分享方式:


使用應用程式許可權原則控制使用者對應用程式的存取權

重要

如果您的組織已移至以應用程式為中心的管理功能來管理應用程式的存取權,請參閱 使用以應用程式為中心的管理來管理 Teams 應用程式的存取權。 許可權原則將不再適用,您可能會在原則頁面上看到此訊息。 如果有可用的原則,您可以繼續使用這些原則。 我們很快就會讓您自行移轉到以應用程式為中心的管理。

螢幕快照顯示使用以應用程式為中心的管理之組織的許可權原則變更。

身為系統管理員,您可以使用應用程式許可權原則來控制貴組織中每個使用者皆可使用的應用程式。 您設定允許或封鎖所有應用程式或特定應用程式的許可權適用於 Teams 中的所有應用程式類型。 若要了解原則,請參閱 應用程式許可權原則。 您必須是 Teams 系統管理員或擁有較高角色才能管理這些原則。

若要允許應用程式,您必須在 整個組織的應用程式設定個別應用程式的設定和應用程式許可權原則中允許它。 前兩個設定只允許應用程式在貴組織中使用,但許可權原則可讓您控制哪些使用者可以使用特定應用程式。 您可以建立原則並套用至特定使用者,藉此控制每個使用者和每個 App 的存取權。

Teams 系統管理中心可讓您建立兩種類型的許可權原則:

  • 全域 (組織預設) 原則預設為存在,並適用於所有使用者。 此原則所做的任何變更都會影響所有使用者,因為此原則預設為套用至所有使用者。

  • 系統管理員建立的原則僅適用於套用至該原則的使用者。 建立新原則以允許特定使用者使用應用程式。

    螢幕快照顯示正在建立新的應用程式許可權原則。

如果您的組織已經在 Teams 上,您在 Microsoft 365 系統管理中心 的租使用者全租使用者設定中設定的應用程式設定,會反映在 Teams 系統管理中心的 [管理應用程式] 頁面上的整個組織應用程式設定中。 如果您剛開始使用Teams,根據預設,所有應用程式都可以在全組織全域設定中使用。 它包括由 Microsoft、協力廠商軟體提供者和您的組織所發佈的應用程式。

或者,您可以使用 以應用程式為中心的管理 來設定每個 App 的應用程式存取權。 它提供更簡單的方法來設定應用程式的存取權。 以應用程式為中心的管理功能會讓系統管理員更輕鬆地指定可在每一個 App 上新增或安裝 Teams 應用程式的組織使用者和群組,以取代應用程式許可權原則。 您只能使用一種方法來定義組織中應用程式的存取權。 如果您選擇移轉,您可以使用我們的移轉 UI,從應用程式許可權原則移轉到以應用程式為中心的管理。

注意事項

若要瞭解 Microsoft 365 政府社群雲端高 (GCCH) 和美國商務部 (DoD) 環境中的第三方應用程式設定,請參閱 管理 Microsoft 365 政府版的全組織應用程式設定

建立應用程式許可權原則

如果您想要控制可供不同使用者使用的應用程式,請使用一或多個自定義應用程式許可權原則。 您可以根據應用程式是由Microsoft、第三方或貴組織發行,來建立並指派個別的自定義原則。 如果已在全組織應用程式設定中停用第三方應用程式,您在建立自訂原則之後就無法再變更。 若要建立應用程式許可權原則,請遵循下列步驟:

  1. 登入 Teams 系統管理中心,並移至 Teams 應用程式>許可權原則

  2. 選取 [新增]

  3. 提供原則的名稱和描述。

  4. [Microsoft應用程式第三方應用程式自定義應用程式] 底下,選取下列其中一個選項:

    • 允許所有應用程式
    • 允許特定的應用程式並封鎖所有其他的
    • 封鎖特定的應用程式並允許所有其他的
    • 封鎖所有應用程式
  5. 如果您選取了 [允許特定的應用程式並封鎖所有其他的],請新增您要允許的應用程式:

    1. 選取 [允許應用程式]
    2. 搜尋您要允許的應用程式,然後選取 [新增]。 搜尋結果會篩選至應用程式開發人員 (Microsoft 應用程式第三方應用程式自訂應用程式)。
    3. 選擇一或多個應用程式之後,選 取 [允許]
  6. 如果您選取 [封鎖特定應用程式並允許所有其他應用程式],同樣地,請搜尋並選擇您要封鎖的應用程式,然後選取 [ 封鎖]

  7. 選取 [儲存]

編輯應用程式權限原則

您可以使用 Teams 系統管理中心來編輯全域原則或您所建立的任何自定義原則。 若要編輯,請遵循下列步驟:

  1. 登入 Teams 系統管理中心並存取 Teams 應用程式>許可權原則
  2. 按一下原則名稱左側來選取原則,然後選取 [編輯]
  3. 進行變更以允許或封鎖三個類別中的特定應用程式。
  4. 選取 [儲存]

指派應用程式許可權的自定義原則給使用者

只有在您將原則套用至使用者時,應用程式許可權原則才會生效。 查看 將原則指派給使用者的不同方式。

Teams 不支援應用程式許可權原則的組策略指派。

檢視已套用至用戶的原則

您可以使用 Teams 系統管理中心來檢查指派給用戶的原則。 若要檢視原則,請遵循下列步驟:

  1. 登入 Teams 系統管理中心,然後移至 [使用者>管理使用者]

  2. 按兩下使用者名稱來搜尋並選取使用者。

  3. 取 [原則 指定] 欄底下的 [檢視 原則 ]。

    顯示檢視已套用至使用者之現有原則之選項的螢幕快照。

變更個別用戶的現有原則

若要變更現有原則,請遵循下列步驟:

  1. 登入 Teams 系統管理中心,然後移至 [使用者>管理使用者]

  2. 按兩下使用者名稱的左邊,然後選取 [ 編輯設定],以搜尋並選取使用者。

  3. 選取您要變更的原則,然後選取 [ 套用]

    顯示變更現有原則選項的螢幕快照。

注意事項

若要取消指派使用者的自定義原則,您可以將每個原則設定為 全域 (組織預設)

您也可以使用 PowerShell 變更個別使用者的現有原則。 如需詳細資訊,請參閱 指派原則給使用者

大量取消指派應用程式許可權原則

當您大量取消指派原則時,您要移除透過直接指派指派給個別用戶的原則指派。 若要大量取消指派許可權原則,請遵循下列步驟:

  1. 登入 Teams 系統管理中心,並移至 Teams 應用程式>許可權原則

  2. 單擊原則的名稱,然後從 [管理使用者] 功能選取 [大量取消指派使用者]。

    顯示 [管理使用者] 下拉功能表中大量取消指派使用者選項的螢幕快照。

  3. 選擇您要取消指派的原則,然後選取 [ 載入數據 ] 以取得目前指派給該原則的用戶數目。

    含有載入數據選項的大量取消指派原則頁面的螢幕快照。

  4. 選取 [取消指派],然後選取 [ 確認]

取消指派原則之後,您可以在 [活動] 記錄檔中檢閱作業詳細數據。

使用應用程式許可權原則時的考慮

下列是使用應用程式許可權原則授與存取權或不允許存取應用程式時的一些考慮事項:

  • Teams 不支援應用程式許可權原則的組策略指派。

  • 只有在您將原則套用至使用者時,應用程式許可權原則才會生效。

  • 編輯或指派原則之後,變更可能需要幾個小時的時間才會生效。

  • 用戶無法與使用者不允許使用之應用程式的任何功能互動。

  • 用戶可以搜尋封鎖的應用程式,並要求系統管理員核准。 系統管理員保留完整的控制權以 核准或忽略使用者要求

  • 應用程式設定原則可與應用程式許可權原則搭配運作。 您從一組允許的應用程式中選取要釘選設定原則的應用程式。 不過,如果使用者的應用程式許可權原則禁止使用已釘選的應用程式,使用者就無法使用該應用程式。

  • 應用程式原則適用於使用Teams網頁版、行動裝置版或桌面版用戶端的使用者。