単一のユーザーのMS GraphメールへのMicrosoftアプリケーションへのアクセスを制限する

Question

MS Graphを使用して定期的に顧客に電子メールを送信する予定のサービスを構築しています。電子メールを送信するためのメールボックスはno-reply@contoso.comのように設定されています。

https://apps.dev.microsoft.comにアプリを設定しました。また、このサービスはサーバー側で実行されるため、ユーザーの介入なしにメールのみを送信するので、Mail.Send (admin only)というApplication Permissionを使用することを選択しました。

このような設定には、adminの同意が必要です。私のsys-adminは、アプリが意図しているものにアクセスしすぎることが必要であると懸念しています。要求された権限は、アプリケーション/サービスが組織内の誰とでも電子メールを送信できるように、彼は正しい。

私はDelegate Permissionオプションを使用し、最初にauth codeを取得し、サービスにリフレッシュトークンに基づいて新しいアクセストークンを継続的に取得させることができることを知っています。これがアイデアかどうかはわかりません。

Answer 1

まず、ボール上の管理者のためのおめでとう。彼らが心配しているのは、なぜGraphにAdmin Approentが必要なのか、アプリケーションの許可範囲はかなり広いです。

スコープを1人のユーザーに限定する唯一の方法は、委任されたアクセス許可を使用することです。スコープの一部としてoffline_accessをリクエストした場合は、ログインする必要があるrefresh_tokenが表示されます。

このモデルでは、定期的に再認証が必要な場合があります。パスワードの変更などの特定のイベントは、トークンを無効にし、新しいセットを取得するために新しいログインが必要になります。アプリがトークンを更新できない場合、誰かを変更する通知メカニズムを必ず含めるべきです。