Прочитать на английском

Поделиться через


Управление доступом к функциям в Viva

Политики доступа можно использовать в Viva, чтобы управлять тем, какие пользователи могут получать доступ к определенным функциям в Viva приложениях. Управление доступом к функциям позволяет включать или отключать определенные функции в Viva для определенных групп или пользователей в клиенте и адаптировать развертывания в соответствии с местными нормативными и бизнес-требованиями.

Важно!

Вы можете использовать несколько политик доступа для функции, активной в вашей организации. Это означает, что на пользователя или группу могут повлиять несколько политик. В этом случае приоритет имеет наиболее строгая политика, назначенная непосредственно пользователю или группе. Дополнительные сведения см. в разделе Принцип работы политик доступа в Viva.

Авторизованный администратор в клиенте может создавать, назначать политики доступа и управлять ими с помощью PowerShell. Когда пользователь входит в Viva, применяются параметры политики, и он видит только функции, которые не были отключены.

Примечание

Вы можете отключить подмножество функций в приложениях Viva с помощью управления доступом к функциям. Ограничение использования одной функции может повлиять на функциональность других функций в приложении. Обязательно проверка документацию по приложению по конкретной функции, чтобы понять последствия отключения или включения доступа к функции.

Функции, доступные для управления доступом к функциям

Управление доступом к функциям можно использовать для управления доступом к следующим функциям:

Примечание

  • Некоторые функции могут не поддерживать политики пользователей или групп. Кроме того, политики для одного приложения могут повлиять на весь клиент или пользователей в вашем клиенте. Дополнительные сведения см. в документации по функциям по ссылке в таблице.
  • Только некоторые функции имеют элементы управления, доступные администраторам, чтобы предоставить пользователям возможность отказаться.
Приложение Функция Контроль за отказом пользователя? Кто может управлять доступом ModuleID
Взаимодействие Copilot в Engage Нет администратор Engage VivaEngage
Сводные данные по искусственному интеллекту Да администратор Engage VivaEngage
Цели Copilot в Viva Goals Нет администратор Goals VivaGoals
Insights Панель мониторинга Copilot Нет Глобальный администратор VivaInsights
Автоматическое включение панели мониторинга Copilot Нет Глобальный администратор VivaInsights
Делегирование панели мониторинга Copilot Нет Глобальный администратор VivaInsights
Copilot Assisted Value Нет Глобальный администратор VivaInsights
Дайджест-приветствие Email Нет Глобальный администратор VivaInsights
Стоимость и качество собраний Нет Администратор приложения "Аналитика" VivaInsights
Reflection Нет Администратор приложения "Аналитика" VivaInsights
Пульс Настройка Нет администратор Viva Pulse VivaPulse
Беседы команды в отчетах Pulse Нет администратор Viva Pulse VivaPulse
Навыки Предложения навыков* Да Администратор базы знаний VivaSkills

* Функция или элемент управления функциями могут быть доступны еще не для всех клиентов. Поддержка будет добавлена в ближайшее время.

Примечание

  • Вы можете управлять доступом только к функциям, поддерживающим политики доступа и доступным в клиенте. Например, если у вас есть клиент на основе EDU, политики нельзя использовать для получения доступа к функциям, недоступным для клиентов EDU. То же самое относится к функциям, недоступным в определенных географических регионах. Дополнительные сведения о ее доступности см. в документации по конкретной функции, которую вы хотите использовать.
  • Внесение изменений в функцию Copilot в Viva Engage может занять до 48 часов. Изменения для других функций обычно вступают в силу в течение 24 часов.

Требования

Перед созданием политики доступа в Viva необходимо:

Важно!

Viva управление доступом к функциям недоступно для клиентов, у которых есть планы Microsoft 365 GCC, GCC High или DOD.

Создание политик доступа для функций Viva и управление ими

Получение идентификатора компонента

Прежде чем создавать политику доступа, необходимо получить идентификатор featureID для конкретной функции, к которой вы хотите управлять доступом.

Используйте командлет PowerShell Get-VivaModuleFeature, чтобы получить список всех функций, доступных в конкретном приложении Viva, и связанных с ними идентификаторов.

  1. Установите Exchange Online PowerShell версии 3.2.0 или более поздней:

    Install-Module -Name ExchangeOnlineManagement
    
  2. Подключитесь к Exchange Online с учетными данными администратора:

    Connect-ExchangeOnline
    

    Выполните проверку подлинности в качестве глобального администратора или роли, необходимой для конкретной функции, для которую вы создаете политику.

  3. Выполните командлет Get-VivaModuleFeature , чтобы просмотреть функции, которыми можно управлять с помощью политики доступа.

    Например, чтобы узнать, какие функции поддерживаются в Viva Insights, выполните следующий командлет:

    Get-VivaModuleFeature -ModuleId VivaInsights
    
  4. Найдите функцию, для которую вы хотите создать политику доступа, и запишите ее featureID.

Создать политику доступа

Теперь, когда у вас есть featureID, используйте командлет PowerShell Add-VivaModuleFeaturePolicy , чтобы создать политику доступа для этой функции.

Пользователям и группам можно назначить не более 10 политик на каждую функцию. Каждая политика может быть назначена не более 20 пользователям или группам. Вы можете назначить одну дополнительную политику для каждого компонента всему клиенту с помощью параметра -Все , который будет функционировать как глобальное состояние по умолчанию для этой функции в вашей организации.

Выполните командлет Add-VivaModuleFeaturePolicy , чтобы создать новую политику доступа.

Примечание

Если функция поддерживает пользовательские элементы управления для отказа, убедитесь, что при создании политики задан параметр IsUserControlEnabled . В противном случае пользовательские элементы управления для политики используют состояние по умолчанию для компонента.

Например, выполните следующую команду, чтобы создать политику доступа с именем UsersAndGroups, чтобы ограничить доступ к функции отражения в Viva Insights.

Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com    

В этом примере добавляется политика для функции отражения в Viva Insights. Политика отключает функцию для указанных пользователей и членов группы. Если вы хотите отключить эту функцию для всех пользователей, используйте вместо этого параметр -All .

Управление политиками доступа

Вы можете обновить политику доступа, чтобы изменить, включена или отключена функция, а также изменить, к кому применяется политика (все, пользователь или группа).

Например, на основе нашего последнего примера, чтобы обновить, к кому применяется политика, выполните следующий командлет:

Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com

Как и при создании политики, если политика поддерживает пользовательские элементы управления, включите параметр IsUserControlEnabled при изменении политики.

Важно!

Значения, указанные для параметров -UserIds и -GroupIds или параметра -All , перезаписывают все существующие пользователи или группы. Чтобы сохранить существующих пользователей и группы, необходимо указать этих существующих пользователей или группы , а также всех дополнительных пользователей или групп, которые вы хотите добавить. Если не включить в команду существующих пользователей или групп, эти пользователи или группы будут удалены из политики. Вы не можете обновить политику для конкретного пользователя или группы, чтобы включить весь клиент, если для функции уже существует политика для всего клиента . Поддерживается только одна политика на уровне клиента.

Чтобы проверка, какие функции отключены для конкретного пользователя или группы, выполните командлет Get-VivaModuleFeatureEnablement. Этот командлет возвращает то, что называется состоянием включения для пользователя или группы.

Например:

Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com

Удаление политики доступа

Используйте командлет Remove-VivaModuleFeaturePolicy , чтобы удалить политику доступа.

Например, чтобы удалить политику доступа к функции отражения, начните с получения определенного идентификатора пользовательского интерфейса для политики доступа. Это можно получить, выполнив командлет Get-VivaModuleFeaturePolicy. Затем запустите следующий командлет:

Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Устранение неполадок

  • Если у вас возникли проблемы с созданием или использованием политик доступа для функций Viva приложений, убедитесь, что функция, для которых вы пытаетесь задать политику, указана в таблице компонентов и доступна вашему клиенту.

  • Если во время выполнения командлета PowerShell отображается сообщение об ошибке "Инициатор запроса не был авторизован на выполнение запроса", проверка, если у вас есть какая-либо политика условного доступа, блокирующая определенные IP-адреса. Если это так, удалите IP-адрес из этой политики или создайте новую политику, чтобы разрешить список IP-адресов. Дополнительные сведения о Microsoft Entra условного доступа и устранении неполадок с условным доступом с помощью средства "Что если".

Принципы работы политик доступа в Viva

  • Когда пользователь входит в систему и обращается к Viva, немедленно выполняется проверка, чтобы узнать, применяется ли к пользователю политика.
  • Если пользователь назначается политике напрямую или является членом Microsoft Entra группы или группы Microsoft 365 с назначенной политикой, параметр политики применяется.
  • Если пользователю не назначена политика напрямую или он не входит в группу Microsoft Entra или группу Microsoft 365, которым назначена политика, применяется глобальная политика по умолчанию. Если глобальной политики по умолчанию нет, для функции применяется состояние включения по умолчанию.
  • Если пользователю назначено несколько политик напрямую или в виде группы, применяется самая строгая политика. (Обратите внимание, что не все функции включают возможность отказа пользователя.) Вот порядок приоритета:
    1. Функция отключена.
    2. Функция включена.
    3. Функция включена, и пользователь может отказаться от нее.
  • Если пользователи находятся во вложенных группах и вы применяете политики доступа к родительской группе, пользователи во вложенных группах получают политики. Вложенные группы и пользователи в этих вложенных группах должны быть созданы или синхронизированы с Microsoft Entra ID.
  • Изменения в политиках доступа вступают в силу для пользователя в течение 24 часов, если для конкретной функции не указано иное. Изменения для Copilot в Viva Engage могут занять до 48 часов.
  • При добавлении пользователей в группу Microsoft Entra ID или Microsoft 365 или их удалении может потребоваться 24 часа, прежде чем изменения в их доступе к функциям вступили в силу.
  • Когда администратор удаляет для пользователей возможность отказаться, полностью включив или отключив эту функцию, предпочтения пользователя не сохраняются и будут сброшены в состояние по умолчанию. Если администратор повторно включает параметр, разрешающий пользователю отказаться от функции, пользователям потребуется снова отказаться от этой функции.
  • Быстрое изменение состояния включения функции менее чем через 24 часа после внесения изменений может не привести к сбросу настроек согласия пользователя.
  • Журнал создания, обновления и удаления политик см. в журнале изменений Viva управления доступом к функциям (VFAM) для вашей организации в Microsoft Purview.

Дополнительные сведения и рекомендации

  • Политики оцениваются для каждого пользователя.
  • "Всем" может быть назначена только одна политика для каждой функции. Эта политика служит глобальным состоянием по умолчанию для этой функции в вашей организации.
  • По мере того как новые элементы управления функциями становятся доступными в Viva для управления доступом пользователей и групп, они добавляются в Viva управления доступом к функциям.
  • При удалении удостоверений пользователей в Microsoft Entra ID данные пользователей удаляются из Viva управления доступом к функциям. Если удостоверения пользователей повторно включены в течение периода обратимого удаления, администратору необходимо переназначить политики пользователю.
  • При удалении групп в Microsoft Entra ID и Microsoft 365 они удаляются из хранимых политик. Если группы повторно включены в течение периода обратимого удаления, администратору необходимо переназначить политики группам.

Дополнительные ресурсы

Конфиденциальность Microsoft Viva

Безопасность Microsoft Viva

Роли и задачи администратора Viva