有人知道是否可以将图形权限范围限制到特定对象?
我们知道有 Exchange Online 应用程序访问策略 (https://learn.microsoft.com/en-us/graph/auth-limit-mailbox-access),但这些策略仅对 Mail.Read 等特定范围有效, 日历.读写等等。
我们想要使用 MS Graph 应用程序权限,例如 DeviceManagementConfiguration.ReadWrite.All 或 Sites.FullControl.All,但我们不能允许任何应用程序访问租户中的所有对象,因为有多家公司拥有自己的管理人员和职责。我们已经使用了管理单元,但那些不能使用我尝试过的 MS Graph 权限范围。
无法将 MS Graph 应用程序权限范围限定到特定对象,MS 的文档中没有信息。
Graph API 权限旨在授予对属于授予权限的特定类别的租户内的资源和数据的广泛访问权限。例如,DeviceManagementConfiguration.ReadWrite.All 或 Sites.FullControl.All 等权限将提供对租户内所有相应资源的访问权限
在您的场景中,您可以构建位于应用程序和 Microsoft Graph 之间的自定义中间件或 API 层。该中间件可以实现额外的授权逻辑,以根据您的业务需求限制对特定对象或资源的访问。
您可以使用组或任何租户用户属性(例如部门)来限制中间件中的访问。
您还可以在 Azure AD Enterprise 应用程序中的应用程序的服务主体下使用不同的应用程序来限制分配给用户和组 - 请参阅本指南,然后在每个应用程序中实现逻辑以仅访问逻辑租户的资源。
您最终可能会为每个逻辑租户管理两个应用程序,但这将保证分离。