作为管理员,你可以使用应用权限策略来控制组织中的 Microsoft Teams 用户可以使用哪些应用。您可以允许或阻止 Microsoft、第三方和您的组织发布的所有应用或特定应用。当您阻止某个应用时,拥有该策略的用户无法从 Teams 应用商店安装它。你必须是全局管理员或 Teams 服务管理员才能管理这些策略。
你在 Microsoft Teams 管理中心管理应用权限策略。您可以使用全局(组织范围默认)策略或创建自定义策略并将其分配给单个用户或组中的用户。
默认情况下,全局策略中允许所有应用程序。这包括 Microsoft、第三方和您的组织发布的应用程序。除非您创建并分配自定义策略,否则您组织中的用户将自动获得全局策略。“管理应用”页面上的组织范围应用设置会覆盖全局策略以及您创建并分配给用户的任何自定义策略。
例如,您希望阻止所有第三方应用程序并允许来自 Microsoft 的特定应用程序用于您组织中的 HR 团队。首先,您将转到“管理应用”页面,并确保您要允许 HR 团队使用的应用程序在组织级别被允许。然后,创建一个名为 HR App Permission Policy 的自定义策略,将其设置为阻止和允许您想要的应用程序,并将其分配给 HR 团队中的用户。
创建自定义应用权限策略
如果您想要控制组织中不同用户组可用的应用程序,请创建并分配一个或多个自定义应用程序权限策略。您可以根据应用程序是由 Microsoft、第三方还是您的组织发布来创建和分配单独的自定义策略。 重要的是要知道,在您创建自定义策略后,如果第三方应用程序在组织范围的设置中被禁用,您将无法更改它。
- 在 Microsoft Teams 管理中心的左侧导航窗格中,转到 Teams 应用 > 权限策略。
- 选择添加。
- 输入策略的名称和描述。
- 在 Microsoft 应用、第三方应用和租户应用下,选择下图中列出的以下选项之一:
- 如果您选择了允许特定应用程序并阻止所有其他应用程序,请添加您要允许的应用程序:
- 选择允许应用。
- 搜索您要允许的应用程序,然后选择添加。搜索结果将筛选到应用发布者(Microsoft 应用、第三方应用或租户应用)。
- 选择应用程序列表后,选择允许。
- 同样,如果您选择阻止特定应用程序并允许所有其他应用程序,请搜索并添加您要阻止的应用程序。
- 选择保存。
编辑应用权限策略
你可以使用 Microsoft Teams 管理中心来编辑策略,包括你创建的全局策略和自定义策略。
- 在 Microsoft Teams 管理中心的左侧导航窗格中,转到 Teams 应用 > 权限策略。
- 通过选择策略名称左侧的选择策略,然后选择编辑。
- 进行所需的更改。 您可以根据应用发布者管理设置,并根据允许/阻止设置添加和删除应用。
- 选择保存。
为用户分配自定义应用权限策略
你可以使用 Microsoft Teams 管理中心将自定义策略分配给一个或多个用户。 或者,您可以使用 Skype for Business PowerShell 模块将自定义策略分配给用户组,例如安全组或通讯组中的所有用户。
将自定义应用权限策略分配给用户
要将用户分配给应用程序权限策略,您可以将用户分配给策略,也可以将策略分配给用户。
您应该执行以下步骤将用户分配给策略:
- Microsoft Teams 管理中心的左侧导航窗格中,转到 Teams 应用 > 权限策略。
- 通过选择策略名称左侧的选择来选择自定义策略。
- 选择管理用户。
- 在“管理用户”窗格中,按显示名称或用户名搜索用户,选择名称,然后选择“添加”。 对要添加的每个用户重复此步骤。
- 添加完用户后,选择应用。
或者,您还可以执行以下步骤将策略分配给用户:
- 在 Microsoft Teams 管理中心的左侧导航窗格中,转到用户。
- 通过选择用户名左侧的选择用户,然后选择编辑设置。
- 在应用权限策略下,选择要分配的应用权限策略,然后选择应用。
使用 PowerShell 分配自定义应用权限策略
您可能希望使用 PowerShell 将自定义应用权限策略分配给多个用户以实现自动化。例如,您可能希望将策略分配给安全组中的所有用户。 您可以通过连接到 Azure Active Directory PowerShell 模块和 Skype for Business PowerShell 模块并使用 Grant-CsTeamsAppPermissionPolicy cmdlet 来执行此操作。
例如,如果要为 Contoso HR 项目组中的所有用户分配一个名为 HR 应用权限策略的自定义应用权限策略,则可以运行以下命令:
$group = Get-AzureADGroup -SearchString “Contoso HR Project”
$members = Get-AzureADGroupMember -ObjectId $group.ObjectId -All $true | Where-Object {$_.ObjectType -eq “User”}
$members | ForEach-Object { Grant-CsTeamsAppPermissionPolicy -PolicyName “HR App Permission Policy” -Identity $_.EmailAddress}
根据组中成员的数量,此命令可能需要几分钟才能执行。