仅针对特定邮箱的Microsoft Graph Outlook应用程序权限

时间:2018-07-16 15:55:58

标签: permissions microsoft-graph outlook-api

Microsoft Graph使用应用程序权限进行后台服务。对于Outlook API,应用程序权限Mail.ReadWrite授予对所有邮箱的访问权限。

enter image description here

有没有一种方法可以限制对特定邮箱的访问?

https://developer.microsoft.com/en-us/graph/docs/concepts/permissions_reference

3 个答案:

答案 0 :(得分:0)

否,您不应该在该实例中使用委托访问权限,也不要使用Mail.ReadWrite.Shared授予权限来授予所有者的邮箱以及与该用户共享的任何邮箱的访问权限(例如,已委派了他们的访问权限)。

我同意您所说的是一项很好的功能,能够针对某些邮箱/用户等选择退出“应用程序”权限是一项要求,但并不具备这样做的能力。一种缓解这种情况的方法是使用服务器端的逻辑,例如,在访问邮箱等之前强制应用程序检查组,并确保打开审计功能,以便您可以捕获对令牌和凭据的任何恶意使用。

答案 1 :(得分:0)

答案 2 :(得分:0)

根据Microsoft Docs,现在可以这样做。

某些应用使用自己的身份调用Microsoft Graph,而不是使用 代表用户。这些通常是后台服务或守护程序 在没有登录用户的情况下在服务器上运行的文件。这些 应用程序使用OAuth 2.0客户端凭据授予流向 进行身份验证并配置有应用程序权限,该权限 使此类应用程序能够访问Exchange上组织中的所有邮箱 线上。例如,Mail.Read应用程序权限允许应用程序 在没有登录用户的情况下读取所有邮箱中的邮件。

希望将应用程序访问权限限制为一组特定的管理员 邮箱可以使用New-ApplicationAccessPolicy PowerShell cmdlet来 配置访问控制。