我们有一个分布在不同位置的大型组织,其中一些组织希望授予Azure AD中要求访问权限以读取和管理电子邮件数据的应用程序的权限。有什么方法只能允许应用程序基于安全组或属性访问一组特定的用户?
现在,应用程序可以访问“在所有邮箱中读取和写入邮件”,这是我们组织面临的重大安全问题。
答案 0 :(得分:1)
据我所知,不能限制Microsoft图形应用程序的权限,这是针对整个租户的。但是我们可以使用New-ApplicationAccessPolicy命令来建议您将应用限制为目标邮箱。
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "{appID}" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app to members of security group EvenUsers."
要创建已启用邮件的安全组,可以登录此page并引用此tutorial。将特定的用户组放入安全组,那么您的应用将仅被授予对特定用户组数据的访问权限。