我们正在使用 AD 部署的守护程序应用程序,这些应用程序对 Office 365 中的用户日历具有完全读/写访问权限,以从 Graph API 获取会议通知。由于不断出现的问题和 MS 贬低它的使用,我们已经放弃了 EWS。
目前似乎没有办法将 Office 365 Calendar.ReadWrite 权限的范围从组织级别限制为组/用户。
财富 500 强客户担心我们的应用程序可以访问他们邮箱中的所有敏感数据,并且不准备为 Calendar.ReadWrite 权限提供管理员同意。我已经解释了计划中的所有安全措施,例如在 AD 中注册服务时使用证书作为应用程序身份、管理员同意要求,以便我们可以访问日历和获取/设置信息,并且通信是安全的,因为它来自 office 365将托管在 Azure 中的图形 API 连接到我们的应用程序,该应用程序也托管在 Azure 中。
作为 AD 管理员,他们可以随时拒绝同意该应用程序,但客户认为万一发生安全事件为时已晚。
尽管如此,这样的组织还是不情愿。
有没有办法限制 calendar.ReadWrite 权限的范围?
我们可以使用 Office 365 管理 API 审核特定用户邮箱的 MS Graph API 调用吗?
我们能否像 EWS 在邮箱上具有 EWSEnabled 属性一样禁用特定用户邮箱的 MS Graph API 调用?
是否可以在 Office 365 的安全和合规管理部分下设置任何策略,以更好地从 Exchange 管理员端控制此类应用程序?