Microsoft Graph 权限引用

项目
06/06/2023

若要使应用访问 Microsoft Graph 中的数据，用户或管理员必须向其授予所需的权限。本主题列出了由 Microsoft Graph 公开的委托权限和应用程序权限。有关如何使用权限的指导，请参阅 Microsoft Graph 权限概述。

若要查找所有权限的唯一标识符，请参阅所有权限和 ID。

若要以编程方式读取有关所有 Microsoft Graph 权限的信息，请使用至少具有 Application.Read.All 权限的帐户登录到 Graph 资源管理器，并运行以下请求。

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')?$select=id,appId,displayName,appRoles,oauth2PermissionScopes,resourceSpecificApplicationPermissions

注意

作为最佳实践，请求你的应用所需的最低特权权限，以便访问数据并正常工作。请求超过必要特权的权限是不良的安全行为，可能会导致用户不同意，并影响你的应用的使用。

访问评审权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
AccessReview.Read.All	读取所有访问评审	允许应用代表已登录的用户读取访问评审。	是	否
AccessReview.ReadWrite.All	管理所有访问评审	允许应用代表已登录的用户读取和写入访问评审。	是	否
AccessReview.ReadWrite.Membership	管理组和应用成员身份的访问评审	允许应用代表已登录的用户读取和写入组和应用的访问评审。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
AccessReview.Read.All	读取所有访问评审	允许应用在没有登录的用户的情况下读取访问评审。	是
AccessReview.ReadWrite.All	管理所有访问评审	允许应用在没有登录用户的情况下对组织中的访问审查、审阅者、决策和设置执行读取、更新和删除等操作。	是
AccessReview.ReadWrite.Membership	管理组和应用成员身份的访问评审	允许应用在没有已登录用户的情况下管理组和应用的访问评审。	是

备注

AccessReview.Read.All、AccessReview.ReadWrite.All、AccessReview.ReadWrite.Membership 仅对于工作或学校帐户有效。

对于通过委派权限读取组或应用的访问评审的应用，登录的用户必须是以下管理员角色之一的成员：全局管理员、安全管理员、安全读取者或用户管理员。对于通过委派权限读取组或应用的访问评审的应用，登录的用户必须是以下管理员角色之一的成员：全局管理员或用户管理员。

对于通过委派权限读取 Azure AD 角色的访问评审的应用，登录的用户必须是以下管理员角色之一的成员：全局管理员、安全管理员、安全读取者或特权角色管理员。对于通过委派权限写入 Azure AD 角色的访问评审的应用，登录的用户必须是以下管理员角色之一的成员：全局管理员或特权角色管理员。

若要详细了解管理员角色，请参阅在 Azure Active Directory 中分配管理员角色。

管理单元权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
AdministrativeUnit.Read.All	读取管理单元	允许应用代表已登录的用户读取管理单元和管理单元成员身份。	是	否
AdministrativeUnit.ReadWrite.All	读取和写入管理单元	允许应用代表已登录的用户创建、读取、更新和删除管理单元并管理管理单元成员身份。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
AdministrativeUnit.Read.All	读取所有管理单元	允许应用在没有登录用户的情况下读取管理单元和管理单元成员身份。	是
AdministrativeUnit.ReadWrite.All	读取和写入所有管理单元	允许应用在没有登录用户的情况下创建、读取、更新和删除管理单元并管理管理单元成员身份。	是

说明

使用 AdministrativeUnit.Read.All 权限，应用程序可以读取包括成员在内的管理单元信息。

使用 AdministrativeUnit.ReadWrite.All 权限，应用程序可以创建、读取、更新和删除包括成员在内的管理单元信息。

AdministrativeUnit.Read.All 和 AdministrativeUnit.ReadWrite.All 仅对工作或学校帐户有效。

用法示例

注意

管理单元 API 的 v1.0终结点/v1.0/directory/administrativeUnits。

AdministrativeUnit.Read.All：读取管理单元 (GET /beta/administrativeUnits)
AdministrativeUnit.Read.All：读取管理单元成员列表 (GET /beta/administrativeUnits/<id>/members)
AdministrativeUnit.ReadWrite.All：创建管理单元 (POST /beta/administrativeUnits)
AdministrativeUnit.ReadWrite.All：更新管理单元 (PATCH /beta/administrativeUnits/<id>)
AdministrativeUnit.ReadWrite.All：将成员添加到管理单元 (POST /beta/administrativeUnits/<id>/members)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

分析资源权限

委派权限

权限	显示字符串	说明	需经过管理员同意
Analytics.Read	读取用户活动统计信息。	允许应用读取已登录用户的活动统计消息，例如该用户在电子邮件、会议或聊天会话中花费的时间。	否

应用程序权限

无。

用法示例

Delegated

Analytics.Read：列出用户的相关设置 (GET /beta/me/analytics/settings)

应用程序

无。

AppCatalog 资源权限

委派权限

权限	显示字符串	说明	需经过管理员同意	需要 Microsoft 帐户
AppCatalog.Read.All	读取所有应用目录	允许应用读取应用目录中的应用。	否	否
AppCatalog.ReadWrite.All	读取和写入所有应用目录	允许应用在应用目录中创建、读取、更新和删除应用。	是	否
AppCatalog.Submit	提交应用以供管理员审查	允许用户提交应用供管理员审查，以便发布在组织的应用目录中，并允许用户取消尚未发布的过去提交。注意：非管理员用户通过包括 `requiresReview=true` 查询参数提交应用以供审阅。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
AppCatalog.Read.All	读取所有应用目录	允许应用在没有登录用户的情况下读取应用目录中的应用。	是
AppCatalog.ReadWrite.All	读取和写入所有应用目录	允许应用在没有登录用户的情况下在应用目录中创建、读取、更新和删除应用。	是

注解

当前的唯一目录是 Microsoft Teams 中的应用程序列表。

用法示例

委派

AppCatalog.ReadWrite.All：：列出目录中的所有应用程序 (GET /beta/appCatalogs/teamsApps)
AppCatalog.ReadWrite.All：发布一个应用 (POST /beta/appCatalogs/teamsApps)
AppCatalog.ReadWrite.All：更新某个已发布的应用 (PATCH /beta/appCatalogs/teamsApps/{id})
AppCatalog.ReadWrite.All：删除某个已发布的应用 (DELETE /beta/appCatalogs/teamsApps/{id})

应用程序

无。

应用程序资源权限

委派权限

权限	显示字符串	说明	需经过管理员同意
Application.Read.All	读取应用程序	允许此应用代表已登录的用户读取应用程序和服务主体。	是
Application.ReadWrite.All	读取和写入所有应用	允许此应用代表已登录的用户创建、读取、更新和删除应用程序和服务主体。	是
AppRoleAssignment.ReadWrite.All	管理应用权限授予和应用角色分配	允许应用代表已登录用户管理任何 API（包括 Microsoft Graph）的应用程序权限授予和任何应用的应用程序分配。	是
DelegatedPermissionGrant.ReadWrite.All	管理委派权限授予	允许应用代表已登录用户管理任何 API（包括 Microsoft Graph）委托的权限授予。	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Application.Read.All	读取应用程序	允许此应用在没有登录用户的情况下读取应用程序和服务主体。	是
Application.ReadWrite.All	读取和写入所有应用	允许调用应用在没有登录用户的情况下创建和管理（读取、更新、更新应用程序密码和删除）应用程序和服务主体。不允许管理对用户或组的同意授权或应用程序分配。	是
Application.ReadWrite.OwnedBy	管理此应用创建或拥有的应用	允许调用应用在没有登录用户的情况下创建其他应用程序和服务主体，以及完全管理这些应用程序和服务主体（读取、更新、更新应用程序密码和删除）。它无法更新任何不是其所有者的应用程序。	是
AppRoleAssignment.ReadWrite.All	管理应用权限授予和应用角色分配	允许应用在没有登录用户的情况下管理任何 API（包括 Microsoft Graph）的应用程序权限授予和任何应用的应用程序分配。	是
DelegatedPermissionGrant.ReadWrite.All	管理所有委托的权限授予	允许应用在没有已登录用户的情况下，授予或吊销任何 API（包括 Microsoft Graph）委托的权限。	是

备注

警告

允许授予授权的权限（如 AppRoleAssignment.ReadWrite.All）允许应用程序向自身、其他应用程序或任何用户授予其他权限。同样，允许管理凭据的权限（如 Application.ReadWrite.All）允许应用程序充当其他实体，并使用已授予的权限。授予此类权限时要谨慎。

Application.ReadWrite.OwnedBy 权限允许与 Application.ReadWrite.All 相同的操作，只不过前者只允许对调用应用充当所有者的应用程序和服务主体执行这些操作。所有权由目标 application 或 service principal 资源上的 owners 导航属性指示。

注意

Application.ReadWrite.OwnedBy 权限允许应用调用 GET /applications 和 GET /servicePrincipals 列出租户中的所有应用程序和服务主体。权限允许此访问范围。

用法示例

委派

Application.Read.All：列出所有应用程序 (GET /v1.0/applications)
Application.ReadWrite.All：更新服务主体 (PATCH /v1.0/servicePrincipals/{id})

应用程序

Application.Read.All：列出所有应用程序 (GET /v1.0/applications)
Application.ReadWrite.All：删除服务主体 (DELETE /v1.0/servicePrincipals/{id})
Application.ReadWrite.OwnedBy：创建应用程序 (POST /v1.0/applications)
Application.ReadWrite.OwnedBy：列出调用应用程序拥有的所有应用程序 (GET /v1.0/servicePrincipals/{id}/ownedObjects)
Application.ReadWrite.OwnedBy：向拥有的应用程序添加另一个所有者 (POST /v1.0/applications/{id}/owners/$ref)。

注意：这可能需要其他权限。

审核日志权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
AuditLog.Read.All	读取审核日志数据	允许应用代表已登录用户读取和查询你的审核日志活动。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
AuditLog.Read.All	读取所有审核日志数据	允许应用在没有登录用户的情况下读取和查询你的审核日志活动。	是

身份验证事件流权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
EventListener.Read.All	读取组织的身份验证事件侦听器	允许应用代表已登录用户读取组织的身份验证事件侦听器。	是	否
EventListener.ReadWrite.All	读取和写入组织的身份验证事件侦听器	允许应用代表已登录用户读取或写入组织的身份验证事件侦听器。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
EventListener.Read.All	读取所有身份验证事件侦听器	允许应用在没有登录用户的情况下读取组织的身份验证事件侦听器。	是
EventListener.ReadWrite.All	读取和写入所有身份验证事件侦听器	允许应用在没有登录用户的情况下读取或写入组织的身份验证事件侦听器。	是

BitLocker 恢复密钥权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
BitlockerKey.ReadBasic.All	读取基本 BitLocker 密钥信息	允许应用读取租户中所有设备的 BitLocker 密钥的属性。不返回恢复密钥。	是	否
BitlockerKey.Read.All	读取 BitLocker 密钥	允许应用读取租户中所有设备的 BitLocker 密钥。返回恢复密钥。	是	否

应用程序权限

无。

用法示例

委派

BitlockerKey.ReadBasic.All：列出租户中所有设备的 BitLocker 恢复密钥，而不返回 'key' 属性 (GET /bitlocker/recoveryKeys)。
BitlockerKey.Read.All：通过恢复密钥 (GET /bitlocker/recoveryKeys/{bitlockerRecoveryKeyId}?$select=key) 获取 BitLocker 恢复密钥

预订权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Bookings.Read.All	允许应用代表登录用户读取预订约会、业务、客户、服务和员工。	适用于只读应用程序。典型目标用户是某预订业务的客户。	否	否
BookingsAppointment.ReadWrite.All	允许应用代表登录用户读取和写入预订约会和客户，此外，还允许读取业务、服务和员工。	适用于需要操作约会和客户的安排日程的应用程序。无法更改有关预订业务的基本信息及其服务和员工成员。典型目标用户是某预订业务的客户。	否	否
Bookings.ReadWrite.All	允许应用代表登录用户读取和编写预订约会、业务、客户、服务和员工。不允许创建、删除或发布预订业务。	适用于操纵现有业务、其服务和员工成员的管理应用程序。无法创建、删除或更改预订业务的发布状态。典型目标用户是组织的支持人员。	否	否
Bookings.Manage.All	允许应用代表登录用户读取、编写和管理预订约会、业务、客户、服务和员工。	允许应用具有完全访问权限。适用于完全管理体验。典型目标用户是组织的管理员。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Bookings.Read.All	允许应用代表登录用户读取预订约会、业务、客户、服务和员工。	适用于只读应用程序。典型目标用户是某预订业务的客户。	是	否
BookingsAppointment.ReadWrite.All	允许应用代表登录用户读取和写入预订约会和客户，此外，还允许读取业务、服务和员工。	适用于需要操作约会和客户的安排日程的应用程序。无法更改有关预订业务的基本信息及其服务和员工成员。典型目标用户是某预订业务的客户。	是	否
Bookings.ReadWrite.All	允许应用代表登录用户读取和编写预订约会、业务、客户、服务和员工。不允许创建、删除或发布预订业务。	适用于操纵现有业务、其服务和员工成员的管理应用程序。无法创建、删除或更改预订业务的发布状态。典型目标用户是组织的支持人员。	是	否
Bookings.Manage.All	允许应用代表登录用户读取、编写和管理预订约会、业务、客户、服务和员工。	允许应用具有完全访问权限。适用于完全管理体验。典型目标用户是组织的管理员。	是	否

用法示例

委派

Bookings.Read.All：获取为租户创建的预订业务集合的 ID 和名称 (GET /bookingBusinesses)。
BookingsAppointment.ReadWrite.All：为预订业务中的服务创建约会 (POST /bookingBusinesses/{id}/appointments)。
Bookings.ReadWrite.All：为指定的预订业务创建新服务 (POST /bookingBusinesses/{id}/services)。
Bookings.Manage.All：使此业务的日程安排页对外部客户可用 (POST /bookingBusinesses/{id}/publish)。

浏览器管理权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
BrowserSiteLists.Read.All	读取组织的浏览器网站列表	允许应用代表已登录用户读取为组织配置的浏览器站点列表。	否	否
BrowserSiteLists.ReadWrite.All	读取和写入组织的浏览器站点列表	允许应用代表已登录用户读取和写入为组织配置的浏览器站点列表。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
BrowserSiteLists.Read.All	读取组织的所有浏览器站点列表	允许应用在没有登录用户的情况下读取为组织配置的所有浏览器站点列表。	是	否
BrowserSiteLists.ReadWrite.All	读取和写入组织的所有浏览器站点列表	允许应用在没有登录用户的情况下读取和写入为组织配置的所有浏览器站点列表。	是	否

用法示例

Delegated

BrowserSiteLists.Read.All：代表登录用户列出所有浏览器网站列表 (GET /beta/admin/edge/internetExplorerMode/siteLists)
BrowserSiteLists.ReadWrite.All：代表登录用户更新浏览器站点列表 (PATCH /beta/admin/edge/internetExplorerMode/siteLists/{browserSiteListId})

应用程序

BrowserSiteLists.Read.All：列出所有浏览器网站列表，没有登录用户 (GET /beta/admin/edge/internetExplorerMode/siteLists)
BrowserSiteLists.ReadWrite.All：删除浏览器站点列表，无需登录用户 (DELETE /beta/admin/edge/internetExplorerMode/siteLists/{browserSiteListId})

业务方案权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
BusinessScenarioConfig.Read.All	读取业务方案配置	允许应用代表已登录用户读取组织业务方案的配置。	是	否
BusinessScenarioConfig.Read.OwnedBy	读取此应用创建或拥有的业务方案配置	允许应用代表已登录用户读取其拥有的业务方案的配置。	是	否
BusinessScenarioConfig.ReadWrite.All	读取和写入业务方案配置	允许应用代表已登录用户读取和写入组织业务方案的配置。	是	否
BusinessScenarioConfig.ReadWrite.OwnedBy	读取和写入此应用创建或拥有的业务方案配置	允许应用代表已登录用户创建新的业务方案并完全管理其拥有的方案配置。	是	否
BusinessScenarioData.Read.OwnedBy	读取此应用创建或拥有的业务方案的所有数据	允许应用读取与其拥有的业务方案关联的所有数据。数据访问将归于已登录用户。	是	否
BusinessScenarioData.ReadWrite.OwnedBy	读取和写入此应用创建或拥有的业务方案的所有数据	允许应用完全管理与其拥有的业务方案关联的所有数据。数据访问和更改将归于已登录用户。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
BusinessScenarioConfig.Read.OwnedBy	读取此应用创建或拥有的所有业务方案配置	允许应用在没有登录用户的情况下读取其拥有的业务方案的配置。	是
BusinessScenarioConfig.ReadWrite.OwnedBy	读取和写入此应用创建或拥有的所有业务方案配置	允许应用创建新的业务方案，并完全管理其拥有的方案配置，而无需登录用户。	是
BusinessScenarioData.Read.OwnedBy	读取此应用创建或拥有的所有业务方案的数据	允许应用在没有登录用户的情况下读取与其拥有的业务方案关联的数据。	是
BusinessScenarioData.ReadWrite.OwnedBy	读取和写入此应用创建或拥有的所有业务场景的数据	允许应用在没有登录用户的情况下完全管理与其拥有的业务方案关联的数据。	是

用法示例

Delegated

BusinessScenarioConfig.ReadWrite.OwnedBy： (POST /solutions/businessScenarios) 创建新的业务方案
BusinessScenarioConfig.Read.All：获取组织中所有业务方案的列表 (GET /solutions/businessScenarios)

应用程序

BusinessScenarioConfig.ReadWrite.OwnedBy：更新业务方案的 Planner 计划配置 (PATCH /solutions/businessScenarios/c5d514e6c6864911ac46c720affb6e4d/planner/planConfiguration)
BusinessScenarioData.ReadWrite.OwnedBy：删除业务方案中的 Planner 任务 (DELETE /solutions/businessScenarios/c5d514e6c6864911ac46c720affb6e4d/planner/tasks/M60dlXLEkk-ZocLUTDvBSpcAGRaa)

日历权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Calendars.Read	读取用户日历	允许应用读取用户日历中的事件。	否	是
Calendars.Read.Shared	读取用户日历和共享日历	允许应用读取用户可以访问的所有日历（包括委派日历和共享日历）中的事件。	否	否
Calendars.ReadWrite	具有对用户日历的完整访问权限	允许应用创建、读取、更新和删除用户日历中的事件。	否	是
Calendars.ReadWrite.Shared	读取和写入用户日历和共享日历	允许应用创建、读取、更新和删除用户有权访问的所有日历中的事件。这包括委派日历和共享日历。	否	否
Calendars.ReadBasic	阅读用户日历的基本详细信息	允许应用读取用户日历中的事件，但正文、附件和扩展等属性除外。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Calendars.Read	读取所有邮箱中的日历	允许应用在没有登录用户的情况下读取所有日历的事件。	是
Calendars.ReadWrite	读取和写入所有邮箱中的日历	允许应用在没有登录用户的情况下创建、读取、更新和删除所有日历的事件。	是
Calendars.ReadBasic.All	阅读所有邮箱中日历的基本详细信息	允许应用在没有登录用户的情况下读取所有日历的事件，但正文、附件和扩展等属性除外。	是

重要说明 管理员可以配置应用程序访问策略，以限制应用程序访问特定邮箱，而不是组织中的所有邮箱，即使该应用程序已被授予 Calendars.Read 或Calendars.ReadWrite 的应用程序权限。

用法示例

委派

Calendars.Read：获取从 2017 年 4 月 23 日到 2017 年 4 月 29 日用户日历中的事件 (GET /me/calendarView?startDateTime=2017-04-23T00:00:00&endDateTime=2017-04-29T00:00:00)。
Calendars.Read.Shared：查找所有与会者都均有空参加的会议时间 (POST /users/{id|userPrincipalName}/findMeetingTimes)。
Calendars.ReadWrite：将事件添加到用户日历 (POST /me/events)。

Application

Calendars.Read：在按 bob@contoso.com (GET /users/{id | userPrincipalName}/events?$filter=organizer/emailAddress/address eq 'bob@contoso.com') 整理的会议室日历中查找事件。
Calendars.Read：列出 5 月份用户日历上的所有事件 (GET /users/{id | userPrincipalName}/calendarView?startDateTime=2017-05-01T00:00:00&endDateTime=2017-06-01T00:00:00)
Calendars.ReadWrite：将事件添加到用户的日历中，以便 () 批准休假 POST /users/{id | userPrincipalName}/events 。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

通话权限

委派权限

无。

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Calls.Initiate.All	从应用发起一对一传出呼叫	允许应用在没有登录用户的情况下向单个用户发出出站呼叫，并将呼叫转接到组织目录中的用户。	是
Calls.InitiateGroupCall.All	从应用发起组传出呼叫	允许应用在没有登录用户的情况下，向多个用户发起播出通话并向组织中的会议添加参与者。	是
Calls.JoinGroupCall.All	作为应用加入组通话和会议	允许应用在没有登录用户的情况下，加入组织中的组通话和计划会议。应用将加入到租户的会议中并获得目录用户特权。	是
Calls.JoinGroupCallasGuest.All	作为来宾加入组通话和会议	允许应用在没有登录用户的情况下，以匿名方式加入组织中的组通话和计划会议。应用将作为来宾加入租户的会议。	是
Calls.AccessMedia.All*	作为应用访问通话中的媒体流	允许应用在没有登录用户的情况下，直接访问通话中的媒体数据流。	是

*重要说明：不得使用云通信 API 进行记录，否则保留来自应用程序访问的通话或会议的媒体内容，或派生自该媒体内容的数据。请确保你遵守有关通信的数据保护和机密性方面的法律和法规。有关详细信息，请参阅使用条款并咨询法律顾问。

用法示例

应用程序

Calls.Initiate.All：从应用程序向组织中的某个用户发起对等通话 (POST /beta/communications/calls)。
Calls.InitiateGroupCall.All：从应用程序向组织中的一组用户发起组通话 (POST /beta/communications/calls)。
Calls.JoinGroupCall.All：从应用程序加入组通话或联机会议 (POST /beta/communications/calls)。
Calls.JoinGroupCallasGuest.All：从应用程序加入组通话或联机会议，但应用程序在会议中仅具有来宾特权 (POST /beta/communications/calls)。
Calls.AccessMedia.All：创建或加入某个通话，且应用将能够直接访问该通话中的参与者媒体数据流 (POST /beta/communications/calls)。

注意：有关请求示例，请参阅创建通话。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

通话记录权限

委派权限

无。

应用程序权限

权限	显示字符串	说明	需经过管理员同意
CallRecords.Read.All	读取所有通话记录	允许应用在没有用户登录的情况下读取所有通话和联机会议的通话记录。	是
CallRecord-PstnCalls.Read.All	读取 PSTN 并直接路由呼叫日志数据	在没有已登录用户的情况下，允许应用读取所有 PSTN 和直接路由通话日志数据。	是

备注

CallRecords.Read.All 权限为组织内每次通话和联机会议（包括与外部电话号码的通话）授权 callRecords 的特权访问。这包括与参与呼叫的人员有关的潜在敏感详细信息，以及与这些通话和会议相关的、可用于网络疑难解答的技术信息（IP地址、设备详细信息和其他网络信息）。

CallRecord-PstnCalls.Read.All 权限授予应用程序访问 PSTN（通话套餐）和直接路由呼叫日志的权限。这包括与用户相关的潜在敏感信息以及与外部电话号码的通话。

重要说明：应谨慎为应用程序授予这些权限。通话记录可提供业务运营的见解，因此可能成为恶意参与者的目标。仅为你信任的应用程序授予这些权限，以满足你的数据保护要求。

重要说明：请确保你遵守有关通信的数据保护和机密性方面的法律和法规。有关详细信息，请参阅使用条款并咨询法律顾问。

用法示例

应用程序

CallRecords.Read.All：检索通话记录 (GET /v1.0/communications/callRecords/{id})。
CallRecords.Read.All：订阅新的通话记录 (POST /v1.0/subscriptions)。
CallRecords.Read.All：检索指定时间范围 (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getDirectRoutingCalls(fromDateTime={start date and time),toDateTime={end date and time))) 内的直接路由通话记录。
CallRecord-PstnCalls.Read.All：检索指定时间范围 (GET /v1.0/communications/callRecords/microsoft.graph.callRecords.getPstnCalls(fromDateTime={start date and time),toDateTime={end date and time))) 内的 PSTN 通话记录

有关涉及多个权限的更复杂的情况，请参阅权限方案。

频道权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Channel.ReadBasic.All	读取频道名称和说明。	代表已登录用户读取频道名称和频道说明。	否	否
Channel.Create	创建频道。	代表已登录用户在任何团队中创建频道。	是	否
Channel.Delete.All	删除频道。	代表已登录用户删除任何团队中的频道。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Channel.ReadBasic.All	阅读所有通道的名称和说明。	在没有登录用户的情况下读取所有频道名称和说明。	是	否
Channel.Create	创建频道。	在没有登录用户的情况下在任何团队中创建频道。	是	否
Channel.Delete.All	删除频道。	在没有登录用户的情况下删除任何团队中的频道。	是	否
团队合作。迁移。所有	管理迁移到 Microsoft Teams	创建和管理用于迁移到 Microsoft Teams 的资源	是	是

频道成员权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChannelMember.Read.All	读取频道的成员。	代表已登录的用户读取频道的成员。	是	否
ChannelMember.ReadWrite.All	从频道中添加和删除成员。	代表已登录用户从频道中添加和删除成员。还允许更改成员的角色，例如从所有者到非所有者。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChannelMember.Read.All	读取所有频道的成员。	在没有用户登录的情况下读取所有频道的成员。	是	否
ChannelMember.ReadWrite.All	从所有频道中添加和删除成员。	在没有用户登录的情况下从所有频道中添加和删除成员。还允许更改成员的角色，例如从所有者到非所有者。	是	否

频道消息权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChannelMessage.Edit （个人预览版）	编辑用户的频道消息	允许应用代表已登录的用户在 Microsoft Teams 中编辑频道消息。	是	否
ChannelMessage.Read.All	读取用户频道消息	允许应用代表已登录的用户在 Microsoft Teams 中读取频道消息。	是	否
ChannelMessage.Send	发送频道消息	允许应用代表已登录的用户在 Microsoft Teams 中发送频道消息。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChannelMessage.Read.All	读取所有频道消息	允许应用在没有登录的用户的情况下读取 Microsoft Teams 中的频道消息。	是	否
ChannelMessage.UpdatePolicyViolation.All	标记违反策略的频道消息	允许应用更新 Microsoft Teams 频道消息，方法是通过修补数据丢失保护 (DLP) 策略违反属性集来处理 DLP 处理的输出。	是	否

注意：另请参阅 Group.Read.All。

频道设置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChannelSettings.Read.All	读取频道的名称、说明和设置。	代表已登录用户读取所有频道名称、频道说明和频道设置。	是	否
ChannelSettings.ReadWrite.All	读取和写入频道的名称、说明和设置。	代表已登录用户读取和写入所有频道的名称、说明和设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChannelSettings.Read.All	读取所有频道的名称、说明和设置。	在没有登录用户的情况下读取所有频道名称、频道说明和频道设置。	是	否
ChannelSettings.ReadWrite.All	读取和写入所有频道的名称、说明和设置。	在没有登录用户的情况下读取和写入所有频道的名称、说明和设置。	是	否

聊天权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Chat.Read	阅读聊天消息。	允许应用代表你读取 Microsoft Teams 中的一对一或群组聊天消息。	否	否
Chat.ReadBasic	读取用户聊天线程的名称和成员。	允许应用代表已登录用户读取一对一以及群组聊天线程的成员和说明。	否	否
Chat.ReadWrite	阅读聊天消息并发送新消息。	允许应用代表你在 Microsoft Teams 中读取并发送一对一或群组聊天消息。	否	否
Chat.ManageDeletion.All	删除和恢复已删除的聊天。	允许应用代表已登录用户删除和恢复已删除的聊天。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Chat.Read.WhereInstalled	阅读所有聊天消息，了解安装了关联的 Teams 应用程序的聊天。	允许应用在没有登录用户的情况下读取 Microsoft Teams 中所有一对一或群组聊天消息，以便在其中安装关联 Teams 应用程序的聊天。	是	否
Chat.Read.All	阅读所有聊天消息。	允许应用在没有登录的用户的情况下读取 Microsoft Teams 中的一对一或群组聊天消息。	是	否
Chat.ReadBasic.WhereInstalled	读取安装了关联 Teams 应用程序的所有聊天线程的名称和成员。	允许应用在没有登录用户的情况下读取 Microsoft Teams 中所有一对一和群组聊天的名称和成员，其中安装了关联的 Teams 应用程序。	是	否
Chat.ReadBasic.All	读取用户聊天线程的名称和成员。	读取所有聊天线程的名称和成员。	是	否
Chat.UpdatePolicyViolation.All	将聊天消息标记为违反策略。	允许应用更新 Microsoft Teams 一对一聊天或群组聊天消息，方法是通过修补数据丢失保护 (DLP) 策略违反属性集来处理 DLP 处理的输出。	是	否
Chat.ReadWrite.WhereInstalled	为安装了关联 Teams 应用程序的聊天读取和写入所有聊天消息。	允许应用在 Microsoft Teams 中读取和写入所有聊天消息，以便在其中安装了关联的 Teams 应用程序，而无需登录用户。	是	否
Chat.ReadWrite.All	读取和写入所有聊天消息。	允许应用在没有登录用户的情况下在 Microsoft Teams 中读取和写入所有一对一聊天和群组聊天。不允许发送消息。	是	否
Chat.ManageDeletion.All	删除和恢复已删除的聊天。	允许应用在没有登录用户的情况下删除和恢复已删除的聊天。	是	否

注意：对于频道中的消息，请参阅 ChannelMessage 权限。

聊天成员身份权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChatMember.Read	读取聊天成员。	代表已登录用户读取聊天成员。	是	否
ChatMember.ReadWrite	在聊天中添加和删除成员。	代表已登录用户在聊天中添加和删除成员。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChatMember.Read.WhereInstalled	读取安装了关联 Teams 应用程序的所有聊天的成员。	允许应用在没有登录用户的情况下读取安装了关联 Teams 应用程序的所有聊天的成员。	是	否
ChatMember.Read.All	读取所有聊天的成员。	允许应用在没有登录的用户的情况下读取 Microsoft Teams 中的一对一或群组聊天消息。	是	否
ChatMember.ReadWrite.WhereInstalled	在安装了关联 Teams 应用程序的所有聊天中添加和删除成员。	允许应用在没有登录用户的情况下，在安装了关联 Teams 应用程序的所有聊天中添加和删除成员。	是	否
ChatMember.ReadWrite.All	添加和删除所有聊天的成员。	读取所有聊天线程的名称和成员。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChatSettings.Read.Chat	读取此聊天的设置。	允许应用在没有登录用户的情况下读取此聊天的设置。	否	否
ChatSettings.ReadWrite.Chat	读取和写入此聊天的设置。	允许应用在没有登录用户的情况下读取和写入此聊天的设置。	否	否
ChatMessage.Read.Chat	读取此聊天的消息。	允许应用在没有登录用户的情况下读取此聊天的消息。	否	否
ChatMember.Read.Chat	读取此聊天的成员。	允许应用在没有登录用户的情况下读取此聊天的成员。	否	否
Chat.Manage.Chat	管理此聊天。	允许应用在没有登录用户的情况下管理聊天、聊天成员并授予对聊天数据的访问权限。	否	否
TeamsTab.Read.Chat	读取此聊天的选项卡。	允许应用在没有登录用户的情况下读取此聊天的选项卡。	否	否
TeamsTab.Create.Chat	在此聊天中创建选项卡。	允许应用在没有登录用户的情况下在此聊天中创建选项卡。	否	否
TeamsTab.Delete.Chat	删除此聊天的选项卡。	允许应用在没有登录用户的情况下删除此聊天的选项卡。	否	否
TeamsTab.ReadWrite.Chat	管理此聊天的选项卡。	允许应用在没有登录用户的情况下管理此聊天的选项卡。	否	否
TeamsAppInstallation.Read.Chat	读取此聊天中安装了哪些应用。	允许应用在没有登录用户的情况下读取此聊天中安装的 Teams 应用以及授予每个应用的权限。	否	否
OnlineMeeting.ReadBasic.Chat	读取与此聊天关联的会议的基本属性。	允许应用在没有登录用户的情况下读取与此聊天关联的会议的基本属性（例如名称、日程安排、组织者和加入链接）。	否	否
Calls.AccessMedia.Chat	访问与此聊天或会议关联的通话中的媒体流。	允许应用在没有登录用户的情况下访问与此聊天或会议关联的通话中的媒体流。	否	否
Calls.JoinGroupCalls.Chat	加入与此聊天或会议关联的通话。	允许应用在没有登录用户的情况下加入与此聊天或会议关联的通话。	否	否
TeamsActivity.Send.Chat	向此聊天中的用户发送活动源通知。	允许此应用在没有登录用户的情况下，在此聊天中用户的团队合作活动源中创建新通知。	否	否

注意

目前，这些权限仅在 beta 版本的 Microsoft Graph 中受支持。

ChatMessage 权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ChatMessage.Send	发送用户聊天消息	允许应用代表已登录用户在 Microsoft Teams 中发送一对一以及群组聊天消息。	否	否

云电脑权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
CloudPC.Read.All	读取云端电脑	允许应用代表已登录的用户读取云电脑对象（例如配置策略）。	否	否
CloudPC.ReadWrite.All	读取和写入云端电脑	允许应用代表用户创建、读取、更新和删除云电脑对象，例如Azure 网络连接、预配策略和设备映像。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
CloudPC.Read.All	读取云端电脑	无需登录用户，允许该应用读取 Cloud PC 对象，如设置策略。	是	否
CloudPC.ReadWrite.All	读取和写入云端电脑	无需登录用户，允许该应用创建、读取、更新和删除 Cloud PC 对象，如 Azure 网络连接、设置策略和设备图像。	是	否

用法示例

委派

CloudPC.Read.All ：查看所有云电脑（GET /deviceManagement/virtualEndpoint/cloudPCs）的属性。
CloudPC.ReadWrite.All ：编辑云电脑设置策略（PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}）。

应用程序

CloudPC.Read.All ：查看所有云电脑（GET /deviceManagement/virtualEndpoint/cloudPCs）的属性。
CloudPC.ReadWrite.All ：编辑云电脑设置策略（PATCH /deviceManagement/virtualEndpoint/provisioningPolicies/{id}）。

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ConsentRequest.Read.All	读取许可请求	允许应用代表已登录用户读取许可请求和审批。	是	否
ConsentRequest.ReadWrite.All	读取和写入许可请求	允许应用代表已登录用户读取应用许可请求和审批，以及拒绝或批准这些请求。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ConsentRequest.Read.All	读取许可请求	允许应用在未登录用户的情况下读取应用许可请求和审批。	是
ConsentRequest.ReadWrite.All	读取和写入许可请求	允许应用在没有登录用户的情况下读取应用许可请求和审批，以及拒绝或批准这些请求。	是

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
CrossTenantUserProfileSharing.Read	读取共享的跨租户用户配置文件并导出数据	允许应用程序代表登录用户列出和查询与当前租户关联的用户配置文件信息。它还允许应用程序 (导出外部用户数据，例如客户内容或系统生成的日志) ，代表登录用户与当前租户相关联。	是	是
CrossTenantUserProfileSharing.Read.All	读取所有共享的跨租户用户配置文件并导出其数据	允许应用程序代表登录用户列出和查询与当前租户关联的任何共享用户配置文件信息。它还允许应用程序代表登录用户 (与当前租户关联的任何用户导出外部用户数据，例如客户内容或系统生成的日志) 。	是	是
CrossTenantUserProfileSharing.ReadWrite	读取共享的跨租户用户配置文件并导出或删除数据	允许应用程序代表登录用户列出和查询与当前租户关联的用户配置文件信息。它还允许应用程序 (导出和删除外部用户数据，例如客户内容或系统生成的日志) ，代表登录用户与当前租户相关联。	是	否
CrossTenantUserProfileSharing.ReadWrite.All	允许应用程序代表登录用户列出和查询与当前租户关联的任何共享用户配置文件信息。它还允许应用程序代表已登录用户与当前租户关联的任何用户导出和删除 (例如客户内容或系统生成的日志) 的外部用户数据。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
CrossTenantUserProfileSharing.Read.All	允许应用程序在没有登录用户的情况下列出和查询与当前租户关联的任何共享用户配置文件信息。它还允许应用程序 (导出外部用户数据，例如客户内容或系统生成的日志) ，与当前租户关联的任何用户没有登录用户。	是
CrossTenantUserProfileSharing.ReadWrite.All	允许应用程序在没有登录用户的情况下列出和查询与当前租户关联的任何共享用户配置文件信息。它还允许应用程序导出和删除外部用户数据， (例如客户内容或系统生成的日志) ，与当前租户关联的任何用户没有登录用户。	是

联系人权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Contacts.Read	读取用户联系人	允许应用读取用户联系人。	否	是
Contacts.Read.Shared	读取用户联系人和共享联系人	允许应用读取用户有权访问的联系人，包括用户个人联系人和共享联系人。	否	否
Contacts.ReadWrite	具有对用户联系人的完整访问权限	允许应用创建、读取、更新和删除用户联系人。	否	是
Contacts.ReadWrite.Shared	读取和写入用户联系人和共享联系人	允许应用创建、读取、更新和删除用户有权访问的联系人，包括用户个人联系人和共享联系人。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Contacts.Read	读取所有邮箱中的联系人	允许应用在没有已登录用户的情况下读取所有邮箱中的所有联系人。	是
Contacts.ReadWrite	读取和写入所有邮箱中的联系人	允许应用在没有登录用户的情况下创建、读取、更新和删除所有邮箱中的全部联系人。	是

重要说明 管理员可以配置应用程序访问策略，以限制应用程序访问特定邮箱，而不是组织中的所有邮箱，即使该应用程序已被授予 Contacts.Read 或 Contacts.ReadWrite 的应用程序权限。

用法示例

委派

Contacts.Read：从登录用户的一个顶层联系人文件夹读取联系人 (GET /me/contactfolders/{Id}/contacts/{id})。
Contacts.ReadWrite：更新登录用户的一个联系人的联系人照片 (PUT /me/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。
Contacts.ReadWrite：将联系人添加到登录用户的根文件夹 (POST /me/contacts)。

应用程序

Contacts.Read：从组织中任意用户的一个顶层联系人文件夹读取联系人 (GET /users/{id | userPrincipalName}/contactfolders/{Id}/contacts/{id})。
Contacts.ReadWrite：更新组织中任意用户的所有联系人的照片 (PUT /users/{id | userPrincipalName}/contactfolders/{contactFolderId}/contacts/{id}/photo/$value)。
Contacts.ReadWrite：将联系人添加到组织中任意用户的根文件夹 (POST /users/{id | userPrincipalName}/contacts)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

自定义身份验证扩展权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
CustomAuthenticationExtension.Read.All	读取 oganization 的自定义身份验证扩展	允许应用代表已登录用户读取组织的自定义身份验证扩展。	是	否
CustomAuthenticationExtension.ReadWrite.All	读取和写入组织的自定义身份验证扩展	允许应用代表已登录用户读取或写入组织的自定义身份验证扩展。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
CustomAuthenticationExtension.Read.All	读取所有自定义身份验证扩展插件	允许应用在没有登录用户的情况下读取组织的自定义身份验证扩展插件。	是
CustomAuthenticationExtension.ReadWrite.All	读取和写入所有自定义身份验证扩展插件	允许应用在没有登录用户的情况下读取或写入组织的自定义身份验证扩展。	是

自定义安全属性权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
CustomSecAttributeAssignment.Read.All	读取自定义安全属性分配	允许应用代表已登录用户读取租户中所有主体的自定义安全属性分配。	是	否
CustomSecAttributeAssignment.ReadWrite.All	读取和写入自定义安全属性分配	允许应用代表已登录的用户读取和写入租户中所有主体的自定义安全属性分配。	是	否
CustomSecAttributeDefinition.Read.All	读取自定义安全属性定义	允许应用代表已登录用户读取租户的自定义安全属性定义。	是	否
CustomSecAttributeDefinition.ReadWrite.All	读取和写入自定义安全属性定义	允许应用代表已登录用户读取和写入租户的自定义安全属性定义。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
CustomSecAttributeAssignment.Read.All	读取自定义安全属性分配	允许应用在没有登录用户的情况下读取租户中所有主体的自定义安全属性分配。	是
CustomSecAttributeAssignment.ReadWrite.All	读取和写入自定义安全属性分配	允许应用代表已登录的用户读取和写入租户中所有主体的自定义安全属性分配。	是
CustomSecAttributeDefinition.Read.All	读取自定义安全属性定义	允许应用在没有登录用户的情况下读取租户的自定义安全属性定义。	是
CustomSecAttributeDefinition.ReadWrite.All	读取和写入自定义安全属性定义	允许应用在没有登录用户的情况下读取和写入租户的自定义安全属性定义。	是

设备本地凭据权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DeviceLocalCredential.ReadBasic.All	读取基本的设备本地凭据信息	允许应用代表已登录用户读取设备本地凭据属性（不包括密码）。	是	否
DeviceLocalCredential.Read.All	读取设备本地凭据信息	允许应用代表已登录用户读取设备本地凭据属性，包括密码。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DeviceLocalCredential.ReadBasic.All	读取基本的设备本地凭据信息	允许应用读取设备本地凭据属性（不包括密码）。	是	否
DeviceLocalCredential.Read.All	读取设备本地凭据信息	允许应用读取设备本地凭据属性，包括密码。	是	否

用法示例

Delegated

DeviceLocalCredential.ReadBasic.All_：列出租户中所有设备的设备本地凭据，而不返回 () GET /deviceLocalCredentials 的“credentials”属性。
DeviceLocalCredential.Read.All_：获取具有 Base64 编码值 (GET /deviceLocalCredentials/{deviceId}?$select=credentials) 的本地管理员帐户密码的设备本地凭据。

应用程序

DeviceLocalCredential.ReadBasic.All_：列出租户中所有设备的设备本地凭据，而不返回 () GET /deviceLocalCredentials 的“credentials”属性。
DeviceLocalCredential.Read.All_：获取具有 Base64 编码值 (GET /deviceLocalCredentials/{deviceId}?$select=credentials) 的本地管理员帐户密码的设备本地凭据。

粒度委派管理员权限 (GDAP) 权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DelegatedAdminRelationship.Read.All	读取委派管理员与客户的关系	允许应用代表已登录用户读取委派管理员与客户的关系的详细信息，例如访问详细信息（包括角色）和持续时间以及面向安全组的特定角色分配。	是	否
DelegatedAdminRelationship.ReadWrite.All	管理委派管理员与客户的关系	允许应用代表你管理（创建-更新-终止）委派管理员与客户的关系，以及针对活动的委派管理员关系面向安全组的角色分配。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DelegatedAdminRelationship.Read.All	读取委派管理员与客户的关系	允许应用在无已登录用户的情况下，读取委派管理员与客户的关系的详细信息，例如访问详细信息（包括角色）和持续时间以及面向安全组的特定角色分配。	是	否
DelegatedAdminRelationship.ReadWrite.All	管理委派管理员与客户的关系	允许应用在无已登录用户的情况下，管理（创建-更新-终止）委派管理员与客户的关系，以及针对活动的委派管理员关系面向安全组的角色分配。	是	否

设备权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Device.Read	读取用户设备	允许应用代表已登录用户读取用户的设备列表。	否	是
Device.Read.All	读取所有设备	允许应用代表已登录用户读取组织设备的配置信息。	是	是
Device.Command	与用户设备通信	允许应用启动其他应用，或代表已登录用户在用户设备上与其他应用进行通信。	否	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Device.Read.All	读取所有设备	允许应用在没有登录用户的情况下读取组织设备的配置信息。	是
Device.ReadWrite.All	读取和写入设备	允许应用在没有登录用户的情况下读取和写入所有设备属性。不允许创建或更新设备备用安全标识符。	是

注意

2020 年 12 月 3 日之前，当应用程序权限 Device.Read.All 被授予时，设备管理员目录角色也被分配给了应用程序的服务主体。撤销关联的应用程序权限后，不会自动删除此目录角色分配。为确保删除应用程序对设备的读写权限，客户还必须删除授予该应用程序的所有相关目录角色。

禁用此行为的服务更新于 2020 年 12 月 3 日开始推出。部署到所有客户，2021 年 1 月 11 日完成。授予应用程序权限后，系统不再自动分配目录角色。

用法示例

应用程序

Device.ReadWrite.All：读取组织中的所有已注册设备 (GET /devices)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

目录权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Directory.Read.All	读取目录数据	允许应用程序读取组织目录中的数据，如用户、组和应用程序。注意：如果用户在自己组织的租户中注册了应用程序，则用户可能会同意需要此权限的应用程序。	是	否
Directory.ReadWrite.All	读取和写入目录数据	允许应用读取和写入组织目录中的数据，如用户和组。它不允许应用删除用户或组，或重置用户密码。	是	否
Directory.AccessAsUser.All	以登录用户身份访问目录	允许应用以登录用户身份访问目录中的信息。	是	否
Directory.Write.Restricted	管理目录中的受限资源	允许应用代表已登录用户根据授予应用的其他权限管理受限资源。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Directory.Read.All	读取目录数据	允许应用在没有登录用户的情况下读取组织目录中的数据（如用户、组和应用）。	是
Directory.ReadWrite.All	读取和写入目录数据	允许应用在没有登录用户的情况下读取和写入组织目录中的数据（如用户和组）。不允许删除用户或组。	是
Directory.Write.Restricted	管理目录中的受限资源	允许应用在没有登录用户的情况下，根据授予应用的其他权限来管理受限资源。	是

注解

Directory 权限提供访问目录资源（如组织中的 user、group 和 device）的最高级特权。

它们还专门控制对其他目录资源的访问，如组织联系人、架构扩展 API、Privileged Identity Management (PIM) API，以及 v1.0 和 beta API 参考文档中 Azure Active Directory 节点下列出的许多资源和 API。其中包括管理单元、目录角色、目录设置、策略等。

注意

2020 年 12 月 3 日之前，当向应用程序授予权限 Directory.Read.All 时，目录阅读器目录角色也分配给了应用程序的服务主体。当 Directory.ReadWrite. 授予所有项目时，作者分配了目录角色。撤销关联的应用程序权限时，不会自动删除这些目录角色。要删除应用程序对目录的读写权限，客户还必须删除授予该应用程序的所有目录角色。

禁用此行为的服务更新于 2020 年 12 月 3 日开始推出。部署到所有客户，2021 年 1 月 11 日完成。授予应用程序权限后，系统不再自动分配目录角色。

Directory.ReadWrite.All 权限可授予以下特权：

完全读取所有目录资源（包括声明属性和导航属性）
创建和更新用户
禁用和启用用户（而不是公司管理员）
设置用户可选安全 ID（而不是管理员）
创建和更新组
管理组成员
更新组所有者
管理许可证分配
在应用程序上定义架构扩展
管理目录设置
管理管理员许可工作流配置（但不要求管理员许可或授权授予管理员许可的用户）

注意：

无权重置用户密码。

如需更新其他用户的 businessPhones、mobilePhone 或 otherMails 属性，仅允许针对非管理员或分配了以下角色之一的用户执行该操作：目录读取者、来宾邀请者、消息中心读取者和报告读取者。有关详细信息，请参阅 Azure AD 可用角色中的支持人员（密码）管理员。这适用于获得了 User.ReadWrite.All 或 Directory.ReadWrite.All 委派或应用程序权限的应用。

无权删除资源（包括用户或组）。

特别排除创建或更新以上未列出的资源。这包括：application、oAuth2PermissionGrant、appRoleAssignment、device、servicePrincipal、organization、domains 等。

用法示例

委派

Directory.Read.All：列出组织中的所有管理单元 (GET /beta/administrativeUnits)
Directory.ReadWrite.All：将成员添加到目录角色 (POST /directoryRoles/{id}/members/$ref)

应用程序

Directory.Read.All：列出用户的所有成员资格，包括目录角色和管理单元 (GET /beta/users/{id}/memberOf)
Directory.Read.All：列出所有组成员，包括服务主体 (GET /beta/groups/{id}/members)
Directory.ReadWrite.All：向组添加所有者 (POST /groups/{id}/owners/$ref)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

目录建议权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DirectoryRecommendations.Read.All	阅读所有建议	允许应用代表已登录用户读取建议。	是	否
DirectoryRecommendations.ReadWrite.All	管理所有建议	允许应用代表已登录用户读取和写入建议。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
DirectoryRecommendations.Read.All	阅读所有建议	允许应用在没有登录用户的情况下读取建议。	是
DirectoryRecommendations.ReadWrite.All	管理所有建议	允许应用在没有登录用户的情况下读取和写入建议。	是

域权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Domain.Read.All	读取域	允许应用代表已登录用户读取所有域属性。	是	否
Domain.ReadWrite.All	读取和写入域	允许应用代表已登录用户读取和写入所有域属性。还允许应用添加、验证和删除域。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Domain.Read.All	读取域	允许应用在没有登录用户的情况下读取所有域属性。	是
Domain.ReadWrite.All	读取和写入域	允许应用在没有登录的用户的情况下读取和写入域。	是

电子数据展示权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
eDiscovery.Read.All	阅读用户电子数据展示案例数据	允许应用代表已登录的用户读取电子数据展示对象，例如事例、保管人、审阅集和其他相关对象。	是	否
eDiscovery.ReadWrite.All	读取和编写电子数据展示案例数据	允许应用代表已登录用户读取和写入电子数据展示对象，例如事例、保管人、审阅集和其他相关对象。	是	否

应用程序权限

无

用法示例

委派

电子数据展示.读取.所有：获取用户可用的事例列表（GET /compliance/ediscovery/cases）
电子数据展示.ReadWrite.所有：在审阅集（审阅）POST /compliance/ediscovery/cases/{caseId}/reviewSets/{reviewSetId}/queries设置查询

有关涉及多个权限的更复杂的情况，请参阅权限方案。

教育版权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
EduAdministration.Read	读取教育应用设置	允许应用代表用户读取教育应用设置。	是	否
EduAdministration.ReadWrite	管理教育应用设置	允许应用代表用户管理教育应用设置。	是	否
EduAssignments.ReadBasic	读取不含成绩的用户课堂作业	允许应用代表用户读取不含成绩的作业	是	否
EduAssignments.ReadWriteBasic	对不含成绩的用户课堂作业执行读取和写入操作	允许应用代表用户对不含成绩的作业执行读取和写入操作	是	否
EduAssignments.Read	读取用户的课堂作业及其成绩视图	允许应用代表用户读取作业及其成绩	是	否
EduAssignments.ReadWrite	对用户的课堂作业及其成绩视图执行读取和写入操作	允许应用代表用户对作业及其成绩执行读取和写入操作	是	否
EduCurricula.Read	读取用户的类模块和资源。	允许应用代表已登录用户读取用户的模块和资源。	是	否
EduCurricula.ReadWrite	读取和写入用户的类模块和资源。	允许应用代表已登录用户读取和写入用户的模块和资源。	是	否
EduRoster.ReadBasic	读取用户的名单视图的有限子集	允许应用读取组织名单中学校和班级结构属性的有限子集以及代表用户读取的有关用户属性的有限子集。包括姓名、状态、教育角色和电子邮件地址。	是	否
EduRoster.Read	读取用户名单的视图	允许应用读取组织名单中的学校和班级结构以及代表用户读取的有关用户的教育专属信息。	是
EduRoster.ReadWrite	读取并写入用户名单的视图	允许应用读取和写入组织名单中的学校和班级结构以及代表用户读取和写入的有关用户的教育专属信息。	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
EduAdministration.Read.All	读取教育应用设置	代表用户读取所有 Microsoft 教育应用的状态和设置。	是
EduAdministration.ReadWrite.All	管理教育应用设置	代表用户管理所有 Microsoft 教育应用的状态和设置。	是
EduAssignments.ReadBasic.All	阅读所有没有成绩的课堂作业	允许应用在没有登录用户的所有用户中读取所有无成绩的课堂作业。	是
EduAssignments.ReadWriteBasic.All	创建、读取、更新和删除所有没有成绩的课堂作业	允许应用为没有登录用户的所有用户创建、读取、更新和删除所有无成绩的课堂作业。	是
EduAssignments.Read.All	阅读所有带成绩的课堂作业	允许应用读取没有登录用户的所有用户的所有课堂作业和成绩。	是
EduAssignments.ReadWrite.All	创建、读取、更新和删除包含成绩的所有课堂作业	允许应用为没有登录用户的所有用户创建、读取、更新和删除包含成绩的所有课堂作业。	是
EduCurricula.Read.All	读取所有类模块和资源	允许应用在没有登录用户的情况下读取所有模块和资源。	是
EduCurricula.ReadWrite.All	读取和写入所有类模块和资源	允许应用在没有登录用户的情况下读取和写入所有模块和资源。	是
EduRoster.ReadBasic.All	读取组织名单的有限子集。	允许应用读取组织名单中的学校和班级结构数据以及所有用户的教育专属信息的有限子集。	是
EduRoster.Read.All	读取组织名单。	允许应用读取组织名单中的学校和班级结构数据以及所有用户的教育专属信息。	是
EduRoster.ReadWrite.All	对组织名单执行读取和写入操作。	允许应用对组织名单中的学校和班级结构数据以及所有用户的教育专属信息执行读取和写入操作。	是

用法示例

委派

EduAssignments.Read：获取登录学生的作业信息 (GET /education/classes/{id}/assignments/{id})
EduAssignments.ReadWriteBasic：提交登录学生的作业 (GET /education/classes/{id}/assignments/{id}submit)
EduRoster.ReadBasic：登录用户听讲或教授的课程 (GET /education/classes/{id}/members)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

员工学习权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
LearningContent.Read.All	阅读学习内容	允许应用代表已登录用户读取组织目录中的学习内容。	是	否
LearningContent.ReadWrite.All	管理学习内容	允许应用代表已登录用户管理组织目录中的学习内容。	是	否
LearningProvider.Read	读取学习提供程序	允许应用代表已登录用户读取组织目录中学习提供程序的数据。	是	否
LearningProvider.ReadWrite	管理学习提供程序	允许应用代表已登录用户为组织目录中的学习提供程序创建、更新、读取和删除数据。	是	否
LearningAssignedCourse.Read	读取分配	允许应用代表已登录用户读取组织目录中分配记录的数据。	是	否
LearningSelfInitiatedCourse.Read	阅读自发起的课程	允许应用代表已登录用户读取组织目录中自启动课程记录的数据。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
LearningContent.Read.All	阅读所有学习内容	允许应用在没有登录用户的情况下读取组织目录中的所有学习内容。	是	否
LearningContent.ReadWrite.All	管理所有学习内容	允许应用在没有登录用户的情况下管理组织目录中的所有学习内容。	是	否
LearningAssignedCourse.Read.All	阅读学习作业	允许应用在没有登录用户的情况下读取组织目录中学习分配记录的数据。	是	否
LearningSelfInitiatedCourse.Read.All	阅读自学课程	允许应用在没有登录用户的情况下读取用于学习组织目录中自启动课程记录的数据。	是	否
LearningAssignedCourse.ReadWrite.All	管理学习者的所有学习作业	允许应用在没有登录用户的情况下在组织的目录中创建/读取/更新/删除学习分配记录的数据。	是	否
LearningSelfInitiatedCourse.ReadWrite.All	为学习者管理所有自发起的课程	允许应用在没有登录用户的情况下在组织的目录中为自启动的课程记录创建/读取/更新/删除数据。	是	否

权利管理权限

委派权限

权限	显示字符串	说明	需经过管理员同意
EntitlementManagement.ReadWrite.All	读取和写入权利管理资源	允许应用代表已登录用户请求读取和管理访问包和相关权利管理资源的访问权限。	是
EntitlementManagement.Read.All	读取权利管理资源	允许应用代表已登录的用户请求读取访问包及相关权利管理资源的访问权限。	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
EntitlementManagement.ReadWrite.All	读取和写入权利管理资源	允许应用读取和管理访问包和相关的权利管理资源。	是
EntitlementManagement.Read.All	读取权利管理资源	允许应用读取访问包和相关的权利管理资源。	是

文件权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Files.Read	读取用户文件	允许应用读取登录用户的文件。	否	是
Files.Read.All	读取用户可以访问的所有文件	允许应用读取登录用户可以访问的所有文件。	否	是
Files.ReadWrite	具有对用户文件的完全访问权限	允许应用读取、创建、更新和删除登录用户的文件。	否	是
Files.ReadWrite.All	具备对用户可以访问的所有文件的完全访问权限	允许应用读取、创建、更新和删除登录用户可以访问的所有文件。	否	是
Files.ReadWrite.AppFolder	具有对应用程序文件夹的完全访问权限（预览）	（预览）允许应用读取、创建、更新和删除应用程序文件夹中的文件。	否	是
Files.Read.Selected	读取用户选择的文件	Microsoft Graph 提供一定程度的支持（见“注解”） (预览) 允许应用读取用户选择的文件。用户选择文件后，应用具有几个小时的访问权限。	否	否
Files.ReadWrite.Selected	读取和写入用户选择的文件	Microsoft Graph 提供一定程度的支持（见“注解”） (预览) 允许应用读取和写入用户选择的文件。用户选择文件后，应用具有几个小时的访问权限。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Files.Read.All	读取所有网站集中的文件	允许应用在没有登录用户的情况下读取所有网站集中的全部文件。	是
Files.ReadWrite.All	读取和写入所有网站集中的文件	允许应用在没有登录用户的情况下读取、创建、更新和删除所有网站集中的全部文件。	是

注解

注意：对于个人帐户，Files.Read 和 Files.ReadWrite 还会授予与登录用户共享的文件的访问权限。

Files.Read.Selected 和 Files.ReadWrite.Selected 委派权限仅对工作或学校帐户有效，并且仅公开用于处理 v1.0) (Office 365 文件处理程序。它们不应用于直接调用 Microsoft Graph API。

Files.ReadWrite.AppFolder 委派权限仅适于个人帐户，并仅用于访问带有 OneDrive 获取特殊文件夹 Microsoft Graph API 的应用程序根特殊文件夹。

用法示例

委派

Files.Read：读取登录用户的 OneDrive 中存储的文件 (GET /me/drive/root/children)
Files.Read.All：列出与登录用户共享的文件 (GET /me/drive/root/sharedWithMe)
Files.ReadWrite：在登录用户的 OneDrive 中写入文件 (PUT /me/drive/root/children/filename.txt/content)
Files.ReadWrite.All：写入与用户共享的文件 (PUT /users/rgregg@contoso.com/drive/root/children/file.txt/content)
Files.ReadWrite.AppFolder：在 OneDrive 中将文件写入应用程序的文件夹 (PUT /me/drive/special/approot/children/file.txt/content)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

财务权限

委派权限

权限	显示字符串	说明	需经过管理员同意
Financials.ReadWrite.All	读取和写入财务数据	允许应用代表登录用户读取和写入财务数据	否

组权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Group.Read.All	读取所有组	允许应用代表登录用户列出组，并读取其属性以及所有组成员身份。此外，还允许应用读取登录用户可以访问的所有组的日历、对话、文件和其他组内容。	是	否
Group.ReadWrite.All	读取和写入所有组	允许应用代表登录用户创建组并读取所有组属性和成员身份。此外，还允许应用读取和写入登录用户可以访问的所有组的日历、对话、文件和其他组内容。此外，还允许组所有者管理他们的组并允许组成员更新组内容。	是	否
GroupMember.Read.All	读取组成员身份	允许应用列出组、读取基本组属性以及读取登录的用户有权访问的所有组的成员身份。	是	否
GroupMember.ReadWrite.All	读取和写入组成员身份	允许应用列出组、读取基本属性、读取和更新登录的用户有权访问的组的成员身份。无法更新组属性和所有者，并且无法删除组。	是	否
UnifiedGroupMember.Read.AsGuest	以来宾用户身份读取统一 (Microsoft 365) 组成员身份	允许应用读取登录来宾所属组的基本统一组属性、成员身份和组所有者。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Group.Read.All	读取所有组	允许应用在没有已登录用户的情况下读取组属性和成员身份，并读取所有组的对话。	是
Group.ReadWrite.All	读取和写入所有组	允许应用创建组、读取所有组属性和成员身份、更新组属性和成员身份，以及删除组。还允许应用读取和写入对话。应用可以在没有登录用户的情况下执行所有这些操作。	是
GroupMember.Read.All	读取组成员身份	允许应用在没有已登录用户的情况下读取所有组的成员身份和基本组属性。	是
GroupMember.ReadWrite.All	读取和写入组成员身份	允许应用在没有已登录用户的情况下列出组、读取基本属性、读取和更新组的成员资格。无法更新组属性和所有者，并且无法删除组。	是
Group.Create	创建组	允许呼叫应用在没有已登录用户的情况下创建组。不允许读取、更新或删除任何组。	是

注解

Microsoft 个人帐户不支持组功能。

Microsoft 365 组的组权限授予应用访问组内容的访问权限；例如，对话、文件、注释等。

对于应用程序权限，支持的 API 存在一些限制。有关详细信息，请参阅已知问题。

在某些情况下，应用可能需要目录权限才能读取某些组属性，例如 member 和 memberOf。例如，如果组有一个或多个 servicePrincipal 作为成员，则应用需要通过授予其中一个 Directory.* 权限来读取服务主体的有效权限，否则 Microsoft Graph 将返回错误。 (在委派权限的情况下，登录用户还需要组织中的足够权限来读取服务主体。) 相同的指导适用于 memberOf 属性，该属性可以返回 administrativeUnits。

要设置 Microsoft 365 组的 preferredDataLocation 属性，应用需要 Directory.ReadWrite.All 权限。多地理位置环境中的用户创建 Microsoft 365 组时，该组的 preferredDataLocation 值将自动设置为该用户所使用的值。有关组的首选数据位置的详细信息，请参阅使用特定 PDL 创建 Microsoft 365 组。

组权限用于控制对 Microsoft Teams 资源和 API 的访问权限。不支持 Microsoft 个人帐户。

组权限还用于控制对Microsoft Planner资源和 API 的访问。 Microsoft Planner API 仅支持委派权限;不支持应用程序权限。不支持 Microsoft 个人帐户。

用法示例

Delegated

Group.Read.All：读取登录用户所属的全部 Microsoft 365 组 (GET /me/memberOf/$/microsoft.graph.group?$filter=groupTypes/any(a:a%20eq%20'unified'))。
Group.Read.All：读取诸如对话之类的所有 Microsoft 365 组内容 (GET /groups/{id}/conversations)。
Group.ReadWrite.All：更新组属性，如照片 (PUT /groups/{id}/photo/$value)。
GroupMember.ReadWrite.All：更新组成员 (POST /groups/{id}/members/$ref)。

注意：这还要求 User.ReadBasic.All 读取要作为成员添加的用户。

应用程序

Group.Read.All：查找名称以“Sales”开头的所有组 (GET /groups?$filter=startswith(displayName,'Sales'))。
Group.ReadWrite.All：守护程序服务在 Microsoft 365 组日历上新建事件 (POST /groups/{id}/events)。
Group.Create：创建新组 (POST /groups)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

标识提供程序权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
IdentityProvider.Read.All	读取标识提供程序信息	支持应用程序代表登录用户读取在 Azure AD 或 Azure AD B2C 租户中配置的标识提供程序。	是	否
IdentityProvider.ReadWrite.All	读取和写入标识提供程序信息	支持应用程序代表登录用户读取或写入在 Azure AD 或 Azure AD B2C 租户中配置的标识提供程序。	是	否

注解

IdentityProvider.Read.All 和 IdentityProvider.ReadWrite.All 仅对工作或学校帐户有效。登录用户必须分配有全局管理员角色，应用程序才能通过委派权限读取或写入标识提供程序。若要详细了解管理员角色，请参阅在 Azure Active Directory 中分配管理员角色。

示例用法

委派

以下用法对两种委派权限均有效：

IdentityProvider.Read.All：读取在租户中配置的所有标识提供程序 (GET /beta/identityProviders)
IdentityProvider.Read.All：读取现有标识提供程序 (GET /beta/identityProviders/{id})
IdentityProvider.ReadWrite.All：创建标识提供程序 (POST /beta/identityProviders)
IdentityProvider.ReadWrite.All：更新现有标识提供程序 (PATCH /beta/identityProviders/{id})
IdentityProvider.ReadWrite.All：删除现有标识提供程序 (DELETE /beta/identityProviders/{id})

有关涉及多个权限的更复杂的情况，请参阅权限方案。

标识保护风险权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
IdentityRiskEvent.Read.All	读取标识风险事件信息	允许应用代表登录用户为组织中所有用户读取标识风险事件信息。	是	否
IdentityRiskyUser.Read.All	读取标识用户风险信息	允许应用代表登录用户读取组织中所有用户的标识用户风险信息。	是	否
IdentityRiskyUser.ReadWrite.All	读取和更新标识用户风险信息	允许应用代表登录用户读取和更新组织中所有用户的标识用户风险信息。	是	否
IdentityRiskyServicePrincipal.Read.All	读取所有风险服务主体信息	允许应用代表已登录用户读取组织的所有风险服务主体信息。	是	否
IdentityRiskyServicePrincipal.ReadWrite.All	读取和写入所有风险服务主体信息	允许应用代表已登录用户读取和更新组织中所有服务主体的风险服务主体信息。更新操作包括消除有风险的服务主体。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
IdentityRiskEvent.Read.All	读取标识风险事件信息	允许应用无需具有已登录用户即可为组织中所有用户读取标识风险事件信息。	是
IdentityRiskyUser.Read.All	读取标识用户风险信息	允许应用在没有登录用户的情况下读取组织中所有用户的标识用户风险信息。	是
IdentityRiskyUser.ReadWrite.All	读取和更新标识用户风险信息	允许应用在没有登录用户的情况下读取和更新组织中所有用户的标识用户风险信息。	是
IdentityRiskyServicePrincipal.Read.All	读取所有风险服务主体信息	允许应用在没有登录用户的情况下读取组织的所有有风险的服务主体信息。	是
IdentityRiskyServicePrincipal.ReadWrite.All	读取和写入所有风险服务主体信息	允许应用在没有登录用户的情况下读取和更新组织的风险服务主体。	是

所有标识风险权限仅对工作或学校帐户有效。对于通过委派权限读取标识用户风险信息的应用，登录用户必须是以下 Azure AD 管理员角色之一的成员：全局管理员、安全管理员或安全读者。

用法示例

以下用法对委派权限和应用程序权限均有效：

读取风险事件

读取为租户中的所有用户所生成的全部风险事件 (GET /identityProtection/riskDetections)
阅读最新的 50 个风险事件 (GET /identityProtection/riskDetections?$orderby=detectedDateTime desc&top=50)

读取有风险的用户

读取租户中的所有风险用户和属性 (GET /identityProtection/riskyUsers)
读取所有聚合风险级别为中等的风险用户 (GET /identityProtection/riskyUsers?$filter=riskLevel eq 'medium')
阅读特定用户的风险信息 (GET /identityProtection/riskyUsers?$filter=id eq 'userId')

读取有风险的服务主体

读取租户中的所有有风险的服务主体和属性（GET /identityProtection/riskyServicePrincipals）
读取聚合风险级别为中等（GET /identityProtection/riskyServicePrincipals?$filter=riskLevel eq 'medium'）的所有风险服务主体
阅读特定服务主体的风险信息（GET /identityProtection/riskyServicePrincipals?$filter=id eq '{riskyServicePrincipalsId}'）

有关涉及多个权限的更复杂的情况，请参阅权限方案。

标识用户流权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
IdentityUserFlow.Read.All	读取租户中的所有标识用户流	允许应用读取组织的用户流。	是	否
IdentityUserFlow.ReadWrite.All	读取和写入租户中的所有标识用户流。	允许应用程序读取或写入组织的用户流。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
IdentityUserFlow.Read.All	读取租户中的所有标识用户流	允许应用读取组织的用户流。	是	否
IdentityUserFlow.ReadWrite.All	读取和写入租户中的所有标识用户流。	允许应用程序读取或写入组织的用户流。	是	否

说明

IdentityUserFlow.Read.All 和 IdentityUserFlow.ReadWrite.ALL 仅适用于工作或学校帐户。

对于具有读取用户流的委托权限的应用程序，登录用户必须是以下管理员角色之一的成员：全局管理员、外部身份用户流管理员或全局读者。对于具有委托权限的应用程序来说，若要编写用户流，登录的用户必须是以下管理员角色之一的成员：全局管理员或外部身份用户流管理员。

若要详细了解管理员角色，请参阅在 Azure Active Directory 中分配管理员角色。

用法示例

委派和应用程序

以下用法对委派权限和应用程序权限均有效：

IdentityUserFlow.Read.All：读取 Azure AD B2C 租户中的所有用户流 (GET beta/identity/b2cUserFlows)
IdentityUserFlow.Read.All：读取 Azure Active Directory (Azure AD) 租户中的所有用户流 (GET beta/identity/b2xUserFlows)
IdentityUserFlow.Read.All：读取 Azure AD B2C 用户流中的所有用户属性分配（GET beta/identity/b2cUserFlows/{id}/userAttributeAssignments）
IdentityUserFlow.ReadWrite.All：在 Azure AD B2C 租户中创建新用户流 (POST beta/identity/b2cUserFlows)
IdentityUserFlow.ReadWrite.All：在 Azure Active Directory (Azure AD) 租户中创建新用户流 (POST beta/identity/b2xUserflows)
IdentitytUserFlow.ReadWrite.All：将标识提供者添加到 Azure AD B2C 用户流 (PATCH beta/identity/b2cUserFlows/{id}/identityProviders/$ref)
IdentityUserFlow.ReadWrite.All：从 Azure AD B2C 用户流中删除标识提供者 (DELETE beta/identity/b2cUserFlows/{id}/identityProviders/{id})
IdentityUserFlow.ReadWrite.All：在 Azure AD B2C 用户流中创建用户属性分配（POST beta/identity/b2cUserFlows/{id}/userAttributeAssignments）

有关涉及多个权限的更复杂的情况，请参阅权限方案。

事件权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
SecurityIncident.Read.All	读取事件	允许应用代表已登录的用户读取事件。	是	否
SecurityIncident.ReadWrite.All	读取和写入事件	允许应用代表已登录的用户读取和写入事件。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
SecurityIncident.Read.All	读取所有事件	允许应用在没有已登录用户的情况下读取所有事件。	是
SecurityIncident.ReadWrite.All	读取和写入所有事件	允许应用在没有已登录用户的情况下读取和写入所有事件。	是

备注

事件权限仅对工作或学校帐户有效。

示例用法

Delegated

SecurityIncident.Read.All：读取组织中允许用户读取的所有事件 (GET /security/incidents)
SecurityIncident.ReadWrite.All：读取和写入组织中允许用户读取和写入的所有事件 (GET /security/incidents)

应用程序

SecurityIncident.Read.All：读取组织中的所有事件 (GET /security/incidents)
SecurityIncident.ReadWrite.All：读取和写入组织中所有事件 (GET /security/incidents)

行业数据权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
IndustryData.ReadBasic.All	读取基本行业数据服务和资源定义	允许应用代表已登录用户读取基本的行业数据服务和资源信息。	否	否
IndustryData-DataConnector.Read.All	查看数据连接器定义	允许应用代表已登录用户读取数据连接器。	是	否
IndustryData-DataConnector.ReadWrite.All	管理数据连接器定义	允许应用代表已登录用户读取和写入数据连接器。	是	否
IndustryData-DataConnector.Upload	将文件上传到数据连接器	允许应用代表已登录用户将数据文件上传到数据连接器。	是	否
IndustryData-InboundFlow.Read.All	查看入站流定义	允许应用代表已登录用户读取入站数据流。	是	否
IndustryData-InboundFlow.ReadWrite.All	管理入站流定义	允许应用代表已登录用户读取和写入入站数据流。	是	否
IndustryData-ReferenceDefinition.Read.All	查看引用定义	允许应用代表已登录用户读取引用定义。	是	否
IndustryData-Run.Read.All	查看当前和以前的运行	允许应用代表登录用户读取当前和以前的行业数据运行。	是	否
IndustryData-SourceSystem.Read.All	查看源系统定义	允许应用代表已登录用户读取源系统定义。	是	否
IndustryData-SourceSystem.ReadWrite.All	管理源系统定义	允许应用代表已登录用户读取和写入源系统定义。	是	否
IndustryData-TimePeriod.Read.All	读取时间段定义	允许应用代表已登录用户读取时间段定义。	是	否
IndustryData-TimePeriod.ReadWrite.All	管理时间段定义	允许应用代表已登录用户读取和写入时间段定义。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
IndustryData.ReadBasic.All	查看基本服务和资源信息	允许应用在没有登录用户的情况下读取基本服务和资源信息。	否
IndustryData-DataConnector.Read.All	查看数据连接器定义	允许应用在没有登录用户的情况下读取数据连接器。	是
IndustryData-DataConnector.ReadWrite.All	管理数据连接器定义	允许应用在没有登录用户的情况下读取和写入数据连接器。	是
IndustryData-DataConnector.Upload	将文件上传到数据连接器	允许应用在没有登录用户的情况下将数据文件上传到数据连接器。	是
IndustryData-InboundFlow.Read.All	查看入站流定义	允许应用在没有登录用户的情况下读取入站数据流。	是
IndustryData-InboundFlow.ReadWrite.All	管理入站流定义	允许应用在没有登录用户的情况下读取和写入入站数据流。	是
IndustryData-ReferenceDefinition.Read.All	查看引用定义	允许应用在没有登录用户的情况下读取引用定义。	是
IndustryData-Run.Read.All	查看当前和以前的运行	允许应用在没有登录用户的情况下读取当前和以前的行业数据运行。	是
IndustryData-SourceSystem.Read.All	查看源系统定义	允许应用在没有登录用户的情况下读取源系统定义。	是
IndustryData-SourceSystem.ReadWrite.All	管理源系统定义	允许应用在没有登录用户的情况下读取和写入源系统定义。	是
IndustryData-TimePeriod.Read.All	读取时间段定义	允许应用在没有登录用户的情况下读取时间段定义。	是
IndustryData-TimePeriod.ReadWrite.All	管理时间段定义	允许应用在没有登录用户的情况下读取和写入时间段定义。	是

信息保护策略权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
InformationProtectionPolicy.Read	读取用户敏感度标签和标签策略	允许应用代表已登录用户读取信息保护敏感度标签，以及标签策略设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
InformationProtectionPolicy.Read.All	读取组织的所有已发布标签和标签策略	无需已登录用户，允许应用读取整个组织或特定用户发布的敏感度标签和标签策略设置。	是

Intune 设备管理权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DeviceManagementApps.Read.All	读取 Microsoft Intune 应用	允许应用读取由 Microsoft Intune 管理的应用、应用配置和应用保护策略的属性、组分配情况和状态。	是	否
DeviceManagementApps.ReadWrite.All	读取和写入 Microsoft Intune 应用	允许应用读取和写入由 Microsoft Intune 管理的应用、应用配置和应用保护策略的属性、组分配情况和状态。	是	否
DeviceManagementConfiguration.Read.All	读取 Microsoft Intune 设备配置和策略	允许应用读取 Microsoft Intune 管理的设备配置的属性和设备符合性策略以及它们对组的分配情况。	是	否
DeviceManagementConfiguration.ReadWrite.All	读取和写入 Microsoft Intune 设备配置和策略	允许应用读取和写入 Microsoft Intune 管理的设备配置的属性和设备符合性策略以及它们对组的分配情况。	是	否
DeviceManagementManagedDevices.PrivilegedOperations.All	在 Microsoft Intune 设备上执行影响用户的远程操作	允许应用执行高影响级别远程操作，如在由 Microsoft Intune 管理的设备上擦除设备或重置密码。	是	否
DeviceManagementManagedDevices.Read.All	读取 Microsoft Intune 设备	允许应用读取由 Microsoft Intune 管理的设备的属性。	是	否
DeviceManagementManagedDevices.ReadWrite.All	读取和写入 Microsoft Intune 设备	允许应用读取和写入由 Microsoft Intune 管理的设备的属性。不允许对设备所有者执行高影响操作，例如远程擦除和密码重置。	是	否
DeviceManagementRBAC.Read.All	读取 Microsoft Intune RBAC 设置	允许应用读取与基于 Microsoft Intune 角色的访问控制 (RBAC) 设置相关的属性。	是	否
DeviceManagementRBAC.ReadWrite.All	读取和写入 Microsoft Intune RBAC 设置	允许应用读取和写入与基于 Microsoft Intune 角色的访问控制 (RBAC) 设置相关的属性。	是	否
DeviceManagementServiceConfig.Read.All	读取 Microsoft Intune 配置	允许应用读取 Intune 服务属性，其中包括设备注册和第三方服务连接配置。	是	否
DeviceManagementServiceConfig.ReadWrite.All	读取和写入 Microsoft Intune 配置	允许应用读取和写入 Microsoft Intune 服务属性，其中包括设备注册和第三方服务连接配置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
DeviceManagementApps.Read.All	读取 Microsoft Intune 应用	允许应用读取由 Microsoft Intune 管理的应用、应用配置和应用保护策略的属性、组分配情况和状态。	是	否
DeviceManagementApps.ReadWrite.All	读取和写入 Microsoft Intune 应用	允许应用读取和写入由 Microsoft Intune 管理的应用、应用配置和应用保护策略的属性、组分配情况和状态。	是	否
DeviceManagementConfiguration.Read.All	读取 Microsoft Intune 设备配置和策略	允许应用读取 Microsoft Intune 管理的设备配置的属性和设备符合性策略以及它们对组的分配情况。	是	否
DeviceManagementConfiguration.ReadWrite.All	读取和写入 Microsoft Intune 设备配置和策略	允许应用读取和写入 Microsoft Intune 管理的设备配置的属性和设备符合性策略以及它们对组的分配情况。	是	否
DeviceManagementManagedDevices.PrivilegedOperations.All	在 Microsoft Intune 设备上执行影响用户的远程操作	允许应用执行高影响级别远程操作，如在由 Microsoft Intune 管理的设备上擦除设备或重置密码。	是	否
DeviceManagementManagedDevices.Read.All	读取 Microsoft Intune 设备	允许应用读取由 Microsoft Intune 管理的设备的属性。	是	否
DeviceManagementManagedDevices.ReadWrite.All	读取和写入 Microsoft Intune 设备	允许应用读取和写入由 Microsoft Intune 管理的设备的属性。不允许对设备所有者执行高影响操作，例如远程擦除和密码重置。	是	否
DeviceManagementRBAC.Read.All	读取 Microsoft Intune RBAC 设置	允许应用读取与基于 Microsoft Intune 角色的访问控制 (RBAC) 设置相关的属性。	是	否
DeviceManagementRBAC.ReadWrite.All	读取和写入 Microsoft Intune RBAC 设置	允许应用读取和写入与基于 Microsoft Intune 角色的访问控制 (RBAC) 设置相关的属性。	是	否
DeviceManagementServiceConfig.Read.All	读取 Microsoft Intune 配置	允许应用读取 Intune 服务属性，其中包括设备注册和第三方服务连接配置。	是	否
DeviceManagementServiceConfig.ReadWrite.All	读取和写入 Microsoft Intune 配置	允许应用读取和写入 Microsoft Intune 服务属性，其中包括设备注册和第三方服务连接配置。	是	否

说明

注意：使用 Microsoft Graph API 配置 Intune 控件和策略仍需要客户正确许可 Intune 服务。

这些权限仅对工作或学校帐户有效。

用法示例

委派

DeviceManagementServiceConfiguration.Read.All：检查 Intune 订阅的当前状态 (GET /deviceManagement/subscriptionState)。
DeviceManagementServiceConfiguration.ReadWrite.All：新建条款和条件 (POST /deviceManagement/termsAndConditions)。
DeviceManagementConfiguration.Read.All：查找设备配置状态 (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。
DeviceManagementConfiguration.ReadWrite.All：向组分配设备符合性策略 (POST deviceCompliancePolicies/{id}/assign)。
DeviceManagementApps.Read.All：查找发布到 Intune 的所有 Windows 应用商店应用 (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。
DeviceManagementApps.ReadWrite.All：发布新应用程序 (POST /deviceAppManagement/mobileApps)。
DeviceManagementRBAC.Read.All：按名称查找角色分配 (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。
DeviceManagementRBAC.ReadWrite.All：新建自定义角色 (POST /deviceManagement/roleDefinitions)。
DeviceManagementManagedDevices.Read.All：按名称查找受管理设备 (GET /managedDevices/?$filter=deviceName eq 'My Device')。
DeviceManagementManagedDevices.ReadWrite.All：删除受管理设备 (DELETE /managedDevices/{id})。
DeviceManagementManagedDevices.PrivilegedOperations.All：重置用户的受管理设备上的密码 (POST /managedDevices/{id}/resetPasscode)。

应用程序

DeviceManagementServiceConfiguration.Read.All：检查 Intune 订阅的当前状态 (GET /deviceManagement/subscriptionState)。
DeviceManagementServiceConfiguration.ReadWrite.All：新建条款和条件 (POST /deviceManagement/termsAndConditions)。
DeviceManagementConfiguration.Read.All：查找设备配置状态 (GET /deviceManagement/deviceConfigurations/{id}/deviceStatuses)。
DeviceManagementConfiguration.ReadWrite.All：向组分配设备符合性策略 (POST deviceCompliancePolicies/{id}/assign)。
DeviceManagementApps.Read.All：查找发布到 Intune 的所有 Windows 应用商店应用 (GET /deviceAppManagement/mobileApps?$filter=isOf('microsoft.graph.windowsStoreApp'))。
DeviceManagementApps.ReadWrite.All：发布新应用程序 (POST /deviceAppManagement/mobileApps)。
DeviceManagementRBAC.Read.All：按名称查找角色分配 (GET /deviceManagement/roleAssignments?$filter=displayName eq 'My Role Assignment')。
DeviceManagementRBAC.ReadWrite.All：新建自定义角色 (POST /deviceManagement/roleDefinitions)。
DeviceManagementManagedDevices.Read.All：按名称查找受管理设备 (GET /managedDevices/?$filter=deviceName eq 'My Device')。
DeviceManagementManagedDevices.ReadWrite.All：删除受管理设备 (DELETE /managedDevices/{id})。
DeviceManagementManagedDevices.PrivilegedOperations.All：重置用户的受管理设备上的密码 (POST /managedDevices/{id}/resetPasscode)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

生命周期工作流权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
LifecycleWorkflows.Read.All	读取所有生命周期工作流资源	允许应用代表登录用户列出和读取所有工作流、任务和相关生命周期工作流资源。	是	否
LifecycleWorkflows.ReadWrite.All	读取和写入所有生命周期工作流资源	允许应用代表登录用户创建、更新、列出、读取和删除所有工作流、任务和相关生命周期工作流资源。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
LifecycleWorkflows.Read.All	读取所有生命周期工作流资源	允许应用在没有登录用户的情况下列出和读取所有工作流、任务和相关生命周期工作流资源。	是
LifecycleWorkflows.ReadWrite.All	读取和写入所有生命周期工作流资源	允许应用在没有登录用户的情况下创建、更新、列出、读取和删除所有工作流、任务和相关生命周期工作流资源。	是

邮件权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Mail.Read	读取用户邮件	允许应用读取用户邮箱中的电子邮件。	否	是
Mail.ReadBasic	读取用户基本邮件	允许应用读取已登录用户的邮箱，但不读取 body、bodyPreview、uniqueBody、attachments、extensions 和任何扩展属性。不包含邮件搜索权限。	否	否
Mail.ReadWrite	对用户邮件的读写权限	允许应用创建、读取、更新和删除用户邮箱中的电子邮件。不包括邮件发送权限。	否	是
Mail.Read.Shared	读取用户邮件和共享邮件	允许应用读取用户可以访问的邮件，包括用户个人邮件和共享邮件。	否	否
Mail.ReadWrite.Shared	读取和写入用户邮件和共享邮件	允许应用创建、读取、更新和删除用户有权访问的邮件，包括用户个人邮件和共享邮件。不包括邮件发送权限。	否	否
Mail.Send	以用户身份发送邮件	允许应用以组织用户身份发送邮件。	否	是
Mail.Send.Shared	代表他人发送邮件	允许应用以登录用户身份发送邮件，包括代表他人发送邮件。	否	否
MailboxSettings.Read	读取用户的邮箱设置	允许应用访问读取用户的邮箱设置。不包括邮件发送权限。	否	是
MailboxSettings.ReadWrite	读取和写入用户邮箱设置	允许应用创建、读取、更新和删除用户邮箱设置。不包含直接发送邮件的权限，但允许应用创建能够转发或重定向邮件的规则。	否	是
IMAP.AccessAsUser.All	通过IMAP对用户邮件进行读写访问	允许应用程序读取、更新、创建和删除用户邮箱中的电子邮件。不包括邮件发送权限。	否	是
POP.AccessAsUser.All	通过POP对用户邮件读写访问	允许应用程序读取、更新、创建和删除用户邮箱中的电子邮件。不包括邮件发送权限。	否	是
SMTP.Send	使用SMTP AUTH以用户身份发送邮件	允许应用以组织用户身份发送邮件。	否	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Mail.Read	读取所有邮箱中的邮件	允许应用在没有登录用户的情况下读取所有邮箱中的邮件。	是
Mail.ReadBasic.All	读取所有用户基本邮件	让应用能够读取所有用户的邮箱，但不读取 Body、BodyPreview、UniqueBody、Attachments, ExtendedProperties 和 Extensions。不包含邮件搜索权限。	是
Mail.ReadWrite	读取和写入所有邮箱中的邮件	允许应用在没有登录用户的情况下创建、读取、更新和删除所有邮箱中的邮件。不包括邮件发送权限。	是
Mail.Send	以任意用户身份发送邮件	允许应用在没有登录用户的情况下以任意用户身份发送邮件。	是
MailboxSettings.Read	读取用户的所有邮箱设置	允许应用在没有登录用户的情况下读取用户的邮箱设置。不包括邮件发送权限。	是
MailboxSettings.ReadWrite	读取和写入所有用户邮箱设置	允许应用在没有登录用户的情况下创建、读取、更新和删除用户邮箱设置。不包括邮件发送权限。	是

重要说明 管理员可以配置应用程序访问策略，以限制应用程序访问特定邮箱，而不是组织中的所有邮箱，即使该应用程序已被授予 Mail.Read、Mail.ReadWrite、Mail.Send、MailboxSettings.Read 或 MailboxSettings.ReadWrite 的应用程序权限。

说明

Mail.Read.Shared、 Mail.ReadWrite.Shared 和 Mail.Send.Shared 仅适用于工作或学校帐户。所有其他权限对 Microsoft 帐户和工作或学校帐户均有效。

通过 Mail.Send 或 Mail.Send.Shared 权限，应用可以发送邮件并将副本保存到用户的“已发送邮件”文件夹中，即使应用不使用相应的 Mail.ReadWrite 或 Mail.ReadWrite.Shared 权限也是如此。

用法示例

委派

Mail.Read：列出用户收件箱中的邮件，按 receivedDateTime 排序 (GET /me/mailfolders/inbox/messages?$orderby=receivedDateTime DESC)。
Mail.Read.Shared：在已与登录用户共享其收件箱的用户收件箱中查找带有附件的所有邮件 (GET /users{id | userPrincipalName}/mailfolders/inbox/messages?$filter=hasAttachments eq true)。
Mail.ReadWrite：将邮件标记为已读 (PATCH /me/messages/{id})。
Mail.Send：发送邮件 (POST /me/sendmail)。
MailboxSettings.ReadWrite：更新用户的自动答复 (PATCH /me/mailboxSettings)。

Application

Mail.Read：从: bob@contoso.com (GET /users/{id | userPrincipalName}/messages?$filter=from/emailAddress/address eq 'bob@contoso.com') 中查找邮件。
Mail.ReadWrite：在名为“Expense Reports”的收件箱中新建文件夹 (POST /users/{id | userPrincipalName}/mailfolders)。
Mail.Send：发送邮件 (POST /users/{id | userPrincipalName}/sendmail)。
MailboxSettings.Read：获取用户邮箱的默认时区 (GET /users/{id | userPrincipalName}/mailboxSettings/timeZone)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

托管租户权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ManagedTenants.Read.All	读取所有托管租户特定信息	允许应用代表登录用户读取所有托管租户信息。	是	否
ManagedTenants.ReadWrite.All	读取和写入所有托管租户特定信息	允许应用代表登录用户读取和写入所有托管租户信息。	是	否

应用程序权限

无。

成员权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Member.Read.Hidden	读取隐藏成员资格	对于已登录用户具有访问权限的隐藏组和管理单元，允许应用代表已登录用户读取隐藏组和管理单元的成员资格。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Member.Read.Hidden	读取所有隐藏成员	允许应用在没有登录用户的情况下读取隐藏的组和管理单元中的成员。	是

注释

Member.Read.Hidden 仅对工作或学校帐户有效。

可以隐藏某些 Microsoft 365 组中的成员资格。这意味着只有该组的成员可以查看其成员。此功能可用于帮助遵守要求组织对外部用户（例如，表示某个班级内注册的学生的 Microsoft 365 组）隐藏组成员身份的规定。

用法示例

委派

Member.Read.Hidden：代表登录用户读取隐藏了成员资格的管理单元成员 (GET /administrativeUnits/{id}/members)。
Member.Read.Hidden：代表登录用户读取隐藏了成员资格的组成员 (GET /groups/{id}/members)。

应用程序

Member.Read.Hidden：读取隐藏了成员资格的管理单元成员 (GET /administrativeUnits/{id}/members)。
Member.Read.Hidden：读取隐藏了成员资格的组成员 (GET /groups/{id}/members)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

多租户组织权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
MultiTenantOrganization.ReadBasic.All	读取多租户组织基本详细信息和活动租户	允许应用读取多租户组织基本详细信息和活动租户	否	否
MultiTenantOrganization.Read.All	读取多租户组织详细信息和租户	允许应用读取多租户组织详细信息和租户	是	否
MultiTenantOrganization.ReadWrite.All	读取和写入多租户组织详细信息和租户	允许应用读取和写入多租户组织详细信息和租户	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
MultiTenantOrganization.ReadBasic.All	读取多租户组织基本详细信息和活动租户	允许应用读取多租户组织基本详细信息和活动租户	是
MultiTenantOrganization.Read.All	读取多租户组织详细信息和租户	允许应用读取多租户组织详细信息和租户	是
MultiTenantOrganization.ReadWrite.All	读取和写入多租户组织详细信息和租户	允许应用读取和写入多租户组织详细信息和租户	是

网络访问权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
NetworkAccessPolicy.Read.All	读取网络访问的安全性和路由策略	允许应用代表已登录用户读取组织的安全性和路由网络访问策略。	否	否
NetworkAccessBranch.Read.All	读取用于网络访问的分支的属性	允许应用代表已登录用户读取组织的分支进行网络访问。	否	否
NetworkAccessPolicy.ReadWrite.All	读取和写入网络访问的安全性和路由策略	允许应用代表已登录用户读取和写入组织的安全性和路由网络访问策略。	是	否
NetworkAccessBranch.ReadWrite.All	用于网络访问的分支的读取和写入属性	允许应用代表已登录用户读取和写入组织的分支，以便进行网络访问。	是	否

注释权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Notes.Read	读取用户 OneNote 笔记本	允许应用代表已登录用户读取 OneNote 笔记本和分区标题并创建新的页面、笔记本和分区。	否	是
Notes.Create	创建用户 OneNote 笔记本	允许应用代表已登录用户读取 OneNote 笔记本和分区标题并创建新的页面、笔记本和分区。	否	是
Notes.ReadWrite	读取和写入用户 OneNote 笔记本	允许应用代表已登录用户读取、共享和修改 OneNote 笔记本。	否	是
Notes.Read.All	读取用户可以访问的所有 OneNote 笔记本	允许应用读取登录用户在组织中有权访问的 OneNote 笔记本。	否	否
Notes.ReadWrite.All	读取和写入用户可以访问的所有 OneNote 笔记本。	允许应用读取、共享和修改已登录用户在组织中有权访问的 OneNote 笔记本。	否	否
Notes.ReadWrite.CreatedByApp	有限的笔记本访问权限（不推荐使用）	不推荐使用请勿使用。此权限不授予任何特权。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Notes.Read.All	读取所有 OneNote 笔记本	允许应用无需具有已登录用户即可读取组织中的所有 OneNote 笔记本。	是
Notes.ReadWrite.All	读取和写入所有 OneNote 笔记本	允许应用无需具有已登录用户即可读取、共享和修改组织中的所有 OneNote 笔记本。	是

注解

Notes.Read.All 和 Notes.ReadWrite.All 仅对工作或学校帐户有效。所有其他权限对 Microsoft 帐户和工作或学校帐户均有效。

使用 Notes.Create 权限，应用可以查看已登录用户的 OneNote 笔记本层次结构，并 (笔记本、分区组、分区、页面等) 创建 OneNote 内容。

Notes.ReadWrite 和 Notes.ReadWrite.All 还允许应用修改针对已登录用户可以访问的 OneNote 内容的权限。

对于工作或学校帐户，Notes.Read.All 和 Notes.ReadWrite.All 允许该应用访问已登录用户有权限在组织内访问的其他用户的 OneNote 内容。

用法示例

委派

Notes.Create：为登录用户新建笔记本 (POST /me/onenote/notebooks)。
Notes.Read：读取登录用户的笔记本 (GET /me/onenote/notebooks)。
Notes.Read.All：获取登录用户有权在组织内访问的所有笔记本 (GET /me/onenote/notebooks?includesharednotebooks=true)。
Notes.ReadWrite：更新登录用户的页面 (PATCH /me/onenote/pages/{id}/$value)。
Notes.ReadWrite.All：在登录用户有权在组织内访问的其他用户笔记本中创建页面 (POST /users/{id}/onenote/pages)。

应用程序

Notes.Read.All：读取组中的所有用户笔记本 (GET /groups/{id}/onenote/notebooks)。
Notes.ReadWrite.All：更新组织中任意用户的笔记本中的页面 (PATCH /users/{id}/onenote/pages/{id}/$value)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

通知权限

委派权限

权限	显示字符串	说明	需经过管理员同意
Notifications.ReadWrite.CreatedByApp	提供和管理此应用的通知。	允许应用代表登录用户提供其通知。还允许应用读取、更新和删除此应用的用户的通知项。	否

注解

Notifications.ReadWrite.CreatedByApp 对 Microsoft 帐户和工作或学校帐户均有效。与此权限相关联的 CreatedByApp 约束指示服务将基于通话应用的标识（Microsoft 帐户应用 ID 或针对跨平台应用程序标识配置的一组应用 ID）对结果应用隐式筛选。

用法示例

Delegated

Notifications.ReadWrite.CreatedByApp：发布以用户为中心的通知，该通知随后可能会传递到用户在不同终结点上运行的多个应用程序客户端。 (POST /me/notifications/)。

联机会议权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
OnlineMeetings.Read	读取用户的联机会议。	允许应用代表已登录用户读取联机会议详细信息。	否	否
OnlineMeetings.ReadWrite	读取和创建用户的联机会议。	允许应用代表已登录用户读取和创建联机会议。	否	否
OnlineMeetingArtifact.Read.All	读取用户的联机会议项目。	允许应用代表已登录用户读取联机会议项目。	否	否
OnlineMeetingRecording.Read.All	读取联机会议的所有录制内容。	允许应用代表已登录用户读取联机会议的所有录制内容。	是	否
OnlineMeetingTranscript.Read.All	读取联机会议的所有脚本。	允许应用代表已登录用户读取联机会议的所有脚本。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
OnlineMeetings.Read.All	阅读联机会议详细信息。	允许应用在没有登录用户的情况下读取组织中的联机会议详细信息。	是
OnlineMeetings.ReadWrite.All	读取和创建联机会议	允许应用在组织中以应用程序的形式读取和创建联机会议。	是
OnlineMeetingArtifact.Read.All	读取联机会议项目	允许应用在没有登录用户的情况下读取组织中的联机会议项目。	是
OnlineMeetingRecording.Read.All	读取联机会议的所有录制内容。	允许应用在没有登录用户的情况下读取所有联机会议的所有录制内容。	是
OnlineMeetingTranscript.Read.All	读取联机会议的所有脚本。	允许应用在没有已登录用户的情况下读取所有联机会议的所有脚本。	是

重要管理员可以配置应用程序访问策略以允许应用代表用户访问联机会议。

用法示例

委派

OnlineMeetings.Read：检索联机会议的属性和关系 (GET /beta/communications/onlinemeetings/{default id})。
OnlineMeetings.ReadWrite：创建联机会议 (POST /beta/communications/onlinemeetings)。

应用程序

OnlineMeetings.Read.All
- 检索联机会议的属性和关系 (GET /beta/communications/onlinemeetings/?$filter=VideoTeleconferenceId%20eq%20'{id}')。
- 代表用户检索联机会议 (`GET /beta/users/{userId}/onlineMeetings/{id})
OnlineMeetings.ReadWrite.All
- 代表用户创建联机会议 (`POST /beta/users/{userId}/onlineMeetings/)
- 代表用户更新联机会议 (`PATCH /beta/users/{userId}/onlineMeetings/{id})
- 代表用户删除联机会议 (`DELETE /beta/users/{userId}/onlineMeetings/{id})

注意：创建联机会议时会代表用户创建一个会议，但不会在该用户的日历上显示该会议。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

本地目录同步权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
OnPremDirectorySynchronization.Read.All	读取所有本地目录同步信息	允许应用代表已登录用户读取组织的所有本地目录同步信息	是	否
OnPremDirectorySynchronization.ReadWrite.All	读取和写入所有本地目录同步信息	允许应用代表已登录用户读取和写入组织的所有本地目录同步信息	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
OnPremDirectorySynchronization.Read.All	读取所有本地目录同步信息	允许应用在没有登录用户的情况下读取组织的所有本地目录同步信息。	是	否
OnPremDirectorySynchronization.ReadWrite.All	读取和写入所有本地目录同步信息	允许应用在没有登录用户的情况下读取和写入组织的所有本地目录同步信息。	是	否

本地发布配置文件权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
OnPremisesPublishingProfiles.ReadWrite.All	访问本地发布配置文件	允许应用通过代表已登录用户创建、查看、更新和删除本地发布的资源、本地代理和代理组来管理混合标识服务配置。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
OnPremisesPublishingProfiles.ReadWrite.All	访问本地发布配置文件	允许应用在没有用户登录的情况下创建、查看、更新和删除本地发布的资源，本地代理和代理组，以作为混合标识配置的一部分。	是	否

OpenID Connect (OIDC)作用域

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
email	查看用户的电子邮件地址	允许应用读取用户的主电子邮件地址。	否	是
offline_access	随时访问用户数据	允许应用读取和更新用户数据，即使用户当前没有在使用此应用，也不例外。	否	是
openid	让用户登录	通过使用此权限，应用可以以子声明的形式接收用户的唯一标识符。该权限还允许应用访问 UserInfo 终结点。 openid 作用域可用于 Microsoft 标识平台令牌终结点，从而获取 ID 令牌。应用可以使用这些令牌进行身份验证。	否	是
个人资料	查看用户的基本个人资料	允许应用查看用户的基本个人资料（名称、图片、用户名称）。	否	是

备注

可以使用这些范围指定要在 Azure AD 授权和令牌请求中返回的项目。 Azure AD v1.0 和 v2.0 终结点以不同的方式支持它们。

使用 Azure AD v1.0 终结点时，仅使用 openid 范围。使用 OpenID Connect 协议将用户登录到应用时，可在授权请求中的 scope 参数中指定它以返回 ID 令牌。有关详细信息，请参阅使用 OpenID Connect 授权访问 Web 应用程序和 Azure Active Directory。若要成功返回 ID 令牌，还必须确保在注册应用时配置 User.Read 权限。

使用 Azure AD v2.0 终结点时，可以在 scope 参数中指定offline_access范围，以在使用 OAuth 2.0 或 OpenID Connect 协议时显式请求刷新令牌。使用 OpenID Connect，可以指定 openid 范围来请求 ID 令牌。还可以指定 电子邮件 范围和/或 配置文件 范围，以返回 ID 令牌中的其他声明。无需指定 User.Read 权限即可使用 v2.0 终结点返回 ID 令牌。有关详细信息，请参阅 OpenID Connect 作用域。

重要

Microsoft 身份验证库 (MSAL) 目前默认在授权和令牌请求中指定 offline_access、 openid、 配置文件和 电子邮件 。这意味着，对于默认情况，如果显式指定这些范围，Azure AD 可能会返回错误。

组织权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Organization.Read.All	读取组织信息	允许应用代表已登录用户读取组织和相关资源。相关资源包括订阅的 SKU 和租户品牌信息等内容。	是	否
Organization.ReadWrite.All	读取和写入组织信息	允许应用代表已登录用户读取和写入组织和相关资源。相关资源包括订阅的 SKU 和租户品牌信息等内容。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Organization.Read.All	读取组织信息	允许应用在没有已登录用户的情况下读取组织和相关资源。相关资源包括订阅的 SKU 和租户品牌信息等内容。	是
Organization.ReadWrite.All	读取和写入组织信息	允许应用在没有已登录用户的情况下读取和写入组织和相关资源。相关资源包括订阅的 SKU 和租户品牌信息等内容。	是

用法示例

Delegated

Organization.Read.All：获取组织信息 (GET /organization)。
Organization.Read.All：获取组织订阅的 SKU (GET /subscribedSkus)。

应用程序

Organization.ReadWrite.All：更新组织信息（例如 technicalNotificationMails）(PATCH /organization/{id})。

组织联系人权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
OrgContact.Read.All	读取组织联系人	允许应用代表已登录用户读取所有组织联系人。这些联系人由组织管理，不同于用户的个人联系人。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
OrgContact.Read.All	读取组织联系人	允许应用在没有已登录用户的情况下读取所有组织联系人。这些联系人由组织管理，不同于用户的个人联系人。	是

用法示例

Delegated

OrgContact.Read.All：获取所有组织联系人 (GET /contacts)。

People 权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
People.Read	读取用户的相关人员列表	允许应用读取与已登录用户相关的已评分人员列表。该列表可包括当地联系人、社交网络或你所在组织目录中的联系人以及来自最近通信（例如电子邮件和 Skype）的人员。	否	是
People.Read.All	读取所有用户的相关人员列表	允许应用读取登录用户或登录用户组织中的其他用户的相关人员得分列表。该列表可包括当地联系人、社交网络或你所在组织目录中的联系人以及来自最近通信（例如电子邮件和 Skype）的人员。此外，还允许应用搜索登录用户组织的整个目录。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
People.Read.All	读取所有用户的相关人员列表	允许应用读取登录用户或登录用户组织中的其他用户的相关人员得分列表。该列表可包括当地联系人、社交网络或你所在组织目录中的联系人以及来自最近通信（例如电子邮件和 Skype）的人员。此外，还允许应用搜索登录用户组织的整个目录。	是

备注

People.Read.All 权限仅适用于工作和学校帐户。

用法示例

委派

People.Read：读取相关人员列表 (GET /me/people)
People.Read.All：读取同一组织中与其他用户相关的人员列表 (GET /users('{id})/people)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

人员设置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
PeopleSettings.Read.All	读取租户范围的人员设置	允许应用程序代表已登录用户读取租户范围的人员设置。	是	否
PeopleSettings.ReadWrite.All	读取和写入租户范围的人员设置	允许应用程序代表已登录用户读取和写入租户范围的人员设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
PeopleSettings.Read.All	读取所有租户范围的人员设置	允许应用程序在没有登录用户的情况下读取租户范围的人员设置。	是
PeopleSettings.ReadWrite.All	读取和写入所有租户范围的人员设置	允许应用程序在没有登录用户的情况下读取和写入租户范围的人员设置。	是

特权访问权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
PrivilegedAccess.ReadWrite.AzureAD	为目录读取和写入 Privileged Identity Management 数据	允许应用读取和写入 Azure AD 的 Privileged Identity Management API。	是	否
PrivilegedAccess.ReadWrite.AzureADGroup	为特权范文组读取和写入 Privileged Identity Management 数据	允许应用读取和写入组的 Privileged Identity Management API 的权限。	是	否
PrivilegedAccess.ReadWrite.AzureResources	为 Azure 资源读取和写入 Privileged Identity Management 数据	允许应用读取和写入 Azure 资源的 Privileged Identity Management API。	是	否
PrivilegedAssignmentSchedule.Read.AzureADGroup	读取访问 Azure AD 组的分配计划	允许应用代表已登录用户读取基于时间的分配计划，以便访问 Azure AD 组。	是	否
PrivilegedEligibilitySchedule.Read.AzureADGroup	读取访问 Azure AD 组的资格计划	允许应用代表已登录用户读取访问 Azure AD 组的基于时间的资格计划。	是	否
PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup	读取、创建和删除用于访问 Azure AD 组的分配计划	允许应用代表已登录用户读取、创建和删除用于访问 Azure AD 组的基于时间的分配计划。	是	否
PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup	读取、创建和删除访问 Azure AD 组的资格计划	允许应用代表已登录用户读取、创建和删除访问 Azure AD 组的基于时间的资格计划。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
PrivilegedAccess.Read.AzureAD	为目录读取 Privileged Identity Management 数据	允许应用读取 Azure AD 的 Privileged Identity Management API 的权限。	是
PrivilegedAccess.Read.AzureADGroup	读取特权访问组的 Privileged Identity Management 数据	允许应用读取组的 Privileged Identity Management API 的权限。	是
PrivilegedAccess.Read.AzureResources	读取 Azure 资源的 Privileged Identity Management 数据	允许应用读取 Azure AD 资源的 Privileged Identity Management API 的权限。	是
PrivilegedAssignmentSchedule.Read.AzureADGroup	读取访问 Azure AD 组的分配计划	允许应用在没有登录用户的情况下读取访问 Azure AD 组的基于时间的分配计划。	是
PrivilegedEligibilitySchedule.Read.AzureADGroup	读取访问 Azure AD 组的资格计划	允许应用在没有登录用户的情况下读取访问 Azure AD 组的基于时间的资格计划。	是
PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup	读取、创建和删除用于访问 Azure AD 组的分配计划	允许应用在没有登录用户的情况下读取、创建和删除访问 Azure AD 组的基于时间的分配计划。	是
PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup	读取、创建和删除访问 Azure AD 组的资格计划	允许应用在没有登录用户的情况下读取、创建和删除访问 Azure AD 组的基于时间的资格计划。	是

位置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Place.Read.All	读取所有公司位置	允许应用读取在 Exchange Online 中为租户设置的公司位置（会议室和房间列表）。	是	否
Place.ReadWrite.All	读取并写入所有公司位置	允许应用读取和写入在 Exchange Online 中为租户设置的公司位置（会议室和房间列表）。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Place.Read.All	读取所有公司位置	允许应用读取日历事件和其他应用程序的公司位置（会议室和房间列表）。	是

策略权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Policy.Read.All	阅读你组织的策略	允许应用代表已登录用户阅读你组织的策略。	是	否
Policy.Read.PermissionGrant	读取许可和权限授予策略	允许此应用代表已登录的用户读取与适用于应用程序的许可和权限授予相关的策略。	是	否
Policy.ReadWrite.AccessReview	读取和写入组织的访问评审策略	允许应用代表已登录用户读取和写入你组织的访问评审策略。	是	否
Policy.ReadWrite.ApplicationConfiguration	读取和写入组织的应用程序配置策略	允许应用代表已登录用户读取和写入组织的配置策略。	是	否
Policy.ReadWrite.AuthenticationFlows	读取和写入你组织的身份验证流策略	允许应用代表已登录用户读取和写入身份验证流策略。	是	否
Policy.ReadWrite.AuthenticationMethod	读取和写入身份验证方法策略	允许应用代表已登录用户读取和写入身份验证方法策略。还必须为登录用户分配全局管理员角色。	是	否
Policy.ReadWrite.Authorization	读取和写入组织的授权策略	允许应用代表已登录用户读取和写入你组织的授权策略。例如，授权策略可以控制现有用户角色默认拥有的某些权限。	是	否
Policy.ReadWrite.ConditionalAccess	读取和写入你组织的条件访问策略	允许应用代表已登录用户读取和写入你组织的条件访问策略。	是	否
Policy.ReadWrite.ConsentRequest	读取和写入组织的同意请求策略	允许应用代表已登录用户读取和写入你组织的许可请求策略。	是	否
Policy.ReadWrite.CrossTenantAccess	读取和写入组织的跨租户访问策略	允许应用代表已登录用户读取和写入组织的跨租户访问策略。	是	否
Policy.ReadWrite.FeatureRollout	读取和写入你组织的功能推出策略	允许应用代表已登录用户读取和写入你组织的功能推出策略。包括分配用户和组来推出特定功能以及删除此类用户和组的能力。	是	否
Policy.ReadWrite.PermissionGrant	管理许可和权限授予策略	允许此应用代表已登录的用户管理与适用于应用程序的许可和权限授予相关的策略。	是	否
Policy.ReadWrite.SecurityDefaults	读取和写入组织的安全默认值策略	允许应用代表已登录用户读取和写入组织的安全默认策略。	是	否
Policy.ReadWrite.TrustFramework	读取和写入你组织的信任框架策略	允许应用代表已登录用户读取和写入你组织的信任框架策略。	是	否
Policy.ReadWrite.AuthenticationMethod	读取和写入你组织的身份验证方法策略	允许应用代表已登录用户读取和写入身份验证方法策略。	是	否
Policy.ReadWrite.MobilityManagement	读取和写入你组织的身份验证方法策略。	允许应用程序代表已登录用户读取和写入移动设备管理策略。这些控制移动设备管理 (MDM) 和移动应用程序管理 (MAM) 应用程序的设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Policy.Read.All	阅读你组织的策略	允许应用在没有登录用户的情况下读取组织的所有策略。	是
Policy.Read.PermissionGrant	读取许可和权限授予策略	允许此应用没有登录用户的情况下读取与适用于应用程序的许可和权限授予相关的策略。	是
Policy.ReadWrite.AccessReview	读取和写入组织的访问评审策略	允许应用无需登录的用户即可读取和写入你所在组织的访问评审策略。	是
Policy.ReadWrite.ApplicationConfiguration	读取和写入组织的应用程序配置策略	允许应用在没有已登录用户的情况下读取和写入组织的所有应用程序配置策略。	是
Policy.ReadWrite.AuthenticationFlows	读取和写入你组织的身份验证流策略	允许应用在没有登录用户的情况下读取和写入租户的身份验证流策略。	是
Policy.ReadWrite.AuthenticationMethod	读取和写入所有身份验证方法策略	允许应用在没有登录用户的情况下读取和写入所有租户身份验证方法策略。	是
Policy.ReadWrite.Authorization	读取和写入组织的授权策略	允许应用代表已登录用户读取和写入你组织的授权策略。例如，授权策略可以控制现有用户角色默认拥有的某些权限。	是
Policy.ReadWrite.ConsentRequest	读取和写入组织的同意请求策略	允许应用在没有登录用户的情况下读取和写入你的组织的许可请求策略。	是
Policy.ReadWrite.CrossTenantAccess	读取和写入组织的跨租户访问策略	允许应用在没有已登录用户的情况下读取和写入组织的跨租户访问策略。	是
Policy.ReadWrite.FeatureRollout	读取和写入功能推出策略	允许用户无需登录的用户即可读取和写入功能推出策略。包括分配用户和组来推出特定功能以及删除此类用户和组的能力。	是
Policy.ReadWrite.PermissionGrant	管理许可和权限授予策略	允许此应用在没有登录用户的情况下管理与适用于应用程序的许可和权限授予相关的策略。	是
Policy.ReadWrite.SecurityDefaults	读取和写入组织的安全默认值策略	允许应用在没有登录用户的情况下读取和写入组织的安全默认策略。	是
Policy.ReadWrite.TrustFramework	读取和写入你组织的信任框架策略	允许应用在没有登录用户的情况下读取和写入组织的信任框架策略。	是

用法示例

以下用法对委派权限和应用程序权限均有效：

Policy.Read.All读取你所在组织的策略 (GET /policies)
Policy.Read.All读取你所在组织的信任框架策略 (GET /beta/trustFramework/policies)
Policy.Read.All读取你所在组织的功能推出策略 (GET /beta/directory/featureRolloutPolicies)
Policy.ReadWrite.AccessReview：读取和写入组织的访问评审策略 (PATCH /beta/policies/accessReviewPolicy)
Policy.ReadWrite.ApplicationConfiguration：读取和写入组织的应用程序配置策略 (POST /beta/policies/tokenLifetimePolicies)
Policy.ReadWrite.AuthenticationFlows：读取和写入你组织的身份验证流策略 (PATCH /beta/policies/authenticationFlowsPolicy)
Policy.ReadWrite.AuthenticationMethod: 使用此权限管理身份验证方法策略的设置，包括启用和禁用身份验证方法、允许用户和组使用这些方法，以及配置与用户可在租户中注册和使用的身份验证方法相关的其他设置。
Policy.ReadWrite.ConditionalAccess：读取和写入你组织的条件访问策略 (POST /beta/identity/conditionalAccess/policies)
Policy.ReadWrite.CrossTenantAccess：读取和写入组织的跨租户访问策略（PATCH /beta/policies/crossTenantAccessPolicy）
Policy.ReadWrite.FeatureRollout：读取和写入你组织的功能推出策略 (POST /beta/directory/featureRolloutPolicies)
Policy.ReadWrite.SecurityDefaults：读取和写入组织的安全默认值策略 (PATCH /beta/policies/identitySecurityDefaultsEnforcementPolicy)
Policy.ReadWrite.TrustFramework：读取和写入你组织的信任框架策略 (POST /beta/trustFramework/policies)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

状态权限

委派权限

权限	显示字符串	说明	需经过管理员同意
Presence.Read	读取用户的状态信息	允许应用代表已登录的用户读取状态信息。状态信息包括活动、可用性、状态备注、日历外出邮件、时区和位置。	否
Presence.Read.All	读取组织中所有用户的状态信息	允许应用代表已登录的用户读取目录中所有用户的状态信息。状态信息包括活动、可用性、状态备注、日历外出邮件、时区和位置。	否
Presence.ReadWrite	读取和写入用户的状态信息	允许应用代表已登录用户读取状态信息以及写入活动和可用性。状态信息包括活动、可用性、状态备注、日历外出邮件、时区和位置。	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Presence.ReadWrite.All	读取和写入所有用户的状态信息	允许应用在没有登录用户的情况下读取目录中所有用户的所有状态信息以及写入活动和可用性。状态信息包括活动、可用性、状态备注、日历外出邮件、时区和位置。	是

用法示例

Presence.Read：如果你已登录，则检索你自己的状态信息 (GET /me/presence)
Presence.Read.All：检索其他用户的状态信息 (GET /users/{id}/presence)
Presence.Read.All：检索多个用户的状态信息 (POST /communications/getPresencesByUserId)
Presence.ReadWrite：
- 如果已登录，请设置状态会话的状态（POST /me/presence/setPresence）
- 如果已登录，请设置自己的首选状态（POST /me/presence/setUserPreferredPresence）
Presence.ReadWrite.All：
- 将用户的状态会话的状态设置为应用程序（POST /users/{id}/presence/setPresence）
- 将用户的首选状态设置为应用程序（POST /users/{id}/presence/setUserPreferredPresence）

程序和程序控制权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ProgramControl.Read.All	读取所有程序	允许应用代表已登录的用户读取程序。	是	否
ProgramControl.ReadWrite.All	管理所有程序	允许应用代表已登录的用户读取和写入程序。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ProgramControl.Read.All	读取所有程序	允许应用在没有登录的用户的情况下读取程序。	是
ProgramControl.ReadWrite.All	管理所有程序	允许应用在没有登录的用户的情况下读取和写入程序。	是

说明

ProgramControl.Read.All 和 ProgramControl.ReadWrite.All 仅对工作或学校帐户有效。

对于通过委派权限读取程序和程序控件的应用，登录的用户必须是以下管理员角色之一的成员：全局管理员、安全管理员、安全读取者或用户管理员。对于通过委派权限写入程序和程序控件的应用，登录的用户必须是以下管理员角色之一的成员：全局管理员、安全管理员、安全读取者或用户管理员。若要详细了解管理员角色，请参阅在 Azure Active Directory 中分配管理员角色。

记录管理权限

委派权限

权限	显示字符串	说明	需经过管理员同意
RecordsManagement.Read.All	读取记录管理配置、标签和策略	允许应用程序代表登录用户从记录管理读取任何数据，例如配置、标签和策略。	是
RecordsManagement.ReadWrite.All	读取和写入记录管理配置、标签和策略	允许应用程序代表登录用户创建、更新和删除记录管理中的任何数据，例如配置、标签和策略。	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
RecordsManagement.Read.All	读取记录管理配置、标签和策略	允许应用程序在没有登录用户的情况下从记录管理读取任何数据，例如配置、标签和策略。	是
RecordsManagement.ReadWrite.All	读取和写入记录管理配置、标签和策略	允许应用程序在没有登录用户的情况下创建、更新和删除记录管理中的任何数据，例如配置、标签和策略。	是

用法示例

Delegated

RecordsManagement.Read.All：从 Microsoft Purview Records mangement 中获取可供用户使用的标签列表（GET /security/labels/retentionLabels）
RecordsManagement.ReadWrite.All：在 Microsoft Purview Records 管理中创建标签（POST /security/labels/retentionLabels/）

有关涉及多个权限的更复杂的情况，请参阅权限方案。

报告权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Reports.Read.All	读取所有使用情况报告	允许应用代表已登录用户读取所有服务使用情况报告。提供使用情况报告的服务包括 Microsoft 365 和 Azure Active Directory。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Reports.Read.All	读取所有使用情况报告	允许应用在没有登录用户的情况下读取所有服务使用情况报告。提供使用情况报告的服务包括 Microsoft 365 和 Azure Active Directory。	是

注解

这些报告权限仅对工作或学校帐户有效。
若要获得委派权限以允许应用代表用户读取服务使用情况报告，租户管理员必须事先为用户分配 Azure AD 受限管理员角色。有关更多详细信息，请参阅授权 API 读取 Microsoft 365 使用情况报告。

用法示例

应用程序

Reports.Read.All：读取电子邮件应用程序在 7 天内的使用情况详情报告 (GET /reports/EmailAppUsage(view='Detail',period='D7')/content)。
Reports.Read.All：读取电子邮件在日期“2017-01-01”的的活动详情报告 (GET /reports/EmailActivity(view='Detail',data='2017-01-01')/content)。
Reports.Read.All：读取 Microsoft 365 激活详情报告 (GET /reports/Office365Activations(view='Detail')/content)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

角色管理权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
RoleAssignmentSchedule.Read.Directory	读取公司目录中所有活动的角色分配。	允许应用代表已登录用户读取公司目录的活动基于角色的访问控制 (RBAC) 分配。这包括读取目录角色模板和目录角色。	是	否
RoleEligibilitySchedule.Read.Directory	读取公司目录中所有符合条件的角色分配。	允许应用代表已登录用户读取公司目录的合格基于角色的访问控制 (RBAC) 分配。这包括读取目录角色模板和目录角色。	是	否
RoleManagement.Read.All	读取所有 RBAC 提供程序的角色管理数据。	允许应用代表登录用户读取所有受支持的 RBAC 提供程序基于角色的访问控制 (RBAC) 设置。这包括读取角色定义和角色分配。	是	否
RoleManagement.Read.Directory	读取 Azure AD 的角色管理数据。	允许应用代表已登录的用户读取公司目录的基于角色的访问控制 (RBAC) 设置。这包括读取目录角色模板、目录角色和成员身份。	是	否
RoleManagementAlert.Read.Directory	读取公司目录的所有警报数据。	允许应用代表已登录用户读取公司目录 (RBAC) 警报的基于角色的访问控制。这包括读取警报状态、警报定义、警报配置和导致警报的事件。	是	否
RoleManagementPolicy.Read.Directory	读取公司目录中所有特权角色分配的策略。	允许应用代表已登录的用户读取公司目录中具有特权的基于角色的访问控制 (RBAC) 分配策略。	是	否
RoleManagementPolicy.Read.AzureADGroup	读取组的 PIM 中的所有策略。	允许应用代表已登录用户读取组Privileged Identity Management中的策略。	是	否
RoleManagement.Read.Exchange	读取Exchange Online RBAC 配置	允许应用代表已登录用户读取组织的Exchange Online服务的基于角色的访问控制 (RBAC) 设置。这包括读取 Exchange 管理角色定义、角色组、角色组成员身份、角色分配、管理范围和角色分配策略。	是	否
RoleAssignmentSchedule.ReadWrite.Directory	读取、更新和删除公司目录中所有活动的角色分配。	允许应用代表已登录用户读取和管理公司目录 (RBAC) 分配的活动基于角色的访问控制。这包括管理 Active Directory 角色成员身份，以及读取目录角色模板、目录角色和活动成员身份。	是	否
RoleEligibilitySchedule.ReadWrite.Directory	读取、更新和删除公司目录的所有合格角色分配。	允许应用代表已登录用户读取和管理公司目录的合格基于角色的访问控制 (RBAC) 分配。这包括管理符合条件的目录角色成员身份，以及读取目录角色模板、目录角色和符合条件的成员身份。	是	否
RoleManagement.ReadWrite.Directory	读取和写入 Azure AD 的角色管理数据。	允许应用代表已登录的用户读取和管理公司目录的基于角色的访问控制 (RBAC) 设置。这包括实例化目录角色和管理目录角色成员身份，以及读取目录角色模板、目录角色和成员身份。	是	否
RoleManagementAlert.ReadWrite.Directory	读取所有警报数据、配置警报，并针对公司目录的所有警报执行操作。	允许应用代表你读取和管理公司目录 (RBAC) 警报的基于角色的访问控制。这包括管理警报设置、启动警报扫描、减少警报、修正警报事件，以及读取导致警报的警报状态、警报定义、警报配置和事件。	是	否
RoleManagementPolicy.ReadWrite.Directory	读取、更新和删除公司目录中所有特权角色分配的策略。	允许应用代表已登录的用户读取和管理公司目录的基于角色的访问控制 (RBAC) 分配。	是	否
RoleManagementPolicy.ReadWrite.AzureADGroup	读取、更新和删除 PIM 中组的所有策略。	允许应用代表已登录用户读取、更新和删除组Privileged Identity Management中的策略。	是	否
RoleManagement.ReadWrite.Exchange	读取和写入Exchange Online RBAC 配置	允许应用代表登录用户读取和管理组织的Exchange Online服务的基于角色的访问控制 (RBAC) 设置。这包括读取、创建、更新和删除 Exchange 管理角色定义、角色组、角色组成员身份、角色分配、管理范围和角色分配策略。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
RoleAssignmentSchedule.Read.Directory	读取公司目录的所有活动角色分配和角色计划。	允许应用在没有登录用户的情况下读取公司目录的活动基于角色的访问控制 (RBAC) 分配和计划。这包括读取目录角色模板和目录角色。	是
RoleEligibilitySchedule.Read.Directory	读取公司目录的所有符合条件的角色分配和角色计划。	允许应用在没有登录用户的情况下读取符合条件的基于角色的访问控制 (RBAC) 公司目录的分配和计划。这包括读取目录角色模板和目录角色。	是
RoleManagement.Read.All	读取所有 RBAC 提供程序的角色管理数据。	允许应用在没有登录用户的情况下读取所有受支持的 RBAC 提供程序基于角色的访问控制 (RBAC) 设置。这包括读取角色定义和角色分配。	是
RoleManagement.Read.Directory	读取 Azure AD 的角色管理数据。	允许应用在没有已登录用户的情况下读取公司目录的基于角色的访问控制 (RBAC) 设置。这包括读取目录角色模板、目录角色和成员身份。	是
RoleAssignmentSchedule.ReadWrite.Directory	读取、更新和删除公司目录的特权角色分配的所有策略。	允许应用在没有登录用户的情况下读取、更新和删除基于角色的特权访问控制 (RBAC) 分配公司目录的策略。	是
RoleEligibilitySchedule.ReadWrite.Directory	读取、更新和删除公司目录的所有符合条件的角色分配和计划。	允许应用在没有登录用户的情况下读取和管理符合条件的基于角色的访问控制 (RBAC) 公司目录的分配和计划。这包括管理符合条件的目录角色成员身份，以及读取目录角色模板、目录角色和符合条件的成员身份。	是
RoleManagement.ReadWrite.Directory	读取和写入 Azure AD 的角色管理数据。	允许应用在没有已登录用户的情况下读取并管理公司目录的基于角色的访问控制 (RBAC) 设置。这包括实例化目录角色和管理目录角色成员身份，以及读取目录角色模板、目录角色和成员身份。	是
RoleManagementAlert.Read.Directory	读取公司目录的所有警报数据。	允许应用在没有登录用户的情况下读取公司目录的所有基于角色的访问控制 (RBAC) 警报。这包括读取警报状态、警报定义、警报配置和导致警报的事件。	是
RoleManagementPolicy.Read.Directory	读取公司目录的特权角色分配的所有策略。	允许应用在没有登录用户的情况下读取基于角色的特权访问控制策略， (RBAC) 公司目录的分配。	是
RoleManagementPolicy.Read.AzureADGroup	读取组的 PIM 中的所有策略。	允许应用在没有登录用户的情况下读取组Privileged Identity Management中的策略。	是
RoleManagementPolicy.ReadWrite.Directory	读取、更新和删除公司目录的特权角色分配的所有策略。	允许应用在没有登录用户的情况下读取、更新和删除基于角色的特权访问控制 (RBAC) 分配公司目录的策略。	是
RoleManagementPolicy.ReadWrite.AzureADGroup	读取、更新和删除 PIM 中组的所有策略。	允许应用在没有登录用户的情况下读取、更新和删除组Privileged Identity Management中的策略。	是
RoleManagementAlert.ReadWrite.Directory	读取所有警报数据、配置警报，并针对公司目录的所有警报执行操作。	允许应用在没有登录用户的情况下读取和管理公司目录的所有基于角色的访问控制 (RBAC) 警报。这包括管理警报设置、启动警报扫描、减少警报、修正警报事件，以及读取导致警报的警报状态、警报定义、警报配置和事件。	是

备注

警告

允许授予授权的权限（如 RoleManagement.ReadWrite.Directory）允许应用程序向自身、其他应用程序或任何用户授予其他权限。授予此类权限时要谨慎。

使用 RoleManagement.Read.Directory 权限，应用程序可以读取 directoryRoles 和 directoryRoleTemplates。这包括读取目录角色的成员身份信息。

使用 RoleManagement.ReadWrite.Directory 权限，应用程序可以读取和写入 directoryRoles（directoryRoleTemplates 是只读资源）。这包括向目录角色添加成员和从目录角色中删除成员。

角色管理权限仅对工作或学校帐户有效。

用法示例

RoleManagement.Read.Directory：读取可用角色模板列表 (GET /directoryRoleTemplates)
RoleManagement.Read.Directory：读取你的目录中已激活角色的列表 (GET /directoryRoles)
RoleManagement.Read.Directory：读取某一角色的成员列表 (GET /directoryRoles/<id>/members)
RoleManagement.Read.Directory：读取某一角色的管理单元范围的成员列表 (GET /directoryRoles/<id>/scopedMembers)
RoleManagement.ReadWrite.Directory：从角色模板激活目录角色 (POST /directoryRoles)
RoleManagement.ReadWrite.Directory：将成员添加到目录角色 (POST /directoryRoles/<id>/members)
RoleManagement.ReadWrite.Directory：将管理单元范围的成员添加到目录角色 (POST /directoryRoles/<id>/scopedMembers)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

计划管理权限

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Schedule.ReadWrite.All（个人预览版）	读写班次服务 (Teams) 数据	允许应用在用户未登录的情况下读写班次应用程序中的计划、计划组、班次和关联的实体。	是	否
Schedule.Read.All（个人预览版）	读取班次服务 (Teams) 数据	允许应用在用户未登录的情况下读取班次应用程序中的计划、计划组、班次和关联的实体。	是	否

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Schedule.ReadWrite.All	读写班次服务 (Teams) 数据	允许应用代表登录用户读取和写入班次应用中的日程安排、日程分组、班次和相关实体。	否	否
Schedule.Read.All	读取班次服务 (Teams) 数据	允许应用代表登录用户读取班次应用中的日程安排、日程分组、班次和相关实体。	否	否
WorkforceIntegration.ReadWrite.All（个人预览版）	对员工集成执行读取和写入操作	允许应用代表登录用户管理员工集成，将来自 Microsoft Teams Shifts 的数据与集成系统同步。	是	否
WorkforceIntegration.Read.All（个人预览版）	对员工集成执行读取和写入操作	允许应用代表登录用户管理员工集成，将来自 Microsoft Teams Shifts 的数据与集成系统同步。	是	否

搜索权限

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ExternalConnection.Read.All	读取所有外部连接	允许应用在没有登录用户的情况下读取所有外部连接。	可访问	否
ExternalConnection.ReadWrite.All	读取和写入所有外部连接	允许应用在没有登录用户的情况下读取和写入所有外部连接。	可访问	否
ExternalConnection.ReadWrite.OwnedBy	读取和写入外部连接和连接设置	允许应用在没有已登录用户的情况下读取和写入外部连接及其设置。应用只能读取和写入其授权的外部连接，也可以创建新的外部连接。	是	否
ExternalItem.Read.All	读取所有外部项	允许应用在没有登录用户的情况下读取所有外部项。	可访问	否
ExternalItem.ReadWrite.All	读取和写入所有外部项目	允许应用在没有已登录用户的情况下读取和写入所有外部项目。	是	否
ExternalItem.ReadWrite.OwnedBy	读取和写入外部项目	允许应用在没有已登录用户的情况下读取和写入外部项目。应用只能读取获得授权的连接的外部项目。	是	否

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Acronym.Read.All	读取所有首字母缩略词	允许应用代表已登录用户读取所有首字母缩略词。	否	否
Bookmark.Read.All	读取所有书签	允许应用代表已登录用户读取所有书签。	否	否
QnA.Read.All	读取所有 qnas	允许应用代表已登录用户读取所有问答集。	否	否
ExternalConnection.Read.All	读取所有外部连接	允许应用代表已登录用户读取所有外部连接。	是	否
ExternalConnection.ReadWrite.All	读取和写入所有外部连接	允许应用代表已登录用户读取和写入所有外部连接。	可访问	否
ExternalConnection.ReadWrite.OwnedBy	读取和写入外部连接	允许应用代表已登录用户读取和写入外部连接。应用只能读取和写入其授权的外部连接，也可以创建新的外部连接。	是	否
ExternalItem.Read.All	读取外部数据	允许应用代表登录用户读取外部数据集和内容。	可访问	否
ExternalItem.ReadWrite.All	读取和写入所有外部项目	允许应用代表已登录用户读取并写入所有外部项目。	可访问	否
ExternalItem.ReadWrite.OwnedBy	读取和写入外部项目	允许应用代表已登录用户读取和写入外部项目。应用只能读取获得授权的连接的外部项目。	是	否

注解

搜索权限仅对工作或学校帐户有效。

此搜索权限仅适用于通过索引 API 引入的数据。

通过搜索访问数据需要对项目具有读取权限。示例：Files.Read.All 用于通过搜索访问文件。

用法示例

Delegated

ExternalItem.Read.All ：从搜索 API 访问外部数据 (POST /search/query) 。

搜索配置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
SearchConfiguration.Read.All	读取组织的搜索配置。	允许应用代表已登录用户读取搜索配置。	是	否
SearchConfiguration.ReadWrite.All	读取和写入组织的搜索配置。	允许应用代表已登录用户读取和写入搜索配置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
SearchConfiguration.Read.All	读取组织的搜索配置。	允许应用在没有登录用户的情况下读取搜索配置。	是
SearchConfiguration.ReadWrite.All	读取和写入组织的搜索配置。	允许应用在没有登录用户的情况下读取和写入搜索配置。	是

说明

搜索配置权限仅对工作或学校帐户有效。

用法示例

委派和应用程序

SearchConfiguration.Read.All：读取为租户创建的所有书签的列表（GET /beta/search/bookmarks）
SearchConfiguration.ReadWrite.All：更新或读取为租户 (PATCH /beta/search/bookmarks/{id}) 创建的所有书签

安全权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
AttackSimulation.Read.All	读取组织的攻击模拟数据	允许应用为已登录用户读取组织的攻击模拟和训练数据。	是	否
AttackSimulation.ReadWrite.All	读取、创建和更新组织的攻击模拟数据	允许应用为已登录用户读取、创建和更新组织的攻击模拟和训练数据。	是	否
SecurityActions.Read.All	读取组织的安全措施	允许应用代表已登录用户读取组织的安全操作。	是	否
SecurityActions.ReadWrite.All	读取和更新组织的安全措施	允许应用代表已登录用户读取或更新组织的安全操作。	是	否
SecurityAlert.Read.All	读取警报	允许应用代表已登录用户读取警报。	是	否
SecurityAlert.ReadWrite.All	读取和写入警报	允许应用代表已登录用户读取和写入警报。	是	否
SecurityEvents.Read.All	读取组织的安全事件	允许应用代表已登录用户读取组织的安全事件。	是	否
SecurityEvents.ReadWrite.All	读取和更新组织的安全事件	允许应用代表已登录用户读取组织的安全事件。还允许应用代表已登录用户更新安全事件中的可编辑属性。	是	否
SecurityIncident.Read.All	读取事件	允许应用代表已登录的用户读取事件。	是	否
SecurityIncident.ReadWrite.All	读取和写入事件	允许应用代表已登录的用户读取和写入事件。	是	否
ThreatIndicators.ReadWrite.OwnedBy	管理此应用创建或拥有的威胁指标	允许应用代表已登录的用户创建威胁指标和完全管理这些威胁指标（阅读、更新和删除）。	是	否
ThreatIndicators.Read.All	读取组织的威胁指示器	允许应用代表已登录的用户读取组织的所有威胁指示器。	是	否
ThreatIndicators.ReadWrite.OwnedBy	管理此应用创建或拥有的威胁指标	允许应用代表已登录的用户创建威胁指标和完全管理这些威胁指标（阅读、更新和删除）。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
AttackSimulation.Read.All	读取组织的攻击模拟数据	允许应用在没有登录用户的情况下读取组织的攻击模拟和训练数据。	是
AttackSimulation.ReadWrite.All	读取、创建和更新组织的所有攻击模拟数据	允许应用在没有登录用户的情况下读取、创建和更新组织的攻击模拟和训练数据。	是
SecurityActions.Read.All	读取和写入组织的安全事件	允许应用在没有登录用户的情况下创建其他应用程序，并完全管理这些应用程序， (读取、更新、更新应用程序机密和删除) 。	是
SecurityActions.ReadWrite.All	创建和读取组织的安全措施	允许应用读取或创建安全措施，无需已登录用户。	是
SecurityAlert.Read.All	读取所有警报	允许应用在没有登录用户的情况下读取所有警报。	是
SecurityAlert.ReadWrite.All	读取和写入所有警报	允许应用在没有登录用户的情况下读取和写入所有警报。	是
SecurityEvents.Read.All	读取组织的安全事件	允许应用读取组织的安全事件。	是
SecurityEvents.ReadWrite.All	读取和更新组织的安全事件	允许应用读取组织的安全事件。还允许应用更新安全事件中的可编辑属性。	是
SecurityIncident.Read.All	读取所有事件	允许应用在没有已登录用户的情况下读取所有事件。	是
SecurityIncident.ReadWrite.All	读取和写入所有事件	允许应用在没有已登录用户的情况下读取和写入所有事件。	是
ThreatIndicators.ReadWrite.OwnedBy	管理此应用创建或拥有的威胁指标	允许应用创建威胁指标，并完全管理这些威胁指标（阅读、更新和删除），无需已登录用户。它无法删除其不拥有的任何威胁指标。	是
ThreatIndicators.Read.All	管理此应用创建或拥有的威胁指标	允许应用在没有登录用户的情况下读取组织的所有威胁指示器。	是
ThreatIndicators.ReadWrite.OwnedBy	管理此应用创建或拥有的威胁指标	允许应用创建威胁指标，并完全管理这些威胁指标（阅读、更新和删除），无需已登录用户。它无法删除其不拥有的任何威胁指标。	是

说明

安全权限仅对工作或学校帐户有效。

用法示例

Delegated

SecurityAlert.Read.All：读取组织中允许用户读取 (GET /security/alerts_v2) 的所有警报。
SecurityAlert.ReadWrite.All：读取和写入组织中允许用户读取和写入 () GET /security/alerts_v2 的所有警报。
SecurityEvents.Read.All：从组织 (GET /beta/security/alerts) 提供的所有许可安全提供程序读取所有安全警报的列表。
SecurityEvents.ReadWrite.All：更新或读取组织中可用的所有许可安全提供程序的安全警报， (PATCH /beta/security/alerts/{id}) 。

应用程序

SecurityAlert.Read.All：读取组织中的所有警报 (GET /security/alerts_v2) 。
SecurityAlert.ReadWrite.All：读取和写入组织中的所有警报 (GET /security/alerts) 。
SecurityEvents.Read.All：从组织 (GET /beta/security/alerts) 提供的所有许可安全提供程序读取所有安全警报的列表。
SecurityEvents.ReadWrite.All：更新或读取组织中可用的所有许可安全提供程序的安全警报， (PATCH /beta/security/alerts/{id}) 。

服务通信权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ServiceHealth.Read.All	读取服务运行状况	允许此应用代表登录用户读取租户的服务运行状况信息。服务运行状况信息可能包括服务问题或服务运行状况概述。	是	是
ServiceMessage.Read.All	读取服务消息	允许此应用代表已登录的用户读取租户的服务公告消息。消息可能包含有关新增或已更改功能的信息。	是	是
ServiceMessageViewpoint.Write	在服务公告中更新用户状态	允许应用代表登录的用户更新服务公告消息的用户状态。消息状态可以标记为已读、存档或收藏。	是	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ServiceHealth.Read.All	读取服务运行状况	允许此应用在没有已登录用户的情况下读取租户的服务运行状况信息。服务运行状况信息可能包括服务问题或服务运行状况概述。	是
ServiceMessage.Read.All	读取服务消息	允许此应用在没有已登录用户的情况下读取租户的服务公告消息。消息可能包含有关新增或已更改功能的信息。	是

简短笔记权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ShortNotes.Read	阅读已登录用户的简短注释	允许应用读取登录用户有权访问的所有简短注释。	否	是
ShortNotes.ReadWrite	阅读、创建、编辑和删除已登录用户的简短注释	允许应用阅读、创建、编辑和删除已登录用户的简短注释。	否	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ShortNotes.Read.All	阅读所有用户的简短注释	允许应用在没有已登录用户的情况下读取所有简短注释。	是
ShortNotes.ReadWrite.All	阅读、创建、编辑和删除所有用户的简短注释	允许应用阅读、创建、编辑和删除已登录用户的所有简短注释。	是

站点权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Sites.Read.All	读取所有网站集中的项目	允许应用代表登录用户读取文档，并列出所有网站集中的项目。	否	否
Sites.ReadWrite.All	读取和写入所有网站集中的项目	允许应用代表登录用户编辑或删除所有网站集中的文档和列表项。	否	否
Sites.Manage.All	创建、编辑和删除所有网站集中的项目和列表	允许应用代表登录用户管理和创建所有网站集中的列表、文档和列表项。	否	否
Sites.FullControl.All	完全控制所有网站集	允许应用代表登录用户具有对所有网站集中的 SharePoint 网站的完全控制权限。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Sites.Read.All	读取所有网站集中的项目	允许应用在没有登录用户的情况下读取所有网站集中的文档和列表项。	是
Sites.ReadWrite.All	读取和写入所有网站集中的项目	允许应用在没有登录用户的情况下创建、读取、更新和删除所有网站集中的文档和列表项。	是
Sites.Manage.All	创建、编辑和删除所有网站集中的项目和列表	允许应用在没有登录用户的情况下管理和创建所有网站集中的列表、文档和列表项。	是
Sites.FullControl.All	完全控制所有网站集	允许应用在没有登录用户的情况下具有对所有网站集中的 SharePoint 网站的完全控制权限。	是
Sites.Selected	访问已选中的网站集	允许应用程序在不登录用户的情况下访问网站集的子集。将在 SharePoint Online 中配置特定网站集和已授予的权限。	是

注解

站点权限仅对工作或学校帐户有效。 Sites.Selected应用程序权限仅在 Microsoft Graph API 中可用。

用法示例

委派

Sites.Read.All：读取 SharePoint 根网站上的列表 (GET /v1.0/sites/root/lists)
Sites.ReadWrite.All：在 SharePoint 列表中新建列表项 (POST /v1.0/sites/root/lists/123/items)
Sites.Manage.All：将新列表添加到 SharePoint 网站 (POST /v1.0/sites/root/lists)
Sites.FullControl.All：对 SharePoint 网站和列表的完全访问权限。

同步权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Synchronization.Read.All	读取所有 Azure AD 同步数据	允许应用代表已登录用户读取 Azure AD 同步信息。	是	否
Synchronization.ReadWrite.All	读取和写入所有 Azure AD 同步数据	允许应用代表已登录用户配置 Azure AD 同步服务。	是	否
SynchronizationData-User.Upload	允许应用代表已登录用户将批量用户数据上传到标识同步服务。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Synchronization.Read.All	读取所有 Azure AD 同步数据	允许应用程序在没有登录用户的情况下读取 Azure AD 同步信息。	是
Synchronization.ReadWrite.All	读取和写入所有 Azure AD 同步数据	允许应用程序在没有登录用户的情况下配置 Azure AD 同步服务。	是
SynchronizationData-User.Upload	将用户数据上传到标识同步服务	允许应用程序在没有登录用户的情况下将批量用户数据上传到标识同步服务。	是

用法示例

Delegated

Synchronization.Read.All：获取用户可用的主题权限请求列表， (GET /servicePrincipals/{id}/synchronization/jobs/{jobId}/schema) 。
Synchronization.ReadWrite.All： () PUT /servicePrincipals/{id}/synchronization/jobs/{jobId}/schema 创建使用者权限请求。

应用程序

Synchronization.Read.All：获取用户可用的主题权限请求列表， (GET /servicePrincipals/{id}/synchronization/jobs/{jobId}/) 。
Synchronization.ReadWrite.All： () POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/starta 创建使用者权限请求。

主体权利请求权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
SubjectRightsRequest.Read.All	读取主体权利请求	允许应用代表已登录用户读取主体权利请求。	是	否
SubjectRightsRequest.ReadWrite.All	读取和写入主体权利请求	允许应用代表已登录用户读取和写入主体权利请求。	是	否

应用程序权限

无。

用法示例

Delegated

SubjectRightsRequest.Read.All_：获取可供用户 (GET /privacy/subjectrightsrequests) 使用的主体权利请求列表。
SubjectRightsRequest.ReadWrite.All：创建主体权利请求 (POST /privacy/subjectrightsrequests)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

任务权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Tasks.Read	读取用户的任务和任务列表	允许应用读取已登录用户的任务和任务列表，包括与用户共享的任何任务。不包括创建、删除或更新任何内容的权限。	否	是
Tasks.Read.Shared	读取用户任务和共享任务（预览版）	允许应用读取用户有权访问的任务，包括用户个人任务和共享任务。	否	否
Tasks.ReadWrite	创建、读取、更新和删除用户的任务和任务列表	允许该应用创建、读取、更新和删除已登录用户的任务和任务列表，包括与用户共享的任何内容。	否	是
Tasks.ReadWrite.Shared	读取和写入用户任务和共享任务（预览版）	允许应用创建、读取、更新和删除用户有权访问的任务，包括用户个人任务和共享任务。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Tasks.Read.All	读取所有用户的任务和任务列表	允许应用在没有登录用户的情况下读取组织中所有用户的任务和任务列表。	是
Tasks.ReadWrite.All	读取和写入所有用户的任务和任务列表	允许应用在没有登录用户的情况下创建、读取、更新和删除组织中所有用户的任务和任务列表	是

备注

任务权限用于控制已弃用) (“要完成”任务、Planner 任务和 Outlook 任务的访问权限。

共享权限目前仅支持工作或学校帐户。即使具有共享权限，如果拥有共享内容的用户未授予访问用户修改文件夹中内容的权限，读取和写入也可能失败。

用法示例

Delegated

Tasks.Read：获取分配给当前用户的所有 Planner 任务 (GET /me/planner/tasks) 。
Tasks.Read.Shared：在文件夹中访问组织中其他用户与你共享的任务 (Get /users{id|userPrincipalName}/outlook/taskfolders/{id}/tasks)。
Tasks.ReadWrite： () POST /planner/tasks 创建 Planner 任务。
Tasks.ReadWrite.Shared：代表其他用户完成任务 (POST /users/{id | userPrincipalName}/outlook/tasks/id/complete)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

应用程序

Tasks.Read.All：获取组中的所有 Planner 计划 (GET /groups/{id}/planner/plans)
Tasks.ReadWrite.All：删除 Planner 任务 (Delete /planner/tasks/{id})

分类权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TermStore.Read.All	读取术语库数据	允许应用读取术语库中的各种术语、集和组	是	否
TermStore.ReadWrite.All	读取和写入所有术语库数据	允许应用在术语库中编辑或删除术语、集和组	是	否

注解

分类权限仅对工作或学校帐户有效。

用法示例

Delegated

TermStore.Read.All：读取租户的 termStore（GET /termStore）
TermStore.ReadWrite.All：在 termStore 中创建新术语（POST /termStore/sets/123/children）

Teams 权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Team.ReadBasic.All	读取团队的名称和说明	代表已登录用户读取团队的名称和说明。	否	否
Team.Create	创建团队	代表已登录用户创建团队。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Team.ReadBasic.All	获取所有团队列表	在没有用户登录的情况下获取所有团队列表。	是	否
Team.Create	创建团队	在没有用户登录的情况下创建团队。	是	否
团队合作。迁移。所有	管理迁移到 Microsoft Teams	创建和管理用于迁移到 Microsoft Teams 的资源	是	是

团队模板权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamTemplates.Read	TeamTemplates.Read 是“登录并读取此用户可用的 Teams 模板”	允许用户读取可用的 Teams 模板	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamTemplates.Read.All	阅读所有可用的 Teams 模板	允许在没有签名用户的情况下读取可用的 Teams 模板	否	否

团队设置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamSettings.Read.All	读取团队设置	代表已登录用户读取此团队的设置。	是	否
TeamSettings.ReadWrite.All	读取和更改团队的设置	代表已登录用户读取和更改所有团队的设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamSettings.Read.All	读取所有团队设置	在没有登录用户的情况下读取此团队的设置。	是	否
TeamSettings.ReadWrite.All	读取和更改所有团队的设置。	在没有登录用户的情况下读取和更改所有团队的设置。	是	否

Teams 活动权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsActivity.Read	读取用户的团队合作活动源	允许应用读取登录用户的团队合作活动源。	否	否
TeamsActivity.Send	以用户身份发送团队合作活动	允许应用在用户的团队合作活动源中代表已登录的用户创建新的通知。这些通知不可发现、需要遵从或受合规性策略控制。	否	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsActivity.Read.All	读取所有用户的团队合作活动源	允许应用在没有登录用户的情况下读取所有用户的团队合作活动源。	是	否
TeamsActivity.Send	向任何用户发送团队合作活动。	允许应用在未登录用户的情况下，在用户的团队合作活动源中创建新通知。这些通知不可发现、需要遵从或受合规性策略控制。	是	否

Teams 应用权限（不推荐使用）

注意

这些权限已弃用。使用等效的 TeamsAppInstallation.*。改为所有权限。

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsApp.Read.All (Deprecated)	读取所有安装的 Teams 应用	允许应用读取为已登录用户安装的 Teams 应用以及该用户所属的所有团队中的相关应用。不允许读取特定于应用程序的设置。	是	否
TeamsApp.ReadWrite.All (Deprecated)	管理所有 Teams 应用	允许应用代表已登录的用户以及该用户所属团队来阅读、安装、升级和卸载 Teams 应用。不允许读取或写入特定于应用程序的设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsApp.Read.All (Deprecated)	读取所有用户已安装的 Teams 应用	允许应用读取为任何用户（无需是登录的用户）安装的 Teams 应用。不允许读取特定于应用程序的设置。	是	否
TeamsApp.ReadWrite.All (Deprecated)	管理所有用户的 Teams 应用	允许应用为任何用户（无需是登录的用户）读取、安装、升级和卸载 Teams 应用。不允许读取或写入特定于应用程序的设置。	是	否

Teams 应用安装权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsAppInstallation.ReadForUser	读取用户已安装的 Teams 应用	允许应用读取为已登录用户安装的 Teams 应用。不允许读取特定于应用程序的设置。	否	否
TeamsAppInstallation.ReadWriteForUser	管理用户安装的 Teams 应用	允许应用为已登录用户读取、安装、升级和卸载已安装安装的 Teams 应用。不允许读取特定于应用程序的设置。	是	否
TeamsAppInstallation.ReadWriteSelfForUser	允许应用在 Teams 中管理其自身	允许 Teams 应用为已登录用户可以访问的团队读取、安装、更新和卸载其自身。	否	否
TeamsAppInstallation.ReadForTeam	读取团队中已安装的 Teams 应用	允许应用读取安装在已登录用户可访问的团队中的 Teams 应用。不允许读取特定于应用程序的设置。	是	否
TeamsAppInstallation.ReadWriteForTeam	管理团队中已安装的 Teams 应用	允许应用在已登录用户可以访问的团队中读取、安装、更新和卸载 Teams 应用。不允许读取特定于应用程序的设置。	是	否
TeamsAppInstallation.ReadWriteSelfForTeam	允许应用在 Teams 中管理其自身	允许 Teams 应用为已登录用户可以访问的团队读取、安装、更新和卸载其自身。	是	否
TeamsAppInstallation.ReadWriteAndConsentForChat	在聊天中管理已安装的 Teams 应用	允许 Teams 应用为已登录用户可以访问的团队读取、安装、更新和卸载其自身。	是	否
TeamsAppInstallation.ReadWriteAndConsentForTeam	管理团队中已安装的 Teams 应用	允许 Teams 应用为已登录用户可以访问的团队读取、安装、更新和卸载其自身。	是	否
TeamsAppInstallation.ReadWriteAndConsentSelfForChat	允许 Teams 应用在聊天中管理自身及其权限授予	允许 Teams 应用为已登录用户可以访问的团队读取、安装、更新和卸载其自身。	是	否
TeamsAppInstallation.ReadWriteAndConsentSelfForTeam	允许 Teams 应用在团队中管理自身及其权限授予	允许 Teams 应用为已登录用户可以访问的团队读取、安装、更新和卸载其自身。	是	否
TeamsAppInstallation.ReadWriteAndConsentForUser	管理所有用户帐户中 Teams 应用的安装和权限授予	允许应用代表你读取、安装、升级和卸载帐户的 Teams 应用。提供管理访问数据的权限授予的功能。	是	否
TeamsAppInstallation.ReadWriteAndConsentSelfForUser	允许 Teams 应用在用户帐户中管理自身及其权限授予	允许 Teams 应用在用户帐户中读取、安装、升级和卸载自身，并代表登录用户管理其访问这些特定用户数据的权限授予。	是	否
ResourceSpecificPermissionGrant.ReadForUser	读取对用户帐户授予的资源特定权限	允许应用代表你读取帐户授予的资源特定权限。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
TeamsAppInstallation.ReadForUser.All	读取为所有用户安装的 Teams 应用	允许应用读取为任何用户（无需是登录的用户）安装的 Teams 应用。不允许读取特定于应用程序的设置。	是
TeamsAppInstallation.ReadWriteForUser.All	管理所有用户的 Teams 应用	允许应用为任何用户（无需是登录的用户）读取、安装、升级和卸载 Teams 应用。不允许读取特定于应用程序的设置。	是
TeamsAppInstallation.ReadWriteSelfForUser.All	允许应用为所有用户管理其自身	允许 Teams 应用在没有登录用户的情况下为任何用户读取、安装、更新和卸载其自身。	是
TeamsAppInstallation.ReadForTeam.All	读取为所有团队安装的 Teams 应用	允许应用在没有登录用户的情况下读取安装在任何团队中的 Teams 应用。不允许读取特定于应用程序的设置。	是
TeamsAppInstallation.ReadWriteForTeam.All	管理所有团队的 Teams 应用	允许应用在没有登录用户的情况下读取、安装、更新和卸载任何团队中的 Teams 应用。不允许读取特定于应用程序的设置。	是
TeamsAppInstallation.ReadWriteSelfForTeam.All	允许 Teams 应用为所有团队管理其自身	允许 Teams 应用在没有登陆用户的情况下在任何团队中读取、安装、更新和卸载其自身。	是
TeamsAppInstallation.ReadWriteAndConsentForChat.All	管理所有聊天的 Teams 应用的安装和权限授予	允许应用在没有登录用户的情况下在任何聊天中读取、安装、升级和卸载 Teams 应用。提供管理访问这些特定聊天数据的权限授予的能力。	是
TeamsAppInstallation.ReadWriteAndConsentForTeam.All	管理所有团队的 Teams 应用的安装和权限授予	允许应用在没有登录用户的情况下读取、安装、更新和卸载任何团队中的 Teams 应用。提供管理访问这些特定团队数据的权限授予的能力。	是
TeamsAppInstallation.ReadWriteAndConsentSelfForChat.All	允许 Teams 应用管理自身及其对所有聊天的权限授予	允许 Teams 应用在没有登录用户的情况下读取、安装、升级和卸载任何聊天，并管理其访问这些特定聊天数据的权限授予。	是
TeamsAppInstallation.ReadWriteAndConsentSelfForTeam.All	允许 Teams 应用管理自身及其针对所有团队的权限授予	允许 Teams 应用在没有登录用户的情况下为任何团队读取、安装、升级和卸载自身，并管理其访问这些特定团队数据的权限授予。	是
TeamsAppInstallation.ReadWriteAndConsentForUser.All	管理用户帐户中 Teams 应用的安装和权限授予	允许应用在没有登录用户的情况下在任何用户帐户中读取、安装、升级和卸载 Teams 应用。提供管理访问这些特定用户数据的权限授予的功能。	是
TeamsAppInstallation.ReadWriteAndConsentSelfForUser.All	允许 Teams 应用在所有用户帐户中管理自身及其权限授予	允许 Teams 应用在没有登录用户的情况下读取、安装、升级和卸载任何用户帐户，并管理其访问这些特定用户数据的权限授予。	是
ResourceSpecificPermissionGrant.ReadForUser.All	读取对用户帐户授予的所有特定于资源的权限	允许应用在没有登录用户的情况下读取对用户帐户授予的所有资源特定权限。	是

Teams 应用设置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamworkAppSettings.Read.All	读取 Teams 应用设置	允许应用代表已登录用户读取 Teams 应用设置。	否	否
TeamworkAppSettings.ReadWrite.All	读取和写入 Teams 应用设置	允许应用代表已登录用户读取和写入 Teams 应用设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
TeamworkAppSettings.Read.All	读取 Teams 应用设置	允许应用在没有登录用户的情况下读取 Teams 应用设置。	是
TeamworkAppSettings.ReadWrite.All	读取和写入 Teams 应用设置	允许应用在没有登录用户的情况下读取和写入 Teams 应用设置。	是

Teams 设备管理权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamworkDevice.Read.All	读取 Teams 设备。	允许应用代表已登录用户读取 Teams 设备的管理数据。	是	否
TeamworkDevice.ReadWrite.All	读取和写入 Teams 设备。	允许应用代表已登录用户读取和写入 Teams 设备的管理数据。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamworkDevice.Read.All	读取 Teams 设备。	允许应用在没有登录用户的情况下读取 Teams 设备的管理数据。	是	否
TeamworkDevice.ReadWrite.All	读取和写入 Teams 设备。	允许应用在没有登录用户的情况下读取和写入 Teams 设备的管理数据。	是	否

团队成员权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamMember.Read.All	读取团队的成员。	代表已登录的用户读取团队的成员。	是	否
TeamMember.ReadWrite.All	从团队中添加和删除成员。	代表已登录用户从团队中添加和删除成员。还允许更改成员的角色，例如从所有者到非所有者。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamMember.Read.All	读取所有团队的成员。	在没有用户登录的情况下读取所有团队的成员。	是	否
TeamMember.ReadWrite.All	从所有团队中添加和删除成员。	在没有用户登录的情况下从所有团队中添加和删除成员。还允许更改团队成员的角色，例如从所有者到非所有者。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamSettings.Read.Group	读取此团队设置。	在没有登录用户的情况下读取此团队的设置。	否	否
TeamSettings.ReadWrite.Group	更新此团队的设置。	在没有登录用户的情况下读取和编写此团队的设置。	否	否
ChannelSettings.Read.Group	阅读此团队频道的名称、说明和设置。	在没有登录用户的情况下读取此团队的频道名称、频道说明和频道设置。	否	否
ChannelSettings.ReadWrite.Group	更新此团队频道的名称、说明和设置。	在没有登录用户的情况下更新此团队的频道名称、频道说明和频道设置。	否	否
Channel.Create.Group	在这个团队中创建频道。	在没有登录用户的情况下在此团队中创建频道。	否	否
Channel.Delete.Group	删除此团队的频道。	在没有登录用户的情况下删除此团队的频道。	否	否
ChannelMessage.Read.Group	阅读团队的频道消息。	允许应用在没有登录用户的情况下读取此团队的频道消息。	否	否
TeamsAppInstallation.Read.Group	查看此团队中已安装的应用。	在没有登录用户的情况下查看此团队中安装的应用。	否	否
TeamsTab.Read.Group	读取此团队的选项卡。	在没有登录用户的情况下读取此团队的选项卡。	否	否
TeamsTab.Create.Group	在此团队中创建选项卡。	在没有登录用户的情况下在此团队中创建选项卡。	否	否
TeamsTab.ReadWrite.Group	更新此团队的选项卡。	在没有登录用户的情况下更新此团队的选项卡。	否	否
TeamsTab.Delete.Group	删除此团队的选项卡。	在没有登录用户的情况下删除此团队的选项卡。	否	否
TeamMember.Read.Group	读取此团队的成员。	在没有已登录用户的情况下读取此团队的成员。	否	否
Member.Read.Group	读取此组的成员。	在没有已登录用户的情况下读取此团队的成员。	否	否
Owner.Read.Group	读取此组的所有者。	在没有已登录用户的情况下读取此团队的所有者。	否	否
File.Read.Group	读取此团队的文件和文件夹。	有限支持（预览）在没有登录用户的情况下读取此团队的文件和文件夹。	否	否
TeamsActivity.Send.Group	向此团队中的用户发送活动源通知。	允许应用在没有登录用户的情况下，在此团队中用户的团队合作活动源中创建新通知。	否	否

Teams 设置权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Team.ReadBasic.All	读取团队的名称和说明	代表已登录用户读取团队的名称和说明。	否	否
TeamSettings.Read.All	读取团队设置	代表已登录用户读取所有团队的设置。	是	否
TeamSettings.ReadWrite.All	读取和更改团队的设置。	代表已登录用户读取和更改所有团队的设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Team.ReadBasic.All	获取所有团队列表。	在没有用户登录的情况下获取所有团队列表。	是	否
TeamSettings.Read.All	读取所有团队设置	在没有登录用户的情况下读取此团队的设置。	是	否
TeamSettings.ReadWrite.All	读取和更改所有团队的设置	在没有登录用户的情况下读取和更改所有团队的设置。	是	否

Teams 选项卡权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsTab.Read.All	读取 Microsoft Teams 中的选项卡。	允许应用读取为已登录用户安装的 Teams 应用以及该用户所属的所有团队中的相关应用。不允许读取特定于应用程序的设置。	是	否
TeamsTab.ReadWrite.All	读取和写入 Microsoft Teams 中的选项卡。	允许应用代表已登录的用户以及该用户所属团队来阅读、安装、升级和卸载 Teams 应用。不允许读取或写入特定于应用程序的设置。	是	否
TeamsTab.Create	在Microsoft Teams 中创建选项卡。	允许应用代表已登录的用户在 Microsoft Teams 中的任何团队内创建选项卡。这不会授予在选项卡创建后读取、修改或删除这些选项卡的权限，也不会授予访问选项卡中的内容的权限。	是	否
TeamsTab.ReadWriteSelfForChat	允许 Teams 应用在聊天中仅管理自己的选项卡。	允许 Teams 应用在已登录用户可以访问的聊天中读取、安装、升级和卸载其自己的选项卡。	是	否
TeamsTab.ReadWriteSelfForTeam	允许 Teams 应用仅管理团队中自己的选项卡。	允许 Teams 应用读取、安装、升级和卸载其自己的选项卡，让登录用户可以访问的团队。	是	否
TeamsTab.ReadWriteSelfForUser	允许 Teams 应用仅管理用户自己的选项卡。	允许 Teams 应用为已登录用户读取、安装、升级和卸载其自己的选项卡。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsTab.Read.All	读取 Microsoft Teams 中的选项卡。	在没有登录用户的情况下，读取 Microsoft Teams 中任何团队内的选项卡的名称和设置。这不会授予访问选项卡中的内容的权限。	是	否
TeamsTab.ReadWrite.All	读取和写入 Microsoft Teams 中的选项卡。	在没有登录用户的情况下读取和写入 Microsoft Teams 中任何团队内的选项卡。这不会授予访问选项卡中的内容的权限。	是	否
TeamsTab.Create	在Microsoft Teams 中创建选项卡。	允许用户在没有登录用户的情况下在 Microsoft Teams 中的任何团队内创建选项卡。这不会授予在选项卡创建后读取、修改或删除这些选项卡的权限，也不会授予访问选项卡中的内容的权限。	是	否
TeamsTab.ReadWriteSelfForChat.All	允许 Teams 应用仅管理自己的所有聊天选项卡。	允许 Teams 应用在没有登录用户的情况下读取、安装、升级和卸载任何聊天的自己的选项卡。	是	否
TeamsTab.ReadWriteSelfForTeam.All	允许 Teams 应用仅管理所有团队的自己的选项卡。	允许 Teams 应用在没有登录用户的情况下为任何团队读取、安装、升级和卸载其自己的选项卡。	是	否
TeamsTab.ReadWriteSelfForUser.All	允许 Teams 应用仅为所有用户管理其自己的选项卡。	允许 Teams 应用在没有登录用户的情况下为任何用户读取、安装、升级和卸载其自己的选项卡。	是	否

Teams 标记权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamworkTag.ReadWrite	读取和写入 Microsoft Teams 中的标记。	允许应用代表已登录的用户在 Teams 中读取和写入标签。	是	否
TeamworkTag.Read	读取 Microsoft Teams 中的标记。	允许应用代表已登录的用户在 Teams 中读取标签。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamworkTag.ReadWrite.All	读取和写入 Microsoft Teams 中的标记。	允许应用在没有登录的用户的情况下读取和写入 Teams 中的标记。	是	否
TeamworkTag.Read.All	读取 Microsoft Teams 中的标记。	允许应用在没有登录的用户的情况下读 Teams 中的标记	是	否

租户信息权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
CrossTenantInformation.ReadBasic.All	阅读有关外部租户的基本信息。	允许应用代表已登录用户读取有关外部租户的有限信息。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
CrossTenantInformation.ReadBasic.All	阅读有关外部租户的基本信息。	允许应用在没有登录用户的情况下读取有关外部租户的有限信息。	是

使用条款权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Agreement.Read.All	阅读所有使用条款协议	允许应用代表登录用户阅读使用条款协议。	是	否
Agreement.ReadWrite.All	阅读和编写所有使用协议条款	允许应用代表登录用户阅读和编写使用条款协议。	是	否
AgreementAcceptance.Read	阅读用户使用条款接受状态	允许应用代表登录用户阅读使用条款接受状态。	是	否
AgreementAcceptance.Read.All	阅读用户可以访问的使用条款接受状态	允许应用代表登录用户阅读使用条款接受状态。	是	否

注解

上述所有权限仅对工作或学校帐户有效。

若要使应用能够阅读或编写委派权限的所有协议或协议接受情况，登录用户必须分配有全局管理员、条件访问管理员或安全管理员角色。若要详细了解管理员角色，请参阅在 Azure Active Directory 中分配管理员角色。

示例用法

委派

以下使用对两种委派权限均有效：

Agreement.Read.All：阅读所有使用条款协议 (GET /beta/agreements)
Agreement.ReadWrite.All：阅读和编写所有使用条款协议 (POST /beta/agreements)
AgreementAcceptance.Read：阅读用户使用条款接受状态 (GET /beta/me/agreementAcceptances)

有关涉及多个权限的更复杂的情况，请参阅权限方案。

威胁评估权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ThreatAssessment.ReadWrite.All	读取和写入威胁评估请求	允许应用代表已登录用户读取组织的威胁评估请求。还允许应用创建新请求来代表已登录用户评估组织收到的威胁。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ThreatAssessment.Read.All	读取威胁评估请求	允许应用在无需用户登录的情况下读取组织的威胁评估请求。	是

备注

威胁评估权限仅对工作或学校帐户有效。

用法示例

委派

ThreatAssessment.ReadWrite.All：读取和写入评估请求 (POST /informationProtection/threatAssessmentRequests)

应用程序

ThreatAssessment.Read.All：读取威胁评估请求 (GET /informationProtection/threatAssessmentRequests)

威胁搜寻权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ThreatHunting.Read.All	运行搜寻查询	允许应用代表已登录用户运行搜寻查询。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ThreatHunting.Read.All	运行搜寻查询	允许应用在没有登录用户的情况下运行搜寻查询。	是

备注

威胁搜寻权限仅在工作或学校帐户上有效。

示例用法

Delegated

ThreatHunting.Read.All：代表登录用户 (POST /security/runHuntingQuery) 运行搜寻查询

应用程序

ThreatHunting.Read.All：运行搜寻查询 (POST /security/runHuntingQuery)

威胁情报权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
ThreatIntelligence.Read.All	读取所有威胁情报信息	允许应用代表已登录用户读取威胁情报信息，例如指标、观察结果和文章。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
ThreatIntelligence.Read.All	读取所有威胁情报信息	允许应用在没有登录用户的情况下读取威胁情报信息，例如指示器、观察结果和文章。	是

备注

威胁情报权限仅在工作或学校帐户上有效。

示例用法

Delegated

ThreatIntelligence.Read.All：代表登录用户列出威胁情报文章 (GET /security/threatIntelligence/articles)

应用程序

ThreatIntelligence.Read.All：获取主机信誉信息，无需登录用户 (GET /security/threatIntelligence/hosts/contoso.com/reputation)

Universal Print permissions

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
Printer.Create	注册打印机	允许应用代表已登录的用户创建（注册）打印机。	是	否
Printer.FullControl.All	注册、读取、更新和注销打印机	允许应用代表已登录用户创建（注册）、读取、更新和删除（取消注册）打印机。	是	否
Printer.Read.All	读取打印机	允许应用代表已登录用户读取打印机。	是	否
Printer.ReadWrite.All	读取和更新打印机	允许应用代表已登录用户读取和更新打印机。不允许创建（正在注册）或删除（正在注销）打印机。	是	否
PrinterShare.ReadBasic.All	读取有关打印机共享的基本信息	允许应用程序代表已登录用户读取有关打印机共享的基本信息。不允许读取访问控制信息。	否	否
PrinterShare.Read.All	读取打印机共享	允许应用代表已登录用户读取打印机共享。	否	否
PrinterShare.ReadWrite.All	读写打印机共享	允许应用代表已登录用户读取和更新打印机共享。	是	否
PrintJob.Create	创建打印作业	允许应用程序代表已登录用户创建打印作业，并将文档内容上传到已登录用户创建的打印作业。	否	否
PrintJob.Read	读取用户的打印作业	允许应用读取已登录用户所创建打印作业的元数据和文档内容。	否	否
PrintJob.Read.All	读取打印作业	允许应用代表已登录用户读取打印作业的元数据和文档内容。	是	否
PrintJob.ReadBasic	读取用户打印作业的基本信息	允许应用读取已登录用户所创建打印作业的元数据。不允许访问打印作业文档内容。	否	否
PrintJob.ReadBasic.All	读取打印作业的基本信息	允许应用代表已登录用户读取打印作业的元数据。不允许访问打印作业文档内容。	是	否
PrintJob.ReadWrite	读取和写入用户的打印作业	允许应用读取和更新已登录用户所创建打印作业的元数据和文档内容。	否	否
PrintJob.ReadWrite.All	读取和写入打印作业	允许应用代表已登录用户读取和更新打印作业的元数据和文档内容。	是	否
PrintJob.ReadWriteBasic	读写用户打印作业的基本信息	允许应用读取和更新已登录用户所创建打印作业的元数据。不允许访问打印作业文档内容。	否	否
PrintJob.ReadWriteBasic.All	读取和写入打印作业的基本信息	允许应用代表已登录用户读取和更新打印作业的元数据。不允许访问打印作业文档内容。	是	否
PrintConnector.Read.All	读取连接器	允许应用程序代表已登录的用户读取连接器。	是	否
PrintConnector.ReadWrite.All	读取和写入打印连接器	允许应用程序代表已登录的用户读取和写入打印连接器。	是	否
PrintSettings.Read.All	读取租户范围的打印设置	允许应用程序代表已登录的用户读取打印设置。	是	否
PrintSettings.ReadWrite.All	读取和写入租户范围的打印设置	允许应用程序代表已登录的用户读取和更新打印设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
Printer.Read.All	读取打印机	允许应用在没有登录用户的情况下读取打印机。	是
Printer.ReadWrite.All	读取和更新打印机	允许应用在没有登录用户的情况下读取和更新打印机。不允许创建（正在注册）或删除（正在注销）打印机。	是
PrintJob.Manage.All	在打印作业上执行高级操作	允许应用执行高级操作，如在没有登录用户的情况下重定向打印作业至其他打印机。允许应用读取和更新打印作业的元数据。	是
PrintJob.Read.All	读取打印作业	允许应用在没有登录用户的情况下读取打印作业的元数据和文档内容。	是
PrintJob.ReadBasic.All	读取打印作业的基本信息	允许应用在没有登录用户的情况下读取打印作业的元数据。不允许访问打印作业文档内容。	是
PrintJob.ReadWrite.All	读取和写入打印作业	允许应用在没有登录用户的情况下读取和更新打印作业的元数据和文档内容。	是
PrintJob.ReadWriteBasic.All	读取和写入打印作业的基本信息	允许应用在没有登录用户的情况下读取和更新打印作业的元数据。不允许访问打印作业文档内容。	是
PrintTaskDefinition.ReadWrite.All	读取、写入和更新打印任务定义	允许应用在没有登录用户的情况下读取和更新打印任务定义。	是

备注

若要使用通用打印服务，除了前面列出的权限外，用户或应用的租户还必须具有活动的通用打印订阅。
某些权限可区分打印作业元数据和有效负载。元数据描述了打印作业的配置（其名称和文档配置，例如应该装订还是彩色打印）。有效负载是文档数据本身（要打印的 PDF 或 XPS 文件。）
所有 PrintJob.* 权限还至少需要 Printer.Read.All（或更多特权权限），因为打印作业存储在打印机中。

用法示例

Delegated

Printer.Read.All：获取租户中所有打印机的列表 (GET /print/printers)
PrintJob.Read.All：获取排队到打印机的所有打印作业的列表 (GET /print/printers/{id}/jobs)
Printer.FullControl.All：删除（注销）打印机 (DELETE /print/printers/{id})
PrintJob.ReadWriteBasic.All：更新打印作业的元数据（例如当前状态）(PATCH /print/printers/{id}/jobs/{id})
PrintJob.ReadWrite.All：创建打印作业并向其上传文档数据 (POST /print/printers/{id}/jobs)

应用程序

Printer.Read.All：获取租户中所有打印机的列表 (GET /print/printers)

用户权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
User.Read	登录并读取用户个人资料	允许用户登录应用，并允许应用读取登录用户的个人资料。它还允许应用读取已登录用户的基本公司信息。	否	是
User.ReadWrite	对用户个人资料的读写权限	允许应用读取登录用户的完整个人资料。此外，它还允许应用代表登录用户来更新其个人资料信息。	否	是
User.ReadBasic.All	读取所有用户的基本个人资料	允许应用代表登录用户读取组织中其他用户的一套基本个人资料属性。其中包括显示名称、名字和姓氏、电子邮件地址、开放扩展和照片。此外，还允许应用读取已登录用户的完整个人资料。	否	否
User.Read.All	读取所有用户的完整个人资料	允许应用代表登录用户读取组织中其他用户的整套个人资料属性、下属和经理。	是	否
User.ReadWrite.All	读取和写入所有用户的完整个人资料	允许应用代表登录用户读取和写入组织中其他用户的整套个人资料属性、下属和经理。还允许应用代表已登录用户创建和删除用户以及重置用户密码。	是	否
User.Invite.All	将来宾用户邀请到组织	允许应用代表已登录用户将来宾用户邀请到你的组织。	是	否
User.EnableDisableAccount.All	启用和禁用用户帐户	允许应用代表已登录用户启用和禁用用户的帐户。	是	否
User.Export.All	导出用户数据	当由公司管理员执行时，允许应用导出组织的用户数据。	是	否
User.ManageIdentities.All	管理用户标识	允许应用程序读取、更新和删除与登录用户有权访问的用户帐户相关联的标识。这控制了用户可以使用哪些标识进行登录。	是	否
User-LifeCycleInfo.Read.All	读取所有用户的生命周期信息	允许应用代表已登录用户读取组织中用户的 employeeLeaveDateTime 等生命周期信息。	是	否
User-LifeCycleInfo.ReadWrite.All	读取和写入所有用户的生命周期信息	允许应用代表已登录用户读取和写入组织中用户的 employeeLeaveDateTime 等生命周期信息。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
User.Read.All	读取所有用户的完整个人资料	允许应用在没有登录用户的情况下读取组织中其他用户的整套个人资料属性、组成员身份、下属和经理。	是
User.ReadWrite.All	读取和写入所有用户的完整个人资料	允许应用在没有登录用户的情况下读取和写入组织中其他用户的整套个人资料属性、组成员身份、下属和经理。还允许应用创建和删除非管理用户。不允许重置用户密码。	是
User.Invite.All	将来宾用户邀请到组织	允许应用无需具有已登录用户即可将来宾用户邀请到你的组织。	是
User.EnableDisableAccount.All	启用和禁用用户帐户	允许应用在没有登录用户的情况下启用和禁用用户的帐户。	是
User.Export.All	导出用户数据	允许应用导出组织用户数据，而无需是登录用户。	是
User.ManageIdentities.All	管理所有用户标识	允许应用程序在没有登录用户的情况下读取、更新和删除与用户帐户相关联的标识。这控制了用户可以使用哪些标识进行登录。	是
User-LifeCycleInfo.Read.All	读取所有用户的生命周期信息	允许应用在没有登录用户的情况下读取组织中用户的生命周期信息，例如 employeeLeaveDateTime。	是
User-LifeCycleInfo.ReadWrite.All	读取和写入所有用户的生命周期信息	允许应用在没有登录用户的情况下读取和写入组织中用户的 employeeLeaveDateTime 等生命周期信息。	是

备注

使用 User.Read 权限，应用还可以通过组织资源读取工作或学校帐户的已登录用户的基本公司信息。以下属性可用：id、displayName 和 verifiedDomains。

对于工作或学校帐户，完整配置文件包括 User 资源的所有声明属性。在读取时，默认情况下仅返回有限数量的属性。若要读取不在默认集中的属性，请使用 $select。默认属性为：

displayName
givenName
jobTitle
mail
mobilePhone
officeLocation
preferredLanguage
surname
userPrincipalName

User.ReadWrite 和 User.Readwrite.All 委派权限允许应用更新工作或学校帐户的以下配置文件属性：

aboutMe
birthday
hireDate
interests
mobilePhone
mySite
pastProjects
photo
preferredName
responsibilities
schools
skills

通过 User.ReadWrite.All 应用程序权限，应用可更新工作或学校帐户的所有声明属性，但密码除外。

在具有 User.ReadWrite.All 委托或应用程序权限的情况下，如需更新其他用户的 businessPhones、mobilePhone 或 otherMails，仅允许针对非管理员或分配了以下角色之一的用户执行该操作：目录读取者、来宾邀请者、消息中心读取者和报告读取者。有关详细信息，请参阅 Azure AD 可用角色中的支持人员（密码）管理员。

要读取或写入工作或学校帐户的直接下属 (directReports) 或经理 (manager)，应用必须具有 User.Read.All（只读）或 User.ReadWrite.All。

User.ReadBasic.All 权限限制应用对一组称为基本配置文件的有限属性的访问权限。这是因为完整的配置文件可能包含敏感目录信息。基本配置文件仅包含以下属性：

displayName
givenName
id
mail
photo
securityIdentifier
surname
userPrincipalName

若要读取用户 () memberOf 的组成员身份，应用必须具有 Group.Read.All 或 Group.ReadWrite.All。但是，如果用户在 directoryRole 或 administrativeUnit 中也具有成员身份，则应用也需要有效权限才能读取这些资源，否则 Microsoft Graph 将返回错误。这意味着应用还需要目录权限，对于委派的权限，登录用户还需要组织中的足够权限来访问目录角色和管理单元。

使用 User.ManageIdentities.All 委派权限或应用程序权限，可以更新用户标识 (identities)。这包括具有基于电子邮件地址或姓名的登录名的联合标识（亦称为“社交标识”）或本地标识。

用法示例

委派

User.Read：读取登录用户的完整配置文件 (GET /me)。
User.ReadWrite：更新登录用户的照片 (PUT /me/photo/$value)。
User.ReadBasic.All：查找名称以“David”开头的所有用户 (GET /users?$filter=startswith(displayName,'David'))。
User.Read.All：读取用户的经理 (GET /users/{id | userPrincipalName}/manager)。

应用程序

User.Read.All：通过 delta 查询读取所有用户和关系 (GET /beta/users/delta?$select=displayName,givenName,surname)。
User.ReadWrite.All：更新组织中任意用户的照片 (PUT /users/{id | userPrincipalName}/photo/$value)。

有关涉及多个权限的更复杂的情况，请参阅权限方案。

用户活动权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
UserActivity.ReadWrite.CreatedByApp	将应用活动读取和写入到用户的活动源	允许应用读取和报告登录用户在应用中的活动。	否	是

应用程序权限

无。

说明

UserActivity.ReadWrite.CreatedByApp 对 Microsoft 帐户和工作或学校帐户均有效。

与此权限相关联的 CreatedByApp 约束指示服务将基于调用应用的标识（MSA 应用 ID 或针对跨平台应用程序标识配置的一组应用 ID）对结果应用隐式筛选。

用法示例

委派

UserActivity.ReadWrite.CreatedByApp：基于最后一天发布的相关联的历史记录项来获取最近特定用户活动的列表。 (GET /me/activities/recent)。
UserActivity.ReadWrite.CreatedByApp：发布或更新可能由应用程序用户恢复的用户活动。 (PUT /me/activities/%2Farticle%3F12345)。
UserActivity.ReadWrite.CreatedByApp：发布或更新指定用户活动的历史记录项，以表示用户参与的时间段。 (PUT /me/activities/{id}/historyItems/{id})。
UserActivity.ReadWrite.CreatedByApp：根据用户发起的请求删除用户活动或删除无效数据。 (DELETE /me/activities/{id})。
UserActivity.ReadWrite.CreatedByApp：根据用户发起的请求删除历史记录项或删除无效数据。 (DELETE /me/activities/{id}/historyItems/{id})。

用户身份验证方法权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
UserAuthenticationMethod.Read	读取自己的身份验证方法	允许该应用读取已登录用户的身份验证方法，包括电话号码和 Authenticator 应用设置。这不允许该应用查看已登录用户的密码之类的机密信息，也无法登录或以其他方式使用已登录用户的身份验证方法。	是	否
UserAuthenticationMethod.Read.All	读取用户的身份验证方法	允许此应用读取已登录用户有权访问的组织中所有用户的身份验证方法。身份验证方法包括用户电话号码和 Authenticator 应用设置等内容。这不允许该应用查看密码之类的机密信息，也无法登录或以其他方式使用身份验证方法。	是	否
UserAuthenticationMethod.ReadWrite	管理自己的身份验证方法	允许该应用读取和写入已登录用户的身份验证方法，包括电话号码和 Authenticator 应用设置。这不允许该应用查看已登录用户的密码之类的机密信息，也无法登录或以其他方式使用已登录用户的身份验证方法。	是	否
UserAuthenticationMethod.ReadWrite.All	管理用户的身份验证方法	允许此应用读取和写入已登录用户有权访问的组织中所有用户的身份验证方法。身份验证方法包括用户电话号码和 Authenticator 应用设置等内容。这不允许该应用查看密码之类的机密信息，也无法登录或以其他方式使用身份验证方法。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
UserAuthenticationMethod.Read.All	读取用户的身份验证方法	允许此应用读取组织中所有用户的身份验证方法，无已登录用户。身份验证方法包括用户电话号码和 Authenticator 应用设置等内容。这不允许该应用查看密码之类的机密信息，也无法登录或以其他方式使用身份验证方法。	是
UserAuthenticationMethod.ReadWrite.All	管理用户的身份验证方法	允许此应用程序读取和写入组织中所有用户的身份验证方法，无已登录用户。身份验证方法包括用户电话号码和 Authenticator 应用设置等内容。这不允许该应用查看密码之类的机密信息，也无法登录或以其他方式使用身份验证方法。	是

说明

用户身份验证方法权限用于管理用户的身份验证方法。借助这些权限，委派的用户或应用程序可以注册用户的新身份验证方法，读取用户已注册的身份验证方法，更新这些身份验证方法，以及从用户中删除它们。

借助这些权限，可以读取和管理用户的所有身份验证方法。这包括用于以下操作的方法：

主要身份验证 (密码、FIDO2、Microsoft Authenticator 等)
多重身份验证/MFA 的第二个因素 (电话号码、Microsoft Authenticator 等)
Self-Service 密码重置/SSPR (电子邮件地址等)

应用程序权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
TeamsActivity.Send.User	向此用户发送活动源通知。	允许应用在没有登录用户的情况下在此用户的团队合作活动源中创建新通知。	否	否

注意

目前，这些权限仅在 beta 版本的 Microsoft Graph 中受支持。

虚拟事件权限

委派权限

权限	显示字符串	说明	需经过管理员同意
VirtualEvent.Read	读取虚拟事件。	允许应用读取你创建的虚拟事件。	是

应用程序权限

权限	显示字符串	说明	需经过管理员同意
VirtualEvent.Read.All	读取所有用户的虚拟事件。	允许应用在没有登录用户的情况下读取所有虚拟事件。	是

用法示例

VirtualEvent.Read：检索已登录用户 (GET /solutions/virtualEvents/webinars/{id}) 创建的虚拟事件。
VirtualEvent.Read.All：检索租户 () GET /solutions/virtualEvents/webinars/{id} 中的任何用户创建的虚拟事件。

Windows 更新权限

委派权限

权限	显示字符串	说明	需经过管理员同意	支持的 Microsoft 帐户
WindowsUpdates.ReadWrite.All	读取和写入所有 Windows 更新部署设置	允许应用代表已登录的用户读取和写入组织的所有 Windows 更新部署设置。	是	否

应用程序权限

权限	显示字符串	说明	需经过管理员同意
WindowsUpdates.ReadWrite.All	读取和写入所有 Windows 更新部署设置	允许应用在没有登录用户的情况下读取和写入组织的所有 Windows 更新部署设置。	是

注解

上述所有权限仅对工作或学校帐户有效。

登录用户必须分配有全局管理员、Intune 管理员或 Windows 更新部署管理员角色，才能使用委派权限读取或写入所有 Windows 更新部署设置。若要详细了解管理员角色，请参阅在 Azure Active Directory 中分配管理员角色。

示例用法

委派

WindowsUpdates.ReadWrite.All：创建部署(POST /beta/admin/windows/updates/deployments)。

应用程序

WindowsUpdates.ReadWrite.All：创建部署(POST /beta/admin/windows/updates/deployments)。

权限方案

本部分介绍面向组织中的用户和组资源的一些常见方案。这些表显示应用需要能够执行方案所需的特定操作的权限。请注意，在某些情况下，应用执行特定操作的能力将取决于权限是应用程序还是委托权限。对于委派权限，应用的有效权限也将取决于组织中已登录用户的权限。有关详细信息，请参阅委托权限、应用程序权限和有效权限。

关于 User 资源的访问方案

涉及用户的应用任务	必需的权限	权限字符串
应用想要读取其他用户的基本信息（仅限显示名称和图片），例如展示人员挑选经验	User.ReadBasic.All	读取所有用户的基本个人资料
应用想要读取登录用户的完整用户配置文件 (查看直接下属和经理等)	User.Read	允许登录和读取用户个人资料
应用想要读取所有用户的完整用户个人资料	User.Read.All	读取所有用户的完整个人资料
应用要读取登录用户的文件、邮件和日历信息	User.Read, Files.Read, Mail.Read, Calendars.Read	启用登录和读取用户配置文件、读取用户文件、读取用户邮件、读取用户日历
应用想要读取登录用户（我）的文件，以及其他用户与登录用户（我）共享的文件。	User.Read, Files.Read, Sites.Read.All	启用登录和读取用户配置文件、读取用户的文件、读取所有网站集中的项目
应用想要读取和写入登录用户的完整用户个人资料	User.ReadWrite	对用户个人资料的读写权限
应用想要读取和写入所有用户的完整用户个人资料	User.ReadWrite.All	读取和写入所有用户的完整个人资料
应用要读取和写入登录用户的文件、邮件和日历信息	User.ReadWrite, Files.ReadWrite, Mail.ReadWrite, Calendars.ReadWrite	对用户配置文件的读取和写入访问权限、对用户配置文件的读取和写入访问权限、对用户邮件的读取和写入访问权限、对用户日历具有完全访问权限
应用想要提交数据策略操作请求，以导出用户的个人数据	User.Export.All	导出用户的个人数据。

关于组资源的访问方案

涉及组的应用任务	必需的权限	权限字符串
应用想要读取基本组信息（仅限显示名称和图片），例如展示组挑选经验	Group.Read.All	读取所有组
应用想要读取所有 Microsoft 365 组中的全部内容（包括文件、对话）。它还需要显示组成员，同时能够更新组成员（若是所有者）。	Group.Read.All	读取所有网站集中的项、读取所有组
应用想要读取并写入所有 Microsoft 365 组中的全部内容（包括文件、对话）。它还需要显示组成员，同时能够更新组成员（若是所有者）。	Group.ReadWrite.All, Sites.ReadWrite.All	读取和写入所有组、编辑或删除所有网站集中的项
应用想要发现（找到）Microsoft 365 组。它允许用户搜索特定组，然后从枚举列表中选择一个组，从而允许用户加入组。	Group.ReadWrite.All	读取和写入所有组
应用想要通过 AAD Graph 创建一个组	Group.ReadWrite.All	读取和写入所有组

所有权限和 ID

权限名称	类型	ID
AccessReview.Read.All	应用程序	d07a8cc0-3d51-4b77-b3b0-32704d1f69fa
AccessReview.Read.All	委派	ebfcd32b-babb-40f4-a14b-42706e83bd28
AccessReview.ReadWrite.All	应用程序	ef5f7d5c-338f-44b0-86c3-351f46c8bb5f
AccessReview.ReadWrite.All	委派	e4aa47b9-9a69-4109-82ed-36ec70d85ff1
AccessReview.ReadWrite.Membership	应用程序	18228521-a591-40f1-b215-5fad4488c117
AccessReview.ReadWrite.Membership	委派	5af8c3f5-baca-439a-97b0-ea58a435e269
Acronym.Read.All	应用程序	8c0aed2c-0c61-433d-b63c-6370ddc73248
Acronym.Read.All	Delegated	9084c10f-a2d6-4713-8732-348def50fe02
AdministrativeUnit.Read.All	应用程序	134fd756-38ce-4afd-ba33-e9623dbe66c2
AdministrativeUnit.Read.All	委派	3361d15d-be43-4de6-b441-3c746d05163d
AdministrativeUnit.ReadWrite.All	应用程序	5eb59dd3-1da2-4329-8733-9dabdc435916
AdministrativeUnit.ReadWrite.All	委派	7b8a2d34-6b3f-4542-a343-54651608ad81
Agreement.Read.All	应用程序	2f3e6f8c-093b-4c57-a58b-ba5ce494a169
Agreement.Read.All	委派	af2819c9-df71-4dd3-ade7-4d7c9dc653b7
Agreement.ReadWrite.All	应用程序	c9090d00-6101-42f0-a729-c41074260d47
Agreement.ReadWrite.All	委派	ef4b5d93-3104-4664-9053-a5c49ab44218
AgreementAcceptance.Read	委派	0b7643bb-5336-476f-80b5-18fbfbc91806
AgreementAcceptance.Read.All	应用程序	d8e4ec18-f6c0-4620-8122-c8b1f2bf400e
AgreementAcceptance.Read.All	委派	a66a5341-e66e-4897-9d52-c2df58c2bfb9
Analytics.Read	委派	e03cf23f-8056-446a-8994-7d93dfc8b50e
APIConnectors.Read.All	应用程序	b86848a7-d5b1-41eb-a9b4-54a4e6306e97
APIConnectors.Read.All	委派	1b6ff35f-31df-4332-8571-d31ea5a4893f
APIConnectors.ReadWrite.All	应用程序	1dfe531a-24a6-4f1b-80f4-7a0dc5a0a171
APIConnectors.ReadWrite.All	委派	c67b52c5-7c69-48b6-9d48-7b3af3ded914
AppCatalog.Read.All	应用程序	e12dae10-5a57-4817-b79d-dfbec5348930
AppCatalog.Read.All	委派	88e58d74-d3df-44f3-ad47-e89edf4472e4
AppCatalog.ReadWrite.All	应用程序	dc149144-f292-421e-b185-5953f2e98d7f
AppCatalog.ReadWrite.All	委派	1ca167d5-1655-44a1-8adf-1414072e1ef9
AppCatalog.Submit	委派	3db89e36-7fa6-4012-b281-85f3d9d9fd2e
Application.Read.All	应用程序	9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Application.Read.All	委派	c79f8feb-a9db-4090-85f9-90d820caa0eb
Application.ReadWrite.All	应用程序	1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Application.ReadWrite.All	委派	bdfbf15f-ee85-4955-8675-146e8e5296b5
Application.ReadWrite.OwnedBy	应用程序	18a4783c-866b-4cc7-a460-3d5e5662c884
Application-RemoteDesktopConfig.ReadWrite.All	应用程序	3be0012a-cc4e-426b-895b-f9c836bf6381
Application-RemoteDesktopConfig.ReadWrite.All	Delegated	ffa91d43-2ad8-45cc-b592-09caddeb24bb
AppRoleAssignment.ReadWrite.All	应用程序	06b708a9-e830-4db3-a914-8e69da51d44f
AppRoleAssignment.ReadWrite.All	委派	84bccea3-f856-4a8a-967b-dbe0a3d53a64
AttackSimulation.Read.All	应用	93283d0a-6322-4fa8-966b-8c121624760d
AttackSimulation.Read.All	委派	104a7a4b-ca76-4677-b7e7-2f4bc482f381
AttackSimulation.ReadWrite.All	应用程序	e125258e-8c8a-42a8-8f55-ab502afa52f3
AttackSimulation.ReadWrite.All	Delegated	27608d7c-2c66-4cad-a657-951d575f5a60
AuditLog.Read.All	应用程序	b0afded3-3588-46d8-8b3d-9842eff778da
AuditLog.Read.All	委派	e4c9e354-4dc5-45b8-9e7c-e1393b0b1a20
AuthenticationContext.Read.All	应用	381f742f-e1f8-4309-b4ab-e3d91ae4c5c1
AuthenticationContext.Read.All	委派	57b030f1-8c35-469c-b0d9-e4a077debe70
AuthenticationContext.ReadWrite.All	应用	a88eef72-fed0-4bf7-a2a9-f19df33f8b83
AuthenticationContext.ReadWrite.All	委派	ba6d575a-1344-4516-b777-1404f5593057
BillingConfiguration.ReadWrite.All	应用程序	9e8be751-7eee-4c09-bcfd-d64f6b087fd8
BillingConfiguration.ReadWrite.All	Delegated	2bf6d319-dfca-4c22-9879-f88dcfaee6be
BitlockerKey.Read.All	委派	b27a61ec-b99c-4d6a-b126-c4375d08ae30
BitlockerKey.ReadBasic.All	委派	5a107bfc-4f00-4e1a-b67e-66451267bc68
Bookings.Manage.All	委派	7f36b48e-542f-4d3b-9bcb-8406f0ab9fdb
Bookings.Read.All	应用	6e98f277-b046-4193-a4f2-6bf6a78cd491
Bookings.Read.All	委派	33b1df99-4b29-4548-9339-7a7b83eaeebc
Bookings.ReadWrite.All	委派	948eb538-f19d-4ec5-9ccc-f059e1ea4c72
BookingsAppointment.ReadWrite.All	应用	9769393e-5a9f-4302-9e3d-7e018ecb64a7
BookingsAppointment.ReadWrite.All	委派	02a5a114-36a6-46ff-a102-954d89d9ab02
Bookmark.Read.All	应用程序	be95e614-8ef3-49eb-8464-1c9503433b86
Bookmark.Read.All	Delegated	98b17b35-f3b1-4849-a85f-9f13733002f0
BrowserSiteLists.Read.All	应用程序	c5ee1f21-fc7f-4937-9af0-c91648ff9597
BrowserSiteLists.Read.All	Delegated	fb9be2b7-a7fc-4182-aec1-eda4597c43d5
BrowserSiteLists.ReadWrite.All	应用程序	8349ca94-3061-44d5-9bfb-33774ea5e4f9
BrowserSiteLists.ReadWrite.All	Delegated	83b34c85-95bf-497b-a04e-b58eca9d49d0
BusinessScenarioConfig.Read.All	Delegated	d16480b2-e469-4118-846b-d3d177327bee
BusinessScenarioConfig.Read.OwnedBy	应用程序	acc0fc4d-2cd6-4194-8700-1768d8423d86
BusinessScenarioConfig.Read.OwnedBy	Delegated	c47e7b6e-d6f1-4be9-9ffd-1e00f3e32892
BusinessScenarioConfig.ReadWrite.All	Delegated	755e785b-b658-446f-bb22-5a46abd029ea
BusinessScenarioConfig.ReadWrite.OwnedBy	应用程序	bbea195a-4c47-4a4f-bff2-cba399e11698
BusinessScenarioConfig.ReadWrite.OwnedBy	Delegated	b3b7fcff-b4d4-4230-bf6f-90bd91285395
BusinessScenarioData.Read.OwnedBy	应用程序	6c0257fd-cffe-415b-8239-2d0d70fdaa9c
BusinessScenarioData.Read.OwnedBy	Delegated	25b265c4-5d34-4e44-952d-b567f6d3b96d
BusinessScenarioData.ReadWrite.OwnedBy	应用程序	f2d21f22-5d80-499e-91cc-0a8a4ce16f54
BusinessScenarioData.ReadWrite.OwnedBy	Delegated	19932d57-2952-4c60-8634-3655c79fc527
Calendars.Read	应用程序	798ee544-9d2d-430c-a058-570e29e34338
Calendars.Read	委派	465a38f9-76ea-45b9-9f34-9e8b0d4b0b42
Calendars.Read.Shared	委派	2b9c4092-424d-4249-948d-b43879977640
Calendars.ReadBasic	Delegated	662d75ba-a364-42ad-adee-f5f880ea4878
Calendars.ReadBasic.All	应用程序	8ba4a692-bc31-4128-9094-475872af8a53
Calendars.ReadWrite	应用程序	ef54d2bf-783f-4e0f-bca1-3210c0444d99
Calendars.ReadWrite	委派	1ec239c2-d7c9-4623-a91a-a9775856bb36
Calendars.ReadWrite.Shared	委派	12466101-c9b8-439a-8589-dd09ee67e8e9
CallRecord-PstnCalls.Read.All	应用程序	a2611786-80b3-417e-adaa-707d4261a5f0
CallRecords.Read.All	应用程序	45bbb07e-7321-4fd7-a8f6-3ff27e6a81c8
Calls.AccessMedia.All	应用程序	a7a681dc-756e-4909-b988-f160edc6655f
Calls.Initiate.All	应用程序	284383ee-7f6e-4e40-a2a8-e85dcb029101
Calls.InitiateGroupCall.All	应用程序	4c277553-8a09-487b-8023-29ee378d8324
Calls.JoinGroupCall.All	应用程序	f6b49018-60ab-4f81-83bd-22caeabfed2d
Calls.JoinGroupCallAsGuest.All	应用程序	fd7ccf6b-3d28-418b-9701-cd10f5cd2fd4
Channel.Create	应用程序	f3a65bd4-b703-46df-8f7e-0174fea562aa
Channel.Create	委派	101147cf-4178-4455-9d58-02b5c164e759
Channel.Delete.All	应用程序	6a118a39-1227-45d4-af0c-ea7b40d210bc
Channel.Delete.All	委派	cc83893a-e232-4723-b5af-bd0b01bcfe65
Channel.ReadBasic.All	应用程序	59a6b24b-4225-4393-8165-ebaec5f55d7a
Channel.ReadBasic.All	委派	9d8982ae-4365-4f57-95e9-d6032a4c0b87
ChannelMember.Read.All	应用程序	3b55498e-47ec-484f-8136-9013221c06a9
ChannelMember.Read.All	委派	2eadaff8-0bce-4198-a6b9-2cfc35a30075
ChannelMember.ReadWrite.All	应用程序	35930dcf-aceb-4bd1-b99a-8ffed403c974
ChannelMember.ReadWrite.All	委派	0c3e411a-ce45-4cd1-8f30-f99a3efa7b11
ChannelMessage.Edit	委派	2b61aa8a-6d36-4b2f-ac7b-f29867937c53
ChannelMessage.Read.All	应用程序	7b2449af-6ccd-4f4d-9f78-e550c193f0d1
ChannelMessage.Read.All	委派	767156cb-16ae-4d10-8f8b-41b657c8c8c8
ChannelMessage.ReadWrite	委派	5922d31f-46c8-4404-9eaf-2117e390a8a4
ChannelMessage.Send	委派	ebf0f66e-9fb1-49e4-a278-222f76911cf4
ChannelMessage.UpdatePolicyViolation.All	应用程序	4d02b0cc-d90b-441f-8d82-4fb55c34d6bb
ChannelSettings.Read.All	应用程序	c97b873f-f59f-49aa-8a0e-52b32d762124
ChannelSettings.Read.All	委派	233e0cf1-dd62-48bc-b65b-b38fe87fcf8e
ChannelSettings.ReadWrite.All	应用程序	243cded2-bd16-4fd6-a953-ff8177894c3d
ChannelSettings.ReadWrite.All	委派	d649fb7c-72b4-4eec-b2b4-b15acf79e378
Chat.Create	应用程序	d9c48af6-9ad9-47ad-82c3-63757137b9af
Chat.Create	委派	38826093-1258-4dea-98f0-00003be2b8d0
Chat.ManageDeletion.All	应用程序	9c7abde0-eacd-4319-bf9e-35994b1a1717
Chat.ManageDeletion.All	Delegated	bb64e6fc-6b6d-4752-aea0-dd922dbba588
Chat.Read	委派	f501c180-9344-439a-bca0-6cbf209fd270
Chat.Read.All	应用程序	6b7d71aa-70aa-4810-a8d9-5d9fb2830017
Chat.Read.WhereInstalled	应用程序	1c1b4c8e-3cc7-4c58-8470-9b92c9d5848b
Chat.ReadBasic	委派	9547fcb5-d03f-419d-9948-5928bbf71b0f
Chat.ReadBasic.All	应用程序	b2e060da-3baf-4687-9611-f4ebc0f0cbde
Chat.ReadBasic.WhereInstalled	应用程序	818ba5bd-5b3e-4fe0-bbe6-aa4686669073
Chat.ReadWrite	委派	9ff7295e-131b-4d94-90e1-69fde507ac11
Chat.ReadWrite.All	应用程序	294ce7c9-31ba-490a-ad7d-97a7d075e4ed
Chat.ReadWrite.WhereInstalled	应用程序	ad73ce80-f3cd-40ce-b325-df12c33df713
Chat.UpdatePolicyViolation.All	应用程序	7e847308-e030-4183-9899-5235d7270f58
ChatMember.Read	委派	c5a9e2b1-faf6-41d4-8875-d381aa549b24
ChatMember.Read.All	应用程序	a3410be2-8e48-4f32-8454-c29a7465209d
ChatMember.Read.WhereInstalled	应用程序	93e7c9e4-54c5-4a41-b796-f2a5adaacda7
ChatMember.ReadWrite	委派	dea13482-7ea6-488f-8b98-eb5bbecf033d
ChatMember.ReadWrite.All	应用程序	57257249-34ce-4810-a8a2-a03adf0c5693
ChatMember.ReadWrite.WhereInstalled	应用程序	e32c2cd9-0124-4e44-88fc-772cd98afbdb
ChatMessage.Read	委派	cdcdac3a-fd45-410d-83ef-554db620e5c7
ChatMessage.Read.All	应用程序	b9bb2381-47a4-46cd-aafb-00cb12f68504
ChatMessage.Send	委派	116b7235-7cc6-461e-b163-8e55691d839e
CloudApp-Discovery.Read.All	应用程序	64a59178-dad3-4673-89db-84fdcd622fec
CloudApp-Discovery.Read.All	Delegated	ad46d60e-1027-4b75-af88-7c14ccf43a19
CloudPC.Read.All	应用程序	a9e09520-8ed4-4cde-838e-4fdea192c227
CloudPC.Read.All	委派	5252ec4e-fd40-4d92-8c68-89dd1d3c6110
CloudPC.ReadWrite.All	应用程序	3b4349e1-8cf5-45a3-95b7-69d1751d3e6a
CloudPC.ReadWrite.All	委派	9d77138f-f0e2-47ba-ab33-cd246c8b79d1
ConsentRequest.Read.All	应用程序	1260ad83-98fb-4785-abbb-d6cc1806fd41
ConsentRequest.Read.All	委派	f3bfad56-966e-4590-a536-82ecf548ac1e
ConsentRequest.ReadWrite.All	应用程序	9f1b81a7-0223-4428-bfa4-0bcb5535f27d
ConsentRequest.ReadWrite.All	委派	497d9dfa-3bd1-481a-baab-90895e54568c
Contacts.Read	应用程序	089fe4d0-434a-44c5-8827-41ba8a0b17f5
Contacts.Read	委派	ff74d97f-43af-4b68-9f2a-b77ee6968c5d
Contacts.Read.Shared	委派	242b9d9e-ed24-4d09-9a52-f43769beb9d4
Contacts.ReadWrite	应用程序	6918b873-d17a-4dc1-b314-35f528134491
Contacts.ReadWrite	委派	d56682ec-c09e-4743-aaf4-1a3aac4caa21
Contacts.ReadWrite.Shared	委派	afb6c84b-06be-49af-80bb-8f3f77004eab
CrossTenantInformation.ReadBasic.All	应用程序	cac88765-0581-4025-9725-5ebc13f729ee
CrossTenantInformation.ReadBasic.All	委派	81594d25-e88e-49cf-ac8c-fecbff49f994
CrossTenantUserProfileSharing.Read	委派	cb1ba48f-d22b-4325-a07f-74135a62ee41
CrossTenantUserProfileSharing.Read.All	应用程序	8b919d44-6192-4f3d-8a3b-f86f8069ae3c
CrossTenantUserProfileSharing.Read.All	委派	759dcd16-3c90-463c-937e-abf89f991c18
CrossTenantUserProfileSharing.ReadWrite	委派	eed0129d-dc60-4f30-8641-daf337a39ffd
CrossTenantUserProfileSharing.ReadWrite.All	应用程序	306785c5-c09b-4ba0-a4ee-023f3da165cb
CrossTenantUserProfileSharing.ReadWrite.All	委派	64dfa325-cbf8-48e3-938d-51224a0cac01
CustomAuthenticationExtension.Read.All	应用	88bb2658-5d9e-454f-aacd-a3933e079526
CustomAuthenticationExtension.Read.All	委派	b2052569-c98c-4f36-a5fb-43e5c111e6d0
CustomAuthenticationExtension.ReadWrite.All	应用	c2667967-7050-4e7e-b059-4cbbb3811d03
CustomAuthenticationExtension.ReadWrite.All	委派	8dfcf82f-15d0-43b3-bc78-a958a13a5792
CustomAuthenticationExtension.Receive.Payload	应用	214e810f-fda8-4fd7-a475-29461495eb00
CustomSecAttributeAssignment.Read.All	应用程序	3b37c5a4-1226-493d-bec3-5d6c6b866f3f
CustomSecAttributeAssignment.Read.All	委派	b46ffa80-fe3d-4822-9a1a-c200932d54d0
CustomSecAttributeAssignment.ReadWrite.All	应用程序	de89b5e4-5b8f-48eb-8925-29c2b33bd8bd
CustomSecAttributeAssignment.ReadWrite.All	委派	ca46335e-8453-47cd-a001-8459884efeae
CustomSecAttributeDefinition.Read.All	应用程序	b185aa14-d8d2-42c1-a685-0f5596613624
CustomSecAttributeDefinition.Read.All	委派	ce026878-a0ff-4745-a728-d4fedd086c07
CustomSecAttributeDefinition.ReadWrite.All	应用程序	12338004-21f4-4896-bf5e-b75dfaf1016d
CustomSecAttributeDefinition.ReadWrite.All	委派	8b0160d4-5743-482b-bb27-efc0a485ca4a
DelegatedAdminRelationship.Read.All	应用程序	f6e9e124-4586-492f-adc0-c6f96e4823fd
DelegatedAdminRelationship.Read.All	委派	0c0064ea-477b-4130-82a5-4c2cc4ff68aa
DelegatedAdminRelationship.ReadWrite.All	应用程序	cc13eba4-8cd8-44c6-b4d4-f93237adce58
DelegatedAdminRelationship.ReadWrite.All	委派	885f682f-a990-4bad-a642-36736a74b0c7
DelegatedPermissionGrant.Read.All	应用程序	81b4724a-58aa-41c1-8a55-84ef97466587
DelegatedPermissionGrant.Read.All	Delegated	a197cdc4-a8e8-4d49-9d35-4ca7c83887b4
DelegatedPermissionGrant.ReadWrite.All	应用程序	8e8e4742-1d95-4f68-9d56-6ee75648c72a
DelegatedPermissionGrant.ReadWrite.All	委派	41ce6ca6-6826-4807-84f1-1c82854f7ee5
Device.Command	委派	bac3b9c2-b516-4ef4-bd3b-c2ef73d8d804
Device.Read	委派	11d4cd79-5ba5-460f-803f-e22c8ab85ccd
Device.Read.All	应用程序	7438b122-aefc-4978-80ed-43db9fcc7715
Device.Read.All	委派	951183d1-1a61-466f-a6d1-1fde911bfd95
Device.ReadWrite.All	应用程序	1138cb37-bd11-4084-a2b7-9f71582aeddb
DeviceLocalCredential.Read.All	应用程序	884b599e-4d48-43a5-ba94-15c414d00588
DeviceLocalCredential.Read.All	Delegated	280b3b69-0437-44b1-bc20-3b2fca1ee3e9
DeviceLocalCredential.ReadBasic.All	应用程序	db51be59-e728-414b-b800-e0f010df1a79
DeviceLocalCredential.ReadBasic.All	Delegated	9917900e-410b-4d15-846e-42a357488545
DeviceManagementApps.Read.All	应用程序	7a6ee1e7-141e-4cec-ae74-d9db155731ff
DeviceManagementApps.Read.All	委派	4edf5f54-4666-44af-9de9-0144fb4b6e8c
DeviceManagementApps.ReadWrite.All	应用程序	78145de6-330d-4800-a6ce-494ff2d33d07
DeviceManagementApps.ReadWrite.All	委派	7b3f05d5-f68c-4b8d-8c59-a2ecd12f24af
DeviceManagementConfiguration.Read.All	应用程序	dc377aa6-52d8-4e23-b271-2a7ae04cedf3
DeviceManagementConfiguration.Read.All	委派	f1493658-876a-4c87-8fa7-edb559b3476a
DeviceManagementConfiguration.ReadWrite.All	应用程序	9241abd9-d0e6-425a-bd4f-47ba86e767a4
DeviceManagementConfiguration.ReadWrite.All	委派	0883f392-0a7a-443d-8c76-16a6d39c7b63
DeviceManagementManagedDevices.PrivilegedOperations.All	应用程序	5b07b0dd-2377-4e44-a38d-703f09a0dc3c
DeviceManagementManagedDevices.PrivilegedOperations.All	委派	3404d2bf-2b13-457e-a330-c24615765193
DeviceManagementManagedDevices.Read.All	应用程序	2f51be20-0bb4-4fed-bf7b-db946066c75e
DeviceManagementManagedDevices.Read.All	委派	314874da-47d6-4978-88dc-cf0d37f0bb82
DeviceManagementManagedDevices.ReadWrite.All	应用程序	243333ab-4d21-40cb-a475-36241daa0842
DeviceManagementManagedDevices.ReadWrite.All	委派	44642bfe-8385-4adc-8fc6-fe3cb2c375c3
DeviceManagementRBAC.Read.All	应用程序	58ca0d9a-1575-47e1-a3cb-007ef2e4583b
DeviceManagementRBAC.Read.All	委派	49f0cc30-024c-4dfd-ab3e-82e137ee5431
DeviceManagementRBAC.ReadWrite.All	应用程序	e330c4f0-4170-414e-a55a-2f022ec2b57b
DeviceManagementRBAC.ReadWrite.All	委派	0c5e8a55-87a6-4556-93ab-adc52c4d862d
DeviceManagementServiceConfig.Read.All	应用程序	06a5fe6d-c49d-46a7-b082-56b1b14103c7
DeviceManagementServiceConfig.Read.All	委派	8696daa5-bce5-4b2e-83f9-51b6defc4e1e
DeviceManagementServiceConfig.ReadWrite.All	应用程序	5ac13192-7ace-4fcf-b828-1a26f28068ee
DeviceManagementServiceConfig.ReadWrite.All	委派	662ed50a-ac44-4eef-ad86-62eed9be2a29
Directory.AccessAsUser.All	委派	0e263e50-5827-48a4-b97c-d940288653c7
Directory.Read.All	应用程序	7ab1d382-f21e-4acd-a863-ba3e13f7da61
Directory.Read.All	委派	06da0dbc-49e2-44d2-8312-53f166ab848a
Directory.ReadWrite.All	应用程序	19dbc75e-c2e2-444c-a770-ec69d8559fc7
Directory.ReadWrite.All	委派	c5366453-9fb0-48a5-a156-24f0c49a4b84
Directory.Write.Restricted	应用程序	f20584af-9290-4153-9280-ff8bb2c0ea7f
Directory.Write.Restricted	委派	cba5390f-ed6a-4b7f-b657-0efc2210ed20
DirectoryRecommendations.Read.All	应用程序	ae73097b-cb2a-4447-b064-5d80f6093921
DirectoryRecommendations.Read.All	委派	34d3bd24-f6a6-468c-b67c-0c365c1d6410
DirectoryRecommendations.ReadWrite.All	应用程序	0e9eea12-4f01-45f6-9b8d-3ea4c8144158
DirectoryRecommendations.ReadWrite.All	委派	f37235e8-90a0-4189-93e2-e55b53867ccd
Domain.Read.All	应用程序	dbb9058a-0e50-45d7-ae91-66909b5d4664
Domain.Read.All	委派	2f9ee017-59c1-4f1d-9472-bd5529a7b311
Domain.ReadWrite.All	应用程序	7e05723c-0bb0-42da-be95-ae9f08a6e53c
Domain.ReadWrite.All	委派	0b5d694c-a244-4bde-86e6-eb5cd07730fe
EAS.AccessAsUser.All	委派	ff91d191-45a0-43fd-b837-bd682c4a0b0f
eDiscovery.Read.All	应用程序	50180013-6191-4d1e-a373-e590ff4e66af
eDiscovery.Read.All	委派	99201db3-7652-4d5a-809a-bdb94f85fe3c
eDiscovery.ReadWrite.All	应用程序	b2620db1-3bf7-4c5b-9cb9-576d29eac736
eDiscovery.ReadWrite.All	委派	acb8f680-0834-4146-b69e-4ab1b39745ad
EduAdministration.Read	委派	8523895c-6081-45bf-8a5d-f062a2f12c9f
EduAdministration.Read.All	应用程序	7c9db06a-ec2d-4e7b-a592-5a1e30992566
EduAdministration.ReadWrite	委派	63589852-04e3-46b4-bae9-15d5b1050748
EduAdministration.ReadWrite.All	应用程序	9bc431c3-b8bc-4a8d-a219-40f10f92eff6
EduAssignments.Read	委派	091460c9-9c4a-49b2-81ef-1f3d852acce2
EduAssignments.Read.All	应用程序	4c37e1b6-35a1-43bf-926a-6f30f2cdf585
EduAssignments.ReadBasic	委派	c0b0103b-c053-4b2e-9973-9f3a544ec9b8
EduAssignments.ReadBasic.All	应用程序	6e0a958b-b7fc-4348-b7c4-a6ab9fd3dd0e
EduAssignments.ReadWrite	委派	2f233e90-164b-4501-8bce-31af2559a2d3
EduAssignments.ReadWrite.All	应用程序	0d22204b-6cad-4dd0-8362-3e3f2ae699d9
EduAssignments.ReadWriteBasic	委派	2ef770a1-622a-47c4-93ee-28d6adbed3a0
EduAssignments.ReadWriteBasic.All	应用程序	f431cc63-a2de-48c4-8054-a34bc093af84
EduCurricula.Read	Delegated	484859e8-b9e2-4e92-b910-84db35dadd29
EduCurricula.Read.All	应用程序	6cdb464c-3a03-40f8-900b-4cb7ea1da9c0
EduCurricula.ReadWrite	Delegated	4793c53b-df34-44fd-8d26-d15c517732f5
EduCurricula.ReadWrite.All	应用程序	6a0c2318-d59d-4c7d-bf2e-5f3902dc2593
EduRoster.Read	委派	a4389601-22d9-4096-ac18-36a927199112
EduRoster.Read.All	应用程序	e0ac9e1b-cb65-4fc5-87c5-1a8bc181f648
EduRoster.ReadBasic	委派	5d186531-d1bf-4f07-8cea-7c42119e1bd9
EduRoster.ReadBasic.All	应用程序	0d412a8c-a06c-439f-b3ec-8 abcf54d2f96
EduRoster.ReadWrite	委派	359e19a6-e3fa-4d7f-bcab-d28ec592b51e
EduRoster.ReadWrite.All	应用程序	d1808e82-ce13-47af-ae0d-f9b254e6d58a
电子邮件	委派	64a6cdd6-aab1-4aaf-94b8-3cc8405e90d0
EntitlementManagement.Read.All	应用程序	c74fd47d-ed3c-45c3-9a9e-b8676de685d2
EntitlementManagement.Read.All	委派	5449aa12-1393-4ea2-a7c7-d0e06c1a56b2
EntitlementManagement.ReadWrite.All	应用程序	9acd699f-1e81-4958-b001-93b1d2506e19
EntitlementManagement.ReadWrite.All	委派	ae7a573d-81d7-432b-ad44-4ed5c9d89038
EntitlementMgmt-SubjectAccess.ReadWrite	Delegated	e9fdcbbb-8807-410f-b9ec-8d5468c7c2ac
EventListener.Read.All	应用	b7f6385c-6ce6-4639-a480-e23c42ed9784
EventListener.Read.All	委派	f7dd3bed-5eec-48da-bc73-1c0ef50bc9a1
EventListener.ReadWrite.All	应用	0edf5e9e-4ce8-468a-8432-d08631d18c43
EventListener.ReadWrite.All	委派	d11625a6-fe21-4fc6-8d3d-063eba5525ad
EWS.AccessAsUser.All	委派	9769c687-087d-48ac-9cb3-c37dde652038
ExternalConnection.Read.All	应用程序	1914711b-a1cb-4793-b019-c2ce0ed21b8c
ExternalConnection.Read.All	委派	a38267a5-26b6-4d76-9493-935b7599116b
ExternalConnection.ReadWrite.All	应用程序	34c37bc0-2b40-4d5e-85e1-2365cd256d79
ExternalConnection.ReadWrite.All	委派	bbbbd9b3-3566-4931-ac37-2b2180d9e334
ExternalConnection.ReadWrite.OwnedBy	应用程序	f431331c-49a6-499f-be1c-62af19c34a9d
ExternalConnection.ReadWrite.OwnedBy	委派	4082ad95-c812-4f02-be92-780c4c4f1830
ExternalItem.Read.All	应用程序	7a7cffad-37d2-4f48-afa4-c6ab129adcc2
ExternalItem.Read.All	委派	922f9392-b1b7-483c-a4be-0089be7704fb
ExternalItem.ReadWrite.All	应用程序	38c3d6ee-69ee-422f-b954-e17819665354
ExternalItem.ReadWrite.All	委派	b02c54f8-eb48-4c50-a9f0-a149e5a2012f
ExternalItem.ReadWrite.OwnedBy	应用程序	8116ae0f-55c2-452d-9944-d18420f5b2c8
ExternalItem.ReadWrite.OwnedBy	委派	4367b9d7-cee7-4995-853c-a0bdfe95c1f9
Family.Read	委派	3a1e4806-a744-4c70-80fc-223bf8582c46
Files.Read	委派	10465720-29dd-4523-a11a-6a75c743c9d9
Files.Read.All	应用程序	01d4889c-1287-42c6-ac1f-5d1e02578ef6
Files.Read.All	委派	df85f4d6-205c-4ac5-a5ea-6bf408dba283
Files.Read.Selected	委派	5447fe39-cb82-4c1a-b977-520e67e724eb
Files.ReadWrite	委派	5c28f0bf-8a70-41f1-8ab2-9032436ddb65
Files.ReadWrite.All	应用程序	75359482-378d-4052-8f01-80520e7db3cd
Files.ReadWrite.All	委派	863451e7-0667-486c-a5d6-d135439485f0
Files.ReadWrite.AppFolder	委派	8019c312-3263-48e6-825e-2b833497195b
Files.ReadWrite.Selected	委派	17dde5bd-8c17-420f-a486-969730c1b827
Financials.ReadWrite.All	委派	f534bf13-55d4-45a9-8f3c-c92fe64d6131
Group.Create	应用程序	bf7b1a76-6e77-406b-b258-bf5c7720e98f
Group.Read.All	应用程序	5b567255-7703-4780-807c-7be8301ae99b
Group.Read.All	委派	5f8c59db-677d-491f-a6b8-5f174b11ec1d
Group.ReadWrite.All	应用程序	62a82d76-70ea-41e2-9197-370581804d09
Group.ReadWrite.All	委派	4e46008b-f24c-477d-8fff-7bb4ec7aafe0
GroupMember.Read.All	应用程序	98830695-27a2-44f7-8c18-0c3ebc9698f6
GroupMember.Read.All	委派	bc024368-1153-4739-b217-4326f2e966d0
GroupMember.ReadWrite.All	应用程序	dbaae8cf-10b5-4b86-a4a1-f871c94c6695
GroupMember.ReadWrite.All	委派	f81125ac-d3b7-4573-a3b2-7099cc39df9e
IdentityProvider.Read.All	应用程序	e321f0bb-e7f7-481e-bb28-e3b0b32d4bd0
IdentityProvider.Read.All	委派	43781733-b5a7-4d1b-98f4-e8edff23e1a9
IdentityProvider.ReadWrite.All	应用程序	90db2b9a-d928-4d33-a4dd-8442ae3d41e4
IdentityProvider.ReadWrite.All	委派	f13ce604-1677-429f-90bd-8a10b9f01325
IdentityRiskEvent.Read.All	应用程序	6e472fd1-ad78-48da-a0f0-97ab2c6b769e
IdentityRiskEvent.Read.All	委派	8f6a01e7-0391-4ee5-aa22-a3af122cef27
IdentityRiskEvent.ReadWrite.All	应用程序	db06fb33-1953-4b7b-a2ac-f1e2c854f7ae
IdentityRiskEvent.ReadWrite.All	委派	9e4862a5-b68f-479e-848a-4e07e25c9916
IdentityRiskyServicePrincipal.Read.All	应用程序	607c7344-0eed-41e5-823a-9695ebe1b7b0
IdentityRiskyServicePrincipal.Read.All	委派	ea5c4ab0-5a73-4f35-8272-5d5337884e5d
IdentityRiskyServicePrincipal.ReadWrite.All	应用程序	cb8d6980-6bcb-4507-afec-ed6de3a2d798
IdentityRiskyServicePrincipal.ReadWrite.All	委派	bb6f654c-d7fd-4ae3-85c3-fc380934f515
IdentityRiskyUser.Read.All	应用程序	dc5007c0-2d7d-4c42-879c-2dab87571379
IdentityRiskyUser.Read.All	委派	d04bb851-cb7c-4146-97c7-ca3e71baf56c
IdentityRiskyUser.ReadWrite.All	应用程序	656f6061-f9fe-4807-9708-6a2e0934df76
IdentityRiskyUser.ReadWrite.All	委派	e0a7cdbb-08b0-4697-8264-0069786e9674
IdentityUserFlow.Read.All	应用程序	1b0c317f-dd31-4305-9932-259a8b6e8099
IdentityUserFlow.Read.All	委派	2903d63d-4611-4d43-99ce-a33f3f52e343
IdentityUserFlow.ReadWrite.All	应用程序	65319a09-a2be-469d-8782-f6b07debf789
IdentityUserFlow.ReadWrite.All	委派	281892cc-4dbf-4e3a-b6cc-b21029bb4e82
IMAP.AccessAsUser.All	委派	652390e4-393a-48de-9484-05f9b1212954
IndustryData.ReadBasic.All	应用程序	4f5ac95f-62fd-472c-b60f-125d24ca0bc5
IndustryData.ReadBasic.All	Delegated	60382b96-1f5e-46ea-a544-0407e489e588
IndustryData-DataConnector.Read.All	应用程序	7ab52c2f-a2ee-4d98-9ebc-725e3934aae2
IndustryData-DataConnector.Read.All	Delegated	d19c0de5-7ecb-4aba-b090-da35ebcd5425
IndustryData-DataConnector.ReadWrite.All	应用程序	eda0971c-482e-4345-b28f-69c309cb8a34
IndustryData-DataConnector.ReadWrite.All	Delegated	5ce933ac-3997-4280-aed0-cc072e5c062a
IndustryData-DataConnector.Upload	应用程序	9334c44b-a7c6-4350-8036-6bf8e02b4c1f
IndustryData-DataConnector.Upload	Delegated	fc47391d-ab2c-410f-9059-5600f7af660d
IndustryData-InboundFlow.Read.All	应用程序	305f6ba2-049a-4b1b-88bb-fe7e08758a00
IndustryData-InboundFlow.Read.All	Delegated	cb0774da-a605-42af-959c-32f438fb38f4
IndustryData-InboundFlow.ReadWrite.All	应用程序	e688c61f-d4c6-4d64-a197-3bcf6ba1d6ad
IndustryData-InboundFlow.ReadWrite.All	Delegated	97044676-2cec-40ee-bd70-38df444c9e70
IndustryData-ReferenceDefinition.Read.All	应用程序	6ee891c3-74a4-4148-8463-0c834375dfaf
IndustryData-ReferenceDefinition.Read.All	Delegated	a3f96ffe-cb84-40a8-ac85-582d7ef97c2a
IndustryData-Run.Read.All	应用程序	f6f5d10b-3024-4d1d-b674-aae4df4a1a73
IndustryData-Run.Read.All	Delegated	92685235-50c4-4702-b2c8-36043db6fa79
IndustryData-SourceSystem.Read.All	应用程序	bc167a60-39fe-4865-8b44-78400fc6ed03
IndustryData-SourceSystem.Read.All	Delegated	49b7016c-89ae-41e7-bd6f-b7170c5490bf
IndustryData-SourceSystem.ReadWrite.All	应用程序	7d866958-e06e-4dd6-91c6-a086b3f5cfeb
IndustryData-SourceSystem.ReadWrite.All	Delegated	9599f005-05d6-4ea7-b1b1-4929768af5d0
IndustryData-TimePeriod.Read.All	应用程序	7c55c952-b095-4c23-a522-022bce4cc1e3
IndustryData-TimePeriod.Read.All	Delegated	c9d51f28-8ccd-42b2-a836-fd8fe9ebf2ae
IndustryData-TimePeriod.ReadWrite.All	应用程序	7afa7744-a782-4a32-b8c2-e3db637e8de7
IndustryData-TimePeriod.ReadWrite.All	Delegated	b6d56528-3032-4f9d-830f-5a24a25e6661
InformationProtectionConfig.Read	Delegated	12f4bffb-b598-413c-984b-db99728f8b54
InformationProtectionConfig.Read.All	应用程序	14f49b9f-4bf2-4d24-b80e-b27ec58409bd
InformationProtectionContent.Sign.All	Application	cbe6c7e4-09aa-4b8d-b3c3-2dbb59af4b54
InformationProtectionContent.Write.All	Application	287bd98c-e865-4e8c-bade-1a85523195b9
InformationProtectionPolicy.Read	委派	4ad84827-5578-4e18-ad7a-86530b12f884
InformationProtectionPolicy.Read.All	应用程序	19da66cb-0fb0-4390-b071-ebc76a349482
LearningAssignedCourse.Read	Delegated	ac08cdae-e845-41db-adf9-5899a0ec9ef6
LearningAssignedCourse.Read.All	应用程序	535e6066-2894-49ef-ab33-e2c6d064bb81
LearningAssignedCourse.ReadWrite.All	应用程序	236c1cbd-1187-427f-b0f5-b1852454973b
LearningContent.Read.All	应用程序	8740813e-d8aa-4204-860e-2a0f8f84dbc8
LearningContent.Read.All	Delegated	ea4c1fd9-6a9f-4432-8e5d-86e06cc0da77
LearningContent.ReadWrite.All	应用程序	444d6fcb-b738-41e5-b103-ac4f2a2628a3
LearningContent.ReadWrite.All	Delegated	53cec1c4-a65f-4981-9dc1-ad75dbf1c077
LearningProvider.Read	Delegated	dd8ce36f-9245-45ea-a99e-8ac398c22861
LearningProvider.ReadWrite	Delegated	40c2eb57-abaf-49f5-9331-e90fd01f7130
LearningSelfInitiatedCourse.Read	Delegated	f6403ef7-4a96-47be-a190-69ba274c3f11
LearningSelfInitiatedCourse.Read.All	应用程序	467524fc-ed22-4356-a910-af61191e3503
LearningSelfInitiatedCourse.ReadWrite.All	应用程序	7654ed61-8965-4025-846a-0856ec02b5b0
LicenseAssignment.ReadWrite.All	Application	5facf0c1-8979-4e95-abcf-ff3d079771c0
LicenseAssignment.ReadWrite.All	委派	f55016cc-149c-447e-8f21-7cf3ec1d6350
LifecycleWorkflows.Read.All	应用程序	7c67316a-232a-4b84-be22-cea2c0906404
LifecycleWorkflows.Read.All	Delegated	9bcb9916-765a-42af-bf77-02282e26b01a
LifecycleWorkflows.ReadWrite.All	应用程序	5c505cf4-8424-4b8e-aa14-ee06e3bb23e3
LifecycleWorkflows.ReadWrite.All	Delegated	84b9d731-7db8-4454-8c90-fd9e95350179
Mail.Read	应用程序	810c84a8-4a9e-49e6-bf7d-12d183f40d01
Mail.Read	委派	570282fd-fa5c-430d-a7fd-fc8dc98a9dca
Mail.Read.Shared	委派	7b9103a5-4610-446b-9670-80643382c1fa
Mail.ReadBasic	应用程序	6be147d2-ea4f-4b5a-a3fa-3eab6f3c140a
Mail.ReadBasic	委派	a4b8392a-d8d1-4954-a029-8e668a39a170
Mail.ReadBasic.All	应用程序	693c5e45-0940-467d-9b8a-1022fb9d42ef
Mail.ReadBasic.Shared	Delegated	b11fa0e7-fdb7-4dc9-b1f1-59facd463480
Mail.ReadWrite	应用程序	e2a3a72e-5f79-4c64-b1b1-878b674786c9
Mail.ReadWrite	委派	024d486e-b451-40bb-833d-3e66d98c5c73
Mail.ReadWrite.Shared	委派	5df07973-7d5d-46ed-9847-1271055cbd51
Mail.Send	应用程序	b633e1c5-b582-4048-a93e-9f11b44c7e96
Mail.Send	委派	e383f46e-2787-4529-855e-0e479a3ffac0
Mail.Send.Shared	委派	a367ab51-6b49-43bf-a716-a1fb06d2a174
MailboxSettings.Read	应用程序	40f97065-369a-49f4-947c-6a255697ae91
MailboxSettings.Read	委派	87f447af-9fa4-4c32-9dfa-4a57a73d18ce
MailboxSettings.ReadWrite	应用程序	6931bccd-447a-43d1-b442-00a195474933
MailboxSettings.ReadWrite	委派	818c620a-27a9-40bd-a6a5-d96f7d610b4b
ManagedTenants.Read.All	委派	dc34164e-6c4a-41a0-be89-3ae2fbad7cd3
ManagedTenants.ReadWrite.All	委派	b31fa710-c9b3-4d9e-8f5e-8036eecddab9
Member.Read.Hidden	应用程序	658aa5d8-239f-45c4-aa12-864f4fc7e490
Member.Read.Hidden	委派	f6a3db3e-f7e8-4ed2-a414-557c8c9830be
MultiTenantOrganization.Read.All	应用程序	4f994bc0-31bb-44bb-b480-7a7c1be8c02e
MultiTenantOrganization.Read.All	Delegated	526aa72a-5878-49fe-bf4e-357973af9b06
MultiTenantOrganization.ReadBasic.All	应用程序	f9c2b2a7-3895-4b2e-80f6-c924b456e50b
MultiTenantOrganization.ReadBasic.All	Delegated	225db56b-15b2-4daa-acb3-0eec2bbe4849
MultiTenantOrganization.ReadWrite.All	应用程序	920def01-ca61-4d2d-b3df-105b46046a70
MultiTenantOrganization.ReadWrite.All	Delegated	77af1528-84f3-4023-8d90-d219cd433108
NetworkAccessBranch.Read.All	应用程序	39ae4a24-1ef0-49e8-9d63-2a66f5c39edd
NetworkAccessBranch.Read.All	Delegated	4051c7fc-b429-4804-8d80-8f1f8c24a6f7
NetworkAccessBranch.ReadWrite.All	应用程序	8137102d-ec16-4191-aaf8-7aeda8026183
NetworkAccessBranch.ReadWrite.All	Delegated	b8a36cc2-b810-461a-baa4-a7281e50bd5c
NetworkAccessPolicy.Read.All	应用程序	8a3d36bf-cb46-4bcc-bec9-8d92829dab84
NetworkAccessPolicy.Read.All	Delegated	ba22922b-752c-446f-89d7-a2d92398fceb
NetworkAccessPolicy.ReadWrite.All	应用程序	f0c341be-8348-4989-8e43-660324294538
NetworkAccessPolicy.ReadWrite.All	Delegated	b1fbad0f-ef6e-42ed-8676-bca7fa3e7291
Notes.Create	委派	9d822255-d64d-4b7a-afdb-833b9a97ed02
Notes.Read	委派	371361e4-b9e2-4a3f-8315-2a301a3b0a3d
Notes.Read.All	应用程序	3aeca27b-ee3a-4c2b-8ded-80376e2134a4
Notes.Read.All	委派	dfabfca6-ee36-4db2-8208-7a28381419b3
Notes.ReadWrite	委派	615e26af-c38a-4150-ae3e-c3b0d4cb1d6a
Notes.ReadWrite.All	应用程序	0c458cef-11f3-48c2-a568-c66751c238c0
Notes.ReadWrite.All	委派	64ac0503-b4fa-45d9-b544-71a463f05da0
Notes.ReadWrite.CreatedByApp	委派	ed68249d-017c-4df5-9113-e684c7f8760b
Notifications.ReadWrite.CreatedByApp	委派	89497502-6e42-46a2-8cb2-427fd3df970a
offline_access	委派	7427e0e9-2fba-42fe-b0c0-848c9e6a8182
OnlineMeetingArtifact.Read.All	应用程序	df01ed3b-eb61-4eca-9965-6b3d789751b2
OnlineMeetingArtifact.Read.All	委派	110e5abb-a10c-4b59-8b55-9b4daa4ef743
OnlineMeetingRecording.Read.All	Application	a4a08342-c95d-476b-b943-97e100569c8d
OnlineMeetingRecording.Read.All	委派	190c2bb6-1fdd-4fec-9aa2-7d571b5e1fe3
OnlineMeetings.Read	委派	9be106e1-f4e3-4df5-bdff-e4bc531cbe43
OnlineMeetings.Read.All	应用程序	c1684f21-1984-47fa-9d61-2dc8c296bb70
OnlineMeetings.ReadWrite	委派	a65f2972-a4f8-4f5e-afd7-69ccb046d5dc
OnlineMeetings.ReadWrite.All	应用程序	b8bb2037-6e08-44ac-a4ea-4674e010e2a4
OnlineMeetingTranscript.Read.All	Application	a4a80d8d-d283-4bd8-8504-555ec3870630
OnlineMeetingTranscript.Read.All	委派	30b87d18-ebb1-45db-97f8-82ccb1f0190c
OnPremDirectorySynchronization.Read.All	应用程序	bb70e231-92dc-4729-aff5-697b3f04be95
OnPremDirectorySynchronization.Read.All	Delegated	f6609722-4100-44eb-b747-e6ca0536989d
OnPremDirectorySynchronization.ReadWrite.All	应用程序	c22a92cc-79bf-4bb1-8b6c-e0a05d3d80ce
OnPremDirectorySynchronization.ReadWrite.All	Delegated	c2d95988-7604-4ba1-aaed-38a5f82a51c7
OnPremisesPublishingProfiles.ReadWrite.All	应用程序	0b57845e-aa49-4e6f-8109-ce654fffa618
OnPremisesPublishingProfiles.ReadWrite.All	委派	8c4d5184-71c2-4bf8-bb9d-bc3378c9ad42
openid	委派	37f7f235-527c-4136-accd-4a02d197296e
Organization.Read.All	应用程序	498476ce-e0fe-48b0-b801-37ba7e2685c6
Organization.Read.All	委派	4908d5b9-3fb2-4b1e-9336-1888b7937185
Organization.ReadWrite.All	应用程序	292d869f-3427-49a8-9dab-8c70152b74e9
Organization.ReadWrite.All	委派	46ca0847-7e6b-426e-9775-ea810a948356
OrgContact.Read.All	应用程序	e1a88a34-94c4-4418-be12-c87b00e26bea
OrgContact.Read.All	委派	08432d1b-5911-483c-86df-7980af5cdee0
OrgSettings-AppsAndServices.Read.All	应用程序	56c84fa9-ea1f-4a15-90f2-90ef41ece2c9
OrgSettings-AppsAndServices.Read.All	Delegated	1e9b7a7e-4d64-44ff-acf5-2e9651c1519f
OrgSettings-AppsAndServices.ReadWrite.All	应用程序	4a8e4191-c1c8-45f8-b801-f9a1a5ee6ad3
OrgSettings-AppsAndServices.ReadWrite.All	Delegated	c167b0e7-47c0-48e8-9eee-9892f58018fa
OrgSettings-DynamicsVoice.Read.All	应用程序	c18ae2dc-d9f3-4495-a93f-18980a0e159f
OrgSettings-DynamicsVoice.Read.All	Delegated	9862d930-5aec-4a98-8d4f-7277a8db9bcb
OrgSettings-DynamicsVoice.ReadWrite.All	应用程序	c3f1cc32-8bbd-4ab6-bd33-f270e0d9e041
OrgSettings-DynamicsVoice.ReadWrite.All	Delegated	4cea26fb-6967-4234-82c4-c044414743f8
OrgSettings-Forms.Read.All	应用程序	434d7c66-07c6-4b1f-ab21-417cf2cdaaca
OrgSettings-Forms.Read.All	Delegated	210051a0-1ffc-435c-ae76-02d226d05752
OrgSettings-Forms.ReadWrite.All	应用程序	2cb92fee-97a3-4034-8702-24a6f5d0d1e9
OrgSettings-Forms.ReadWrite.All	Delegated	346c19ff-3fb2-4e81-87a0-bac9e33990c1
OrgSettings-Todo.Read.All	应用程序	e4d9cd09-d858-4363-9410-abb96737f0cf
OrgSettings-Todo.Read.All	Delegated	7ff96f41-f022-45ba-acd8-ef3f03063d6b
OrgSettings-Todo.ReadWrite.All	应用程序	5febc9da-e0d0-4576-bd13-ae70b2179a39
OrgSettings-Todo.ReadWrite.All	Delegated	087502c2-5263-433e-abe3-8f77231a0627
People.Read	委派	ba47897c-39ec-4d83-8086-ee8256fa737d
People.Read.All	应用程序	b528084d-ad10-4598-8b93-929746b4d7d6
People.Read.All	委派	b89f9189-71a5-4e70-b041-9887f0bc7e4a
PeopleSettings.Read.All	应用程序	ef02f2e7-e22d-4c77-8614-8f765683b86e
PeopleSettings.Read.All	Delegated	ec762c5f-388b-4b16-8693-ac1efbc611bc
PeopleSettings.ReadWrite.All	应用程序	b6890674-9dd5-4e42-bb15-5af07f541ae1
PeopleSettings.ReadWrite.All	Delegated	e67e6727-c080-415e-b521-e3f35d5248e9
Place.Read.All	应用程序	913b9306-0ce1-42b8-9137-6a7df690a760
Place.Read.All	委派	cb8f45a0-5c2e-4ea1-b803-84b870a7d7ec
Place.ReadWrite.All	委派	4c06a06a-098a-4063-868e-5dfee3827264
Policy.Read.All	应用程序	246dd0d5-5bd0-4def-940b-0421030a5b68
Policy.Read.All	委派	572fea84-0151-49b2-9301-11cb16974376
Policy.Read.ConditionalAccess	应用程序	37730810-e9ba-4e46-b07e-8ca78d182097
Policy.Read.ConditionalAccess	委派	633e0fce-8c58-4cfb-9495-12bbd5a24f7c
Policy.Read.PermissionGrant	应用程序	9e640839-a198-48fb-8b9a-013fd6f6cbcd
Policy.Read.PermissionGrant	委派	414de6ea-2d92-462f-b120-6e2a809a6d01
Policy.ReadWrite.AccessReview	应用	77c863fd-06c0-47ce-a7eb-49773e89d319
Policy.ReadWrite.AccessReview	委派	4f5bc9c8-ea54-4772-973a-9ca119cb0409
Policy.ReadWrite.ApplicationConfiguration	应用程序	be74164b-cff1-491c-8741-e671cb536e13
Policy.ReadWrite.ApplicationConfiguration	委派	b27add92-efb2-4f16-84f5-8108ba77985c
Policy.ReadWrite.AuthenticationFlows	应用程序	25f85f3c-f66c-4205-8cd5-de92dd7f0cec
Policy.ReadWrite.AuthenticationFlows	委派	edb72de9-4252-4d03-a925-451deef99db7
Policy.ReadWrite.AuthenticationMethod	应用程序	29c18626-4985-4dcd-85c0-193eef327366
Policy.ReadWrite.AuthenticationMethod	委派	7e823077-d88e-468f-a337-e18f1f0e6c7c
Policy.ReadWrite.Authorization	应用程序	fb221be6-99f2-473f-bd32-01c6a0e9ca3b
Policy.ReadWrite.Authorization	委派	edd3c878-b384-41fd-95ad-e7407dd775be
Policy.ReadWrite.ConditionalAccess	应用程序	01c0a623-fc9b-48e9-b794-0756f8e8f067
Policy.ReadWrite.ConditionalAccess	委派	ad902697-1014-4ef5-81ef-2b4301988e8c
Policy.ReadWrite.ConsentRequest	应用程序	999f8c63-0a38-4f1b-91fd-ed1947bdd1a9
Policy.ReadWrite.ConsentRequest	委派	4d135e65-66b8-41a8-9f8b-081452c91774
Policy.ReadWrite.CrossTenantAccess	应用程序	338163d7-f101-4c92-94ba-ca46fe52447c
Policy.ReadWrite.CrossTenantAccess	委派	014b43d0-6ed4-4fc6-84dc-4b6f7bae7d85
Policy.ReadWrite.DeviceConfiguration	委派	40b534c3-9552-4550-901b-23879c90bcf9
Policy.ReadWrite.ExternalIdentities	应用程序	03cc4f92-788e-4ede-b93f-199424d144a5
Policy.ReadWrite.ExternalIdentities	Delegated	b5219784-1215-45b5-b3f1-88fe1081f9c0
Policy.ReadWrite.FeatureRollout	应用程序	2044e4f1-e56c-435b-925c-44cd8f6ba89a
Policy.ReadWrite.FeatureRollout	委派	92a38652-f13b-4875-bc77-6e1dbb63e1b2
Policy.ReadWrite.MobilityManagement	委派	a8ead177-1889-4546-9387-f25e658e2a79
Policy.ReadWrite.PermissionGrant	应用程序	a402ca1c-2696-4531-972d-6e5ee4aa11ea
Policy.ReadWrite.PermissionGrant	委派	2672f8bb-fd5e-42e0-85e1-ec764dd2614e
Policy.ReadWrite.SecurityDefaults	应用程序	1c6e93a6-28e2-4cbb-9f64-1a46a821124d
Policy.ReadWrite.SecurityDefaults	Delegated	0b2a744c-2abf-4f1e-ad7e-17a087e2be99
Policy.ReadWrite.TrustFramework	应用程序	79a677f7-b79d-40d0-a36a-3e6f8688dd7a
Policy.ReadWrite.TrustFramework	委派	cefba324-1a70-4a6e-9c1d-fd670b7ae392
POP.AccessAsUser.All	委派	d7b7f2d9-0f45-4ea1-9d42-e50810c06991
Presence.Read	委派	76bc735e-aecd-4a1d-8b4c-2b915deabb79
Presence.Read.All	委派	9c7a330d-35b3-4aa1-963d-cb2b9f927841
Presence.ReadWrite	委派	8d3c54a7-cf58-4773-bf81-c0cd6ad522bb
Presence.ReadWrite.All	应用程序	83cded22-8297-4ff6-a7fa-e97e9545a259
PrintConnector.Read.All	委派	d69c2d6d-4f72-4f99-a6b9-663e32f8cf68
PrintConnector.ReadWrite.All	委派	79ef9967-7d59-4213-9c64-4b10687637d8
Printer.Create	委派	90c30bed-6fd1-4279-bf39-714069619721
Printer.FullControl.All	委派	93dae4bd-43a1-4a23-9a1a-92957e1d9121
Printer.Read.All	应用程序	9709bb33-4549-49d4-8ed9-a8f65e45bb0f
Printer.Read.All	委派	3a736c8a-018e-460a-b60c-863b2683e8bf
Printer.ReadWrite.All	应用程序	f5b3f73d-6247-44df-a74c-866173fddab0
Printer.ReadWrite.All	委派	89f66824-725f-4b8f-928e-e1c5258dc565
PrinterShare.Read.All	委派	ed11134d-2f3f-440d-a2e1-411efada2502
PrinterShare.ReadBasic.All	委派	5fa075e9-b951-4165-947b-c63396ff0a37
PrinterShare.ReadWrite.All	委派	06ceea37-85e2-40d7-bec3-91337a46038f
PrintJob.Create	委派	21f0d9c0-9f13-48b3-94e0-b6b231c7d320
PrintJob.Manage.All	应用程序	58a52f47-9e36-4b17-9ebe-ce4ef7f3e6c8
PrintJob.Read	委派	248f5528-65c0-4c88-8326-876c7236df5e
PrintJob.Read.All	应用程序	ac6f956c-edea-44e4-bd06-64b1b4b9aec9
PrintJob.Read.All	委派	afdd6933-a0d8-40f7-bd1a-b5d778e8624b
PrintJob.ReadBasic	委派	6a71a747-280f-4670-9ca0-a9cbf882b274
PrintJob.ReadBasic.All	应用程序	fbf67eee-e074-4ef7-b965-ab5ce1c1f689
PrintJob.ReadBasic.All	委派	04ce8d60-72ce-4867-85cf-6d82f36922f3
PrintJob.ReadWrite	委派	b81dd597-8abb-4b3f-a07a-820b0316ed04
PrintJob.ReadWrite.All	应用程序	5114b07b-2898-4de7-a541-53b0004e2e13
PrintJob.ReadWrite.All	委派	036b9544-e8c5-46ef-900a-0646cc42b271
PrintJob.ReadWriteBasic	委派	6f2d22f2-1cb6-412c-a17c-3336817eaa82
PrintJob.ReadWriteBasic.All	应用程序	57878358-37f4-4d3a-8c20-4816e0d457b1
PrintJob.ReadWriteBasic.All	委派	3a0db2f6-0d2a-4c19-971b-49109b19ad3d
PrintSettings.Read.All	应用程序	b5991872-94cf-4652-9765-29535087c6d8
PrintSettings.Read.All	委派	490f32fd-d90f-4dd7-a601-ff6cdc1a3f6c
PrintSettings.ReadWrite.All	委派	9ccc526a-c51c-4e5c-a1fd-74726ef50b8f
PrintTaskDefinition.ReadWrite.All	应用程序	456b71a7-0ee0-4588-9842-c123fcc8f664
PrivilegedAccess.Read.AzureAD	应用程序	4cdc2547-9148-4295-8d11-be0db1391d6b
PrivilegedAccess.Read.AzureAD	委派	b3a539c9-59cb-4ad5-825a-041ddbdc2bdb
PrivilegedAccess.Read.AzureADGroup	应用程序	01e37dc9-c035-40bd-b438-b2879c4870a6
PrivilegedAccess.Read.AzureADGroup	委派	d329c81c-20ad-4772-abf9-3f6fdb7e5988
PrivilegedAccess.Read.AzureResources	应用程序	5df6fe86-1be0-44eb-b916-7bd443a71236
PrivilegedAccess.Read.AzureResources	委派	1d89d70c-dcac-4248-b214-903c457af83a
PrivilegedAccess.ReadWrite.AzureAD	应用程序	854d9ab1-6657-4ec8-be45-823027bcd009
PrivilegedAccess.ReadWrite.AzureAD	委派	3c3c74f5-cdaa-4a97-b7e0-4e788bfcfb37
PrivilegedAccess.ReadWrite.AzureADGroup	应用程序	2f6817f8-7b12-4f0f-bc18-eeaf60705a9e
PrivilegedAccess.ReadWrite.AzureADGroup	委派	32531c59-1f32-461f-b8df-6f8a3b89f73b
PrivilegedAccess.ReadWrite.AzureResources	应用程序	6f9d5 abc-2db6-400b-a267-7de22a40fb87
PrivilegedAccess.ReadWrite.AzureResources	委派	a84a9652-ffd3-496e-a991-22ba5529156a
PrivilegedAssignmentSchedule.Read.AzureADGroup	应用程序	cd4161cb-f098-48f8-a884-1eda9a42434c
PrivilegedAssignmentSchedule.Read.AzureADGroup	Delegated	02a32cc4-7ab5-4b58-879a-0586e0f7c495
PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup	应用程序	41202f2c-f7ab-45be-b001-85c9728b9d69
PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup	Delegated	06dbc45d-6708-4ef0-a797-f797ee68bf4b
PrivilegedEligibilitySchedule.Read.AzureADGroup	应用程序	edb419d6-7edc-42a3-9345-509bfdf5d87c
PrivilegedEligibilitySchedule.Read.AzureADGroup	Delegated	8f44f93d-ecef-46ae-a9bf-338508d44d6b
PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup	应用程序	618b6020-bca8-4de6-99f6-ef445fa4d857
PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup	Delegated	ba974594-d163-484e-ba39-c330d5897667
个人资料	委派	14dad69e-099b-42c9-810b-d002981feec1
ProgramControl.Read.All	应用程序	eedb7fdd-7539-4345-a38b-4839e4a84cbd
ProgramControl.Read.All	委派	c492a2e1-2f8f-4caa-b076-99bbf6e40fe4
ProgramControl.ReadWrite.All	应用程序	60a901ed-09f7-4aa5-a16e-7dd3d6f9de36
ProgramControl.ReadWrite.All	委派	50fd364f-9d93-4ae1-b170-300e87cccf84
QnA.Read.All	应用程序	ee49e170-1dd1-4030-b44c-61ad6e98f743
QnA.Read.All	Delegated	f73fa04f-b9a5-4df9-8843-993ce928925e
RecordsManagement.Read.All	Application	ac3a2b8e-03a3-4da9-9ce0-cbe28bf1accd
RecordsManagement.Read.All	委派	07f995eb-fc67-4522-ad66-2b8ca8ea3efd
RecordsManagement.ReadWrite.All	Application	eb158f57-df43-4751-8b21-b8932adb3d34
RecordsManagement.ReadWrite.All	委派	f2833d75-a4e6-40ab-86d4-6dfe73c97605
Reports.Read.All	应用程序	230c1aed-a721-4c5d-9cb4-a90514e508ef
Reports.Read.All	委派	02e97553-ed7b-43d0-ab3c-f8bace0d040c
ReportSettings.Read.All	应用程序	ee353f83-55ef-4b78-82da-555bfa2b4b95
ReportSettings.Read.All	Delegated	84fac5f4-33a9-4100-aa38-a20c6d29e5e7
ReportSettings.ReadWrite.All	应用程序	2a60023f-3219-47ad-baa4-40e17cd02a1d
ReportSettings.ReadWrite.All	Delegated	b955410e-7715-4a88-a940-dfd551018df3
ResourceSpecificPermissionGrant.ReadForUser	Delegated	83834009-f9ec-40f2-a2aa-78aeabb74eed
ResourceSpecificPermissionGrant.ReadForUser.All	应用程序	acfca4d5-f49f-40ed-9648-84068b474c73
RoleAssignmentSchedule.Read.Directory	应用程序	d5fe8ce8-684c-4c83-a52c-46e882ce4be1
RoleAssignmentSchedule.Read.Directory	委派	344a729c-0285-42c6-9014-f12b9b8d6129
RoleAssignmentSchedule.ReadWrite.Directory	应用程序	dd199f4a-f148-40a4-a2ec-f0069cc799ec
RoleAssignmentSchedule.ReadWrite.Directory	委派	8c026be3-8e26-4774-9372-8d5d6f21daff
RoleEligibilitySchedule.Read.Directory	应用程序	ff278e11-4a33-4d0c-83d2-d01dc58929a5
RoleEligibilitySchedule.Read.Directory	委派	eb0788c2-6d4e-4658-8c9e-c0fb8053f03d
RoleEligibilitySchedule.ReadWrite.Directory	应用程序	fee28b28-e1f3-4841-818e-2704dc62245f
RoleEligibilitySchedule.ReadWrite.Directory	委派	62ade113-f8e0-4bf9-a6ba-5acb31db32fd
RoleManagement.Read.All	应用程序	c7fbd983-d9aa-4fa7-84b8-17382c103bc4
RoleManagement.Read.All	委派	48fec646-b2ba-4019-8681-8eb31435aded
RoleManagement.Read.CloudPC	应用程序	031a549a-bb80-49b6-8032-2068448c6a3c
RoleManagement.Read.CloudPC	委派	9619b88a-8a25-48a7-9571-d23be0337a79
RoleManagement.Read.Directory	应用程序	483bed4a-2ad3-4361-a73b-c83ccdbdc53c
RoleManagement.Read.Directory	委派	741c54c3-0c1e-44a1-818b-3f97ab4e8c83
RoleManagement.Read.Exchange	应用程序	c769435f-f061-4d0b-8ff1-3d39870e5f85
RoleManagement.Read.Exchange	Delegated	3bc15058-7858-4141-b24f-ae43b4e80b52
RoleManagement.ReadWrite.CloudPC	应用程序	274d0592-d1b6-44bd-af1d-26d259bcb43a
RoleManagement.ReadWrite.CloudPC	委派	501d06f8-07b8-4f18-b5c6-c191a4af7a82
RoleManagement.ReadWrite.Directory	应用程序	9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8
RoleManagement.ReadWrite.Directory	委派	d01b97e9-cbc0-49fe-810a-750afd5527a3
RoleManagement.ReadWrite.Exchange	应用程序	025d3225-3f02-4882-b4c0-cd5b541a4e80
RoleManagement.ReadWrite.Exchange	Delegated	c1499fe0-52b1-4b22-bed2-7a244e0e879f
RoleManagementAlert.Read.Directory	应用程序	ef31918f-2d50-4755-8943-b8638c0a077e
RoleManagementAlert.Read.Directory	Delegated	cce71173-f76d-446e-97ff-efb2d82e11b1
RoleManagementAlert.ReadWrite.Directory	应用程序	11059518-d6a6-4851-98ed-509268489c4a
RoleManagementAlert.ReadWrite.Directory	Delegated	435644c6-a5b1-40bf-8f52-fe8e5b53e19c
RoleManagementPolicy.Read.AzureADGroup	应用程序	69e67828-780e-47fd-b28c-7b27d14864e6
RoleManagementPolicy.Read.AzureADGroup	Delegated	7e26fdff-9cb1-4e56-bede-211fe0e420e8
RoleManagementPolicy.Read.Directory	应用程序	fdc4c997-9942-4479-bfcb-75a36d1138df
RoleManagementPolicy.Read.Directory	委派	3de2cdbe-0ff5-47d5-bdee-7f45b4749ead
RoleManagementPolicy.ReadWrite.AzureADGroup	应用程序	b38dcc4d-a239-4ed6-aa84-6c65b284f97c
RoleManagementPolicy.ReadWrite.AzureADGroup	Delegated	0da165c7-3f15-4236-b733-c0b0f6abe41d
RoleManagementPolicy.ReadWrite.Directory	应用程序	31e08e0a-d3f7-4ca2-ac39-7343fb83e8ad
RoleManagementPolicy.ReadWrite.Directory	委派	1ff1be21-34eb-448c-9ac9-ce1f506b2a68
Schedule.Read.All	应用程序	7b2ebf90-d836-437f-b90d-7b62722c4456
Schedule.Read.All	委派	fccf6dd8-5706-49fa-811f-69e2e1b585d0
Schedule.ReadWrite.All	应用程序	b7760610-0545-4e8a-9ec3-cce9e63db01c
Schedule.ReadWrite.All	委派	63f27281-c9d9-4f29-94dd-6942f7f1feb0
SearchConfiguration.Read.All	应用程序	ada977a5-b8b1-493b-9a91-66c206d76ecf
SearchConfiguration.Read.All	委派	7d307522-aa38-4cd0-bd60-90c6f0ac50bd
SearchConfiguration.ReadWrite.All	应用程序	0e778b85-fefa-466d-9eec-750569d92122
SearchConfiguration.ReadWrite.All	委派	b1a7d408-cab0-47d2-a2a5-a74a3733600d
SecurityActions.Read.All	应用程序	5e0edab9-c148-49d0-b423-ac253e121825
SecurityActions.Read.All	委派	1638cddf-07a4-4de2-8645-69c96cacad73
SecurityActions.ReadWrite.All	应用程序	f2bf083f-0179-402a-bedb-b2784de8a49b
SecurityActions.ReadWrite.All	委派	dc38509c-b87d-4da0-bd92-6bec988bac4a
SecurityAlert.Read.All	应用程序	472e4a4d-bb4a-4026-98d1-0b0d74cb74a5
SecurityAlert.Read.All	委派	bc257fb8-46b4-4b15-8713-01e91bfbe4ea
SecurityAlert.ReadWrite.All	应用程序	ed4fca05-be46-441f-9803-1873825f8f8fdb
SecurityAlert.ReadWrite.All	委派	471f2a7f-2a42-4d45-a2bf-594d0838070d
SecurityAnalyzedMessage.Read.All	应用程序	b48f7ac2-044d-4281-b02f-75db744d6f5f
SecurityAnalyzedMessage.Read.All	Delegated	53e6783e-b127-4a35-ab3a-6a52d80a9077
SecurityAnalyzedMessage.ReadWrite.All	应用程序	04c55753-2244-4c25-87fc-704ab82a4f69
SecurityAnalyzedMessage.ReadWrite.All	Delegated	48eb8c83-6e58-46e7-a6d3-8805822f5940
SecurityEvents.Read.All	应用程序	bf394140-e372-4bf9-a898-299cfc7564e5
SecurityEvents.Read.All	委派	64733abd-851e-478a-bffb-e47a14b18235
SecurityEvents.ReadWrite.All	应用程序	d903a879-88e0-4c09-b0c9-82f6a1333f84
SecurityEvents.ReadWrite.All	委派	6aedf524-7e1c-45a7-bd76-ded8cab8d0fc
SecurityIncident.Read.All	应用程序	45cc0394-e837-488b-a098-1918f48d186c
SecurityIncident.Read.All	委派	b9abcc4f-94fc-4457-9141-d20ce80ec952
SecurityIncident.ReadWrite.All	应用程序	34bf0e97-1971-4929-b999-9e2442d941d7
SecurityIncident.ReadWrite.All	委派	128ca929-1a19-45e6-a3b8-435ec44a36ba
ServiceHealth.Read.All	应用程序	79c261e0-fe76-4144-aad5-bdc68fbe4037
ServiceHealth.Read.All	委派	55896846-df78-47a7-aa94-8d3d4442ca7f
ServiceMessage.Read.All	应用程序	1b620472-6534-4fe6-9df2-4680e8aa28ec
ServiceMessage.Read.All	委派	eda39fa6-f8cf-4c3c-a909-432c683e4c9b
ServiceMessageViewpoint.Write	委派	636e1b0b-1cc2-4b1c-9aa9-4eeed9b9761b
ServicePrincipalEndpoint.Read.All	应用程序	5256681e-b7f6-40c0-8447-2d9db68797a0
ServicePrincipalEndpoint.Read.All	委派	9f9ce928-e038-4e3b-8faf-7b59049a8ddc
ServicePrincipalEndpoint.ReadWrite.All	应用程序	89c8469c-83ad-45f7-8ff2-6e3d4285709e
ServicePrincipalEndpoint.ReadWrite.All	委派	7297d82c-9546-4aed-91df-3d4f0a9b3ff0
SharePointTenantSettings.Read.All	应用程序	83d4163d-a2d8-4d3b-9695-4ae3ca98f888
SharePointTenantSettings.Read.All	委派	2ef70e10-5bfd-4ede-a5f6-67720500b258
SharePointTenantSettings.ReadWrite.All	应用程序	19b94e34-907c-4f43-bde9-38b1909ed408
SharePointTenantSettings.ReadWrite.All	委派	aa07f155-3612-49b8-a147-6c590df35536
ShortNotes.Read	委派	50f66e47-eb56-45b7-aaa2-75057d9afe08
ShortNotes.Read.All	应用程序	0c7d31ec-31ca-4f58-b6ec-9950b6b0de69
ShortNotes.ReadWrite	委派	328438b7-4c01-4c07-a840-e625a749bb89
ShortNotes.ReadWrite.All	应用程序	842c284c-763d-4a97-838d-79787d129bab
Sites.FullControl.All	应用程序	a82116e5-55eb-4c41-a434-62fe8a61c773
Sites.FullControl.All	委派	5a54b8b3-347c-476d-8f8e-42d5c7424d29
Sites.Manage.All	应用程序	0c0bf378-bf22-4481-8f81-9e89a9b4960a
Sites.Manage.All	委派	65e50fdc-43b7-4915-933e-e8138f11f40a
Sites.Read.All	应用程序	332a536c-c7ef-4017-ab91-336970924f0d
Sites.Read.All	委派	205e70e5-aba6-4c52-a976-6d2d46c48043
Sites.ReadWrite.All	应用程序	9492366f-7969-46a4-8d15-ed1a20078fff
Sites.ReadWrite.All	委派	89fe6a52-be36-487e-b7d8-d061c450a026
Sites.Selected	应用程序	883ea226-0bf2-4a8f-9f9d-92c9162a727d
SMTP.Send	委派	258f6531-6087-4cc4-bb90-092c5fb3ed3f
SubjectRightsRequest.Read.All	应用	ee1460f0-368b-4153-870a-4e1ca7e72c42
SubjectRightsRequest.Read.All	委派	9c3af74c-fd0f-4db4-b17a-71939e2a9d77
SubjectRightsRequest.ReadWrite.All	应用	8387eaa4-1a3c-41f5-b261-f888138e6041
SubjectRightsRequest.ReadWrite.All	委派	2b8fcc74-bce1-4ae3-a0e8-60c53739299d
Subscription.Read.All	委派	5f88184c-80bb-4d52-9ff2-757288b2e9b7
Synchronization.Read.All	应用程序	5ba43d2f-fa88-4db2-bd1c-a67c5f0fb1ce
Synchronization.Read.All	Delegated	7aa02aeb-824f-4fbe-a3f7-611f751f5b55
Synchronization.ReadWrite.All	应用程序	9b50c33d-700f-43b1-b2eb-87e89b703581
Synchronization.ReadWrite.All	Delegated	7bb27fa3-ea8f-4d67-a916-87715b6188bd
SynchronizationData-User.Upload	应用程序	db31e92a-b9ea-4d87-bf6a-75a37a9ca35a
SynchronizationData-User.Upload	Delegated	1a2e7420-4e92-4d2b-94cb-fb2952e9ddf7
Tasks.Read	委派	f45671fb-e0fe-4b4b-be20-3d3ce43f1bcb
Tasks.Read.All	Application	f10e1f91-74ed-437f-a6fd-d6ae88e26c1f
Tasks.Read.Shared	委派	88d21fd4-8e5a-4c32-b5e2-4a1c95f34f72
Tasks.ReadWrite	委派	2219042f-cab5-40cc-b0d2-16b1540b4c5f
Tasks.ReadWrite.All	Application	44e666d1-d276-445b-a5fc-8815eeb81d55
Tasks.ReadWrite.Shared	委派	c5ddf11b-c114-4886-8558-8a4e557cd52b
Team.Create	应用程序	23fc2474-f741-46ce-8465-674744c5c361
Team.Create	委派	7825d5d6-6049-4ce7-bdf6-3b8d53f4bcd0
Team.ReadBasic.All	应用程序	2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e
Team.ReadBasic.All	委派	485be79e-c497-4b35-9400-0e3fa7f2a5d4
TeamMember.Read.All	应用程序	660b7406-55f1-41ca-a0ed-0b035e182f3e
TeamMember.Read.All	委派	2497278c-d82d-46a2-b1ce-39d4cdde5570
TeamMember.ReadWrite.All	应用程序	0121dc95-1b9f-4aed-8bac-58c5ac466691
TeamMember.ReadWrite.All	委派	4a06efd2-f825-4e34-813e-82a57b03d1ee
TeamMember.ReadWriteNonOwnerRole.All	应用程序	4437522e-9a86-4a41-a7da-e380edd4a97d
TeamMember.ReadWriteNonOwnerRole.All	委派	2104a4db-3a2f-4ea0-9dba-143d457dc666
TeamsActivity.Read	委派	0e755559-83fb-4b44-91d0-4cc721b9323e
TeamsActivity.Read.All	应用程序	70dec828-f620-4914-aa83-a29117306807
TeamsActivity.Send	应用程序	a267235f-af13-44dc-8385-c1dc93023186
TeamsActivity.Send	委派	7ab1d787-bae7-4d5d-8db6-37ea32df9186
TeamsAppInstallation.ReadForChat	委派	bf3fbf03-f35f-4e93-963e-47e4d874c37a
TeamsAppInstallation.ReadForChat.All	应用程序	cc7e7635-2586-41d6-adaa-a8d3bcad5ee5
TeamsAppInstallation.ReadForTeam	委派	5248dcb1-f83b-4ec3-9f4d-a4428a961a72
TeamsAppInstallation.ReadForTeam.All	应用程序	1f615aea-6bf9-4b05-84bd-46388e138537
TeamsAppInstallation.ReadForUser	委派	c395395c-ff9a-4dba-bc1f-8372ba9dca84
TeamsAppInstallation.ReadForUser.All	应用程序	9ce09611-f4f7-4abd-a629-a05450422a97
TeamsAppInstallation.ReadWriteAndConsentForChat	Delegated	e1408a66-8f82-451b-a2f3-3c3e38f7413f
TeamsAppInstallation.ReadWriteAndConsentForChat.All	应用程序	6e74eff9-4a21-45d6-bc03-3a20f61f8281
TeamsAppInstallation.ReadWriteAndConsentForTeam	Delegated	946349d5-2a9d-4535-abc0-7beeacaedd1d
TeamsAppInstallation.ReadWriteAndConsentForTeam.All	应用程序	b0c13be0-8e20-4bc5-8c55-963c23a39ce9
TeamsAppInstallation.ReadWriteAndConsentForUser	Delegated	0688cf9a-12d9-4fa7-8d77-40aca89d08d8
TeamsAppInstallation.ReadWriteAndConsentForUser.All	应用程序	32ca478f-f89e-41d0-aaf8-101deb7da510
TeamsAppInstallation.ReadWriteAndConsentSelfForChat	Delegated	a0e0e18b-8fb2-458f-8130-da2d7cab9c75
TeamsAppInstallation.ReadWriteAndConsentSelfForChat.All	应用程序	ba1ba90b-2d8f-487e-9f16-80728d85bb5c
TeamsAppInstallation.ReadWriteAndConsentSelfForTeam	Delegated	4a6bbf29-a0e1-4a4d-a7d1-cef17f772975
TeamsAppInstallation.ReadWriteAndConsentSelfForTeam.All	应用程序	1e4be56c-312e-42b8-a2c9-009600d732c0
TeamsAppInstallation.ReadWriteAndConsentSelfForUser	Delegated	48e2957e-5bb6-4b45-a404-9f0a2b902c40
TeamsAppInstallation.ReadWriteAndConsentSelfForUser.All	应用程序	a87076cf-6abd-4e56-8559-4dbdf41bef96
TeamsAppInstallation.ReadWriteForChat	委派	aa85bf13-d771-4d5d-a9e6-bca04ce44edf
TeamsAppInstallation.ReadWriteForChat.All	应用程序	9e19bae1-2623-4c4f-ab6e-2664615ff9a0
TeamsAppInstallation.ReadWriteForTeam	委派	2e25a044-2580-450d-8859-42eeb6e996c0
TeamsAppInstallation.ReadWriteForTeam.All	应用程序	5dad17ba-f6cc-4954-a5a2-a0dcc95154f0
TeamsAppInstallation.ReadWriteForUser	委派	093f8818-d05f-49b8-95bc-9d2a73e9a43c
TeamsAppInstallation.ReadWriteForUser.All	应用程序	74ef0291-ca83-4d02-8c7e-d2391e6a444f
TeamsAppInstallation.ReadWriteSelfForChat	委派	0ce33576-30e8-43b7-99e5-62f8569a4002
TeamsAppInstallation.ReadWriteSelfForChat.All	应用程序	73a45059-f39c-4baf-9182-4954ac0e55cf
TeamsAppInstallation.ReadWriteSelfForTeam	委派	0f4595f7-64b1-4e13-81bc-11a249df07a9
TeamsAppInstallation.ReadWriteSelfForTeam.All	应用程序	9f67436c-5415-4e7f-8ac1-3014a7132630
TeamsAppInstallation.ReadWriteSelfForUser	委派	207e0cb1-3ce7-4922-b991-5a760c346ebc
TeamsAppInstallation.ReadWriteSelfForUser.All	应用程序	908de74d-f8b2-4d6b-a9ed-2a17b3b78179
TeamSettings.Read.All	应用程序	242607bd-1d2c-432c-82eb-bdb27baa23ab
TeamSettings.Read.All	委派	48638b3c-ad68-4383-8ac4-e6880ee6ca57
TeamSettings.ReadWrite.All	应用程序	bdd80a03-d9bc-451d-b7c4-ce7c63fe3c8f
TeamSettings.ReadWrite.All	委派	39d65650-9d3e-4223-80db-a335590d027e
TeamsTab.Create	应用程序	49981c42-fd7b-4530-be03-e77b21aed25e
TeamsTab.Create	委派	a9ff19c2-f369-4a95-9a25-ba9d460efc8e
TeamsTab.Read.All	应用程序	46890524-499a-4bb2-ad64-1476b4f3e1cf
TeamsTab.Read.All	委派	59dacb05-e88d-4c13-a684-59f1afc8cc98
TeamsTab.ReadWrite.All	应用程序	a96d855f-016b-47d7-b51c-1218a98d791c
TeamsTab.ReadWrite.All	委派	b98bfd41-87c6-45cc-b104-e2de4f0dafb9
TeamsTab.ReadWriteForChat	委派	ee928332-e9c2-4747-b4a0-f8c164b68de6
TeamsTab.ReadWriteForChat.All	应用程序	fd9ce730-a250-40dc-bd44-8dc8d20f39ea
TeamsTab.ReadWriteForTeam	委派	c975dd04-a06e-4fbb-9704-62daad77bb49
TeamsTab.ReadWriteForTeam.All	应用程序	6163d4f4-fbf8-43da-a7b4-060fe85ed148
TeamsTab.ReadWriteForUser	委派	c37c9b61-7762-4bff-a156-afc0005847a0
TeamsTab.ReadWriteForUser.All	应用程序	425b4b59-d5af-45c8-832f-bb0b7402348a
TeamsTab.ReadWriteSelfForChat	委派	0c219d04-3abf-47f7-912d-5pga239e90e6
TeamsTab.ReadWriteSelfForChat.All	应用程序	9f62e4a2-a2d6-4350-b28b-d244728c4f86
TeamsTab.ReadWriteSelfForTeam	委派	f266662f-120a-4314-b26a-99b08617c7ef
TeamsTab.ReadWriteSelfForTeam.All	应用程序	91c32b81-0ef0-453f-a5c7-4ce2e562f449
TeamsTab.ReadWriteSelfForUser	委派	395dfec1-a0b9-465f-a783-8250a430cb8c
TeamsTab.ReadWriteSelfForUser.All	应用程序	3c42dec6-49e8-4a0a-b469-36cff0d9da93
TeamTemplates.Read	Delegated	cd87405c-5792-4f15-92f7-debc0db6d1d6
TeamTemplates.Read.All	应用程序	6323133e-1f6e-46d4-9372-ac33a0870636
Teamwork.Migrate.All	应用程序	dfb0dd15-61de-45b2-be36-d6a69fba3c79
TeamworkAppSettings.Read.All	应用	475ebe88-f071-4bd7-af2b-642952bd4986
TeamworkAppSettings.Read.All	Delegated	44e060c4-bbdc-4256-a0b9-dcc0396db368
TeamworkAppSettings.ReadWrite.All	应用	ab5b445e-8f10-45f4-9c79-dd3f8062cc4e
TeamworkAppSettings.ReadWrite.All	Delegated	87c556f0-2bd9-4eed-bd74-5dd8af6eaf7e
TeamworkDevice.Read.All	应用程序	0591bafd-7c1c-4c30-a2a5-2b9aacb1dfe8
TeamworkDevice.Read.All	委派	b659488b-9d28-4208-b2be-1c6652b3c970
TeamworkDevice.ReadWrite.All	应用程序	79c02f5b-bd4f-4713-bc2c-a8a4a66e127b
TeamworkDevice.ReadWrite.All	委派	ddd97ecb-5c31-43db-a235-0ee20e635c40
TeamworkTag.Read	委派	57587d0b-8399-45be-b207-8050cec54575
TeamworkTag.Read.All	应用程序	b74fd6c4-4bde-488e-9695-eeb100e4907f
TeamworkTag.ReadWrite	委派	539dabd7-b5b6-4117-b164-d60cd15a8671
TeamworkTag.ReadWrite.All	应用程序	a3371ca5-911d-46d6-901c-42c8c7a937d8
TermStore.Read.All	应用程序	ea047cc2-df29-4f3e-83a3-205de61501ca
TermStore.Read.All	委派	297f747b-0005-475b-8fef-c890f5152b38
TermStore.ReadWrite.All	应用程序	f12eb8d6-28e3-46e6-b2c0-b7e4dc69fc95
TermStore.ReadWrite.All	委派	6c37c71d-f50f-4bff-8fd3-8a41da390140
ThreatAssessment.Read.All	应用程序	f8f035bb-2cce-47fb-8bf5-7baf3ecbee48
ThreatAssessment.ReadWrite.All	委派	cac97e40-6730-457d-ad8d-4852fddab7ad
ThreatHunting.Read.All	应用程序	dd98c7f5-2d42-42d3-a0e4-633161547251
ThreatHunting.Read.All	委派	b152eca8-ea73-4a48-8c98-1a6742673d99
ThreatIndicators.Read.All	应用程序	197ee4e9-b993-4066-898f-d6aecc55125b
ThreatIndicators.Read.All	委派	9cc427b4-2004-41c5-aa22-757b755e9796
ThreatIndicators.ReadWrite.OwnedBy	应用程序	21792b6c-c986-4ffc-85de-df9da54b52fa
ThreatIndicators.ReadWrite.OwnedBy	委派	91e7d36d-022a-490f-a748-f8e011357b42
ThreatIntelligence.Read.All	应用程序	e0b77adb-e790-44a3-b0a0-257d06303687
ThreatIntelligence.Read.All	Delegated	f266d9c0-ccb9-4fb8-a228-01ac0d8d6627
ThreatSubmission.Read	委派	fd5353c6-26dd-449f-a565-c4e16b9fce78
ThreatSubmission.Read.All	应用	86632667-cd15-4845-ad89-48a88e8412e1
ThreatSubmission.Read.All	委派	7083913a-4966-44b6-9886-c5822a5fd910
ThreatSubmission.ReadWrite	委派	68a3156e-46c9-443c-b85c-921397f082b5
ThreatSubmission.ReadWrite.All	应用	d72bdbf4-a59b-405c-8b04-5995895819ac
ThreatSubmission.ReadWrite.All	委派	8458e264-4eb9-4922-abe9-768d58f13c7f
ThreatSubmissionPolicy.ReadWrite.All	应用	926a6798-b100-4a20-a22f-a4918f13951d
ThreatSubmissionPolicy.ReadWrite.All	委派	059e5840-5353-4c68-b1da-666a033fc5e8
TrustFrameworkKeySet.Read.All	应用程序	fff194f1-7dce-4428-8301-1badb5518201
TrustFrameworkKeySet.Read.All	委派	7ad34336-f5b1-44ce-8682-31d7dfcd9ab9
TrustFrameworkKeySet.ReadWrite.All	应用程序	4a771c9a-1cf2-4609-b88e-3d3e02d539cd
TrustFrameworkKeySet.ReadWrite.All	委派	39244520-1e7d-4b4a-aee0-57c65826e427
UnifiedGroupMember.Read.AsGuest	委派	73e75199-7c3e-41bb-9357-167164dbb415
User.EnableDisableAccount.All	应用程序	3011c876-62b7-4ada-afa2-506cbbecc68c
User.EnableDisableAccount.All	Delegated	f92e74e7-2563-467f-9dd0-902688cb5863
User.Export.All	应用程序	405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Export.All	委派	405a51b5-8d8d-430b-9842-8be4b0e9f324
User.Invite.All	应用程序	09850681-111b-4a89-9bed-3f2cae46d706
User.Invite.All	委派	63dd7cd9-b489-4adf-a28c-ac38b9a0f962
User.ManageIdentities.All	应用程序	c529cfca-c91b-489c-af2b-d92990b66ce6
User.ManageIdentities.All	委派	637d7bec-b31e-4deb-acc9-24275642a2c9
User.Read	委派	e1fe6dd8-ba31-4d61-89e7-88639da4683d
User.Read.All	应用程序	df021288-bdef-4463-88db-98f22de89214
User.Read.All	委派	a154be20-db9c-4678-8ab7-66f6cc099a59
User.ReadBasic.All	委派	b340eb25-3456-403f-be2f-af7a0d370277
User.ReadWrite	委派	b4e74841-8e56-480b-be8b-910348b18b4c
User.ReadWrite.All	应用程序	741f803b-c850-494e-b5df-cde7c675a1ca
User.ReadWrite.All	委派	204e0828-b5ca-4ad8-b9f3-f32a958e7cc4
UserActivity.ReadWrite.CreatedByApp	委派	47607519-5fb1-47d9-99c7-da4b48f369b1
UserAuthenticationMethod.Read	委派	1f6b61c5-2f65-4135-9c9f-31c0f8d32b52
UserAuthenticationMethod.Read.All	应用程序	38d9df27-64da-44fd-b7c5-a6fbac20248f
UserAuthenticationMethod.Read.All	委派	aec28ec7-4d02-4e8c-b864-50163aea77eb
UserAuthenticationMethod.ReadWrite	委派	48971fc1-70d7-4245-af77-0beb29b53ee2
UserAuthenticationMethod.ReadWrite.All	应用程序	50483e42-d915-4231-9639-7fdb7fd190e5
UserAuthenticationMethod.ReadWrite.All	委派	b7887744-6746-4312-813d-72daeaee7e2d
User-LifeCycleInfo.Read.All	应用程序	8556a004-db57-4d7a-8b82-97a13428e96f
User-LifeCycleInfo.Read.All	Delegated	ed8d2a04-0374-41f1-aefe-da8ac87ccc87
User-LifeCycleInfo.ReadWrite.All	应用程序	925f1248-0f97-47b9-8ec8-538c54e01325
User-LifeCycleInfo.ReadWrite.All	Delegated	7ee7473e-bd4b-4c9f-987c-bd58481f5fa2
UserNotification.ReadWrite.CreatedByApp	应用程序	4e774092-a092-48d1-90bd-baad67c7eb47
UserNotification.ReadWrite.CreatedByApp	委派	26e2f3e8-b2a1-47fc-9620-89bb5b042024
UserShiftPreferences.Read.All	应用程序	de023814-96df-4f53-9376-1e2891ef5a18
UserShiftPreferences.ReadWrite.All	应用程序	d1eec298-80f3-49b0-9efb-d90e224798ac
UserTimelineActivity.Write.CreatedByApp	委派	367492fc-594d-4972-a9b5-0d58c622c91c
VirtualAppointment.Read	Delegated	27470298-d3b8-4b9c-aad4-6334312a3eac
VirtualAppointment.Read.All	应用程序	d4f67ec2-59b5-4bdc-b4af-d78f6f9c1954
VirtualAppointment.ReadWrite	Delegated	2ccc2926-a528-4b17-b8bb-860eed29d64c
VirtualAppointment.ReadWrite.All	应用程序	bf46a256-f47d-448f-ab78-f226fff08d40
VirtualEvent.Read	Delegated	6b616635-ae58-433a-a918-8c45e4f304dc
VirtualEvent.Read.All	应用程序	1dccb351-c4e4-4e09-a8d1-7a9ecbf027cc
WindowsUpdates.ReadWrite.All	应用程序	7dd1be58-6e76-4401-bf8d-31d1e8180d5b
WindowsUpdates.ReadWrite.All	委派	11776c0c-6138-4db3-a668-ee621bea2555
WorkforceIntegration.Read.All	委派	f1ccd5a7-6383-466a-8db8-1a656f7d06fa
WorkforceIntegration.ReadWrite.All	应用程序	202bf709-e8e6-478e-bcfd-5d63c50b68e3
WorkforceIntegration.ReadWrite.All	委派	08c4b377-0d23-4a8b-be2a-23c1c1d88545