Azure Регистрация приложения - области и разрешения

Question

У меня есть сервисное приложение windows, которое должно пройти аутентификацию с Azure AD для нескольких учетных записей служб ... каждый экземпляр будет иметь свою учетную запись службы. (скажем, у меня есть 3 экземпляра на 3 разных серверах с 3 разными учетными записями служб - S1, S2, S3). Эта служба читает с общего адреса электронной почты (каждый экземпляр имеет свою собственную электронную почту E1 для S1, E2 для S2 и E3 для S3) с помощью Microsoft Graph API.

Какие разрешения или настройки мне нужны Azure Регистрация приложения для того, чтобы S1 мог читать E1 (и не мог читать другие), S2 для E2 и S3 только для E3.

Я думаю зарегистрировать приложение в одном арендаторе и добавить 3 владельцы S1, S2, S3. Таким образом, учетная запись службы аутентифицируется без участия пользователя \ pass и читает из общего электронного письма. Область должна быть установлена ​​на Mail.Read.Shared.

Администратор согласится на необходимые разрешения ..., поскольку для него нет пользовательского интерфейса.

Это правильная настройка?

Answer 1

С точки зрения дизайна ваша идея верна.

В дополнение к Mail.Read.Shared вам также могут понадобиться базовые c разрешения на делегирование Mail.ReadBasic и Mail.Read для чтения электронных писем.

Поскольку вы хотите, чтобы S1 читал E1 (и не могли читать другие), вы должны реализовать Получить доступ от имени пользователя . Таким образом, S1 может получить доступ только к своей собственной общей электронной почте.

Конечно, поток паролей также должен подходить для этого сценария.