Table of contents

사용 권한 범위 | Graph API concepts(Graph API 개념)Permission scopes | Graph API concepts

Bryan Lamos|마지막 업데이트: 2018-06-19
|
2 기고자

적용 대상: Graph API | Azure AD(Active Directory)Applies to: Graph API | Azure Active Directory (AD)

Graph API는 고객 디렉터리 데이터에 대한 응용 프로그램의 액세스를 제어하는 데 사용되는 OAuth 2.0 권한 범위를 표시합니다.The Graph API exposes OAuth 2.0 permission scopes that are used to control access that an app has to customer directory data.개발자는 필요한 액세스에 적절한 사용 권한 범위를 응용 프로그램에 구성합니다.As a developer, you configure your app with the permission scopes appropriate to the access that it requires.일반적으로 이 작업은 Azure 포털을 통해 수행합니다.Typically you do this through the Azure portal.로그인하는 동안 사용자나 관리자는 구성한 사용 권한 범위에 따라 디렉터리 데이터에 응용 프로그램 액세스를 허용할 수 있습니다.During sign-in, users or administrators are given an opportunity to consent to allow your app access to their directory data with the permission scopes you configured.따라서, 응용 프로그램에 필요한 최소 수준의 권한을 제공하는 사용 권한 범위를 선택해야 합니다.For this reason, you should choose permission scopes that provide the least level of privilege needed by your app.응용 프로그램에 사용 권한을 구성하는 방법과 동의 프로세스에 대한 자세한 내용은 Azure Active Directory와 응용 프로그램 통합을 참조하십시오.For more details on how to configure permissions for your app and on the consent process, see Integrating Applications with Azure Active Directory.

중요

Azure Active Directory 리소스에 액세스하려면 Azure AD Graph가 아닌 Microsoft Graph를 사용하는 것이 좋습니다.We strongly recommend that you use Microsoft Graph instead of Azure AD Graph API to access Azure Active Directory resources.우리는 현재 Microsoft Graph 개발에 집중하고 있으며 앞으로 Azure AD Graph API에 대한 개선 작업은 계획이 없습니다.Our development efforts are now concentrated on Microsoft Graph and no further enhancements are planned for Azure AD Graph API.아직까지 Azure AD Graph API가 적합할 수 있는 시나리오는 매우 제한적입니다. 자세한 내용은 Office 개발자 센터의 Microsoft Graph 또는 Azure AD Graph 블로그 게시물을 참조하십시오.There are a very limited number of scenarios for which Azure AD Graph API might still be appropriate; for more information, see the Microsoft Graph or the Azure AD Graph blog post in the Office Dev Center.

사용 권한 범위 개념 Permission scope concepts

응용 프로그램 전용 범위와 위임된 범위App-only vs. delegated scopes

사용 권한 범위에는 응용 프로그램 전용 범위와 또는 위임된 범위가 있습니다.Permission scopes can be either app-only or delegated.응용 프로그램 전용 범위(응용 프로그램 역할 라고도 함)에서는 응용 프로그램에 범위에서 제공하는 모든 사용 권한을 부여합니다.App-only scopes (also known as app roles) grant the app the full set of privileges offered by the scope.응용 프로그램 전용 범위는 로그인한 사용자가 없는 상태에서 서비스로 실행되는 응용 프로그램에 주로 사용됩니다.App-only scopes are typically used by apps that run as a service without a signed-in user being present.위임된 권한 범위는 사용자가 로그인하는 응용 프로그램에 사용됩니다.Delegated permission scopes are for apps that a user signs in to.이러한 범위에서는 로그인한 사용자의 권한을 응용 프로그램에 위임하여 응용 프로그램이 로그인한 사용자를 대행할 수 있도록 허용합니다.These scopes delegate the privileges of the signed-in user to the app, allowing the app to act as the signed in user.응용 프로그램에 부여되는 실제 권한은 범위에서 부여한 권한과 로그인한 사용자가 보유한 권한의 최소 권한 조합(겹치는 부분)입니다.The actual privileges granted to the app will be the least privileged combination (the intersection) of the privileges granted by the scope and those possessed by the signed-in user.예를 들어, 권한 범위에서 모든 디렉터리 개체를 쓸 수 있는 위임된 권한을 부여해도 로그인한 사용자에게 자신의 사용자 프로필을 업데이트할 권한만 있다면, 응용 프로그램에서는 다른 그룹이 아닌 자신의 사용자 프로필만 쓸 수 있습니다.For example, if the permission scope grants delegated privileges to write all directory objects, but the signed-in user has privileges only to update their own user profile, the app will only be able to write the signed-in user's profile but no other objects.

사용자 및 그룹에 대한 전체 및 기본 프로필Full and basic profiles for users and groups

사용자그룹의 전체 프로필에는 속성에 대해 선언된 모든 엔터티가 포함됩니다.The full profile (or profile) of a User or a Group includes all of the entity's declared properties.프로필에 중요한 디렉터리 정보와 PII(개인 식별 정보)가 포함될 수도 있으므로 기본 프로필이라는 제한된 속성 집합으로 액세스 권한을 제한하는 범위도 여러 개가 있습니다.Because the profile may contain sensitive directory information or personally identifiable information (PII), several scopes constrain app access to a limited set of properties known as a basic profile.사용자의 기본 프로필에는 표시 이름, 이름 및 성, 사진, 메일 주소만 포함됩니다.For users, the basic profile includes only the following properties: display name, first and last name, photo, and email address.그룹의 기본 프로필에는 표시 이름만 포함됩니다.For groups, the basic profile contains only the display name.

사용 권한 범위 세부 정보 Permission scope details

다음 표에서는 Graph API 사용 권한 범위를 나열하고 각각에 부여된 액세스 권한에 대해 설명합니다.The following table lists the Graph API permission scopes and explains the access granted by each.

  • 범위 열에는 범위 이름이 나열됩니다.The Scope column lists the scope name.범위 이름은 resource.operation.constraint 형식으로 되어 있습니다. 예: Group.ReadWrite.All.Scope names take the form resource.operation.constraint; for example, Group.ReadWrite.All.제약 조건이 "All"이면 범위에서는 응용 프로그램에 디렉터리의 지정된 모든 리소스(그룹)에서 작업을 수행할(ReadWrite) 권한을 부여합니다. 그렇지 않으면 범위에서는 로그인한 사용자의 프로필에 있는 작업만 허용합니다.If the constraint is "All", the scope grants the app the ability to perform the operation (ReadWrite) on all of the specified resources (Group) in the directory; otherwise, the scope only permits the operation on the profile of the signed-in user.범위에서 제한된 권한을 지정된 작업에 부여할 수도 있습니다. 자세한 내용은 설명 열을 참조하십시오.Scopes may grant limited privileges for the specified operation, see the Description column for details.
  • 사용 권한 열에는 Azure 포털에서 범위를 표시하는 방식이 표시됩니다.The Permission column shows how the scope is displayed on the Azure portal.
  • 설명 열에서는 범위에서 부여하는 전체 권한 집합을 설명합니다.The Description column describes the full set of privileges granted by the scope.위임된 범위의 경우 실제로 응용 프로그램에 부여되는 액세스 권한은 범위에서 부여한 권한과 로그인한 사용자가 보유한 권한의 최소 권한 조합(겹치는 부분)이 됩니다.For delegated scopes, the actual access granted to the app will be the least privileged combination (intersection) of the access granted by the scope and the privileges of the signed-in user.
범위Scope권한Permission설명Description범위 유형Scope Type관리자의 승인이 필요합니다.Requires Administrator Consent
User.ReadUser.Read로그인 사용 및 사용자 프로필 읽기Enable sign-in and read user profile사용자가 응용 프로그램에 로그인할 수 있도록 하고, 응용 프로그램에서 로그인한 사용자의 전체 프로필을 읽을 수 있도록 합니다.Allows users to sign in to the app and allows the app to read the full profile of the signed-in user.전체 프로필에는 사용자 엔터티에 선언된 모든 속성이 포함됩니다.The full profile includes all of the declared properties of the User entity.User.Read는 앱에서 로그인한 사용자가 기본 회사 정보인 테넌트 ID, 테넌트 표시 이름 및 확인된 도메인을 읽도록 허용합니다(TenantDetail 개체 사용).User.Read allows the app to read the following basic company information of the signed-in user (through the TenantDetail object): tenant ID, tenant display name, and verified domains.응용 프로그램에서는 관리자나 부하 직원 등의 탐색 속성을 읽을 수 없습니다.The app cannot read navigation properties, such as manager or direct reports.앱에서는 사용자의 암호를 읽을 수 없습니다.The app cannot read the user's password.위임delegated아니요No
User.ReadBasic.AllUser.ReadBasic.All모든 사용자의 기본 프로필 읽기Read all users' basic profiles응용 프로그램에서 로그인한 사용자를 대신하여 조직에 있는 모든 사용자의 기본 프로필을 읽도록 허용합니다.Allows the app to read the basic profile of all users in the organization on behalf of the signed-in user.사용자의 기본 프로필은 표시 이름, 이름 및 성, 사진, 메일 주소로 구성됩니다.The following properties comprise a user’s basic profile: display name, first and last name, photo, and email address.사용자가 구성원으로 속한 그룹을 읽으려면 응용 프로그램에 Group.Read.All이나 Group.ReadWrite.All도 필요합니다.To read the groups that a user is a member of, the app will also require Group.Read.All or Group.ReadWrite.All.위임delegated아니요No
User.Read.AllUser.Read.All모든 사용자의 전체 프로필 읽기Read all users' full profiles응용 프로그램에서 조직에 있는 모든 사용자의 전체 프로필을 읽도록 허용한다는 점과 관리자 및 부하 직원과 같은 탐색 속성을 읽는 경우를 제외하면 User.ReadBasic.All과 같습니다.Same as User.ReadBasic.All, except that it allows the app to read the full profile of all users in the organization and when reading navigation properties like manager and direct reports.전체 프로필에는 사용자 엔터티에 선언된 모든 속성이 포함됩니다.The full profile includes all of the declared properties of the User entity.사용자가 구성원으로 속해 있는 그룹을 읽으려면 응용 프로그램에 Group.Read.All이나 Group.ReadWrite.All도 필요합니다.To read the groups that a user is a member of, the app will also require either Group.Read.All or Group.ReadWrite.All.앱에서는 사용자의 암호를 읽을 수 없습니다.The app cannot read users' passwords.위임delegatedYes
Group.Read.AllGroup.Read.All모든 그룹 읽기(미리 보기)Read all groups (preview)응용 프로그램에서 로그인한 사용자를 대신하여 조직에 있는 모든 그룹의 기본 프로필을 읽도록 허용합니다.Allows the app to read the basic profile of all groups in the organization on behalf of the signed-in user.응용 프로그램에서 그룹이 구성원으로 속해 있는 그룹의 기본 프로필을 읽을 수도 있습니다.The app can also read the basic profile of the groups that a group is a member of.그룹의 기본 프로필에는 그룹의 표시 이름만 포함됩니다.The basic profile for a group includes only the group’s display name.그룹 구성원의 프로필 정보를 읽으려면 응용 프로그램에 User.ReadBasic이나 User.Read.All도 필요합니다.To read the profile information of a group’s members, the app will also require either User.ReadBasic or User.Read.All.위임delegatedYes
Group.ReadWrite.AllGroup.ReadWrite.All모든 그룹 읽기 및 쓰기(미리 보기)Read and write all groups (preview)응용 프로그램에서 조직에 있는 모든 그룹의 전체 프로필을 읽고, 로그인한 사용자를 대신하여 그룹을 생성 및 업데이트하도록 허용합니다.Allows the app to read the full profile of all groups in the organization, as well as to create and update groups on behalf of the signed-in user.그룹이 구성원으로 속해 있는 그룹의 전체 프로필을 읽을 수도 있습니다.The app can also read the full profile of the groups that a group is a member of.전체 프로필에는 그룹 엔터티의 선언된 속성이 모두 포함되어 있습니다.The full profile includes all of the declared properties of the Group entity.프로필을 읽거나 그룹의 구성원을 업데이트하려면 응용 프로그램에 User.ReadBasic이나 User.Read.All도 필요합니다.To read the profiles of or update a group’s members, the app will also require either User.ReadBasic or User.Read.All.위임delegatedYes
Device.ReadWrite.AllDevice.ReadWrite.All모든 장치 읽기 및 쓰기Read and write all devices로그인한 사용자가 없을 때 응용 프로그램에서 모든 장치 속성을 읽고 쓰도록 합니다.Allows the app to read and write all device properties without a signed in user.장치 만들기, 장지 삭제 또는 장비 대체 보안 식별자 업데이트는 허용되지 않습니다.Does not allow device creation, device deletion, or update of device alternative security identifiers.응용 프로그램 전용app-onlyYes
Directory.Read.AllDirectory.Read.All디렉터리 데이터 읽기Read directory data응용 프로그램에서 사용자, 그룹, 응용 프로그램과 관련 탐색 속성과 같은 조직 디렉터리 데이터를 모두 읽을 수 있도록 허용합니다.Allows the app to read all of the data in the organization's directory, such as users, groups, and apps, and their associated navigation properties.참고: 응용 프로그램에 자기 조직의 테넌트에 등록된 경우에는 사용자가 이러한 사용 권한을 필요로 하는 응용 프로그램에 동의할 수 있습니다.Note: Users may consent to applications that require this permission if the application is registered in their own organization’s tenant.응용 프로그램 전용, 위임app-only, delegatedYes
Directory.ReadWrite.AllDirectory.ReadWrite.All디렉터리 데이터 읽기 및 쓰기Read and write directory data응용 프로그램에서 조직의 디렉터리 내에 있는 모든 데이터를 읽을 수 있도록 허용합니다.Allows the app to read all of the data in the organization's directory.응용 프로그램에서 사용자와 그룹을 생성 및 업데이트하고, 탐색 속성을 업데이트할 수 있지만 사용자나 그룹을 삭제할 수는 없습니다.Allows the app to create and update users and groups, and update their navigation properties, but prohibits user or group deletion.또한 응용 프로그램에서 응용 프로그램에 스키마 확장을 정의할 수 있습니다.Also allows the app to define schema extensions on applications.상세한 권한 목록은 아래의 Directory.ReadWrite.All 세부 권한을 참조하세요.For a detailed list of privileges, see Directory.ReadWrite.All privileges detail below.응용 프로그램 전용, 위임app-only, delegatedYes
Directory.AccessAsUser.AllDirectory.AccessAsUser.All로그인한 사용자로 디렉터리에 액세스Access directory as the signed-in user응용 프로그램에서 로그인한 사용자로 조직의 디렉터리 내에 있는 데이터에 액세스할 수 있도록 허용합니다.Allows the app the same access to data in the organization's directory as the signed-in user.참고: 기본 클라이언트 응용 프로그램의 경우는 사용자가 이 사용 권한에 동의할 수 있지만, 웹 응용 프로그램의 경우는 관리자의 동의가 필요합니다.Note: A native client app can have the user consent to this permission however, a web app requires administrator consent.위임delegatedYes

참고: 기본적으로 Azure 포털을 사용하여 응용 프로그램을 만들면 Azure AD에서는 User.Read의 위임된 사용 권한 범위를 할당합니다.Note: By default, when you create an app using the Azure portal, Azure AD assigns it a delegated permission scope of User.Read.

Directory.ReadWrite.All 세부 권한Directory.ReadWrite.All privileges detail

Directory.ReadWrite.All 사용 권한 범위에서는 다음 권한을 부여합니다.The Directory.ReadWrite.All permission scope grants the following privileges:

  • 모든 디렉터리 개체 전체 읽기(선언된 속성과 탐색 속성 모두)Full read of all directory objects (both declared properties and navigation properties)
  • 사용자 만들기 및 업데이트Create and update users
  • 사용자의 사용 및 사용 안 함 설정(회사 관리자는 제외)Disable and enable users (but not company administrator)
  • 사용자 대체 보안 ID 설정(관리자는 제외)Set user alternative security id (but not administrators)
  • 그룹 만들기 및 업데이트Create and update groups
  • 그룹 멤버 자격 관리Manage group memberships
  • 그룹 소유자 업데이트Update group owner
  • 라이선스 할당 관리Manage license assignments
  • 응용 프로그램에 스키마 확장 정의Define schema extensions on applications
  • 사용자를 만들 때 암호를 설정할 수 있습니다.Allows password to be set when creating a user.
  • 참고: 사용자 암호를 재설정할 권한은 없습니다.Note: No rights to reset user passwords
  • 참고: 사용자 암호를 읽을 권한이 없음Note: No rights to read user passwords
  • 참고: 엔터티(사용자 또는 그룹 포함)를 삭제할 권한은 없습니다.Note: No rights to delete entities (including users or groups)
  • 참고: 위에 나열되지 않은 엔터티의 만들기 및 업데이트는 명시적으로 제외됩니다.Note: Specifically excludes create or update for entities not listed above.여기에는 Application, Oauth2PermissionGrant, AppRoleAssignment, Device, ServicePrincipal, TenantDetail, domains 등이 포함됩니다.This includes: Application, Oauth2PermissionGrant, AppRoleAssignment, Device, ServicePrincipal, TenantDetail, domains, etc.

사용 권한 범위 시나리오 Permission scope scenarios

다음 표에서는 응용 프로그램에서 특정 작업을 수행하는 데 필요한 사용 권한을 보여 줍니다.The following table shows the permission scopes needed for an app to be able to perform specific operations.응용 프로그램에서 일부 작업을 수행하는 기능은 사용 권한 범위가 응용 프로그램 전용인지 위임되었는지에 따라 달라질 수 있으며, 위임된 사용 권한 범위의 경우는 로그인한 사용자의 권한에 따라서도 달라집니다.Note that in some cases the ability of the app to perform some operations will depend on whether the permission scope is app-only or delegated, and, in the case of delegated permission scopes, on the privileges of the signed-in user.

시나리오Scenario필요한 액세스Access Required필요한 사용 권한 범위Permission Scope Needed
로그인하여 사용자의 이름과 축소판 사진이 있는 타일을 표시합니다.Sign-in and show a tile with the user's name and thumbnail photo.로그인한 사용자의 전체 프로필을 읽습니다.Read full profile of the signed-in user.
기본 회사 정보를 읽습니다.Read basic company information.
User.ReadUser.Read
기본 사용자 선택기.Basic people picker.로그인한 사용자를 대신하여 모든 사용자의 기본 프로필을 읽습니다.Read basic profile of all users on behalf of the signed-in user.User.ReadBasic.AllUser.ReadBasic.All
전체 프로필이 있는 사용자 선택기.People picker with full profile.위와 같지만 로그인한 사용자를 대신하여 사용자의 전체 프로필에 액세스합니다.Same as above but access to full profile of users on behalf of the signed-in user.User.Read.AllUser.Read.All
조직도 탐색기.Org chart navigator.로그인한 사용자를 대신하여 모든 사용자와 그 관리자, 부사 직원의 전체 프로필을 읽습니다.Read full profile of all users, their managers, and direct reports on behalf of the signed-in user.User.Read.AllUser.Read.All
앱에 대한 액세스 제어 그룹이 포함된 사용자 선택기.People picker that includes groups for access control to your app.

그룹 및 멤버 자격 뷰어.Group and membership viewer.
로그인한 사용자를 대신하여 모든 그룹 및 사용자의 기본 프로필을 읽습니다.Read basic profile of all groups and users on behalf of the signed-in user.
사용자의 관리자 및 부하 직원의 기본 사용자 프로필을 읽습니다.Read basic user profiles for users' manager and direct reports.
사용자의 그룹 멤버 자격 기본 프로필을 읽습니다.Read basic profile of users' group memberships.
그룹의 그룹 멤버 자격 기본 프로필을 읽습니다.Read basic profile of groups' group memberships.
그룹의 구성원 기본 프로필을 읽습니다.Read basic profile of groups' members
User.ReadBasic.All 및 Group.Read.AllUser.ReadBasic.All and Group.Read.All
로그인한 사용자와 사용자의 관리자, 부하 직원, 그룹 멤버 자격의 프로필을 표시합니다.Show the profile of the signed-in user and the user's manager, direct reports, and group memberships.me 작업을 사용하여 다음을 읽습니다.Use me operations to read:
로그인한 사용자의 전체 프로필.The full profile of the signed-in user.
로그인한 사용자의 관리자 및 부하 직원 전체 프로필.The full profile of the signed-in user's manager and direct reports.
로그인한 사용자가 속한 그룹의 기본 프로필.The basic profile of the groups that the signed-in user is a member of.

참고: 두 범위를 조합하면 me 작업에 여기에 표시된 것보다 많은 액세스 권한이 부여됩니다.Note: The combination of the two scopes grants more access than that noted here for me operations.
User.Read.All 및 Group.Read.AllUser.Read.All and Group.Read.All
사용자가 그룹을 만들고 관리할 수 있게 해 주는 그룹 관리 서비스.Group management service that allows users to create and manage groups.로그인한 사용자를 대신하여 모든 그룹 및 사용자의 전체 프로필을 읽습니다.Read full profile of all groups and users on behalf of the signed-in user.
사용자의 관리자 및 부하 직원에 대한 전체 프로필을 읽습니다.Read full profiles for users' manager and direct reports.
사용자의 그룹 멤버 자격 전체 프로필을 읽습니다.Read full profile of users' group memberships.
그룹의 그룹 멤버 자격 전체 프로필을 읽습니다.Read full profile of groups' group memberships.
그룹 구성원의 전체 프로필을 읽습니다.Read full profile of groups' members.
그룹 및 해당 탐색 속성(구성원)을 만들고 업데이트합니다.Create and update groups and their navigation properties (members).
User.Read.All 및 Group.ReadWrite.AllUser.Read.All and Group.ReadWrite.All
모든 디렉터리 개체(탐색 속성 포함)를 읽습니다.Read all directory objects (including navigation properties).Directory.Read.AllDirectory.Read.All
모든 디렉터리 개체(탐색 속성 포함)를 읽습니다.Read all directory objects (including navigation properties).
사용자 및 그룹 개체를 만들고 업데이트합니다.Create and update user and group objects.
사용자 또는 그룹 삭제는 없습니다.No user or group deletion.

참고: 부여할 수 있는 모든 권한이 여기에 나열되지는 않았습니다.Note: Not all privileges granted are listed here.
Directory.ReadWrite.AllDirectory.ReadWrite.All
로그인한 사용자로서 활동합니다.Act as the signed-in user.로그인한 사용자를 대신하여 디렉터리 개체를 읽고 씁니다(탐색 속성 포함).Read and write directory objects (including navigation properties) on behalf of the signed-in user.Directory.AccessAsUser.AllDirectory.AccessAsUser.All

관리자, 사용자 및 게스트 사용자의 기본 액세스 권한 Default access for administrators, users, and guest users

다음 표에서는 디렉터리에 있는 (전역) 관리자, 사용자 및 게스트 사용자의 기본 액세스 권한을 나열합니다.The following table lists the default access of (global) administrators, users, and guest users in the directory.디렉터리 구성 설정 및/또는 하나 이상의 디렉터리 역할에 대한 사용자의 멤버 자격에 따라 기본 액세스 권한을 더 강화하거나 제한할 수도 있습니다.The default access may be further augmented or restricted based on configuration settings for the directory and/or a user's membership in one or more directory roles.디렉터리 데이터에 대한 사용자와 게스트 사용자의 액세스 권한 구성에 대한 자세한 내용은 Azure AD에서 사용자 만들기 또는 편집을 참조하십시오.For more detailed information about configuring the access of users and guest users to directory data, see Create or edit users in Azure AD.다양한 디렉터리 역할과 관련된 액세스 권한에 대한 자세한 내용은 Azure AD에서 관리자 역할 할당을 참조하십시오.For more information about the access associated with various directory roles, see Assigning administrator roles in Azure AD.

사용자 유형User Type액세스Access
전역 관리자Global Administrator모든 디렉터리 개체를 읽습니다.Read all directory objects.
모든 디렉터리 개체를 생성, 업데이트 및 삭제합니다.Create, Update, and Delete all directory objects
사용자User모든 디렉터리 개체를 읽습니다.Read all directory objects.
응용 프로그램 및 연결된 서비스 사용자를 만듭니다.Create applications and associated service principals.
자신의 프로필을 업데이트합니다.Update their profile.
소유한 그룹(및 구성원 속성)을 업데이트합니다.Update groups that they own (and the members property).
소유한 응용 프로그램 및 서비스 주체를 업데이트합니다.Update applications and service principals that they own.
소유한 응용 프로그램 및 서비스 주체를 삭제합니다.Delete applications and service principals that they own.
게스트 사용자Guest User자신의 전체 프로필을 읽습니다.Read their full profile.
다른 모든 사용자의 기본 프로필을 읽습니다.Read the basic profiles of all other users
모든 그룹의 기본 프로필을 읽습니다.Read basic profile of all groups.
응용 프로그램을 읽습니다.Read applications.
자기의 프로필에서 일부 속성을 업데이트 합니다.Update some properties of their profile.
사용자 또는 그룹 검색은 없습니다(아래의 게스트 사용자의 사용자 및 그룹 검색 참조).No user or group search (see User and group search limitations for guest users below).

게스트 사용자의 사용자 및 그룹 검색 제한 User and group search limitations for guest users

사용자 및 그룹 검색 기능을 사용하면 응용 프로그램에서 사용자 또는 그룹 리소스 집합에 대하나 쿼리를 수행하여 고객 디렉터리에서 사용자나 그룹을 검색할 수 있습니다(예: https://graph.windows.net/myorganization/users?api-version=1.6).User and group search capabilities allow the app to search for any user or group in the customer directory by performing queries against the users or groups resource set (for example, https://graph.windows.net/myorganization/users?api-version=1.6).관리자와 사용자 모두에게 이 기능이 있습니다.Both administrators and users have this capability.게스트 사용자에게는 없습니다.Guest users do not.로그인한 사용자가 게스트 사용자인 경우에는, 사용 권한 범위에 따라 응용 프로그램에서 사용자의 개체 ID 또는 UPN(사용자 계정 이름)이나 그룹의 개체 ID를 사용해서 특정 사용자나 그룹의 프로필을 읽을 수 있습니다(예: https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6). 그러나 두 개 이상의 엔터티를 요청할 가능성이 있는 사용자 또는 그룹 리소스에 대해 쿼리를 수행할 수는 없습니다.If the signed-in user is a guest user, depending on the permission scope, an app can read the profile of a specific user or group by using the object ID or user principal name (UPN) for a user or the object ID for a group (for example, https://graph.windows.net/myorganization/users/241f22af-f634-44c0-9a15-c8cd2cea5531?api-version=1.6); however, it cannot perform queries against the users or groups resource set that potentially request more than one entity.예를 들어, 사용 권한 범위에 따라 응용 프로그램에서 탐색 속성의 링크를 따라 얻은 사용자나 그룹의 프로필을 읽을 수도 있지만, 디렉터리의 모든 사용자나 그룹을 반환하는 쿼리를 실행할 수는 없습니다.For example, depending on the permission scope, the app can read the profiles of users or groups that it obtains by following links in navigation properties, but it cannot issue a query to return all users or groups in the directory.

추가 리소스Additional resources

© 2018 Microsoft