透過修改 OneNote 類別筆記本 API 來提升安全性

套用到
Microsoft Teams Microsoft Teams 教育版

重要

你現在可以使用以下替代方法大規模配置筆記本與類別 :使用 PowerShell 與 Microsoft Graph 大規模配置類別。

根據 Microsoft 安全未來倡議 ,並因應日益增加的網路威脅,我們對 OneNote Class 筆記本的公開 API 進行了調整。  

有什麼更新嗎?

自 2025 年 3 月 31 日起,我們將停止在未連結於統一群組(Unified Groups (簡稱 Microsoft 365 群組) )的 OneNote Class Notebook 公開 API 中,支援具有應用程式權限的認證令牌。 

雖然這些僅用於應用程式的代幣使用簡單,但與更複雜的授權方式相比,它們可能更容易被利用。 

如何?知道這次更新是否會影響我的服務?

  1. 如果您使用第三方或自訂內部應用程式 (「應用程式 ) 」來對 OneNote 課堂筆記本執行操作,例如建立、配置、備用) ,您的服務將不受這些變更 (影響。 

  2. 如果你使用「應用程式」,服務不會受到這些變更的影響,但它只使用「委派」 (也就是 app+user) 權限執行操作。  

  3. 如果你使用「應用程式」,服務不會受到這些變更的影響,但它只會對連接到 Microsoft Teams 類別的統一群組筆記本執行操作。 

  4. 如果你使用一個「應用程式」對 Teams 連接的 Unified Group 筆記本執行操作的 OneNote 類別筆記本,服務可能會受到影響。 舉個例子:

    1. 如果你有自訂的內部應用程式,利用 商務用 OneDriveSharePoint 網站筆記本的服務根網址,服務將會受到影響,如處所述。 

    2. 如果你有一個自訂內部應用程式,對 Teams 連接的 Unified Group 筆記本執行操作,且使用與以下任一範圍 () 權限相關的令牌,您的服務將受到影響

      1. Notes.Read.All 以及 Notes.ReadWrite.All 如此處所記錄 的那樣。
      2. Notes.ReadWrite.CreatedByApp 如此處所記錄

我需要採取什麼行動?

在 2025 年 3 月 31 日之前,使用僅 App 令牌的第三方應用程式將需要轉換到更安全的授權方式。 此更新是為了提升您的資料安全性。 

以下是您可以採取的步驟,以引入更安全的授權形式:

  1. 如果您依賴系統整合商合作夥伴或其他第三方解決方案來執行租戶中非 Teams OneNote 類筆記本的操作,請將此支援公告分享給他們,以便他們能採取進一步行動。 
  2. 如果你有自己的自訂內部應用程式,對 OneNote 類別筆記本執行操作,這些筆記本不是連接 Teams 的 統一群組 筆記本,且使用僅限應用程式的令牌,你需要轉換成全域租戶管理員或 OneDrive 擁有者使用者帳號來授權你的應用程式。 
  3. 如果你是系統整合商合作夥伴,先前僅以應用程式運行的應用程式現在可以由全域租戶管理員使用者帳號執行。 為此,您可能需要租戶使用該應用程式設定一個全域租戶管理員(Global Tenant Administrator)使用者帳號。 

如果我不採取行動會發生什麼事?

商務用 OneDrive 和SharePoint 網站的筆記本端點上使用帶有應用程式權限的憑證請求,將於三月底回傳 401 未授權錯誤。 

感謝您配合,推動這些必要變更,以確保您的資料安全。 如有任何問題或疑慮,請寄至 apponly-cnb@microsoft.com。