我构建了一个应用程序,它使用图形 API 来向用户更新日历。然而,在 api 请求中,我传递了用户,看起来我们的整个组织都可用,这意味着如果有人获得了 key 和用户 ID,他们就可以对任何用户进行更改。这似乎不如 EWS 安全,EWS 至少需要我提供用户密码来更新他们的日历。 Azure 端是否有一种方法可以将应用程序的访问权限限制为单个用户,这样我就可以确保我不会将整个组织的 AD 暴露给应用程序?
最佳答案
默认情况下,作为应用程序类型授予的任何这些权限都会授予您的客户端应用程序对所有邮箱的访问权限
- 邮件.阅读
- Mail.ReadBasic
- Mail.ReadBasic.All
- Mail.ReadWrite
- 邮件.发送
- MailboxSettings.Read
- MailboxSettings.ReadWrite
- 日历。阅读
- 日历.ReadWrite
- 通讯录。阅读
- 联系人.ReadWrite
您可以创建 Application Access Policy将您的应用范围限制为仅具有特定邮箱的权限。
关于azure - 将 Graph API 权限限制为单个用户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72997799/