Créer et gérer des stratégies d’autorisation d’application
En tant qu’administrateur, vous pouvez utiliser des stratégies d’autorisation d’application pour contrôler les applications auxquelles les utilisateurs de Microsoft Teams peuvent accéder au sein de votre organisation. Vous pouvez autoriser ou bloquer toutes les applications ou des applications spécifiques publiées par Microsoft, par des tiers et par votre organisation. Lorsque vous bloquez une application, les utilisateurs qui disposent de la stratégie ne peuvent pas l’installer à partir de la boutique d’applications Teams. Vous devez être un administrateur général ou un administrateur du service Teams pour gérer ces stratégies.
Vous gérez les stratégies d’autorisation d'applications dans le Centre d'administration Microsoft Teams. Vous pouvez utiliser la politique globale (par défaut à l'échelle de l'organisation) ou créer et affecter des politiques personnalisées à des utilisateurs individuels ou à des utilisateurs d'un groupe.
Par défaut, toutes les applications sont autorisées dans la stratégie globale. Cela inclut les applications publiées par Microsoft, des tiers et votre organisation. Les utilisateurs de votre organisation recevront automatiquement la stratégie globale, sauf si vous créez et leur attribuez une stratégie personnalisée. Les paramètres de l'application à l'échelle de l'organisation sur la page Gérer les applications remplacent la politique globale et toutes les politiques personnalisées que vous créez et affectez aux utilisateurs.
Par exemple, vous souhaitez bloquer toutes les applications tierces et autoriser des applications spécifiques de Microsoft pour l’équipe RH de votre organisation. Tout d’abord, vous devez vous rendre sur la page Gérer les applications et vous assurer que les applications que vous voulez autoriser pour l’équipe RH sont autorisées au niveau de l’organisation. Ensuite, créez une politique personnalisée nommée HR App Permission Policy, configurez-la pour bloquer et autoriser les applications que vous voulez, et attribuez-la aux utilisateurs de l'équipe RH.
Créer une stratégie d’autorisation à l’application
Si vous voulez contrôler les applications disponibles pour différents groupes d’utilisateurs au niveau de votre organisation, créez et affectez une ou plusieurs stratégies d’autorisation d’application personnalisées. Vous pouvez créer et attribuer des stratégies personnalisées distinctes sur la base de la publication d’applications par Microsoft, des tiers ou votre organisation. Il est important de savoir qu’après avoir créé une stratégie personnalisée, vous ne pouvez pas la modifier si les applications tierces sont désactivées dans les paramètres de l’application à l’échelle de l’organisation.
Dans le volet de navigation de gauche du centre d'administration de Microsoft Teams, allez dans Teams apps > Stratégies d’autorisation.
Sélectionnez Ajouter.
Entrez un nom pour votre stratégie, ainsi qu’une description.
Sous Applications Microsoft, Applications tierces et Applications de client, sélectionnez l’une des options suivantes qui est listée dans le graphique suivant :
Si vous avez sélectionné Autoriser certaines applications et bloquer toutes les autres, ajoutez les applications que vous souhaitez autoriser :
- Sélectionnez Autoriser des applications.
- Recherchez les applications que vous souhaitez autoriser, puis sélectionnez Ajouter. Les résultats de la recherche sont filtrés en fonction de l'éditeur de l'application (applications Microsoft, applications tierces ou applications locataires).
- Une fois que vous avez choisi la liste des applications, sélectionnez Autoriser.
De même, si vous avez sélectionné Bloquer certaines applications et autoriser toutes les autres, recherchez et ajoutez les applications que vous souhaitez bloquer.
Sélectionnez Enregistrer.
Modifier une stratégie d’autorisation à l’application
Vous pouvez utiliser le Centre d’administration Microsoft Teams pour modifier une stratégie, y compris la stratégie globale et les stratégies personnalisées que vous créez.
Dans le volet de navigation de gauche du centre d'administration de Microsoft Teams, allez dans Teams apps > Stratégie d’autorisation.
Sélectionnez la politique en sélectionnant à gauche du nom de la politique, puis sélectionnez Editer.
Effectuez les modifications souhaitées. Vous pouvez gérer les paramètres en fonction de l’éditeur de l’application et ajouter et supprimer des applications en fonction du paramètre Autoriser/Bloquer.
Sélectionnez Enregistrer.
Affecter une stratégie d’autorisation d’application personnalisée aux utilisateurs
Vous pouvez utiliser le centre d Microsoft Teams pour affecter une stratégie personnalisée à un ou plusieurs utilisateurs. Vous pouvez également utiliser le module PowerShell de Skype pour les entreprises pour attribuer une politique personnalisée à des groupes d'utilisateurs, comme tous les utilisateurs d'un groupe de sécurité ou d'un groupe de distribution.
Attribuer une politique de permission d'application personnalisée à un utilisateur
Pour affecter des utilisateurs à des politiques de permission d'applications, vous pouvez soit affecter des utilisateurs à une politique, soit affecter des politiques à un utilisateur.
Vous devez effectuer les étapes suivantes pour affecter des utilisateurs à une stratégie :
- Dans le volet de navigation de gauche du centre d'administration de Microsoft Teams, allez dans Teams apps > Stratégies d’autorisation.
- Sélectionnez la politique personnalisée en sélectionnant à gauche du nom de la politique.
- Sélectionnez Affecter des utilisateurs.
- Dans le volet Gérer les utilisateurs, recherchez l’utilisateur par son nom complet ou son nom d’utilisateur, sélectionnez le nom, puis sélectionnez Ajouter. Répétez cette étape pour chaque utilisateur que vous souhaitez ajouter.
- Lorsque vous avez fini d'ajouter des utilisateurs, sélectionnez Appliquer.
Vous pouvez également effectuer les étapes suivantes pour affecter une stratégie à un utilisateur :
Dans le volet de navigation de gauche du centre d'administration de Microsoft Teams, allez dans Utilisateurs.
Sélectionnez l'utilisateur en sélectionnant à gauche de son nom d'utilisateur, puis sélectionnez Modifier les paramètres.
Sous Stratégie d’autorisation d’application, sélectionnez la stratégie d’autorisation d’application que vous souhaitez attribuer, puis sélectionnez Appliquer.
Attribuer une stratégie d’autorisation d’application personnalisée à l’aide de PowerShell
Vous pouvez attribuer une stratégie d’autorisation d’application personnalisée à plusieurs utilisateurs avec PowerShell pour l’automatisation. Par exemple, vous pouvez affecter une stratégie à tous les utilisateurs d’un groupe de sécurité. Vous pouvez le faire en vous connectant au module PowerShell Azure Active Directory et au module PowerShell Skype for Business et en utilisant la Grant-CsTeamsAppPermissionPolicy
cmdlet.
Par exemple, si vous souhaitez attribuer une politique d'autorisation d'application personnalisée appelée HR App Permission Policy à tous les utilisateurs du groupe Contoso HR Project, vous devez exécuter la commande suivante :
$group = Get-AzureADGroup -SearchString "Contoso HR Project"
$members = Get-AzureADGroupMember -ObjectId $group.ObjectId -All $true | Where-Object {$_.ObjectType -eq "User"}
$members | ForEach-Object { Grant-CsTeamsAppPermissionPolicy -PolicyName "HR App Permission Policy" -Identity $_.EmailAddress}
Selon le nombre de membres du groupe, l’exécution de cette commande peut prendre plusieurs minutes.