瞭解 Teams 應用程式的許可權和存取的資訊

  • 發行項
  • 適用於:
    Microsoft Teams

根據其功能而定,Teams 應用程式可能會或可能不會存取您使用者或貴組織的資訊,以如預期般運作。

  • 某些應用程式不尋求組織資訊的存取權,因此不需要任何核准。 用戶可以在未經系統管理員核准或同意的情況下使用這類應用程式,因為組織的資訊受到這類應用程序保護。
  • 有些應用程式會要求貴組織或使用者的資訊才能運作或處理資訊。 除非您允許這類應用程式存取組織的信息,否則這類應用程式無法運作。

您必須先評估應用程式的合規性、安全性和數據處理資訊,並瞭解應用程式要求的許可權,才能允許使用者使用應用程式。 若要這麼做,您必須了解許可權、同意及您可用的控件。

應用程式如何存取組織的資訊

Teams 提供防護措施,讓貴組織或使用者的資訊在未經您同意的情況下無法存取。 若要讓應用程式存取任何資訊,必須執行下列動作:

  1. 應用程式開發人員在建立應用程式時宣告許可權和 應用程式功能
  2. 系統管理員瞭解並分析應用程式在系統管理入口網站中所需的許可權。
  3. 以兩種方式授與數據存取權。 當應用程式新增至Teams時,會授與部分基本功能的存取權,包括基本資訊的存取權。 在授與同意時,應用程式會根據其要求同意的應用程式許可權,收到使用者和組織或兩者之部分數據的存取權。

許可權類型及其宣告來源

根據範圍,Teams 應用程式許可權可以是下列三種類型。

  • Microsoft Entra ID 權限:Microsoft Graph 可讓開發人員存取貴組織的 Microsoft 365 資訊和數據,但僅提供適當的 Microsoft Entra ID 許可權。 應用程式會事先宣告這些許可權,而系統管理員必須先同意這些許可權,應用程式才能存取資訊。 如果您在 Teams 應用程式中授與系統管理員同意此類許可權,則貴組織的所有允許使用者都可以使用該應用程式,並讓應用程式存取組織的資訊。 這些許可權是在 Microsoft Entra ID 入口網站中定義的。

  • 資源特定許可權 (RSC) :Teams 中的資源可以是團隊、聊天或使用者。 使用這些許可權可讓應用程式僅存取特定資源的資訊。 使用 RSC 許可權時,應用程式不需要要求整個組織資訊的存取權,也可以限制其存取範圍。 這些 RSC 許可權是在應用程式的指令清單檔案中定義的。 只有有權存取資源的使用者可以同意這些許可權。 開發人員會在應用程式指令清單檔案的應用程式本身中定義這些許可權。

  • 基本功能:開發人員建立Teams應用程式時,會使用開發架構中定義的一些功能。 這些功能是應用程式可以具備的高層級功能。 例如,應用程式可以包含與使用者交談的 Bot。 當應用程式使用功能時,它會自動授與一些基本許可權。 例如,如果使用者允許包含 Bot 的應用程式,則 Bot 可以傳送和接收訊息。 這些許可權存在於應用程式中,是根據應用程式開發人員新增至應用程式的功能而定,而非需要同意才能生效的許可權。 開發人員不會明確定義這些許可權,但當開發人員建立任何應用程式功能時,這些許可權會隱含新增。

根據應用程式存取組織資訊的方式,有兩種類型的許可權:

  • 委派存取:應用程式會代表使用者存取資源。 此存取需要委派許可權。 應用程式只能存取使用者可以自行存取的資訊。
  • 僅限應用程式存取:當無法讓特定使用者登入,或當所需數據無法限定給單一使用者時,應用程式會自行運作,且不會有使用者登入。 此存取需要的應用程式許可權。 如果獲得同意,應用程式可以存取許可權與之相關聯的數據。
管理員意識 委派的許可權 應用程式許可權
應用程式如何存取資訊 代表已登入的使用者。 自行使用自己的身分識別。
可存取哪些資訊 該應用程式獲得同意的許可權,以及與登入使用者有權存取之許可權相關聯的資訊。 與同意許可權相關聯的任何資訊
哪些角色可以同意 系統管理員或使用者或群組擁有者,視 Microsoft Entra ID 設定而定 僅限系統管理員
使用者是否可以同意 根據 Microsoft Entra ID 設定,用戶可以同意 只有系統管理員可以同意

針對每個應用程式,這些許可權都會列在系統管理中心的應用程式詳細數據頁面中。

應用程式許可權類型 Access 內容 宣告來源 何時需要同意? 誰可以同意? 備註
Graph 和舊版端點存取的 Microsoft Entra ID 委託 Microsoft Entra ID 應用程式登入 全域 管理員、雲端 管理員 和應用程式 管理員 參閱 Microsoft Entra ID Teams 應用程式所需的許可權
Graph 和舊版端點存取的 Microsoft Entra ID 應用程式 Microsoft Entra ID 應用程式登入 全域 管理員、雲端 管理員 和應用程式 管理員 請參閱 Teams應用程式所需的 Microsoft Graph 許可權
適用於團隊、聊天和使用者資訊的 RSC 委託 應用程式指令清單檔案 將應用程式新增至團隊、聊天、會議 資源擁有者 請參閱 RSC 許可權
適用於團隊、聊天和使用者資訊的 RSC 應用程式 應用程式指令清單檔案 將應用程式新增至團隊、聊天、會議 資源擁有者 請參閱 RSC 許可權
其他許可權和數據存取 透過 SDK 委派 指令清單屬性定義 在用戶端中新增應用程式 安裝時隱含同意 可在每個應用程式的 Permissions [應用程式詳細資料] 頁面的索引標籤中使用。 如需詳細數據, 請參閱此處

系統管理員可以在哪裡查看應用程式的所有許可權

您可以在應用程式詳細數據頁面的 [許可權] 索引標籤中,找到應用程式要求之所有許可權類型的詳細數據。

螢幕快照顯示系統管理中心的頁面,其中列出並要求應用程式的許可權,並允許系統管理員為所有組織使用者授與同意此類許可權。

備註

若要瞭解如何透過授與同意其許可權來允許使用應用程式,請參閱 授與及管理 Teams 應用程式許可權的同意

Microsoft Entra ID許可權

應用程式開發人員可從各種圖形 API 中選擇適當的許可權,讓應用程式取得所需的資訊以運作。 在您同意這些許可權之前,您可以檢視應用程式要求的特定許可權。 它可協助您評估授與同意應用程式許可權的影響。 若要檢視 Microsoft Entra ID 許可權,請遵循下列步驟:

  1. 存取 Teams 系統管理中心,並開啟 Teams 應用程式>[管理應用程式] 頁面。

  2. 搜尋所需的應用程式,然後選取其名稱以開啟應用程式詳細數據頁面。

  3. 取 [許可權] 索引標籤 ,然後選取 [ 檢閱許可權與同意]

  4. 在對話框中,檢視應用程式所需的許可權。 如需對話框中可用資訊的詳細資訊,請參閱 同意提示中提供的資訊

    應用程式要求權限的螢幕擷取畫面。

Microsoft Graph 許可權 參照中會記錄所有可能許可權的完整清單。

RSC 許可權可讓使用者同意應用程式以取得特定範圍的資訊。 此類同意可讓應用程式僅存取和修改團隊或聊天的資訊。 這類應用程式無法存取聊天或未新增聊天的團隊資訊。 RSC 權限的範例包括建立和刪除頻道、取得團隊的設定,以及建立和移除頻道索引標籤的功能。

RSC 許可權會將應用程式許可權的範圍限制為特定資源,而不是允許應用程式存取整個組織資訊的全組織圖形許可權。 可套用 RSC 許可權的資源包括聊天、會議、團隊和頻道,以及使用者。

RSC 許可權是在應用程式指令清單中定義,而不是在 Microsoft Entra ID 中。 當您將應用程式新增至團隊時,即表示同意 RSC 權限。 若要深入了解,請參閱 資源特定同意 (RSC)

若要檢視應用程式的 RSC 權限,請遵循下列步驟:

  1. 存取 Teams 系統管理中心,並移至 Teams 應用程式>管理應用程式

  2. 搜尋您想要的應用程式,選取應用程式名稱以移至應用程式詳細數據頁面,然後選取 [ 許可權] 索引標籤

  3. [資源特定同意 (RSC) 權限] 底下,檢閱應用程式要求的 RSC 許可權。

    螢幕快照顯示如何檢視應用程式 RSC 許可權的範例。

應用程式可在 Teams 中執行的動作

身為系統管理員,您可以管理 Teams 應用程式,而非其功能。 Teams 應用程式的功能 可讓應用程式完成其核心使用案例並完成一些工作。 這些 功能是由 SDK 提供 ,安裝應用程式時即表示同意。 應用程式可完成與功能相關聯的工作,與需要系統管理員同意的許可權不同。身為系統管理員的您必須根據下列功能,考慮應用程式可執行的功能,以及它與用戶互動的方式。

備註

應用程式可能不會使用下列所有功能,除非應用程式是複本應用程式,且適用於多個使用案例。 應用程式可以執行的工作取決於應用程式開發人員在其中使用的功能。

Bot 和訊息擴充功能

請考慮以下類型的使用者互動、必要的許可權,以及 Bot 和訊息擴充功能的數據存取:

  • Bot 可以接收來自使用者的訊息並回復。 Bot 只會在聊天中收到訊息,讓用戶明確提及 Bot 名稱。 此資料會離開公司網路。

  • 用戶傳送訊息給 Bot 之後,Bot 可以隨時直接或主動傳送訊息給該使用者。

  • 有些 Bot 只會傳送訊息。 它們稱為僅限通知的 Bot,且 Bot 不提供交談體驗。

  • 新增至團隊的 Bot 可以取得團隊中頻道的名稱和標識符清單。

  • 在頻道、個人聊天或群組聊天中使用時,應用程式的 Bot 可以存取團隊成員的基本身分識別資訊, (名字、姓氏、用戶主體名稱 [UPN],以及電子郵件位址) 。

  • 應用程式的 Bot 可以傳送直接或主動的訊息給小組成員,即使他們尚未與 Bot 互動。

  • 視機器人應用程式的設定和功能而定,它只能在個人聊天中傳送和接收檔案。 群組聊天或頻道不支援此功能。

  • Bot 只能存取新增 Bot 的團隊或新增 Bot 應用程式的使用者。

  • 當使用者與 Bot 交談時,如果 Bot 儲存使用者的識別碼,它可以隨時傳送直接訊息給使用者。

  • 如有需要,用戶或系統管理員可以封鎖 Bot。 Microsoft 也可以從市集移除 Bot。 應用程式驗證和驗證檢查 可確保 Teams 市集提供高品質的應用程式,且 Bot 不會傳垃圾郵件到他們的使用者。

  • Bot 可以擷取並儲存應用程式所加入之小組成員的基本身分識別資訊,或個人或群組聊天中的個別使用者的基本身分識別資訊。 若要取得這些用戶的進一步資訊,Bot 必須要求他們登入 Microsoft Entra ID。

  • Bot 可以擷取並儲存團隊中的頻道清單。 此資料會離開公司網路。

  • 根據預設,Bot 無法代表使用者採取行動,但 Bot 可以要求使用者登入;使用者登入后,Bot 就會有存取令牌,可以用來執行其他工作。 工作取決於 Bot 以及使用者登入的位置:Bot 是註冊https://apps.dev.microsoft.com/的 Microsoft Entra 應用程式,而且可以有自己的許可權集。

  • 當檔案傳送給 Bot 時,檔案會離開公司網路。 傳送和接收檔案需要使用者核准每個檔案。

  • 每當新增使用者或從團隊中刪除使用者時,系統就會通知 Bot。

  • Bot 不會看到使用者的 IP 位址或其他推薦人資訊。 所有資訊都來自 Microsoft。 (有一個例外:如果 Bot 實作自己的登入體驗,登入 UI 就會看到使用者的 IP 位址和推薦資訊。)

  • 另一方面,訊息延伸模組可以查看使用者的IP位址和推薦人資訊。

備註

  • 如果 Bot 有自己的登入功能,使用者第一次登入時會有不同的同意體驗。
  • 使用者可以使用應用程式 botId 中提供的應用程式來搜尋應用程式。 雖然使用者可以檢視應用程式名稱,但他們無法與這類 Bot 互動。

索引標籤

索引標籤是 Teams 內執行的網站。 它可以是會議、聊天或頻道中的索引標籤。

請考慮下列類型的使用者互動或索引標籤的資料存取:

  • 在瀏覽器或 Teams 中開啟索引標籤的使用者完全相同。 網站本身無法自行存取任何組織的資訊。

  • 索引標籤也會取得其執行的內容,包括目前使用者的登入名稱和UPN、目前使用者的 Microsoft Entra物件標識碼、其所在 Microsoft 365 群組的識別碼 (如果是團隊) 、租使用者標識符,以及使用者目前的地區設定。 不過,若要將這些標識碼對應至使用者的資訊,索引標籤必須讓使用者登入以 Microsoft Entra ID。

連接器

當外部系統發生事件時,連接器會將訊息張貼至頻道。 連接器的必要許可權是能夠在頻道中張貼訊息。 連接器的選擇性許可權是回復郵件的許可權。 有些連接器支援可採取動作的訊息,可讓使用者對連接器訊息張貼目標回復。 例如,新增 GitHub 問題的回應,或將日期新增至 Trello 卡片。 請考慮以下類型的使用者互動、必要的許可權,以及連接器的數據存取:

  • 張貼連接器訊息的系統並不知道該訊息的張貼者或接收郵件的人員。 不會公開收件者的相關信息。 Microsoft 是實際的收件者,而非組織。 Microsoft 會實際張貼到頻道。

  • 當連接器在頻道中張貼訊息時,不會有任何數據離開公司網路。

  • 支援可採取動作訊息的連接器也不會看到IP位址和推薦資訊;此資訊會傳送至 Microsoft,然後路由至先前在 Connectors 入口網站向 Microsoft 註冊的 HTTP 端點。

  • 每當為頻道設定連接器時,就會建立該連接器實例的唯一 URL。 如果刪除該連接器實例,就無法再使用此 URL。

  • 連接器訊息不能包含檔案附件。

  • 連接器實例 URL 應視為機密或機密。 任何有URL的人都可以張貼到該URL。 如有需要,團隊擁有者可以刪除連接器實例。

  • 如有需要,系統管理員可以防止建立新的連接器實例,而且 Microsoft 可以封鎖連接器應用程式的所有使用。

外寄 Webhook

團隊擁有者或團隊成員建立待發網路任務。 外寄網路服務可以接收來自使用者的訊息,並回復給使用者。 請考慮下列類型的使用者互動、必要的許可權,以及待發網路名片的數據存取:

  • 外寄 Webhook 與 Bot 類似,但權限較少。 它們必須明確提及,就像 Bot 一樣。

  • 當外寄 Webhook 註冊時會產生一個密碼,可讓外寄 Webhook 確認寄件者是 Microsoft Teams,而不是惡意攻擊者。 這個密碼應保持祕密; 任何有權存取它的人都可以模擬 Microsoft Teams。 如果密碼遭到盜用,請刪除並重新建立外寄的 webhook,以產生新的密碼。

  • 雖然可以建立不會驗證密碼的外寄 webhook,但我們建議您不要這樣做。

  • 除了接收和回覆訊息之外,外寄的 webhook 無法執行太多動作:它們無法主動傳送訊息、無法傳送或接收檔案、除了接收和回覆訊息之外,他們無法執行 Bot 可以執行的任何其他動作。