[MC704030][Microsoft Entra] App-Only User.ReadBasic.All Permission is now available
아래의 내용은 ChatGPT가 정리하여 작성한 내용입니다.
Message ID MC704030은 Microsoft 애플리케이션 환경에서 User.ReadBasic.All 권한에 관한 업데이트에 대해 설명합니다. 주요 내용은 다음과 같습니다:
- 기능 업데이트:
- 현재 상태: 현재는 앱이 기본 사용자 속성(ID, 표시 이름, 이름, 이메일 주소, 사진)을 검색할 수 있는 User.ReadBasic.All 권한만 제공됩니다.
- 새로운 릴리스: 업데이트는 고객의 피드백에 응답하여 앱이 기본 사용자 속성에만 접근할 수 있도록 하는 앱 전용 User.ReadBasic.All 권한을 도입합니다.
- 버그 수정:
- 이 릴리스와 함께, User.ReadBasic.All로 접근해서는 안 되는 속성에 대한 필터링을 허용하는 버그가 수정되었습니다.
- 결과적으로, User.ReadBasic.All 권한을 가진 앱은 더 이상 무단 속성에 대해 필터링할 수 없습니다.
- 해당 접근 범위를 넘어서 필터링하는 앱은 이제 403 오류 메시지("작업을 완료하기에 충분한 권한이 없습니다")를 받게 됩니다.
- 조직에 미치는 영향:
- User.ReadBasic.All의 범위를 넘어서 사용자 속성에 필터링하지 않는 애플리케이션의 경우, 별도의 조치가 필요 없습니다.
- 필터 작업이 성공적으로 수행되어야 하는 애플리케이션의 경우, User.Read.All 권한을 부여해야 합니다.
- 출시 일정:
- 표준 출시: 2024년 1월 중순에 시작하여 1월 말까지 완료될 예정입니다.
- 조직의 준비사항:
- 조직은 해당 문서를 업데이트해야 할 수 있습니다.
- 기본 사용자 속성에만 접근이 필요한 앱의 경우 User.Read.All 대신 User.ReadBasic.All 권한을 부여하는 것을 고려해야 합니다.
요약하자면, 이 업데이트는 앱 전용 User.ReadBasic.All 권한을 도입하고 무단 속성 접근과 관련된 버그를 수정합니다. 이는 Microsoft 환경 내 애플리케이션이 사용자 속성을 접근하고 필터링하는 방식에 영향을 미치며, 더 통제된 및 보안된 데이터 접근을 보장합니다. 이러한 애플리케이션을 사용하는 조직은 이 변경에 대응하여 권한 설정을 평가하고 업데이트할 필요가 있습니다.
원문 메시지
Message ID: MC704030
Published date: 2024-01-05
Category: 정보 계속 수신
Tags: 관리자 영향, 사용자 영향, 새 기능
User.ReadBasic.All allows the app to retrieve basic user properties like ID, display name, first and last name, email address, and photo. Today only delegated User.ReadBasic.All is available. We heard customer feedback to enable app-only User.ReadBasic.All permission as well, to limit their app access to only basic user properties.With the release of app-only User.ReadBasic.All, we also fixed a bug, which enabled the app to filter on properties it shouldn't access with User.ReadBasic.All. The issue is now resolved, ensuring that apps with delegated permission can no longer filter on unauthorized properties. If your app uses delegated User.ReadBasic.All to filter properties beyond its access, it will now encounter a 403 error message, indicating "insufficient privileges to complete the operation." You can grant the app User.Read.All permission, to ensure the filter operation succeeds. With app-only User.ReadBasic.All, you can evaluate the permission needs of apps in your tenant; for those requiring access to basic user properties only, consider granting User.ReadBasic.All permission instead of User.Read.All.
[When this will happen:]
Standard Release: We will begin rolling out by mid-January 2024 and expect to complete by late January 2024.
[How this will affect your organization:]
No action is required if applications are not filtering on user properties that it does not have access to with User.ReadBasic.All. However, if a customer’s application needs the filter operation to succeed, they must grant the application User.Read.All permission.
[What you need to do to prepare:]
You may consider updating documentation as appropriate.