我必须限制 Azure Active Directory 中的 API 权限 CallRecords.read.all 权限,有什么建议可以限制这个吗?
【问题讨论】:
标签: azure azure-devops active-directory azure-active-directory microsoft-graph-api
关于解决方法您不能限制 CallRecords.read.all 应用程序权限参考:
How to scope permission per application in Azure Active Directory
对于邮箱,您可以限制应用程序权限
使用 New-ApplicationAccessPolicy cmdlet 可限制或拒绝使用 API(Outlook REST、Microsoft Graph 或 Exchange Web 服务 (EWS))的应用程序访问特定邮箱集。
配置应用程序访问策略。配置应用访问策略,限制应用权限范围
连接到 Exchange Online PowerShell。详情见Connect to Exchange Online PowerShell
确定应用程序的客户端 ID 和启用邮件的安全组以 限制应用程序的访问。识别应用程序的应用程序(客户端) Azure 应用注册门户中的 ID。创建一个新的启用邮件 安全组或使用现有安全组并识别电子邮件地址 为组。
创建应用程序访问策略。运行以下命令, 替换 AppId、PolicyScopeGroupId 和 Description 参数。
示例:
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."
此示例使用以下设置创建新的应用程序访问策略:' AccessRight:RestrictAccess,AppIDs:e7e4dbfc-046f-4074-9b3b-2ae8f144f59b,PolicyScopeGroupId:EvenUsers@AppPolicyTest2.com,说明:限制此应用访问安全组 EvenUsers 的成员。
测试新创建的应用访问策略。运行以下 命令,替换 AppId 和 Identity 参数。
Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b
此命令的输出将指示应用程序是否有权访问 User1 的邮箱
有关更多详细信息,请参阅此 SO 线程:
【讨论】: