我在AAD注册了一个应用程序,作为管理员,我想为用户提供阅读或访问特定组列表的数据的权限,而不是我的MS团队帐户中所有组可用的数据。他怎么能做到这一点呢?
No。Azure AD应用程序不提供将Microsoft Graph应用程序权限限定到特定Microsoft Teams/Groups的功能。
客户端凭据流通常在客户端代表自己行事时用作授权授予。当您授予Group.Read.All或Files.Read.All或其他类似的应用程序权限时,这意味着客户端可以访问整个租户中的所有文件/组。
可以通过在代码中实现业务逻辑来实现这一点。例如,提供一个包含特定组'/teams'对象id的配置文件。然后通过检查对象id(用户试图访问的对象id)是否在配置文件中来限制用户对这些组/团队的访问。