Microsoft Graph Service / Daemon Access Specifi c Общий почтовый ящик

Question

У меня есть приложение, которое запрашивает Microsoft Graph, и оно должно работать как сервис / демон. Это приложение должно получить доступ к одному указанному c общему почтовому ящику. Приложение не должно иметь доступа ко всему арендатору (я полагаю, это поведение с «Согласие на получение разрешения администратора»). Как бы я go о предоставлении разрешения службе / демону на один указанный c общий почтовый ящик?

Я видел эту документацию:

https://docs.microsoft.com/en-us/graph/auth-limit-mailbox-access

https://docs.microsoft.com/en-us/powershell/module/exchange/organization/new-applicationaccesspolicy?view=exchange-ps

Я пробовал командлет "New-ApplicationAccessPolicy", но целью -PolicyGroupId является общий почтовый ящик, который возвращает ошибку, потому что это не принципал безопасности.

Answer 1

Общие почтовые ящики не являются участниками безопасности. Это ограничение для PolicyGroupId указано в документации @ New-ApplicationAccessPolicy

Чтобы ограничить доступ к общему почтовому ящику, необходимо создать новый SG, включить общий почтовый ящик в качестве участника, а затем используйте SG для создания AppAccessPolicy.