使用以應用程式為中心的管理來管理應用程式的存取權
重要
所有組織都無法使用以應用程式為中心的管理功能。 如果您不是使用自定義許可權原則,而您不是企業客戶,我們會自動移轉您的組織以使用此功能。 您會在權限原則頁面上看到下列訊息:
如果您使用自定義許可權原則,或是您是企業客戶,則必須手動移轉到以應用程式為中心的管理功能。 如需時程表,請參閱 訊息中心張貼MC688930 或 Microsoft 365 藍圖專案151829。
如果您在權 限原則頁面上看到原則,請繼續 使用應用程式許可權原則 或自行移轉到此功能。
隨著以應用程式為中心的管理功能的推出,系統管理員有兩種方法可以控制應用程式和 Copilot 代理程式的存取和可用性。
- 繼續 使用許可權原則。
- 如果已經自動移轉或 手動移轉到以應用程式為中心的管理,請使用此功能。 它會取代應用程式許可權原則。
這項功能可讓您指定哪些使用者和群組可以使用每一個應用程式或一個 Copilot 代理程式,而且您可以根據每個應用程式來控制它。
無論您使用哪種方法,您都可以管理個別使用者、受支援群組或組織中每個人的應用程式存取權。 您可以完全控制誰可以或無法在貴組織中新增應用程式。 您也可以控制我們發佈到 Teams App Store 的新應用程式的存取權。
與許可權原則不同的應用程式中心管理方式
之前使用許可權原則時,您會使用下列三個設定來判斷應用程式的存取權:
- 第三方應用程式的整個組織應用程式設定:如果所有第三方應用程式都可供每個使用者使用,則會套用到組織層級和控件。
- 應用程式狀態:它適用於應用程式層級,允許或封鎖及控制項是否可供任何使用者使用。
- 許可權原則:它適用於用戶層級,以及是否允許特定使用者使用應用程式時的控件。
以應用程式為中心的管理功能可簡化這些設定。 每個應用程式都使用您指派給該應用程式的使用者和群組清單來包含其存取定義。 它可讓您根據使用者的需求以及組織的合規性和風險狀態,個別管理每個應用程式。
使用此功能時,您會使用下列其中一個應用程式來決定應用程式的存取權:
[新增] 選項 | 取得應用程式的人員 | 它如何與先前的設定對應 |
---|---|---|
Everyone |
適用於所有組織使用者、新使用者和來賓 | 與允許應用程式和全域 (整個組織預設) 應用程式許可權原則允許所有使用者使用它相同的效果。 |
Specific users or groups |
只有您選取的使用者和群組可以使用應用程式。 支援的群組類型包括安全組、Microsoft 365 群組、動態使用者成員資格群組、巢狀群組和通訊組清單。 | 與使用自定義應用程式許可權原則來限制選取的使用者或群組使用應用程式相同。 |
No one |
任何用戶都無法使用 | 與封鎖的應用程式相同。 |
允許使用者存取應用程式的方法會隨此功能變更。 過去,若要允許使用者存取,您會在原則中將應用程式新增為允許的應用程式,並將該原則指派給使用者。 使用此功能時,您只需修改應用程式的可用性,讓選取的使用者使用它。 此外,您不需要針對不同的應用程式組合和允許的使用者建立多個原則。
移轉到以應用程式為中心的管理
之前,我們會自動移轉未使用任何自定義原則的組織。 系統管理員現在可以執行隨選移轉。 瞭解兩種類型的移轉之間的差異。
移轉類型 | 執行者 | 需求 | 作法 |
---|---|---|---|
輔助 | 管理員 | 組織使用一或多個自定義原則 | 系統管理中心的引導式UI |
自動 | Microsoft | 組織只使用預設的全域原則 | 自動,不需系統管理員介入 |
若要移轉您的組織,請遵循下列步驟:
登入 Teams 系統管理中心並存取 Teams 應用程式 >許可權原則 頁面。 取得許可權原則中的應用程式庫存,並識別允許或封鎖應用程式的使用者和群組。 在移轉期間,您可能需要針對現有使用者和群組手動編輯某些應用程式的可用性。 如需詳細數據,請參閱步驟 5。
在 [許可權原則] 頁面上,選 取 [開始使用]。
選取您要移轉的原則,然後選取 [ 下一步]。 頁面只會顯示指派給使用者或群組的原則。 此外,我們只會移轉這些屬於您選擇移轉原則的應用程式及其可用性。 未選取原則中的應用程式不屬於移轉的一部分,日後無法移轉。 不過,您可以在移轉之後,手動編輯任何應用程式的可用性。
確認使用者在下一頁的應用程式可用性。 在下列三個索引標籤中,它會顯示來自整個組織應用程式設定的應用程式清單,以及您選擇要移轉的應用程式許可權原則。
- 適用於所有人:組織中所有人可使用的應用程式清單。
- 適用於特定使用者和群組:至少一個組織使用者或受支援的群組可選擇性允許的應用程式清單。
- 任何人都無法使用:組織中沒有人可以使用的應用程式清單。
在每個索引標籤中,您可以視需要將應用程式可用性修改為 三種應用程式可用性類型的其中之一。 如果應用程式的可用性不清楚且需要系統管理員輸入才能繼續,[編輯可用性] 選項會顯示在 [ 可供特定使用者和群組 使用] 索引標籤中。 不一定應用程式未出現在您選取移轉的原則中,或選取的原則包含衝突的可用性。 您必須將這類應用程式指派給其中一種可用性類型,才能繼續進行。
提示
如果您在此索引標籤中看到許多應用程式,您可能會有有衝突應用程式可用性的原則。 例如,允許應用程式的原則,以及封鎖相同應用程式的另一個原則。 在這種情況下,建議您取消核取導致衝突的原則,或編輯此索引卷標的可用性。
您可以根據每個應用程式或每位使用者驗證變更。 選取索引標籤,然後輸入應用程式或用戶的名稱。
在最終檢閱 UI 中,您可以看到應用程式、它們的可用性,以及移轉之後套用的整個組織應用程式設定。 您可以將此資訊下載為 CSV 檔案以進一步評估。 例如,您可以使用步驟 1 的庫存對應,以確保應用程式如預期般可用。 一旦確定,請選取 [開始移轉 ],然後依照提示進行。 移轉可能需要 24 小時才能完成。
在移轉期間,您可以使用 [稍後 完成 ] 選項儲存移轉進度草稿。 您可以使用 [ 重設所有變更 ] 選項來取消移轉並刪除已儲存的草稿。
注意事項
移轉時,您無法變更應用程式指派。 當您開始移轉時,現有的UI會停用。 如果您尚未準備好繼續進行,或想要變更結束許可權原則,請開啟移轉精靈,然後選取 [重設所有變更] 選項。 您將會遺失進度,稍後可以重新啟動移轉。
移轉之後,使用者仍無法使用封鎖的應用程式。 這類應用程式的狀態會顯示為unblocked
現在,但已在 [管理應用程式] 頁面的欄中Available to
指派No one
應用程式。 這表示組織用戶無法像之前一樣使用應用程式。 用戶可以檢視市集中的應用程式,並要求 應用程式的存取權。
新增或修改使用者的應用程式可用性
若要讓使用者新增及使用應用程式或副駕駛代理程式,您必須將使用者或群組指派給應用程式。 若要在貴組織中提供任何應用程式或副工具代理程式,請確定在 Teams 系統管理中心和整合式應用程式頁面的 Microsoft 365 系統管理中心 中允許這些應用程式的設定相同。 變更最多需要 24 小時才會生效。 在少數情況下,最多可能需要 6 天的時間,才能在用戶端中反映可用性變更。
在 Teams 系統管理中心,移至 [管理應用程式 ] 頁面,搜尋所需的應用程式,然後選取應用程式名稱以開啟其應用程式詳細數據頁面。 您無法大量指派應用程式。
選取 [ 作業] 索引標籤 。
選 取 [指派 ] 或 [指派應用程式]。
從 [ 管理可以安裝此應用程式的人員] 功能選取必要選項。 指派使用者或群組時,請從 [搜尋使用者或群組] 功能表中搜尋 使用者或群組 。 選取 套用。
若要從應用程式移除一或多個使用者或群組,請選取列,然後選 取 [移除]。
應用程式可用性的預設設定
除了定義應用程式的可用性之外,您也可以控制任何新應用程式的預設應用程式可用性。 您可以針對每種應用程式類型控制它。 對於新組織,預設設定為讓用戶預設安裝應用程式。 對於現有的組織, 舊的設定會對應至新的存取設定。
若要變更此預設設定,請存取 [管理應用程式 ] 頁面、選取 [ 整個組織動作>的應用程式設定],然後修改必要的設定。
整個組織應用程式設定適用於:
- Teams App Store 中提供的所有新應用程式。
- 您未主動管理的所有現有應用程式,也就是說,您並未變更可用性。
整個組織應用程式設定不適用於:
- 所有已將使用者指派設定為 [特定使用者和群組] 並由您儲存的應用程式。
- 已指派給所有人或 [沒有人] 且個別儲存的所有應用程式。
- 任何封鎖的應用程式。
請考慮您開始使用此功能,並將所有應用程式指派給每個人的情況。 現在,您已將應用程式的可用性變更為特定群組或部分使用者。 儲存此變更之後,如果您變更標題為[ 允許使用者預設安裝及使用可用的應用程式] 的全組織應用程式設定,則這個特定應用程式仍會繼續指派給特定群組或使用者。 您對整個組織應用程式設定的變更只會套用到那些您未變更可用性的應用程式。 此外,如果您再次變更 [ 讓使用者依預設安裝及使用可用的應用程式 ] 設定,所有其他應用程式的可用性會再次受到影響,但您主動管理的應用程式除外。
檢視組織中的應用程式
您可以檢視目錄中的所有應用程式,並從 [ 管理應用程式 ] 頁面輕鬆存取應用程式可用性。 您可以使用這三種類型的應用程式可用性來排序和篩選。 若要瞭解Microsoft提供的應用程式,請參閱 Microsoft建立的應用程式清單。
檢視特定使用者所有可用的應用程式
在 [ 管理使用者] 頁面上,選取使用者以開啟使用者詳細數據頁面,然後選取 [ 應用程式] 索引標籤 。索引標籤會列出使用者有權存取的應用程式。 若要輕鬆找到應用程式的存取類型,您可以搜尋應用程式的名稱。
每個應用程式都會顯示其可用性類型,這會指出如何將使用者指派給應用程式:透過每個人的可用性、使用者的直接可用性,或透過群組。 清單只會顯示指派給使用者且組織中允許使用的應用程式。 指派給任何使用者的應用程式以及組織中封鎖的應用程式都不會出現在此清單中。
您可以移除使用者的應用程式可用性。 選取直接指派給使用者的應用程式,然後選 取 [移除]。 如果應用程式可供所有人或群組使用,您就無法移除使用者的可用性。
在舊的許可權原則和新的應用程式可用性之間對應
當您的租用戶系統管理中心收到此功能時,會對應用程式存取進行下列更新。 應用程式的存取權不會變更,而且更新只會將您現有的許可權原則對應到新的可用性。
較早的應用程式許可權原則和組織設定 | 使用此功能時的整個組織應用程式設定 |
---|---|
Microsoft應用程式的全域許可權原則或 Allow all Microsoft應用程式的全域許可權原則 Block an app(s), allow all others |
Allow users install available apps by default 針對Microsoft已設定為開啟的應用程式 |
Microsoft應用程式的全域許可權原則或 Block all Microsoft應用程式的全域許可權原則 Allow app(s), Block all others |
Allow users install available apps by default Microsoft應用程式設定為關閉 |
整個組織應用程式設定中的第三方應用程式設定已設為開啟;全組織應用程式設定中的新第三方應用程式設定已設為開啟;第三方應用程式的全域許可權原則為 Allow all ;第三方應用程式的全域許可權原則為 Block an app(s), allow all others |
Allow users install available apps by default 針對第三方應用程式設定為 [開啟] |
整個組織應用程式設定中的第三方應用程式設定已設定為關閉;全組織應用程式設定中的新第三方應用程式設定已設定為關閉;第三方應用程式的全域許可權原則為 Block all ;第三方應用程式的全域許可權原則為 Allow app(s), Block all others |
Allow users install available apps by default 針對第三方應用程式設定為關閉 |
自定義應用程式的全域許可權原則或 Allow all 自定義應用程式的全域許可權原則為 Block an app(s), allow all others |
Allow users install available apps by default 自訂應用程式設定為 [開啟] |
自定義應用程式的全域許可權原則或 Block all 自定義應用程式的全域許可權原則為 Allow app(s), Block all others |
Allow users install available apps by default 將自訂應用程式設為 [關閉] |
較早的應用程式狀態 | 先前套用的許可權原則 | 使用此功能時的應用程式可用性 |
---|---|---|
已封鎖 | 已封鎖 | 沒有人可以安裝 |
已封鎖 | 允許 | 沒有人可以安裝 |
允許 | 已封鎖 | 沒有人可以安裝 |
允許 | 允許 | 任何人 |
考慮與已知限制
您一次最多可以新增 99 個使用者或群組至應用程式。
搜尋要新增的使用者或群組時,UI 只會顯示 20 個結果。 如果您找不到預期的結果,請精簡搜尋查詢以使用確切的名稱。
移轉之後,使用者仍無法使用封鎖的應用程式。 這類應用程式的狀態現在已
unblocked
推出,但您可以在 [管理應用程式] 頁面的欄中Available to
使用No one
這些應用程式。 這表示沒有組織使用者可以像之前一樣使用此應用程式。切換到此功能之後,您就無法存取、編輯或使用許可權原則。 一旦您的組織移轉,您就無法還原移轉。
您無法大量更新應用程式可用性。