我们正在构建一项服务,该服务有望使用MS Graph定期向客户发送电子邮件。用于发送电子邮件的邮箱像no-reply@contoso.com一样设置。
我在https://apps.dev.microsoft.com上配置了一个应用程序。而且,由于此服务将在服务器端运行,仅在没有用户交互的情况下发送电子邮件,因此我选择使用名为Mail.Send (admin only)的Application Permission。
这样的设置需要admin同意。而且我的Sys-Admin担心该应用程序需要过多的访问权限。他是对的,因为要求的许可将使应用程序/服务像组织中的任何人一样发送电子邮件。
我知道我可以使用Delegate Permission选项并最初获取auth code,并让服务不断基于刷新,以不断拾取新的访问权限。我不确定这是否是想法。
首先,恭喜您拥有了一个球幕管理员。坦率地说,他们担心的是为什么图需要管理员同意,应用程序许可范围相当广泛。
将范围缩小到单个用户的唯一方法是使用委派权限。如果您要求offline_access作为范围的一部分,则将包括您需要登录的refresh_token。
此模型的一个重要说明,您可能需要定期重新认证。某些事件(例如更改密码)将使您的令牌无效,并需要新的登录名才能获得新集合。您应该确保包括一个通知机制,如果该应用程序无法刷新它是令牌,则可以改变某人。