【发布时间】:2017-10-21 12:14:25
【问题描述】:
要使应用程序正常工作,它需要对组织中的大多数用户日历具有读/写权限,这是通过 Graph API 的仅应用程序权限要求来实现的,它允许访问所有日历。
对于某些安全人员来说,这看起来有点太宽泛了,他们问我是否有某种方法可以将其限制为特定的帐户子集。我还没有找到这个方向的任何设置。 Azure AD 管理门户的应用注册部分中的“授予权限”将授予对所有用户日历的访问权限,包括未来的日历。 如果可能,有人可以直接回答吗?并且我将不胜感激一个可以看到的微软官方页面的链接。 谢谢!
【问题讨论】:
-
嗯,好吧,仅限应用程序权限基本上为应用程序提供了 Graph API 中的一个角色,它允许它读取所有日历,你不能限制它。另一种选择可能是使用委派权限。在这种情况下,使用应用程序的用户需要访问应用程序读取/更新的日历。
-
是的,这也是我可以告诉他们的。对于如此多的用户和这种用途,委派权限将不是一个可行的选择。
标签: azure active-directory office365