防止用户使用OAuth或基本身份验证让第三方应用程序访问他们的邮箱

Question

我的用户将他们的O365凭证交给第三部分的CRM服务，用于日历和邮件的同步。

The服务使用basic authentication或OAuth进行身份验证。

我想防止这一点，除了一个专用的用户。

我想要创建一个客户端访问规则，但是我不知道要使用哪个-AnyOfProtocols，下面的选项如下：

ExchangeActiveSync
ExchangeAdminCenter
ExchangeWebServices
IMAP4
OfflineAddressBook
OutlookAnywhere
OutlookWebApp
POP3
PowerShellWebServices
RemotePowerShell
REST
UniversalOutlook (Mail and Calendar app)

如果我查看Azure / Azure Active Directory / Monitoring >登录(我找到了这里 )，我可以看到应用程序何时进行身份验证，它显示了以下内容：

应用: webCRM.Calendar.Exchange

资源: Office 365联机交换

也许是ExchangeWebServices？

对于如何以其他方式完成这一任务，有什么建议吗？

更新：

OAuth只支持ExchangeActiveSync、IMAP4、POP3 (链接)协议，因此ExchangeWebServices是不可能的。

尝试过这个规则

New-ClientAccessRule -Name "Block 3rd part apps to auth" -Action DenyAccess -UsernameMatchesAnyOfPatterns "*MyID*" -Priority 6 -AnyOfProtocols ExchangeActiveSync, IMAP4 -AnyOfAuthenticationTypes OAuthAuthentication 

不幸的是，webservice仍然可以使用OAuth和用户"MyID“登录到邮箱。

Answer 1

我的解决方案是订阅Azure广告高级版P1 (约6美元)

这将使您能够访问条件访问，在那里您可以创建策略来阻止/允许应用程序，也可以允许/不允许用户/组。

非常直观，尽管您似乎也可以使用来自模块New-AzureADMSConditionalAccessPolicy AzureAD的powershell (链接)。

当您选择允许/阻止哪些应用程序时，您会得到一组已知的应用程序可供选择，而这个CRM第三部分应用程序实际上在列表上，这让我感到惊讶。显然，AD记录和记住您的用户连接的应用程序！

在这种情况下，如果应用程序使用MS现代身份验证进行身份验证，实际上不可能使用客户端访问规则，因为这并不使用任何您可以允许/阻止的协议。

而且，实际的身份验证似乎是通过您的IP和浏览器完成的，而不是远程应用服务器！我假设这会创建一个令牌，它将被移交给保存它的远程应用服务器，这样它就可以用于将来的连接/同步。

我创建了一个虚构的O365用户，它被分配给组织中需要与这个CRM系统同步日历的用户的日历文件夹的编辑器权限。这是唯一有权使用该应用程序进行身份验证的O365用户。现在的CRM系统只能访问日历文件夹，这也是够糟糕的，但不如访问邮件文件夹，yark！