通过

使用以应用为中心的管理来管理对应用的访问权限

  • 项目
  • 适用于:
    Microsoft Teams

重要

所有组织都没有可用的以应用为中心的管理 (ACM) 功能。 如果你未使用自定义权限策略,并且你不是企业客户,我们会迁移你的组织以使用此功能。 如果你使用的是自定义权限策略,或者你是企业客户,那么你很快就能够自行迁移到 ACM 功能。 有关时间线,请参阅 消息中心发布MC688930Microsoft 365 路线图项151829

如果在 “权限策略”页上看到策略,请继续使用 应用权限策略 或自行迁移到此功能。 如果组织现在正在使用 ACM 功能,则会在权限策略页上看到以下消息。

显示使用以应用为中心的管理的组织的权限策略更改的屏幕截图。

以应用为中心的管理功能引入了一种新方法来控制用户和组对 Teams 应用的访问。 它将替换应用权限策略。 通过此功能,可以指定哪些用户和组可以使用每个应用,并且可以基于每个应用对其进行控制。

你可以管理单个用户、支持的组或组织中的每个人对应用的访问权限。 你可以完全控制谁可以或不能在你的组织中添加应用。 还可以控制我们发布到 Teams 应用商店的新应用的访问。

以应用为中心的管理与权限策略的区别

以前,在使用权限策略时,已使用以下三个设置确定对应用的访问权限:

  • 适用于第三方应用的组织范围应用设置:它在组织级别应用,并控制是否适用于所有第三方应用。
  • 应用状态:应用级别应用为允许或阻止,并控制是否可供任何用户使用。
  • 权限策略:它在用户级别应用,并控制是否允许特定用户使用应用。

以应用为中心的管理功能简化了这些设置。 每个应用都包含其访问定义,使用分配给它的用户和组列表。 它允许你根据用户的需求以及组织的合规性和风险状况单独管理每个应用。

使用此功能时,可为每个应用使用以下选项之一确定对应用的访问权限:

新建选项 谁获取应用 它如何使用以前的设置进行映射
Everyone 适用于所有组织用户、新用户和来宾 与允许应用和全局 (组织范围的默认) 应用权限策略(允许所有用户使用它)的效果相同。
Specific users or groups 只有你选择的用户和组才能使用该应用。 支持的组类型包括安全组、Microsoft 365 个组、动态用户成员身份组、嵌套组和通讯组列表。 与使用自定义应用权限策略将应用的使用限制为所选用户或组相同。
No one 对任何用户都不可用 与被阻止的应用相同。

允许用户访问应用的方法更改了此功能。 过去,为了允许用户访问,需要在策略中将应用添加为允许的应用,并将该策略分配给用户。 使用此功能,只需修改应用的可用性,以允许所选用户使用它。 此外,无需为应用和允许用户的不同组合创建多个策略。

迁移到以应用为中心的管理

以前,我们会自动迁移未使用任何自定义策略的组织。 管理员现在可以执行按需迁移。 了解这两种类型的迁移之间的差异。

迁移类型 谁来做 要求 它是如何完成的
辅助 Administrator 组织使用一个或多个自定义策略 管理中心中的引导 UI
自动 Microsoft 组织仅使用默认全局策略 自动,无需管理员干预

强烈建议为迁移做好准备,并按照以下步骤进行准备:

  1. 登录到 Teams 管理中心并访问 Teams 应用 >权限策略 页。 清点权限策略中的应用,并确定允许或阻止应用的用户和组。 在迁移期间,可能需要手动编辑现有用户和组的某些应用的可用性。 有关详细信息,请参阅步骤 5。

  2. 在“权限策略”页上,选择“ 入门”。

    显示策略页的屏幕截图,其中提示迁移到以应用为中心的管理。

  3. 选择要迁移的策略,然后选择“ 下一步”。 该页仅显示分配给用户或组的策略。 此外,我们仅迁移那些应用及其可用性,这些应用及其可用性是你选择迁移的策略的一部分。 未选择的策略中的应用不是迁移的一部分,以后无法迁移。 但是,可以在迁移后手动编辑任何应用的可用性。

    显示用于选择策略的以应用为中心的管理迁移 UI 的屏幕截图。

  4. 在下一页上验证用户的应用可用性。 在以下三个选项卡中,它显示了组织范围应用设置中的应用列表,以及你选择迁移的应用权限策略。

    • 可供所有人使用:允许组织中的每个人使用的应用列表。
    • 适用于特定用户和组:有选择地允许至少一个组织用户或受支持的组的应用列表。
    • 不对任何人可用:组织中的任何人都无法使用的应用列表。

  5. 在每个选项卡中,可以根据需要将应用可用性修改为 三种应用可用性类型之一。 如果应用可用性不明确且需要管理员输入才能继续,则“编辑可用性”选项将显示在 “特定用户和组 ”选项卡中。 这是因为选择迁移的策略中没有应用,或者可用性存在冲突。 必须先将此类应用分配到 ,然后才能继续操作。

    显示迁移过程中的三个选项卡的屏幕截图,这些选项卡可帮助你查看和修改应用可用性。

    提示

    如果在此选项卡中看到许多应用,则可能具有具有冲突应用可用性的策略。 例如,允许多个应用的策略和阻止相同应用的另一个策略。 在这种情况下,建议取消选中导致冲突的策略,或者在此选项卡中编辑可用性。

  6. 可以按应用或按用户验证更改。 选择选项卡并键入应用或用户的名称。

    显示验证是否适用于接收特定应用的每个用户和用户的屏幕截图。

  7. 在最终的评审 UI 上,可以看到应用及其可用性,以及迁移后应用的组织范围应用设置。 可以将此信息下载为 CSV 文件,以便进一步评估。 例如,可以使用步骤 1 中的清单映射来确保应用可用性符合预期。 确定后,选择“ 开始迁移 ”并按照提示操作。

    显示用于查看所有设置的最后一个 UI 的屏幕截图。

在迁移过程中,可以使用“ 稍后完成” 选项保存迁移进度的草稿。 此外,可以使用 “重置所有更改 ”选项取消和删除已保存的草稿。

注意

启动迁移时,将禁用现有的“管理应用”UI。 如果尚未准备好继续操作或想要更改即将退出的权限策略,请打开向导并选择“重置所有更改”选项。 可以再次重启迁移。

迁移后,被阻止的应用将继续对用户不可用。 此类应用的状态显示为unblocked“现在”,但在“管理应用”页面的 Available to 列中,应用被No one分配到。 这意味着组织用户不能像之前预期的那样使用应用。

为用户添加或修改应用可用性

若要允许用户添加和使用应用,必须将用户或组分配到应用。 更改最多需要 24 小时才能生效。

  1. 在 Teams 管理中心中,转到 “管理应用 ”页面,搜索所需的应用,然后选择应用名称以打开其应用详细信息页。 无法批量分配应用。

  2. 选择“ 分配 ”选项卡。

  3. 选择 “分配 ”或 “分配应用”。

  4. “管理可安装此应用的人员 ”菜单中选择所需的选项。 分配用户或组时,请从“搜索用户或组”菜单中 搜索用户或组 。 选择“应用”。

    显示如何从应用详细信息页定义应用可用性的屏幕截图。

  5. 若要从应用中删除一个或多个用户或组,请选择行,然后选择 “删除”。

    显示如何从应用详细信息页中删除应用的现有可用性的屏幕截图。

应用可用性的默认设置

除了定义应用的可用性外,还可以控制任何新应用的默认应用可用性。 可以控制每种类型的应用。 对于新组织,默认设置设置为允许用户默认安装应用。 对于现有组织, 旧设置映射到新的访问设置

若要更改此默认设置,请访问 “管理应用 ”页,选择 “操作>组织范围的应用设置”,并修改所需的设置。

组织范围的应用设置适用于:

  • Teams 应用商店中提供的所有新应用。
  • 未主动管理的所有现有应用,即未更改其可用性。

显示组织中使用以应用为中心的管理功能的组织范围应用设置的屏幕截图。

组织范围的应用设置不适用于:

  • 用户分配设置为“特定用户和组”并由你保存的所有应用。
  • 分配给“所有人”或“无人”并单独保存的所有应用。
  • 任何被阻止的应用。

假设你开始使用该功能,并且所有应用都分配给了所有人。 现在,你已将应用的可用性更改为特定组或某些用户。 保存此更改后,如果更改标题为“ 默认情况下允许用户安装和使用可用应用”的“组织范围应用”设置,则此特定应用将继续分配给特定组或用户。 对组织范围应用设置的更改仅适用于未更改其可用性的应用。 此外,如果再次更改 “允许用户安装和使用可用应用”默认设置 ,则除主动管理的应用外,所有其他应用的可用性将再次受到影响。

查看组织中的应用

可以查看目录中的所有应用,并从 “管理 应用”页轻松访问应用可用性。 可以使用所有三种类型的应用可用性进行排序和筛选。 若要了解Microsoft提供的应用,请参阅 Microsoft创建的应用列表

显示如何通过组合各种条件(例如应用可用性、应用类型和应用状态)筛选应用的屏幕截图。

查看特定用户可用的所有应用

“管理用户 ”页上,选择一个用户以打开用户详细信息页,然后选择“ 应用 ”选项卡。选项卡列出了用户有权访问的应用。 若要轻松查找应用的访问类型,可以搜索应用的名称。

显示如何从“管理用户”页查看用户有权访问的所有应用的屏幕截图。

每个应用都显示其可用性的类型,该类型指示如何将用户分配到应用:通过向所有人提供可用性、将可用性直接分配给用户或通过组。 该列表仅显示分配给用户且允许在组织中使用的应用。 分配给任何人的应用和在组织中被阻止的应用不会出现在此列表中。

可以删除用户的应用可用性。 选择直接分配给用户的应用,然后选择 “删除”。 如果应用可供所有人或组使用,则无法删除用户的可用性。

旧权限策略和新应用可用性之间的映射

当租户的管理中心收到此功能时,会对应用访问权限进行以下更新。 对应用的访问权限不会更改,更新仅将现有权限策略映射到新的可用性。

应用权限策略和早期组织设置 使用此功能时组织范围的应用设置
Microsoft应用的全局权限策略为 Allow all 或 Microsoft 应用的全局权限策略为 Block an app(s), allow all others Allow users install available apps by default for Microsoft 应用设置为 on
Microsoft应用的全局权限策略为 Block all 或 Microsoft 应用的全局权限策略为 Allow app(s), Block all others Allow users install available apps by default for Microsoft 应用设置为 off
组织范围应用设置中的第三方应用设置设置为“打开”;组织范围应用设置中的新第三方应用设置设置为“打开”;第三方应用的全局权限策略为 Allow all;或第三方应用的全局权限策略为 Block an app(s), allow all others Allow users install available apps by default for 第三方应用设置为“打开”
组织范围应用设置中的第三方应用设置设置为 off;组织范围应用设置中的新第三方应用设置设置为 off;第三方应用的全局权限策略为 Block all;或第三方应用的全局权限策略为 Allow app(s), Block all others Allow users install available apps by default 第三方应用的 设置为“关闭”
自定义应用的全局权限策略为 Allow all 或自定义应用的全局权限策略为 Block an app(s), allow all others Allow users install available apps by default 的自定义应用设置为“打开”
自定义应用的全局权限策略为 Block all 或自定义应用的全局权限策略为 Allow app(s), Block all others Allow users install available apps by default 的 自定义应用设置为“关闭”
早期应用状态 之前应用的权限策略 使用此功能时的应用可用性
已屏蔽 已屏蔽 没有人可以安装
已屏蔽 允许 没有人可以安装
允许 已屏蔽 没有人可以安装
允许 允许 所有人

注意事项和已知限制

  • 一次最多可以向应用添加 99 个用户或组。

  • 搜索要添加的用户或组时,UI 仅显示 20 个结果。 如果未找到预期结果,请优化搜索查询以使用确切名称。

  • 迁移后,被阻止的应用将继续对用户不可用。 此类应用的状态现在为 unblocked ,但应用可在“管理应用”页上的 列中使用No oneAvailable to。 这意味着任何组织用户都无法按预期使用应用。

  • 切换到此功能后,无法访问、编辑或使用权限策略。 组织迁移后,无法还原迁移。

  • 无法批量更新应用可用性。