我的组织在两个独立的组织之间运营一个共享的 Azure 租户。
我需要提供第三方应用程序(仅代表其中一个组织工作)Group.ReadWrite.All对 Microsoft Graph 的委派权限。
我只是对这对租户和两个组织可能意味着什么非常谨慎,并且感谢已经发布了类似的问题。
所以我的理解是
Group.ReadWrite.All授予应用程序写入 O365 组日历和 SharePoint 组的权限,委派这意味着应用程序只能通过有效登录的应用程序用户访问图形?
这意味着登录用户不能执行的操作,应用程序也不能执行?
这也意味着,如果登录用户无权访问第二个组织(SharePoint 站点;O365 日历)上的任何内容,那么应用程序也不能访问?
这只是不好的做法,例如ICT意外添加了错误的用户等,这会导致应用程序拥有比应有的更多的权限?