使用以应用为中心的管理来管理应用
重要
如果你的 Teams 管理中心没有此功能,它将稍后收到该功能。 建议继续使用 应用权限策略来控制用户对应用的访问。
以应用为中心的管理功能引入了一种新方法来控制用户和组对 Teams 应用的访问权限。 它将替换应用权限策略。 通过此功能,可以指定哪些用户和组可以使用每个应用,并且可以基于每个应用对其进行控制。
当你开始使用此功能时,我们会保留你使用权限策略定义的现有应用访问权限。 用户继续仅有权访问你允许的应用。
你可以管理单个用户、支持的组或组织中的每个人对应用的访问权限。 你可以完全控制谁可以或不能在你的组织中添加和使用应用。 还可以控制我们发布到 Teams 应用商店的新应用的访问。
权限策略与以应用为中心的管理之间的差异
以前,在使用权限策略时,已使用以下三个设置确定对应用的访问权限:
- 第三方应用的组织范围设置。 它在组织级别应用,并控制是否所有第三方应用都可供每个用户使用。
- 应用状态。 它在应用级别应用,并控制它是否可供任何用户使用。
- 权限策略。 它在用户级别应用,并控制是否允许特定用户使用应用。
以应用为中心的管理功能简化了这些设置。 每个应用都包含其访问定义,使用分配给应用的用户和组列表。 它允许你根据用户的需求以及组织的合规性和风险状况单独管理每个应用。
使用此功能时,可为每个应用使用以下选项之一确定对应用的访问权限:
- 组织中的每个人。
- 特定用户或组:只有你选择的用户和组才能使用该应用。 支持的组类型包括安全组、Microsoft 365 组、动态用户成员身份组、嵌套组和通讯组列表。
- 没有人。
允许用户访问应用的方法更改了此功能。 过去,为了允许用户访问,需要在策略中将应用添加为允许的应用,并将该策略分配给用户。 使用此功能,只需修改应用的应用分配,以允许所选用户使用它。 此外,无需为允许的应用和允许的用户的不同组合创建多个策略。
添加或修改应用分配
若要将用户或组分配到应用,请执行以下步骤:
在 Teams 管理中心中,转到 “管理应用 ”页面,搜索所需的应用,然后选择应用名称以打开其应用详细信息页。
选择“ 分配 ”选项卡。
选择 “分配 ”或 “分配应用”。
从 “管理可安装此应用的人员 ”菜单中选择所需的选项。 分配用户或组时,请从用户或组搜索菜单中搜索用户或组。 选择“应用”。
若要从应用中删除一个或多个用户或组,请选择行,然后选择 “删除”。
注意
可以查看和修改已阻止应用的分配,但只有在 允许应用时,分配才会生效。
应用可用性设置以及如何保留分配
除了允许或阻止应用以及创建应用分配外,还可以控制任何新应用的默认应用分配。 可以控制每种应用类型的默认应用分配。 对于新组织,默认设置设置为允许用户默认安装应用。 对于现有组织, 旧设置映射到新的访问设置。
若要更改此默认设置,请访问 “管理应用 ”页,选择 “操作>组织范围的应用设置”,并修改所需的设置。
组织范围的应用设置适用于:
- Teams 应用商店中提供的所有新应用。
- 未主动管理的所有现有应用,即未更改其分配。
组织范围的应用设置不适用于:
- 用户分配设置为“特定用户和组”并由你保存的所有应用。
- 分配给“所有人”或“无人”并单独保存的所有应用。
- 处于阻止状态的任何应用。
假设你开始使用该功能,并且所有应用都分配给了所有人。 现在,你已将应用的分配更改为特定组或用户。 保存此应用分配后,如果更改“ 默认情况下允许用户安装和使用可用应用”的“组织范围应用”设置,则此特定应用将继续分配给特定组或用户。 对组织范围应用设置的更改仅适用于未更改分配的应用。 此外,如果再次更改 “允许用户安装和使用可用应用”默认设置 ,则所有其他应用的分配将再次受到影响,但主动管理的应用除外。
查看组织中的应用
可以查看目录中的所有应用,并从 “管理 应用”页轻松访问应用分配。 可以使用所有三种类型的应用分配进行排序和筛选。 若要了解 Microsoft 提供的应用,请参阅 Microsoft 创建的应用列表。
查看和修改分配给用户的应用
在 “管理用户 ”页上,选择一个用户以打开用户详细信息页,然后选择“ 应用 ”选项卡。选项卡列出了用户有权访问的应用。 若要轻松查找应用的访问类型,可以搜索应用的名称。
每个应用都显示分配类型,该类型指示如何将用户分配到应用:通过向所有人分配、直接用户分配或通过组分配。 该列表仅显示分配给用户且允许在组织中使用的应用。 分配给任何人的应用和在组织中被阻止的应用不会出现在此列表中。
可以删除用户的应用分配。 选择直接分配给用户的应用,然后选择 “删除”。 如果应用可供所有人或组使用,则无法删除用户的分配。
旧权限策略和新应用分配之间的映射
当租户的管理中心收到此功能时,会对应用访问权限进行以下更新。 对应用的访问权限不会更改,更新仅将现有权限策略映射到新分配。
应用权限策略和早期组织设置 | 使用此功能时组织范围的应用设置 |
---|---|
Microsoft 应用的全局权限策略为 Allow all 或 Microsoft 应用的全局权限策略为 Block an app(s), allow all others |
Allow users install available apps by default for Microsoft Apps 设置为 on |
Microsoft 应用的全局权限策略为 Block all 或 Microsoft 应用的全局权限策略为 Allow app(s), Block all others |
Allow users install available apps by default 将 microsoft 应用设置为 off |
组织范围应用设置中的第三方应用设置设置为“打开”;组织范围设置中的新第三方应用设置设置为“打开”;第三方应用的全局权限策略为 Allow all ;或第三方应用的全局权限策略为 Block an app(s), allow all others |
Allow users install available apps by default for 第三方应用设置为“打开” |
组织范围应用设置中的第三方应用设置设置为 off;组织范围设置中的新第三方应用设置设置为“关闭”;第三方应用的全局权限策略为 Block all ;或第三方应用的全局权限策略为 Allow app(s), Block all others |
Allow users install available apps by default 第三方应用的 设置为“关闭” |
自定义应用的全局权限策略为 Allow all 或自定义应用的全局权限策略为 Block an app(s), allow all others |
Allow users install available apps by default 的自定义应用设置为“打开” |
自定义应用的全局权限策略为 Block all 或自定义应用的全局权限策略为 Allow app(s), Block all others |
Allow users install available apps by default 的 自定义应用设置为“关闭” |
早期应用状态 | 全局权限策略定义之前 | 使用新功能时的应用分配 |
---|---|---|
已屏蔽 | 已屏蔽 | 没有人可以安装 |
已屏蔽 | 允许 | 没有人可以安装 |
允许 | 已屏蔽 | 没有人可以安装 |
允许 | 允许 | 所有人 |
注意事项和限制
切换到此功能后,无法访问、编辑或使用权限策略。
迁移到此功能的租户不支持权限策略的 PowerShell cmdlet。 以应用为中心的管理功能取代了权限策略。 虽然 cmdlet 看起来可能成功,但更改不会应用于租户。
相关文章
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈