この記事は 、「手順 1:Azure AD Graph アプリ移行計画チェックリスト 」シリーズの API の違いを確認するの一部です。
特定のシナリオの最小特権アクセス許可は、Azure AD Graph と Microsoft Graph で異なる場合があります。 アプリを移行して Microsoft Graph を呼び出す場合は、最小限の特権を維持するために、より狭い範囲の Microsoft Graph アクセス許可に移行する必要があるかどうかを分析します。
たとえば、Azure AD Graph では、アプリのみのシナリオでユーザーを読み取るには 、Directory.Read.All アクセス許可が必要です。 このアクセス許可を使用すると、アプリはテナント内のすべてのグループ、アプリ、および一部のポリシーを読み取ることもできます。 ただし、Microsoft Graph では、アプリのみのシナリオでユーザーを読み取るには、 User.Read.All アクセス許可のみが必要です。
アクセス許可の表示文字列は、Azure AD Graph と Microsoft Graph の両方で同じ場合でも、アクセス許可 ID が異なります。 Azure AD Graph と同様に、Microsoft Graph では、アプリケーションと委任されたアクセス許可の両方も公開されます。 アプリケーションのアクセス許可には常に管理者の同意が必要です。
この記事では、アプリの移行に役立つ Azure AD Graph と Microsoft Graph のアクセス許可のマッピングについて説明します。
Application.Read.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
c79f8feb-a9db-4090-85f9-90d820caa0eb |
| 表示文字列 |
使用不可 |
アプリケーションを読み取る |
| 同意管理必要ですか? |
使用不可 |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
3afa6a7d-9b1a-42eb-948e-1650a849e176 |
9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30 |
| 表示文字列 |
すべてのアプリケーションを読み取る |
すべてのアプリケーションを読み取る |
Application.ReadWrite.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
bdfbf15f-ee85-4955-8675-146e8e5296b5 |
| 表示文字列 |
使用不可 |
すべてのアプリケーションの読み取りと書き込み |
| 同意管理必要ですか? |
使用不可 |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
1cda74f2-2616-4834-b122-5cb1b07f8a59 |
1bfefb4e-e0b5-418b-a88f-73c46d2cc8e9 |
| 表示文字列 |
すべてのアプリケーションの読み取りと書き込み |
すべてのアプリケーションを読み取る |
Application.ReadWrite.OwnedBy
委任
該当なし。
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
1cda74f2-2616-4834-b122-5cb1b07f8a59 |
18a4783c-866b-4cc7-a460-3d5e5662c884 |
| 表示文字列 |
このアプリの作成または所有するアプリを管理 |
このアプリの作成または所有するアプリを管理 |
Device.ReadWrite.All
委任
該当なし。
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
1138cb37-bd11-4084-a2b7-9f71582aeddb |
1138cb37-bd11-4084-a2b7-9f71582aeddb |
| 表示文字列 |
デバイスの読み取りと書き込み |
デバイスの読み取りと書き込み |
Directory.Read.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
5778995a-e1bf-45b8-affa-663a9f3f4d04 |
06da0dbc-49e2-44d2-8312-53f166ab848a |
| 表示文字列 |
ディレクトリ データの読み取り |
ディレクトリ データの読み取り |
| 同意管理必要ですか? |
はい |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
5778995a-e1bf-45b8-affa-663a9f3f4d04 |
7ab1d382-f21e-4acd-a863-ba3e13f7da61 |
| 表示文字列 |
ディレクトリ データの読み取り |
ディレクトリ データの読み取り |
Directory.ReadWrite.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 |
c5366453-9fb0-48a5-a156-24f0c49a4b84 |
| 表示文字列 |
ディレクトリ データの読み取りおよび書き込み |
ディレクトリ データの読み取りおよび書き込み |
| 同意管理必要ですか? |
はい |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
78c8a3c8-a07e-4b9e-af1b-b5ccab50a175 |
19dbc75e-c2e2-444c-a770-ec69d8559fc7 |
| 表示文字列 |
ディレクトリ データの読み取りおよび書き込み |
ディレクトリ データの読み取りおよび書き込み |
Directory.AccessAsUser.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
a42657d6-7f20-40e3-b6f0-cee03008a62a |
0e263e50-5827-48a4-b97c-d940288653c7 |
| 表示文字列 |
サインインしているユーザーとしてのディレクトリへのアクセス |
サインインしているユーザーとしてのディレクトリへのアクセス |
| 同意管理必要ですか? |
はい |
はい |
アプリケーション
該当なし。
Domain.ReadWrite.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
0b5d694c-a244-4bde-86e6-eb5cd07730fe |
| 表示文字列 |
使用不可 |
ドメインの読み取りと書き込み |
| 同意管理必要ですか? |
使用不可 |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
abefe9df-d5a9-41c6-a60b-27b38eac3efb |
7e05723c-0bb0-42da-be95-ae9f08a6e53c |
| 表示文字列 |
ドメインの読み取りと書き込み |
ドメインの読み取りと書き込み |
Group.Read.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
6234d376-f627-4f0f-90e0-dff25c5211a3 |
5f8c59db-677d-491f-a6b8-5f174b11ec1d |
| 表示文字列 |
すべてのグループの読み取り |
すべてのグループの読み取り |
| 同意管理必要ですか? |
はい |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
5b567255-7703-4780-807c-7be8301ae99b |
| 表示文字列 |
使用不可 |
すべてのグループの読み取り |
Group.ReadWrite.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
970d6fa6-214a-4a9b-8513-08fad511e2fd |
4e46008b-f24c-477d-8fff-7bb4ec7aafe0 |
| 表示文字列 |
すべてのグループの読み取りと書き込み |
すべてのグループの読み取りと書き込み |
| 同意管理必要ですか? |
はい |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
62a82d76-70ea-41e2-9197-370581804d09 |
| 表示文字列 |
使用不可 |
すべてのグループの読み取りと書き込み |
Member.Read.Hidden
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
2d05a661-f651-4d57-a595-489c91eda336 |
f6a3db3e-f7e8-4ed2-a414-557c8c9830be |
| 表示文字列 |
非表示のメンバーシップの読み取り |
非表示のメンバーシップの読み取り |
| 同意管理必要ですか? |
はい |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
9728c0c4-a06b-4e0e-8d1b-3d694e8ec207 |
658aa5d8-239f-45c4-aa12-864f4fc7e490 |
| 表示文字列 |
すべての非表示のメンバーシップの読み取り |
すべての非表示のメンバーシップの読み取り |
Policy.Read.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
572fea84-0151-49b2-9301-11cb16974376 |
| 表示文字列 |
使用不可 |
組織のポリシーを読み取る |
| 同意管理必要ですか? |
使用不可 |
はい |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
6c2d1b1d-a490-4178-ba6b-7efceda9129b |
246dd0d5-5bd0-4def-940b-0421030a5b68 |
| 表示文字列 |
組織のポリシーの読み取り |
組織のポリシーを読み取る |
User.Read
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
311a71cc-e848-46a1-bdf8-97ff7156d8e6 |
e1fe6dd8-ba31-4d61-89e7-88639da4683d |
| 表示文字列 |
サインインおよびユーザー プロファイルの読み取り |
サインインおよびユーザー プロファイルの読み取り |
| 同意管理必要ですか? |
不要 |
いいえ |
アプリケーション
該当なし。
User.ReadBasic.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
cba73afc-7f69-4d86-8450-4978e04ecd1a |
b340eb25-3456-403f-be2f-af7a0d370277 |
| 表示文字列 |
すべてのユーザーの基本プロファイルの読み取り |
すべてのユーザーの基本プロファイルの読み取り |
| 同意管理必要ですか? |
不要 |
いいえ |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
97235f07-e226-4f63-ace3-39588e11d3a1 |
| 表示文字列 |
使用不可 |
すべてのユーザーの基本プロファイルの読み取り |
User.Read.All
委任
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
c582532d-9d9e-43bd-a97c-2667a28ce295 |
a154be20-db9c-4678-8ab7-66f6cc099a59 |
| 表示文字列 |
すべてのユーザーの完全なプロファイルの読み取り |
すべてのユーザーの完全なプロファイルの読み取り |
| 同意管理必要ですか? |
管理者 |
管理者 |
アプリケーション
| パラメーター |
Azure AD Graph |
Microsoft Graph |
| アクセス許可 ID |
使用不可 |
df021288-bdef-4463-88db-98f22de89214 |
| 表示文字列 |
使用不可 |
すべてのユーザーの完全なプロファイルの読み取り |
次の手順