Поделиться через

Общие сведения о разрешениях и сведениях, к которым обращаются приложения Teams

  • Применяется к: Microsoft Teams

В зависимости от их функциональных возможностей приложения Teams могут обращаться к сведениям пользователя или вашей организации, чтобы работать должным образом.

  • Некоторые приложения не стремятся получить доступ к информации организации и, следовательно, не требуют какого-либо утверждения. Пользователи могут использовать такие приложения без одобрения или согласия администратора, так как информация организации защищена от таких приложений.
  • Для работы или обработки некоторых приложений требуется информация вашей организации или пользователя. Такие приложения не могут работать, если вы не разрешите такому приложению доступ к информации вашей организации.

Прежде чем разрешить пользователям использовать приложение, необходимо оценить сведения о соответствии, безопасности и обработке данных, а также понять разрешения, запрашиваемые приложением. Для этого необходимо знать о разрешениях, согласии и доступных элементах управления. Дополнительные сведения о безопасности, соответствии требованиям и конфиденциальности см. в статье Программа соответствия приложений для обеспечения безопасности, обработки данных и конфиденциальности.

Разрешения позволяют приложениям получать доступ к привилегированным ресурсам и действовать от имени пользователя. Эта возможность позволяет разработчикам создавать широкие возможности в приложениях, повышающих производительность работы пользователей. Необходимо четко понимать разрешения, их область и последствия. В Центре администрирования Microsoft Teams можно просмотреть риски разрешений приложения и уровни привилегий. Вы также увидите сведения о том, что каждое приложение может делать в Teams. Дополнительные сведения см. в разделе Просмотр рисков разрешений приложения и уровней привилегий.

Как приложения получают доступ к информации организации с помощью разрешений

Teams обеспечивает меры безопасности, чтобы доступ к информации вашей организации или пользователя не был предоставлен без вашего согласия. Чтобы приложение могло получить доступ к любой информации, необходимо выполнить следующие действия:

  1. Разработчики приложений объявляют разрешения и возможности приложений при создании приложений.
  2. Администраторы понимают и анализируют разрешения, необходимые приложению на порталах администрирования.
  3. Доступ к данным предоставляется двумя способами. При добавлении приложения в Teams оно получает доступ к некоторым базовым возможностям, которые могут включать доступ к базовым сведениям. Когда вы предоставляете согласие, приложение получает доступ к некоторым данным пользователя и организации или и того, и другого на основе разрешений приложения, на которые оно запросило согласие.

Общие сведения о доступе к данным с помощью приложений и необходимых разрешениях

Приложение может получить доступ к информации организации двумя способами:

  • Делегированный доступ. Приложение обращается к ресурсу от имени пользователя. Для этого доступа требуются делегированные разрешения. Приложение может получить доступ только к информации, к которым может получить доступ пользователь.
  • Доступ к приложениям. Приложение действует самостоятельно без входа пользователя, когда нежелательно входить в систему определенного пользователя или когда требуемые данные не могут быть ограничены одним пользователем. Для этого доступа требуются разрешения приложения. Если предоставлено согласие, приложение может получить доступ к данным, связанным с разрешением.
Администратор рассмотрение Делегированные разрешения Разрешения приложений
Как приложения могут получать доступ к информации От имени вошедшего пользователя. Самостоятельно, используя собственное удостоверение.
К какой информации осуществляется доступ Разрешения, на которые предоставляется согласие приложения, и сведения, связанные с этим разрешением, к которым у пользователя, выполнившего вход, есть доступ. Любая информация, с которыми связано разрешение с согласия
Какие роли могут согласиться Администраторы, пользователи или владельцы групп в зависимости от конфигурации Microsoft Entra ID Только администраторы
Могут ли пользователи предоставить согласие Пользователи могут давать согласие в зависимости от конфигурации Microsoft Entra ID Согласие может быть предоставлено только администраторам

Разрешения для каждого приложения отображаются на странице сведений о приложении в Центре администрирования.

Тип разрешений приложения Контекст доступа Источник объявления Когда требуется согласие? Кто может согласиться?
Microsoft Entra ID для доступа к graph и устаревшим конечным точкам Делегированные Microsoft Entra ID Вход в приложение Глобальная Администратор, облачная Администратор и Администратор приложений
Microsoft Entra ID для доступа к graph и устаревшим конечным точкам Приложение Microsoft Entra ID Вход в приложение Глобальная Администратор, облачная Администратор и Администратор приложений
RSC для информации о командах, чатах и пользователях Делегированные Файл манифеста приложения Добавление приложения в команду, чат, собрания Владелец ресурса
RSC для информации о командах, чатах и пользователях Приложение Файл манифеста приложения Добавление приложения в команду, чат, собрания Владелец ресурса
Другие разрешения и доступ к данным Делегировано с помощью пакетов SDK Свойства манифеста определяют его Добавление приложения в клиент Согласие подразумевается при установке

Используйте роль с более низкими привилегиями для выполнения задач, где это возможно. Используйте роль глобального администратора только при необходимости.

Где администраторы могут просматривать все разрешения приложения

Перейдите на вкладку Разрешения на странице сведений о приложении, чтобы просмотреть все необходимые разрешения, уровни доступа и привилегий. Вы также можете скачать все разрешения в .csv файле для дальнейшего анализа.

Снимок экрана: вкладка

Сведения о том, какие приложения могут делать в Teams, см. в статье Основные возможности и взаимодействия с пользователями и данными, к которым обращаются приложения. Сведения о том, как разрешить использование приложения, см. в статье Предоставление разрешений приложения Teams и управление ими.

Просмотр рисков разрешений приложения и уровней привилегий

Чтобы просмотреть сведения о привилегиях разрешений, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Teams.

  2. Перейдите в раздел Управление приложениями для просмотра и управления приложениями в каталоге организации и выберите любое конкретное приложение.

  3. Используйте столбец Уровень привилегий , чтобы просмотреть уровень привилегий каждого приложения. Сортировка приложений по нужному уровню.

    Снимок экрана: столбец сведений об уровне привилегий.

    Ниже перечислены три типа уровней привилегий приложений:

    • Высокий. Приложение имеет по крайней мере одно разрешение с высоким уровнем привилегий.
    • Средний. Приложение имеет по крайней мере одно разрешение со средним уровнем привилегий и не имеет разрешения с высоким уровнем привилегий.
    • Низкий: приложение не имеет высоких или средних привилегий.

    Общий уровень привилегий для приложения вычисляется по тому же принципу, что и управление приложениями в MDA.

    Кроме того, выберите любое приложение в разделе Все приложения и перейдите на вкладку Разрешения , чтобы просмотреть и просмотреть необходимые разрешения.

    Снимок экрана: вкладка разрешений отдельного приложения.

    Примечание.

    Уровни риска разрешений и улучшения уровня привилегий не применяются к сторонним приложениям (Майкрософт).

разрешения Microsoft Entra ID

Microsoft Graph позволяет разработчикам получать доступ к сведениям и данным Microsoft 365 вашей организации, но только с соответствующими разрешениями Microsoft Entra ID. Приложение заранее объявляет эти разрешения, и администраторы должны согласиться на эти разрешения, прежде чем приложение сможет получить доступ к информации. Если вы предоставляете согласие администратора на такое разрешение в приложении Teams, все разрешенные пользователи вашей организации могут использовать приложение и разрешить приложению доступ к информации организации. Эти разрешения определяются на портале Microsoft Entra ID.

Разработчики приложений выбирают соответствующие разрешения из широкого спектра API Microsoft Graph, чтобы приложения получили необходимые сведения для работы. Перед предоставлением согласия на эти разрешения можно просмотреть конкретные разрешения, запрошенные приложением. Это помогает оценить влияние предоставления согласия на разрешения приложения. Чтобы просмотреть разрешения Microsoft Entra ID, выполните следующие действия.

  1. Перейдите в Центр администрирования Teams и откройте страницу Приложения> TeamsУправление приложениями.

  2. Найдите требуемое приложение и выберите его имя, чтобы открыть страницу сведений о приложении.

  3. Перейдите на вкладку Разрешения и выберите Просмотр разрешений и согласия.

  4. В диалоговом окне просмотрите разрешения, необходимые приложению. Дополнительные сведения о доступных в диалоговом окне сведениях см. в разделе Сведения, доступные в запросе на согласие.

    Снимок экрана: разрешения, запрашиваемые приложением.

Полный список всех возможных разрешений описан в справочнике по разрешениям Microsoft Graph.

Ресурсы в Teams могут быть командой, чатом или пользователем. Используйте эти разрешения, чтобы разрешить приложениям доступ к сведениям только о конкретном ресурсе. С разрешениями RSC приложению не нужно запрашивать доступ к информации на уровне организации и может ограничить область доступа. Определите эти разрешения RSC в файле манифеста приложения. Только пользователи, имеющие доступ к ресурсам, могут предоставить согласие на эти разрешения. Разработчики определяют эти разрешения в самом приложении в файле манифеста приложения.

Разрешения RSC позволяют пользователям предоставлять приложениям согласие на область сведения. Такое согласие позволяет приложениям получать доступ и изменять только информацию команды или чата. Такое приложение не может получить доступ к информации чата или команды, в которую оно не добавлено. Примеры разрешений RSC включают возможность создания и удаления каналов, получения параметров команды, а также создания и удаления вкладок каналов.

Разрешения RSC ограничивают область разрешений приложения определенным ресурсом, а не разрешения Graph для всей организации, которые могут позволить приложениям получать доступ к информации на уровне организации. К ресурсам, к которым могут применяться разрешения RSC, относятся чаты и собрания, команды и каналы, а также пользователи.

Определите разрешения RSC в манифесте приложения, а не в Microsoft Entra ID. Согласие на разрешения RSC предоставляется при добавлении приложения в команду. Дополнительные сведения см. в разделе Согласие для конкретных ресурсов (RSC).

Чтобы просмотреть разрешения RSC для приложения, выполните следующие действия.

  1. Откройте Центр администрирования Teams и перейдите в раздел Приложения> TeamsУправление приложениями.
  2. Найдите нужное приложение, выберите имя приложения, чтобы перейти на страницу сведений о приложении, а затем перейдите на вкладку Разрешения .
  3. В разделе Разрешения на согласие для конкретного ресурса (RSC) проверьте разрешения RSC, запрошенные приложением.

Что могут делать приложения в Teams

Когда разработчики создают приложения Teams, они используют некоторые возможности, определенные в платформе разработки. Эти возможности представляют собой высокоуровневые функции, которые могут иметь приложения. Например, приложение может содержать бота, который взаимодействует с пользователем. Когда приложение использует возможность, оно автоматически получает некоторые базовые привилегии. Например, если приложение, содержащее бот, разрешено для пользователя, бот может отправлять и получать сообщения. Эти привилегии существуют в приложениях в зависимости от того, какие функции разработчик приложения добавил в приложение, и не являются разрешениями, которые требуют согласия для вступления в силу. Разработчики не определяют эти разрешения явным образом, но эти разрешения неявно добавляются при создании каких-либо функциональных возможностей приложения.

Как администратор вы управляете приложениями Teams, а не их возможностями. Приложения Teams имеют возможности , позволяющие приложениям выполнять свои основные варианты использования и выполнять некоторые задачи. Эти возможности предоставляются пакетами SDK, и согласие подразумевается при установке приложения. Задачи, которые могут выполнять приложения, связанные с возможностями, отличаются от разрешений, для которых требуется согласие администратора. Администратор должен подумать о том, что приложение может делать и как оно взаимодействует с пользователями на основе следующих возможностей.

Примечание.

Приложения могут не использовать все перечисленные ниже возможности, если приложение не является сложным приложением, обслуживая несколько вариантов использования. Задачи, которые может выполнять приложение, зависят от возможностей, используемых в нем разработчиком приложения.

Боты и расширения для обмена сообщениями

Рассмотрим следующие типы взаимодействия с пользователем, необходимые разрешения и доступ к данным ботами и расширениями для обмена сообщениями:

  • Бот может получать сообщения от пользователей и отвечать на них. Боты получают сообщения только в чатах, где пользователи явно упоминание бота по его имени. Эти данные покидают корпоративную сеть.

  • После того как пользователь отправляет сообщение боту, бот может в любое время отправлять пользователю прямые или упреждающие сообщения.

  • Некоторые боты отправляют только сообщения. Они называются ботами только для уведомлений, и бот не предлагает взаимодействие с беседами.

  • Бот, добавленный в команды, может получить список имен и идентификаторов каналов в команде.

  • При использовании в канале, в личном чате или групповом чате бот приложения может получить доступ к основным сведениям об удостоверениях участников команды. Сведения включают имя, фамилию, имя участника-пользователя (UPN) и адрес электронной почты.

  • Бот приложения может отправлять прямые или упреждающие сообщения участникам команды, даже если они не взаимодействуют с ботом.

  • В зависимости от параметров и функционирования приложения, которое является ботом, оно может отправлять и получать файлы только в личном чате. Он не поддерживается для групповых чатов или каналов.

  • Боты имеют доступ только к командам, в которые добавляются боты, или к пользователям, которые добавляют приложение ботов.

  • Когда пользователь общается с ботом, который хранит его идентификатор, бот может отправлять прямые сообщения пользователю в любое время.

  • При необходимости пользователь или администратор может заблокировать бот. Корпорация Майкрософт также может удалить бота из магазина. Проверка и проверка приложений гарантируют, что приложения высокого качества доступны в магазине Teams и что боты не спамят своих пользователей.

  • Бот может получать и хранить основные сведения об удостоверениях для участников команды, в которые добавляется приложение, или для отдельных пользователей в личных или групповых чатах. Чтобы получить дополнительные сведения об этих пользователях, бот должен потребовать от них войти в Microsoft Entra ID.

  • Боты могут получать и хранить список каналов в команде. Эти данные покидают корпоративную сеть.

  • По умолчанию боты не имеют возможности действовать от имени пользователя, но боты могут попросить пользователей войти в систему. Как только пользователь входит в систему, бот получает маркер доступа, с помощью которого он может выполнять другие задачи. Задачи зависят от бота и места входа пользователя: бот является Microsoft Entra приложением, зарегистрированным в и https://apps.dev.microsoft.com/ может иметь собственный набор разрешений.

  • Когда файл отправляется боту, он покидает корпоративную сеть. Для отправки и получения файлов требуется утверждение пользователем каждого файла.

  • Боты информируются каждый раз при добавлении или удалении пользователя из группы.

  • Боты не видят IP-адреса пользователей или другие сведения об источнике ссылки. Все сведения поступают от корпорации Майкрософт. (Существует одно исключение: если бот реализует свой собственный интерфейс входа, пользовательский интерфейс входа видит IP-адреса пользователей и сведения о ссылках.)

  • Расширения обмена сообщениями, с другой стороны, могут просматривать IP-адреса пользователей и сведения о ссылках.

Примечание.

  • Если у бота есть собственный вход, при первом входе пользователя в систему происходит другой процесс предоставления согласия.
  • Пользователи могут искать приложения с botId помощью , который был доступен в приложении. Хотя пользователи могут просматривать имя приложения, они не могут взаимодействовать с такими ботами.

Вкладки

Вкладка — это веб-сайт, работающий внутри Teams. Это может быть вкладка в собрании, чате или канале.

Рассмотрим следующие типы взаимодействия с пользователем или доступа к данным для вкладок.

  • Пользователи, открывающее вкладку в браузере или в Teams, точно так же. Сам веб-сайт не может получить доступ к информации организации самостоятельно.

  • Вкладка также получает контекст, в котором она выполняется, включая имя входа и имя участника-пользователя текущего пользователя, идентификатор объекта Microsoft Entra для текущего пользователя, идентификатор группы Microsoft 365, в которой он находится (если это команда), идентификатор клиента и текущий языковой стандарт пользователя. Однако, чтобы сопоставить эти идентификаторы с данными пользователя, на вкладке необходимо выполнить вход пользователя с идентификатором Entra ID.

Соединители

Соединитель публикует сообщения в канале при возникновении событий во внешней системе. Для соединителей требуется разрешение на публикацию сообщений в канале. Дополнительное разрешение для соединителей — это разрешение на ответ на сообщение. Некоторые соединители поддерживают сообщения с действиями, которые позволяют пользователям публиковать целевые ответы на сообщение соединителя. Например, путем добавления ответа на проблему GitHub или даты в карта Trello. Рассмотрим следующие типы взаимодействия с пользователем, необходимые разрешения и доступ к данным соединителями:

  • Система, которая публикует сообщения соединителя, не знает, кому и кто получает сообщения. Сведения о получателе не раскрываются. Майкрософт является фактическим получателем, а не организацией. Корпорация Майкрософт выполняет фактическую публикацию в канале.

  • Когда соединители публикуют сообщения в канале, данные не покидают корпоративную сеть.

  • Соединители, поддерживающие сообщения с действиями, также не отображают сведения об IP-адресе и ссылке; Корпорация Майкрософт получает эти сведения, а затем направляет их в конечные точки HTTP, которые ранее были зарегистрированы в корпорации Майкрософт на портале соединителей.

  • Каждый раз, когда соединитель настраивается для канала, создается уникальный URL-адрес для этого экземпляра соединителя. При удалении этого экземпляра соединителя вы не сможете использовать URL-адрес.

  • Сообщения соединителя не могут содержать вложенные файлы.

  • Обрабатывать URL-адрес экземпляра соединителя как секретный или конфиденциальный. Любой пользователь, у которого есть URL-адрес, может опубликовать его. При необходимости владельцы команд могут удалить экземпляр соединителя.

  • При необходимости администратор может запретить создание новых экземпляров соединителя, а корпорация Майкрософт может заблокировать все использование приложения соединителя.

Исходящие веб-перехватчики

Владельцы или участники команды создают исходящие веб-перехватчики. Исходящие веб-перехватчики получают сообщения от пользователей и отвечают на них. Рассмотрим следующие типы взаимодействия с пользователем, необходимые разрешения и доступ к данным с помощью исходящих веб-перехватчиков:

  • Исходящие веб-перехватчики похожи на ботов, но имеют меньше привилегий. Они должны быть явно упомянуты, как и боты.

  • При регистрации исходящего веб-перехватчика процесс создает секрет. Этот секрет позволяет исходящему веб-перехватчику убедиться, что отправитель является Teams, а не злоумышленником. Сохраните этот секрет; Любой, у кого есть доступ к ней, может олицетворять Teams. Если секрет скомпрометирован, удалите и повторно создайте исходящий веб-перехватчик, чтобы создать новый секрет.

  • Несмотря на то, что можно создать исходящий веб-перехватчик, не проверяющий секрет, мы рекомендуем не использовать его.

  • Кроме получения сообщений и ответа на них, исходящие веб-перехватчики не могут делать многого: они не могут заблаговременно отправлять сообщения, они не могут отправлять или получать файлы, и они не могут делать ничего другого, что боты могут делать, кроме получения и ответа на сообщения.

  • Last updated on