azure - 在 Active Directory 应用程序中使用的 Azure Graph API 的活动/审核日志
问题描述
背景:我们开发了一个 Active Directory 企业应用程序。此应用程序旨在从 Active Directory 中用户的 Outlook 日历中读取忙/闲信息。此应用程序使用Get Schedule Graph API 来获取用户的忙/闲信息。身份验证机制是通过管理员同意。
问题:我们有一个客户将使用这个应用程序并将其安装在他们的活动目录中。他们希望在他们这边看到这个应用程序使用 Graph API 正在执行的活动/操作。我不确定是否可以让每个已安装的应用程序执行活动。我知道有一种方法可以知道谁安装/授权了实际应用程序,但除此之外,我在 Azure 门户上看不到每个 API 调用的日志。
简而言之,客户端想知道企业应用程序正在进行的每个 API 调用,并验证它没有获取敏感数据。
感谢这里的任何指导。
更新 - 2020 年 11 月 17 日
在通过各种渠道联系 Microsoft 支持后,我们终于得到了答复,提到无法获得我们正在寻找的信息。无法审核上述图形 API 的使用情况。
问候, 巴维克
解决方案
至少从 Azure AD 的角度来看,微软还没有提供这样的工具或方法来实现这一点。
您的客户似乎非常担心来自其他租户(例如,您的租户)的人会通过此企业应用程序访问他们公司的数据。我认为您的客户不了解企业应用程序的工作原理。
当您的企业应用程序通过管理员同意安装到他的租户中时,这意味着他们可以使用此企业应用程序访问此应用程序范围内的自己的数据。但作为开发人员,您无权访问他们的数据。使用您的企业应用程序的任何其他租户也将无法访问其他租户的数据。
多租户应用程序用于向许多组织提供软件即服务 (SaaS) 应用程序。客户的数据在他们自己的租户中访问。在此处了解更多信息。
另外,企业应用应该遵循“最小权限原则”,所以如果你的应用只Calendars.Read基于Permissions进行分配,它就无法获取 Calendars 数据以外的数据。
推荐阅读
- bash - 采购外部 bash 脚本时 crontab 不工作
- ruby-on-rails - 如果验证符合 ruby on rails 模型,如何使提交按钮可以点击
- r - 具有对数 y 刻度和负值的绘图
- javascript - 为 html 选项注册 onmouseover 事件
- eigen - Eigen3:强制进行惰性评估以评估矩阵并用值填充矩阵?
- json - json 列表没有值或文本不可见
- c# - 已部署机器上的 RDLC 报告错误
- java - 每秒更改 TextView 中的文本
- r - run the script according to logical conditions in R
- youtube - 通过自定义播放暂停按钮控制 iframed(嵌入式)youtubeplayer