Регистрация приложения - чтение и запись "всех" коллекций сайта слишком широки

При настройке регистрации приложения Azure для Microsoft Graph единственным вариантом является предоставление прав на чтение и запись для "ВСЕХ" семейств сайтов в виде делегированных или разрешений приложений. То же самое верно при использовании API Office 365 SharePoint Online.

Как независимый разработчик приложений, создающий мультитенантное приложение, он поднимает красный флаг для администратора клиента нашего клиента, предоставляющего такой вид доступа, когда нам действительно нужен доступ только к определенному семейству сайтов. Очевидно, что в модели надстройки SharePoint (Azure ACS) манифест приложения позволял предоставлять разрешение на уровне сайта, но в нашем случае мы хотим использовать API-интерфейс Graph и другие API-интерфейсы, поддерживаемые регистрацией приложений Azure.

Я, конечно, могу регистрировать детальные разрешения на семейство сайтов как запрос на UserVoice, но я подумал, что здесь стоит проверить, есть ли какая-то магия манифеста или строки запроса, которые можно сделать для достижения этой цели?