Можно ли корпоративному приложению в Azure AD назначать разрешения с разными областями действия?

Question

Наш пример использования следующий: нашему приложению необходим доступ к Azure AD организаций-клиентов для:

• Аутентификации пользователей
• Syn c данных профиля пользователя для наше приложение, когда оно меняется в AD
• Чтение и подписка на изменения бронирования в конференц-залах

Поэтому нашему приложению требуется разрешение User.Read.All для чтения профилей пользователей, а также Calendar.Read.All но последний должен быть ограничен определенной c группой (чтобы защитить конфиденциальность реальных пользователей). Согласно этой статье , администратор клиента может ограничить доступ приложения определенной группой c, но я не вижу способа сделать это для одного разрешения, поэтому это ограничит все разрешения корпоративного приложения к этой группе. Я что-то упустил или это просто невозможно, и для этой цели мне понадобится несколько учетных записей?

Answer 1

В настоящее время мы не можем ограничить c указанным c разрешением приложения для доступа к указанной c группе. Но мы можем ограничить разрешения приложения до конкретный c почтовых ящиков Exchange Online .

Администраторы могут использовать командлеты ApplicationAccessPolicy для управления доступом к почтовому ящику приложения, которому предоставлены любые из следующих разрешений приложения:

• Mail.Read
• Mail.ReadBasi c
• Mail.ReadBasi c .All
• Mail.ReadWrite
• Mail.Send
• MailboxSettings.Read
• MailboxSettings.ReadWrite
• Calendars.Read
• Календари.ReadWrite
• Контакты. Прочитайте
• Contacts.ReadWrite

Таким образом, если у вас есть и User.Read.All, и Calendar.Read, ApplicationAccessPolicy будет работать только для разрешения Calendar.Read. ApplicationAccessPolicy указываются c для ресурсов Exchange Online и не применяются к другим рабочим нагрузкам Microsoft Graph .