使用Azure Ad中的服务应用程序限制对组或单个邮箱的访问_Azure_Office365_Microsoft Graph Api_Azure Ad Graph Api_Service Application

使用Azure Ad中的服务应用程序限制对组或单个邮箱的访问

azure office365 microsoft-graph-api

使用Azure Ad中的服务应用程序限制对组或单个邮箱的访问,azure,office365,microsoft-graph-api,azure-ad-graph-api,service-application,Azure,Office365,Microsoft Graph Api,Azure Ad Graph Api,Service Application,我有一个Azure集成服务应用程序（daemon应用程序），具有Microsoft graph api的权限，现在我可以读取整个公司的所有邮箱，这非常棒，但可能会引起业务管理层的一些担忧。我们在Office 365中使用Outlook。是否有方法指定应用程序可以访问的邮箱，而不是访问所有邮箱/用户。使用客户端凭据获取访问令牌的守护程序应用程序客户机凭据流通常在客户机代表其自身行事时用作授权授予。并且无法指定应用程序可以访问的邮箱您可以通过在守护程序应用程序中实现业务逻辑来实现这一点此Mic

我有一个Azure集成服务应用程序（daemon应用程序），具有Microsoft graph api的权限，现在我可以读取整个公司的所有邮箱，这非常棒，但可能会引起业务管理层的一些担忧。我们在Office 365中使用Outlook。是否有方法指定应用程序可以访问的邮箱，而不是访问所有邮箱/用户。

使用客户端凭据获取访问令牌的守护程序应用程序

客户机凭据流通常在客户机代表其自身行事时用作授权授予。并且无法指定应用程序可以访问的邮箱

您可以通过在守护程序应用程序中实现业务逻辑来实现这一点

此Microsoft文档似乎给出了答案确定特定Exchange Online邮箱的应用程序权限范围

希望将应用程序访问限制为特定邮箱集的管理员可以使用New-ApplicationAccessPolicy PowerShell cmdlet配置访问控制。本文介绍了配置应用程序访问策略的基本步骤。

谢谢，因此守护程序应用程序可以访问所有内容，也可以不访问任何内容。谢谢你澄清。是的，你是对的。根据我的理解，守护程序应用程序应该在“安全”的环境中运行。我们不必担心令牌泄漏。因此，限制业务逻辑中的资源访问应该在这种情况下起作用。@FeiXue我很好奇，是否可以让用户选择使用同意（ref:）而不是执行业务逻辑？即使业务逻辑再次保护它，仍然有一个很大的安全整体。如果业务逻辑或流氓用户中存在漏洞，他们将有可能访问所有邮箱的所有电子邮件，最终客户无法再次保护该漏洞（但可能有同意功能？）@FeiXue-我认为您希望使用的是-允许指定应用程序有权访问的邮箱。我认为，即使守护程序应用程序中的逻辑提供了控件，客户仍然可能希望有独立的方式来控制应用程序可以访问谁？让我知道这是否有用。