Microsoft Graph API:限制 calendar.readWrite 的范围并通过应用程序权限审核邮箱访问
Microsoft Graph API : Restrict scope of calendar.readWrite and Audit mailbox access by Application Permission
我们正在使用 AD 部署的守护进程应用程序,这些应用程序对 Office 365 中的用户日历具有完全 read/write 访问权限,以从 Graph API 获取会议通知。由于持续存在的问题和 MS 贬低它的使用,我们已经放弃了 EWS。
目前似乎没有办法将组织级别的 Office 365 Calendar.ReadWrite 权限范围限制为 group/user。
财富 500 强客户担心我们的应用程序可以访问他们邮箱中的所有敏感数据,并且还没有准备好向管理员提供 Calendar.ReadWrite 权限。我已经解释了所有现有的安全措施,例如在 AD 中注册服务时使用证书作为应用程序身份、管理员同意要求以便我们可以访问日历和 get/set 信息,并且通信是安全的,因为它来自Azure 中托管的 office 365 图 API 到我们的应用程序,该应用程序也托管在 Azure 中。
作为 AD 管理员,他们可以随时拒绝同意该应用程序,但客户认为为时已晚,以防发生安全事件。
这样的组织还是不情愿
有没有办法限制calendar.ReadWrite权限的范围?
我们能否通过使用 Office 365 管理 API 来审核 MS Graph API 对特定用户邮箱的调用?
我们可以禁用 MS Graph API 对特定用户邮箱的调用,类似于 EWS 在邮箱上启用 EWSEnabled 属性 的方式吗?
我可以在 Office 365 的安全与合规管理部分下设置任何策略,以更好地从交换管理端控制此类应用程序吗?
我们能否禁用 MS Graph API 对特定用户邮箱的调用,类似于 EWS 在邮箱上启用 EWSEnabled 属性 的方式?
是的。交换管理员可以使用应用程序访问策略来限制特定电子邮件或安全组的应用程序。
受限电子邮件 return 以下错误消息:
我们正在使用 AD 部署的守护进程应用程序,这些应用程序对 Office 365 中的用户日历具有完全 read/write 访问权限,以从 Graph API 获取会议通知。由于持续存在的问题和 MS 贬低它的使用,我们已经放弃了 EWS。
目前似乎没有办法将组织级别的 Office 365 Calendar.ReadWrite 权限范围限制为 group/user。
财富 500 强客户担心我们的应用程序可以访问他们邮箱中的所有敏感数据,并且还没有准备好向管理员提供 Calendar.ReadWrite 权限。我已经解释了所有现有的安全措施,例如在 AD 中注册服务时使用证书作为应用程序身份、管理员同意要求以便我们可以访问日历和 get/set 信息,并且通信是安全的,因为它来自Azure 中托管的 office 365 图 API 到我们的应用程序,该应用程序也托管在 Azure 中。
作为 AD 管理员,他们可以随时拒绝同意该应用程序,但客户认为为时已晚,以防发生安全事件。
这样的组织还是不情愿
有没有办法限制calendar.ReadWrite权限的范围?
我们能否通过使用 Office 365 管理 API 来审核 MS Graph API 对特定用户邮箱的调用?
我们可以禁用 MS Graph API 对特定用户邮箱的调用,类似于 EWS 在邮箱上启用 EWSEnabled 属性 的方式吗?
我可以在 Office 365 的安全与合规管理部分下设置任何策略,以更好地从交换管理端控制此类应用程序吗?
我们能否禁用 MS Graph API 对特定用户邮箱的调用,类似于 EWS 在邮箱上启用 EWSEnabled 属性 的方式?
是的。交换管理员可以使用应用程序访问策略来限制特定电子邮件或安全组的应用程序。
受限电子邮件 return 以下错误消息: