配置应用数据权限

应用的数据权限是指以应用身份（tenant_access_token）访问业务资源时可获取的数据范围。当应用申请了应用身份权限（例如，通讯录、飞书人事企业版）后，还需要配置相应的数据权限并提交审核，待审核通过后权限生效，才可以成功调用 API 获取数据，否则调用 API 时会返回权限错误。

关于不同权限类型的介绍，参考申请 API 权限。

数据权限介绍

企业自建应用和商店应用均支持配置数据权限，但支持配置数据权限的 API 不同，方式也不同。

自建应用的数据权限

为自建应用申请 通讯录、组织架构、任务、邮箱、飞书人事（企业版）、妙记或 Payroll 业务域的部分 API 权限时，需要配置数据权限。

数据权限类型	权限描述	管理方式
通讯录	以应用身份调用通讯录 API 时，应用可以获取到的通讯录数据范围。例如，以应用身份调用通讯录 API 查询用户 A 的信息时，需要应用具备用户 A 的数据权限。默认情况下，通讯录权限范围与应用的可用范围一致。关于通讯录权限范围的更多概念介绍，参见权限范围资源介绍。	方式一：由应用所有者、管理员或者开发角色在开发者后台的应用内配置通讯录权限范围。方式二：由企业管理员在管理后台配置指定应用的通讯录权限范围。
组织架构	以应用身份调用组织架构 API 时，应用可获取的组织架构成员数据范围。例如，以应用身份调用组织架构 API 查询更新员工信息时，需要应用具备该员工的数据权限。默认情况下，组织架构数据权限范围未配置。添加相应 API 权限后需要手动配置数据权限范围。组织架构数据权限范围仅支持指定员工范围，不支持指定部门范围，即固定包含了企业内所有部门的数据访问权限。	以应用身份调用飞书人事（企业版）API 时，应用可以获取到的数据范围。例如，以应用身份调用飞书人事（企业版）API 查询部门 B 的信息时，需要应用具备部门 B 的数据权限。默认情况下，飞书人事（企业版）数据权限范围为空，即未配置权限范围。
任务	以应用身份调用任务 API 时，应用可获取的任务或清单的数据范围。例如，以应用身份调用任务 API 查询清单详情时，需要应用具备该清单归属人的数据权限。默认情况下，任务数据权限范围未配置。添加相应 API 权限后需要手动配置数据权限范围。	由应用所有者、管理员或者开发角色在开发者后台的应用内配置任务数据权限范围。
邮箱	以应用身份调用邮箱 API 时，应用可获取邮箱相关资源的数据范围。例如，以应用身份调用邮箱 API 查询指定公共邮箱时，需要应用具备该公共邮箱的数据权限。默认情况下，邮箱数据权限范围未配置。添加相应 API 权限后需要手动配置数据权限范围。	由应用所有者、管理员或者开发角色在开发者后台的应用内配置邮箱数据权限范围。
妙记	以应用身份调用妙记 API 时，应用可获取妙记相关资源的数据范围。例如，以应用身份调用妙记 API 获取妙记信息时，需要应用具备公开该妙记的所有者的数据权限。默认情况下，妙记数据权限范围未配置。添加相应 API 权限后需要手动配置数据权限范围。	由应用所有者、管理员或者开发角色在开发者后台的应用内配置妙记数据权限范围。
Payroll	以应用身份调用 Payroll API 时，应用可获取 Payroll 相关资源的数据范围。例如，以应用身份调用 Payroll API 查询发薪明细时，需要应用具备对应薪资组的数据权限。默认情况下，Payroll 数据权限范围未配置。添加相应 API 权限后需要手动配置数据权限范围。	由应用所有者、管理员或者开发角色在开发者后台的应用内配置 Payroll 数据权限范围。

应用一旦被授予相应的数据权限，即可增删改查这些数据，所以当应用开发者配置数据权限后，需要发布应用并等待应用审核人员通过审核，方可生效数据权限。

商店应用的数据权限

商店应用仅支持企业管理员配置 通讯录 的数据权限，不支持配置其他开放能力的数据权限。应用开发者可以调用获取通讯录授权范围查看应用的数据权限。

数据权限类型	权限描述	管理方式
通讯录权限范围	以应用身份调用通讯录 API 时，应用可以获取到的通讯录数据范围。例如，以应用身份调用通讯录 API 查询用户 A 的信息时，需要应用具备用户 A 的数据权限。	由企业管理员在管理后台配置指定应用的通讯录权限范围。

企业自建应用

为企业自建应用申请通讯录、组织架构或飞书人事（企业版）等 API 权限时，涉及配置应用数据权限范围，不同业务下配置数据权限的方式也不同，具体步骤如下所述。

如果你使用应用的测试企业与人员能力，将应用切换为测试版本进行开发联调，则应用默认具有全员范围的通讯录权限，飞书人事（企业版）的权限范围在配置后直接生效，便于测试阶段的调试工作。

在为企业自建应用开通 API 权限时，如需配置应用身份权限可访问的数据范围，会自动进行跳转，如下图所示。

如需管理已开通的 API 权限的数据范围，可登录飞书开发者后台，在自建应用的 开发配置 > 权限管理 页面，单击权限列表 可访问的数据范围 列右侧的配置，进入数据权限配置页面。

在 “应用身份权限”可访问的数据范围 界面，完成数据权限配置。

在界面左侧（上图 ① 区域），展示申请 API 权限对应的业务列表，单击可切换到对应业务配置数据权限。

在界面右上方（上图 ② 区域），展示当前业务所申请的应用身份权限信息。

在界面右下方（上图 ③ 区域），配置当前业务权限可访问的数据范围。

在 权限可访问的数据范围 区域单击配置。

不同业务域的配置方式不同，具体说明如下：

业务域	配置说明
通讯录	选择并配置指定的数据范围，默认情况下，通讯录的数据权限范围为与应用的可用范围一致。与应用的可用范围一致：通讯录权限范围与应用的可用范围一致。关于应用可用范围的详细介绍，参见配置应用可用范围。部分成员：选择该范围后，你还需要手动选择部门或成员，以确认通讯录权限范围。全部成员：企业内所有成员与部门的数据权限。企业管理员可以在管理后台的工作台中找到指定应用，修改应用的通讯录权限范围。
组织架构	选择并配置指定的数据范围：全员：企业内所有成员与部门的数据权限。按条件筛选：手动设置筛选条件，仅获取符合筛选条件的员工数据权限。支持设置的筛选条件以实际页面可获取到的数据为准。例如配置为 `成员包含与应用的可用范围一致`，表示应用可访问的成员权限范围与应用的可用范围一致。关于应用可用范围的详细介绍，参见配置应用可用范围。组织架构数据权限范围仅支持指定员工范围，不支持指定部门范围，即固定包含了企业内所有部门的数据访问权限。
飞书人事（企业版）	选择并配置指定的数据范围：全员：企业内所有成员与部门的数据权限。按条件筛选：手动设置筛选条件，仅获取符合筛选条件的员工或部门的数据权限。支持设置的筛选条件以实际页面可获取到的数据为准。例如，在资源分类-员工内设置 `雇员状态等于在职` 的筛选条件，表示应用仅可获取飞书人事（企业版）中在职员工的数据权限。
任务	选择并配置指定的数据范围：全员：企业内所有任务的数据权限。按条件筛选：手动设置筛选条件，仅获取符合筛选条件的任务数据权限。支持设置的筛选条件以实际页面可获取到的数据为准。例如，在资源分类-受限查询任务详情内设置 `任务归属人包含与应用的可用范围一致` 的筛选条件，表示应用可访问的任务归属人的数据范围与应用的可用范围一致。关于应用可用范围的详细介绍，参见配置应用可用范围。
邮箱	选择并配置指定的数据范围：全员：企业内所有邮箱的数据权限。按条件筛选：手动设置筛选条件，仅获取符合筛选条件的邮箱数据权限。支持设置的筛选条件以实际页面可获取到的数据为准。例如，在资源分类-用户邮箱管理内设置 `用户范围包含与应用的可用范围一致` 的筛选条件，表示应用可访问的用户邮箱数据范围与应用的可用范围一致。关于应用可用范围的详细介绍，参见配置应用可用范围。
妙记	选择并配置指定的数据范围：全员：企业内所有妙记的数据权限。按条件筛选：手动设置筛选条件，仅获取符合筛选条件的妙记数据权限。支持设置的筛选条件以实际页面可获取到的数据为准。例如，在资源分类-妙记基本信息内设置 `公开妙记的所有者包含与应用的可用范围一致` 的筛选条件，表示应用可访问的公开妙记的所有者的数据范围与应用的可用范围一致。关于应用可用范围的详细介绍，参见配置应用可用范围。
Payroll	选择并配置指定的数据范围：全员：企业内所有 Payroll 的数据权限。按条件筛选：手动设置筛选条件，仅获取符合筛选条件的 Payroll 数据权限。支持设置的筛选条件以实际页面可获取到的数据为准。例如，在资源分类-发薪明细内设置 `薪资组等于 xxx薪资组` 的筛选条件，表示应用可访问指定薪资组内的发薪明细。