Мы пытаемся выяснить, какие разрешения применяются к участникам арендатора в отношении открытых расширений гостей арендатора в Microsoft Graph.
В официальной документации указано, что разрешения User.ReadBasic.All доступны любому пользователю по умолчанию и позволяют читать открытые расширения всех пользователей. Однако неясно, применимо ли это к гостевым пользователям или нет.
Допустим, у нас есть арендатор tA, участник арендатора uA и внешний пользователь uB (либо участник другого арендатора, либо личный аккаунт). Пользователь uB имеет открытое расширение с некоторыми данными. Пользователь uA добавляет uB в качестве гостя к арендатору A (например, приглашает команду в команды MS). Должен ли пользователь uA прочитать открытое расширение uB?
Я пробовал это с Microsoft Graph Explorer . Мой тест показывает, что
- Если пользователь
uB является бизнес-пользователем, то есть членом организационного арендатора B, то пользователь uA не может прочитать данные расширения. uA может найти пользователя, прочитать профиль, но расширение расширений ничего не возвращает.
- Если пользователь
uB является личным аккаунтом, например, some_user@outlook.com, тогда uA может читать данные расширения.
Похоже, что для бизнес-учетных записей расширения пользовательских объектов видны только арендатору, который создал пользователя, но не приглашающим арендаторам. Однако для личных учетных записей ограничения отсутствуют, как если бы в приглашающем клиенте были созданы пользовательские объекты MS Graph.
Каковы спецификации для доступа к данным гостевого пользователя? Они где-нибудь опубликованы?