Azure AD Graph と Microsoft Graph のアクセス許可の違い
[アーティクル] 01/24/2025
4 人の共同作成者
フィードバック
この記事の内容
この記事は、アプリを移行するプロセス の API の違いを確認する手順 1 の一部です。
特定のシナリオの最小特権アクセス許可は、Azure AD Graph と Microsoft Graph で異なる場合があります。 アプリを移行して Microsoft Graph を呼び出す場合は、最小限の特権を維持するために、より狭い範囲の Microsoft Graph アクセス許可に移行する必要があるかどうかを分析します。
たとえば、Azure AD Graph では、アプリのみのシナリオでユーザーを読み取るには 、Directory.Read.All アクセス許可が必要です。 このアクセス許可を使用すると、アプリはテナント内のすべてのグループ、アプリ、および一部のポリシーを読み取ることもできます。 ただし、Microsoft Graph では、アプリのみのシナリオでユーザーを読み取るには、 User.Read.All アクセス許可のみが必要です。
アクセス許可の表示文字列は、Azure AD Graph と Microsoft Graph の両方で同じ場合でも、アクセス許可 ID が異なります。 Azure AD Graph と同様に、Microsoft Graph では、アプリケーションと委任されたアクセス許可の両方も公開されます。 アプリケーションのアクセス許可には常に管理者の同意が必要です。
この記事では、アプリの移行に役立つ Azure AD Graph と Microsoft Graph のアクセス許可のマッピングについて説明します。
Application.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
c79f8feb-a9db-4090-85f9-90d820caa0eb
表示文字列
使用不可
アプリケーションを読み取る
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
3afa6a7d-9b1a-42eb-948e-1650a849e176
9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30
表示文字列
すべてのアプリケーションを読み取る
すべてのアプリケーションを読み取る
Application.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
bdfbf15f-ee85-4955-8675-146e8e5296b5
表示文字列
使用不可
すべてのアプリケーションの読み取りと書き込み
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
1cda74f2-2616-4834-b122-5cb1b07f8a59
1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9
表示文字列
すべてのアプリケーションの読み取りと書き込み
すべてのアプリケーションを読み取る
Application.ReadWrite.OwnedBy
委任
該当なし。
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
1cda74f2-2616-4834-b122-5cb1b07f8a59
18a4783c-866b-4cc7-a460-3d5e5662c884
表示文字列
このアプリの作成または所有するアプリを管理
このアプリの作成または所有するアプリを管理
Device.ReadWrite.All
委任
該当なし。
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
1138cb37-bd11-4084-a2b7-9f71582aeddb
1138cb37-bd11-4084-a2b7-9f71582aeddb
表示文字列
デバイスの読み取りと書き込み
デバイスの読み取りと書き込み
Directory.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
5778995a-e1bf-45b8-affa-663a9f3f4d04
06da0dbc-49e2-44d2-8312-53f166ab848a
表示文字列
ディレクトリ データの読み取り
ディレクトリ データの読み取り
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
5778995a-e1bf-45b8-affa-663a9f3f4d04
7ab1d382-f21e-4acd-a863-ba3e13f7da61
表示文字列
ディレクトリ データの読み取り
ディレクトリ データの読み取り
Directory.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175
c5366453-9fb0-48a5-a156-24f0c49a4b84
表示文字列
ディレクトリ データの読み取りおよび書き込み
ディレクトリ データの読み取りおよび書き込み
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175
19dbc75e-c2e2-444c-a770-ec69d8559fc7
表示文字列
ディレクトリ データの読み取りおよび書き込み
ディレクトリ データの読み取りおよび書き込み
Directory.AccessAsUser.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
a42657d6-7f20-40e3-b6f0-cee03008a62a
0e263e50-5827-48a4-b97c-d940288653c7
表示文字列
サインインしているユーザーとしてのディレクトリへのアクセス
サインインしているユーザーとしてのディレクトリへのアクセス
同意管理必要ですか?
はい
はい
アプリケーション
該当なし。
Domain.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
0b5d694c-a244-4bde-86e6-eb5cd07730fe
表示文字列
使用不可
ドメインの読み取りと書き込み
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
abefe9df-d5a9-41c6-a60b-27b38eac3efb
7e05723c-0bb0-42da-be95-ae9f08a6e53c
表示文字列
ドメインの読み取りと書き込み
ドメインの読み取りと書き込み
Group.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
6234d376-f627-4f0f-90e0-dff25c5211a3
5f8c59db-677d-491f-a6b8-5f174b11ec1d
表示文字列
すべてのグループの読み取り
すべてのグループの読み取り
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
5b567255-7703-4780-807c-7be8301ae99b
表示文字列
使用不可
すべてのグループの読み取り
Group.ReadWrite.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
970d6fa6-214a-4a9b-8513-08fad511e2fd
4e46008b-f24c-477d-8fff-7bb4ec7aafe0
表示文字列
すべてのグループの読み取りと書き込み
すべてのグループの読み取りと書き込み
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
62a82d76-70ea-41e2-9197-370581804d09
表示文字列
使用不可
すべてのグループの読み取りと書き込み
Member.Read.Hidden
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
2d05a661-f651-4d57-a595-489c91eda336
f6a3db3e-f7e8-4ed2-a414-557c8c9830be
表示文字列
非表示のメンバーシップの読み取り
非表示のメンバーシップの読み取り
同意管理必要ですか?
はい
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
9728c0c4-a06b-4e0e-8d1b-3d694e8ec207
658aa5d8-239f-45c4-aa12-864f4fc7e490
表示文字列
すべての非表示のメンバーシップの読み取り
すべての非表示のメンバーシップの読み取り
Policy.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
572fea84-0151-49b2-9301-11cb16974376
表示文字列
使用不可
組織のポリシーの読み取り
同意管理必要ですか?
使用不可
はい
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
6c2d1b1d-a490-4178-ba6b-7efceda9129b
246dd0d5-5bd0-4def-940b-0421030a5b68
表示文字列
組織のポリシーの読み取り
組織のポリシーの読み取り
User.Read
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
311a71cc-e848-46a1-bdf8-97ff7156d8e6
e1fe6dd8-ba31-4d61-89e7-88639da4683d
表示文字列
サインインおよびユーザー プロファイルの読み取り
サインインおよびユーザー プロファイルの読み取り
同意管理必要ですか?
いいえ
いいえ
アプリケーション
該当なし。
User.ReadBasic.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
cba73afc-7f69-4d86-8450-4978e04ecd1a
b340eb25-3456-403f-be2f-af7a0d370277
表示文字列
すべてのユーザーの基本プロファイルの読み取り
すべてのユーザーの基本プロファイルの読み取り
同意管理必要ですか?
いいえ
いいえ
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
97235f07-e226-4f63-ace3-39588e11d3a1
表示文字列
使用不可
すべてのユーザーの基本プロファイルの読み取り
User.Read.All
委任
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
c582532d-9d9e-43bd-a97c-2667a28ce295
a154be20-db9c-4678-8ab7-66f6cc099a59
表示文字列
すべてのユーザーの完全なプロファイルの読み取り
すべてのユーザーの完全なプロファイルの読み取り
同意管理必要ですか?
管理者
管理者
アプリケーション
パラメーター
Azure AD Graph
Microsoft Graph
アクセス許可 ID
使用不可
df021288-bdef-4463-88db-98f22de89214
表示文字列
使用不可
すべてのユーザーの完全なプロファイルの読み取り
次の手順