考虑租户A的全局管理员被明确拒绝访问敏感的SharePoint网站“最高机密”
现在,他(管理员)注册了一个具有完全控制应用权限的Azure AD应用。
然后,他使用管理员同意REST API授权租户A(他可以这样做,因为他是租户的全局管理员)。 然后,他使用客户端ID&获取访问令牌。秘密(应用程序权限)并成功使用它从“最高机密”网站下载文件。问题吗 当然这是一个安全漏洞?我错过了什么吗?或者由于他们是全球管理员,他们实际上已经通过设计“完全控制”,并且您无法完全拒绝全局管理员查看敏感数据。
问题不仅仅是假设,它还会影响使用图谱API应用程序权限的安全注意事项。