Azure AD 应用程序仅适用于 SharePoint，无需授予广泛的租户权限

注意：您可以使用

Sites.Selected

应用程序权限限制对应用程序上下文中的 SharePoint 网站集的访问，但不能限制对特定文件夹/文件或特定范围的访问。

创建 Azure AD 应用程序并授予 API 权限：

要仅授予对一个 SharePoint 网站的访问权限，我使用了以下 PowerShell 脚本：

$siteUrl = “https://xxx.sharepoint.com/sites/testruk”
$clientId = “ClientID” 
$certThumbprint = “Thumbprint” 
$tenant = “xxx.onmicrosoft.com”

Connect-PnPOnline -Url $siteUrl -Interactive
$writeperm = Grant-PnPAzureADAppSitePermission -Permissions “Write” -Site $siteUrl -AppId $clientId -DisplayName “PowerShell-SharepointOnline”
$PermissionId = Get-PnPAzureADAppSitePermission -AppIdentity $clientId
Set-PnPAzureADAppSitePermission -Site $siteurl -PermissionId $(($PermissionId).Id) -Permissions “FullControl”

当 SharePoint 网站使用应用程序时，我能够访问该网站：

Connect-PnPOnline -Url $siteUrl -ClientId $clientId -Thumbprint $certThumbprint -Tenant $tenant

当我尝试访问另一个 SharePoint 网站时，收到 403 forbidden 错误：

Connect-PnPOnline -Url $siteUrl -ClientId $clientId -Thumbprint $certThumbprint -Tenant $tenant

• Microsoft Graph API 权限是租户范围内的，不能限制在特定范围内。
• 如果 Azure AD 应用程序已被授予应用程序权限，则会向该应用程序授予完全级别的访问权限。
• 因此，您可以仅限制SharePoint集合站点，但不能限制范围。

要确认上述内容，请检查以下 参考：

如何允许我的应用程序在没有用户的情况下仅访问特定驱动器或文件夹 - Microsoft 问答，作者：Vasil Michev

Graph API - 使用“Files.ReadWrite.All”和“Sites.ReadWrite.all”权限时限制 OneDrive/Sharepoint 访问 - Microsoft 问答，作者：CarlZhao-MSFT