【问题标题】:Is there any way to restrict app-only permission for Graph API in Azure AD to a certain group of people?有没有办法将 Azure AD 中 Graph API 的仅限应用权限限制为特定人群?
【发布时间】:2017-10-21 12:14:25
【问题描述】:

要使应用程序正常工作,它需要对组织中的大多数用户日历具有读/写权限,这是通过 Graph API 的仅应用程序权限要求来实现的,它允许访问所有日历。

对于某些安全人员来说,这看起来有点太宽泛了,他们问我是否有某种方法可以将其限制为特定的帐户子集。我还没有找到这个方向的任何设置。 Azure AD 管理门户的应用注册部分中的“授予权限”将授予对所有用户日历的访问权限,包括未来的日历。 如果可能,有人可以直接回答吗?并且我将不胜感激一个可以看到的微软官方页面的链接。 谢谢!

【问题讨论】:

  • 嗯,好吧,仅限应用程序权限基本上为应用程序提供了 Graph API 中的一个角色,它允许它读取所有日历,你不能限制它。另一种选择可能是使用委派权限。在这种情况下,使用应用程序的用户需要访问应用程序读取/更新的日历。
  • 是的,这也是我可以告诉他们的。对于如此多的用户和这种用途,委派权限将不是一个可行的选择。

标签: azure active-directory office365


【解决方案1】:

是的,有办法。按照以下步骤操作,等待 30 到 1 小时让政策传播。

配置应用程序访问策略

配置应用程序访问策略并限制应用程序权限范围:

  1. 连接到 Exchange Online PowerShell。有关详细信息,请参阅连接到 Exchange Online PowerShell。
  2. 确定应用的客户端 ID 和启用邮件的安全组以限制应用的访问权限。
    o 在 Azure 应用注册门户中识别应用的应用(客户端)ID。
    o 创建一个新的启用邮件的安全组或使用现有的安全组并确定该组的电子邮件地址。
  3. 创建应用程序访问策略。 运行以下命令,替换 AppId、PolicyScopeGroupId 和 Description 参数。 New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."
  4. 测试新创建的应用程序访问策略。 运行以下命令,替换 AppId 和 Identity 参数。 Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b
    此命令的输出将指示应用是否有权访问 User1 的邮箱

参考:https://docs.microsoft.com/en-us/graph/permissions-reference#calendars-permissions
参考:https://docs.microsoft.com/en-us/graph/api/resources/calendar?view=graph-rest-1.0

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-10-15
    相关资源
    最近更新 更多