使用应用权限策略控制用户对应用的访问

  • 项目
  • 适用于:
    Microsoft Teams

重要

如果使用以应用为中心的管理来管理对应用的访问,请参阅 使用以应用为中心的管理管理对 Teams 应用的访问权限

作为管理员,你可以使用应用权限策略来控制组织中每个用户可用的应用。 设置为允许或阻止所有应用或特定应用的权限适用于 Teams 中的所有类型的应用。 若要了解策略,请参阅 应用权限策略。 必须是全局管理员或 Teams 管理员才能管理这些策略。

若要允许应用,必须在 组织范围的应用设置单个应用的设置和应用权限策略中允许应用。 虽然前两个设置仅允许在组织中使用应用,但权限策略允许你控制哪些用户可以使用特定应用。 通过创建策略并将其应用于特定用户,可以控制每个用户和每个应用的访问权限。

Teams 管理中心允许创建两种类型的权限策略:

  • 全局 (组织范围的默认) 策略默认存在,并适用于所有用户。 对此策略所做的任何更改都会影响所有用户,因为默认情况下,此策略将应用于所有用户。

  • 管理员创建的策略仅适用于应用该策略的用户。 创建新策略以允许特定用户应用。

    显示正在创建新的应用权限策略的屏幕截图。

如果组织已在 Teams 中,在 Microsoft 365 管理中心的租户范围设置中配置的应用设置将反映在 Teams 管理中心“管理应用”页上的组织范围应用设置中。 如果你不熟悉 Teams 并且刚刚入门,则默认情况下,组织范围的全局设置允许所有应用。 它包括 Microsoft、第三方软件提供商和组织发布的应用。

或者,可以使用 以应用为中心的管理 来配置对每个应用的访问。 它提供了一种更简单的方法来配置对应用的访问。 以应用为中心的管理功能取代了应用权限策略,使管理员能够更轻松地指定组织中可按应用添加或安装 Teams 应用的用户和组。 只能使用一种方法来定义对组织中应用的访问权限。 如果选择,可以使用迁移 UI 从应用权限策略迁移到以应用为中心的管理。

注意

若要了解 Microsoft 365 政府版社区云高 (GCCH) 和国防部 (DoD) 环境中的第三方 应用设置,请参阅管理 Microsoft 365 政府版组织范围内的应用设置

创建应用权限策略

如果要控制可供不同用户使用的应用,请使用一个或多个自定义应用权限策略。 可以根据 Microsoft、第三方还是你的组织发布应用来创建和分配单独的自定义策略。 创建自定义策略后,如果在组织范围的应用设置中禁用了第三方应用,则无法对其进行更改。 若要创建应用权限策略,请执行以下步骤:

  1. 登录到 Teams 管理中心并转到 Teams 应用>权限策略

  2. 选择“添加”。

  3. 提供策略的名称和说明。

  4. “Microsoft 应用”、“ 第三方应用”和“ 自定义应用”下,选择以下选项之一:

    • 允许所有应用
    • 允许特定的应用并阻止其他所有应用
    • 阻止特定的应用并允许其他所有应用
    • 阻止所有应用

  5. 如果选择“允许特定的应用并阻止其他所有应用”,请添加要允许的应用:

    1. 选择“允许应用”。
    2. 搜索要允许的应用,然后选择“添加”。 搜索结果将筛选为应用开发人员(Microsoft 应用第三方应用自定义应用)。
    3. 选择一个或多个应用后,选择“ 允许”。

  6. 如果选择了 “阻止特定应用并允许所有其他应用”,同样,请搜索并选择要阻止的应用,然后选择“ 阻止”。

  7. 选择“保存”。

编辑应用权限策略

可以使用 Teams 管理中心编辑全局策略或已创建的任何自定义策略。 若要进行编辑,请执行以下步骤:

  1. 登录到 Teams 管理中心并访问 Teams 应用>权限策略
  2. 通过单击策略名称的左侧选择策略,然后选择 “编辑”
  3. 进行更改以允许或阻止这三个类别中的每一个特定应用。
  4. 选择“保存”。

向用户分配应用权限的自定义策略

应用权限策略仅在向用户应用策略时生效。 查看向用户 分配策略的不同方法。

Teams 不支持应用权限策略的组策略分配。

查看已应用于用户的策略

可以使用 Teams 管理中心检查分配给用户的策略。 若要查看策略,请执行以下步骤:

  1. 登录到 Teams 管理中心,然后转到 “用户>管理用户”。

  2. 通过单击用户名搜索并选择用户。

  3. 选择 “分配的策略” 列下的“查看 策略 ”。

    显示用于查看应用于用户的现有策略的选项的屏幕截图。

更改单个用户的现有策略

若要更改现有策略,请执行以下步骤:

  1. 登录到 Teams 管理中心,然后转到 “用户>管理用户”。

  2. 单击用户名左侧并选择用户,然后选择 “编辑设置”。

  3. 选择要更改的策略,然后选择“ 应用”。

    显示用于更改现有策略的选项的屏幕截图。

注意

若要从用户取消分配自定义策略,可以将每个策略设置为 全局 (组织范围的默认)

还可以使用 PowerShell 更改单个用户的现有策略。 有关详细信息,请参阅 向用户分配策略

批量取消分配应用权限策略

批量取消分配策略时,会删除通过直接分配分配给单个用户的策略分配。 若要批量取消分配权限策略,请执行以下步骤:

  1. 登录到 Teams 管理中心并转到 Teams 应用>权限策略

  2. 单击策略的名称,然后从“管理用户”菜单中选择“批量取消分配用户”。

    显示“管理用户”下拉菜单中的“批量取消分配用户”选项的屏幕截图。

  3. 选择要取消分配的策略,然后选择“ 加载数据 ”以获取当前分配到该策略的用户数。

    包含“加载数据”选项的“批量取消分配策略”页的屏幕截图。

  4. 选择“ 取消分配”,然后选择“ 确认”。

取消分配策略后,可以在 活动日志中查看操作详细信息。

使用应用权限策略时的注意事项

下面是使用应用权限策略授予访问权限或禁止对应用的访问权限时的一些注意事项:

  • Teams 不支持应用权限策略的组策略分配。

  • 应用权限策略仅在向用户应用策略时生效。

  • 编辑或分配策略后,更改可能需要几个小时才能生效。

  • 用户无法与不允许用户使用的应用的任何功能进行交互。

  • 用户可以搜索阻止的应用并请求管理员批准。 管理员保留完全控制权,以 批准或忽略用户请求

  • 应用设置策略与应用权限策略协同工作。 从一组允许的应用中选择要固定设置策略的应用。 但是,如果用户具有阻止使用固定应用的应用权限策略,则用户无法使用该应用。

  • 应用策略适用于在 Web、移动或桌面客户端上使用 Teams 的用户。