Über Microsoft Graph werden verschiedene APIs im geschützten Modus bereitgestellt. Der Zugriff auf solche APIs wird von Microsoft manuell beurteilt und freigegeben.
Geschützter Modus bedeutet ein Administrator kann nicht wie gewohnt mit einer Azure App und den in der API beschriebenen Berechtigungen Daten über Microsoft Graph bearbeiten. In solchen APIs ist ein Vermerk wie dieser lesbar.
Before calling this API with application permissions, you must request access.
Es verweist auf den Eintrag Protected APIs in Microsoft Teams. Hier beschreibt Microsoft welche APIs betroffen und welche Schritte zu unternehmen sind sollte jemand Zugriff wünschen. Protected APIs betrifft nur den Zugriff via Application Permissions. In vielen Fällen kann eine API mit Delegated Permissions Daten liefern, beispielsweise die Channel Messages Import API. In manchen Fällen aber nicht, beispielsweise die 1:1 Chat Export API. Für einen Test zum Export von 1:1 Chats wollte ich die API einsetzen und beantragte den Zugriff. Ein guter Zeitpunkt den Vorgang zu notieren.
Es ist eine manuelle Beurteilung die jeweils nur an einem Mittwoch stattfindet und, sofern es freigeben wird, jeweils am folgenden Freitag umgesetzt wird. Fällt der Antrag auf US-Feiertage wird die Woche übersprungen. Ausserdem muss eine Zeitverschiebung berücksichtigt werden.
We review access requests every Wednesday and deploy approvals every Friday, except during major holiday weeks in the U.S. Submissions during those weeks will be processed the following non-holiday week.
Anzumerken ist, es betrifft nicht nur eine definierte API. Wird der Antrag bewilligt gibt Microsoft alle geschützten APIs frei. Ich legte mir darum eine Azure App für solche geschützten APIs an.
Für den Antrag muss der Antragssteller ein Formular ausfüllen und div. Fragen beantworten:
- Für die Freigabe der API müssen eine oder mehrere, namentliche Personen benannt werden.
- Wer ist als Publisher in der App hinterlegt?
- Die Freigabe der API ist auf eine bestehende Azure App Registration beschränkt. Die App muss bestehen und der App Name + die App ID im Antrag vermerkt werden.
- Die App und der Einsatzzweck muss dem Review Team in kurzen Sätzen beschrieben werden. Die Beschreibung muss so ausfallen, dass eine Person die weder das Unternehmen noch den betroffenen Tenant kennt urteilen kann ob der Zugriff in Ordnung ist.
- Dem Reviewer muss beschrieben werden warum unbedingt Application Berechtigungen erforderlich sind?
- Es muss definiert werden welche Art von Daten jemand speichert. Nur Metadaten, vollständige Inhalte, oder ob keine Speicherung stattfindet.
- Die ID des Tenants muss vermerkt werden.
- Ist der Tenant im Besitz des Unternehmens für das der Antragssteller arbeitet, oder ist der Antragssteller eine dritte Person? Im Formular ist bereits vermerkt den Antrag muss ein direkter Mitarbeiter des Unternehmens stellen.
- Nur für Multi-Tenant Apps – Für welche Homepage wurde die App registriert? Ohne wird der Antrag abgelehnt.
- Nur für Multi-Tenant Apps – Verlinkte Nutzungsbedingungen der App. Ohne wird der Antrag abgelehnt.
- Nur für Multi-Tenant Apps – Verlinkte Angaben zur Datenschutzvereinbarung. Ohne wird der Antrag abgelehnt.
- Optionale Anmerkungen zur App die mit keiner der Fragen abgedeckt wurden.
Wurden alle Fragen beantwortet wird der Antrag abgesendet und auf den nächsten Mittwoch/Freitag gewartet.
Ist der Zugriff auf die APIs für jemanden dringend sollte der Abruf ab Samstag probiert werden. Da es ein manueller Prozess ist kann die Information via Mail über eine Bewilligung / Ablehnung ein paar Tage verzögert sein.
Wurde der Antrag bisher nicht bearbeitet (oder abgelehnt) wird die API ein Forbidden zurückgeben.
