Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Политики доступа позволяют управлять доступом пользователей к определенным функциям в приложениях Microsoft 365 с помощью PowerShell. Управление доступом к функциям позволяет включать или отключать определенные функции для определенных групп или пользователей в клиенте и таким образом адаптировать развертывания в соответствии с местными нормативными и бизнес-требованиями.
Авторизованный администратор в клиенте может создавать, назначать политики доступа и управлять ими с помощью PowerShell. Когда пользователь входит в Microsoft 365, параметры политики применяются, и он видит только те функции, которые не были отключены.
Важно!
Вы можете использовать несколько политик доступа для функции, активной в вашей организации. Это означает, что на пользователя или группу могут повлиять несколько политик. В этом случае приоритет имеет наиболее строгая политика, назначенная непосредственно пользователю или группе. Дополнительные сведения см. в разделе Принцип работы политик доступа.
Требования
Перед созданием политики доступа необходимо:
Доступ к Exchange Online PowerShell версии 3.2.0 или более поздней. Если вам нужно использовать группы, не поддерживающие почту, у вас должен быть доступ к Exchange PowerShell версии 3.5.1 или более поздней. Если вам нужно настроить политики с пользователем, отказающимся по умолчанию (обратимое отключение), у вас должен быть доступ к Exchange PowerShell версии 3.8.0 или более поздней.
Учетные записи пользователей, созданные в или синхронизированные с Microsoft Entra ID
Группы Microsoft 365, Microsoft Entra группы безопасности, созданные или синхронизированные с Microsoft Entra ID или группами рассылки.
Важно!
Эти функции еще не доступны в GCC High или DoD. Сведения о GCC см. в документации по конкретному приложению.
Создание политик доступа для функций Microsoft 365 и управление ими
Политики могут создаваться и управляться администратором, у которого есть разрешения на это в Центр администрирования Microsoft 365 или с помощью PowerShell. Получите все сведения о создании политик и управлении ими. Подробные инструкции по созданию команды в PowerShell см. в документации по PowerShell.
Получение идентификатора компонента
Прежде чем создавать политику доступа, используйте ModuleID , чтобы получить идентификатор компонента для конкретной функции, к которой вы хотите управлять доступом.
Идентификаторы модулей
| Приложение | ModuleID |
|---|---|
| Взаимодействие | VivaEngage |
| Glint | VivaGlint |
| Цели | VivaGoals |
| Insights | VivaInsights |
| Пульс | VivaPulse |
| Навыки* | PeopleSkills* |
*Политики для навыков Люди в настоящее время можно создавать только с помощью PowerShell. Интерфейс в Центр администрирования Microsoft 365 нельзя использовать для создания политик для функций Люди навыков.
Используйте командлет PowerShell Get-VivaModuleFeature , чтобы получить список всех функций, доступных в конкретном приложении Microsoft 365, и связанных с ними идентификаторов.
Установите Exchange Online PowerShell версии 3.2.0 или более поздней:
Install-Module -Name ExchangeOnlineManagementПодключитесь к Exchange Online с учетными данными администратора:
Connect-ExchangeOnlineВыполните проверку подлинности в качестве роли, необходимой для конкретной функции, для которую вы создаете политику.
Выполните командлет Get-VivaModuleFeature , чтобы просмотреть функции, которыми можно управлять с помощью политики доступа.
Например, чтобы узнать, какие функции поддерживаются в Viva Insights, выполните следующий командлет:
Get-VivaModuleFeature -ModuleId VivaInsightsНайдите функцию, для которую вы хотите создать политику доступа, и запишите ее featureID.
Создать политику доступа
Совет
Полный список доступных команд для создания политик и управления ими см. в документации по PowerShell . Сюда входят расширенные политики для функций с пользовательскими элементами управления, функции обратимого отключения и подробные инструкции по синтаксису команд PowerShell.
Теперь, когда у вас есть featureID, используйте командлет PowerShell Add-VivaModuleFeaturePolicy , чтобы создать политику доступа для этой функции.
Пользователям и группам можно назначить не более 10 политик на каждую функцию. Каждая политика может быть назначена не более 20 пользователям или группам. Вы можете назначить одну дополнительную политику для каждого компонента всему клиенту с помощью параметра -Все , который будет функционировать как глобальное состояние по умолчанию для этой функции в вашей организации.
Выполните командлет Add-VivaModuleFeaturePolicy , чтобы создать новую политику доступа.
Примечание.
Если функция поддерживает пользовательские элементы управления для отказа, убедитесь, что при создании политики задан параметр IsUserControlEnabled . В противном случае пользовательские элементы управления для политики используют состояние по умолчанию для компонента.
Например, выполните следующую команду, чтобы создать политику доступа с именем UsersAndGroups, чтобы ограничить доступ к функции отражения в Viva Insights.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
В этом примере добавляется политика для функции отражения в Viva Insights. Политика отключает функцию для указанных пользователей и членов группы. Если вы хотите отключить эту функцию для всех пользователей, используйте вместо этого параметр -All .
Управление политиками доступа
Вы можете обновить политику доступа, чтобы изменить, включена или отключена функция, а также изменить, к кому применяется политика (все, пользователь или группа).
Например, на основе нашего последнего примера, чтобы обновить, к кому применяется политика, выполните следующий командлет:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Как и при создании политики, если политика поддерживает пользовательские элементы управления, включите параметр IsUserControlEnabled при изменении политики.
Важно!
Значения, указанные для параметров -UserIds и -GroupIds или параметра -All , перезаписывают все существующие пользователи или группы. Чтобы сохранить существующих пользователей и группы, необходимо указать этих существующих пользователей или группы , а также всех дополнительных пользователей или групп, которые вы хотите добавить. Если не включить в команду существующих пользователей или групп, эти пользователи или группы будут удалены из политики. Вы не можете обновить политику для конкретного пользователя или группы, чтобы включить весь клиент, если для функции уже существует политика для всего клиента . Поддерживается только одна политика на уровне клиента.
Чтобы проверка, какие функции отключены для конкретного пользователя или группы, выполните командлет Get-VivaModuleFeatureEnablement. Этот командлет возвращает то, что называется состоянием включения для пользователя или группы.
Например:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Удаление политики доступа
Используйте командлет Remove-VivaModuleFeaturePolicy , чтобы удалить политику доступа.
Например, чтобы удалить политику доступа к функции отражения, начните с получения определенного идентификатора пользовательского интерфейса для политики доступа. Это можно получить, выполнив командлет Get-VivaModuleFeaturePolicy. Затем запустите следующий командлет:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Устранение неполадок
- Если у вас возникли проблемы с созданием или использованием политик доступа для функций Viva приложений, убедитесь, что функция, для которую вы пытаетесь задать политику, указана в таблице компонентов и доступна вашему клиенту.
- Если во время выполнения командлета PowerShell отображается сообщение об ошибке "Инициатор запроса не был авторизован на выполнение запроса", проверка, если у вас есть какая-либо политика условного доступа, блокирующая определенные IP-адреса. Если это так, удалите IP-адрес из этой политики или создайте новую политику, чтобы разрешить список IP-адресов. Дополнительные сведения о Microsoft Entra условного доступа и устранении неполадок с условным доступом с помощью средства "Что если".
Дополнительные ресурсы
Дополнительные сведения о создании политик и управлении ими
Управление доступом к функциям в Microsoft Viva с помощью Центр администрирования Microsoft 365