将策略分配给用户和组

  • 项目
  • 适用于:
    Microsoft Teams

本文回顾了向 Microsoft Teams 中的用户和组分配策略的不同方法。

有关 Teams 管理中心和 Teams PowerShell 模块支持的策略的详细信息,请参阅 Teams 策略参考

阅读之前,请确保已阅读 在 Teams 中分配策略 - 入门

此视频演示如何将策略分配给多个用户。

将策略分配给单个用户

按照以下步骤将策略一次分配给单个用户或几个用户。

使用 Microsoft Teams 管理中心

若要向用户分配策略,请执行以下操作:

  1. Microsoft Teams 管理中心的左侧导航栏中,转到 “用户>管理用户”。

  2. 单击用户名左侧选择用户,然后选择 “编辑设置”。

  3. 选择要分配的策略,然后选择“ 应用”。

    “管理用户”下的“编辑设置”窗格的屏幕截图。

注意

若要从用户取消分配专用策略,可以将每个策略设置为 全局 (组织范围的默认) 。 还可以批量删除直接分配到策略的所有用户的策略分配。 若要了解详细信息,请阅读 批量取消分配策略

还可以执行以下操作来向用户分配策略:

  1. 在 Microsoft Teams 管理中心的左侧导航栏中,转到策略页。

  2. 单击策略名称左侧,选择要分配的策略。

  3. 选择 “分配用户”。

  4. 在“管理用户”窗格中,按显示名称或用户名搜索用户,选择用户名,然后选择“添加”。 对想要添加的每一个用户重复此步骤。

  5. 添加完用户后,选择“ 应用”。

    显示如何通过第二种方法将策略分配给 Teams 管理中心中的用户的屏幕截图。

使用 PowerShell

每个策略类型都有自己的一组 cmdlet 用于管理它。 使用 Grant- 给定策略类型的 cmdlet 来分配策略。 例如, Grant-CsTeamsMeetingPolicy 使用 cmdlet 向用户分配 Teams 会议策略。 这些 cmdlet 包含在 Teams PowerShell 模块中,并记录在 Skype for Business cmdlet 参考中。

下载并安装 Teams PowerShell 公共版本 ((如果尚未) ),然后运行以下命令进行连接。

  # When using Teams PowerShell Module

   Import-Module MicrosoftTeams
   Connect-MicrosoftTeams

在此示例中,我们将名为“学生会议策略”的 Teams 会议策略分配给名为 Reda 的用户。

Grant-CsTeamsMeetingPolicy -Identity reda@contoso.com -PolicyName "Student Meeting Policy"

若要了解详细信息,请阅读 通过 PowerShell 管理策略

将策略分配给组

通过对组的策略分配,可以将策略分配给一组用户,例如 Microsoft 365 组、安全组或通讯组列表。 根据优先级规则,将策略分配传播到组中的成员。 将成员添加到组或从组中删除成员时,将相应更新其继承的策略分配。

对于最多 50,000 个用户的组,建议将策略分配给组,但它也适用于较大的组。

分配策略时,会立即将其分配给组。 但是,将策略分配传播到组成员作为后台操作执行,可能需要一些时间,具体取决于组的大小。 从组取消分配策略时,或者在组中添加或删除成员时,情况也是如此。

组策略分配仅传播到属于组的直接成员的用户。 分配不会传播到嵌套组的成员。

重要

Teams Powershell 模块和 Teams 管理中心不支持以下组策略分配策略。

  • Teams 应用权限策略
  • Teams 紧急呼叫路由策略
  • Teams 网络漫游策略
  • Teams 升级策略
  • Teams 语音应用程序策略

需要了解的有关组的策略分配的信息

在开始之前,请务必了解优先规则和组分配排名。

优先规则

对于给定的策略类型,用户的有效策略根据以下内容确定:

  • 直接分配给用户的策略优先于分配给组的相同类型的任何其他策略。 换句话说,如果直接为用户分配了给定类型的策略,该用户将不会从组继承相同类型的策略。 这也意味着,如果用户具有直接分配给他们的给定类型的策略,则必须从用户中删除该策略,然后他们才能从组继承相同类型的策略。
  • 如果用户没有直接分配给他们的策略,并且是两个或更多组的成员,并且每个组都有分配给该策略的相同类型的策略,则用户将继承具有最高排名的组分配的策略。 数字越小,排名越高,1 为最高排名。
  • 如果用户不是分配了策略的任何组的成员,则该策略类型的全局 (组织范围的默认) 策略将应用于该用户。

根据以下规则更新用户的有效策略:

  • 在分配了策略的组中添加或删除用户时。
  • 从组取消分配策略。
  • 将删除直接分配给用户的策略。

组分配排名

注意

给定策略类型最多可以分配给该类型的策略实例中的 64 个组。

将策略分配给组时,可以指定组分配的排名。 此排名用于确定如果用户是两个或更多组的成员,并且每个组分配了相同类型的策略,则用户应继承哪个策略作为其有效策略。

组分配排名相对于同一类型的其他组分配。 例如,如果要将呼叫策略分配给两个组,请将一个分配的排名设置为 1,将另一个分配的排名设置为 2,其中 1 个分配的排名最高。 组分配排名指示哪些组成员身份在继承方面比其他组成员身份更重要或更相关。

例如,你有两个组,即“商店员工”和“商店经理”。 这两个组分别分配有 Teams 呼叫策略、应用商店员工呼叫策略和应用商店经理呼叫策略。 对于这两个组中的商店经理,他们作为经理的角色比他们作为员工的角色更相关,因此分配给应用商店经理组的调用策略应该具有更高的排名。

Teams 呼叫策略名称 等级
商店经理 应用商店经理呼叫策略 1
商店员工 商店员工呼叫策略 2

如果未指定排名,则会为策略分配提供最低排名。

在 Teams 管理中心

  1. 在 Microsoft Teams 管理中心的左侧导航栏中,转到策略类型页。 例如,转到 “会议”“>会议策略”。
  2. 选择“ 组策略分配 ”选项卡。
  3. 选择“ 添加组”,然后在“ 将策略分配给组 ”窗格中执行以下操作:

    1. 搜索并添加要向其分配策略的组。

    2. 设置组分配的排名。

    3. 选择要分配的策略。

    4. 选择“应用”。

      显示如何将策略分配给 Teams 管理中心中的组的屏幕截图。

若要删除组策略分配,请在策略页的“ 组策略分配 ”选项卡上,选择组分配,然后选择“ 删除”。

若要更改组分配的排名,需要先删除组策略分配。 然后,按照上述步骤将策略分配给组。

此视频演示创建自定义会议策略并将其分配给组的步骤。

安装并连接到 Microsoft Teams PowerShell 模块

有关分步指南,请参阅 安装 Teams PowerShell

将策略分配给一组用户

使用适当的 Grant cmdlet 将策略分配给组。 可以使用对象 ID、SIP 地址或电子邮件地址指定组。

在此示例中,我们将名为零售经理会议策略的 Teams 会议策略分配给分配排名为 1 的组。

Grant-CsTeamsMeetingPolicy -Group d8ebfa45-0f28-4d2d-9bcc-b158a49e2d17 -PolicyName "Retail Managers Meeting Policy" -Rank 1

获取组的策略分配

使用 Get-CsGroupPolicyAssignment cmdlet 获取分配给组的所有策略。 即使组的 SIP 地址或电子邮件地址用于分配策略,也始终按组 ID 列出。

在此示例中,我们将检索分配给特定组的所有策略。

Get-CsGroupPolicyAssignment -GroupId e050ce51-54bc-45b7-b3e6-c00343d31274

在此示例中,我们返回分配有 Teams 会议策略的所有组。

Get-CsGroupPolicyAssignment -PolicyType TeamsMeetingPolicy

从组中删除策略

使用适当的 Grant cmdlet 从组中删除策略。 从组中删除策略时,将更新分配给其他组且排名较低的相同类型的其他策略的优先级。 例如,如果删除排名为 2 的策略,则会更新排名为 3 和 4 的策略以反映其新排名。 以下两个表显示了此示例。

下面是 Teams 会议策略的策略分配和优先级列表。

组名称 策略名称 等级
销售 销售策略 1
西部区域 西部区域策略 2
划分 除法策略 3
附属 子公司策略 4

如果我们从“西部区域”组中删除“西部区域”策略,则策略分配和优先级将更新如下。

组名称 策略名称 等级
销售 销售策略 1
划分 除法策略 2
附属 子公司策略 3

在此示例中,我们从组中删除 Teams 会议策略。

Grant-CsTeamsMeetingPolicy -Group f985e013-0826-40bb-8c94-e5f367076044 -PolicyName $null

更改组的策略分配

注意

若要更改组策略分配,可以从组中删除当前策略分配,然后添加新的策略分配。

将策略分配给组后,可以使用相应的 Grant cmdlet 更改该组的策略分配,如下所示:

  • 更改排名
  • 更改给定策略类型的策略
  • 更改给定策略类型的策略和排名

在此示例中,我们将组的 Teams 呼叫寄存策略更改为名为 SupportCallPark 的策略,并将分配排名更改为 3。

Grant-CsTeamsCallParkPolicy -Group 566b8d39-5c5c-4aaa-bc07-4f36278a1b38 -PolicyName SupportCallPark -Rank 3

更改用户的有效策略

下面是如何为直接分配策略的用户更改有效策略的示例。

首先,我们将 Get-CsUserPolicyAssignment cmdlet 与 PolicySource 参数一起使用,以获取与用户关联的 Teams 会议广播策略的详细信息。

Get-CsUserPolicyAssignment -Identity daniel@contoso.com -PolicyType TeamsMeetingBroadcastPolicy | select -ExpandProperty PolicySource

输出显示,直接为用户分配了名为 “员工事件”的 Teams 会议广播策略,该策略优先于分配给用户所属组的名为 “供应商实时事件 ”的策略。

AssignmentType PolicyName         Reference
-------------- ----------         ---------
Direct         Employee Events
Group          Vendor Live Events 566b8d39-5c5c-4aaa-bc07-4f36278a1b38

现在,我们从用户中删除员工事件策略。 这意味着用户不再有直接分配给他们的 Teams 会议广播策略,并将继承分配给用户所属组的供应商实时事件策略。

在 Microsoft Teams PowerShell 模块中使用以下 cmdlet 执行此操作。

Grant-CsTeamsMeetingBroadcastPolicy -Identity daniel@contoso.com -PolicyName $null

在 Teams PowerShell 模块中使用以下 cmdlet 通过批处理策略分配大规模执行此操作,其中$users是指定的用户列表。

New-CsBatchPolicyAssignmentOperation -OperationName "Assigning null at bulk" -PolicyType TeamsMeetingBroadcastPolicy -PolicyName $null -Identity $users

将策略分配给一批用户

使用管理中心

若要批量向用户分配策略,请执行以下操作:

  1. 在 Microsoft Teams 管理中心的左侧导航栏中,选择“ 用户”。
  2. 搜索要向其分配策略的用户,或筛选视图以显示所需的用户。
  3. “ (检查 标记) ”列中,选择用户。 若要选择所有用户,请选择表顶部的“ (检查 标记) ”。
  4. 选择 “编辑设置”,进行所需的更改,然后选择“ 应用”。

若要查看策略分配的状态,请在选择“应用”提交策略分配后显示在“用户”页面顶部的横幅中,选择“活动日志”。 或者,在 Microsoft Teams 管理中心的左侧导航中,转到 “仪表板”,然后在“ 活动日志”下,选择“ 查看详细信息”。 活动日志显示过去 30 天内通过 Microsoft Teams 管理中心向超过 20 个用户的批处理分配策略。 若要了解详细信息,请参阅 在活动日志中查看策略分配

使用 PowerShell 方法

注意

使用 PowerShell 的批处理策略分配并非适用于所有 Teams 策略类型。 有关支持的策略类型列表,请参阅 New-CsBatchPolicyAssignmentOperation

通过批处理策略分配,可以一次将策略分配给大型用户集,而无需使用脚本。 使用 New-CsBatchPolicyAssignmentOperation cmdlet 提交一批用户和要分配的策略。 作业将作为后台操作处理,并为每个批处理生成操作 ID。 然后,可以使用 Get-CsBatchPolicyAssignmentOperation cmdlet 跟踪批处理中分配的进度和状态。

按用户的对象 ID 或会话初始协议 (SIP) 地址指定用户。 用户的 SIP 地址通常与 UPN) 或电子邮件地址 (用户主体名称具有相同的值,但这不是必需的。 如果使用 UPN 或电子邮件指定了用户,但其值与其 SIP 地址不同,则该用户的策略分配将失败。 如果批包含重复用户,则重复项将在处理前从批处理中删除,并且仅为该批中剩余的唯一用户提供状态。

批处理最多可包含 5,000 个用户。 为了获得最佳结果,请勿一次提交多个批。 在提交更多批之前,允许批处理完成处理。

安装并连接到 Teams PowerShell 模块

运行以下命令以安装 Microsoft Teams PowerShell 模块

Install-Module -Name MicrosoftTeams

运行以下命令以连接到 Teams 并启动会话。

Connect-MicrosoftTeams

出现提示时,请使用管理员凭据登录。

安装并连接到 Microsoft Graph PowerShell 模块, (可选)

如果尚未) 并连接到Microsoft Entra ID,可能还需要下载并安装 Microsoft Graph PowerShell 模块 (,以便检索组织中的用户列表。

运行以下命令以连接到Microsoft Entra ID。

Connect-MgGraph

出现提示时,请使用用于连接到 Teams 的相同管理员凭据登录。

将设置策略分配给一批用户

在此示例中,我们使用 New-CsBatchPolicyAssignmentOperation cmdlet 将名为 HR 应用设置策略的应用设置策略分配给 users_ids.text 文件中列出的一批用户。

$user_ids = Get-Content .\users_ids.txt
New-CsBatchPolicyAssignmentOperation -PolicyType TeamsAppSetupPolicy -PolicyName "HR App Setup Policy" -Identity $user_ids -OperationName "Example 1 batch"

在此示例中,我们连接到 Microsoft Entra ID 以检索用户的集合,然后将名为 New Hire Messaging Policy 的消息传送策略分配给使用其 SIP 地址指定的一批用户。

Connect-MgGraph
$users = Get-MgUser
New-CsBatchPolicyAssignmentOperation -PolicyType TeamsMessagingPolicy -PolicyName "New Hire Messaging Policy" -Identity $users.SipProxyAddress -OperationName "Example 2 batch"

获取批处理分配的状态

运行以下命令以获取批处理分配的状态,其中 OperationId 是给定批的 New-CsBatchPolicyAssignmentOperation cmdlet 返回的操作 ID。

$Get-CsBatchPolicyAssignmentOperation -OperationId f985e013-0826-40bb-8c94-e5f367076044 | fl

如果输出显示发生了错误,请运行以下命令以获取有关 属性中的 UserState 错误的详细信息。

Get-CsBatchPolicyAssignmentOperation -OperationId f985e013-0826-40bb-8c94-e5f367076044 | Select -ExpandProperty UserState

若要了解详细信息,请参阅 Get-CsBatchPolicyAssignmentOperation

删除直接策略分配

可以从用户中删除直接策略分配。 这样做可以允许组策略分配生效。

删除直接策略分配

  1. 转到 “用户>管理用户”。
  2. 选择要删除其策略分配的用户。
  3. 在用户页上,选择“ 策略 ”选项卡。
  4. 在策略列表中,选择要删除的策略,然后选择 “删除”。
  5. 选择“ 确认”。

批量取消分配策略

批量取消分配策略时,会删除通过直接分配分配给单个用户的策略分配。 这在以下方案中很有用:

  1. 要使全局 (组织范围的默认) 或组策略分配生效: 由于 优先规则,全局 (组织范围的默认) 或组策略分配不会对具有直接策略分配的用途生效。 作为管理员,你可以批量取消分配策略以删除直接分配,以便全局 (组织范围的默认) 或组策略分配生效。
  2. 从 Teams 教育向导清理策略分配: Teams 教育策略向导为学生应用全局策略默认值,并使用组策略分配为一组教职员工分配自定义策略集。 管理员需要清理学生和教职员工的个人策略,以便全局 (组织范围内的默认) 和组作业生效。
  3. 删除不正确的策略分配: 如果通过直接分配为大量单个用户分配了错误的策略,则可以批量使用取消分配策略来删除这些分配。

可以从 Microsoft Teams 管理中心批量取消分配策略。

  1. 转到 “用户>管理用户”。

  2. 在页面右上角,从“操作”下拉菜单中选择“批量取消分配策略”。

    Teams 管理中心中的“管理用户”页。

    注意

    还可以通过选择策略并选择“ 管理用户”,从各个策略页取消分配策略。

  3. 选择策略类型。

    在 Teams 管理中心的批量页面中取消分配策略。

  4. 选择要重新分配的策略,然后选择“ 加载数据 ”以获取当前分配到该策略的用户数。

    重要

    选择策略时,将从该策略中删除 所有 单独分配的用户。

  5. 选择 “取消分配策略”。

取消分配策略后,可以在 活动日志中查看操作详细信息。