Есть ли способ ослабить разрешения приложений, которые я создаю на Azure AD?

Question

Я создал приложение в Azure AD.

Приложение работает нормально.

Кстати, я хотел уменьшить разрешения этого приложения.

Сначала Я хочу ограничить график, который может просматривать это приложение. Например, приложение может видеть расписание пользователя A, но не расписание пользователя B и т. Д. Пользователь A и пользователь B зарегистрированы в одном Azure AD.

Во-вторых, я хочу ограничить пользователей, которые могут выдавать себя за отправителей электронной почты. Например, пользователь C может отправлять почту, но пользователь D не может отправлять почту.

Есть ли лучший способ сделать это?

Спасибо.

Answer 1

Как предположил @juunas, разрешения Microsoft Graph Application не могут быть ограничены. Это для всего арендатора.

Но вы можете использовать New-ApplicationAccessPolicy , чтобы ограничить ваше приложение целевыми почтовыми ящиками.

Например:

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "{appID}" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app to members of security group EvenUsers."

Вы можете поместить пользователей A и C в группу безопасности EvenUsers. Тогда вашему приложению будет предоставлен доступ только к данным пользователя A и C.

.