Diferencias de permisos entre Azure AD Graph y Microsoft Graph

Este artículo forma parte del paso 1: revisar las diferencias de API del proceso para migrar aplicaciones.

El permiso con privilegios mínimos para un escenario específico puede ser diferente entre Azure AD Graph y Microsoft Graph. Al migrar las aplicaciones para llamar a Microsoft Graph, analice si también necesita migrar a permisos de Microsoft Graph con un ámbito más limitado para mantener los privilegios mínimos.

Por ejemplo, en Azure AD Graph, la lectura de usuarios en escenarios de solo aplicación requiere el permiso Directory.Read.All . Este permiso también permite que la aplicación lea todos los grupos, aplicaciones y algunas directivas del inquilino. Sin embargo, en Microsoft Graph, la lectura de usuarios en escenarios de solo aplicación solo requiere el permiso User.Read.All .

Aunque las cadenas de permisos pueden ser las mismas en Azure AD Graph y Microsoft Graph, tienen identificadores diferentes. Sin embargo, de forma similar a Azure AD Graph, Microsoft Graph también expone permisos delegados y de aplicación. El consentimiento del administrador siempre es necesario para los permisos de aplicación.

En el artículo se proporciona una asignación de los permisos de Azure AD Graph a Microsoft Graph para ayudarle a migrar las aplicaciones.

Application.Read.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	c79f8feb-a9db-4090-85f9-90d820caa0eb
Cadena para mostrar	No disponible	Leer aplicaciones
Administración consentimiento necesario?	No disponible	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	3afa6a7d-9b1a-42eb-948e-1650a849e176	9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
Cadena para mostrar	Leer todas las aplicaciones	Leer todas las aplicaciones

---

Application.ReadWrite.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	bdfbf15f-ee85-4955-8675-146e8e5296b5
Cadena para mostrar	No disponible	Leer y escribir todas las aplicaciones
Administración consentimiento necesario?	No disponible	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	1cda74f2-2616-4834-b122-5cb1b07f8a59	1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
Cadena para mostrar	Leer y escribir todas las aplicaciones	Leer todas las aplicaciones

---

Application.ReadWrite.OwnedBy

Delegated

No procede.

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	1cda74f2-2616-4834-b122-5cb1b07f8a59	18a4783c-866b-4cc7-a460-3d5e5662c884
Cadena para mostrar	Administrar aplicaciones que esta aplicación cree o posea	Administrar aplicaciones que esta aplicación cree o posea

---

Device.ReadWrite.All

Delegated

No procede.

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	1138cb37-bd11-4084-a2b7-9f71582aeddb	1138cb37-bd11-4084-a2b7-9f71582aeddb
Cadena para mostrar	Leer y escribir dispositivos	Leer y escribir dispositivos

---

Directory.Read.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	5778995a-e1bf-45b8-affa-663a9f3f4d04	06da0dbc-49e2-44d2-8312-53f166ab848a
Cadena para mostrar	Leer datos del directorio	Leer datos del directorio
Administración consentimiento necesario?	Sí	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	5778995a-e1bf-45b8-affa-663a9f3f4d04	7ab1d382-f21e-4acd-a863-ba3e13f7da61
Cadena para mostrar	Leer datos del directorio	Leer datos del directorio

---

Directory.ReadWrite.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	78c8a3c8-a07e-4b9e-af1b-b5ccab50a175	c5366453-9fb0-48a5-a156-24f0c49a4b84
Cadena para mostrar	Leer y escribir datos en el directorio	Leer y escribir datos en el directorio
Administración consentimiento necesario?	Sí	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	78c8a3c8-a07e-4b9e-af1b-b5ccab50a175	19dbc75e-c2e2-444c-a770-ec69d8559fc7
Cadena para mostrar	Leer y escribir datos en el directorio	Leer y escribir datos en el directorio

---

Directory.AccessAsUser.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	a42657d6-7f20-40e3-b6f0-cee03008a62a	0e263e50-5827-48a4-b97c-d940288653c7
Cadena para mostrar	Obtener acceso al directorio con el usuario que tiene la sesión iniciada	Obtener acceso al directorio con el usuario que tiene la sesión iniciada
Administración consentimiento necesario?	Sí	Sí

Aplicación

No procede.

---

Domain.ReadWrite.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	Leer y escribir dominios
Cadena para mostrar	No disponible	Leer y escribir dominios
Administración consentimiento necesario?	No disponible	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	abefe9df-d5a9-41c6-a60b-27b38eac3efb	7e05723c-0bb0-42da-be95-ae9f08a6e53c
Cadena para mostrar	Leer y escribir dominios	Leer y escribir dominios

---

Group.Read.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	6234d376-f627-4f0f-90e0-dff25c5211a3	5f8c59db-677d-491f-a6b8-5f174b11ec1d
Cadena para mostrar	Leer todos los grupos	Leer todos los grupos
Administración consentimiento necesario?	Sí	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	5b567255-7703-4780-807c-7be8301ae99b
Cadena para mostrar	No disponible	Leer todos los grupos

---

Group.ReadWrite.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	970d6fa6-214a-4a9b-8513-08fad511e2fd	4e46008b-f24c-477d-8fff-7bb4ec7aafe0
Cadena para mostrar	Leer y escribir en todos los grupos	Leer y escribir en todos los grupos
Administración consentimiento necesario?	Sí	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	62a82d76-70ea-41e2-9197-370581804d09
Cadena para mostrar	No disponible	Leer y escribir en todos los grupos

---

Member.Read.Hidden

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	2d05a661-f651-4d57-a595-489c91eda336	f6a3db3e-f7e8-4ed2-a414-557c8c9830be
Cadena para mostrar	Leer todas las pertenencias ocultas	Leer todas las pertenencias ocultas
Administración consentimiento necesario?	Sí	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	9728c0c4-a06b-4e0e-8d1b-3d694e8ec207	658aa5d8-239f-45c4-aa12-864f4fc7e490
Cadena para mostrar	Leer todas las pertenencias ocultas	Leer todas las pertenencias ocultas

---

Policy.Read.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	572fea84-0151-49b2-9301-11cb16974376
Cadena para mostrar	No disponible	Leer las directivas de la organización
Administración consentimiento necesario?	No disponible	Sí

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	6c2d1b1d-a490-4178-ba6b-7efceda9129b	246dd0d5-5bd0-4def-940b-0421030a5b68
Cadena para mostrar	Leer las directivas de la organización	Leer las directivas de la organización

---

User.Read

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	311a71cc-e848-46a1-bdf8-97ff7156d8e6	e1fe6dd8-ba31-4d61-89e7-88639da4683d
Cadena para mostrar	Iniciar sesión y leer el perfil del usuario	Iniciar sesión y leer el perfil del usuario
Administración consentimiento necesario?	No	No

Aplicación

No procede.

---

User.ReadBasic.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	cba73afc-7f69-4d86-8450-4978e04ecd1a	b340eb25-3456-403f-be2f-af7a0d370277
Cadena para mostrar	Leer perfiles básicos de todos los usuarios	Leer perfiles básicos de todos los usuarios
Administración consentimiento necesario?	No	No

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	97235f07-e226-4f63-ace3-39588e11d3a1
Cadena para mostrar	No disponible	Leer perfiles básicos de todos los usuarios

---

User.Read.All

Delegado

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	c582532d-9d9e-43bd-a97c-2667a28ce295	a154be20-db9c-4678-8ab7-66f6cc099a59
Cadena para mostrar	Leer los perfiles completos de todos los usuarios	Leer los perfiles completos de todos los usuarios
Administración consentimiento necesario?	Administrador	Administrador

Aplicación

Parámetro	Azure AD Graph	Microsoft Graph
Identificador de permiso	No disponible	df021288-bdef-4463-88db-98f22de89214
Cadena para mostrar	No disponible	Leer los perfiles completos de todos los usuarios

---

Paso siguiente

Vuelva a revisar la lista de comprobación de migración.