Microsoft dodaje više detaljnih dopuštenja za rad s korisničkim objektima putem API -ja grafikona

Neposredno prije Božića 2024. godine, Microsoft je objavio skup novih, detaljnijih dozvola za grafikon API-ja za rješavanje nekih od najčešćih scenarija povezanih s korisnicima. To je vrsta promjene o kojoj bih očekivao da ću pročitati u članku na blogu ili nešto slično, ali iz nekog razloga je objavljen bez puno fanfara. I dok obično provjeravam Grafički change Krajem svakog mjeseca preskočio sam prosinac iz … razloga. Dakle, razgovarajmo o tim novim dopuštenjima, samo da pomognemo u širenju neke svijesti.

Uvedeni su sljedeći novi domovi, kako u /beta i /v1.0, i s aromom delegata i dozvole za prijavu:

• User-mail.readwrite.all – omogućuje vam upravljanje OSTALI NAČELI atribut za korisnika. Ovo svojstvo omogućuje vam postavljanje Alternativna adresa e -pošte To je obavezno za dodjele uloga administratora, a također se koristi kao dio SSPR -a, pa se smatra osjetljivim. Iz tog razloga, u nekim scenarijima mogu biti potrebna dodatna dopuštenja, kao što je detaljno opisano u ovaj članak (IE, korisniku pozivanja možda će trebati dodijeljena vrlo povlaštena uloga administratora).
• User-passwordProfile.readwrite.all -Omogućuje vam upravljanje bilo kakvim svojstvima vezanim za lozinku za korisnika. Oni uključuju lozinka sam, kao i sila promijeniti lozinku zastava. Očito je i prilično osjetljivo svojstvo, a time bi u nekim scenarijima moglo biti potrebna dodatna dopuštenja.
• User-Phone.readwrite.all – omogućuje vam upravljanje poslovnefone i mobilefon atributi korisnika. U slučaju da ovdje osjetite uzorak, niste u pravu – ovo je još jedno “osjetljivo” svojstvo, podložno potrebi dodatnih dozvola u određenim scenarijima.
• User.enabledIsableAcCount.all – omogućuje vam prebacivanje AcomuneNabled zastava za korisnika. Pogodili ste, ovo je još jedno osjetljivo svojstvo. Imajte na umu da će vam u scenarijima delegata također trebati User.read.all Opseg za operacije pisanja.
• User.deleterestore.all – Omogućuje vam brisanje, trajno brisanje ili oporavak korisničkih objekata iz kante za recikliranje. To je, naravno, osjetljiva operacija.

Kao što ste možda primijetili gore, svi ti scenariji uključuju neka vrlo osjetljiva svojstva ili radnje protiv korisničkih objekata. Ovi novi dodaci na snazi ​​omogućuju vam obavljanje ovih operacija bez potrebe Direktorij.accessasuser.all Opseg, što je manje ili više bio zahtjev za scenarijima odobrenja delegata. Istodobno, korištenje ovih novih dozvola ne znači da možete obavljati operacije protiv svih korisnika neometan. Dodatna dopuštenja još uvijek su potrebna za sve scenarije koji utječu na povlaštene korisnike, u kontekstu delegata i u dodjeli aplikacija.

Ispitajmo jednostavan scenarij koji će ilustrirati slučaj upotrebe za ta nova dopuštenja, kao i istaknuti razdvajanje od sveobuhvatnog Direktorij.accessasuser.all (aka predstavljati) opseg. Recimo da želimo blokirati korisnički račun određenog administratora, možda zato što je napustio tvrtku. Za obavljanje ove operacije putem dozvola za delegat, do sada je korisnik koji je izvršio radnju zahtijevao gore spomenuti opseg laganog predstavljanja, kao čak i Direktorij.readwrite.all Dozvole nisu bile dovoljne sami.

Suprotno tome, s novim opsegom, operacija uspijeva:

Slično ponašanje se opaža s ostalim novo uvedenim dozvolama. Zauzvrat, omogućuju kupcima i ISV -ovima da se bave scenarijima gdje je izvršna aplikacija (ili administratorski alat) zahtijevala prekomjerna dopuštenja i ostavila vrata širom otvorena za potencijalno zlostavljanje. Korak u pravom smjeru sigurno, ali potrebno je više za rješavanje svih mogućih scenarija.

U svakom slučaju, ovo je za sada sve. Kao i kod bilo kojeg drugog upita vezanih za grafikon, dodatne informacije možete pronaći na Dozvola za grafikon Explorerkao i (većina) službene dokumentacije.