我们的用例是这样的:我们的应用程序需要访问客户组织的Azure AD来:
因此,我们的应用需要获得User.Read.All的权限才能读取用户的个人资料,还需要Calendar.Read.All的权限,但后者必须限制在特定的组中(以保护实际用户的隐私)。根据{{3}},租户管理员可以将应用程序的访问权限限制为特定的组,但是我看不到任何针对单个权限的访问权限的方法,因此它将企业应用程序的所有权限都限制为该权限组。我是否缺少某些东西,或者这根本不可能,并且为此需要使用多个服务帐户?
答案 0 :(得分:1)
当前,我们无法限制访问特定组的特定应用程序权限。但是,我们可以将应用程序权限的范围限制为特定的Exchange Online邮箱。
管理员可以使用ApplicationAccessPolicy cmdlet来控制已被授予以下任何应用程序权限的应用程序的邮箱访问:
因此,如果您同时拥有User.Read.All和Calendar.Read,则ApplicationAccessPolicy仅适用于Calendar.Read权限。 ApplicationAccessPolicy特定于Exchange Online资源,不适用于其他Microsoft Graph 工作负载。