使用以应用为中心的管理来管理应用
重要
所有组织都没有可用的以应用为中心的管理 (ACM) 功能。 如果你未使用自定义权限策略,并且你不是企业客户,我们会迁移你的组织以使用此功能。 如果你使用的是自定义权限策略,或者你是企业客户,那么你很快就能够自行迁移到 ACM 功能。 有关时间线,请参阅 消息中心发布MC688930 或 Microsoft 365 路线图项151829。
如果在 “权限策略”页上看到策略,请继续使用 应用权限策略 来控制用户对应用的访问。 如果组织中的 ACM 功能可用,则会在策略页上看到以下消息。
以应用为中心的管理功能引入了一种新方法来控制用户和组对 Teams 应用的访问权限。 它将替换应用权限策略。 通过此功能,可以指定哪些用户和组可以使用每个应用,并且可以基于每个应用对其进行控制。
当你开始使用此功能时,我们会保留你使用权限策略定义的现有应用访问权限。 用户继续仅有权访问你允许的应用。
你可以管理单个用户、支持的组或组织中的每个人对应用的访问权限。 你可以完全控制谁可以或不能在你的组织中添加和使用应用。 还可以控制我们发布到 Teams 应用商店的新应用的访问。
以应用为中心的管理与权限策略的区别
以前,在使用权限策略时,已使用以下三个设置确定对应用的访问权限:
- 适用于第三方应用的组织范围应用设置:它在组织级别应用,并控制是否适用于所有第三方应用。
- 应用状态:应用级别应用为允许或阻止,并控制是否可供任何用户使用。
- 权限策略:它在用户级别应用,并控制是否允许特定用户使用应用。
以应用为中心的管理功能简化了这些设置。 每个应用都包含其访问定义,使用分配给应用的用户和组列表。 它允许你根据用户的需求以及组织的合规性和风险状况单独管理每个应用。
使用此功能时,可为每个应用使用以下选项之一确定对应用的访问权限:
新建选项 | 什么是应用可用性 | 它如何使用以前的设置进行映射 |
---|---|---|
Everyone |
可供所有组织用户使用 | 与允许应用和全局 (组织范围的默认) 应用权限策略(允许所有用户使用它)的效果相同。 |
Specific users or groups |
只有你选择的用户和组才能使用该应用。 支持的组类型包括安全组、Microsoft 365 组、动态用户成员身份组、嵌套组和通讯组列表。 | 与使用自定义应用权限策略将应用的使用限制为所选用户或组相同。 |
No one |
对任何用户都不可用 | 与被阻止的应用相同。 |
允许用户访问应用的方法更改了此功能。 过去,为了允许用户访问,需要在策略中将应用添加为允许的应用,并将该策略分配给用户。 使用此功能,只需修改应用的可用性,以允许所选用户使用它。 此外,无需为允许的应用和允许的用户的不同组合创建多个策略。
迁移到以应用为中心的管理
以前,我们会自动迁移未使用任何自定义策略的组织。 管理员现在可以执行按需迁移。 了解这两种类型的迁移之间的差异。
注意事项 | 辅助迁移 | 自动迁移 |
---|---|---|
谁来做 | Administrator | Microsoft |
要求 | 组织使用一个或多个自定义策略 | 组织仅使用默认全局策略 |
迁移的性质 | 管理中心中的引导 UI | 自动,无需管理员干预 |
现有应用访问权限 | 无更改 | 无更改 |
若要迁移,请执行以下步骤:
强烈建议为迁移做好准备。 为此,请清点自定义权限策略中已有的应用,并确定可以表示当前应用权限策略分配的组。 在迁移期间,需要为这些应用提供用户和组,因为现有应用权限策略分配不会以当前状态进行。
登录到 Teams 管理中心并访问 Teams 应用 >权限策略 页,然后选择 “入门”。
选择要迁移的策略。 该页显示已向其分配用户的所有策略。 选择“ 下一步”。 未选择的策略以后无法迁移。
在下一页上验证用户的应用可用性。 在以下三个选项卡中,它显示了组织范围应用设置中的应用列表,以及你选择迁移的应用权限策略。
- 可供所有人使用:允许组织中的每个人使用的应用列表。
- 适用于特定用户和组:有选择地允许至少一个组织用户或受支持的组的应用列表。
- 不对任何人可用:组织中的任何人都无法使用的应用列表。
在每个选项卡中,可以根据需要将应用可用性修改为 三种应用可用性类型之一。 所有选定策略中不存在的应用将显示在“可供特定用户和组使用”选项卡中。必须先将其分配给一个或多个用户或组,然后才能继续操作。 应用权限策略中的现有用户分配不会转移,此处不适用。
提示
如果看到几乎所有应用都可供特定用户和组使用,则可能具有具有冲突应用可用性的策略。 例如,允许所有应用的策略和阻止所有应用的另一个策略。 在这种情况下,建议取消选中导致冲突的策略,并从列表中选择正在使用的应用。
可以按应用或按用户验证更改。 选择选项卡并键入应用或用户的名称。
在最终的评审 UI 上,可以看到应用及其可用性,以及迁移后应用的组织范围应用设置。 可以将此信息下载为 CSV 文件,以便进一步评估。 确定后,选择“ 开始迁移 ”并按照提示操作。
在迁移过程中,可以使用“ 稍后完成” 选项保存迁移进度的草稿。 此外,可以使用 “重置所有更改 ”选项取消和删除已保存的草稿。
注意
启动迁移时,将禁用现有的“管理应用”UI。 如果尚未准备好继续操作或想要更改即将退出的权限策略,请打开向导并选择“重置所有更改”选项。 可以再次重启迁移。
迁移后,被阻止的应用将继续对用户不可用。 此类应用现在显示为“已解除阻止”,但在“管理应用”页上的 Available to
列中被分配到No one
。 这意味着组织用户不能像之前预期的那样使用应用。
为用户添加或修改应用可用性
若要将用户或组分配到应用,请执行以下步骤:
在 Teams 管理中心中,转到 “管理应用 ”页面,搜索所需的应用,然后选择应用名称以打开其应用详细信息页。 无法批量分配应用。
选择“ 分配 ”选项卡。
选择 “分配 ”或 “分配应用”。
从 “管理可安装此应用的人员 ”菜单中选择所需的选项。 分配用户或组时,请从“搜索用户或组”菜单中 搜索用户或组 。 选择“应用”。
若要从应用中删除一个或多个用户或组,请选择行,然后选择 “删除”。
注意
以前阻止的应用现在显示为“已取消阻止”,但在“管理应用”页面上的Available to
列中被分配到No one
。 这意味着任何组织用户都不能使用该应用。
应用可用性的默认设置
除了定义应用的可用性外,还可以控制任何新应用的默认应用可用性。 可以控制每种类型的应用。 对于新组织,默认设置设置为允许用户默认安装应用。 对于现有组织, 旧设置映射到新的访问设置。
若要更改此默认设置,请访问 “管理应用 ”页,选择 “操作>组织范围的应用设置”,并修改所需的设置。
组织范围的应用设置适用于:
- Teams 应用商店中提供的所有新应用。
- 未主动管理的所有现有应用,即未更改其可用性。
组织范围的应用设置不适用于:
- 用户分配设置为“特定用户和组”并由你保存的所有应用。
- 分配给“所有人”或“无人”并单独保存的所有应用。
- 处于阻止状态的任何应用。
假设你开始使用该功能,并且所有应用都分配给了所有人。 现在,你已将应用的可用性更改为特定组或用户。 保存此类可用性后,如果更改“ 默认情况下允许用户安装和使用可用应用”的“组织范围应用”设置,则此特定应用将继续分配给特定组或用户。 对组织范围应用设置的更改仅适用于未更改其可用性的应用。 此外,如果再次更改 “允许用户安装和使用可用应用”默认设置 ,则所有其他应用的可用性将再次受到影响,但主动管理的应用除外。
查看组织中的应用
可以查看目录中的所有应用,并从 “管理 应用”页轻松访问应用可用性。 可以使用所有三种类型的应用可用性进行排序和筛选。 若要了解 Microsoft 提供的应用,请参阅 Microsoft 创建的应用列表。
查看分配给特定用户的所有应用
在 “管理用户 ”页上,选择一个用户以打开用户详细信息页,然后选择“ 应用 ”选项卡。选项卡列出了用户有权访问的应用。 若要轻松查找应用的访问类型,可以搜索应用的名称。
每个应用都显示其可用性的类型,该类型指示如何将用户分配到应用:通过向所有人提供可用性、将可用性直接分配给用户或通过组。 该列表仅显示分配给用户且允许在组织中使用的应用。 分配给任何人的应用和在组织中被阻止的应用不会出现在此列表中。
可以删除用户的应用可用性。 选择直接分配给用户的应用,然后选择 “删除”。 如果应用可供所有人或组使用,则无法删除用户的可用性。
旧权限策略和新应用可用性之间的映射
当租户的管理中心收到此功能时,会对应用访问权限进行以下更新。 对应用的访问权限不会更改,更新仅将现有权限策略映射到新的可用性。
应用权限策略和早期组织设置 | 使用此功能时组织范围的应用设置 |
---|---|
Microsoft 应用的全局权限策略为 Allow all 或 Microsoft 应用的全局权限策略为 Block an app(s), allow all others |
Allow users install available apps by default for Microsoft Apps 设置为 on |
Microsoft 应用的全局权限策略为 Block all 或 Microsoft 应用的全局权限策略为 Allow app(s), Block all others |
Allow users install available apps by default 将 microsoft 应用设置为 off |
组织范围应用设置中的第三方应用设置设置为“打开”;组织范围应用设置中的新第三方应用设置设置为“打开”;第三方应用的全局权限策略为 Allow all ;或第三方应用的全局权限策略为 Block an app(s), allow all others |
Allow users install available apps by default for 第三方应用设置为“打开” |
组织范围应用设置中的第三方应用设置设置为 off;组织范围应用设置中的新第三方应用设置设置为 off;第三方应用的全局权限策略为 Block all ;或第三方应用的全局权限策略为 Allow app(s), Block all others |
Allow users install available apps by default 第三方应用的 设置为“关闭” |
自定义应用的全局权限策略为 Allow all 或自定义应用的全局权限策略为 Block an app(s), allow all others |
Allow users install available apps by default 的自定义应用设置为“打开” |
自定义应用的全局权限策略为 Block all 或自定义应用的全局权限策略为 Allow app(s), Block all others |
Allow users install available apps by default 的 自定义应用设置为“关闭” |
早期应用状态 | 之前应用的权限策略 | 使用此功能时的应用可用性 |
---|---|---|
已屏蔽 | 已屏蔽 | 没有人可以安装 |
已屏蔽 | 允许 | 没有人可以安装 |
允许 | 已屏蔽 | 没有人可以安装 |
允许 | 允许 | 所有人 |
注意事项和限制
迁移后,被阻止的应用将继续对用户不可用。 此类应用现在显示为“已解除阻止”,但在“管理应用”页上的
Available to
列中被分配到No one
。 这意味着任何组织用户都无法按预期使用应用。切换到此功能后,无法访问、编辑或使用权限策略。 组织迁移后,无法还原迁移。
无法批量定义应用的可用性。
迁移到此功能的组织不支持用于权限策略的 PowerShell cmdlet。 以应用为中心的管理功能取代了权限策略。 虽然 cmdlet 似乎成功,但更改不会应用于组织。
Teams 管理中心不支持嵌套组的应用可用性。 如果将应用分配给嵌套组,则该应用仅适用于直接后代。
相关文章
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈