我正在使用守护进程应用程序令牌通过Microsoft Graph API(/users/{id}/mailFolders(获取mailFolders信息。在这种情况下,我可以接收任何用户的文件夹。但是,当作为应用程序进行身份验证(而不是与用户进行身份验证(时,您不能使用委派权限。
如果用户有权访问委派的文件夹,如何使用应用程序标识进行检查,或者在使用应用程序身份时,MS Graph是否可以以某种方式强制用户访问另一个用户的邮箱?
否。这是不可能的。
首先,您需要了解Azure AD中应用程序令牌(应用程序权限(和用户令牌(委派权限(之间的区别。
如果用户有权访问委派文件夹
当您使用应用程序令牌时,您正在播放一个可以访问所有邮箱的应用程序。您没有以用户身份登录,因此无法检查用户对其他用户邮箱的访问权限。
MS Graph能否以某种方式强制用户访问另一个用户的邮箱在使用应用程序标识时?
同样,MS Graph也不提供此功能本身。使用Exchange Online Powershell,可以使用EAC为整个邮箱分配权限或分配权限。