Steuern des Zugriffs auf Features in Viva
Sie können Zugriffsrichtlinien in Viva verwenden, um zu verwalten, welche Benutzer auf bestimmte Features in Viva-Apps zugreifen können. Mit der Featurezugriffsverwaltung können Sie bestimmte Features in Viva für bestimmte Gruppen oder Benutzer in Ihrem Mandanten aktivieren oder deaktivieren und Ihre Bereitstellungen so an Ihre lokalen gesetzlichen und geschäftlichen Anforderungen anpassen.
Wichtig
Sie können mehrere Zugriffsrichtlinien für ein Feature in Ihrem organization haben. Dies bedeutet, dass ein Benutzer oder eine Gruppe von mehreren Richtlinien betroffen sein kann. In diesem Fall hat die restriktivste Richtlinie, die einem Benutzer oder einer Gruppe direkt zugewiesen wird, Vorrang. Weitere Informationen finden Sie unter Funktionsweise von Zugriffsrichtlinien in Viva.
Ein autorisierter Administrator in Ihrem Mandanten kann Zugriffsrichtlinien über PowerShell erstellen, zuweisen und verwalten. Wenn sich ein Benutzer bei Viva anmeldet, werden die Richtlinieneinstellungen angewendet, und es werden nur die Features angezeigt, die nicht deaktiviert wurden.
Hinweis
Sie können nur eine Teilmenge der Features in Viva-Apps mithilfe der Featurezugriffsverwaltung deaktivieren. Das Einschränken der Verwendung eines Features kann sich auf die Funktionalität anderer Features in der App auswirken. Lesen Sie unbedingt die App-Dokumentation zu dem jeweiligen Feature, um die Auswirkungen der Deaktivierung oder Aktivierung des Zugriffs auf ein Feature zu verstehen.
Verfügbare Features für die Featurezugriffsverwaltung
Sie können die Featurezugriffsverwaltung verwenden, um den Zugriff auf die folgenden Features zu verwalten:
Hinweis
- Einige Features unterstützen möglicherweise keine Benutzer-/Gruppenrichtlinien. Darüber hinaus können Richtlinien für eine App Auswirkungen auf den gesamten Mandanten oder die Benutzer in Ihrem Mandanten haben. Weitere Informationen finden Sie in der Featuredokumentation, indem Sie den Link in der Tabelle verwenden.
- Nur einige Features verfügen über die Steuerelemente, die Administratoren zur Verfügung stehen, um Benutzern die Option zum Abmelden zu bieten.
App | Feature | Kontrolle über die Abmeldung des Benutzers? | Wer kann den Zugriff verwalten? | ModuleID |
---|---|---|---|---|
Einbinden | Copilot in Engage | Nein | Engage Administrator | VivaEngage |
KI-Zusammenfassung | Ja | Engage Administrator | VivaEngage | |
Ziele | Copilot in Viva Goals | Nein | Goals Administrator | VivaGoals |
Einblicke | Copilot-Dashboard | Nein | Globaler Administrator | VivaInsights |
Automatische Aktivierung des Copilot-Dashboards | Nein | Globaler Administrator | VivaInsights | |
Copilot-Dashboarddelegierung | Nein | Globaler Administrator | VivaInsights | |
Copilot-gestützter Wert | Nein | Globaler Administrator | VivaInsights | |
Digest Welcome Email | Nein | Globaler Administrator | VivaInsights | |
Kosten und Qualität der Besprechung | Nein | Insights-Administrator | VivaInsights | |
Reflection | Nein | Insights-Administrator | VivaInsights | |
Puls | Anpassung | Nein | Viva Pulse-Administrator | VivaPulse |
Teamunterhaltungen in Pulse-Berichten | Nein | Viva Pulse-Administrator | VivaPulse | |
Skills | Skillvorschläge* | Ja | Wissensadministrator | VivaSkills |
* Das Feature oder feature-Steuerelement ist möglicherweise noch nicht für alle Mandanten verfügbar. Der Support wird in Kürze hinzugefügt.
Hinweis
- Sie können nur den Zugriff auf Features steuern, die Zugriffsrichtlinien unterstützen und in Ihrem Mandanten verfügbar sind. Wenn Sie beispielsweise über einen EDU-basierten Mandanten verfügen, können Sie keine Richtlinien verwenden, um Zugriff auf Features zu erhalten, die für EDU-Mandanten nicht verfügbar sind. Gleiches gilt für Features, die in bestimmten Geografischen Regionen nicht verfügbar sind. Weitere Informationen zur Verfügbarkeit finden Sie in der Dokumentation für das spezifische Feature, das Sie verwenden möchten.
- Änderungen am Copilot-Feature in Viva Engage können bis zu 48 Stunden dauern, bis sie wirksam werden. Änderungen für andere Features werden in der Regel innerhalb von 24 Stunden wirksam.
Anforderungen
Bevor Sie eine Zugriffsrichtlinie in Viva erstellen können, benötigen Sie Folgendes:
- Eine unterstützte Version von Microsoft 365 oder eine Viva Suite-Lizenz
- Zugriff auf Exchange Online PowerShell Version 3.2.0 oder höher. Wenn Sie Nicht-E-Mail-fähige Gruppen verwenden müssen, benötigen Sie Zugriff auf Exchange PowerShell Version 3.5.1 oder höher.
- Benutzerkonten, die in erstellt oder mit Microsoft Entra ID synchronisiert wurden.
- Microsoft 365-Gruppen, Microsoft Entra Sicherheitsgruppen, die in Microsoft Entra ID erstellt oder mit diesen synchronisiert wurden, oder Verteilergruppen. Der Mitgliedschaftstyp kann entweder dynamisch oder zugewiesen sein.
- Die rolle, die für die jeweilige App und das feature erforderlich ist.
Wichtig
Viva Featurezugriffsverwaltung ist für Kunden mit Microsoft 365 GCC-, GCC High- oder DOD-Plänen nicht verfügbar.
Erstellen und Verwalten von Zugriffsrichtlinien für Viva Features
Abrufen der Feature-ID für das Feature
Bevor Sie eine Zugriffsrichtlinie erstellen können, müssen Sie die Feature-ID für das bestimmte Feature abrufen, auf das Sie den Zugriff steuern möchten.
Verwenden Sie das PowerShell-Cmdlet Get-VivaModuleFeature, um eine Liste aller Features abzurufen, die in einer bestimmten Viva-App verfügbar sind, und der zugehörigen IDs.
Installieren Sie Exchange Online PowerShell Version 3.2.0 oder höher:
Install-Module -Name ExchangeOnlineManagement
Stellen Sie mit Administratoranmeldeinformationen eine Verbindung mit Exchange Online her:
Connect-ExchangeOnline
Schließen Sie die Authentifizierung entweder als globaler Administrator oder als die Rolle ab, die für das spezifische Feature erforderlich ist, für das Sie die Richtlinie erstellen.
Führen Sie das Cmdlet Get-VivaModuleFeature aus, um die Features anzuzeigen, die Sie mithilfe einer Zugriffsrichtlinie verwalten können.
Führen Sie beispielsweise das folgende Cmdlet aus, um zu sehen, welche Features in Viva Insights unterstützt werden:
Get-VivaModuleFeature -ModuleId VivaInsights
Suchen Sie das Feature, für das Sie eine Zugriffsrichtlinie erstellen möchten, und notieren Sie sich dessen featureID.
Erstellen einer Zugriffsrichtlinie
Nachdem Sie nun über die featureID verfügen, verwenden Sie das PowerShell-Cmdlet Add-VivaModuleFeaturePolicy , um eine Zugriffsrichtlinie für das Feature zu erstellen.
Sie können Benutzern und Gruppen maximal 10 Richtlinien pro Feature zuweisen. Jede Richtlinie kann maximal 20 Benutzern oder Gruppen zugewiesen werden. Sie können dem gesamten Mandanten eine zusätzliche Richtlinie pro Feature zuweisen, indem Sie den Parameter -Everyone verwenden, der als globaler Standardzustand für dieses Feature in Ihrem organization fungiert.
Führen Sie das Cmdlet Add-VivaModuleFeaturePolicy aus, um eine neue Zugriffsrichtlinie zu erstellen.
Hinweis
Wenn Ihr Feature Benutzersteuerelemente für die Deaktivierung unterstützt, stellen Sie sicher, dass Sie beim Erstellen der Richtlinie den Parameter IsUserControlEnabled festlegen. Andernfalls verwenden Benutzersteuerelemente für die Richtlinie den Standardzustand für das Feature.
Führen Sie beispielsweise folgendes aus, um eine Zugriffsrichtlinie namens UsersAndGroups zu erstellen, um den Zugriff auf das Reflektionsfeature in Viva Insights einzuschränken.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
In diesem Beispiel wird eine Richtlinie für das Reflektionsfeature in Viva Insights hinzugefügt. Die Richtlinie deaktiviert das Feature für die angegebenen Benutzer und Gruppenmitglieder. Wenn Sie das Feature für alle Benutzer deaktivieren möchten, verwenden Sie stattdessen den Parameter -Everyone .
Verwalten von Zugriffsrichtlinien
Sie können eine Zugriffsrichtlinie aktualisieren, um zu ändern, ob ein Feature aktiviert oder deaktiviert ist, und um zu ändern, für wen die Richtlinie gilt (jeder, ein Benutzer oder eine Gruppe).
Führen Sie z. B. basierend auf unserem letzten Beispiel das folgende Cmdlet aus, um zu aktualisieren, für wen die Richtlinie gilt:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Wenn Ihre Richtlinie Benutzersteuerelemente unterstützt, schließen Sie genau wie beim Erstellen der Richtlinie den Parameter IsUserControlEnabled ein, wenn Sie die Richtlinie ändern.
Wichtig
Werte, die Sie für die Parameter -UserIds und -GroupIds oder den Parameter -Everyone angeben, überschreiben alle vorhandenen Benutzer oder Gruppen. Um die vorhandenen Benutzer und Gruppen beizubehalten, müssen Sie diese vorhandenen Benutzer oder Gruppen sowie alle zusätzlichen Benutzer oder Gruppen angeben, die Sie hinzufügen möchten. Wenn vorhandene Benutzer oder Gruppen nicht in den Befehl eingeschlossen werden, werden diese spezifischen Benutzer oder Gruppen effektiv aus der Richtlinie entfernt. Sie können eine Richtlinie für einen bestimmten Benutzer oder eine gruppe nicht aktualisieren, um den gesamten Mandanten einzuschließen, wenn für das Feature bereits eine Richtlinie für den gesamten Mandanten vorhanden ist. Es wird nur eine mandantenweite Richtlinie unterstützt.
Um zu überprüfen, welche Features für einen bestimmten Benutzer oder eine bestimmte Gruppe deaktiviert sind, führen Sie das Cmdlet Get-VivaModuleFeatureEnablement aus . Dieses Cmdlet gibt die so genannte Aktivierungs-status für den Benutzer oder die Gruppe zurück.
Zum Beispiel:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Löschen einer Zugriffsrichtlinie
Verwenden Sie das Cmdlet Remove-VivaModuleFeaturePolicy , um eine Zugriffsrichtlinie zu löschen.
Wenn Sie beispielsweise die Zugriffsrichtlinie reflektionsfeatures löschen möchten, rufen Sie zunächst die spezifische UID für die Zugriffsrichtlinie ab. Sie können diese abrufen, indem Sie Get-VivaModuleFeaturePolicy ausführen. Führen Sie dann das folgende Cmdlet aus:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Problembehandlung
Wenn Sie Probleme beim Erstellen oder Verwenden von Zugriffsrichtlinien für Viva App-Features haben, vergewissern Sie sich, dass das Feature, für das Sie eine Richtlinie festlegen möchten, in der Featuretabelle aufgeführt ist und für Ihren Mandanten verfügbar ist.
Wenn beim Ausführen eines PowerShell-Cmdlets die Fehlermeldung "Der Anfordernde war nicht autorisiert, die Anforderung abzuschließen" angezeigt wird, überprüfen Sie, ob Eine Richtlinie für bedingten Zugriff festgelegt ist, die bestimmte IP-Adressen blockiert. Wenn ja, entfernen Sie entweder Ihre IP-Adresse aus dieser Richtlinie, oder erstellen Sie eine neue Richtlinie, um Ihre IP-Adresse in die Positivliste zu setzen. Erfahren Sie mehr über Microsoft Entra bedingten Zugriff und Problembehandlung für bedingten Zugriff mit dem Was-wäre-wenn-Tool.
Funktionsweise von Zugriffsrichtlinien in Viva
- Wenn sich ein Benutzer anmeldet und auf Viva zugreift, wird sofort überprüft, ob eine Richtlinie für den Benutzer gilt.
- Wenn der Benutzer direkt einer Richtlinie zugewiesen wird oder Mitglied einer Microsoft Entra-Gruppe oder Microsoft 365-Gruppe mit einer zugewiesenen Richtlinie ist, wird die Richtlinieneinstellung angewendet.
- Wenn dem Benutzer nicht direkt eine Richtlinie zugewiesen wird oder er kein Mitglied einer Microsoft Entra Gruppe oder Microsoft 365-Gruppe ist, der eine Richtlinie zugewiesen ist, wird die globale Standardrichtlinie angewendet. Wenn keine globale Standardrichtlinie vorhanden ist, wird der Standardaktivierungsstatus für das Feature angewendet.
- Wenn dem Benutzer mehrere Richtlinien direkt oder als Gruppe zugewiesen sind, gilt die restriktivste Richtlinie. (Beachten Sie, dass nicht alle Features die Möglichkeit beinhalten, dass ein Benutzer sich abmelden kann.) Die Reihenfolge der Rangfolge lautet:
- Das Feature ist deaktiviert.
- Das Feature ist aktiviert.
- Das Feature ist aktiviert, und der Benutzer kann sich abmelden.
- Wenn Sich Benutzer in geschachtelten Gruppen befinden und Sie Zugriffsrichtlinien auf die übergeordnete Gruppe anwenden, erhalten die Benutzer in den geschachtelten Gruppen die Richtlinien. Die geschachtelten Gruppen und die Benutzer in diesen geschachtelten Gruppen müssen in Microsoft Entra ID erstellt oder synchronisiert werden.
- Änderungen an Zugriffsrichtlinien werden für den Benutzer innerhalb von 24 Stunden wirksam, sofern für ein bestimmtes Feature nicht anders angegeben. Änderungen für Copilot in Viva Engage können bis zu 48 Stunden dauern.
- Wenn Sie Benutzer zu einer Microsoft Entra ID oder Microsoft 365-Gruppe hinzufügen oder daraus entfernen, kann es 24 Stunden dauern, bis Änderungen an ihrem Featurezugriff wirksam werden.
- Wenn ein Administrator die Option für Benutzer zum Abmelden durch vollständige Aktivierung oder Deaktivierung des Features entfernt, wird die Opt-In/Out-Einstellung des Benutzers nicht beibehalten und auf den Standardzustand zurückgesetzt. Wenn ein Administrator die Option wieder aktiviert, die es einem Benutzer ermöglicht, sich von einem Feature zu abmelden, müssen benutzer das Feature erneut deaktivieren.
- Schnelle Änderungen am Aktivierungsstatus für ein Feature in weniger als 24 Stunden nach dem Vornehmen der Änderung führen möglicherweise nicht zum Zurücksetzen der Benutzer-Opt-In-/Out-Einstellungen.
- Einen Verlauf der Erstellung, Aktualisierungen und Löschungen von Richtlinien finden Sie in den Änderungsprotokollen Viva Featurezugriffsverwaltung (Feature Access Management, VFAM) für Ihre organization in Microsoft Purview.
Zusätzliche Informationen und bewährte Methoden
- Richtlinien werden auf Benutzerbasis ausgewertet.
- "Jeder" kann nur eine Richtlinie pro Feature zugewiesen werden. Diese Richtlinie dient als globaler Standardzustand für dieses Feature in Ihrem organization.
- Wenn neue Featuresteuerelemente in Viva zum Verwalten des Benutzer- und Gruppenzugriffs verfügbar gemacht werden, werden sie Viva Featurezugriffsverwaltung hinzugefügt.
- Wenn Benutzeridentitäten in Microsoft Entra ID gelöscht werden, werden Benutzerdaten aus Viva Featurezugriffsverwaltung gelöscht. Wenn Benutzeridentitäten während des Zeitraums des vorläufigen Löschens erneut aktiviert werden, muss der Administrator dem Benutzer Richtlinien neu zuweisen.
- Wenn Gruppen in Microsoft Entra ID und Microsoft 365 gelöscht werden, werden sie aus den gespeicherten Richtlinien gelöscht. Wenn Gruppen während des Zeitraums des vorläufigen Löschens erneut aktiviert werden, muss der Administrator den Gruppen Richtlinien neu zuweisen.