次の方法で共有


Azure AD Graph と Microsoft Graph のアクセス許可の違い

この記事は、アプリを移行するプロセスAPI の違いを確認する手順 1 の一部です。

特定のシナリオの最小特権アクセス許可は、Azure AD Graph と Microsoft Graph で異なる場合があります。 アプリを移行して Microsoft Graph を呼び出す場合は、最小限の特権を維持するために、より狭い範囲の Microsoft Graph アクセス許可に移行する必要があるかどうかを分析します。

たとえば、Azure AD Graph では、アプリのみのシナリオでユーザーを読み取るには 、Directory.Read.All アクセス許可が必要です。 このアクセス許可を使用すると、アプリはテナント内のすべてのグループ、アプリ、および一部のポリシーを読み取ることもできます。 ただし、Microsoft Graph では、アプリのみのシナリオでユーザーを読み取るには、 User.Read.All アクセス許可のみが必要です。

アクセス許可文字列は、Azure AD Graph と Microsoft Graph の両方で同じである可能性があります。識別子は異なります。 ただし、Azure AD Graph と同様に、Microsoft Graph では、アプリケーションと委任されたアクセス許可の両方も公開されます。 アプリケーションのアクセス許可には常に管理者の同意が必要です。

この記事では、アプリの移行に役立つ Azure AD Graph と Microsoft Graph のアクセス許可のマッピングについて説明します。

Application.Read.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 c79f8feb-a9db-4090-85f9-90d820caa0eb
表示文字列 使用不可 アプリケーションを読み取る
同意管理必要ですか? 使用不可 はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 3afa6a7d-9b1a-42eb-948e-1650a849e176 9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
表示文字列 すべてのアプリケーションを読み取る すべてのアプリケーションを読み取る

Application.ReadWrite.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 bdfbf15f-ee85-4955-8675-146e8e5296b5
表示文字列 使用不可 すべてのアプリケーションの読み取りと書き込み
同意管理必要ですか? 使用不可 はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 1cda74f2-2616-4834-b122-5cb1b07f8a59 1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
表示文字列 すべてのアプリケーションの読み取りと書き込み すべてのアプリケーションを読み取る

Application.ReadWrite.OwnedBy

委任

該当なし。

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 1cda74f2-2616-4834-b122-5cb1b07f8a59 18a4783c-866b-4cc7-a460-3d5e5662c884
表示文字列 このアプリの作成または所有するアプリを管理 このアプリの作成または所有するアプリを管理

Device.ReadWrite.All

委任

該当なし。

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 1138cb37-bd11-4084-a2b7-9f71582aeddb 1138cb37-bd11-4084-a2b7-9f71582aeddb
表示文字列 デバイスの読み取りと書き込み デバイスの読み取りと書き込み

Directory.Read.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 5778995a-e1bf-45b8-affa-663a9f3f4d04 06da0dbc-49e2-44d2-8312-53f166ab848a
表示文字列 ディレクトリ データの読み取り ディレクトリ データの読み取り
同意管理必要ですか? はい はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 5778995a-e1bf-45b8-affa-663a9f3f4d04 7ab1d382-f21e-4acd-a863-ba3e13f7da61
表示文字列 ディレクトリ データの読み取り ディレクトリ データの読み取り

Directory.ReadWrite.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 c5366453-9fb0-48a5-a156-24f0c49a4b84
表示文字列 ディレクトリ データの読み取りおよび書き込み ディレクトリ データの読み取りおよび書き込み
同意管理必要ですか? はい はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 19dbc75e-c2e2-444c-a770-ec69d8559fc7
表示文字列 ディレクトリ データの読み取りおよび書き込み ディレクトリ データの読み取りおよび書き込み

Directory.AccessAsUser.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID a42657d6-7f20-40e3-b6f0-cee03008a62a 0e263e50-5827-48a4-b97c-d940288653c7
表示文字列 サインインしているユーザーとしてのディレクトリへのアクセス サインインしているユーザーとしてのディレクトリへのアクセス
同意管理必要ですか? はい はい

アプリケーション

該当なし。


Domain.ReadWrite.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 ドメインの読み取りと書き込み
表示文字列 使用不可 ドメインの読み取りと書き込み
同意管理必要ですか? 使用不可 はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID abefe9df-d5a9-41c6-a60b-27b38eac3efb 7e05723c-0bb0-42da-be95-ae9f08a6e53c
表示文字列 ドメインの読み取りと書き込み ドメインの読み取りと書き込み

Group.Read.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 6234d376-f627-4f0f-90e0-dff25c5211a3 5f8c59db-677d-491f-a6b8-5f174b11ec1d
表示文字列 すべてのグループの読み取り すべてのグループの読み取り
同意管理必要ですか? はい はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 5b567255-7703-4780-807c-7be8301ae99b
表示文字列 使用不可 すべてのグループの読み取り

Group.ReadWrite.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 970d6fa6-214a-4a9b-8513-08fad511e2fd 4e46008b-f24c-477d-8fff-7bb4ec7aafe0
表示文字列 すべてのグループの読み取りと書き込み すべてのグループの読み取りと書き込み
同意管理必要ですか? はい はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 62a82d76-70ea-41e2-9197-370581804d09
表示文字列 使用不可 すべてのグループの読み取りと書き込み

Member.Read.Hidden

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 2d05a661-f651-4d57-a595-489c91eda336 f6a3db3e-f7e8-4ed2-a414-557c8c9830be
表示文字列 非表示のメンバーシップの読み取り 非表示のメンバーシップの読み取り
同意管理必要ですか? はい はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 9728c0c4-a06b-4e0e-8d1b-3d694e8ec207 658aa5d8-239f-45c4-aa12-864f4fc7e490
表示文字列 すべての非表示のメンバーシップの読み取り すべての非表示のメンバーシップの読み取り

Policy.Read.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 572fea84-0151-49b2-9301-11cb16974376
表示文字列 使用不可 組織のポリシーの読み取り
同意管理必要ですか? 使用不可 はい

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 6c2d1b1d-a490-4178-ba6b-7efceda9129b 246dd0d5-5bd0-4def-940b-0421030a5b68
表示文字列 組織のポリシーの読み取り 組織のポリシーを読み取る

User.Read

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 311a71cc-e848-46a1-bdf8-97ff7156d8e6 e1fe6dd8-ba31-4d61-89e7-88639da4683d
表示文字列 サインインおよびユーザー プロファイルの読み取り サインインおよびユーザー プロファイルの読み取り
同意管理必要ですか? いいえ いいえ

アプリケーション

該当なし。


User.ReadBasic.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID cba73afc-7f69-4d86-8450-4978e04ecd1a b340eb25-3456-403f-be2f-af7a0d370277
表示文字列 すべてのユーザーの基本プロファイルの読み取り すべてのユーザーの基本プロファイルの読み取り
同意管理必要ですか? いいえ いいえ

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 97235f07-e226-4f63-ace3-39588e11d3a1
表示文字列 使用不可 すべてのユーザーの基本プロファイルの読み取り

User.Read.All

委任

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID c582532d-9d9e-43bd-a97c-2667a28ce295 a154be20-db9c-4678-8ab7-66f6cc099a59
表示文字列 すべてのユーザーの完全なプロファイルの読み取り すべてのユーザーの完全なプロファイルの読み取り
同意管理必要ですか? 管理者 管理者

アプリケーション

パラメーター Azure AD Graph Microsoft Graph
アクセス許可 ID 使用不可 df021288-bdef-4463-88db-98f22de89214
表示文字列 使用不可 すべてのユーザーの完全なプロファイルの読み取り

次の手順