是否可以为Azure AD上的企业应用程序分配不同范围的权限?

时间:2020-04-23 09:55:13

标签: azure oauth-2.0 azure-active-directory authorization

我们的用例是这样的:我们的应用程序需要访问客户组织的Azure AD来:

  • 验证用户身份
  • 在AD发生更改时将用户的个人资料数据同步到我们的应用
  • 阅读并订阅会议室中的预订更改

因此,我们的应用需要获得User.Read.All的权限才能读取用户的个人资料,还需要Calendar.Read.All的权限,但后者必须限制在特定的组中(以保护实际用户的隐私)。根据{{​​3}},租户管理员可以将应用程序的访问权限限制为特定的组,但是我看不到任何针对单个权限的访问权限的方法,因此它将企业应用程序的所有权限都限制为该权限组。我是否缺少某些东西,或者这根本不可能,并且为此需要使用多个服务帐户?

1 个答案:

答案 0 :(得分:1)

当前,我们无法限制访问特定组的特定应用程序权限。但是,我们可以将应用程序权限的范围限制为特定的Exchange Online邮箱

管理员可以使用ApplicationAccessPolicy cmdlet来控制已被授予以下任何应用程序权限的应用程序的邮箱访问:

  • 邮件阅读
  • Mail.ReadBasic
  • Mail.ReadBasic.All
  • Mail.ReadWrite
  • 邮件发送
  • MailboxSettings.Read
  • MailboxSettings.ReadWrite
  • 日历。阅读
  • Calendars.ReadWrite
  • 联系人。阅读
  • Contacts.ReadWrite

因此,如果您同时拥有User.Read.AllCalendar.Read,则ApplicationAccessPolicy仅适用于Calendar.Read权限。 ApplicationAccessPolicy特定于Exchange Online资源,不适用于其他Microsoft Graph 工作负载。

相关问题
最新问题