Table of contents

Berechtigungsbereiche | Graph-API-KonzeptePermission scopes | Graph API concepts

Bryan Lamos|Zuletzt aktualisiert: 19.06.2018
|
2 Mitarbeiter

Gilt für: Graph-API | Azure Active Directory (AD)Applies to: Graph API | Azure Active Directory (AD)

Die Graph-API macht OAuth 2.0-Berechtigungsbereiche verfügbar, mit denen der Zugriff einer App auf Verzeichnisdaten der Kunden gesteuert wird.The Graph API exposes OAuth 2.0 permission scopes that are used to control access that an app has to customer directory data.Als Entwickler konfigurieren Sie die App mit den entsprechenden Berechtigungsbereichen für den Zugriff, den die App erfordert.As a developer, you configure your app with the permission scopes appropriate to the access that it requires.In der Regel führen Sie dies im Azure-Portal aus.Typically you do this through the Azure portal.Benutzer oder Administratoren erhalten während der Anmeldung die Gelegenheit, dem Zugriff Ihrer App auf ihre Verzeichnisdaten mit den von Ihnen konfigurierten Berechtigungsbereichen zuzustimmen.During sign-in, users or administrators are given an opportunity to consent to allow your app access to their directory data with the permission scopes you configured.Aus diesem Grund sollten Sie Berechtigungsbereiche auswählen, die die niedrigste Berechtigungsstufe bieten, die für Ihre App erforderlich ist.For this reason, you should choose permission scopes that provide the least level of privilege needed by your app.Weitere Informationen zum Konfigurieren von Berechtigungen für Ihre App und zum Zustimmungsprozess finden Sie unter Integrieren von Anwendungen in Azure Active Directory.For more details on how to configure permissions for your app and on the consent process, see Integrating Applications with Azure Active Directory.

Wichtig

Es wird dringend empfohlen, für den Zugriff auf Azure Active Directory-Ressourcen Microsoft Graph zu verwenden, nicht die Azure AD Graph-API.We strongly recommend that you use Microsoft Graph instead of Azure AD Graph API to access Azure Active Directory resources.Wir konzentrieren unsere Entwicklungsarbeit auf Microsoft Graph, weitere Verbesserungen für die Azure AD Graph-API sind nicht geplant.Our development efforts are now concentrated on Microsoft Graph and no further enhancements are planned for Azure AD Graph API.Es gibt einige wenige Szenarien, in denen die Azure AD Graph-API möglicherweise noch geeignet ist. Weitere Informationen finden Sie im Office Dev Center im Blogbeitrag Microsoft Graph or the Azure AD Graph.There are a very limited number of scenarios for which Azure AD Graph API might still be appropriate; for more information, see the Microsoft Graph or the Azure AD Graph blog post in the Office Dev Center.

Konzepte des Berechtigungsbereichs Permission scope concepts

App-Berechtigungsbereiche oder delegierte BerechtigungsbereicheApp-only vs. delegated scopes

Berechtigungsbereiche sind App-Berechtigungsbereiche oder delegierte Berechtigungsbereiche.Permission scopes can be either app-only or delegated.App-Berechtigungsbereiche (auch als App-Rollen bezeichnet) erteilen der App alle Berechtigungen des Bereichs.App-only scopes (also known as app roles) grant the app the full set of privileges offered by the scope.App-Berechtigungsbereiche werden in der Regel von Apps verwendet, die als Dienst ohne einen angemeldeten Benutzer ausgeführt werden.App-only scopes are typically used by apps that run as a service without a signed-in user being present.Delegierte Berechtigungsbereiche werden für Apps verwendet, bei denen sich ein Benutzer anmeldet.Delegated permission scopes are for apps that a user signs in to.Diese Bereiche delegieren die Berechtigungen des angemeldeten Benutzers an die App, sodass die App als angemeldeter Benutzer fungieren kann.These scopes delegate the privileges of the signed-in user to the app, allowing the app to act as the signed in user.Bei den Berechtigungen, die der App tatsächlich erteilt werden, handelt es sich um die Kombination (Schnittmenge) der niedrigsten Berechtigungen des Bereichs und der niedrigsten Berechtigungen des angemeldeten Benutzers.The actual privileges granted to the app will be the least privileged combination (the intersection) of the privileges granted by the scope and those possessed by the signed-in user.Wenn zum Beispiel durch den Berechtigungsbereich delegierte Berechtigungen zum Schreiben sämtlicher Verzeichnisobjekte erteilt werden, der angemeldete Benutzer jedoch nur über Berechtigungen zum Aktualisieren des eigenen Benutzerprofils verfügt, kann die App nur das Profil des angemeldeten Benutzers und keine anderen Objekte schreiben.For example, if the permission scope grants delegated privileges to write all directory objects, but the signed-in user has privileges only to update their own user profile, the app will only be able to write the signed-in user's profile but no other objects.

Vollständiges Profil und Basisprofil für Benutzer und GruppenFull and basic profiles for users and groups

Das vollständige Profil (oder das Profil) eines Benutzers oder einer Gruppe umfasst alle deklarierten Eigenschaften der Entität.The full profile (or profile) of a User or a Group includes all of the entity's declared properties.Da das Profil vertrauliche Verzeichnisinformationen oder personenbezogene Informationen (Personally Identifiable Information, PII) enthalten kann, schränken verschiedene Bereiche den App-Zugriff auf einen begrenzten Satz von Eigenschaften ein. Dieser wird als Basisprofil bezeichnet.Because the profile may contain sensitive directory information or personally identifiable information (PII), several scopes constrain app access to a limited set of properties known as a basic profile.Für Benutzer enthält das Basisprofil nur die folgenden Eigenschaften: Anzeigename, Vorname und Nachname, Foto und E-Mail-Adresse.For users, the basic profile includes only the following properties: display name, first and last name, photo, and email address.Für Gruppen enthält das Basisprofil nur den Anzeigenamen.For groups, the basic profile contains only the display name.

Details des Berechtigungsbereichs Permission scope details

In der folgenden Tabelle werden die Graph-API-Berechtigungsbereiche aufgeführt und der von jedem Berechtigungsbereich gewährte Zugriff erläutert.The following table lists the Graph API permission scopes and explains the access granted by each.

  • In der Spalte Bereich werden die Bereichsnamen aufgeführt.The Scope column lists the scope name.Bereichsnamen haben das Format „Ressource.Vorgang.Einschränkung“. Beispiel: Group.ReadWrite.All.Scope names take the form resource.operation.constraint; for example, Group.ReadWrite.All.Wenn die Einschränkung „All“ lautet, darf die App den Vorgang (ReadWrite) für alle angegebenen Ressourcen (Group) im Verzeichnis ausführen. Andernfalls ist der Vorgang nur für das Profil des angemeldeten Benutzers zulässig.If the constraint is "All", the scope grants the app the ability to perform the operation (ReadWrite) on all of the specified resources (Group) in the directory; otherwise, the scope only permits the operation on the profile of the signed-in user.Bereiche können eingeschränkte Berechtigungen für den angegebenen Vorgang erteilen. Details finden Sie in der Spalte Beschreibung.Scopes may grant limited privileges for the specified operation, see the Description column for details.
  • Die Spalte Berechtigung gibt an, wie der Bereich im Azure-Portal angezeigt wird.The Permission column shows how the scope is displayed on the Azure portal.
  • In der Spalte Beschreibung wird der vollständige Satz der durch den Bereich erteilten Berechtigungen beschrieben.The Description column describes the full set of privileges granted by the scope.Bei delegierten Bereichen ist der Zugriff, der der App tatsächlich gewährt wird, die Kombination (Schnittmenge) des Zugriffs mit den niedrigsten Berechtigungen des Bereichs und den niedrigsten Berechtigungen des angemeldeten Benutzers.For delegated scopes, the actual access granted to the app will be the least privileged combination (intersection) of the access granted by the scope and the privileges of the signed-in user.
BereichScopePermissionPermissionBeschreibungDescriptionBereichstypScope TypeErfordert die Zustimmung des AdministratorsRequires Administrator Consent
User.ReadUser.ReadErmöglichen der Anmeldung und Lesen des BenutzerprofilsEnable sign-in and read user profileErmöglicht es Benutzern, sich bei der App anmelden, und ermöglicht es der App, das vollständige Profil des angemeldeten Benutzers zu lesen.Allows users to sign in to the app and allows the app to read the full profile of the signed-in user.Das vollständige Profil umfasst alle deklarierten Eigenschaften der User-Entität.The full profile includes all of the declared properties of the User entity.„User.Read“ ermöglicht es der App, (über das Objekt TenantDetail) die folgenden grundlegenden Unternehmensinformationen des angemeldeten Benutzers zu lesen: Mandanten-ID, Anzeigename des Mandanten, überprüfte Domänen.User.Read allows the app to read the following basic company information of the signed-in user (through the TenantDetail object): tenant ID, tenant display name, and verified domains.Navigationseigenschaften, z. B. „manager“ oder „directReports“, können von der App nicht gelesen werden.The app cannot read navigation properties, such as manager or direct reports.Das Benutzerkennwort kann von der App nicht gelesen werden.The app cannot read the user's password.delegiertdelegatedNeinNo
User.ReadBasic.AllUser.ReadBasic.AllLesen der Basisprofile aller BenutzerRead all users' basic profilesErmöglicht es der App, im Namen des angemeldeten Benutzers die Basisprofile aller Benutzer in der Organisation zu lesen.Allows the app to read the basic profile of all users in the organization on behalf of the signed-in user.Das Basisprofil eines Benutzers besteht aus den folgenden Eigenschaften: Anzeigename, Vorname und Nachname, Foto und E-Mail-Adresse.The following properties comprise a user’s basic profile: display name, first and last name, photo, and email address.Um die Gruppen zu lesen, in denen ein Benutzer Mitglied ist, benötigt die App außerdem den Berechtigungsbereich „Group.Read.All“ oder „Group.ReadWrite.All“.To read the groups that a user is a member of, the app will also require Group.Read.All or Group.ReadWrite.All.delegiertdelegatedNeinNo
User.Read.AllUser.Read.AllLesen der vollständigen Profile aller BenutzerRead all users' full profilesIdentisch mit „User.ReadBasic.All“, mit dem Unterschied, dass die App die vollständigen Profile aller Benutzer in der Organisation lesen darf. Dies gilt auch beim Lesen von Navigationseigenschaften, z. B. „manager“ und „directReports“.Same as User.ReadBasic.All, except that it allows the app to read the full profile of all users in the organization and when reading navigation properties like manager and direct reports.Das vollständige Profil umfasst alle deklarierten Eigenschaften der User-Entität.The full profile includes all of the declared properties of the User entity.Um die Gruppen zu lesen, in denen ein Benutzer Mitglied ist, benötigt die App außerdem den Berechtigungsbereich „Group.Read.All“ oder „Group.ReadWrite.All“.To read the groups that a user is a member of, the app will also require either Group.Read.All or Group.ReadWrite.All.Benutzerkennwörter können von der App nicht gelesen werden.The app cannot read users' passwords.delegiertdelegatedJaYes
Group.Read.AllGroup.Read.AllLesen aller Gruppen (Vorschau)Read all groups (preview)Ermöglicht es der App, im Namen des angemeldeten Benutzers die Basisprofile aller Gruppen in der Organisation zu lesen.Allows the app to read the basic profile of all groups in the organization on behalf of the signed-in user.Die App kann auch die Basisprofile der Gruppen lesen, denen eine Gruppe als Mitglied angehört.The app can also read the basic profile of the groups that a group is a member of.Das Basisprofil einer Gruppe enthält nur den Anzeigenamen der Gruppe.The basic profile for a group includes only the group’s display name.Um die Profilinformationen der Mitglieder einer Gruppe zu lesen, benötigt die App außerdem den Berechtigungsbereich „User.ReadBasic“ oder „User.Read.All“.To read the profile information of a group’s members, the app will also require either User.ReadBasic or User.Read.All.delegiertdelegatedJaYes
Group.ReadWrite.AllGroup.ReadWrite.AllLesen und Schreiben aller Gruppen (Vorschau)Read and write all groups (preview)Ermöglicht es der App, im Namen des angemeldeten Benutzers die vollständigen Profile aller Gruppen in der Organisation zu lesen sowie Gruppen zu erstellen und zu aktualisieren.Allows the app to read the full profile of all groups in the organization, as well as to create and update groups on behalf of the signed-in user.Die App kann auch die vollständigen Profile der Gruppen lesen, denen eine Gruppe als Mitglied angehört.The app can also read the full profile of the groups that a group is a member of.Das vollständige Profil umfasst alle deklarierten Eigenschaften der Group-Entität.The full profile includes all of the declared properties of the Group entity.Um die Profile der Mitglieder einer Gruppe zu lesen oder zu aktualisieren, benötigt die App außerdem den Berechtigungsbereich „User.ReadBasic“ oder „User.Read.All“.To read the profiles of or update a group’s members, the app will also require either User.ReadBasic or User.Read.All.delegiertdelegatedJaYes
Device.ReadWrite.AllDevice.ReadWrite.AllLesen und Schreiben aller GeräteRead and write all devicesErmöglicht es der App, alle Geräteeigenschaften zu lesen und zu schreiben, ohne dass ein Benutzer angemeldet ist.Allows the app to read and write all device properties without a signed in user.Ermöglicht nicht das Erstellen oder Löschen von Geräten oder das Aktualisieren von alternativen Sicherheits-IDs für Geräte.Does not allow device creation, device deletion, or update of device alternative security identifiers.App-Bereichapp-onlyJaYes
Directory.Read.AllDirectory.Read.AllLesen der VerzeichnisdatenRead directory dataErmöglicht der App das Lesen aller Daten im Verzeichnis der Organisation, z. B. Benutzer, Gruppen und Apps, sowie der zugehörigen Navigationseigenschaften.Allows the app to read all of the data in the organization's directory, such as users, groups, and apps, and their associated navigation properties.Hinweis: Benutzer können ihre Zustimmung zu Anwendungen erteilen, die diese Berechtigung erfordern, wenn die Anwendung im Mandanten der eigenen Organisation registriert ist.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant.App-Berechtigung, delegierte Berechtigungapp-only, delegatedJaYes
Directory.ReadWrite.AllDirectory.ReadWrite.AllLesen und Schreiben von VerzeichnisdatenRead and write directory dataErmöglicht es der App, alle Daten im Verzeichnis der Organisation zu lesen.Allows the app to read all of the data in the organization's directory.Ermöglicht der App das Erstellen und Aktualisieren von Benutzern und Gruppen sowie das Aktualisieren ihrer Navigationseigenschaften, verhindert jedoch das Löschen von Benutzern oder Gruppen.Allows the app to create and update users and groups, and update their navigation properties, but prohibits user or group deletion.Ermöglicht der App außerdem das Definieren von Schemaerweiterungen für Anwendungen.Also allows the app to define schema extensions on applications.Eine ausführliche Liste der Berechtigungen finden Sie weiter unten in Details der Directory.ReadWrite.All-Berechtigungen.For a detailed list of privileges, see Directory.ReadWrite.All privileges detail below.App-Berechtigung, delegierte Berechtigungapp-only, delegatedJaYes
Directory.AccessAsUser.AllDirectory.AccessAsUser.AllZugriff auf das Verzeichnis als angemeldeter BenutzerAccess directory as the signed-in userGewährt der App den gleichen Zugriff auf Daten im Verzeichnis der Organisation wie dem angemeldeten Benutzer.Allows the app the same access to data in the organization's directory as the signed-in user.Hinweis: Bei einer nativen Client-App kann der Benutzer dieser Berechtigung zustimmen, bei einer Web-App ist jedoch die Zustimmung des Administrators erforderlich.Note: A native client app can have the user consent to this permission however, a web app requires administrator consent.delegiertdelegatedJaYes

Hinweis: Wenn Sie eine App mit dem Azure-Portal erstellen, wird ihr von Azure AD standardmäßig der delegierte Berechtigungsbereich „User.Read“ zugewiesen.Note: By default, when you create an app using the Azure portal, Azure AD assigns it a delegated permission scope of User.Read.

Details der Directory.ReadWrite.All-BerechtigungenDirectory.ReadWrite.All privileges detail

Der Berechtigungsbereich „Directory.ReadWrite.All“ erteilt die folgenden Berechtigungen:The Directory.ReadWrite.All permission scope grants the following privileges:

  • Lesen aller Verzeichnisobjekte (deklarierte Eigenschaften und Navigationseigenschaften)Full read of all directory objects (both declared properties and navigation properties)
  • Erstellen und Aktualisieren von BenutzernCreate and update users
  • Deaktivieren und Aktivieren von Benutzern (jedoch nicht des Unternehmensadministrators)Disable and enable users (but not company administrator)
  • Festlegen der alternativen Sicherheits-ID des Benutzers (jedoch nicht für Administratoren)Set user alternative security id (but not administrators)
  • Erstellen und Aktualisieren von GruppenCreate and update groups
  • Verwalten von GruppenmitgliedschaftenManage group memberships
  • Aktualisieren des GruppenbesitzersUpdate group owner
  • Verwalten von LizenzzuweisungenManage license assignments
  • Definieren von Schemaerweiterungen für AnwendungenDefine schema extensions on applications
  • Ermöglicht das Festlegen eines Kennworts während der Erstellung eines Benutzers.Allows password to be set when creating a user.
  • Hinweis: Keine Rechte zum Zurücksetzen von BenutzerkennwörternNote: No rights to reset user passwords
  • Hinweis: Keine Rechte zum Lesen von BenutzerkennwörternNote: No rights to read user passwords
  • Hinweis: Keine Rechte zum Löschen von Entitäten (einschließlich Benutzer oder Gruppen)Note: No rights to delete entities (including users or groups)
  • Hinweis: Schließt insbesondere das Erstellen oder Aktualisieren für Entitäten, aus, die oben nicht aufgeführt sind.Note: Specifically excludes create or update for entities not listed above.Dazu gehören: Application, Oauth2PermissionGrant, AppRoleAssignment, Device, ServicePrincipal, TenantDetail, Domänen usw.This includes: Application, Oauth2PermissionGrant, AppRoleAssignment, Device, ServicePrincipal, TenantDetail, domains, etc.

Berechtigungsbereichsszenarien Permission scope scenarios

In der folgenden Tabelle sind die Berechtigungsbereiche aufgeführt, die erforderlich sind, damit eine App bestimmte Vorgänge ausführen kann.The following table shows the permission scopes needed for an app to be able to perform specific operations.Beachten Sie, dass in einigen Fällen die Fähigkeit der App zum Durchführen bestimmter Vorgänge davon abhängt, ob der Berechtigungsbereich ein App-Berechtigungsbereich oder ein delegierter Berechtigungsbereich ist. Wenn es sich um delegierte Berechtigungsbereiche handelt, hängt die Fähigkeit der App zum Durchführen bestimmter Vorgänge zudem von den Berechtigungen des angemeldeten Benutzers ab.Note that in some cases the ability of the app to perform some operations will depend on whether the permission scope is app-only or delegated, and, in the case of delegated permission scopes, on the privileges of the signed-in user.

SzenarioScenarioErforderlicher ZugriffAccess RequiredErforderlicher BerechtigungsbereichPermission Scope Needed
Anmelden und Anzeigen einer Kachel mit dem Namen und Miniaturfoto des BenutzersSign-in and show a tile with the user's name and thumbnail photo.Lesen des vollständigen Profils des angemeldeten Benutzers.Read full profile of the signed-in user.
Lesen von grundlegenden Unternehmensinformationen.Read basic company information.
User.ReadUser.Read
Einfache PersonenauswahlBasic people picker.Lesen der Basisprofile aller Benutzer im Namen des angemeldeten Benutzers.Read basic profile of all users on behalf of the signed-in user.User.ReadBasic.AllUser.ReadBasic.All
Personenauswahl mit vollständigem ProfilPeople picker with full profile.Wie oben, jedoch Zugriff auf die vollständigen Benutzerprofile der Benutzer im Namen des angemeldeten Benutzers.Same as above but access to full profile of users on behalf of the signed-in user.User.Read.AllUser.Read.All
OrganigrammnavigationOrg chart navigator.Lesen der vollständigen Profile aller Benutzer, ihrer Vorgesetzten und direkten Mitarbeiter im Namen des angemeldeten Benutzers.Read full profile of all users, their managers, and direct reports on behalf of the signed-in user.User.Read.AllUser.Read.All
Personenauswahl, die Gruppen enthält, um den Zugriff auf die App zu steuernPeople picker that includes groups for access control to your app.

Gruppen- und MitgliedschaftsviewerGroup and membership viewer.
Lesen der Basisprofile aller Gruppen und Benutzer im Namen des angemeldeten Benutzers.Read basic profile of all groups and users on behalf of the signed-in user.
Lesen der Basisbenutzerprofile für die Vorgesetzten und direkten Mitarbeiter der Benutzer.Read basic user profiles for users' manager and direct reports.
Lesen der Basisprofile der Gruppenmitgliedschaften von Benutzern.Read basic profile of users' group memberships.
Lesen der Basisprofile der Gruppenmitgliedschaften von Gruppen.Read basic profile of groups' group memberships.
Lesen der Basisprofile der Mitglieder von Gruppen.Read basic profile of groups' members
User.ReadBasic.All und Group.Read.AllUser.ReadBasic.All and Group.Read.All
Anzeigen des Profils des angemeldeten Benutzers sowie des Vorgesetzten, der direkten Mitarbeiter und Gruppenmitgliedschaften des Benutzers.Show the profile of the signed-in user and the user's manager, direct reports, and group memberships.Verwendung von me-Vorgängen, um Folgendes zu lesen:Use me operations to read:
Das vollständige Profil des angemeldeten BenutzersThe full profile of the signed-in user.
Die vollständigen Profile des Vorgesetzten und der direkten Mitarbeiter des angemeldeten BenutzersThe full profile of the signed-in user's manager and direct reports.
Die Basisprofile der Gruppen, denen der angemeldete Benutzer als Mitglied angehört.The basic profile of the groups that the signed-in user is a member of.

Hinweis:: Die Kombination der beiden Bereiche gewährt mehr Zugriff als der hier für me-Vorgänge angegebene Zugriff.Note: The combination of the two scopes grants more access than that noted here for me operations.
User.Read.All und Group.Read.AllUser.Read.All and Group.Read.All
Ein Gruppenverwaltungsdienst, der Benutzern das Erstellen und Verwalten von Gruppen ermöglichtGroup management service that allows users to create and manage groups.Lesen der vollständigen Profile aller Gruppen und Benutzer im Namen des angemeldeten Benutzers.Read full profile of all groups and users on behalf of the signed-in user.
Lesen der vollständigen Profile für die Vorgesetzten und direkten Mitarbeiter der Benutzer.Read full profiles for users' manager and direct reports.
Lesen der vollständigen Profile der Gruppenmitgliedschaften der Benutzer.Read full profile of users' group memberships.
Lesen der vollständigen Profile der Gruppenmitgliedschaften der Gruppen.Read full profile of groups' group memberships.
Lesen der vollständigen Profile der Mitglieder der Gruppen.Read full profile of groups' members.
Erstellen und Aktualisieren von Gruppen und ihrer Navigationseigenschaften (Mitglieder).Create and update groups and their navigation properties (members).
User.Read.All und Group.ReadWrite.AllUser.Read.All and Group.ReadWrite.All
Lesen aller Verzeichnisobjekte (einschließlich Navigationseigenschaften).Read all directory objects (including navigation properties).Directory.Read.AllDirectory.Read.All
Lesen aller Verzeichnisobjekte (einschließlich Navigationseigenschaften).Read all directory objects (including navigation properties).
Erstellen und Aktualisieren von Benutzer-und Gruppenobjekten.Create and update user and group objects.
Kein Löschen von Benutzern oder Gruppen.No user or group deletion.

Hinweis: Hier sind nicht alle erteilten Berechtigungen aufgeführt.Note: Not all privileges granted are listed here.
Directory.ReadWrite.AllDirectory.ReadWrite.All
Fungieren als angemeldeter BenutzerAct as the signed-in user.Lesen und Schreiben von Verzeichnisobjekten (einschließlich Navigationseigenschaften) im Namen des angemeldeten Benutzers.Read and write directory objects (including navigation properties) on behalf of the signed-in user.Directory.AccessAsUser.AllDirectory.AccessAsUser.All

Standardzugriff für Administratoren, Benutzer und Gastbenutzer Default access for administrators, users, and guest users

In der folgenden Tabelle ist der Standardzugriff von (globalen) Administratoren, Benutzern und Gastbenutzern im Verzeichnis aufgeführt.The following table lists the default access of (global) administrators, users, and guest users in the directory.Der Standardzugriff kann basierend auf den Konfigurationseinstellungen für das Verzeichnis bzw. die Mitgliedschaft eines Benutzers in einer oder mehreren Verzeichnisrollen erweitert oder beschränkt werden.The default access may be further augmented or restricted based on configuration settings for the directory and/or a user's membership in one or more directory roles.Ausführlichere Informationen zum Konfigurieren des Zugriffs von Benutzern und Gastbenutzern auf Verzeichnisdaten finden Sie unter Erstellen oder Bearbeiten von Benutzern in Azure AD.For more detailed information about configuring the access of users and guest users to directory data, see Create or edit users in Azure AD.Weitere Informationen zu dem Zugriff, der den verschiedenen Verzeichnisrollen zugeordnet ist, finden Sie unter Zuweisen von Administratorrollen in Azure Active Directory.For more information about the access associated with various directory roles, see Assigning administrator roles in Azure AD.

BenutzertypUser TypeZugriffAccess
Globaler AdministratorGlobal AdministratorLesen aller VerzeichnisobjekteRead all directory objects.
Erstellen, Aktualisieren und Löschen aller VerzeichnisobjekteCreate, Update, and Delete all directory objects
BenutzerUserLesen aller VerzeichnisobjekteRead all directory objects.
Erstellen von Anwendungen und zugehörigen DienstprinzipalenCreate applications and associated service principals.
Aktualisieren seines ProfilsUpdate their profile.
Aktualisieren der Gruppen, deren Besitzer er ist (und der members-Eigenschaft).Update groups that they own (and the members property).
Aktualisieren der Anwendungen und Dienstprinzipale, deren Besitzer er istUpdate applications and service principals that they own.
Löschen der Anwendungen und Dienstprinzipale, deren Besitzer er istDelete applications and service principals that they own.
GastbenutzerGuest UserLesen seines vollständigen ProfilsRead their full profile.
Lesen der Basisprofile aller anderen BenutzerRead the basic profiles of all other users
Lesen der Basisprofile aller GruppenRead basic profile of all groups.
Lesen von AnwendungenRead applications.
Aktualisieren einiger Eigenschaften seines ProfilsUpdate some properties of their profile.
Keine Suche nach Benutzern oder Gruppen (siehe den folgenden Abschnitt Einschränkungen der Suche nach Benutzern und Gruppen für Gastbenutzer)No user or group search (see User and group search limitations for guest users below).

Einschränkungen der Suche nach Benutzern und Gruppen für Gastbenutzer User and group search limitations for guest users

Mit Benutzer- und Gruppensuchfunktionen kann die App durch Abfragen der Ressourcenmenge users oder groups jeden Benutzer bzw. jede Gruppe im Verzeichnis des Kunden suchen (z.B. https://graph.windows.net/myorganization/users?api-version=1.6).User and group search capabilities allow the app to search for any user or group in the customer directory by performing queries against the users or groups resource set (for example, https://graph.windows.net/myorganization/users?api-version=1.6).Diese Funktion ist für Administratoren und Benutzer verfügbar.Both administrators and users have this capability.Für Gastbenutzer ist sie nicht verfügbar.Guest users do not.Wenn der angemeldete Benutzer ein Gastbenutzer ist, kann eine App je nach Berechtigungsbereich mithilfe der Objekt-ID oder des Benutzerprinzipalnamens (User Principal Name, UPN) eines Benutzers oder mithilfe der Objekt-ID einer Gruppe (z. B. https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6) das Profil des Benutzers bzw. der Gruppe lesen. Sie kann jedoch keine Abfragen der Ressourcenmenge users oder groups ausführen, die potenziell mehrere Entitäten anfordern.If the signed-in user is a guest user, depending on the permission scope, an app can read the profile of a specific user or group by using the object ID or user principal name (UPN) for a user or the object ID for a group (for example, https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6); however, it cannot perform queries against the users or groups resource set that potentially request more than one entity.Beispielsweise kann die App je nach Berechtigungsbereich die Profile von Benutzern oder Gruppen lesen, die sie über Links in den Navigationseigenschaften abruft. Sie kann jedoch keine Abfrage ausgeben, die alle Benutzer oder Gruppen im Verzeichnis zurückgibt.For example, depending on the permission scope, the app can read the profiles of users or groups that it obtains by following links in navigation properties, but it cannot issue a query to return all users or groups in the directory.

Zusätzliche Ressourcen Additional resources

© 2018 Microsoft