建立和管理應用程式權限原則

  • 6 分鐘

身為系統管理員,您可以使用應用程式權限原則來控制組織中 Microsoft Teams 使用者可使用的應用程式。 您可以允許或封鎖所有應用程式,或是由 Microsoft、協力廠商和您的組織發行的特定應用程式。 當您封鎖應用程式時,擁有原則的使用者將無法從 Teams 應用程式商店安裝該應用程式。 您必須是全域系統管理員或 Teams 服務系統管理員,才能管理這些原則。

您可以在 Microsoft Teams 系統管理中心管理應用程式權限原則。 您可以使用全域 (全組織預設值) 原則,也可以建立自訂原則並將其指派給個別使用者或群組中的使用者。

應用程式權限原則的螢幕擷取畫面。

根據預設,全域原則 中允許所有應用程式。 這包括由 Microsoft、第三方和貴組織所發佈的應用程式。 除非您建立並指派自訂原則,否則貴組織中的使用者將會自動取得全域原則。 [管理應用程式] 頁上的 [全組織應用程式設定] 會覆寫全域原則與您建立並指派給使用者的任何自訂原則。

例如,您想要針對組織中的人力資源小組,封鎖所有第三方應用程式並允許來自 Microsoft 的特定應用程式。 首先,您將移至 [管理應用程式] 頁面,並確認您想要針對人力資源小組允許的應用程式已於組織層級允許。 然後,建立名為 「人力資源應用程式權限原則」 的自訂原則,將它為所需封鎖和允許的應用程式進行設定,然後將它指派給人力資源小組的使用者。

建立應用程式權限原則

如果您想要控制組織中不同使用者群組可用的應用程式,請建立並指派一或多個自訂應用程式權限原則。 您可以根據應用程式是否由 Microsoft、第三方或貴組織發佈,來建立並指派不同的自訂原則。 務必知道,建立自訂原則之後,如果已在全組織應用程式設定中停用第三方應用程式,就無法變更該自訂原則。

  1. Microsoft Teams 系統管理中心 左側的功能窗格中,移至 [Teams 應用程式] > [權限原則]

  2. 選取 新增

  3. 輸入原則的 [名稱]和[描述]。

  4. 在 [Microsoft 應用程式 ]、[第三方應用程式 ] 和 [自訂應用程式 ] 下,選取下圖中列出的以下選項之一:

    管理應用程式權限選項的螢幕擷取畫面。

  5. 如果您選取了 [允許特定的應用程式並封鎖所有其他的],請新增您要允許的應用程式:

    • 選取 [允許應用程式]
    • 搜尋您要允許的應用程式,然後按選取 [新增]。 搜尋結果會篩選至應用程式發行者 (Microsoft 應用程式、第三方應用程式或租用戶應用程式)。
    • 選擇應用程式清單後,請選取 [允許]

  6. 同樣地,如果您選取了 [封鎖特定的應用程式並允許所有其他的],請搜尋並新增您要封鎖的應用程式。

  7. 選取 [儲存]。

編輯應用程式權限原則

您可以使用 Microsoft Teams 系統管理中心來編輯原則,包括您建立的全域原則和自訂原則。

  1. Microsoft Teams 系統管理中心 的左側功能窗格中,移至 [Teams 應用程式] > [權限原則]

  2. 選取原則名稱左側來選取原則,然後選取 [編輯]

  3. 進行想要的變更。 您可以根據應用程式發行者來管理設定,並根據允許/封鎖設定來新增和移除應用程式。

  4. 選取 [儲存]。

將自訂應用程式權限原則指派給使用者

您可以使用 Microsoft Teams 系統管理中心將自訂原則指派給一個或多個使用者。 或者,您可以使用商務用 Skype PowerShell 模組將自訂原則指派給使用者群組,例如安全性群組或通訊群組中的所有使用者。

將自訂應用程式權限原則指派給使用者

若要將使用者指派給應用程式權限原則,您可以將使用者指派給原則,也可以將原則指派給使用者。

您應該執行以下步驟將使用者指派到原則:

  1. Microsoft Teams 系統管理中心 左側的功能窗格中,移至 [Teams 應用程式] > [權限原則]
  2. 選取原則名稱左側來來選取自訂原則。
  3. 選取 [指派使用者]
  4. [管理使用者] 窗格中,依顯示名稱或使用者名稱搜尋使用者,選取名稱,然後選取 [新增]。 針對要新增的每一個使用者重複此步驟。
  5. 完成新增使用者時,選取 [套用]

或者,您也可以執行以下步驟將原則指派給使用者:

  1. Microsoft Teams 系統管理中心 左側的功能窗格中,移至 [使用者]

  2. 選取使用者名稱左側以選取使用者,然後選取 [編輯設定]

  3. [應用程式權限原則] 下,選取要指派的應用程式權限原則,然後選取 [套用]

    指派應用程式權限原則給使用者的螢幕擷取畫面。

使用 PowerShell 指派自訂應用程式權限原則

您可能想要使用 PowerShell 為多個使用者指派自訂應用程式權限原則以進行自動化。 例如,您可能想將原則指派給安全性群組中的所有使用者。 若要這麽做,您可以連線 Azure Active Directory PowerShell 模組和商務用 Skype PowerShell 模組並使用 Grant-CsTeamsAppPermissionPolicy cmdlet。

例如,如果要向 Contoso HR Project 群組中的所有使用者指派名為「HR 應用程式原則權限」的自訂應用程式權限原則,則可以執行以下命令:

$group = Get-AzureADGroup -SearchString "Contoso HR Project"

$members = Get-AzureADGroupMember -ObjectId $group.ObjectId -All $true | Where-Object {$_.ObjectType -eq "User"}

$members | ForEach-Object { Grant-CsTeamsAppPermissionPolicy -PolicyName "HR App Permission Policy" -Identity $_.EmailAddress}

根據群組中成員的數量,執行此命令可能需要幾分鐘。