User.ReadBasic.All allows the app to retrieve basic user properties like ID, display name, first and last name, email address, and photo. Today only delegated User.ReadBasic.All is available. We heard customer feedback to enable app-only User.ReadBasic.All permission as well, to limit their app access to only basic user properties.

With the release of app-only User.ReadBasic.All, we also fixed a bug, which enabled the app to filter on properties it shouldn’t access with User.ReadBasic.All. The issue is now resolved, ensuring that apps with delegated permission can no longer filter on unauthorized properties. 

If your app uses delegated User.ReadBasic.All to filter properties beyond its access, it will now encounter a 403 error message, indicating “insufficient privileges to complete the operation.” You can grant the app User.Read.All permission, to ensure the filter operation succeeds. 

With app-only User.ReadBasic.All, you can evaluate the permission needs of apps in your tenant; for those requiring access to basic user properties only, consider granting User.ReadBasic.All permission instead of User.Read.All.  

[When this will happen:]

Standard Release: We will begin rolling out by mid-January 2024 and expect to complete by late January 2024.

[How this will affect your organization:]

No action is required if applications are not filtering on user properties that it does not have access to with User.ReadBasic.All. However, if a customer’s application needs the filter operation to succeed, they must grant the application User.Read.All permission.

[What you need to do to prepare:]

You may consider updating documentation as appropriate.

User.ReadBasic.All を使用すると、アプリは ID、表示名、姓名、メール アドレス、写真などの基本的なユーザー プロパティを取得できます。現在、デリゲートされたUser.ReadBasic.Allのみを使用できます。アプリ専用の User.ReadBasic.All アクセス許可も有効にして、アプリへのアクセスを基本的なユーザー プロパティのみに制限するというお客様からのフィードバックが寄せられました。

アプリ専用の User.ReadBasic.All のリリースに伴い、アプリが User.ReadBasic.All でアクセスしてはならないプロパティをフィルター処理できるバグも修正しました。この問題は解決され、委任されたアクセス許可を持つアプリは、承認されていないプロパティでフィルター処理できなくなります。 

アプリで委任された User.ReadBasic.All を使用して、アクセスできないプロパティをフィルター処理すると、”操作を完了するための権限が不十分です” ことを示す 403 エラー メッセージが表示されるようになりました。アプリに User.Read.All アクセス許可を付与して、フィルター操作が成功するようにすることができます。 

アプリ専用の User.ReadBasic.All を使用すると、テナント内のアプリのアクセス許可のニーズを評価できます。基本的なユーザー プロパティのみにアクセスする必要がある場合は、User.Read.All ではなく User.ReadBasic.All アクセス許可を付与することを検討してください。  

[これがいつ起こるか:]

標準リリース: 2024 年 1 月中旬までにロールアウトを開始し、2024 年 1 月下旬までに完了する予定です。

[これが組織に及ぼす影響:]

アプリケーションが User.ReadBasic.All を使用してアクセスできないユーザー プロパティをフィルター処理していない場合、アクションは必要ありません。ただし、顧客のアプリケーションでフィルター操作を成功させる必要がある場合は、アプリケーションに User.Read.All アクセス許可を付与する必要があります。

[準備に必要なこと:]

必要に応じて、ドキュメントの更新を検討してください。