Предоставление разрешений приложения Teams и управление ими

  • Статья
  • Применяется к:
    Microsoft Teams

Использование приложений Teams может обеспечить невероятное повышение производительности и совместной работы пользователей вашей организации. Приложения Teams содержат информацию по советам пользователей без переключения контекста и помогают им выполнять отличную работу. Как администратор, вы играете важную роль, чтобы предоставить пользователям правильный тип приложений, балансируя потребности вашей компании в безопасности и соответствии требованиям. После того как вы решите утвердить использование приложения, необходимо убедиться, что его внедрение будет плавным для пользователей.

Важно предоставить согласие на разрешения, необходимые приложению для работы. Вы даете согласие на утвержденные приложения, чтобы каждому пользователю в вашей организации не нужно было проверять разрешения и согласие по отдельности при запуске приложения. Несколько примеров разрешений, запрашиваемых приложениями, включают возможность чтения сведений, хранящихся в команде, чтения профиля пользователя и отправки сообщения электронной почты от имени пользователей. Дополнительные сведения о разрешениях и согласии см. в статье Разрешения и согласие в конечной точке платформа удостоверений Майкрософт.

Чтобы защитить потребности компании и соблюдать ее политики, только глобальный администратор может предоставить согласие на разрешения приложений от имени всех пользователей в вашей организации. Возможность просмотра сведений и требование предоставления согласия применяется к пользовательским и сторонним приложениям, а не к приложениям, предоставляемым корпорацией Майкрософт.

Просмотр разрешений Microsoft Graph, запрошенных приложением

На странице Управление приложениями столбец Разрешения указывает, есть ли у приложения разрешения, для которого требуется согласие. Щелкните ссылку Просмотреть сведения для приложения, чтобы просмотреть различные разрешения и доступ к информации организации, запрашиваемой приложением. Возможность просмотра сведений и предоставления согласия применяется к пользовательским и сторонним приложениям, а не к приложениям, предоставляемым корпорацией Майкрософт.

Предоставление согласия на такие разрешения позволяет приложению получать доступ к информации вашей организации. Внимательно проверяйте разрешения, запрашиваемые приложением, прежде чем предоставлять согласие. Дополнительные сведения см. в разделе Разрешения и согласие приложений Teams. Только глобальные администраторы могут предоставить согласие на разрешения Graph, запрашиваемые приложением. Администраторы Teams могут просматривать необходимые разрешения в Центре администрирования. Возможность просмотра сведений и предоставления согласия применяется к пользовательским и сторонним приложениям, а не к приложениям, предоставляемым корпорацией Майкрософт.

Чтобы просмотреть и предоставить согласие всем пользователям в организации, выполните следующие действия:

  1. В Центре администрирования Teams получите доступ к приложениям> TeamsУправление приложениями.

  2. Найдите необходимое приложение и выполните одно из следующих действий:

    • Щелкните ссылку Просмотреть сведения в столбце Разрешения приложения, чтобы открыть вкладку Разрешения .
    • Выберите имя приложения, чтобы перейти на страницу сведений о приложении, и перейдите на вкладку Разрешения .

  3. В разделе Разрешениями для всей организации выберите Проверка разрешения и согласия.

    Снимок экрана: параметр предоставления согласия для разрешений Graph, запрошенных для приложения.

  4. В открывшемся диалоговом окне проверьте разрешения, запрошенные приложением.

    Снимок экрана: разрешения, запрашиваемые приложением.

  5. Если вы согласны с разрешениями, запрошенными приложением, выберите Принять , чтобы предоставить согласие. В верхней части страницы временно появится баннер, который сообщит вам о том, что для приложения предоставлены запрошенные разрешения. Теперь приложение имеет доступ к указанным ресурсам для всех пользователей в вашей организации, для которых это приложение разрешено. Пользователям теперь не предлагается проверить разрешения.

После предоставления согласия на разрешения приложения на вкладке Разрешения появится сообщение о предоставлении согласия. Если вы хотите просмотреть разрешения приложения в Microsoft Entra идентификаторе, щелкните ссылку, чтобы открыть разрешения приложения в центре администрирования Microsoft Entra.

Снимок экрана: ссылка на центр администрирования Microsoft Entra после предоставления разрешения Graph.

Примечание.

Если для новой версии приложения требуются дополнительные разрешения, чем в предыдущей версии, необходимо предоставить согласие приложению еще раз.

Вы можете настроить параметры согласия пользователей, чтобы позволить пользователям предоставлять согласие на выбранные разрешения (рекомендуемый подход) и использовать приложения, которым требуются только эти разрешения, без согласия администратора.

Этот подход работает вместе с классификацией разрешений на портале идентификаторов Microsoft Entra. Классификация позволяет администраторам определять некоторые разрешения делегированного графа как разрешения с низким риском в своей организации. Администраторы решают, какие разрешения с низким уровнем риска зависят от уровня риска своей организации. В качестве меры безопасности нельзя классифицировать разрешения приложений с низким риском.

Параметры согласия пользователей можно настроить таким образом, чтобы пользователи могли:

  • Не сможете предоставить согласие на какие-либо приложения и, следовательно, используйте только приложения, утвержденные администратором.
  • Согласие на выбранные разрешения (рекомендуемый подход) и использование приложения, которому требуются только эти разрешения.

Рекомендуемый подход работает вместе с классификацией разрешений. Классификация позволяет администраторам определять некоторые или все разрешения делегированного графа как разрешения с низким риском в своей организации. Администраторы определяют разрешения с низким риском в зависимости от уровня риска своей организации. В качестве меры безопасности нельзя классифицировать разрешения приложений с низким риском. Разрешения приложений требуют согласия только от администратора. Дополнительные сведения см. в статье Настройка согласия пользователей для приложений и классификация разрешений с низким или высоким риском.

Для выполнения этой настройки необходимо иметь роль глобального администратора, администратора приложений или администратора облачных приложений в организации.

После предоставления согласия на разрешения приложения на вкладке Разрешения появится сообщение о предоставлении согласия.

Снимок экрана: ссылка на Entra после предоставления согласия на разрешения Graph.

Если вы хотите просмотреть разрешения приложения в Microsoft Entra id, щелкните ссылку, чтобы открыть разрешения приложения в центре администрирования Microsoft Entra.

Снимок экрана: пользовательский интерфейс Entra, используемый для просмотра и управления предоставленным согласием для разрешений приложения.

Выберите разрешение, чтобы узнать больше о нем.

Снимок экрана: сведения о выбранном разрешении.

Чтобы отозвать согласие, предоставленное ранее приложению, выполните следующие действия.

  1. На вкладке Разрешения щелкните ссылку идентификатор Microsoft Entra, чтобы открыть разрешения приложения в центре администрирования Microsoft Entra.

  2. На вкладке согласия Администратор выберите разрешение, которые вы хотите отозвать, а затем выберите многоточие ....

  3. Выберите Отозвать разрешение , а затем выберите Да, отозвать в диалоговом окне подтверждения.

    Снимок экрана: параметр отзыва разрешения Graph приложения из центра администрирования Microsoft Entra.

После отзыва согласия на некоторые разрешения вы можете регентировать согласие. См. раздел Предоставление согласия администратора для всей организации для разрешений приложения.

Разработчики обновляют приложения, чтобы добавить новые функции, улучшить существующую функциональность или исправить ошибки. Некоторые обновления приложений могут добавлять новые разрешения, которые не были частью предыдущей версии приложения. Если разработчик добавляет новые разрешения, требующие согласия администратора, необходимо предоставить согласие на новые разрешения. Поток рекогносцировки так же, как описано в разделе Предоставление согласия администратора на уровне организации для разрешений приложения.

Чтобы узнать об изменениях приложения, для которых требуется согласие пользователя или администратора, ознакомьтесь с условиями, когда обновление приложения требует согласия. В зависимости от конфигурации вашей организации пользователи могут предоставлять согласие на некоторые типы разрешений.

Разрешения RSC позволяют приложению получать доступ к данным команды или пользователя и изменять их. Разрешения RSC являются детализированными и зависят от команды Teams, в которую добавляется приложение. Несколько примеров разрешений RSC — это возможность создавать и удалять каналы в команде, получать параметры для команды, а также создавать и удалять вкладки каналов.

Разрешения RSC определяются в манифесте приложения, а не в Центре администрирования Microsoft Entra. Владельцы команд могут предоставить согласие на такие разрешения при добавлении приложения в команду или чат. Дополнительные сведения см. в разделе Согласие для конкретных ресурсов (RSC).

Глобальные администраторы и администраторы Teams могут просматривать разрешения RSC для приложения на вкладке Разрешения на странице сведений о приложении. Чтобы просмотреть разрешения RSC для приложения, выполните следующие действия.

  1. В Центре администрирования Teams перейдите в раздел Приложения> TeamsУправление приложениями.

  2. Найдите требуемое приложение в каталоге.

  3. Щелкните имя приложения, чтобы перейти на страницу сведений о приложении, а затем перейдите на вкладку Разрешения . Кроме того, выберите ссылку Просмотреть сведения приложения.

  4. В разделе Разрешения на согласие для конкретного ресурса (RSC) проверьте разрешения RSC, запрошенные приложением.

    Снимок экрана: пример разрешений RSC приложения на вкладке Разрешения.

Администраторы могут настроить, могут ли пользователи разрешать приложениям доступ к данным своих групп или команд. Глобальные администраторы могут изменить согласие владельца группы для приложений, обращаюющихся к данным, в Microsoft Entra идентификаторе, чтобы разрешить пользователям согласие на разрешения RSC.

Если вы не разрешаете владельцу группы согласие для приложений, пользователи не смогут предоставить согласие на разрешения RSC в приложении, если используются разрешения RSC.