创建和管理应用权限策略

  • 6 分钟

作为管理员,你可以使用应用权限策略来控制适用于组织中的 Microsoft Teams 用户的应用。 你可以允许或阻止 Microsoft、第三方和你的组织发布的所有应用或特定应用。 阻止某个应用后,具有该策略的用户将无法从 Teams 应用商店安装它。 必须是全局管理员或 Teams 服务管理员才能管理这些策略。

你可以在 Microsoft Teams 管理中心内管理应用权限策略。 可以使用全局 (组织范围的默认值) 策略,或创建自定义策略并将其分配给单个用户或组内用户。

应用权限策略的屏幕截图。

默认情况下,全局策略 中允许所有应用。 这包括 Microsoft、第三方和你的组织所发布的应用。 除非你创建并分配自定义策略,否则你组织中的用户将自动获取全局策略。 管理应用 页面上的 组织范围应用设置 将替代全局策略以及你所创建并分配给用户的任何自定义策略。

例如,你希望阻止所有第三方应用,并允许组织中的人力资源团队使用 Microsoft 的特定应用用。 首先,转到 管理应用 页面,并确保在组织级别允许可供人力资源团队使用的应用。 然后,创建一个名为 人力资源应用权限策略 的自定义策略,将其设置为阻止和允许所需的应用,并将其分配给人力资源团队中的用户。

创建应用权限策略

如果要控制可供组织中的不同用户组使用的应用,请创建并分配一个或多个自定义应用权限策略。 根据应用是由 Microsoft、第三方还是由你的组织发布,你可以创建并分配单独的自定义策略。 有一点很重要,即创建自定义策略后,如果在组织范围的应用设置中禁用了第三方应用,则无法更改该策略。

  1. Microsoft Teams 管理中心 的左侧导航窗格中,转到 Teams 应用 > 权限策略

  2. 选择“添加”。

  3. 输入策略的 名称 和 说明。

  4. 在“Microsoft 应用”、“第三方应用”和“自定义应用”下,选择以下图形中所列的选项之一:

    管理应用权限的选项的屏幕截图。

  5. 如果选择 允许特定应用并阻止其他所有应用,请添加要允许的应用:

    • 选择 允许应用
    • 搜索要允许的应用,然后选择 添加。 搜索结果按应用发布者 (Microsoft 应用、第三方应用或租户应用) 进行筛选。
    • 选择应用列表后,选择 允许

  6. 同样,如果选择 阻止特定应用并允许所有其他应用,则搜索并添加要阻止的应用。

  7. 选择“保存”。

编辑应用权限策略

你可以使用 Microsoft Teams 管理中心来编辑策略,包括你创建的全局策略和自定义策略。

  1. Microsoft Teams 管理中心 的左侧导航窗格中,转到 Teams 应用 > 权限策略

  2. 选择策略名称左侧的策略,然后选择 编辑

  3. 根据需要进行更改。 你可以根据应用发布者来管理设置,也可以基于允许/阻止设置来添加和删除应用。

  4. 选择“保存”。

为用户分配自定义应用权限策略

可以使用 Microsoft Teams 管理中心向一个或多个用户分配自定义策略。 或者,可以使用 Skype for Business PowerShell 模块将自定义策略分配给用户组,例如安全组或通讯组中的所有用户。

为用户分配自定义应用权限策略

若要将用户分配到应用权限策略,可以将用户分配到策略,也可以将策略分配给用户。

应执行以下步骤将用户分配到策略:

  1. Microsoft Teams 管理中心 的左侧导航窗格中,转到 Teams 应用 > 权限策略
  2. 选择策略名称左侧的自定义策略。
  3. 选择“分配用户”。
  4. 在“管理用户”窗格中,按显示名称或用户名搜索用户,选择用户名,然后选择“添加”。 对想要添加的每一个用户重复此步骤。
  5. 完成添加用户后,选择 应用

或者,还可以执行以下步骤将策略分配给用户:

  1. Microsoft Teams 管理中心 的左侧导航窗格中,转到 用户

  2. 选择用户名左侧的用户,然后选择 编辑设置

  3. 应用权限策略 下,选择要分配的应用权限策略,然后选择 应用

    向用户分配应用权限策略的屏幕截图。

使用 PowerShell 分配自定义应用权限策略

可能希望使用 PowerShell 为多个用户分配自定义应用权限策略以实现自动化。 例如,可能希望将策略分配给安全组中的所有用户。 可以通过连接到 Azure Active Directory PowerShell 模块和 Skype for Business PowerShell 模块并使用 Grant-CsTeamsAppPermissionPolicy cmdlet 来实现。

例如,如果要将名为“人力资源应用权限策略”的自定义应用权限策略分配给 Contoso 人力资源项目组中的所有用户,则请运行以下命令:

$group = Get-AzureADGroup -SearchString "Contoso HR Project"

$members = Get-AzureADGroupMember -ObjectId $group.ObjectId -All $true | Where-Object {$_.ObjectType -eq "User"}

$members | ForEach-Object { Grant-CsTeamsAppPermissionPolicy -PolicyName "HR App Permission Policy" -Identity $_.EmailAddress}

根据组内成员的数量,此命令可能需要几分钟来执行。