Microsoft Graph API ReferenzMicrosoft Graph API Reference

Umfassende Referenz für Authentifizierung, Berechtigungen, OData-Abfragen, Änderungsverfolgung und Automatisierung mit Microsoft Graph.Comprehensive reference for authentication, permissions, OData queries, change tracking, and automation with Microsoft Graph.

Was ist Microsoft Graph?What is Microsoft Graph?

Microsoft Graph stellt praktisch alle wichtigen Microsoft-365-Workloads hinter einem einheitlichen REST-Endpunkt bereit. Statt für jede Plattform eine eigene API zu lernen, adressierst du Benutzer, Gruppen, Teams, Postfächer, Dateien, Geräte, Richtlinien und Berichte über denselben Namensraum.Microsoft Graph exposes nearly every major Microsoft 365 workload behind a single REST endpoint. Instead of learning separate APIs per platform, you address users, groups, teams, mailboxes, files, devices, policies, and reports through the same namespace.

Der produktive Basis-Endpunkt ist https://graph.microsoft.com. Ressourcen werden mit Pfaden wie /v1.0/users, /v1.0/groups, /v1.0/sites, /beta/identity/conditionalAccess/policies oder /v1.0/deviceManagement/managedDevices angesprochen.The production base endpoint is https://graph.microsoft.com. Resources are addressed with paths such as /v1.0/users, /v1.0/groups, /v1.0/sites, /beta/identity/conditionalAccess/policies, or /v1.0/deviceManagement/managedDevices.

• Benutzer- und Verzeichnisobjekte aus Entra ID lesen und verwaltenRead and manage user and directory objects from Entra ID
• Microsoft-365-Daten wie E-Mails, Kalender, Chats, Teams und Dateien automatisierenAutomate Microsoft 365 data such as mail, calendars, chats, teams, and files
• Sicherheits-, Audit- und Reporting-Endpunkte für Governance und Monitoring verwendenUse security, audit, and reporting endpoints for governance and monitoring
• Rollen, Richtlinien, App-Registrierungen, Service Principals und Intune-Objekte zentral verwaltenCentrally manage roles, policies, app registrations, service principals, and Intune objects

GET https://graph.microsoft.com/v1.0/users?$select=id,displayName,userPrincipalName
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJub25jZSI6Ii4uLiJ9...
ConsistencyLevel: eventual

Endpunkte: v1.0 vs. betaEndpoints: v1.0 vs beta

Microsoft Graph besitzt zwei primäre Versionspfade: v1.0 für produktive, stabil unterstützte Endpunkte und beta für Funktionen, die sich noch ändern können. In Dokumentation, Tests und Pilotprojekten ist beta wertvoll; in produktiven Geschäftsprozessen sollte beta nur bewusst und kontrolliert eingesetzt werden.Microsoft Graph has two primary version paths: v1.0 for production-ready, supported endpoints and beta for capabilities that can still change. Beta is valuable for documentation review, testing, and pilots; in production business processes it should be used intentionally and with strong control.

$stableUsers = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/users?$top=5"
$betaPolicies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identity/conditionalAccess/policies"

AuthentifizierungAuthentication

Microsoft Graph verwendet Microsoft Identity Platform und OAuth 2.0. Die Wahl des Flows hängt davon ab, ob ein Benutzer interaktiv beteiligt ist, ob ein Hintergrunddienst ohne Benutzerkontext arbeitet oder ob ein API-Gateway ein bestehendes Benutzertoken weiterreichen muss.Microsoft Graph uses Microsoft Identity Platform and OAuth 2.0. The correct flow depends on whether a user participates interactively, whether a background service runs without user context, or whether an API gateway must forward an existing user token.

Authorization Code FlowAuthorization Code Flow

Dieser Flow ist Standard für Server-Webanwendungen und moderne interaktive Apps. Die Anwendung leitet den Benutzer zur Anmeldung um, erhält einen Autorisierungscode und tauscht ihn serverseitig gegen Access- und Refresh-Token ein.This flow is the default for server-side web applications and modern interactive apps. The app redirects the user to sign in, receives an authorization code, and exchanges it server-side for access and refresh tokens.

POST https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id={app-id}
scope=https%3A%2F%2Fgraph.microsoft.com%2FUser.Read%20offline_access
code={authorization-code}
redirect_uri=https%3A%2F%2Fapp.contoso.com%2Fsignin-oidc
grant_type=authorization_code
client_secret={client-secret}

Client Credentials FlowClient Credentials Flow

Für nicht interaktive Dienste ist Client Credentials der typische Flow. Die App authentifiziert sich mit Zertifikat oder Secret und erhält ein Anwendungstoken ohne Benutzerkontext. Dieses Token darf nur Application Permissions enthalten.For non-interactive services, client credentials is the standard flow. The app authenticates with a certificate or secret and obtains an application token without user context. That token can contain application permissions only.

POST https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id={app-id}
scope=https%3A%2F%2Fgraph.microsoft.com%2F.default
client_secret={client-secret}
grant_type=client_credentials

Device Code FlowDevice Code Flow

Device Code eignet sich für Skripte und Terminals. Der Benutzer erhält einen Code und meldet sich auf einem zweiten Gerät unter einem Browser an. PowerShell, CLI-Tools und interne Support-Skripte profitieren stark von diesem Flow.Device code is ideal for scripts and terminals. The user receives a code and signs in on a second device in a browser. PowerShell, CLI tools, and internal support scripts benefit strongly from this flow.

POST https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/devicecode
Content-Type: application/x-www-form-urlencoded

client_id={public-client-id}
scope=https%3A%2F%2Fgraph.microsoft.com%2FUser.Read%20offline_access

# Antwort enthält device_code, user_code, verification_uri und expires_in

On-Behalf-Of FlowOn-Behalf-Of Flow

Im OBO-Flow tauscht eine API ein vorhandenes Benutzertoken gegen ein neues delegiertes Token für Graph. Das ist ideal für Frontend → API → Graph-Szenarien, in denen die Benutzeridentität erhalten bleiben muss.In the OBO flow, an API exchanges an existing user token for a new delegated token to Graph. This is ideal for frontend → API → Graph scenarios where user identity must remain intact.

POST https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id={api-app-id}
client_secret={api-secret}
grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
requested_token_use=on_behalf_of
scope=https%3A%2F%2Fgraph.microsoft.com%2FUser.Read%20Mail.Read
assertion={incoming-user-access-token}

Berechtigungen, Delegated vs. Application und ConsentPermissions, delegated vs application, and consent

Delegated Permissions wirken im Kontext des angemeldeten Benutzers. Application Permissions wirken ohne Benutzerkontext direkt für die App. Der Unterschied entscheidet über Reichweite, Risiko, Genehmigungsprozess und Betriebsmodell.Delegated permissions act in the context of the signed-in user. Application permissions act directly for the app without user context. The distinction determines scope, risk, approval workflow, and operating model.

Admin Consent kann interaktiv im Portal oder per URL ausgelöst werden. Für delegierte Test-Szenarien ist Graph Explorer hilfreich; für Produktivbetrieb sollten Berechtigungen dokumentiert, regelmäßig geprüft und in Change-Prozesse aufgenommen werden.Admin consent can be granted interactively in the portal or via URL. Graph Explorer is helpful for delegated test scenarios; in production, permissions should be documented, reviewed regularly, and included in change processes.

GET https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={app-id}&redirect_uri=https%3A%2F%2Fapp.contoso.com%2Fadminconsent

Häufige BerechtigungenCommon permissions

Abfrageparameter und ODataQuery parameters and OData

Viele Graph-Endpunkte unterstützen OData-ähnliche Query-Parameter. Richtig eingesetzt reduzieren sie Netzwerklast, beschleunigen Scripts und vermeiden unnötiges Post-Processing im Client.Many Graph endpoints support OData-like query parameters. Used correctly, they reduce network load, speed up scripts, and avoid unnecessary client-side post-processing.

$select$select

Mit $select forderst du nur die benötigten Eigenschaften an. Das ist besonders wichtig bei großen Benutzer-, Gruppen- oder Geräteabfragen.Use $select to request only the properties you need. This is especially important for large user, group, or device queries.

GET https://graph.microsoft.com/v1.0/users?$select=id,displayName,userPrincipalName,mail

$filter$filter

Mit $filter werden serverseitige Bedingungen formuliert. Dabei gelten je nach Ressource unterschiedliche Einschränkungen; einige Felder unterstützen nur Gleichheit, andere auch Funktionen oder Bereichsvergleiche.Use $filter for server-side conditions. Depending on the resource, different limitations apply; some properties support equality only, while others also support functions or range comparisons.

Komplexe Filter kombinieren Klammern, logische Operatoren und Lambda-Ausdrücke. Gerade bei Gruppen, Geräteobjekten und SharePoint-Items lohnt es sich, den Filter zunächst im Graph Explorer zu validieren.Complex filters combine parentheses, logical operators, and lambda expressions. Especially for groups, device objects, and SharePoint items, it helps to validate the filter in Graph Explorer first.

GET https://graph.microsoft.com/beta/users?$filter=(accountEnabled eq true and userType eq 'Member') and assignedLicenses/$count gt 0&$count=true
ConsistencyLevel: eventual

Advanced Queries und $count=trueAdvanced queries and $count=true

Für bestimmte Filter auf Verzeichnisobjekten müssen erweiterte Abfragen aktiviert werden. Dazu setzt du $count=true und sendest den Header ConsistencyLevel: eventual.Certain filters on directory objects require advanced queries to be enabled. To do that, add $count=true and send the ConsistencyLevel: eventual header.

GET https://graph.microsoft.com/v1.0/groups?$filter=startsWith(displayName,'Sec-')&$count=true
ConsistencyLevel: eventual

$expand mit verschachteltem $select$expand with nested $select

Mit $expand werden verknüpfte Objekte in dieselbe Antwort eingebettet. Das reduziert Round-Trips, muss aber wegen Payload-Größe und Endpoint-Einschränkungen bewusst eingesetzt werden.Use $expand to embed related objects in the same response. It reduces round trips, but because of payload size and endpoint limitations it should be used deliberately.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=id,displayName&$expand=manager($select=id,displayName,userPrincipalName)

$orderby$orderby

Sortierung ist nicht auf allen Ressourcen gleich verfügbar. Wenn $orderby unterstützt wird, sollte die Sortierung möglichst auf indizierten oder häufig verwendeten Eigenschaften erfolgen.Sorting is not available on all resources in the same way. When $orderby is supported, sort preferably on indexed or commonly used properties.

GET https://graph.microsoft.com/v1.0/users?$select=id,displayName,createdDateTime&$orderby=displayName asc

$top und $skip$top and $skip

Mit $top begrenzt du die Seitengröße. $skip ist nur bei ausgewählten Endpunkten sinnvoll; bei Directory-Daten ist @odata.nextLink meist der robustere Weg.Use $top to control page size. $skip is useful only on selected endpoints; for directory data, @odata.nextLink is usually the more reliable approach.

GET https://graph.microsoft.com/v1.0/users?$top=50

$search$search

Volltextähnliche Suche ist vor allem bei Benutzern, Gruppen, Nachrichten und SharePoint hilfreich. Häufig werden Syntaxformen wie displayName:value oder mailNickname:value verwendet.Search-like full-text queries are especially helpful for users, groups, messages, and SharePoint. Syntax patterns like displayName:value or mailNickname:value are commonly used.

GET https://graph.microsoft.com/v1.0/groups?$search="displayName:Sec"&$count=true
ConsistencyLevel: eventual

PaginierungPagination

Graph liefert größere Ergebnismengen fast immer seitenweise zurück. Die Antwort enthält dann @odata.nextLink. Folge diesem Link unverändert, bis kein nextLink mehr vorhanden ist.Graph almost always returns large result sets in pages. The response then includes @odata.nextLink. Follow that URL unchanged until no nextLink remains.

• Nicht selbst URL-Parameter aus nextLink nachbauen; verwende den gelieferten Link unverändertDo not rebuild URL parameters from nextLink yourself; use the returned URL as-is
• Behandle Throttling und transient errors auch während der SeitennavigationHandle throttling and transient errors during page traversal as well
• Speichere Zwischenergebnisse frühzeitig, wenn sehr große Datenmengen erwartet werdenPersist intermediate results early when very large data sets are expected
• Nutze $select konsequent, damit jede Seite klein bleibtUse $select consistently so each page stays small

$uri = "https://graph.microsoft.com/v1.0/users?$select=id,displayName,userPrincipalName&$top=999"
$headers = @{ Authorization = "Bearer $AccessToken" }
$allUsers = @()

do {
    $response = Invoke-RestMethod -Method GET -Uri $uri -Headers $headers
    if ($response.value) {
        $allUsers += $response.value
    }
    $uri = $response."@odata.nextLink"
} while ($uri)

$allUsers | Sort-Object displayName | Select-Object id, displayName, userPrincipalName

Batch-AnfragenBatch requests

Mit POST /$batch fasst du bis zu 20 Einzelanfragen in eine HTTP-Anfrage zusammen. Das spart Latenz, senkt aber nicht automatisch Berechtigungsanforderungen oder Throttling-Risiken.Use POST /$batch to combine up to 20 individual requests into one HTTP request. This saves latency, but it does not automatically lower permission requirements or throttling risk.

{
  "requests": [
    {
      "id": "1",
      "method": "GET",
      "url": "/users?$top=5&$select=id,displayName,userPrincipalName"
    },
    {
      "id": "2",
      "method": "GET",
      "url": "/groups?$top=5&$select=id,displayName,mailNickname"
    },
    {
      "id": "3",
      "method": "GET",
      "url": "/groups/{group-id}/members?$select=id,displayName,userPrincipalName",
      "dependsOn": ["2"]
    }
  ]
}

Webhooks und Change NotificationsWebhooks and change notifications

Über Subscriptions kann Graph Änderungen an unterstützten Ressourcen aktiv an einen HTTPS-Endpunkt melden. Das spart Polling und ist ideal für Near-Real-Time-Integrationen.With subscriptions, Graph can actively notify an HTTPS endpoint about changes to supported resources. This reduces polling and is ideal for near-real-time integrations.

{
  "changeType": "created,updated",
  "notificationUrl": "https://app.contoso.com/api/graph/notifications",
  "resource": "/users/{id}/messages",
  "expirationDateTime": "2026-06-12T08:00:00Z",
  "clientState": "contoso-graph-webhook-secret"
}

Delta-AbfragenDelta queries

Delta-Abfragen liefern erst einen vollständigen Snapshot und danach nur noch Änderungen seit dem letzten Stand. Das ist das Standardmuster für Synchronisierung und inkrementelle Importe.Delta queries return a full snapshot first and then only changes since the last state. This is the standard pattern for synchronization and incremental imports.

• Starte mit einem Delta-Endpunkt wie /users/delta oder /groups/deltaStart with a delta endpoint such as /users/delta or /groups/delta
• Verarbeite jede Seite und speichere am Ende den deltaLink persistentProcess each page and persist the deltaLink at the end
• Verwende beim nächsten Lauf ausschließlich den gespeicherten deltaLinkOn the next run, use only the persisted deltaLink
• Behandle entfernte Objekte und Tombstones explizitHandle removed objects and tombstones explicitly

GET https://graph.microsoft.com/v1.0/users/delta?$select=id,displayName,userPrincipalName,accountEnabled

# Folge @odata.nextLink bis zur letzten Seite
# Speichere anschließend @odata.deltaLink für den nächsten Lauf

$deltaUri = Get-Content .\users.deltaLink -ErrorAction SilentlyContinue
if (-not $deltaUri) {
    $deltaUri = "https://graph.microsoft.com/v1.0/users/delta?$select=id,displayName,userPrincipalName,accountEnabled"
}

do {
    $page = Invoke-RestMethod -Method GET -Uri $deltaUri -Headers @{ Authorization = "Bearer $AccessToken" }
    foreach ($user in $page.value) {
        $user
    }
    if ($page."@odata.nextLink") {
        $deltaUri = $page."@odata.nextLink"
    }
    elseif ($page."@odata.deltaLink") {
        $page."@odata.deltaLink" | Set-Content .\users.deltaLink
        $deltaUri = $null
    }
} while ($deltaUri)

Wichtige Endpunkte – ReferenzImportant endpoints – reference

Fehlerbehandlung und ThrottlingError handling and throttling

Jede Graph-Integration braucht robuste Fehlerbehandlung. Statuscodes, Retry-After-Header, transiente Netzwerkfehler, Berechtigungsprobleme und Schemaänderungen müssen systematisch behandelt werden.Every Graph integration needs robust error handling. Status codes, Retry-After headers, transient network errors, permission issues, and schema changes must be handled systematically.

{
  "error": {
    "code": "TooManyRequests",
    "message": "Please retry again later.",
    "innerError": {
      "date": "2026-06-11T08:00:00",
      "request-id": "4f1b63d9-2d7e-4b36-9af9-123456789abc",
      "client-request-id": "4f1b63d9-2d7e-4b36-9af9-123456789abc"
    }
  }
}

for ($attempt = 1; $attempt -le 6; $attempt++) {
    try {
        return Invoke-RestMethod -Method GET -Uri $Uri -Headers $Headers
    }
    catch {
        $response = $_.Exception.Response
        if ($response -and $response.StatusCode.value__ -eq 429) {
            $retryAfter = [int]($response.Headers["Retry-After"] | Select-Object -First 1)
            if (-not $retryAfter) { $retryAfter = [math]::Pow(2, $attempt) }
            Start-Sleep -Seconds $retryAfter
            continue
        }
        throw
    }
}

Graph ExplorerGraph Explorer

Graph Explorer ist das schnellste Werkzeug, um Endpunkte, Berechtigungen, Filter und Antwortstrukturen interaktiv zu testen. Für Helpdesk, Engineering, Security und Architektur ist es das ideale Labor.Graph Explorer is the fastest tool for interactively testing endpoints, permissions, filters, and response structures. For helpdesk, engineering, security, and architecture, it is the ideal lab environment.

• Melde dich mit einem Test- oder Admin-Konto anSign in with a test or admin account
• Wähle den Endpunkt und wechsle bei Bedarf zwischen v1.0 und betaChoose the endpoint and switch between v1.0 and beta as needed
• Erteile nur die minimal nötigen delegierten BerechtigungenGrant only the minimum required delegated permissions
• Übernimm funktionierende Requests anschließend in Skripte, SDK-Code oder DokumentationThen transfer working requests into scripts, SDK code, or documentation

GET https://graph.microsoft.com/v1.0/me/memberOf?$select=id,displayName

SDKs und ToolsSDKs and tools

Neben rohen REST-Aufrufen existieren offizielle SDKs und Tooling für gängige Sprachen. Für Administrationsaufgaben ist das Microsoft.Graph-PowerShell-Modul besonders relevant; für Anwendungsentwicklung sind .NET, Python und JavaScript die häufigsten Optionen.In addition to raw REST calls, official SDKs and tools exist for common languages. For administration tasks, the Microsoft.Graph PowerShell module is especially relevant; for application development, .NET, Python, and JavaScript are the most common options.

Connect-MgGraph -Scopes "User.Read.All","Group.Read.All"
Get-MgUser -Top 5 -Property Id,DisplayName,UserPrincipalName |
    Select-Object Id, DisplayName, UserPrincipalName

var credential = new ClientSecretCredential(tenantId, clientId, clientSecret);
var scopes = new[] { "https://graph.microsoft.com/.default" };
var graphClient = new GraphServiceClient(credential, scopes);

var users = await graphClient.Users
    .GetAsync(requestConfiguration =>
    {
        requestConfiguration.QueryParameters.Select = new[] { "id", "displayName", "userPrincipalName" };
        requestConfiguration.QueryParameters.Top = 10;
    });

from azure.identity import ClientSecretCredential
from msgraph import GraphServiceClient

credential = ClientSecretCredential(tenant_id, client_id, client_secret)
client = GraphServiceClient(credentials=credential, scopes=["https://graph.microsoft.com/.default"])
users = await client.users.get()

import { Client } from "@microsoft/microsoft-graph-client";
import "isomorphic-fetch";

const client = Client.init({
  authProvider: done => done(null, accessToken)
});

const result = await client
  .api("/users")
  .select(["id", "displayName", "userPrincipalName"])
  .top(10)
  .get();

Graph API Rate Limits & Throttling Deep DiveGraph API Rate Limits & Throttling Deep Dive

Throttling ist kein Sonderfall, sondern ein fester Schutzmechanismus in Microsoft Graph. Erfolgreiche Integrationen planen deshalb Request-Budgets, Retry-Verhalten, Datenreduktion und Workload-spezifische Limits von Anfang an mit ein.Throttling is not an edge case but a built-in protection mechanism in Microsoft Graph. Successful integrations therefore plan request budgets, retry behavior, data reduction, and workload-specific limits from the start.

Service-spezifische LimitsService-specific limits

Retry-After und Batch-ThrottlingRetry-After and batch throttling

• Bei numerischem Retry-After exakt die angegebene Zahl an Sekunden warten.When Retry-After is numeric, wait exactly that number of seconds.
• Bei $batch jede Teilantwort separat prüfen; ein HTTP 200 für den Batch bedeutet nicht, dass alle Unteroperationen erfolgreich waren.For $batch, inspect each sub-response independently; an HTTP 200 for the batch does not mean every child operation succeeded.
• Teure Schreibvorgänge mit Queueing, kontrollierter Parallelität und Idempotenz absichern.Protect expensive write operations with queueing, controlled concurrency, and idempotency.
• Für Reports, Discovery und Inventarisierung zuerst Delta, Caching und Vorfilterung einsetzen, danach erst Retries erhöhen.For reports, discovery, and inventory, prefer delta, caching, and pre-filtering before increasing retries.

Exponentielles Backoff in PowerShellExponential backoff in PowerShell

Die Funktion unten respektiert Retry-After und nutzt Jitter, damit parallele Worker nicht gleichzeitig erneut auf Graph treffen.The function below honors Retry-After and adds jitter so parallel workers do not hammer Graph again at the same instant.

function Invoke-GraphRequestWithRetry {
    param(
        [Parameter(Mandatory)]
        [string]$Uri,
        [ValidateSet("GET","POST","PATCH","PUT","DELETE")]
        [string]$Method = "GET",
        [object]$Body,
        [int]$MaxAttempts = 8
    )

    for ($attempt = 1; $attempt -le $MaxAttempts; $attempt++) {
        try {
            $params = @{
                Method     = $Method
                Uri        = $Uri
                OutputType = "PSObject"
            }

            if ($null -ne $Body) {
                $params.Body = ($Body | ConvertTo-Json -Depth 10)
                $params.ContentType = "application/json"
            }

            return Invoke-MgGraphRequest @params
        }
        catch {
            $response = $_.Exception.Response
            $statusCode = if ($response) { [int]$response.StatusCode } else { 0 }
            if ($statusCode -notin 429, 503, 504 -or $attempt -eq $MaxAttempts) {
                throw
            }

            $retryAfter = $response.Headers.RetryAfter.Delta.TotalSeconds
            if (-not $retryAfter) {
                $retryAfter = [math]::Min(60, [math]::Pow(2, $attempt) + (Get-Random -Minimum 0 -Maximum 3))
            }

            Write-Warning "Graph throttled with status $statusCode. Waiting $retryAfter seconds before retry $($attempt + 1)."
            Start-Sleep -Seconds [int][math]::Ceiling($retryAfter)
        }
    }
}

$result = Invoke-GraphRequestWithRetry -Uri "https://graph.microsoft.com/v1.0/users?$select=id,displayName,userPrincipalName&$top=25"
$result.value | Select-Object displayName, userPrincipalName

Microsoft Graph PowerShell SDK Complete ReferenceMicrosoft Graph PowerShell SDK Complete Reference

Das Meta-Modul Microsoft.Graph ist praktisch, für Automatisierungen mit knappen Startzeiten sind gezielte Submodule aber meist effizienter. Die Referenz unten deckt mehr als 40 Submodule ab – inklusive Install, Import, Schlüssel-Cmdlets und einer schnellen Einzeiler-Idee.The Microsoft.Graph meta module is convenient, but targeted submodules are usually more efficient for automations with tight startup times. The reference below covers more than 40 submodules including install, import, key cmdlets, and a quick one-liner idea.

Identity & CoreIdentity & Core

Apps, Governance & CollaborationApps, Governance & Collaboration

Device Management & SecurityDevice Management & Security

Productivity & SearchProductivity & Search

Specialized WorkloadsSpecialized Workloads

Complete Permission Scopes by WorkloadComplete Permission Scopes by Workload

Statt alphabetischer Listen ist die folgende Referenz nach Workloads organisiert. So wird für Architektur-Reviews, App-Freigaben und Least-Privilege-Design schneller sichtbar, welche Scopes im selben Betriebsbereich liegen.Instead of alphabetical lists, the following reference is organized by workload. That makes it easier to see which scopes belong to the same operational domain during architecture reviews, app approvals, and least-privilege design.

Benutzer & VerzeichnisUser & Directory

GruppenGroups

MailMail

KalenderCalendar

DateienFiles

SitesSites

TeamsTeams

SicherheitSecurity

IdentitätIdentity

RichtlinienPolicy

RollenRoles

AuditAudit

GeräteverwaltungDevice Management