authentication - 从守护程序服务通过 Graph (MSAL.NET/Azure AD 2.0) 访问邮箱:管理员访问权限应仅限于单个邮箱
问题描述
当您使用 MS Graph 通过后台服务访问特定用户的邮箱时,令牌将在 90 天后过期,因为 MSGraph (MSAL.NET/Azure AD 2.0) 不会返回刷新令牌(请参阅此处)。
使用管理员同意应该可以解决此问题,但唯一的选择是访问组织的所有邮箱。这对这项任务来说是一个太大的安全风险。
有人知道这个中间立场吗?有没有办法在使用用户同意时获取刷新令牌,或者将管理员同意限制为 1 个邮箱?
这是微软应该解决的问题吗?
解决方案
Microsoft Graph 文档提供了满足此要求的方法。
只需使用New-ApplicationAccessPolicy
PowerShell cmdlet 来配置访问控制。
New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."
请参阅将应用程序权限限定到特定 Exchange Online 邮箱的详细信息。
推荐阅读
- git - Git Show/Log:限制补丁大小
- php - 将来自以分号分隔的一个输入的值上传到数据库。
- batch-file - 使用 Windows 批处理脚本将多个文件从子文件夹移动到单个文件夹
- java - 对于其余请求,验证在 Spring Boot 中不起作用
- javascript - 反应组件类中的 JavaScript 对象函数
- javascript - React tables Calculating Footer sum on page change on sort on search,我们如何实现这一点
- opencv - 有没有办法在 OpenCV 中使用 cuvid 解码器?
- javascript - 在 mousemove 上获取响应式画布上的鼠标位置
- javascript - Firebase 函数 - 在 onWrite() 触发器中找不到父属性
- python - Grouping rows with same column value on multiple columns