Microsoft Graph-Berechtigungsbereiche

Microsoft Graph macht OAuth 2.0-Berechtigungsbereiche verfügbar, die den Zugriff von Apps auf Ressourcen steuern. Als Entwickler bestimmen Sie die Berechtigungsbereiche, die für den Zugriff, den Ihre App benötigt, angemessen sind. (Wenn Sie eine Azure AD-Authentifizierung verwenden, tun Sie dies normalerweise über das Azure Management-Portal Wenn Sie den Azure AD v2.0-Endpunkt verwenden, fordern Sie Genehmigungen dynamisch während der Laufzeit an.

Nach der Anmeldung haben Benutzer oder Administratoren die Möglichkeit, zuzustimmen, dass Ihre App auf Ressourcen mit den konfigurierten Berechtigungsbereichen zugreifen kann. Aus diesem Grund sollten Sie Berechtigungsbereiche auswählen, die die niedrigste von Ihrer App benötigte Berechtigungsstufe bereitstellt. Weitere Details zum Konfigurieren von Berechtigungen für Ihre App und zum Zustimmungsprozess finden Sie unter Integrieren von Apps in Azure Active Directory.

Hinweis: Einige Microsoft Graph-Berechtigungen, wie z. B. solche, die zu Gruppen und Aufgaben gehören, gelten nicht für private Konten.

Nur-App-Berechtigungen verglichen mit delegierten Berechtigungen

Berechtigungsbereiche können entweder nur für die App gelten oder delegiert sein. Nur-App-Bereiche (auch als App-Rollen bezeichnet) gewähren der App den vollen Satz von in dem Bereich enthaltenen Berechtigungen. Nur-App-Bereiche werden in der Regel von Apps verwendet, die als Dienst ausgeführt werden, ohne dass ein angemeldeter Benutzer vorhanden ist.

Delegierte Berechtigungsbereiche gelten für Apps, die im Namen eines Benutzers handeln. Diese Bereiche delegieren die Berechtigungen des angemeldeten Benutzers, sodass die App als der Benutzer auftreten kann. Die der App tatsächlich gewährten Berechtigungen ist die Kombination mit den wenigsten Berechtigungen (die Schnittmenge) der vom Berechtigungsbereich gewährten Rechte und der des angemeldeten Benutzers. Wenn z. B. der Berechtigungsbereich delegierte Berechtigungen zum Schreiben aller Verzeichnisobjekte erteilt, der angemeldete Benutzer aber nur über Berechtigungen zum Aktualisieren seines eigenen Benutzerprofils verfügt, kann die App nur das Profil des angemeldeten Benutzers, aber keine anderen Objekte schreiben.

Hinweis: Bei Gruppen unterstützt nur eine Teilmenge der API, die zur Hauptgruppenadministration und -verwaltung gehören, sowohl Nur-App- als auch delegierte Berechtigungen. Alle anderen Mitglieder der Gruppen-API unterstützen nur delegierte Berechtigungen. Beispiele finden Sie unter Bekannte Probleme.

Vollständige und einfache Profile für Benutzer und Gruppen

Das vollständige Profil (oder das Profil) eines Benutzers oder einer Gruppe umfasst alle deklarierten Eigenschaften der Entität. Da das Profil möglicherweise vertrauliche Informationen oder personenbezogene Informationen (Personally Identifiable Information, PII) enthält, schränken mehrere Bereiche den App-Zugriff auf eine begrenzte Gruppe von Eigenschaften ein, die als einfaches Profil bezeichnet werden. Für Benutzer umfasst das einfache Profil lediglich folgende Eigenschaften:

  • Anzeigename
  • Vor- und Nachname
  • Fotopapier
  • E-Mail-Adresse

Für Gruppen enthält das einfache Profil nur den Anzeigenamen.

Details zu Berechtigungsbereichen

Sie müssen Ihre App konfigurieren, um die notwendigen Ressourcen für den Zugriff auf Microsoft Graph-Ressourcen zu erhalten. Die Berechtigungen gelten für einzelne Ressourcen und umfassen Lese-, Schreibzugriff oder beides.

In den folgenden Tabellen sind die Microsoft Graph-Berechtigungsbereiche aufgeführt, und es wird der von jeder Berechtigung gewährte Zugriff erläutert.

  • In der Spalte Bereich ist der Bereichsname enhalten. Bereichsnamen weisen die Form „resource.operation.constraint“ auf, zum Beispiel „Group.ReadWrite.All“. Bei der Einschränkung „Alles“ wird der App vom Bereich die Möglichkeit gewährt, die Operation (ReadWrite) für alle angegebenen Ressourcen (Gruppe) im Verzeichnis auszuführen. Andernfalls lässt der Bereich die Operation nur in dem Profil des angemeldeten Benutzers zu. Bereiche gewähren möglicherweise eingeschränkte Privilegien für den festgelegten Vorgang. Weitere Details finden Sie in der Spalte Beschreibung.
  • In der Spalte Berechtigung wird gezeigt, wie der Bereich im Azure-Portal angezeigt wird.
  • Die Spalte Beschreibung beschreibt den vollständigen Satz von Berechtigungen, die von dem Bereich gewährt werden. Bei delegierten Bereichen ist der der App tatsächlich gewährte Zugriff die Kombination mit den wenigsten Berechtigungen (die Schnittmenge) der vom Bereich gewährten Rechte und der des angemeldeten Benutzers.
  • Die Bereiche werden danach gruppiert, ob die Berechtigungen die Zustimmung eines Administrators erfordern.

Hinweis: Unter Bekannte Probleme finden Sie weitere Informationen zu Einschränkungen von Berechtigungsbereichen für v1.0 und beta.

Berechtigungen, die die Zustimmung des Administrators erfordern

Bereich Berechtigung Beschreibung
Directory.AccessAsUser.All Als der angemeldete Benutzer auf das Verzeichnis zugreifen Die App kann den gleichen Zugriff auf Informationen im Verzeichnis wie der angemeldete Benutzer haben.
Directory.Read.All Verzeichnisdaten lesen Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation zu lesen, z. B. Benutzer, Gruppen und Apps.
Directory.ReadWrite.All Schreib-/Lesezugriff auf Verzeichnisdaten Die App kann Daten im Verzeichnis Ihrer Organisation lesen und schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe. Die App kann nicht Benutzer oder Gruppen löschen oder Benutzerkennwörter zurücksetzen.
Group.Read.All Lesezugriff auf alle Gruppen Die App kann Gruppen aufführen und deren Eigenschaften sowie alle Gruppenmitgliedschaften im Namen des angemeldeten Benutzers lesen. Die App kann außerdem, den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte für alle Gruppen, auf die der Benutzer zugreifen kann, lesen.
Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen Die App kann Gruppen erstellen und alle Gruppeneigenschaften und -mitgliedschaften im Namen des angemeldeten Benutzers lesen. Darüber hinaus können Gruppenbesitzer ihre eigenen Gruppen verwalten, und Gruppenmitglieder können Gruppeninhalte aktualisieren.
User.Read.All Lesezugriff auf vollständige Profile aller Benutzer Identisch mit User.ReadBasic.All, mit der Ausnahme, dass die App das vollständige Profil aller Benutzer in der Organisation lesen kann. Dabei können auch Navigationseigenschaften, z. B. Manager- und direkte Berichte, gelesen werden. Das vollständige Profil enthält alle deklarierten Eigenschaften der Benutzer-Entität. Um die Gruppen zu lesen, in denen ein Benutzer Mitglied ist, benötigt die App auch „Group.Read.All“ oder „Group.ReadWrite.All“.
User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer Die App kann den vollständigen Satz von Profileigenschaften, Berichte und Vorgesetzte von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers lesen und schreiben.

Berechtigungen, die keine Zustimmung des Administrators erfordern

Bereich Berechtigung Beschreibung
Calendars.Read Benutzerkalender lesen Die App kann Ereignisse im Benutzerkalender lesen.
Calendars.Read.Shared Benutzerkalender und freigegebene Kalender lesen Die App kann Ereignisse in allen Kalendern lesen, auf die der Benutzer zugreifen kann, einschließlich delegierter und freigegebener Kalender.
Calendars.ReadWrite Vollzugriff auf Benutzerkalender Die App kann Ereignisse im Benutzerkalender erstellen, lesen, aktualisieren und löschen.
Calendars.ReadWrite.Shared Benutzerkalender und freigegebene Kalender lesen und schreiben Die App kann Ereignisse in allen Kalendern, für die der Benutzer über Zugriffsberechtigungen verfügt, erstellen, lesen, aktualisieren und löschen. Dies umfasst delegierte und freigegebene Kalender.
Contacts.Read Benutzerkontakte lesen Die App kann Benutzerkontakte lesen.
Contacts.Read.Shared Benutzerkontakte und freigegebene Kontakte lesen Die App kann Kontakte lesen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte.
Contacts.ReadWrite Vollzugriff auf Benutzerkontakte Die App kann Benutzerkontakte erstellen, lesen, aktualisieren und löschen.
Contacts.ReadWrite.Shared Benutzerkontakte und freigegebene Kontakte lesen und schreiben Die App kann Kontakte lesen aktualisieren und löschen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen Kontakte des Benutzers und freigegebener Kontakte.
Files.Read Lesezugriff auf Benutzerdateien und Dateien, die für den Benutzer freigegeben wurden Die App kann die Dateien des angemeldeten Benutzers sowie für den Benutzer freigegebene Dateien lesen.
Files.Read.All Alle Dateien lesen, auf die der Benutzer zugreifen kann Die App kann alle Dateien lesen, auf die der angemeldete Benutzer zugreifen kann.
Files.Read.Selected Lesezugriff auf Dateien, die der Benutzer auswählt Die App kann Dateien, die der Benutzer auswählt, lesen. Die App hat mehrere Stunden, nachdem der Benutzer eine Datei ausgewählt hat, Zugriff.
Files.ReadWrite Vollzugriff auf Benutzerdateien und Dateien, die für den Benutzer freigegeben wurden Die App kann die Dateien des angemeldeten Benutzers sowie für den Benutzer freigegebene Dateien lesen, erstellen, aktualisieren und löschen.
Files.ReadWrite.All Vollzugriff auf alle Dateien, auf die Benutzer zugreifen können Die App kann alle Dateien lesen, erstellen, aktualisieren und löschen, auf die der angemeldete Benutzer zugreifen kann.
Files.ReadWrite.AppFolder Vollzugriff auf den Anwendungsordner Die App kann Dateien im Anwendungsordner lesen, erstellen, aktualisieren und löschen.
Files.ReadWrite.Selected Lese- und Schreibzugriff auf Dateien, die der Benutzer auswählt Die App kann Dateien, die der Benutzer auswählt, lesen und schreiben. Die App hat mehrere Stunden, nachdem der Benutzer eine Datei ausgewählt hat, Zugriff.
Mail.Read Benutzer-E-Mails lesen Die App kann E-Mails in Benutzerpostfächern lesen.
Mail.Read.Shared Benutzer-E-Mails und freigegebene E-Mails lesen Die App kann E-Mails lesen, auf die der Benutzer zugreifen kann, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails.
Mail.ReadWrite Schreib-/Lesezugriff auf Benutzer-E-Mails Die App kann E-Mails in Benutzerpostfächern erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails.
Mail.ReadWrite.Shared Benutzer-E-Mails und freigegebene E-Mails lesen und schreiben Die App kann E-Mails erstellen, lesen, aktualisieren und löschen, für die der Benutzer über Zugriffsberechtigungen verfügt, einschließlich der eigenen E-Mails des Benutzers und freigegebener E-Mails. Umfasst nicht die Berechtigung zum Senden von E-Mails.
Mail.Send E-Mails als Benutzer senden Die App kann E-Mails im Namen der Benutzer in der Organisation senden.
Mail.Send.Shared Senden von E-Mails im Auftrag von anderen Benutzern Die App kann E-Mails, einschließlich der E-Mails im Auftrag von anderen Benutzern, als angemeldeter Benutzer senden.
MailboxSettings.ReadWrite Benutzerpostfacheinstellungen lesen und schreiben Die App kann die Postfacheinstellungen des Benutzers erstellen, lesen, aktualisieren und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails.
offline_access Jederzeit auf Daten des Benutzers zugreifen (Vorschau) Die App kann Benutzerdaten lesen und aktualisieren, auch wenn diese die App derzeit nicht verwenden.
openid Benutzer anmelden in (Vorschau) Damit können Benutzer sich mit Ihren Geschäfts- oder Schulkonten bei der App anmelden, und die App kann grundlegende Benutzerprofilinformationen lesen.
User.Read Anmelden und Benutzerprofil lesen Damit können Benutzer sich bei der App anmelden, und die App kann das Profil von angemeldeten Benutzern lesen. Das vollständige Profil enthält alle deklarierten Eigenschaften der Benutzer-Entität. Die App kann keine Navigationseigenschaften lesen, z. B. Manager- oder direkte Berichte. Ermöglicht außerdem der App das Lesen der folgenden grundlegenden Firmeninformationen des angemeldeten Benutzers (über das TenantDetail-Objekt): Mandanten-ID, Mandantenanzeigename und überprüfte Domänen.
User.ReadWrite Lese- und Schreibzugriff auf Benutzerprofile Die App kann Ihr Profil lesen. Darüber hinaus kann die App Ihre Profilinformationen in Ihrem Namen aktualisieren.
User.ReadBasic.All Lesezugriff auf einfache Profile aller Benutzer Ermöglicht der App das Lesen der grundlegenden Profile aller Benutzer in der Organisation im Namen des angemeldeten Benutzers. Das grundlegende Profil eines Benutzers umfasst nur die folgenden Eigenschaften: Anzeigename, Vor- und Nachname, Foto und E-Mail-Adresse. Um die Gruppen zu lesen, in denen ein Benutzer Mitglied ist, benötigt die App auch „Group.Read.All“ oder „Group.ReadWrite.All“.

Nur-App-Berechtigungen, die die Zustimmung des Administrators erfordern

Bereich Berechtigung Beschreibung
Calendars.Read Lesezugriff auf Kalender in allen Postfächern Die App kann Ereignisse aller Kalender ohne angemeldeten Benutzer lesen.
Calendars.ReadWrite Lese- und Schreibzugriff auf Kalender in allen Postfächern Die App kann Ereignisse aller Kalender ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen.
Contacts.Read Lesezugriff auf Kontakte in allen Postfächern Die App kann alle Kontakte in allen Postfächern ohne angemeldeten Benutzer lesen.
Contacts.ReadWrite Lese- und Schreibzugriff auf Kontakte in allen Postfächern Die App kann alle Kontakte in allen Postfächern ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen.
Device.ReadWrite.All Geräteeigenschaften lesen und schreiben Die App kann alle Geräteeigenschaften ohne angemeldeten Benutzer lesen und schreiben. Ermöglicht nicht das Erstellen oder Löschen von Geräten oder das Aktualisieren von alternativen Sicherheits-IDs von Geräten.
Directory.Read.All Verzeichnisdaten lesen Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen, z. B. Benutzer, Gruppen und Apps.
Directory.ReadWrite.All Schreib-/Lesezugriff auf Verzeichnisdaten Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe.
Files.Read.All Alle Dateien lesen, auf die der Benutzer zugreifen kann Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen.
Files.ReadWrite.All Vollzugriff auf alle Dateien, auf die Benutzer zugreifen können Die App kann alle Dateien in allen Websitesammlungen ohne angemeldeten Benutzer lesen, erstellen, aktualisieren und löschen.
Group.Read.All Lesezugriff auf alle Gruppen Die App kann Mitgliedschaften für alle Gruppen ohne angemeldeten Benutzer lesen. Beachten Sie, dass nicht alle Gruppen-APIs Zugriff über Nur-App-Berechtigungen unterstützen. Beispiele finden Sie unter Bekannte Probleme.
Group.ReadWrite.All Schreib-/Lesezugriff auf alle Gruppen Die App kann Gruppen erstellen, Gruppenmitgliedschaften lesen und aktualisieren und Gruppen löschen. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden. Beachten Sie, dass nicht alle Gruppen-APIs Zugriff über Nur-App-Berechtigungen unterstützen. Beispiele finden Sie unter Bekannte Probleme.
Mail.Read Lesezugriff auf E-Mails in allen Postfächern Die App kann E-Mails in allen Postfächern ohne angemeldeten Benutzer lesen.
Mail.ReadWrite Lese- und Schreibzugriff auf E-Mails in allen Postfächern Die App kann E-Mails in allen Postfächern ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht über die Berechtigung zum Senden von E-Mails.
Mail.Send E-Mails als beliebiger Benutzer senden Die App kann E-Mails als beliebiger Benutzer ohne angemeldeten Benutzer senden.
MailboxSettings.ReadWrite Alle Benutzerpostfacheinstellungen lesen und schreiben Die App kann Benutzerpostfacheinstellungen ohne angemeldeten Benutzer erstellen, lesen, aktualisieren und löschen. Umfasst nicht die Berechtigung zum Senden von E-Mails.
Member.Read.Hidden Alle ausgeblendeten Mitgliedschaften lesen Die App kann die Mitgliedschaften ausgeblendeter Gruppen und administrativer Einheiten ohne angemeldeten Benutzer lesen.
Reports.Read.All Alle Verwendungsberichte lesen Die App kann alle Dienstverwendungsberichte ohne angemeldeten Benutzer lesen. Zu Diensten, die Verwendungsberichte bereitstellen, gehören Office 365 und Azure Active Directory.
User.Read.All Lesezugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichte und Vorgesetzte von anderen Benutzern in Ihrer Organisation ohne angemeldeten Benutzers zu lesen.
User.ReadWrite.All Lese- und Schreibzugriff auf vollständige Profile aller Benutzer Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Gruppenmitgliedschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben.

Berechtigungsbereiche in der Vorschau

Berechtigungen, die die Zustimmung des Administrators erfordern (Vorschau)

Bereich Berechtigung Beschreibung
IdentityRiskEvent.Read.All Informationen zu Identiätsrisikoereignissen lesen (Vorschau) Ermöglicht der App, Informationen zu Identitätsrisikoereignissen für alle Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen.
DeviceManagementServiceConfiguration.Read.All Microsoft Intune-Konfiguration lesen (Vorschau) Ermöglicht der App, Microsoft Intune-Diensteigenschaften, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration, zu lesen.
DeviceManagementServiceConfiguration.ReadWrite.All Microsoft Intune-Konfiguration lesen und schreiben (Vorschau) Ermöglicht der App, Microsoft Intune-Diensteigenschaften, einschließlich der Geräteregistrierung und der Drittanbieter-Dienstverbindungskonfiguration, zu lesen und zu schreiben.
DeviceManagementConfiguration.Read.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen (Vorschau) Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen.
DeviceManagementConfiguration.ReadWrite.All Microsoft Intune-Gerätekonfiguration und -Richtlinien lesen und schreiben (Vorschau) Ermöglicht der App, Eigenschaften der von Microsoft Intune verwalteten Gerätekonfiguration und Richtlinien zur Gerätekompatibilität sowie deren Zuweisung zu Gruppen zu lesen und zu schreiben.
DeviceManagementApps.Read.All Microsoft Intune-Apps lesen (Vorschau) Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen.
DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben (Vorschau) Ermöglicht der App, die Eigenschaften, Gruppenzuweisungen und Status von Apps, App-Konfigurationen sowie von Microsoft Intune verwaltete Richtlinien zum Schutz von Apps zu lesen und zu schreiben.
DeviceManagementRBAC.Read.All Microsoft Intune-RBAC-Einstellungen lesen (Vorschau) Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen.
DeviceManagementRBAC.ReadWrite.All Microsoft Intune-RBAC-Einstellungen lesen und schreiben (Vorschau) Ermöglicht der App, die Eigenschaften bezüglich der Einstellungen der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Intune zu lesen und zu schreiben.
DeviceManagementManagedDevices.Read.All Microsoft Intune-Geräte lesen (Vorschau) Ermöglicht der App,