为什么一些Microsoft Graph作用域在某些租户上要求管理员同意，而在另一些租户上只要求用户授权的权限？

Microsoft Graph是微软提供的一种API，用于访问和管理Microsoft 365中的数据和服务。作用域(scope)是指在使用Microsoft Graph API时，需要向用户或管理员请求的权限范围。

这是因为在Microsoft 365中，租户的管理员可以对不同的应用程序进行配置和管理，包括对应用程序的权限进行控制。管理员可以决定是否允许应用程序请求某些敏感权限，并决定是否需要管理员的同意。

对于一些敏感的作用域，例如访问用户的邮件、日历等敏感信息，微软要求在某些租户上必须由管理员同意，以确保用户的隐私和数据安全。这意味着用户在使用应用程序时，需要管理员的授权才能访问这些敏感权限。

而对于一些非敏感的作用域，例如访问用户的基本信息、文件等普通权限，微软允许用户自行授权，无需管理员的干预。这样可以提高用户的便利性和使用体验。

需要注意的是，具体哪些作用域需要管理员同意，哪些作用域只需要用户授权，是由租户的管理员根据安全策略和需求进行配置的。因此，在不同的租户中，对于同一个作用域可能存在不同的授权要求。

推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云API网关：https://cloud.tencent.com/product/apigateway
腾讯云云函数（Serverless）：https://cloud.tencent.com/product/scf
腾讯云容器服务：https://cloud.tencent.com/product/ccs
腾讯云数据库：https://cloud.tencent.com/product/cdb
腾讯云CDN加速：https://cloud.tencent.com/product/cdn

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

多租户或多实例 ?

组织帐户与Microsoft帐户的不同之处在于，它们由组织中的管理员创建和管理，而不是由用户创建和管理。...要访问其他租户，用户需要单独的许可证和该租户的一组唯一登录凭据。例如，如果用户A具有访问租户A的帐户，则他们的许可允许他们访问在租户A中创建的任何和所有实例 - 如果他们的管理员允许的话。...如果管理员具有访问权限，则可以从Dynamics 365（在线）界面中看到租户中的多个实例。您无法在租户注册之间重新分配许可。...除非您具有需要与不同租户联合的顶级域（例如Contoso.com和Fabricam.com），否则无法使用多个租户建立本地Active Directory联合。为什么使用多个租户?...多租户的约束想要部署和管理多个租户的管理员应该了解以下内容: 用户帐户、身份、安全组、订阅、许可和存储不能在租户之间共享。单个域只能与一个租户联合。

3.2K2 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

是只谁颁发的这个令牌，很显眼就我们azure认证的一个域在加上我们创建的这个租户 3，iat：令牌颁发时间 4，exp：令牌过期时间，与上面的颁发时间相差5分钟 5，appid：客户端Id，就是在Azure...通过User的用户名和密码向认证中心申请访问令牌。　　按照惯例，在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...其实不难看出，这个账号就是我们当前azure portal的登录账号，也是当前订阅的管理员账号，而且我们在创建MyCommany这个租户的时候也是使用的当前登录的账号，所有当前登录的账号也就自然而然的成为当前租户下应用注册的资源所有者...3）查看WebApi的作用域　　选择管理=》公开 API 复制 WebApi的作用域 4）查看WebApi的终结点复制当前应用程序的 OAuth 2.0令牌终结点(v2)链接，注意圈起来的...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https

2.1K1 0

Azure AD（四）知识补充-服务主体

安全主体定义 Azure AD 租户中用户/应用程序的访问策略和权限。这样便可实现核心功能，如在登录时对用户/应用程序进行身份验证，在访问资源时进行授权。...当应用程序被授予了对租户中资源的访问权限时（根据注册或许可），将创建一个服务主体对象。 Microsoft Graph ServicePrincipal 实体定义服务主体对象属性的架构。...多租户 Web 应用程序/API 还会在租户中的某个用户已同意使用它的每个租户中创建服务主体。...2 当 Contoso 和 Fabrikam 的管理员完成同意并向应用程序授予访问权限时，会在其公司的 Azure AD 租户中创建服务主体对象，并向其分配管理员所授予的权限。...每个对象代表其在运行时使用的应用程序实例，该实例受相关管理员同意的权限控制。

1.7K2 0

从上而下的死亡：从 Azure 到 On-Prem AD 的横向移动

执行任何经过 Azure 租户身份验证的用户都可以枚举上述信息——无需特殊权限或角色。...如果您将“分配给”下拉菜单保留为“选定组”的默认选择，您可以将脚本限定为仅在系统上执行或为属于某些安全组的用户执行。...您可以选择：在每个可能的系统上运行脚本，或者通过将脚本限定为现有安全组或将特定设备或用户添加到新安全组来将其限制为仅在某些系统上运行。...例如，要列出激活了“全局管理员”角色的主体： image.png 您是否信任所有这些用户/主体在您的混合连接、Endpoint Management 注册的系统上以 SYSTEM 身份执行代码？...结论滥用 Microsoft Endpoint Manager 为攻击者提供了一种以 SYSTEM 用户身份在混合加入 Azure 租户的设备上执行代码的方法。

2.6K1 0

CRT：一款针对Azure的CrowdStrike安全报告工具

该工具会在Azure AD/O365 租户中查询以下配置，并帮助广大研究人员寻找一些跟权限和配置有关的安全信息，以帮助组织更好地保护Azure环境的安全性。...功能介绍 Exchange Online（O365） Federation配置 Federation Trust 邮箱上配置的客户端访问设置远程域的邮件转发规则邮箱SMTP转发规则邮件发送规则...授予“完全访问”权限的代理授予任意权限的代理具有“发送方式”或“发送代表”权限的代理启用Exchange Online PowerShell的用户启用“Audit Bypass”的用户从全局地址列表...（GAL）中隐藏的邮箱收集管理员审核日志记录配置设置 Azure AD 拥有KeyCredentials的服务主体对象 O365管理员组报告代理权限和应用程序权限查询租户合作伙伴信息：要查看租户合作伙伴信息...，包括分配给合作伙伴的角色，则必须以全局管理员身份登录Microsoft 365管理中心。

9802 0

【壹刊】Azure AD（二）调用受Microsoft 标识平台保护的 ASP.NET Core Web API （上）

正文一，引言　上一节讲到Azure AD的一些基础概念，以及Azure AD究竟可以用来做什么？...二，正文上一篇介绍到 Azure AD 其实是微软基于云的表示和授权访问管理服务，它可以帮助我们在Azure中登录和访问资源。...等这里暂时只了解这四种常见的授权模式。...Portal 上添加一个租户　　4.1 在Azure Portal 上选择菜单 “Azure Active Directory” 4.2，点击图中的 “创建目录” 4.3，目录选择默认 “Azure...（4）转到 “Swagger” 的应用注册点击”添加权限“---》“委托的权限” 来添加下面绿框架中的两个权限，管理员同意后，前端应用就拥有调用后端API的权限了。

1.9K4 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

你会注意到我还添加了一些“看起来”像他们所属的其他人。监视对根 Azure RBAC 组“用户访问管理员”的更改有点复杂，因为似乎没有任何方法可以在 Azure 门户中查看它。...攻击者更新 Azure 角色成员资格以在 Azure VM 上运行命令：为此帐户设置“所有者”权限是显而易见的（并且可以将帐户添加到虚拟机管理员）。...这包括重新启用管理员帐户的能力。在 Azure 中的域控制器上，这将是域的 RID 500 帐户。一旦攻击者可以在 Azure VM 上运行 PowerShell，他们就可以作为系统执行命令。...但是，可以在公司网络（或 Azure 租户内）的受感染系统上混淆和托管 Invoke-Mimikatz，并加以利用。...为什么这个问题很重要？客户通常不期望 Office 365 全局管理员能够通过翻转帐户上的选项（在所有位置的目录属性下）来控制 Azure 角色成员身份。

2.6K1 0

YH9:Oracle Multitenant 知识库

在 CDB 模式下，公用用户（Common User）和本地用户（Local User）两个概念被引入进来，公用用户可以在 CDB 和 PDB中同时存在，能够连接 ROOT 和 PDB 进行操作；而本地用户则只在特定的...PDB 中存在，也只能在特定的 PDB 中执行操作；在 PDB 中不能创建公用用户，而在 CDB 中（CDB$ROOT 中）同样不能创建本地用户。...也只有公用用户能够授权或被授权相应的公用角色和权限。...在多租户环境下，往往牵一发而动全身，因此合理授权就显得格外重要。在多租户环境下，common user和local user之间可以互相授权。他们本身的权限既不属于公共权限也不属于本地权限。...那么他们的权限如何起作用，这取决于权限是被全局授予还是本地授予的。在12.2中，关于权限，又有哪些新的变化呢？一起来学习Oracle12.2 多租户环境下的授权管理。

1.3K7 0

联合身份模式

当用户离开公司时，帐户必须立即取消设置。在大型组织中尤为容易忽略这一点。使用户管理复杂化。管理员必须管理所有用户的凭据，并执行其他任务，例如提供密码提醒。...与公司目录不同，使用社交标识提供者的基于声明的身份验证通常不提供经过身份验证的用户的信息（电子邮件地址和名称除外）。某些社交标识提供者（如 Microsoft 帐户）仅提供唯一标识符。...应用程序通常需要维护注册用户的一些信息，并能够将此信息与令牌中的声明中包含的标识符相匹配。这通常通过用户首次访问应用程序时的注册来完成，在每次身份验证之后，信息作为附加声明注入到令牌中。...例如，如果用户在 Microsoft 域中输入电子邮件地址（例如 user@live.com），则 STS 会将用户重定向到 Microsoft 帐户登录页面。...此模式在以下情况中可能不起作用：应用程序的所有用户都可以由一个标识提供者进行身份验证，并且无需使用任何其他标识提供者进行身份验证。

1.8K2 0

【解决方案】多租户技术架构设计入门

2.1.2优点满足强隔离需求：一些租户为了保证系统和数据的安全性，可能会提出非常严格的隔离要求，期望软件产品能够部署在一套完全独立的环境中，不和其它租户的实例、数据放在一起；计费逻辑简单：在这种竖井模式下...2.3.2优点资源成本低：一个实例的一个数据库就可以搞定所有租户的数据，支持的租户数量理论上可以很多；便于迭代：在开发的时候只需要额外关注租户标识字段就好，产品迭代维护起来也能很方便； 2.3.3缺点...数据隔离度：当租户对于业务数据的隔离要求比较高时可以选择竖井，成本比较紧张或者在初始阶段可以考虑共享数据库；业务复杂度：有些核心业务是比较复杂的，对整体的服务和底层资源的考验都比较大，其它业务可以适当做一些简化...租户与组织用户的关系：租户一般指的是企业或者组织，通常会有一些员工担任管理员的角色来管理购买的 SaaS 服务。...用户与权限角色的关系：面对众多的 SaaS 服务系统，一般只会选择性地给用户授予某些权限，比如管理员、超级管理员等。

3.2K1 1

保护共享技术的云安全贴士

然而，无论任何时候，只要是多个客户共享一个资源，包括诸如一项服务、硬件、或数据存储都总是存在风险的。而在本文中，我们将为广大读者朋友们介绍关于在多租户环境下保护您企业的数据和工作流程的可操作的技巧。...而在确定了哪些类型的数据信息可以被适当地存储在公共云服务后，管理员们将需要确定服务供应商是否能够在一款公有云服务内为客户的数据和系统提供充分的隔离。...在多租户环境中，云服务提供商必须确保攻击者无法越过一款操作系统的一个实例，在服务器上获得管理员级别的权限，并在该服务器上访问其他另一个客户的实例。...而一项安全审计或许还能够揭示某些令人奇怪的云服务提供商有控制权限，而企业客户却没有的领域。例如，许多流行的云服务提供商提供了最先进的备份和灾难恢复选项。...一个恶意的链接或附件在用户自己的电脑上打开，而不是在云应用程序中打开，这样就会使得整个企业网络处于安全风险之中。因此，一些对于多租户的建议不仅仅是与多租户环境相关的。

9434 0

你的管理员可信吗？五条构建管理员信任的建议

因此，如果客户希望只有一个全局管理员，且可以使用MFA在多个设备上保护访问权限。一些顾问可能会说他们无法实施MFA，因为他们不能在员工之间共享凭据。...实际上，Microsoft要求所有合作伙伴账号都必须使用MFA。...此外，Microsoft更改了安全默认设置，在以下角色中授权MFA：全局管理员、SharePoint管理员、Exchange管理员、条件访问管理员、安全管理员、运维管理员或密码管理员、计费管理员、用户管理员和身份验证管理员...然后，谨慎使用全局管理员账号。如Microsoft所述，在租户中最多设置五个全局管理员账号。再确定是否可以设定访问特定区域的子管理员账号。...确保在遇到Microsoft的两因素流程中的一些意外情况之后可以重置。设置一个没有MFA、不包含在策略中且密码非常长的管理账号。

7722 0

以服务为中心的NFV管理

NFV是通过x86服务器上的虚拟化技术实现网络功能，初期主要是用于对性能要求不高场景，来降低组网成本并使网络结构更灵活。...一、iMC NFV服务 NFV与传统的网络设备的本质区别是其对外提供虚拟网络功能服务，用户不需要关心硬件设备载体，只使用自己申请的服务即可。...服务需要屏蔽底层的实现，租户在进行资源申请时，无须关心资源的具体位置（甚至是一个企业使用多运营商提供的资源），iMC会根据资源池的容量和性能，根据租户的要求为租户自动选择一个最优的位置部署资源。...在服务部署方面，iMC提供了自动匹配和手工干预两种方式，灵活的满足不同管理员对配置操作的不同要求。...云端安全在云端租户的背后是iMC一整套用户访问框架来支撑租户的安全控制。安全控制分为两个层次，一个是租户对iMC的登录和功能进行权限控制，另一个是对租户的网络进行保护和隔离。

1.4K6 0

如何为K8S生产系统配置安全管理？

同一命名空间中的用户可以受到其角色的限制，比如他们可以具有读、写、管理员或其他定义的访问权限。 2. 用户可以通过Token自动进行身份验证，这样审计请求的授权就可以针对特定命名空间来进行。...可以将用户置于基于租户的命名空间中，从而为访问PVCs提供安全的多租户。 4. 即使用户看到存储类，也不意味着他们被授权创建PVC。 5. ...将Portworx RBAC与加密一起使用，意味着数据在host上是安全的，命名空间内的非授权用户不能访问数据。 6. 如果一个请求来自Kubernetes外部而没有Token，它将被阻止。...通常，这些用户有分配给他们的属性，这些属性定义了他们的用户类型。首先，我们将创建一个存储管理员，该管理员具有全部权限。这样的管理员应该只有一两个。...我们还将演示，为什么能够创建PVC对象的用户在此安全模式中实际上无法获得PV，除非该用户拥有由存储管理员配置的有效Token，来验证其角色和权限。

1.4K0 0

云时代的多租户架构系统设计

但对于多租户架构来说，还需要考虑资源层面的隔离，比如云平台中的计费和计量管理。租户为的是资源管理和计费定量使用，用户更多是为了业务功能和授权使用。...一些C端应用，用户和租户是对等的，比如一个在线邮箱系统，一个人就是一个租户。...但如果你的SaaS面向的是企业用户，那么这个时候，租户对应的是组织，也就是企业，入驻之后要给企业分配管理员账号，可以管理、录入其他用户账号。也就是租户是第一层即组织，下面的用户是第二层。...在多租户数据隔离上，需要考虑三种形式：系统本身元数据和基础主数据的隔离（用户、角色、权限、数据字典、流程模板）；系统运行中产生的动态数据的隔离；业务系统底层所涉及到的计算资源和存储的隔离；数据库层面隔离有两种方式...说到稳定性，需要更悲观一些，即使资源完全共享的多租户架构，仍然不建议采用一个大集群为所有租户提供服务。而是要对大集群做分域或分组，或对大集群的资源做分区或分片。

2.3K2 0

使用 PHP-Casbin 在 SaaS 应用中做多租户权限系统架构设计

PHP-Casbin 不仅提供了全局的RBAC的权限模型，而且还支持特定域的权限模型。特定租户/域的角色意味着当用户在不同的租户/域中时，用户可以拥有不同的角色，亦拥有不同的权限策略。...用例这里我以一个多商户的电商平台为例，电商平台的商户就是租户，每个商户有自己的管理人员，可以分配不同的角色，定义自己的权限。这些商户间的数据在逻辑上是完全隔离的，但他们共享这个电商平台的其他资源。...多商户电商平台商户1，用户1，属于管理员角色商品1商户2，用户2，属于管理员角色商品2如上述，在这个电商平台下，每个商户就是一个租户，在每个商户下面有用户和商品。...在[matchers]中的g(r.sub, p.sub, r.dom)就是判断用户、角色和租户/域之间的关系。...策略根据上面的用例要求，下面分别定义了商户1（tenant1）和商户2（tenant2）的管理员权限策略，并且在各自的租户下赋予了user1和user2的管理员(admin)角色。

811 0

K8s多租户场景下的多层级namespace规则解析

在单个 Kubernetes 集群上安全托管大量用户一直是一个棘手问题，其中最大的麻烦就是不同的组织以不同的方式使用 Kubernetes，很难找到一种租户模式可以适配所有组织。...只有特权高的管理员才能创建命名空间，其他用户需要具有使用这些命名空间的明确权限(即创建，查看或修改对象。)...这样，在没有特权的用户可以创建“常规”对象(例如 Pod 和服务)之前，可以使用适当的策略防止非特权用户创建某些资源对象。...2 命名空间的限制但是，实际上，名称空间不够灵活，无法满足一些常见的用例。例如，假设一个团队拥有多个具有不同机密和配额的微服务。...kubectl 插件 : 插件名叫 kubectl-hns，用户可以使用该插件和控制器进行交互。让我们来看看 HNC 的作用。

2.5K4 1

如何防范私有云中的安全风险

许多管理员选择私有云，因为他们将获得对云计算资源及其单租户环境的独占访问权限。另一方面，私有云还提供可扩展性和自助服务。管理员需要熟悉这些风险以保护他们的虚拟系统和数据。什么是私有云?...过时的虚拟机映像管理过时的虚拟机映像被认为是私有云环境安全的最大风险之一。当管理员授予用户访问私有云的权限以从管理员提供的虚拟机模板创建虚拟机时，该用户可以充当租户。...IT管理员不知道用户是否是网络安全专家，或者是否可以遵守云安全的最佳实践。管理员还需要创建符合企业安全要求的此类虚拟机。创建虚拟机模板时，管理员需要使模板保持最新以及企业的安全性。...一些IT管理员还可能使用一组通用的存储设备和主机来轻松地为所有租户提供服务。通常情况下，IT管理员不会突破云空间去访问另一个租户的资源。但是，他们可以访问IT部门内租户的敏感资源。...管理员可能会考虑由企业中的IT部门在其私有云资源中备份的数据。这可能导致数据丢失并且在故障期间没有可用备份数据的严重情况，管理员因此需要备份租户的虚拟机。

1.1K2 0

多租户架构系统架构：SaaS管理与PaaS平台的不同关键点

今天谈下云平台下的多租户架构，不论是在公有云还是私有云平台，是设计一个面向最终组织或用户的SaaS应用还是面向业务系统的PaaS平台，多租户都是前期架构设计的一个关键内容，因此有必要对里面的一些核心要点进一步说明...多租户和多组织实际上在云计算和多租户这些概念出来前，就已经有多组织的概念。比如常说的类似Oracle，SAP等ERP系统都是支持多组织架构。...租户和用户租户和用户实际是不同的两个概念，租户更多的是为了资源管理和计费计量使用，而用户更多的是为了业务功能和授权使用。...但是如果你开发的是一个面向企业的SaaS应用系统，那么这个时候租户对应的是组织这个层面，即入驻的企业是租户，对应企业入驻后，SaaS应用会先给企业分配一个管理员账号，这个时候管理员再去详细的录入企业里面的具体用户账号...一个是系统本身元数据和基础主数据的隔离（用户，角色，权限，数据字典，流程模板），一个是系统运行过程中产生的动态数据的隔离，一个是业务系统底层所涉及到的计算资源和存储资源的隔离。

3.5K4 0

技术分享 | OceanBase 安全审计之用户管理与访问控制

系统租户的内置系统管理员为用户 root MySQL 租户的内置租户管理员为用户 root Oracle 租户的内置租户管理员为用户 sys 创建用户时，如果当前会话的租户为系统租户，则新建的用户为系统租户用户...权限管理对比用户权限级别都分为 3 个级别，且表达的含义一致。细分的权限上大同小异，OceanBase 目前还有些尚未支持。从 OB 的官方文档看，目前授权表里预留了一些字段但尚未支持。...在授权语句、语法上都一致。...从我个人的理解，角色就是一组权限的集合，它的好处是替代单个授权的便捷方式和概念化所有分配的权限。所以如果从 MySQL 迁移至 OceanBase，理论上对角色的权限展开就可以了。...在权限管理方面，OceanBase 和 MySQL 的授权语句和语法是一致的，两种数据库都有各自特有的授权表，OceanBase 暂时不支持动态权限和部分撤销全局权限。

4452 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

为什么一些Microsoft Graph作用域在某些租户上要求管理员同意，而在另一些租户上只要求用户授权的权限？

相关·内容

多租户或多实例 ?

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

Azure AD（四）知识补充-服务主体

从上而下的死亡：从 Azure 到 On-Prem AD 的横向移动

CRT：一款针对Azure的CrowdStrike安全报告工具

【壹刊】Azure AD（二）调用受Microsoft 标识平台保护的 ASP.NET Core Web API （上）

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

YH9:Oracle Multitenant 知识库

联合身份模式

【解决方案】多租户技术架构设计入门

保护共享技术的云安全贴士

你的管理员可信吗？五条构建管理员信任的建议

以服务为中心的NFV管理

如何为K8S生产系统配置安全管理？

云时代的多租户架构系统设计

使用 PHP-Casbin 在 SaaS 应用中做多租户权限系统架构设计

K8s多租户场景下的多层级namespace规则解析

如何防范私有云中的安全风险

多租户架构系统架构：SaaS管理与PaaS平台的不同关键点

技术分享 | OceanBase 安全审计之用户管理与访问控制

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐