Авторизация для API с целью чтения отчетов об использовании Microsoft 365

  • Статья

Данные отчетов, доступные через API отчетов Microsoft Graph, являются конфиденциальными. В частности, отчеты об использовании Microsoft 365 защищены разрешениями и Microsoft Entra ролями. Сведения этой статьи относятся к API-интерфейсу отчетов, считывающему отчеты об использовании Microsoft 365.

API для чтения отчетов об использовании Microsoft 365 поддерживают два типа авторизации:

  • Авторизация на уровне приложения. Позволяет приложению читать все отчеты об использовании без необходимости входа пользователя. Разрешения, предоставленные приложению, определяют авторизацию.
  • Авторизация, делегированная пользователю. Позволяет приложению читать все отчеты об использовании служб от имени вошедшего пользователя. Помимо того, что приложению предоставлены необходимые разрешения, пользователь должен быть членом Microsoft Entra ID ограниченной роли администратора. Это может быть одна из следующих ролей: администратор компании, администратор Exchange, администратор SharePoint, администратор Lync, администратор службы Teams, администратор связи Teams, глобальный читатель, читатель сводных отчетов об использовании или читатель отчетов. Роли глобального читателя и читателя сводных отчетов о об использовании будут иметь доступ только к данным на уровне клиента без доступа к детальным метрикам.

При вызове API из песочницы Graph:

  • Администратор клиента Microsoft Entra должен явно предоставить согласие на запрошенные разрешения для приложения Graph Обозреватель.
  • Пользователь должен быть членом ограниченной роли администратора в Microsoft Entra ID, перечисленных выше для делегированной пользователем авторизации.

Примечание.

Песочница Graph не поддерживает авторизацию на уровне приложения.

При вызове API из приложения:

  • Администратор клиента Microsoft Entra должен явно предоставить согласие приложению. Это необходимо как для авторизации на уровне приложения, так и для авторизации, делегированной пользователю.
  • Если вы используете делегированную пользователем авторизацию, пользователь, выполнившего вход, должен быть членом ограниченной роли администратора в Microsoft Entra ID.

Назначение Microsoft Entra ролей пользователям

После предоставления приложению разрешений все пользователи, имеющие доступ к приложению (т. е. члены клиента Microsoft Entra), получают предоставленные разрешения. Чтобы дополнительно защитить конфиденциальные данные отчетов, администраторы клиентов должны назначить пользователям приложения соответствующие Microsoft Entra роли. Дополнительные сведения см. в разделах Разрешения роли администратора в Microsoft Entra ID и Назначение ролей администратора и неадминистратора пользователям с Microsoft Entra ID.

Примечание.

Вы должны быть администратором клиента, чтобы выполнить это действие.

Назначение роли пользователю:

  1. Войдите в центр администрирования Microsoft Entra .
  2. Разверните меню >УдостоверениеПользователи> выберите Все пользователи.
  3. Выберите пользователя.
  4. Выберите Назначенные роли, затем Добавление назначения.
  5. Выберите соответствующую роль и нажмите кнопку Добавить.