Zakresy uprawnień | Pojęcia dotyczące interfejsu API programu Graph
Dotyczy: interfejsu API programu Graph | Azure Active Directory (AD)
Interfejsu API programu Graph przedstawia zakresy uprawnień OAuth 2.0, które są używane do kontrolowania dostępu do danych klienta katalogu aplikacji. Deweloper skonfiguruj aplikację z odpowiedniego dostępu, który wymaga zakresy uprawnień. Zwykle można to zrobić za pośrednictwem portalu Azure. Podczas logowania użytkownicy lub Administratorzy mają możliwość o zgodę, aby umożliwić aplikacji dostęp do swoich danych katalogowych z zakresy uprawnień, które zostały skonfigurowane. Z tego powodu należy wybrać zakresy uprawnień, które zapewniają najmniej poziomu uprawnień wymaganych przez aplikację. Aby uzyskać więcej informacji na temat konfigurowania uprawnień dla aplikacji i procesu zgody, zobacz integracji aplikacji z usługą Azure Active Directory.
Ważne
Zdecydowanie zaleca się używanie Microsoft Graph zamiast interfejsu API Azure AD Graph dostęp do zasobów usługi Azure Active Directory. Nasze programistycznych teraz jest skoncentrowana na program Microsoft Graph i interfejsu API usługi Azure AD Graph planowane żadne rozszerzenia funkcjonalności. Istnieje bardzo ograniczoną liczbę scenariuszy, w których interfejsu API usługi Azure AD Graph nadal może być odpowiednie; Aby uzyskać więcej informacji, zobacz Microsoft Graph lub Azure AD Graph wpis w blogu w Centrum deweloperów pakietu Office.
Pojęcia dotyczące zakresu uprawnień
Tylko do aplikacji a delegowane zakresów
Zakresy uprawnień może być tylko do aplikacji lub delegowanego. Zakresy tylko do aplikacji (znanej także jako aplikacja role) zostały przyznane aplikacji pełnego zestawu uprawnień oferowane w ramach zakresu. Zakresy tylko do aplikacji są zazwyczaj używane przez aplikacje są uruchomione usługi użytkownik nie jest zalogowany jest obecny. Zakresy uprawnień delegowanych są przeznaczone dla aplikacji, które użytkownik loguje się do. Te zakresy delegować uprawnienia zalogowanego użytkownika do aplikacji, dzięki czemu aplikacja do działania jako zalogowanego użytkownika. Rzeczywiste uprawnienia przyznane aplikacji będzie połączeniem najniższych uprawnieniach (część wspólną) uprawnienia przyznane przez zakres i posiadana przez zalogowanego użytkownika. Na przykład jeśli zakres uprawnień nadaje delegowane uprawnienia do zapisania wszystkich obiektów katalogu, ale zalogowany użytkownik ma uprawnienia tylko do aktualizacji profilu użytkownika, aplikacji będą mogli tylko do zapisu profilu zalogowanego użytkownika, ale żadne inne obiekty.
Pełnego i basic profile dla użytkowników i grup
Pełna profilu lub profilu użytkownika lub grupy zawiera wszystkie jednostki zadeklarowane właściwości. Ponieważ profil może zawierać informacje poufne katalogu lub dane osobowe (dane osobowe), kilka zakresów Ogranicz dostęp aplikacji do ograniczonego zestawu właściwości nazywane profilu podstawowego. W przypadku użytkowników, profilu podstawowego obejmuje następujące właściwości: Nazwa wyświetlana, imię i nazwisko, zdjęcie i adres e-mail. W przypadku grup profilu podstawowego zawiera nazwę wyświetlaną.
Szczegóły zakresu uprawnień
Poniższej tabeli przedstawiono zakresy uprawnień interfejsu API programu Graph oraz wyjaśniono udzielane przez każdą prawa dostępu.
- Zakres kolumna zawiera nazwę zakresu. Nazwy zakresu mieć resource.operation.constraint formularza; na przykład Group.ReadWrite.All. W przypadku ograniczenia "All", zakres daje aplikacji możliwość wykonania operacji (odczytu i zapisu) na wszystkie określone zasoby (grupa) w katalogu. w przeciwnym razie zakres umożliwia jedynie działania zalogowanego użytkownika w profilu. Zakresy udzielić ograniczonych uprawnieniach dla określonej operacji, zobacz opis kolumny, aby uzyskać szczegółowe informacje.
- Uprawnienia kolumny pokazuje, jak zakres jest wyświetlane w portalu Azure.
- Opis kolumny w tym artykule opisano pełnego zestawu uprawnień przyznanych przez zakres. Delegowane zakresów rzeczywista udzielono dostępu do aplikacji będzie połączeniem najniższych uprawnieniach (część wspólną) dostępu przyznane przez zakres i uprawnienia zalogowanego użytkownika.
Zakres | Uprawnienie | Opis | Typ zakresu | Wymaga zgody administratora |
---|---|---|---|---|
User.Read | Włączanie logowania i odczytuj profil użytkownika | Zezwala użytkownikom na logowanie do aplikacji i zezwala aplikacji na odczytywanie pełnego profilu zalogowanego użytkownika. Profil pełny obejmuje wszystkie właściwości zadeklarowane użytkownika jednostki. User.Read zezwala aplikacji na odczytywanie następujących podstawowych informacji o firmie zalogowanego użytkownika (za pośrednictwem TenantDetail obiektu): identyfikator dzierżawcy, nazwa wyświetlana dzierżawy i zweryfikowanych domen. Aplikacji nie można odczytać właściwości nawigacji, takie jak Menedżer lub bezpośrednich podwładnych. Aplikacja nie może odczytać hasło użytkownika. | delegowane | Nie |
User.ReadBasic.All | Przeczytaj basic profile wszystkich użytkowników | Zezwala aplikacji na odczytywanie profilu podstawowego wszystkich użytkowników w organizacji w imieniu zalogowanego użytkownika. Podstawowy profil użytkownika obejmują następujące właściwości: Nazwa wyświetlana, imię i nazwisko, zdjęcie i adres e-mail. Odczytanie grup, których należy użytkownik, aplikacja będzie wymagać również Group.Read.All lub Group.ReadWrite.All. | delegowane | Nie |
User.Read.All | Przeczytaj pełne profile wszystkich użytkowników | Identyczny User.ReadBasic.All, z wyjątkiem, że zezwala aplikacji na odczytywanie pełnego profilu wszystkich użytkowników w organizacji oraz podczas odczytywania właściwości nawigacji, takie jak Menedżer i bezpośrednich podwładnych. Profil pełny obejmuje wszystkie właściwości zadeklarowane użytkownika jednostki. Odczytanie grup, których należy użytkownik, aplikacja będzie wymagać również Group.Read.All lub Group.ReadWrite.All. Aplikacja nie może odczytać haseł użytkowników. | delegowane | Tak |
Group.Read.All | Odczytanie wszystkich grup (wersja zapoznawcza) | Zezwala aplikacji na odczytywanie profilu podstawowego wszystkich grup w organizacji w imieniu zalogowanego użytkownika. Aplikację można również przeczytać profilu podstawowego z grup, których członkiem grupy. Podstawowy profil dla grupy zawiera tylko nazwę wyświetlaną grupy. Aby uzyskać informacje o profilu członków grupy, aplikacja również wymaga User.ReadBasic lub User.Read.All. | delegowane | Tak |
Group.ReadWrite.All | Odczytywanie i zapisywanie wszystkich grup (wersja zapoznawcza) | Zezwala aplikacji na odczytywanie pełnego profilu wszystkich grup w organizacji, a także tworzenie i aktualizowanie grup w imieniu zalogowanego użytkownika. Aplikację można również odczytywanie pełnego profilu grup, których członkiem grupy. Profil pełny obejmuje wszystkie właściwości zadeklarowane grupy jednostki. Odczytać profile lub zaktualizować członków grupy, aplikacja będzie wymagać również User.ReadBasic lub User.Read.All. | delegowane | Tak |
Device.ReadWrite.All | Odczytywanie i zapisywanie wszystkich urządzeń | Zezwala aplikacji na odczytywanie i zapisywanie wszystkich właściwości urządzenia bez zalogowanego użytkownika. Nie zezwala na tworzenie urządzenia, usunięcie urządzenia lub aktualizacji identyfikatorów zabezpieczeń alternatywne urządzenia. | tylko do aplikacji | Tak |
Directory.Read.All | Odczyt danych katalogu | Zezwala aplikacji na odczytywanie wszystkich danych w katalogu organizacji, takich jak użytkownicy, grupy i aplikacje oraz ich właściwości nawigacji skojarzona. Uwaga: użytkownicy mogą wyrazić zgodę na aplikacje, które wymagają to uprawnienie, gdy aplikacja jest zarejestrowany w dzierżawie własnej organizacji. | tylko do aplikacji, delegowane | Tak |
Directory.ReadWrite.All | Odczyt i zapis danych katalogu | Zezwala aplikacji na odczytywanie wszystkich danych w katalogu organizacji. Zezwala aplikacji na tworzenie i zaktualizować użytkowników i grup oraz aktualizowania ich właściwości nawigacji, ale uniemożliwia usunięcie użytkownika lub grupy. Umożliwia aplikacji zdefiniować rozszerzenia schematu dla aplikacji. Aby uzyskać szczegółową listę uprawnień, zobacz Directory.ReadWrite.All uprawnienia szczegółów poniżej. | tylko do aplikacji, delegowane | Tak |
Directory.AccessAsUser.All | Uzyskuj dostęp do katalogu jako zalogowany użytkownik | Zezwala aplikacji na tym samym dostęp do danych, organizacji katalogu jako zalogowany użytkownik. Uwaga: aplikację klienta natywnego może mieć użytkownik wyraża zgodę na to uprawnienie, jednak, aplikacji sieci web wymaga zgody administratora. | delegowane | Tak |
Uwaga: domyślnie podczas tworzenia aplikacji za pomocą portalu Azure, Azure AD przypisuje jej zakres uprawnień delegowanych User.Read.
Szczegółowe uprawnienia Directory.ReadWrite.All
Zakres uprawnień Directory.ReadWrite.All nadaje następujące uprawnienia:
- Pełny odczyt wszystkich obiektów katalogu (zadeklarowane właściwości i właściwości nawigacji)
- Tworzenie i aktualizowanie użytkowników
- Wyłącz i Włącz użytkowników (ale nie administrator firmy)
- Ustaw identyfikator alternatywny zabezpieczeń użytkownika (ale nie dla administratorów)
- Tworzenie i aktualizowanie grup
- Zarządzanie członkostwami grup
- Właściciel grupy aktualizacji
- Zarządzanie przypisaniami licencji
- Zdefiniuj rozszerzenia schematu dla aplikacji
- Umożliwia hasła, należy ustawić podczas tworzenia użytkownika.
- Uwaga: Brak uprawnień do resetowania haseł użytkowników
- Uwaga: Brak praw do odczytu haseł użytkowników
- Uwaga: Brak uprawnień do usuwania jednostek (w tym użytkowników lub grupy)
- Uwaga: wyraźnie wyklucza Utwórz lub zaktualizuj dla jednostek nie są wymienione powyżej. Obejmuje to: aplikacja Oauth2PermissionGrant, AppRoleAssignment, urządzenia, ServicePrincipal, TenantDetail, domen, itp.
Scenariusze zakresu uprawnień
W poniższej tabeli przedstawiono zakresy uprawnień potrzebnych dla aplikacji mieć możliwość wykonywania określonych operacji. Należy pamiętać, że w niektórych przypadkach możliwość wykonywania pewnych operacji aplikacji będzie zależeć od zakresu uprawnień tylko do aplikacji lub delegowanych oraz, w przypadku zakresy uprawnień delegowanych, na uprawnienia zalogowanego użytkownika.
Scenariusz | Wymagany dostęp do | Zakres uprawnienia potrzebne |
---|---|---|
Logowania i Pokaż Kafelek z nazwą użytkownika i miniatury zdjęcia. | Przeczytaj pełną profilu zalogowanego użytkownika. Przeczytaj podstawowe informacje o firmie. |
User.Read |
Selektor podstawowe osób. | Przeczytaj profilu podstawowego wszystkich użytkowników w imieniu zalogowanego użytkownika. | User.ReadBasic.All |
Selektor osób z profilem pełna. | Wartość taka sama jak wyżej, ale dostępu do pełnego profilu użytkowników w imieniu zalogowanego użytkownika. | User.Read.All |
Nawigator wykresu organizacji. | Przeczytaj pełną profilu wszystkich użytkowników, menedżerów i bezpośrednich podwładnych w imieniu zalogowanego użytkownika. | User.Read.All |
Selektor osób, zawierającą grup do kontroli dostępu do aplikacji. Podgląd grupy i członkostwa. |
Przeczytaj profilu podstawowego wszystkich grup i użytkowników w imieniu zalogowanego użytkownika. Profile użytkowników podstawowych dla Menedżera użytkowników i bezpośrednich podwładnych do odczytu. Przeczytaj podstawowy profil członkostwa w grupach użytkowników. Przeczytaj podstawowy profil członkostwa w grupach grup. Przeczytaj profilu podstawowego członków grup |
User.ReadBasic.All i Group.Read.All |
Pokaż profil zalogowanego użytkownika i menedżera użytkownika, bezpośrednich podwładnych i członkostwa w grupach. | Użyj me operacji do odczytu: Pełna profil zalogowanego użytkownika. Pełna profil Menedżera i bezpośrednich podwładnych zalogowanego użytkownika. Podstawowy profil grup, do których zalogowany użytkownik jest członkiem. Uwaga: kombinacja dwa zakresy przyznaje szerszy dostęp niż zauważyć dla me operacji. |
User.Read.All i Group.Read.All |
Usługa zarządzania grupy, która umożliwia użytkownikom tworzenie grup i zarządzanie nimi. | Przeczytaj pełną profilu wszystkich grup i użytkowników w imieniu zalogowanego użytkownika. Przeczytaj pełne profile Menedżera użytkowników i bezpośrednich podwładnych. Przeczytaj pełną profil członkostwa w grupach użytkowników. Przeczytaj pełną profilu grup członkostwa w grupach. Przeczytaj pełną profilu członków grup. Tworzenie i aktualizowanie grup i ich właściwości nawigacji (składniki). |
User.Read.All i Group.ReadWrite.All |
Odczyt wszystkich obiektów katalogu (w tym właściwości nawigacji). | Directory.Read.All | |
Odczyt wszystkich obiektów katalogu (w tym właściwości nawigacji). Tworzenie i aktualizowanie obiektów użytkowników i grup. Nie usunięcie użytkownika lub grupy. Uwaga: nie wszystkie uprawnienia przyznane są wyświetlane tutaj. |
Directory.ReadWrite.All | |
Działa jako zalogowanego użytkownika. | Odczytu i zapisu obiektów katalogu (w tym właściwości nawigacji) w imieniu zalogowanego użytkownika. | Directory.AccessAsUser.All |
Dostęp do domyślnej dla administratorów, użytkowników i gości
W poniższej tabeli wymieniono dostęp do domyślnej (globalne) Administratorzy, użytkownicy i Goście w katalogu. Dostęp do domyślnej może być więcej ustawień zwiększonej lub ograniczonych konfiguracji na podstawie katalog i/lub członkostwa użytkownika w co najmniej jedną rolę katalogu. Aby uzyskać szczegółowe informacje o konfigurowaniu dostępu użytkowników i gości danych katalogowych, zobacz Tworzenie lub edytowanie użytkowników w usłudze Azure AD. Aby uzyskać więcej informacji o dostępie skojarzone z różnymi rolami katalogu, zobacz przypisywanie ról administratorów w usłudze Azure AD.
Typ użytkownika | Dostęp |
---|---|
Administrator globalny | Odczyt wszystkich obiektów katalogu. Tworzenie, aktualizowanie i usuwanie wszystkich obiektów katalogu |
Użytkownik | Odczyt wszystkich obiektów katalogu. Tworzenie aplikacji i skojarzona usługa podmiotów zabezpieczeń. Zaktualizuj swój profil. Aktualizowanie grupy, które są właścicielami (i właściwości elementów członkowskich). Aktualizowanie aplikacji i nazwy główne usług, które są właścicielami. Usuwanie aplikacji i nazwy główne usług, które są właścicielami. |
Gość | Przeczytaj pełną profilu. Przeczytaj basic profile wszystkich innych użytkowników Przeczytaj profilu podstawowego we wszystkich grupach. Przeczytaj aplikacji. Zaktualizować niektóre właściwości profilu. Nie wyszukiwania użytkownika lub grupy (zobacz użytkowników i grup wyszukiwania ograniczenia dla gości poniżej). |
Ograniczenia dla gości wyszukiwania użytkowników i grupy
Użytkownika oraz możliwości wyszukiwania w grupie zezwala aplikacji na wyszukiwanie dowolnego użytkownika lub grupę w katalogu klienta przez wykonanie zapytania względem użytkowników lub grup zestawu zasobów (na przykład https://graph.windows.net/myorganization/users?api-version=1.6
). Czy zarówno Administratorzy i użytkownicy mają tę możliwość. Goście nie chcesz. Jeśli użytkownik zalogowanego użytkownika gościa, w zależności od zakresu uprawnień aplikacji odczytanie profilu określonego użytkownika lub grupy za pomocą Identyfikatora lub użytkownika główną nazwę obiektu (UPN) dla użytkownika lub identyfikator obiektu dla grupy (na przykład , https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6
); jednak nie można wykonać zapytania względem użytkowników lub grup zestawu zasobów, które potencjalnie zażądać więcej niż jednej jednostki. Na przykład w zależności od zakresu uprawnień aplikacji może odczytywać profile użytkowników lub grup uzyskiwanych za pomocą następujących łączy w właściwości nawigacji, ale nie mogą wystawiać zapytania do zwrócenia wszystkich użytkowników lub grup w katalogu.