Machtigingen en nadelen voor Microsoft Teams-apps

  • Artikel
  • 7 minuten om te lezen
  • Geldt voor:
    Microsoft Teams

Microsoft Teams-apps kunnen worden gebruikt om een of meer mogelijkheden in een app-pakket te integreren die kunnen worden geïnstalleerd, geüpgraded en verwijderd. De mogelijkheden zijn onder andere:

  • Bots
  • Extensies voor berichten
  • Tabbladen
  • Connectors

Met het oog op beleid moeten apps door gebruikers worden goedgekeurd en worden beheerd door IT. Echter, voor het grootste deel, de machtigingen van een app en het risicoprofiel worden gedefinieerd door de machtigingen en risicoprofielen van de mogelijkheden die de app bevat. Dit artikel is daarom gericht op de machtigingen en nadelen op mogelijkhedenniveau.

De hieronder in hoofdletters vermelde machtigingen, zoals RECEIVE_MESSAGE en REPLYTO_MESSAGE, worden niet elders in de documentatie voor Microsoft Teams-ontwikkelaars of de machtigingen voor Microsoft Graph weergegeven. Het zijn uitsluitend korte beschrijvingen voor dit specifieke artikel.
Een pictogram dat een beslissingspunt weergeeft
Beslissing
  • Gebruik de onderstaande tabellen als richtlijn om te begrijpen welke machtigingen de apps die u onderzoekt, aanvraagt.
Een pictogram voor de volgende stap
Volgende stap
  • Onderzoek de app of service zelf om te bepalen of u toegang wilt toestaan binnen uw organisatie. Bots verzenden en ontvangen bijvoorbeeld berichten van gebruikers en, met uitzondering van Enterprise-line-of-Business-bots, ze bevinden zich buiten de nalevings grens. Daarom is elke app met een bot vereist die machtigingen en heeft dat risicoprofiel, minimaal.

Algemene app-machtigingen en-overwegingen

Vereiste machtigingen

Geen

Optionele machtigingen

Geen

Nadelen

Een app moet onthullen welke gegevens het gebruikt en waarvoor de gegevens worden gebruikt in de gebruiksvoorwaarden en het privacybeleid links.

Bots en messaging extensies

Vereiste machtigingen

  • RECEIVE_MESSAGE, REPLYTO_MESSAGE. De bot kan berichten van gebruikers ontvangen en beantwoorden.1

  • POST_MESSAGE_USER. Nadat een gebruiker een bericht naar een bot heeft verzonden, kan de bot de gebruiker directe berichten (ook wel proactieve berichten genoemd op elk gewenst moment) verzenden.

  • GET_CHANNEL_LIST. Bots die aan Teams worden toegevoegd, kunnen een lijst met namen en id's van de kanalen in een team ophalen.

Optionele machtigingen

  • Identiteit. Wanneer het in een kanaal wordt gebruikt, hebben de bots van de app toegang tot elementaire identiteitsgegevens van teamleden (voornaam, achternaam, User Principal name [UPN], e-mailadres); Wanneer deze wordt gebruikt in een persoonlijke of groepschat, kan de bot toegang krijgen tot dezelfde informatie voor die gebruikers.

  • POST_MESSAGE_TEAM. Hiermee kunnen bots van een app op elk gewenst moment directe (proactieve) berichten verzenden naar elk teamlid, zelfs als de gebruiker nog nooit eerder met de bot heeft gesproken.

  • De volgende zijn geen expliciete machtigingen, maar worden geïmpliceerd door RECEIVE_MESSAGE en REPLYTO_MESSAGE en de scopes waarin de bots kunnen worden gebruikt, gedeclareerd in het manifest:

    • RECEIVE_MESSAGE_PERSONAL, REPLYTO_MESSAGE_PERSONAL
    • RECEIVE_MESSAGE_GROUPCHAT, REPLYTO_MESSAGE_GROUPCHAT
    • RECEIVE_MESSAGE_TEAM, REPLYTO_MESSAGE_TEAM

  • SEND_FILES, RECEIVE_FILES. 2 bepaalt of een bot bestanden kan verzenden en ontvangen in een persoonlijke chat (nog niet ondersteund voor groepschat of kanalen).

Nadelen

  • Bots hebben alleen toegang tot teams waaraan ze zijn toegevoegd of aan gebruikers die ze hebben geïnstalleerd.

  • Bots ontvangen alleen berichten waarin ze expliciet zijn vermeld door gebruikers. Deze gegevens verlaat het bedrijfsnetwerk.

  • Bots kunnen alleen reageren op gesprekken waarin ze zijn genoemd.

  • Nadat een gebruiker heeft geconverseerd met een bot, als de bot die ID van de gebruiker opslaat, kan deze gebruiker direct berichten verzenden op elk gewenst moment.

  • Het is theoretisch mogelijk dat bot-berichten koppelingen naar phishing-of Malwaresites bevatten, maar bots kunnen worden geblokkeerd door de gebruiker, de tenantbeheerder of globaal door Microsoft.

  • Een bot kan zeer elementaire identiteitsgegevens ophalen (en mogelijk opslaan) voor de teamleden waaraan de app is toegevoegd, of voor individuele gebruikers in persoonlijke of Groepchats. Voor meer informatie over deze gebruikers, moet de bot vereisen dat ze zich aanmelden bij Azure Active Directory (Azure AD)

  • Bots kunnen de lijst met kanalen in een team ophalen (en mogelijk opslaan); deze gegevens verlaat het bedrijfsnetwerk.

  • Wanneer een bestand wordt verzonden naar een bot, verlaat het bestand het bedrijfsnetwerk. Voor het verzenden en ontvangen van bestanden is goedkeuring van de gebruiker vereist voor elk bestand.

  • Standaard hebben bots niet de mogelijkheid om namens de gebruiker te handelen, maar bots kunnen gebruikers vragen zich aan te melden; Zodra de gebruiker zich aanmeldt, krijgt de bot een toegangstoken waarmee het extra dingen kan doen. Precies wat die extra dingen zijn is afhankelijk van de bot en waar de gebruiker zich aanmeldt: een bot is een Azure AD-App https://apps.dev.microsoft.com/ geregistreerd op en kan een eigen set machtigingen hebben.

  • Bots worden geïnformeerd wanneer gebruikers worden toegevoegd aan of verwijderd uit een team.

  • Bots zien geen IP-adressen van gebruikers of andere referrer-informatie. Alle informatie is afkomstig van Microsoft. (Er is één uitzondering: als een bot zijn eigen aanmeldingservaring implementeert, ziet de aanmeldingsgebruikersinterface de IP-adressen en verwijzende informatie van gebruikers.)

  • Messaging-extensies, aan de andere kant, zie de IP-adressen van gebruikers en referrer informatie.

  • App-richtlijnen (en ons AppSource-beoordelingsproces) vereisen discretie bij het plaatsen van persoonlijke chatberichten aan gebruikers (via de machtiging POST_MESSAGE_TEAM) voor geldige doeleinden. In het geval van misbruik, kunnen gebruikers de bot blokkeren, tenantbeheerders kunnen de app blokkeren en Microsoft kan bots zo nodig centraal blokkeren.

1 sommige bots sturen alleen berichten (POST_MESSAGE_USER). Ze worden ' alleen-melden ' bots genoemd, maar de term verwijst niet naar wat een bot is toegestaan of niet mag doen, betekent dit dat de bot geen conversationele ervaring wil weergeven. Teams gebruikt dit veld om de functionaliteit in de GEBRUIKERSINTERFACE uit te schakelen die normaalgesproken zou worden ingeschakeld. de bot is niet beperkt in wat het mag doen in vergelijking met bots die een conversationele ervaring blootstellen.

2 beheerst door de supportsFiles Boolean eigenschap op de bot object in de manifest. JSON bestand voor de app.

Notitie

Als een bot een eigen aanmelding heeft, is er een tweede — andere — toestemming ervaring de eerste keer dat de gebruiker zich aanmeldt.

Op dit moment zijn de Azure AD-machtigingen die zijn gekoppeld aan een van de mogelijkheden in een teams-app (bot, tabblad, connector of Messaging-extensie) volledig gescheiden van de machtigingen voor teams die hier worden vermeld.

Tabbladen

Een tabblad is een website die wordt uitgevoerd in teams.

Vereiste machtigingen

SEND_AND_RECEIVE_WEB_DATA

Optionele machtigingen

None (momenteel)

Nadelen

  • Het risicoprofiel voor een tabblad is bijna identiek aan dezelfde website die wordt uitgevoerd in een browsertabblad.

  • Een tabblad krijgt ook de context waarin deze wordt uitgevoerd, met inbegrip van de aanmeldingsnaam en de UPN van de huidige gebruiker, de Azure AD-object-ID voor de huidige gebruiker, de ID van de Office 365-groep waarin deze zich bevindt (als het een team), de Tenant-ID en de huidige landinstelling van de gebruiker. Als u deze Id's echter wilt toewijzen aan de gegevens van een gebruiker, moet het tabblad de gebruiker aanmelden bij Azure AD.

Verbindingslijnen

Een connector berichten naar een kanaal wanneer gebeurtenissen in een extern systeem optreden.

Vereiste machtigingen

POST_MESSAGE_CHANNEL

Optionele machtigingen

REPLYTO_CONNECTOR_MESSAGE. Bepaalde connectors ondersteunen bruikbare berichten, waarmee gebruikersgerichte antwoorden op het connector bericht kunnen plaatsen, bijvoorbeeld door een reactie toe te voegen aan een GitHub-probleem of een datum toe te voegen aan een Trello-kaart.

Nadelen

  • Het systeem dat berichten connector berichten niet weet wie er wordt geboekt of wie de berichten ontvangt: geen informatie over de geadresseerde wordt bekendgemaakt. (Microsoft is de eigenlijke ontvanger, niet de huurder; Microsoft doet het eigenlijke bericht naar het kanaal.)

  • Geen gegevens verlaat het bedrijfsnetwerk wanneer connector berichten worden gepost op een kanaal.

  • Connectors die bruikbare berichten (REPLYTO_CONNECTOR_MESSAGE-machtiging) ondersteunen, zien ook geen IP-adres en referrer-informatie. deze informatie wordt verzonden naar Microsoft en vervolgens doorgestuurd naar HTTP-eindpunten die eerder zijn geregistreerd bij Microsoft in de connectors Portal.

  • Telkens wanneer een connector is geconfigureerd voor een kanaal, wordt een unieke URL voor dat exemplaar van de connector gemaakt. Als die connectorinstantie wordt verwijderd, kan de URL niet meer worden gebruikt.

  • Connector berichten kunnen geen bestandsbijlagen bevatten.

  • De URL van de connector-exemplaar moet worden behandeld als geheim/vertrouwelijk: iedereen die deze URL kan posten naar deze, zoals een e-mailadres. Daarom is er een risico op spam of links naar phishing-of Malwaresites. Als dat gebeurt, kunnen team eigenaren de connector-instantie verwijderen.

  • Als de service die connector berichten verzendt worden aangetast en beginnen met het verzenden van Spam/Phishing/malware koppelingen, kan een tenantbeheerder voorkomen dat nieuwe connector exemplaren worden gemaakt en Microsoft kan ze centraal blokkeren.

Notitie

Het is momenteel niet mogelijk om te weten welke connectors bruikbare berichten ondersteunen (REPLYTO_CONNECTOR_MESSAGE permission).

Uitgaande webhooks

Uitgaande webhooks worden gemaakt op het vlieg door team eigenaren of teamleden als sideloading is ingeschakeld voor een Tenant. Ze zijn niet de mogelijkheden van teams apps; deze informatie is opgenomen voor de volledigheid.

Vereiste machtigingen

RECEIVE_MESSAGE, REPLYTO_MESSAGE. Kan berichten van gebruikers ontvangen en hierop reageren.

Optionele machtigingen

Geen

Nadelen

  • Uitgaande webhooks zijn vergelijkbaar met bots, maar hebben minder bevoegdheden. Ze moeten expliciet worden vermeld, net als bots.

  • Wanneer een uitgaande webhook is geregistreerd, een geheim wordt gegenereerd, waarmee de uitgaande webhook om te controleren of de afzender is Microsoft-teams in tegenstelling tot een kwaadwillende aanvaller. Dit geheim moet een geheim blijven; iedereen die toegang heeft tot het kan Microsoft-teams imiteren. Als het geheim is aangetast, kan de uitgaande webhook worden verwijderd en opnieuw gemaakt en een nieuw geheim wordt gegenereerd.

  • Hoewel het mogelijk is voor het maken van een uitgaande webhook die het geheim niet valideert, wordt u aangeraden deze.

  • Anders dan het ontvangen en beantwoorden van berichten, kunnen uitgaande webhooks niet veel doen: ze kunnen niet proactief berichten verzenden, ze kunnen geen bestanden verzenden of ontvangen, ze kunnen niets anders doen dat bots kan doen, behalve het ontvangen en beantwoorden van berichten.