Group.ReadWrite.All范围澄清

Question

我的组织在两个不同的组织之间经营一个共享的Azure租户。

我需要向MicrosoftGraph提供第三方应用程序(仅代表其中一个orgs工作)委托的Group.ReadWrite.All权限。

我只是对这可能对租户和两个组织意味着什么持极端谨慎态度，并对类似的问题已经发布表示赞赏。

所以我的理解是

1. Group.ReadWrite.All授予应用程序写入O365组日历和SharePoint组的权限，这意味着应用程序只能通过在应用程序中签名的有效用户访问图形？
2. 这意味着，无论登录用户不能做什么，应用程序也不能？
3. 这也意味着，如果登录用户没有权限访问第二个组织(SharePoint站点；O365日历)上的任何内容，那么应用程序也不能访问？
4. 这只会导致应用程序拥有比它应有的更多的权限，这只是糟糕的做法，例如，ICT意外地添加了错误的用户等等。

Answer 1

考虑到这个作用域的.All后缀，这是可以理解的，但您理解是正确的。使用虚构的用户作为示例有时会有所帮助。

假设我们有两个用户，鲍勃和萨利：

• 萨利是“销售主管”和“企业领导团队”的成员。
• Bob是“公司领导团队”和“财务主管”小组的成员。

如果向应用程序提供委托的Group.ReadWrite.All：

• 当萨利认证时，应用程序将只能访问“销售主管”和“企业领导团队”组。它将无法接触到“金融高管”组织。
• 当Bob认证时，应用程序将访问“公司领导团队”和“财务主管”组，而不是“销售主管”。

委托权限使应用程序可以代表用户进行操作。无论授予的范围如何，应用程序都将限于以其他方式授予用户的活动。

另一方面，应用程序权限只代表它们进行操作。如果要授予应用程序Group.ReadWrite.All，则应用程序将有权访问租户中的任何组(除了一些例外)。