アクセス許可 'Mail.Read'は、実際には 'Mail.Read.All'、Microsoft Graph APIドキュメントで意味ですか？

Question

私は文章に関して少し混乱しています。https://graph.microsoft.io/en-us/docs/authorization/permission_scopes

Mail.Readは2回表記されていますが、両方の意味が異なるようです。最初のインスタンス「[a]は、ユーザーのメールボックス内の電子メールを読むようにアプリケーションを誘導します」、2番目の「[a]は、ログインしていないユーザーがいないすべてのメールボックスのメールを読むようにアプリを設定します。 2番目の音は「すべて」の修飾子にふさわしく、最初のものと混同してはいけません。

これは、アクセス許可のスコープが前提条件（https://graph.microsoft.io/en-us/docs/api-reference/v1.0/api/user_list_messages）の場合に特に関係します。どのような行動が期待できますか？

私の主な質問は、サインインしたユーザーがすべてのメールを読むことを許可する権限を委任する方法がないと思っていることです。その代わりに、私たちはアプリ専用のアクセス許可を使用する必要がありますか？ドキュメントでは、アプリケーションのみのアクセス権なしで可能だったが、試行錯誤によって別の方法が示唆されていたという希望がほのめかされた。

Answer 1

Mail.Readには、アプリケーションと委任の両方のアクセス許可のアクセス許可があります。

まず、「アプリケーションのみの委任権限対」

許可スコープは、いずれかのアプリのみ、または委任することができるというセクションを見てみましょう。アプリ専用スコープ （アプリの役割とも呼ばれます）は、スコープによって提供される特典のフルセット をアプリに付与します。アプリ専用スコープは、通常、ログインしているユーザーがいない状態でサービスとして実行されるアプリケーションである によって使用されます。

委任されたアクセス許可スコープは、ユーザーに代わって動作するアプリケーション用です。 これらのスコープは、ログインしたユーザーの権限を委任し、 のユーザーをユーザーとして動作させることができます。 に付与された実際の特権は、スコープによって付与された 特権と、ログインした ユーザが所有する特権のうち、最も特権の少ない組み合わせ（交差点）になります。たとえば、許可スコープが委任された特権を付与して にすべてのディレクトリオブジェクトを書き込むが、サインインしたユーザーが自分のユーザープロファイルを更新するためにのみ 特権を持っている場合、アプリは にしかログインできません。他のオブジェクトはありません。

「管理者の同意を必要としないアクセス許可」は委任されたアクセス許可ですが、「管理者の同意を必要とするアプリケーションのみのアクセス許可」はアプリケーション専用のアクセス許可です。

次に、デリゲートされたトークンを取得すると、アプリケーションのアクセス許可はユーザーのアクセス許可と承諾で与えられたアクセス許可の共通部分になります。ユーザーのトークンに署名してしたがって、あなただけのユーザーがアクセス権を持っている電子メール、あなたはすべてのユーザーのためにメールにアクセスしたい場合はMail.Read.Shared

Mail.Read.Shared 
Read user and shared mail 
Allows the app to read mail that the user can access, including the user's own and shared mail. 

によって捕獲されたの範囲を読むことができるようになりますあなたのテナントでは、そのレベルのアクセス権を持つユーザーアカウントを持っている必要があります。または、そのアクセス範囲を許可するApp Onlyトークンを使用する必要があります。

Mail.Read 
Read mail in all mailboxes 
Allows the app to read mail in all mailboxes without a signed-in user. 

これが役立つ場合はお知らせください。