授权API读取Microsoft 365使用报告
可通过 Microsoft Graph 报表 API 访问的报表数据是敏感的。 具体而言,Microsoft 365 使用情况报告受权限和Microsoft Entra角色的保护。 本文中的信息适用于读取 Microsoft 365 使用报告的报告 API。
读取 Microsoft 365 使用报告的 API 支持两种类型的授权:
- 应用程序级别授权 - 允许应用在没有登录用户的情况下读取所有服务使用情况报告。 授权由授予给应用程序的权限决定。
- 用户委派的授权 - 允许应用代表已登录的用户读取所有服务使用情况报告。 除了应用已被授予所需权限外,用户还必须是Microsoft Entra ID受限管理员角色的成员。 这可以是下列角色之一:公司管理员、Exchange 管理员、SharePoint 管理员、Lync 管理员、Teams 服务管理员、Teams 通信管理员、全局读取者、使用情况摘要报告读取者或报告读取者。 全局读取者角色和使用情况摘要报告读取者角色将只能访问租户级数据,而不能查看详细指标。
如果从 Graph 浏览器调用 API:
- Microsoft Entra租户管理员必须显式授予对 Graph 资源管理器应用程序所请求权限的同意。
- 用户必须是 Microsoft Entra ID 中受限管理员角色的成员,上面列出了用户委托授权。
注意
Graph 浏览器不支持应用程序级授权。
如果从应用程序调用 API:
- Microsoft Entra租户管理员必须向应用程序显式授予许可。 这对于应用程序级别授权和用户委派授权都是必需的。
- 如果使用用户委托授权,则登录用户必须是 Microsoft Entra ID 中受限管理员角色的成员。
向用户分配Microsoft Entra角色
向应用程序授予权限后,有权访问应用程序 (即Microsoft Entra租户) 的成员将接收授予的权限。 为了进一步保护敏感报表数据,租户管理员必须为应用程序的用户分配相应的Microsoft Entra角色。 有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限和将管理员和非管理员角色分配给具有Microsoft Entra ID的用户。
注意
必须是租户管理员才能执行此步骤。
向用户分配角色:
- 登录到 Microsoft Entra 管理中心。
- 展开“ 标识 ”菜单 >“用户> ”,选择“ 所有用户”。
- 选择该用户。
- 选择“分配的角色”,然后选择“添加分配”。
- 选择适当的角色,并单击“添加”。