授予和管理对 Teams 应用权限的许可

  • 项目
  • 适用于:
    Microsoft Teams

使用 Teams 应用可以极大地提高组织的用户的工作效率和协作。 Teams 应用无需任何上下文切换即可从用户的提示获取信息,并帮助他们完成出色的工作。 作为管理员,你扮演了关键角色,为用户提供正确的应用类型,同时平衡公司对安全性和合规性的需求。 决定批准使用应用后,必须确保用户顺利采用应用。

一个关键部分是授予对应用工作所需的权限的许可。 你同意已批准的应用,以便组织中的每个用户在启动应用时不必单独查看权限和同意。 应用请求的权限的几个示例包括读取团队中存储的信息、读取用户的个人资料以及代表用户发送电子邮件的功能。 若要了解有关权限和同意的详细信息,请参阅 Microsoft 标识平台 终结点中的权限和同意

为了保障公司的需求并遵守其策略,只有全局管理员才能代表组织中的所有用户授予对应用权限的许可。 查看详细信息和授予同意要求的选项适用于自定义应用和第三方应用,不适用于 Microsoft 提供的应用

查看应用请求的 Microsoft Graph 权限

“管理应用 ”页上, “权限” 列指示应用是否具有需要同意的权限。 选择应用的 “查看详细信息 ”链接,以查看应用请求的组织信息的各种权限和访问权限。 查看详细信息和授予同意的选项适用于自定义应用和第三方应用,不适用于 Microsoft 提供的应用

授予对此类权限的同意允许应用访问组织的信息。 在授予同意之前,请仔细查看应用请求的权限。 有关详细信息,请参阅 Teams 应用权限和同意。 只有全局管理员可以向应用请求的 Graph 权限授予许可。 Teams 管理员可以在管理中心查看所需的权限。 查看详细信息和授予同意的选项适用于自定义应用和第三方应用,不适用于 Microsoft 提供的应用

若要查看组织中的所有用户并向其授予同意,请执行以下步骤:

  1. 在 Teams 管理中心中,访问 Teams 应用>管理应用

  2. 搜索所需的应用,然后执行下列操作之一:

    • 选择应用的“权限”列中的“ 查看详细信息 ”链接,打开“ 权限” 选项卡。
    • 选择应用名称以转到应用详细信息页,然后选择“ 权限 ”选项卡。

  3. 在“组织范围权限”下,选择“查看权限和同意”。

    显示向应用请求的 Graph 权限授予许可的选项的屏幕截图。

  4. 在打开的对话框中,查看应用请求的权限。

    应用请求的权限的屏幕截图。

  5. 如果同意应用请求的权限,请选择“ 接受 ”以授予许可。 页面顶部临时显示一个横幅,告知你已为应用授予请求的权限。 应用现在有权访问组织中允许应用的所有用户的指定资源。 现在不会提示用户查看权限。

授予对应用权限的同意后,你将在“ 权限 ”选项卡中看到一条消息,告知你已授予许可。 如果要在Microsoft Entra ID 中查看应用的权限,请单击链接以在管理中心Microsoft Entra打开应用的权限。

显示授予 Graph 权限许可后指向Microsoft Entra管理中心的链接的屏幕截图。

注意

如果应用的新版本需要比以前版本更多的权限,则必须再次向应用授予许可。

可以配置用户同意设置,让用户同意所选权限 (建议的方法) 和使用仅需要这些特定权限的应用,而无需管理员同意。

此方法与 Microsoft Entra ID 门户中的权限分类结合使用。 通过分类,管理员可在组织中将某些委托的 Graph 权限定义为低风险权限。 管理员根据其组织的风险状况决定哪些低风险权限。 作为一项安全措施,不能对应用程序权限进行低风险分类。

可以配置用户同意设置,让用户能够:

  • 无法同意任何应用,因此仅使用管理员批准的应用。
  • 同意所选权限 (建议的方法) 和使用仅需要这些特定权限的应用。

建议的方法与权限分类结合使用。 通过分类,管理员可在组织中将部分或全部委托的 Graph 权限定义为低风险权限。 管理员根据其组织的风险状况决定低风险权限。 作为一项安全措施,不能对应用程序权限进行低风险分类。 应用程序权限仅需要管理员同意。 有关详细信息,请参阅 配置用户如何同意应用程序 以及如何 将权限分类为低风险或高风险

若要完成此配置,必须在组织中具有全局管理员、应用程序管理员或云应用程序管理员角色。

授予对应用权限的同意后,你将在“ 权限 ”选项卡中看到一条消息,告知你已授予许可。

显示授予 Graph 权限许可后 Entra 链接的屏幕截图。

如果要在Microsoft Entra ID 中查看应用的权限,请选择链接以在管理中心Microsoft Entra打开应用的权限。

显示 Entra UI 的屏幕截图,该 UI 用于查看和管理对应用权限的已授予许可。

选择一个权限以了解有关该权限的更多详细信息。

显示所选权限的详细信息的屏幕截图。

若要撤销以前授予应用的许可,请执行以下步骤:

  1. 在“权限”选项卡中,选择“Microsoft Entra ID”链接,以在管理中心Microsoft Entra打开应用的权限。

  2. “管理员同意”选项卡中,选择要撤销的权限,然后选择省略号 ...

  3. 选择“ 撤销权限” ,然后在确认对话框中选择“ 是,撤销 ”。

    显示从Microsoft Entra管理中心撤销应用的 Graph 权限的选项的屏幕截图。

撤销对某些权限的同意后,可以重新授予同意。 请参阅 向组织范围的管理员授予对应用权限的同意

开发人员更新应用以添加新功能、增强现有功能或修复 bug。 某些应用更新可能会添加不属于应用早期版本的新权限。 如果开发人员添加了任何需要管理员同意的新权限,则必须同意新权限。 重新访问流与 授予组织范围的管理员对应用权限的同意中所述相同。

若要了解需要用户或管理员同意的应用更改,请参阅 应用更新需要同意的条件。 根据组织的配置,用户可能能够授予对某些类型权限的同意。

RSC 权限允许应用访问和修改团队或用户的数据。 RSC 权限细化且特定于在其中添加应用的 Teams 团队。 RSC 权限的一些示例包括能够在团队中创建和删除频道、获取团队设置以及创建和删除频道选项卡。

RSC 权限在应用清单中定义,而不是在管理中心Microsoft Entra定义。 团队所有者在将应用添加到团队或聊天时,可以授予对此类权限的同意。 若要了解详细信息,请参阅 特定于资源的同意 (RSC)

全局管理员和 Teams 管理员可以在应用详细信息页的“ 权限 ”选项卡中查看应用的 RSC 权限。 要查看应用的 RSC 权限,请执行以下步骤:

  1. 在 Teams 管理中心中,转到 “Teams 应用>”“管理应用”。

  2. 在目录中搜索所需的应用。

  3. 单击应用名称以转到应用详细信息页,然后选择“ 权限 ”选项卡。或者,选择应用的 “查看详细信息 ”链接。

  4. “特定于资源的同意 (RSC) 权限”下,查看应用请求的 RSC 权限。

    显示“权限”选项卡中应用的 RSC 权限示例的屏幕截图。

管理员可以配置用户是否可以允许应用访问其组或团队的数据。 全局管理员可以更改组所有者同意的应用访问Microsoft Entra ID 中的数据设置,以允许用户同意 RSC 权限

如果不让组所有者同意应用,则如果用户使用 RSC 权限,则用户将无法同意应用中的 RSC 权限。