Azure AD Graph と Microsoft Graph のアクセス許可の違い
[アーティクル] 01/18/2024
3 人の共同作成者
フィードバック
この記事の内容
この記事は、アプリを移行するプロセス の API の違いを確認する手順 1 の一部です。
特定のシナリオの最小特権アクセス許可は、Azure AD Graph と Microsoft Graph で異なる場合があります。 アプリを移行して Microsoft Graph を呼び出す場合は、最小限の特権を維持するために、より狭い範囲の Microsoft Graph アクセス許可に移行する必要があるかどうかを分析します。
たとえば、Azure AD Graph では、アプリのみのシナリオでユーザーを読み取るには 、Directory.Read.All アクセス許可が必要です。 このアクセス許可を使用すると、アプリはテナント内のすべてのグループ、アプリ、および一部のポリシーを読み取ることもできます。 ただし、Microsoft Graph では、アプリのみのシナリオでユーザーを読み取るには、 User.Read.All アクセス許可のみが必要です。
アクセス許可文字列は、Azure AD Graph と Microsoft Graph の両方で同じである可能性があります。識別子は異なります。 ただし、Azure AD Graph と同様に、Microsoft Graph では、アプリケーションと委任されたアクセス許可の両方も公開されます。 アプリケーションのアクセス許可には常に管理者の同意が必要です。
この記事では、アプリの移行に役立つ Azure AD Graph と Microsoft Graph のアクセス許可のマッピングについて説明します。
Application.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
c79f8feb-a9db-4090-85f9-90d820caa0eb
表示文字列
使用不可
アプリケーションを読み取る
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
3afa6a7d-9b1a-42eb-948e-1650a849e176
9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
表示文字列
すべてのアプリケーションを読み取る
すべてのアプリケーションを読み取る
Application.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
bdfbf15f-ee85-4955-8675-146e8e5296b5
表示文字列
使用不可
すべてのアプリケーションの読み取りと書き込み
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
1cda74f2-2616-4834-b122-5cb1b07f8a59
1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
表示文字列
すべてのアプリケーションの読み取りと書き込み
すべてのアプリケーションを読み取る
Application.ReadWrite.OwnedBy
委任
該当なし。
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
1cda74f2-2616-4834-b122-5cb1b07f8a59
18a4783c-866b-4cc7-a460-3d5e5662c884
表示文字列
このアプリの作成または所有するアプリを管理
このアプリの作成または所有するアプリを管理
Device.ReadWrite.All
委任
該当なし。
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
1138cb37-bd11-4084-a2b7-9f71582aeddb
1138cb37-bd11-4084-a2b7-9f71582aeddb
表示文字列
デバイスの読み取りと書き込み
デバイスの読み取りと書き込み
Directory.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
5778995a-e1bf-45b8-affa-663a9f3f4d04
06da0dbc-49e2-44d2-8312-53f166ab848a
表示文字列
ディレクトリ データの読み取り
ディレクトリ データの読み取り
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
5778995a-e1bf-45b8-affa-663a9f3f4d04
7ab1d382-f21e-4acd-a863-ba3e13f7da61
表示文字列
ディレクトリ データの読み取り
ディレクトリ データの読み取り
Directory.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175
c5366453-9fb0-48a5-a156-24f0c49a4b84
表示文字列
ディレクトリ データの読み取りおよび書き込み
ディレクトリ データの読み取りおよび書き込み
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175
19dbc75e-c2e2-444c-a770-ec69d8559fc7
表示文字列
ディレクトリ データの読み取りおよび書き込み
ディレクトリ データの読み取りおよび書き込み
Directory.AccessAsUser.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
a42657d6-7f20-40e3-b6f0-cee03008a62a
0e263e50-5827-48a4-b97c-d940288653c7
表示文字列
サインインしているユーザーとしてのディレクトリへのアクセス
サインインしているユーザーとしてのディレクトリへのアクセス
同意管理必要ですか?
はい
はい
アプリケーション
該当なし。
Domain.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
ドメインの読み取りと書き込み
表示文字列
使用不可
ドメインの読み取りと書き込み
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
abefe9df-d5a9-41c6-a60b-27b38eac3efb
7e05723c-0bb0-42da-be95-ae9f08a6e53c
表示文字列
ドメインの読み取りと書き込み
ドメインの読み取りと書き込み
Group.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
6234d376-f627-4f0f-90e0-dff25c5211a3
5f8c59db-677d-491f-a6b8-5f174b11ec1d
表示文字列
すべてのグループの読み取り
すべてのグループの読み取り
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
5b567255-7703-4780-807c-7be8301ae99b
表示文字列
使用不可
すべてのグループの読み取り
Group.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
970d6fa6-214a-4a9b-8513-08fad511e2fd
4e46008b-f24c-477d-8fff-7bb4ec7aafe0
表示文字列
すべてのグループの読み取りと書き込み
すべてのグループの読み取りと書き込み
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
62a82d76-70ea-41e2-9197-370581804d09
表示文字列
使用不可
すべてのグループの読み取りと書き込み
Member.Read.Hidden
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
2d05a661-f651-4d57-a595-489c91eda336
f6a3db3e-f7e8-4ed2-a414-557c8c9830be
表示文字列
非表示のメンバーシップの読み取り
非表示のメンバーシップの読み取り
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
9728c0c4-a06b-4e0e-8d1b-3d694e8ec207
658aa5d8-239f-45c4-aa12-864f4fc7e490
表示文字列
すべての非表示のメンバーシップの読み取り
すべての非表示のメンバーシップの読み取り
Policy.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
572fea84-0151-49b2-9301-11cb16974376
表示文字列
使用不可
組織のポリシーの読み取り
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
6c2d1b1d-a490-4178-ba6b-7efceda9129b
246dd0d5-5bd0-4def-940b-0421030a5b68
表示文字列
組織のポリシーの読み取り
組織のポリシーを読み取る
User.Read
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
311a71cc-e848-46a1-bdf8-97ff7156d8e6
e1fe6dd8-ba31-4d61-89e7-88639da4683d
表示文字列
サインインおよびユーザー プロファイルの読み取り
サインインおよびユーザー プロファイルの読み取り
同意管理必要ですか?
いいえ
いいえ
アプリケーション
該当なし。
User.ReadBasic.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
cba73afc-7f69-4d86-8450-4978e04ecd1a
b340eb25-3456-403f-be2f-af7a0d370277
表示文字列
すべてのユーザーの基本プロファイルの読み取り
すべてのユーザーの基本プロファイルの読み取り
同意管理必要ですか?
いいえ
いいえ
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
97235f07-e226-4f63-ace3-39588e11d3a1
表示文字列
使用不可
すべてのユーザーの基本プロファイルの読み取り
User.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
c582532d-9d9e-43bd-a97c-2667a28ce295
a154be20-db9c-4678-8ab7-66f6cc099a59
表示文字列
すべてのユーザーの完全なプロファイルの読み取り
すべてのユーザーの完全なプロファイルの読み取り
同意管理必要ですか?
管理者
管理者
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
df021288-bdef-4463-88db-98f22de89214
表示文字列
使用不可
すべてのユーザーの完全なプロファイルの読み取り
次の手順