Azure AD Graph 与 Microsoft Graph 之间的权限差异
本文是步骤 1:查看应用迁移过程的 API 差异的一部分。
特定方案的最低特权权限在 Azure AD Graph 和 Microsoft Graph 之间可能有所不同。 迁移应用以调用 Microsoft Graph 时,请分析是否还需要迁移到范围更窄的 Microsoft Graph 权限以保持最低特权。
例如,在 Azure AD Graph 上,在仅应用方案中读取用户需要 Directory.Read.All 权限。 此权限还允许应用读取租户中的所有组、应用和某些策略。 但是,在 Microsoft Graph 上,在仅应用方案中读取用户只需要 User.Read.All 权限。
虽然权限字符串在 Azure AD Graph 和 Microsoft Graph 中可能相同,但它们具有不同的标识符。 但是,与 Azure AD Graph 类似,Microsoft Graph 也公开应用程序和委托的权限。 应用程序权限始终需要管理员同意。
本文提供了 Azure AD Graph 到 Microsoft Graph 权限的映射,以帮助你迁移应用。
Application.Read.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
c79f8feb-a9db-4090-85f9-90d820caa0eb |
| 显示字符串 |
不可用 |
读取应用程序 |
| 需要同意管理员? |
不可用 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
3afa6a7d-9b1a-42eb-948e-1650a849e176 |
9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30 |
| 显示字符串 |
读取所有应用程序 |
读取所有应用程序 |
Application.ReadWrite.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
bdfbf15f-ee85-4955-8675-146e8e5296b5 |
| 显示字符串 |
不可用 |
读取和写入所有应用程序 |
| 需要同意管理员? |
不可用 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
1cda74f2-2616-4834-b122-5cb1b07f8a59 |
1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9 |
| 显示字符串 |
读取和写入所有应用程序 |
读取所有应用程序 |
Application.ReadWrite.OwnedBy
Delegated
不适用。
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
1cda74f2-2616-4834-b122-5cb1b07f8a59 |
18a4783c-866b-4cc7-a460-3d5e5662c884 |
| 显示字符串 |
管理此应用创建或拥有的应用 |
管理此应用创建或拥有的应用 |
Device.ReadWrite.All
Delegated
不适用。
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
1138cb37-bd11-4084-a2b7-9f71582aeddb |
1138cb37-bd11-4084-a2b7-9f71582aeddb |
| 显示字符串 |
读取和写入设备 |
读取和写入设备 |
Directory.Read.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
5778995a-e1bf-45b8-affa-663a9f3f4d04 |
06da0dbc-49e2-44d2-8312-53f166ab848a |
| 显示字符串 |
读取目录数据 |
读取目录数据 |
| 需要同意管理员? |
是 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
5778995a-e1bf-45b8-affa-663a9f3f4d04 |
7ab1d382-f21e-4acd-a863-ba3e13f7da61 |
| 显示字符串 |
读取目录数据 |
读取目录数据 |
Directory.ReadWrite.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 |
c5366453-9fb0-48a5-a156-24f0c49a4b84 |
| 显示字符串 |
读取和写入目录数据 |
读取和写入目录数据 |
| 需要同意管理员? |
是 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 |
19dbc75e-c2e2-444c-a770-ec69d8559fc7 |
| 显示字符串 |
读取和写入目录数据 |
读取和写入目录数据 |
Directory.AccessAsUser.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
a42657d6-7f20-40e3-b6f0-cee03008a62a |
0e263e50-5827-48a4-b97c-d940288653c7 |
| 显示字符串 |
使用已登录用户的身份访问目录 |
使用已登录用户的身份访问目录 |
| 需要同意管理员? |
是 |
是 |
应用程序
不适用。
Domain.ReadWrite.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
读取和写入域 |
| 显示字符串 |
不可用 |
读取和写入域 |
| 需要同意管理员? |
不可用 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
abefe9df-d5a9-41c6-a60b-27b38eac3efb |
7e05723c-0bb0-42da-be95-ae9f08a6e53c |
| 显示字符串 |
读取和写入域 |
读取和写入域 |
Group.Read.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
6234d376-f627-4f0f-90e0-dff25c5211a3 |
5f8c59db-677d-491f-a6b8-5f174b11ec1d |
| 显示字符串 |
读取所有组 |
读取所有组 |
| 需要同意管理员? |
是 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
5b567255-7703-4780-807c-7be8301ae99b |
| 显示字符串 |
不可用 |
读取所有组 |
Group.ReadWrite.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
970d6fa6-214a-4a9b-8513-08fad511e2fd |
4e46008b-f24c-477d-8fff-7bb4ec7aafe0 |
| 显示字符串 |
读取和写入所有组 |
读取和写入所有组 |
| 需要同意管理员? |
是 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
62a82d76-70ea-41e2-9197-370581804d09 |
| 显示字符串 |
不可用 |
读取和写入所有组 |
Member.Read.Hidden
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
2d05a661-f651-4d57-a595-489c91eda336 |
f6a3db3e-f7e8-4ed2-a414-557c8c9830be |
| 显示字符串 |
读取隐藏成员资格 |
读取隐藏成员资格 |
| 需要同意管理员? |
是 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
9728c0c4-a06b-4e0e-8d1b-3d694e8ec207 |
658aa5d8-239f-45c4-aa12-864f4fc7e490 |
| 显示字符串 |
读取所有隐藏成员 |
读取所有隐藏成员 |
Policy.Read.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
572fea84-0151-49b2-9301-11cb16974376 |
| 显示字符串 |
不可用 |
阅读你组织的策略 |
| 需要同意管理员? |
不可用 |
是 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
6c2d1b1d-a490-4178-ba6b-7efceda9129b |
246dd0d5-5bd0-4def-940b-0421030a5b68 |
| 显示字符串 |
阅读你组织的策略 |
阅读你组织的策略 |
User.Read
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
311a71cc-e848-46a1-bdf8-97ff7156d8e6 |
e1fe6dd8-ba31-4d61-89e7-88639da4683d |
| 显示字符串 |
登录并读取用户个人资料 |
登录并读取用户个人资料 |
| 需要同意管理员? |
否 |
否 |
应用程序
不适用。
User.ReadBasic.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
cba73afc-7f69-4d86-8450-4978e04ecd1a |
b340eb25-3456-403f-be2f-af7a0d370277 |
| 显示字符串 |
读取所有用户的基本个人资料 |
读取所有用户的基本个人资料 |
| 需要同意管理员? |
否 |
否 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
97235f07-e226-4f63-ace3-39588e11d3a1 |
| 显示字符串 |
不可用 |
读取所有用户的基本个人资料 |
User.Read.All
委派
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
c582532d-9d9e-43bd-a97c-2667a28ce295 |
a154be20-db9c-4678-8ab7-66f6cc099a59 |
| 显示字符串 |
读取所有用户的完整个人资料 |
读取所有用户的完整个人资料 |
| 需要同意管理员? |
管理员 |
管理员 |
应用程序
| 参数 |
Azure AD Graph |
Microsoft Graph |
| 权限 ID |
不可用 |
df021288-bdef-4463-88db-98f22de89214 |
| 显示字符串 |
不可用 |
读取所有用户的完整个人资料 |
后续步骤