-44d2-8312-53f166ab848a
Exibir Cadeia de Caracteres Ler dados do diretório Ler dados do diretório
Administração consentimento necessário? Sim Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 5778995a-e1bf-45b8-affa-663a9f3f4d04 7ab1d382-f21e-4acd-a863-ba3e13f7da61
Exibir Cadeia de Caracteres Ler dados do diretório Ler dados do diretório

Directory.ReadWrite.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 c5366453-9fb0-48a5-a156-24f0c49a4b84
Exibir Cadeia de Caracteres Ler e gravar dados de diretório Ler e gravar dados de diretório
Administração consentimento necessário? Sim Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 19dbc75e-c2e2-444c-a770-ec69d8559fc7
Exibir Cadeia de Caracteres Ler e gravar dados de diretório Ler e gravar dados de diretório

Directory.AccessAsUser.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão a42657d6-7f20-40e3-b6f0-cee03008a62a 0e263e50-5827-48a4-b97c-d940288653c7
Exibir Cadeia de Caracteres Acessar diretório como o usuário conectado Acessar diretório como o usuário conectado
Administração consentimento necessário? Sim Sim

Aplicativo

Não aplicável.

Domain.ReadWrite.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível Ler e registrar domínios
Exibir Cadeia de Caracteres Não disponível Ler e registrar domínios
Administração consentimento necessário? Não disponível Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão abefe9df-d5a9-41c6-a60b-27b38eac3efb 7e05723c-0bb0-42da-be95-ae9f08a6e53c
Exibir Cadeia de Caracteres Ler e registrar domínios Ler e registrar domínios

Group.Read.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 6234d376-f627-4f0f-90e0-dff25c52111a3 5f8c59db-677d-491f-a6b8-5f174b11ec1d
Exibir Cadeia de Caracteres Ler todos os grupos Ler todos os grupos
Administração consentimento necessário? Sim Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível 5b567255-7703-4780-807c-7be8301ae99b
Exibir Cadeia de Caracteres Não disponível Ler todos os grupos

Group.ReadWrite.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 970d6fa6-214a-4a9b-8513-08fad511e2fd 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
Exibir Cadeia de Caracteres Ler e gravar todos os grupos Ler e gravar todos os grupos
Administração consentimento necessário? Sim Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível 62a82d76-70ea-41e2-9197-370581804d09
Exibir Cadeia de Caracteres Não disponível Ler e gravar todos os grupos

Member.Read.Hidden

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 2d05a661-f651-4d57-a595-489c91eda336 f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Exibir Cadeia de Caracteres Ler associações ocultas Ler associações ocultas
Administração consentimento necessário? Sim Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 9728c0c4-a06b-4e0e-8d1b-3d694e8ec207 658aa5d8-239f-45c4-aa12-864f4fc7e490
Exibir Cadeia de Caracteres Ler todas as associações ocultas Ler todas as associações ocultas

Policy.Read.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível 572fea84-0151-49b2-9301-11cb16974376
Exibir Cadeia de Caracteres Não disponível Ler as políticas da sua organização
Administração consentimento necessário? Não disponível Sim

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 6c2d1b1d-a490-4178-ba6b-7efceda9129b 246dd0d5-5bd0-4def-940b-0421030a5b68
Exibir Cadeia de Caracteres Leia as políticas da sua organização Ler as políticas da sua organização

User.Read

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão 311a71cc-e848-46a1-bdf8-97ff7156d8e6 e1fe6dd8-ba31-4d61-89e7-88639da4683d
Exibir Cadeia de Caracteres Entrar e ler o perfil do usuário Entrar e ler o perfil do usuário
Administração consentimento necessário? Não Não

Aplicativo

Não aplicável.

User.ReadBasic.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão cba73afc-7f69-4d86-8450-4978e04ecd1a b340eb25-3456-403f-be2f-af7a0d370277
Exibir Cadeia de Caracteres Ler os perfis básicos de todos usuários Ler os perfis básicos de todos usuários
Administração consentimento necessário? Não Não

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível 97235f07-e226-4f63-ace3-39588e11d3a1
Exibir Cadeia de Caracteres Não disponível Ler os perfis básicos de todos usuários

User.Read.All

Delegado

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão c582532d-9d9e-43bd-a97c-2667a28ce295 a154be20-db9c-4678-8ab7-66f6cc099a59
Exibir Cadeia de Caracteres Ler os perfis completos de todos os usuários Ler os perfis completos de todos os usuários
Administração consentimento necessário? Administrador Administrador

Aplicativo

Parâmetro Azure AD Graph. Microsoft Graph
ID de permissão Não disponível df021288-bdef-4463-88db-98f22de89214
Exibir Cadeia de Caracteres Não disponível Ler os perfis completos de todos os usuários

Próxima etapa

Examine a lista de verificação de migração novamente