Управление доступом к функциям в Viva
Политики доступа можно использовать в Viva, чтобы управлять тем, какие пользователи могут получать доступ к определенным функциям в Viva приложениях. Управление доступом к функциям позволяет включать или отключать определенные функции в Viva для определенных групп или пользователей в клиенте и адаптировать развертывания в соответствии с местными нормативными и бизнес-требованиями.
Важно!
Вы можете использовать несколько политик доступа для функции, активной в вашей организации. Это означает, что на пользователя или группу могут повлиять несколько политик. В этом случае приоритет имеет наиболее строгая политика, назначенная непосредственно пользователю или группе. Дополнительные сведения см. в разделе Принцип работы политик доступа в Viva.
Авторизованный администратор в клиенте может создавать, назначать политики доступа и управлять ими с помощью PowerShell. Когда пользователь входит в Viva, применяются параметры политики, и он видит только функции, которые не были отключены.
Примечание.
Вы можете отключить подмножество функций в приложениях Viva с помощью управления доступом к функциям. Ограничение использования одной функции может повлиять на функциональность других функций в приложении. Обязательно проверка документацию по приложению по конкретной функции, чтобы понять последствия отключения или включения доступа к функции.
Функции, доступные для управления доступом к функциям
Управление доступом к функциям можно использовать для управления доступом к следующим функциям:
Примечание.
- Некоторые функции могут не поддерживать политики пользователей или групп. Кроме того, политики для одного приложения могут повлиять на весь клиент или пользователей в вашем клиенте. Дополнительные сведения см. в документации по функциям по ссылке в таблице.
- Только некоторые функции имеют элементы управления, доступные администраторам, чтобы предоставить пользователям возможность отказаться.
| Приложение | Функция | Контроль за отказом пользователя? | Кто может управлять доступом | ModuleID |
|---|---|---|---|---|
| Взаимодействие | Copilot в Engage | Нет | администратор Engage | VivaEngage |
| Сводные данные по искусственному интеллекту | Да | администратор Engage | VivaEngage | |
| Цели | Copilot в Viva Goals | Нет | администратор Goals | VivaGoals |
| Insights | Панель мониторинга Copilot | Нет | Глобальный администратор | VivaInsights |
| Автоматическое включение панели мониторинга Copilot | Нет | Глобальный администратор | VivaInsights | |
| Делегирование панели мониторинга Copilot | Нет | Глобальный администратор | VivaInsights | |
| Copilot Assisted Value | Нет | Глобальный администратор | VivaInsights | |
| Дайджест-приветствие Email | Нет | Глобальный администратор | VivaInsights | |
| Стоимость и качество собраний | Нет | Администратор приложения "Аналитика" | VivaInsights | |
| Reflection | Нет | Администратор приложения "Аналитика" | VivaInsights | |
| Пульс | Настройка | Нет | администратор Viva Pulse | VivaPulse |
| Беседы команды в отчетах Pulse | Нет | администратор Viva Pulse | VivaPulse | |
| Навыки | Предложения навыков* | Да | Администратор базы знаний | VivaSkills |
* Функция или элемент управления функциями могут быть доступны еще не для всех клиентов. Поддержка будет добавлена в ближайшее время.
Примечание.
- Вы можете управлять доступом только к функциям, поддерживающим политики доступа и доступным в клиенте. Например, если у вас есть клиент на основе EDU, политики нельзя использовать для получения доступа к функциям, недоступным для клиентов EDU. То же самое относится к функциям, недоступным в определенных географических регионах. Дополнительные сведения о ее доступности см. в документации по конкретной функции, которую вы хотите использовать.
- Внесение изменений в функцию Copilot в Viva Engage может занять до 48 часов. Изменения для других функций обычно вступают в силу в течение 24 часов.
Требования
Перед созданием политики доступа в Viva необходимо:
- Поддерживаемая версия Microsoft 365 или лицензия Viva Suite
- Доступ к Exchange Online PowerShell версии 3.2.0 или более поздней. Если вам нужно использовать группы, не поддерживающие почту, у вас должен быть доступ к Exchange PowerShell версии 3.5.1 или более поздней.
- Учетные записи пользователей, созданные в или синхронизированные с Microsoft Entra ID.
- Группы Microsoft 365, Microsoft Entra группы безопасности, созданные или синхронизированные с Microsoft Entra ID или группами рассылки. Тип членства может быть динамическим или назначенным.
- Роль, необходимая для конкретного приложения и функции.
Важно!
Viva управление доступом к функциям недоступно для клиентов, у которых есть планы Microsoft 365 GCC, GCC High или DOD.
Создание политик доступа для функций Viva и управление ими
Получение идентификатора компонента
Прежде чем создавать политику доступа, необходимо получить идентификатор featureID для конкретной функции, к которой вы хотите управлять доступом.
Используйте командлет PowerShell Get-VivaModuleFeature, чтобы получить список всех функций, доступных в конкретном приложении Viva, и связанных с ними идентификаторов.
Установите Exchange Online PowerShell версии 3.2.0 или более поздней:
Install-Module -Name ExchangeOnlineManagementПодключитесь к Exchange Online с учетными данными администратора:
Connect-ExchangeOnlineВыполните проверку подлинности в качестве глобального администратора или роли, необходимой для конкретной функции, для которую вы создаете политику.
Выполните командлет Get-VivaModuleFeature , чтобы просмотреть функции, которыми можно управлять с помощью политики доступа.
Например, чтобы узнать, какие функции поддерживаются в Viva Insights, выполните следующий командлет:
Get-VivaModuleFeature -ModuleId VivaInsightsНайдите функцию, для которую вы хотите создать политику доступа, и запишите ее featureID.
Создать политику доступа
Теперь, когда у вас есть featureID, используйте командлет PowerShell Add-VivaModuleFeaturePolicy , чтобы создать политику доступа для этой функции.
Пользователям и группам можно назначить не более 10 политик на каждую функцию. Каждая политика может быть назначена не более 20 пользователям или группам. Вы можете назначить одну дополнительную политику для каждого компонента всему клиенту с помощью параметра -Все , который будет функционировать как глобальное состояние по умолчанию для этой функции в вашей организации.
Выполните командлет Add-VivaModuleFeaturePolicy , чтобы создать новую политику доступа.
Примечание.
Если функция поддерживает пользовательские элементы управления для отказа, убедитесь, что при создании политики задан параметр IsUserControlEnabled . В противном случае пользовательские элементы управления для политики используют состояние по умолчанию для компонента.
Например, выполните следующую команду, чтобы создать политику доступа с именем UsersAndGroups, чтобы ограничить доступ к функции отражения в Viva Insights.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
В этом примере добавляется политика для функции отражения в Viva Insights. Политика отключает функцию для указанных пользователей и членов группы. Если вы хотите отключить эту функцию для всех пользователей, используйте вместо этого параметр -All .
Управление политиками доступа
Вы можете обновить политику доступа, чтобы изменить, включена или отключена функция, а также изменить, к кому применяется политика (все, пользователь или группа).
Например, на основе нашего последнего примера, чтобы обновить, к кому применяется политика, выполните следующий командлет:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Как и при создании политики, если политика поддерживает пользовательские элементы управления, включите параметр IsUserControlEnabled при изменении политики.
Важно!
Значения, указанные для параметров -UserIds и -GroupIds или параметра -All , перезаписывают все существующие пользователи или группы. Чтобы сохранить существующих пользователей и группы, необходимо указать этих существующих пользователей или группы , а также всех дополнительных пользователей или групп, которые вы хотите добавить. Если не включить в команду существующих пользователей или групп, эти пользователи или группы будут удалены из политики. Вы не можете обновить политику для конкретного пользователя или группы, чтобы включить весь клиент, если для функции уже существует политика для всего клиента . Поддерживается только одна политика на уровне клиента.
Чтобы проверка, какие функции отключены для конкретного пользователя или группы, выполните командлет Get-VivaModuleFeatureEnablement. Этот командлет возвращает то, что называется состоянием включения для пользователя или группы.
Например:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Удаление политики доступа
Используйте командлет Remove-VivaModuleFeaturePolicy , чтобы удалить политику доступа.
Например, чтобы удалить политику доступа к функции отражения, начните с получения определенного идентификатора пользовательского интерфейса для политики доступа. Это можно получить, выполнив командлет Get-VivaModuleFeaturePolicy. Затем запустите следующий командлет:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Устранение неполадок
Если у вас возникли проблемы с созданием или использованием политик доступа для функций Viva приложений, убедитесь, что функция, для которых вы пытаетесь задать политику, указана в таблице компонентов и доступна вашему клиенту.
Если во время выполнения командлета PowerShell отображается сообщение об ошибке "Инициатор запроса не был авторизован на выполнение запроса", проверка, если у вас есть какая-либо политика условного доступа, блокирующая определенные IP-адреса. Если это так, удалите IP-адрес из этой политики или создайте новую политику, чтобы разрешить список IP-адресов. Дополнительные сведения о Microsoft Entra условного доступа и устранении неполадок с условным доступом с помощью средства "Что если".
Принципы работы политик доступа в Viva
- Когда пользователь входит в систему и обращается к Viva, немедленно выполняется проверка, чтобы узнать, применяется ли к пользователю политика.
- Если пользователь назначается политике напрямую или является членом Microsoft Entra группы или группы Microsoft 365 с назначенной политикой, параметр политики применяется.
- Если пользователю не назначена политика напрямую или он не входит в группу Microsoft Entra или группу Microsoft 365, которым назначена политика, применяется глобальная политика по умолчанию. Если глобальной политики по умолчанию нет, для функции применяется состояние включения по умолчанию.
- Если пользователю назначено несколько политик напрямую или в виде группы, применяется самая строгая политика. (Обратите внимание, что не все функции включают возможность отказа пользователя.) Вот порядок приоритета:
- Функция отключена.
- Функция включена.
- Функция включена, и пользователь может отказаться от нее.
- Если пользователи находятся во вложенных группах и вы применяете политики доступа к родительской группе, пользователи во вложенных группах получают политики. Вложенные группы и пользователи в этих вложенных группах должны быть созданы или синхронизированы с Microsoft Entra ID.
- Изменения в политиках доступа вступают в силу для пользователя в течение 24 часов, если для конкретной функции не указано иное. Изменения для Copilot в Viva Engage могут занять до 48 часов.
- При добавлении пользователей в группу Microsoft Entra ID или Microsoft 365 или их удалении может потребоваться 24 часа, прежде чем изменения в их доступе к функциям вступили в силу.
- Когда администратор удаляет для пользователей возможность отказаться, полностью включив или отключив эту функцию, предпочтения пользователя не сохраняются и будут сброшены в состояние по умолчанию. Если администратор повторно включает параметр, разрешающий пользователю отказаться от функции, пользователям потребуется снова отказаться от этой функции.
- Быстрое изменение состояния включения функции менее чем через 24 часа после внесения изменений может не привести к сбросу настроек согласия пользователя.
- Журнал создания, обновления и удаления политик см. в журнале изменений Viva управления доступом к функциям (VFAM) для вашей организации в Microsoft Purview.
Дополнительные сведения и рекомендации
- Политики оцениваются для каждого пользователя.
- "Всем" может быть назначена только одна политика для каждой функции. Эта политика служит глобальным состоянием по умолчанию для этой функции в вашей организации.
- По мере того как новые элементы управления функциями становятся доступными в Viva для управления доступом пользователей и групп, они добавляются в Viva управления доступом к функциям.
- При удалении удостоверений пользователей в Microsoft Entra ID данные пользователей удаляются из Viva управления доступом к функциям. Если удостоверения пользователей повторно включены в течение периода обратимого удаления, администратору необходимо переназначить политики пользователю.
- При удалении групп в Microsoft Entra ID и Microsoft 365 они удаляются из хранимых политик. Если группы повторно включены в течение периода обратимого удаления, администратору необходимо переназначить политики группам.