Согласие на конкретные ресурсы в Microsoft TeamsResource-specific consent in Microsoft Teams

Это функция предварительной версии или предыдущего выпуска.This is a preview or early release feature.

Согласие на определенные ресурсы в Microsoft Teams позволяет владельцам групп предоставлять согласие на доступ к данным о группе для приложений.Resource-specific consent in Microsoft Teams lets team owners give consent to apps to access team data. Примеры такого доступа включают возможность чтения сообщений канала, создание и удаление каналов, а также создание и удаление вкладок каналов.Examples of such access include the ability to read channel messages, create and delete channels, and create and remove channel tabs.

Администраторы могут предоставить согласие на доступ к параметрам, настроенным с помощью модуля PowerShell Active Directory (Azure AD) либо на портале Azure и в центре администрирования Microsoft Teams.As an admin, you control whether team owners in your organization can give consent through settings that you configure by using the Azure Active Directory (Azure AD) PowerShell module or the Azure portal and the Microsoft Teams admin center.

Ниже указаны параметры, которые необходимо настроить, чтобы управлять тем, может ли владелец группы предоставлять согласие на приложения.Here are the settings that you must set to control whether team owners can give consent to apps. Обязательно ознакомьтесь со всеми следующими параметрами.Be sure to review all the following settings.

Параметры в Azure ADSettings in Azure AD

Следующие два параметра определяют, могут ли владельцы групп предоставлять согласие на приложения.The following two settings determine whether team owners can give consent to apps.

Важно!

Изменение любого из этих параметров не влияет на доступ к данным для приложений, которым уже предоставлено согласие.Changing any of these settings doesn't affect data access for apps that were already granted consent. Например, если вы настроили эти параметры, чтобы запретить владельцам групп получать разрешения, эти изменения не удаляют доступ к данным, который уже предоставлен.For example, if you configure these settings to prevent team owners from giving consent, these changes don't remove data access that's already been granted.

Этот параметр определяет, могут ли пользователи в вашей организации получать согласие на доступ к приложениям от их имени.This setting controls whether users in your organization can consent to apps on their behalf. Чтобы разрешить владельцам групп предоставлять согласие, этот параметр должен иметь значение Да.To enable team owners to give consent, this setting must be set to Yes. Чтобы изменить этот параметр, выполните указанные ниже действия.To manage this setting, do the following:

  1. На портале Azure перейдите в раздел Enterprise applications > Параметры пользователядля корпоративных приложений.In the Azure portal, go to Enterprise applications > User settings.
  2. В разделе корпоративные приложения пользователи могут получать согласие на то, что приложения обращаются к данным компании от их имени к " нет " или "Да".Under Enterprise applications, set Users can consent to apps accessing company data on their behalf to No or Yes.

Вы также можете управлять этим параметром с помощью PowerShell.You can also manage this setting using PowerShell. Дополнительные сведения можно найти в разделе Настройка пользовательского содержимого для приложений.To learn more, see Configure user content to applications.

Параметр "EnableGroupSpecificConsent"The "EnableGroupSpecificConsent" setting

Этот параметр определяет, могут ли пользователи в вашей организации получать согласие на доступ к данным компании для тех групп, которыми они владеют.This setting controls whether users in your organization can consent to apps accessing company data for the groups that they own. Этот параметр должен быть включен, если владельцам групп будет предоставлено согласие.This setting must be enabled for team owners to give consent. Инструкции по управлению этим параметром с помощью PowerShell можно найти в статье Настройка согласия владельца группы для приложений, использующих доступ к данным о группах.For steps on how to manage this setting by using PowerShell, see Configure group owner consent to apps accessing group data.

Параметры в центре администрирования Microsoft TeamsSettings in the Microsoft Teams admin center

В дополнение к параметрам в Azure AD, Параметры приложения в масштабах Организации на странице Manage Apps ( Управление приложениями) , а также в том случае, если приложение заблокировано или разрешено для владельца группы, определяет, может ли владелец группы получить согласие.In addition to settings in Azure AD, org-wide app settings on the Manage apps page, whether an app is blocked or allowed on the Manage apps page, and the app permission policy assigned to the team owner determine whether a team owner can give consent.

Важно!

Изменение любого из этих параметров не влияет на доступ к данным для приложений, которым уже предоставлено согласие.Changing any of these settings doesn't affect data access for apps that were already granted consent. Например, если отключить сторонние приложения или заблокировать определенные приложения, чтобы не допустить согласие владельцам групп, эти изменения не удаляют доступ к данным, который уже предоставлен.For example, if you disable third-party apps org-wide or if you block specific apps to prevent team owners from giving consent, these changes don't remove data access that's already been granted.

Параметр "Разрешить сторонние приложения" в параметрах приложения в масштабах ОрганизацииThe "Allow third party apps" setting in org-wide app settings

Этот параметр приложения на уровне Организации определяет, могут ли пользователи в вашей организации использовать сторонние приложения.This org-wide app setting controls whether users in your organization can use third-party apps. Этот параметр должен быть включен, чтобы предоставить владельцам групп разрешение на согласие.This setting must be on to enable team owners to give consent. Чтобы изменить этот параметр, выполните указанные ниже действия.To manage this setting, do the following:

  1. В левой области навигации центра администрирования Microsoft Teams перейдите в раздел приложения Teams > Управление приложениями, а затем выберите Параметры приложения для всей Организации.In the left navigation of the Microsoft Teams admin center, go to Teams apps > Manage apps, and then click Org-wide app settings.

  2. В разделе сторонние приложенияотключите или включите разрешение приложений третьих лиц.Under Third party apps, turn off or turn on Allow third party apps.

    Снимок экрана: параметр "Разрешить сторонние приложения в Teams"

Чтобы изменения вступили в силу, может потребоваться до 24 часов.You may have to wait up to 24 hours for your changes to take effect.

Разрешение или блокирование приложения на уровне ОрганизацииAllow or block the app at the org level

Если вы блокируете или разрешаете приложение на странице " Управление приложениями ", это приложение заблокировано или разрешено для всех пользователей в вашей организации.When you block or allow an app on the Manage apps page, that app is blocked or allowed for all users in your organization. Владельцы группы могут предоставить согласие на доступ к приложению только в том случае, если приложение разрешено.Team owners can only give consent to an app if the app is allowed. Чтобы разрешить или заблокировать приложение на уровне Организации, выполните указанные ниже действия.To allow or block an app at the org level, do the following:

  1. В левой области навигации центра администрирования Microsoft Teams перейдите в раздел приложения Teams > Управление приложениями.In the left navigation of the Microsoft Teams admin center, go to Teams apps > Manage apps.

  2. На странице Manage Apps (Управление приложениями) выберите приложение, а затем выберите команду блокировать , чтобы заблокировать ее или разрешить.On the Manage apps page, select the app, and then click Block to block it or click Allow to allow it.

    Снимок экрана: заблокированные приложения в параметрах уровня Организации

Политика разрешений на доступ к приложениям, назначенная владельцу группыApp permission policy assigned to the team owner

Владельцы команды могут предоставить согласие на работу с приложениями, которые их политика разрешений на доступ к приложениям позволяет им выполняться.Team owners can only give consent to apps that their app permission policy allows them to run. Чтобы просмотреть и настроить политику разрешений приложений, назначенную владельцу группы, выполните указанные ниже действия.To view and manage the app permission policy that's assigned to a team owner, do the following:

  1. В левой области навигации центра администрирования Microsoft Teams перейдите к разделу Пользователи.In the left navigation of the Microsoft Teams admin center, go to Users.
  2. Дважды щелкните отображаемое имя владельца команды и выберите пункт политики.Double-click the display name of the team owner, and then click Policies.
  3. Политика, назначенная владельцу группы, указана в разделе политика разрешений на доступ к приложениям.The policy assigned to the team owner is listed under App permission policy.
    • Чтобы назначить другую политику, нажмите кнопку изменить, а затем выберите политику, которую вы хотите назначить.To assign a different policy, click Edit, and then select the policy that you want to assign.
    • Чтобы изменить параметры политики, назначенной владельцу группы, щелкните имя политики и внесите необходимые изменения.To edit the settings of the policy that's assigned to the team owner, click the policy name, and then make the changes that you want.

Отправка настраиваемых приложенийUploading custom apps

При загрузке настраиваемого приложения (также известной для загрузки неопубликованных приложений), которое использует согласие на ресурс, приложение должно быть получено от клиента, на который оно установлено.When uploading a custom app (also known sideloading) that uses resource-specific consent, the app must come from the tenant that it's being installed to. Другими словами, регистрация приложения Azure AD должна быть из этого клиента.In other words, the Azure AD app registration must be from this tenant. Глобальные администраторы исключаются из этого ограничения и могут отправлять пользовательские приложения из любого клиента либо непосредственно в группу (в неопубликованных), либо в каталог приложений клиента.Global admins are exempted from this restriction, and can upload custom apps from any tenant, either directly to a team (sideloading) or to the tenant app catalog.