控制对 Viva 中功能的访问
可以使用 Viva 中的访问策略来管理哪些用户可以访问 Viva 应用中的特定功能。 功能访问管理允许在 Viva 中为租户中的特定组或用户启用或禁用特定功能,从而定制部署以满足本地法规和业务要求。
重要
对于组织中处于活动状态的功能,可以有多个访问策略。 这意味着用户或组可能会受到多个策略的影响。 在这种情况下,直接分配给用户或组的最严格的策略优先。 有关详细信息,请参阅 访问策略在 Viva 中的工作原理。
租户中的授权管理员可以从 PowerShell 创建、分配和管理访问策略。 当用户登录到 Viva 时,将应用策略设置,并且他们只能看到尚未禁用的功能。
注意
只能使用功能访问管理禁用 Viva 应用中的一部分功能。 限制使用一项功能可能会影响应用中其他功能的功能。 请务必查看有关特定功能的应用文档,以了解禁用或启用对功能的访问权限的含义。
可用于功能访问管理的功能
可以使用功能访问管理来管理对以下功能的访问权限:
注意
- 某些功能可能不支持用户/组策略。 此外,一个应用的策略可能会影响整个租户或租户中的用户。 有关详细信息,请参阅使用表中的链接的功能文档。
- 只有某些功能具有管理员可用的控件,以便为用户提供选择退出的选项。
| 应用 | 功能 | 控制用户选择退出? | 谁可以管理访问权限 | ModuleID |
|---|---|---|---|---|
| 参与 | Copilot in Engage | 否 | 与管理员联系 | VivaEngage |
| AI 摘要 | 是 | 与管理员联系 | VivaEngage | |
| Insights | Copilot 仪表板 | 否 | 全局管理员 | VivaInsights |
| Copilot 仪表板自动启用 | 否 | 全局管理员 | VivaInsights | |
| Copilot 仪表板委派 | 否 | 全局管理员 | VivaInsights | |
| Copilot Assisted Value | 否 | 全局管理员 | VivaInsights | |
| 摘要欢迎电子邮件 | 否 | 全局管理员 | VivaInsights | |
| 满足成本和质量 | 否 | 见解管理员 | VivaInsights | |
| Reflection | 否 | 见解管理员 | VivaInsights | |
| 脉冲 | 自定义选项 | 否 | Viva Pulse 管理员 | VivaPulse |
| Pulse 报表中的团队对话* | 否 | Viva Pulse 管理员 | VivaPulse | |
| 技能 | 技能建议* | 是 | 知识管理员 | VivaSkills |
* 该功能或功能控件可能尚不适用于所有租户。 不久将添加支持。
注意
- 只能控制对支持访问策略 和 租户中可用的功能的访问。 例如,如果你有基于 EDU 的租户,则无法使用策略来获取对 EDU 租户不可用的功能的访问权限。 这同样适用于特定地理位置中不可用的功能。 有关其可用性的详细信息,请查看文档以了解要使用的特定功能。
- 对 Viva Engage 中 Copilot 功能的更改可能需要长达 48 小时才能生效。 其他功能的更改通常在 24 小时内生效。
要求
在 Viva 中创建访问策略之前,需要:
- Microsoft 365 或 Viva Suite 许可证的支持版本
- 访问 Exchange Online PowerShell 版本 3.2.0 或更高版本。 如果需要使用未启用邮件的组,则必须有权访问 Exchange PowerShell 版本 3.5.1 或更高版本。
- 在 Microsoft Entra ID 中创建或同步的用户帐户。
- Microsoft 365 个组,Microsoft在 Entra ID 或通讯组中创建或同步到Microsoft Entra 安全组。 成员身份类型可以是动态的,也可以是分配的。
- 特定应用和功能所需的角色。
重要
Viva 功能访问管理不适用于Microsoft 365 GCC、GCC High 或 DOD 计划的客户。
创建和管理 Viva 功能的访问策略
获取该功能的 featureID
在创建访问策略之前,需要获取要控制访问权限的特定功能的 featureID 。
使用 Get-VivaModuleFeature PowerShell cmdlet 获取特定 Viva 应用及其关联 ID 中所有可用功能的列表。
安装 Exchange Online PowerShell 版本 3.2.0 或更高版本:
Install-Module -Name ExchangeOnlineManagement使用管理员凭据连接到 Exchange Online:
Connect-ExchangeOnline以全局管理员身份或要为其创建策略的特定功能所需的角色完成身份验证。
运行 Get-VivaModuleFeature cmdlet 以查看可以使用访问策略管理的功能。
例如,若要查看 Viva Insights 中支持哪些功能,请运行以下 cmdlet:
Get-VivaModuleFeature -ModuleId VivaInsights找到要为其创建访问策略的功能,并记下其 featureID。
创建访问策略
现在你已获得 featureID,请使用 Add-VivaModuleFeaturePolicy PowerShell cmdlet 为该功能创建访问策略。
每个功能最多可以分配给用户和组 10 个策略。 每个策略最多可以分配给 20 个用户或组。 可以使用 -Everyone 参数为每个功能分配一个额外的策略,该参数将在整个组织中充当该功能的全局默认状态。
运行 Add-VivaModuleFeaturePolicy cmdlet 以创建新的访问策略。
注意
如果功能支持用户控件选择退出,请确保在创建策略时设置 IsUserControlEnabled 参数。 否则,策略的用户控件使用功能的默认状态。
例如,运行以下命令以创建一个名为 UsersAndGroups 的访问策略,以限制对 Viva Insights 中的反射功能的访问。
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
本示例在 Viva Insights 中添加反射功能的策略。 该策略为指定的用户和组成员禁用该功能。 如果要为所有用户禁用该功能,请改用 -Everyone 参数。
管理访问策略
可以更新访问策略以更改功能是启用还是禁用,以及更改策略应用于 (每个人、用户或组) 的人员。
例如,在上一个示例的基础上,若要更新策略应用于的人员,请运行以下 cmdlet:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
与创建策略时一样,如果策略支持用户控制,请在更改策略时包括 IsUserControlEnabled 参数。
重要
为 -UserIds 和 -GroupIds 参数或 -Everyone 参数指定的值将覆盖任何现有用户或组。 若要保留现有用户和组,需要指定要添加的这些现有用户或组 以及 任何其他用户或组。 在 命令中不包括现有用户或组会有效地从策略中删除这些特定用户或组。 如果功能已存在针对整个租户的策略,则无法更新特定用户或组的策略以包含整个租户 - 仅支持一个租户范围的策略。
若要检查为特定用户或组禁用了哪些功能,请运行 Get-VivaModuleFeatureEnablement cmdlet。 此 cmdlet 返回用户或组的 启用状态 。
例如:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
删除访问策略
使用 Remove-VivaModuleFeaturePolicy cmdlet 删除访问策略。
例如,若要删除反射功能访问策略,请首先获取访问策略的特定 UID - 可以通过运行 Get-VivaModuleFeaturePolicy 来获取该策略。 然后,运行以下 cmdlet:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
疑难解答
如果在创建或使用 Viva 应用功能的访问策略时遇到问题,请确认你尝试为其设置策略 的功能在功能表中 列出,并且可供租户使用。
如果在运行 PowerShell cmdlet 时看到错误消息“请求者无权完成请求”,请检查是否有任何阻止特定 IP 地址的条件访问策略集。 如果是这样,请从该策略中删除 IP 地址,或创建新策略以将 IP 地址列入允许列表。 详细了解 Microsoft Entra 条件访问 和使用 What If 工具对条件访问进行故障排除。
访问策略在 Viva 中的工作原理
- 当用户登录并访问 Viva 时,会立即进行检查,以查看是否有适用于该用户的策略。
- 如果用户直接分配到策略,或者用户是Microsoft Entra 组或具有已分配策略Microsoft 365 组的成员,则会应用策略设置。
- 如果用户未直接分配策略,或者不是已分配策略的 Microsoft Entra 组或Microsoft 365 组的成员,则应用全局默认策略。 如果没有全局默认策略,则会应用该功能的默认启用状态。
- 如果用户将多个策略直接或作为一个组分配给他们,则应用最严格的策略。 (请注意,并非所有功能都包括用户选择退出的功能。) 以下是优先级顺序:
- 禁用功能。
- 已启用功能。
- 功能已启用,用户可以选择退出。
- 如果用户位于嵌套组中,并且你向父组应用访问策略,则嵌套组中的用户会收到策略。 嵌套组和这些嵌套组中的用户必须在中创建或同步到Microsoft Entra ID。
- 除非对特定功能另有说明,否则对访问策略所做的更改在 24 小时内对用户生效。 Viva Engage 中 Copilot 的更改最长可能需要 48 小时。
- 将用户添加到 Microsoft Entra ID 或 Microsoft 365 组时,可能需要 24 小时才能对其功能访问权限的更改生效。
- 当管理员通过完全启用或禁用该功能来删除用户选择退出的选项时,用户的选择加入/退出首选项不会保留,并将重置为默认状态。 如果管理员重新启用允许用户选择退出某个功能的选项,用户将需要再次选择退出该功能。
- 在进行更改后不到 24 小时内快速更改某个功能的启用状态可能不会重置用户选择加入/退出首选项。
- 有关策略创建、更新和删除的历史记录,请参阅 Microsoft Purview 中组织的 Viva 功能访问管理 (VFAM) 更改日志。
其他信息和最佳做法
- 策略是按用户评估的。
- 每个功能只能向 “每个人” 分配一个策略。此策略充当组织中该功能的全局默认状态。
- 由于 Viva 中提供了新功能控件来管理用户和组访问权限,因此它们将添加到 Viva 功能访问管理中。
- 删除 Microsoft Entra ID 中的用户标识时,将从 Viva 功能访问管理中删除用户数据。 如果在软删除期间重新启用用户标识,管理员需要向用户重新分配策略。
- 删除Microsoft Entra ID 和 Microsoft 365 中的组时,将从存储的策略中删除这些组。 如果在软删除期间重新启用组,管理员需要将策略重新分配给组。