授與及管理Teams應用程式許可權的同意
使用 Teams 應用程式可為貴組織使用者之間的生產力和共同作業提供無與倫比的提升。 Teams 應用程式會將資訊帶入使用者的秘訣,而不需要切換任何內容,並協助他們完成出色的工作。 身為系統管理員,您扮演關鍵的角色是讓使用者擁有正確的應用程式類型,同時在貴公司的安全性與合規性需求之間取得平衡。 一旦您決定核准應用程式的使用,您必須確保使用者能夠順利採用應用程式。
其中一個重要部分是授與同意應用程式運作所需的許可權。 您同意核准的應用程式,讓貴組織中的每個用戶在啟動應用程式時,不必個別檢閱許可權和同意。 應用程式要求的一些許可權範例包括讀取儲存在小組中的資訊、讀取使用者的配置檔,以及代表用戶傳送電子郵件的功能。 若要深入瞭解許可權與同意,請參閱 Microsoft 身分識別平台 端點中的許可權與同意。
為了保護公司的需求並遵守其原則,只有全域系統管理員可以代表貴組織中的所有使用者,授與同意應用程式許可權。 檢視詳細數據及同意要求的選項適用於自定義和第三方應用程式,而非 Microsoft所提供的應用程式。
檢視應用程式要求Microsoft圖形許可權
在 [ 管理應用程式 ] 頁面上,[ 許可權] 欄會指出應用程式是否有需要同意的許可權。 選取應用程式的 [ 檢視詳細資料 ] 連結,以檢視應用程式要求的各種許可權及組織資訊的存取權。 檢視詳細數據及授與同意的選項適用於自定義和第三方應用程式,而非 Microsoft所提供的應用程式。
授與整個組織的系統管理員同意應用程式的許可權
授與同意此類許可權可讓應用程式存取貴組織的資訊。 在您授與同意之前,請仔細檢閱應用程式要求的權限。 如需詳細資訊,請參閱 Teams 應用程式許可權與同意。 只有全域系統管理員可以同意應用程式要求的 Graph 許可權。 Teams 系統管理員可以在系統管理中心檢視所需的許可權。 檢視詳細數據及授與同意的選項適用於自定義和第三方應用程式,而非 Microsoft所提供的應用程式。
若要檢視及授與同意貴組織中的所有使用者,請遵循下列步驟:
在 Teams 系統管理中心,存取 Teams 應用程式>管理應用程式。
搜尋所需的應用程式,然後執行下列其中一個動作:
- 選取應用程式 [許可權] 欄中的 [ 檢視詳細資料 ] 連結,以開啟 [ 許可權] 索引標籤 。
- 選取應用程式名稱以移至應用程式詳細數據頁面,然後選取 [ 許可權] 索引標籤 。
在 [全組織權限] 下,選取 [檢閲權限和同意]。
在開啟的對話框中,檢閱應用程式要求的許可權。
如果您同意應用程式要求的許可權,請選取 [ 接受 ] 以授與同意。 [許可權] 索引標籤中的確認會讓您知道該應用程式有提供同意。 應用程式現在可以存取貴組織中允許該應用程式使用的所有使用者所使用的指定資源。 用戶現在不會收到檢閱許可權的提示。
注意事項
在新版本的應用程式中,如果開發人員新增需要系統管理員同意的額外許可權,則在您同意更新的應用程式之前,使用者將無法使用 該應用程式。
讓使用者同意低風險的 Graph 許可權
您可以設定使用者同意設定,讓使用者同意選取的許可權, (建議的方法) 使用只需要這些特定許可權的應用程式,而不需要系統管理員同意。
此方法與 Microsoft Entra ID 入口網站中的許可權分類搭配使用。 分類可讓系統管理員將部分委派的 Graph 許可權定義為組織內的低風險許可權。 系統管理員會根據組織的風險狀態決定哪些低風險許可權。 基於安全措施,您無法將應用程式許可權歸類為低風險。
您可以設定使用者同意設定的方式,讓使用者:
- 無法同意任何應用程式,並因此只使用系統管理員核准的應用程式。
- 同意選取的許可權 (建議的方法,) 並使用只需要這些特定許可權的應用程式。
建議的方法與許可權分類搭配使用。 分類可讓系統管理員將部分或所有委派的 Graph 許可權定義為組織內的低風險許可權。 系統管理員會根據組織的風險狀態決定低風險許可權。 基於安全措施,您無法將應用程式許可權歸類為低風險。 應用程式許可權只需要系統管理員同意即可。 如需詳細資訊,請參閱 設定使用者同意應用程式的方式 ,以及 如何將許可權分類為低風險或高風險。
可以完成此設定的角色是全域系統管理員、應用程式管理員或雲端應用程式管理員。 我們建議使用較低許可權角色,例如應用程式管理員。
檢查並確認已授與同意許可權
在您同意應用程式的許可權之後,請在 [許可權] 索引 標籤中 確認,讓您知道應用程式許可權有提供同意。 如果您要檢視每個應用程式權限的詳細資料,請遵循下列步驟:
選 取應用程式>企業應用程式。
選取應用程式以檢視其許可權。 選 取 應用程式頁面中的 [許可權]。
選取許可權以深入瞭解其詳細數據。
撤銷已授與許可權的同意
若要撤銷您先前授予應用程式的同意,請遵循下列步驟:
在 [許可權] 索引標籤中,選取 Microsoft Entra ID 連結以在 Microsoft Entra 系統管理中心 中開啟應用程式的許可權。
在 [管理員 同意] 索引標籤中,選擇您要撤銷的許可權,然後選取省略號
...
。選 取 [撤銷許可權 ],然後在確認對話框中選取 [ 是,撤銷 ]。
撤銷部分許可權的同意后,您可以註冊同意。 請參閱 授與整個組織系統管理員同意應用程式的許可權。
在應用程式更新後授與同意新的 Graph 許可權
開發人員更新應用程式以新增功能、增強現有功能,或修正錯誤。 某些應用程式更新可能會新增不屬於舊版應用程式的新許可權。 如果開發人員新增任何需要系統管理員同意的新許可權,您必須同意新許可權。 重新設定流程與 授與整個組織系統管理員同意應用程式許可權中所述的流程相同。
若要瞭解需要使用者或系統管理員同意的應用程式變更,請參閱 應用程式更新需要同意的條件。 視貴組織的設定而定,使用者可能可以將同意授與某些類型的許可權。
檢視應用程式的資源特定同意權限
資源特定同意 (RSC) 許可權可讓應用程式存取及修改小組或用戶的數據。 RSC 許可權是精細的,而且專屬於新增應用程式的Teams團隊。 RSC 許可權的一些範例是建立和刪除團隊中的頻道、取得團隊的設定,以及建立和移除頻道索引標籤的功能。
RSC 許可權是在應用程式指令清單中定義,而不是在 Microsoft Entra 系統管理中心 中。 當團隊擁有者將應用程式新增至團隊或聊天時,可以授與此類許可權的同意。 若要深入瞭解,請參閱 資源特定同意 (RSC) 。
您可以在應用程式詳細資料頁面的 [ 權 限] 索引標籤中檢視應用程式的 RSC 許可權。 RSC 許可權會與應用程式和委派許可權區段底下的其他許可權一起列出。
讓資源擁有者同意 RSC 許可權
系統管理員可以設定使用者是否可以讓應用程式存取其群組或小組的數據。 全域系統管理員可以變更存取 Microsoft Entra ID 中數據設定之應用程式的群組擁有者同意,讓使用者同意 RSC 許可權。
如果您不讓群組擁有者同意應用程式,則使用 RSC 許可權時,使用者就無法同意應用程式中的 RSC 許可權。