Рекомендации по миграции для управления, ориентированного на приложения

Управление, ориентированное на приложения, упрощает процесс предоставления приложений пользователям и группам. Миграция управления, ориентированная на приложения, включает сохранение пользователей и приложений, разрешенных в политиках разрешений приложений. Вы также можете добавлять или исключать пользователей во время миграции.

Мы рекомендуем выполнить эти действия до и после миграции вручную, чтобы проверка работоспособности миграции, ориентированной на приложения.

Примечание.

Миграция управления, ориентированная на приложения, не влияет на разрешения графа, разрешенные для приложений.

Предварительная миграция

1. Экспорт каталога приложений и заметок разрешенных приложений
2. Просмотрите политики разрешений и обратите внимание на разрешенные или заблокированные приложения
3. Определение пользователей, разрешенных для каждого приложения с помощью политик разрешений

Шаг 1. Экспорт каталога приложений и заметки о разрешенных приложениях

Перейдите на страницу Управление приложениями и экспортируйте полный список приложений в каталоге в виде CSV-файла, включая состояние разрешенного или заблокированного приложения. Состояние разрешено или заблокировано определяет, доступно ли приложение всем или никому соответственно. Это состояние используется на следующих шагах для фильтрации пользователей. Дополнительные сведения см. в разделе Экспорт каталога приложений в формате CSV.

Шаг 2. Проверка политик разрешений и примечание о разрешенных или заблокированных приложениях

Если у вас есть несколько политик разрешений, выполните следующие действия, чтобы получить список политик разрешений:

1. Перейдите в Центр >администрирования TeamsУправление политиками разрешений приложений>.
2. Откройте каждую политику разрешений и запишите, какие приложения разрешены или заблокированы.

Действия, чтобы получить список политик разрешений с помощью команд PowerShell:

1. Выполните команду PowerShell: Get-CsTeamsAppPermissionPolicy.

   Отобразится следующий результат:

   

Получение разрешенных приложений в каждой политике разрешений

Вы можете получить разрешенные приложения в каждой политике разрешений с помощью команд PowerShell. Но не все приложения по умолчанию отображаются в ответе. Чтобы просмотреть полный список, назначьте результат переменной.

Пример: $msftApps = Get-CsTeamsAppPermissionPolicy -Identity "Global" | Select-Object -ExpandProperty DefaultCatalogApps $msftApps.id

Фильтрация заблокированных приложений

1. После сбора сведений обо всех приложениях, разрешенных в клиенте, определите пользователей или группы, разрешенные для использования каждого приложения.

2. Объедините эти данные с экспортом со страницы Управление приложениями.

Примечание.

Любое приложение, помеченное как заблокированное в разделе Управление приложениями, останется заблокированным независимо от результатов назначения политики.

Шаг 3. Определение пользователей, разрешенных для каждого приложения

Вы можете определить пользователей, разрешенных для каждого приложения, следующими способами:

• Центр администрирования Teams
• Powershell

Получение списка пользователей, назначенных политике в пользовательском интерфейсе

1. Перейдите в Центр администрирования Teams.

2. Перейдите в раздел Пользователи>Управление пользователями.

   

3. Выберите фильтр, расположенный в правом верхнем углу таблицы Управление пользователями.

   

4. Выберите имя политики, для которой требуются назначения пользователей, и нажмите кнопку Применить.

   

   Отображаются все пользователи, назначенные фильтруемой политике.

   

   Вы также можете экспортировать список пользователей в CSV-файл.

   

Определение пользователей, разрешенных для каждого приложения в PowerShell

Вы также можете использовать следующую команду PowerShell для экспорта назначений пользователей для каждой настраиваемой политики. Этот скрипт создает файл Excel, если заданная политика имеет назначения пользователей; В противном случае отображается сообщение о том, что назначения пользователей не существуют.

Выходные данные команды PowerShell:

Экспортируемый файл отображается следующим образом:

• Чтобы определить базовый путь для экспорта, выполните следующие действия: $basePath = "C:\Users\<user name>\Downloads"

• Чтобы убедиться, что базовый путь существует: if (-not (Test-Path -Path $basePath)) { New-Item -ItemType Directory -Path $basePath | Out-Null }

• Чтобы получить все политики разрешений для приложений Teams, выполните следующие действия: $policies = Get-CsTeamsAppPermissionPolicy | Select-Object Identity

• Чтобы выполнить цикл по каждой политике, выполните следующие действия: foreach ($policy in $policies) { $policyName = $policy.Identity #Ignore 'Global' policy if ($policyName -eq 'Global') { continue }

• Чтобы удалить префикс TAG:, если он существует, выполните приведенные ниже действия.

  if ($policyName -like 'TAG:*') { $policyName = $policyName -replace '^TAG:', '' }

• Чтобы получить пользователей, назначенных текущей политике: $users = Get-CsOnlineUser -Filter "TeamsAppPermissionPolicy -eq '$policyName' -and SoftDeletionTimestamp -eq $null" | Select-Object Identity, DisplayName, UserPrincipalName, TeamsAppPermissionPolicy, AccountEnabled, AccountType'

• Чтобы проверка, если число пользователей равно нулю: if ($users.Count -eq 0) { Write-Host "e[31m$policyName не имеет назначений пользователейe[0m" continue }

• Экспорт пользователей в CSV-файл: $outputPath = "$basePath\users_$($policyName).csv" $users | Export-Csv -Path $outputPath -NoTypeInformation Write-Host "e[32mExported users for policy: $policyName to $outputPathe[0m" }

После миграции

После миграции клиенты могут проверить состояние перед миграцией, выполнив те же действия. Следуйте инструкциям, определенным в этом разделе, чтобы собрать предыдущие политики разрешений и сравнить их с параметрами управления, ориентированными на приложения. Просмотрите политики разрешений и обратите внимание на разрешенные или заблокированные приложения.

Массовое управление приложениями

1. Создание списков рассылки и добавление участников. Для создания списков рассылки и Add-DistributionGroupMember добавления участников можно использовать New-DistributionGroup команды и PowerShell.

   Например: New-DistributionGroup -Name "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins" -PrimarySmtpAddress "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com"Add-DistributionGroupMember -Identity "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins" -Member "user1@man-es.com"

2. Назначение всех приложений списку рассылки. Чтобы назначить все приложения списку DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.comрассылки, можно использовать Update-M365TeamsApp команду PowerShell. Ниже приведен пример назначения всех приложений вместе:

   $apps = Get-AllM365TeamsApps foreach ($app in $apps) { Update-M365TeamsApp -Id $app.Id -AppAssignmentType UsersAndGroups -Groups "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com" }

3. Изменение доступности определенных приложений для всех пользователей. Чтобы изменить доступность определенных приложений для всех, можно использовать Update-M365TeamsApp команду PowerShell с параметром AppAssignmentType .Everyone

   Пример: $appIds = @("appId1", "appId2", "appId3", ...) # List of 53 app IDs foreach ($appId in $appIds) { Update-M365TeamsApp -Id $appId -AppAssignmentType Everyone }

4. Разрешить приложениям Майкрософт использовать несколько списков рассылки. Чтобы разрешить всем приложениям Майкрософт доступ к спискам DTDEAUG_MSTeamsAppPolicy_ITTestMSPVA@man-es.com рассылки и DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com, можно использовать Update-M365TeamsApp команду .

   Пример: $msApps = Get-AllM365TeamsApps | Where-Object { $_.Publisher -eq "Microsoft" } foreach ($app in $msApps) { Update-M365TeamsApp -Id $app.Id -AppAssignmentType UsersAndGroups -Groups "DTDEAUG_MSTeamsAppPolicy_ITTestMSPVA@man-es.com","DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com" }

   Ниже приведен пример list.csv файла: AppId,DistributionList appId1,DTDEAUG_MSTeamsAppPolicy_Group1@man-es.com appId2,DTDEAUG_MSTeamsAppPolicy_Group2@man-es.com appId3,DTDEAUG_MSTeamsAppPolicy_Group3@man-es.com ...

Следующий скрипт PowerShell можно использовать для чтения CSV-файла и назначения приложений указанным спискам рассылки: $csv = Import-Csv -Path "C:\path\to\list.csv" foreach ($row in $csv) { Update-M365TeamsApp -Id $row.AppId -AppAssignmentType UsersAndGroups -Groups $row.DistributionList } Этот сценарий PowerShell циклически просматривает каждую строку в CSV-файле и назначает приложения соответствующим спискам рассылки.

Ниже приведен еще один пример:

1. Внесены необходимые изменения в Обновления конфигурации Teams Администратор Center.

2. Применены все доступные приложения к Группе рассылки Teams Администратор для плавного управления.

   Используется следующая команда PowerShell: Import-Csv .\AppList1.csv | %{Update-M365TeamsApp -Id $_.AppId -AppAssignmentType UsersAndGroups -Groups $_.GroupID -OperationType Add}

3. Все приложения Майкрософт назначены назначенной настраиваемой группе политик, чтобы все приложения Майкрософт были организованы и управляются в соответствии с определенной политикой для целевой группы пользователей. Используется следующая команда PowerShell: Import-Csv .\AppList2.csv | %{Update-M365TeamsApp -Id $_.AppId -AppAssignmentType UsersAndGroups -Groups $_.GroupID -OperationType Add}

4. Сопоставлены определенные приложения с соответствующими настраиваемыми группами политик для повышения эффективности управления доступом. Используется следующая команда PowerShell: Import-Csv .\AppList3.csv | %{Update-M365TeamsApp -Id $_.AppId -AppAssignmentType UsersAndGroups -Groups $_.GroupID -OperationType Add}

5. Обновите глобальную политику , чтобы сделать выбранные приложения доступными для всех пользователей в организации. Используется следующая команда PowerShell: gc '.\GlobalApps.txt' | %{Update-M365TeamsApp -Id $_ -AppAssignmentType Everyone}

Статьи по теме

• Проверка доступности и состояния приложения
• Просмотр всех приложений Teams в каталоге приложений
• Обновления состояние приложения