有没有办法将Azure AD中的Graph API的仅限应用程序权限限制为某一群人?

时间:2017-10-21 12:14:26

标签: azure active-directory office365

要使应用程序正常工作,它需要对组织中的大多数用户日历进行读/写访问,这是通过Graph API的仅限应用程序权限要求实现的,该API允许访问所有日历。

对于某些安全人员来说,这看起来有点过于宽泛,他们问我是否有办法将此限制为特定的帐户子集。我还没有找到这方面的任何设置。 "授予权限"在Azure AD管理门户的应用程序注册部分中,将允许访问所有用户日历,包括未来的日历。 如果有可能,有人可以直截了当地回答;我将非常感谢能够看到官方微软页面的链接。 谢谢!

1 个答案:

答案 0 :(得分:2)

是的,有办法。请按照以下步骤操作,并等待30到一个小时,以便政策传播。

配置ApplicationAccessPolicy

要配置应用程序访问策略并限制应用程序权限的范围,请执行以下操作:

  1. 连接到Exchange Online PowerShell。有关详细信息,请参见连接到 Exchange Online PowerShell。
  2. 标识应用的客户端ID和启用邮件的安全组,以限制对应用的访问。
    o在Azure应用注册门户中标识应用的应用(客户端)ID。
    o创建一个新的启用邮件的安全组,或使用现有的安全组并标识该组的电子邮件地址。
  3. 创建应用程序访问策略。 运行以下命令,替换AppId,PolicyScopeGroupId和Description参数。 New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."
  4. 测试新创建的应用程序访问策略。 运行以下命令,替换AppId和Identity参数。 Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b
    此命令的输出将指示该应用是否有权访问User1的邮箱

参考:https://docs.microsoft.com/en-us/graph/permissions-reference#calendars-permissions
参考:https://docs.microsoft.com/en-us/graph/api/resources/calendar?view=graph-rest-1.0

相关问题
最新问题