O365 和 OAuth2 允许用户代表用户授权第三方应用访问数据。
我们有什么办法可以限制用户允许的“范围”?
由于我们位于欧盟,因此受到 GDPR 的约束,并且我们认为电子邮件包含个人数据,因此,在没有数据处理器协议、风险评估等的情况下,我们不能合法地允许第三方访问用户的电子邮件。第三方将处理数据。
我们可以按用户获得授予的权限,并自行进行报告和跟进。但更好的说法是,用户不能向第三方应用授予任何类型的电子邮件、日历和联系人(根据定义,这些是个人数据)权限。
我们可以通过关闭集成应用来禁止所有第三方应用。但我们仍允许用户授予简单同意,例如:“openid 个人资料电子邮件”、“User.Read openid 电子邮件个人资料离线访问”或“User.Read”
答案1
我认为您的特定要求无法实现。最接近的方法是使用 Cloud App Security(仍允许最终用户灵活使用):https://docs.microsoft.com/en-us/cloud-app-security/manage-app-permissions。你可以禁止或允许应用程序并自动通知用户,但需要不时审查新的应用程序。
如果您还没有正确的许可证,您可以购买单独的 Cloud App Security 许可证,它也嵌入在 EM+S E5 或 Microsoft 365 E5(甚至 Microsoft 365 E3 + E5 Secure)中。
答案2
我知道我们往往希望走在前沿,或者供应商在实现实用功能方面进展缓慢。
我目前正在运行一份报告,提取人们已经同意的信息,因此我有一些数据可以证明完全禁用用户内容是合理的(如果可能的话)。但对于我在 AAD 中的 75k 个身份(并非全部都有许可证),这需要一些时间。
我的脚本目前还没有发现任何第三方访问,但上周有一位用户询问他是否可以使用智能收件箱和 GTD 工具。所以至少我们有一些意识,并且用户行为良好。但我担心,在某个时候,人们会开始使用可疑的东西。