ric*_*ich 4 azure-active-directory microsoft-graph-api
我的组织在两个独立的组织之间运营一个共享的 Azure 租户。
我需要提供第三方应用程序(仅代表其中一个组织工作)Group.ReadWrite.All对 Microsoft Graph 的委派权限。
我只是对这对租户和两个组织可能意味着什么非常谨慎,并且感谢已经发布了类似的问题。
所以我的理解是
Group.ReadWrite.All授予应用程序写入 O365 组日历和 SharePoint 组的权限,委派这意味着应用程序只能通过有效登录的应用程序用户访问图形?
这意味着登录用户不能执行的操作,应用程序也不能执行?
这也意味着,如果登录用户无权访问第二个组织(SharePoint 站点;O365 日历)上的任何内容,那么应用程序也不能访问?
这只是不好的做法,例如ICT意外添加了错误的用户等,这会导致应用程序拥有比应有的更多的权限?
考虑到该范围的.All后缀,这是可以理解的令人困惑,但您的理解是正确的。有时使用虚构用户作为示例会有所帮助。
假设我们有两个用户,Bob 和 Sally:
如果您向应用程序提供委托: Group.ReadWrite.All
委派权限使应用程序能够代表用户进行操作。无论授予的范围如何,应用程序都将仅限于授予用户的其他活动。
另一方面,应用程序权限仅代表他们运行。如果您要授予 Application Group.ReadWrite.All,则应用程序将有权访问租户中的任何组(有一些例外)。
| 归档时间: |
|
| 查看次数: |
4039 次 |
| 最近记录: |