Microsoft Graph для доступа только к определенному c множеству пользователей, а не ко всем

Question

У нас большая организация, распределенная по разным местам, и некоторые из них хотят предоставить разрешения для приложений в Azure AD, которые запрашивают доступ для чтения и управления данными электронной почты. Можно ли разрешить приложению доступ только к определенному c набору пользователей на основе группы безопасности или атрибута?

Теперь приложение получает доступ к «Чтение и запись почты во всех почтовых ящиках», которая большие проблемы безопасности для нашей организации.

Снимок экрана для разрешений API приложения

Answer 1

Насколько я знаю, разрешения для приложений Microsoft Graph не могут быть ограничены, это для всего арендатора. Но мы можем использовать команду New-ApplicationAccessPolicy , поскольку juunas предложила ограничить ваше приложение целевыми почтовыми ящиками.

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "{appID}" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app to members of security group EvenUsers."

Чтобы создать группу безопасности с включенной поддержкой почты, вы можете войти в эту стр. и обратитесь к этому учебнику . Поместите указанный c набор пользователей в группу безопасности, тогда вашему приложению будет предоставлен доступ только к данным указанного c набора пользователей.