在我看来,当您提供应用程序级别权限时,管理员同意,该应用程序可以自由控制已批准的租户中的每个用户。
我想在我的租户中为我的应用程序发送Mail.Read Mail.ReadWrite Mail.Send权限,但我想将可以访问邮件的用户列入白名单。或者相反,我想将某些敏感用户(人力资源部门,C级管理人员)列入黑名单,以便如果应用程序以某种方式受到损害,则无法利用它来读取/写入/发送这些个人的邮件。
这可能吗?不知何故?
答案 0 :(得分:1)
应用权限始终是租户范围的权限。
如果要限制它们,则必须使用委派的权限。这意味着您要允许的每个用户都需要登录,然后您的应用可以获得该用户的刷新令牌。然后,此刷新令牌可用于几乎永久访问该用户的邮件。
当然,如果刷新令牌被撤销,则用户需要再次登录。例如,由于密码重置,可能会发生这种情况。
如果邮件丢失了,那么如果内容破裂并且丢失了大量资金,那么你真的需要使用应用程序权限。