Microsoft Graph API:通过应用程序权限限制 calendar.readWrite 和审核邮箱访问的范围
roh*_*hit 2 office365 azure-active-directory azure-ad-graph-api exchange-server-2016 microsoft-graph-api
我们正在使用 AD 部署的守护程序应用程序,该应用程序对 Office 365 中的用户日历具有完全读/写访问权限,以从 Graph API 获取会议通知。由于持续存在的问题以及 MS 不赞成使用 EWS,我们已经放弃了 EWS。
目前似乎没有办法将 Office 365 Calendar.ReadWrite 权限的范围从组织级别限制到组/用户。
财富 500 强客户担心我们的应用程序可以访问其邮箱内的所有敏感数据,并且尚未准备好为 Calendar.ReadWrite 权限提供管理员同意。我已经解释了所有现有的安全措施,例如在 AD 中注册服务时使用应用程序身份证书、管理员同意要求,以便我们可以访问日历并获取/设置信息,并且通信是安全的,因为它来自 Office 365托管在 Azure 中的图形 API 到我们的应用程序,该应用程序也托管在 Azure 中。
作为 AD 管理员,他们可以随时拒绝对应用程序的同意,但客户认为,万一发生安全事件,为时已晚。
尽管如此,这样的组织还是不愿意的。
有没有办法限制calendar.ReadWrite权限的范围?
我们可以使用 Office 365 管理 API 审核特定用户邮箱的 MS Graph API 调用吗?
我们是否可以禁用特定用户邮箱的 MS Graph API 调用,类似于 EWS 在邮箱上具有 EWSEnabled 属性的方式?
我可以在 Office 365 的安全性和合规性管理部分下设置任何策略,以便从交换管理端更好地控制此类应用程序吗?
我们是否可以禁用特定用户邮箱的 MS Graph API 调用,类似于 EWS 在邮箱上具有 EWSEnabled 属性的方式?
是的。交换管理员可以使用应用程序访问策略来限制特定电子邮件或安全组的应用程序。
将应用程序权限限制为特定 Exchange Online 邮箱
受限电子邮件返回以下错误消息:
| 归档时间: |
|
| 查看次数: |
2091 次 |
| 最近记录: |