Мы используем развернутые приложения AD Daemon, которые имеют полный доступ на чтение / запись к календарю пользователя в Office 365, чтобы получать уведомления о собраниях от Graph API.Мы отошли от EWS из-за постоянных проблем, и MS не одобряет его использование.
В настоящее время, похоже, не существует способа ограничения области действия Office 365 Calendar.ReadWrite с уровня организации группой /user.
Пользователи из списка Fortune 500 обеспокоены тем, что наше приложение имеет доступ ко всем конфиденциальным данным внутри своих почтовых ящиков и не готовы предоставить согласие администратора для разрешения Calendar.ReadWrite.Я объяснил все меры безопасности, такие как использование сертификатов для идентификации приложения при регистрации службы в AD, требование согласия администратора, чтобы мы могли получить доступ к календарям и получать / устанавливать информацию, а также безопасную связь, как это происходит из офиса 365API-интерфейс graph, размещаемый в Azure, для нашего приложения, которое также размещается в Azure.
Как администраторы AD, они могут в любое время отклонить согласие на приложение, но клиенты считают, что уже слишком поздно в случае инцидента безопасности.
Тем не менее, такая организация неохотно.
Можно ли каким-либо образом ограничить область действия календаря. Разрешение чтения-записи?
Можем ли мы проверять вызовы API MS Graph для определенного почтового ящика пользователя с помощью API управления Office 365?
Можем ли мыотключить вызов API MS Graph для определенного почтового ящика пользователя, аналогично тому, как EWS имеет свойство EWSEnabled для почтового ящика?
Есть ли какая-либо политика, которую я могу установить в разделе администрирования безопасности и соответствия требованиям Office 365, чтобы лучше контролировать такие приложениясо стороны администратора обмена?