Предоставление разрешений приложения Teams и управление ими

Использование приложений Teams может обеспечить невероятное повышение производительности и совместной работы пользователей вашей организации. Приложения Teams содержат информацию по советам пользователей без переключения контекста и помогают им выполнять отличную работу. Как администратор, вы играете важную роль, чтобы предоставить пользователям правильный тип приложений, балансируя потребности вашей компании в безопасности и соответствии требованиям. После того как вы решите утвердить использование приложения, необходимо убедиться, что его внедрение будет плавным для пользователей.

Важно предоставить согласие на разрешения, необходимые приложению для работы. Вы даете согласие на утвержденные приложения, чтобы каждому пользователю в вашей организации не нужно было проверять разрешения и согласие по отдельности при запуске приложения. Несколько примеров разрешений, запрашиваемых приложениями, включают возможность чтения сведений, хранящихся в команде, чтения профиля пользователя и отправки сообщения электронной почты от имени пользователей. Дополнительные сведения о разрешениях и согласии см. в статье Разрешения и согласие в конечной точке платформа удостоверений Майкрософт.

Чтобы защитить потребности компании и соблюдать ее политики, только глобальные администраторы могут предоставить согласие на разрешения приложений от имени всех пользователей в вашей организации. Возможность просмотра сведений и требование предоставления согласия применяется к пользовательским и сторонним приложениям, а не к приложениям, предоставляемым корпорацией Майкрософт.

Просмотр разрешений Microsoft Graph, запрошенных приложением

На странице Управление приложениями столбец Разрешения указывает, есть ли у приложения разрешения, для которого требуется согласие. Щелкните ссылку Просмотреть сведения для приложения, чтобы просмотреть различные разрешения и доступ к информации организации, запрашиваемой приложением. Возможность просмотра сведений и предоставления согласия применяется к пользовательским и сторонним приложениям, а не к приложениям, предоставляемым корпорацией Майкрософт.

Предоставление согласия на такие разрешения позволяет приложению получать доступ к информации вашей организации. Внимательно проверяйте разрешения, запрашиваемые приложением, прежде чем предоставлять согласие. Дополнительные сведения см. в разделе Разрешения и согласие приложений Teams. Только глобальные администраторы могут предоставить согласие на разрешения Graph, запрашиваемые приложением. Администраторы Teams могут просматривать необходимые разрешения в Центре администрирования. Возможность просмотра сведений и предоставления согласия применяется к пользовательским и сторонним приложениям, а не к приложениям, предоставляемым корпорацией Майкрософт.

Чтобы просмотреть и предоставить согласие всем пользователям в организации, выполните следующие действия:

  1. В Центре администрирования Teams получите доступ к приложениям> TeamsУправление приложениями.

  2. Найдите необходимое приложение и выполните одно из следующих действий:

    • Щелкните ссылку Просмотреть сведения в столбце Разрешения приложения, чтобы открыть вкладку Разрешения .
    • Выберите имя приложения, чтобы перейти на страницу сведений о приложении, и перейдите на вкладку Разрешения .
  3. В разделе Разрешениями для всей организации выберите Проверка разрешения и согласия.

    Снимок экрана: параметр предоставления согласия для разрешений Graph, запрошенных для приложения.

  4. В открывшемся диалоговом окне проверьте разрешения, запрошенные приложением.

    Снимок экрана: диалоговое окно, в котором принимается согласие на разрешения, запрошенные приложением.

  5. Если вы согласны с разрешениями, запрошенными приложением, выберите Принять , чтобы предоставить согласие. На вкладке "Разрешения" вы получите подтверждение о том, что для приложения доступно согласие. Теперь приложение имеет доступ к указанным ресурсам для всех пользователей в вашей организации, для которых это приложение разрешено. Пользователям теперь не предлагается проверить разрешения.

    Снимок экрана: подтверждение после предоставления согласия на доступ к разрешениям приложения.

Примечание.

В новой версии приложения, если разработчик добавляет дополнительные разрешения, требующие согласия администратора, пользователи не смогут использовать приложение, пока вы не предоставите согласие обновленному приложению.

Вы можете настроить параметры согласия пользователей, чтобы позволить пользователям предоставлять согласие на выбранные разрешения (рекомендуемый подход) и использовать приложения, которым требуются только эти разрешения, без согласия администратора.

Этот подход работает вместе с классификацией разрешений на портале Microsoft Entra ID. Классификация позволяет администраторам определять некоторые разрешения делегированного графа как разрешения с низким риском в своей организации. Администраторы решают, какие разрешения с низким уровнем риска зависят от уровня риска своей организации. В качестве меры безопасности нельзя классифицировать разрешения приложений с низким риском.

Параметры согласия пользователей можно настроить таким образом, чтобы пользователи могли:

  • Не сможете предоставить согласие на какие-либо приложения и, следовательно, используйте только приложения, утвержденные администратором.
  • Согласие на выбранные разрешения (рекомендуемый подход) и использование приложения, которому требуются только эти разрешения.

Рекомендуемый подход работает вместе с классификацией разрешений. Классификация позволяет администраторам определять некоторые или все разрешения делегированного графа как разрешения с низким риском в своей организации. Администраторы определяют разрешения с низким риском в зависимости от уровня риска своей организации. В качестве меры безопасности нельзя классифицировать разрешения приложений с низким риском. Разрешения приложений требуют согласия только от администратора. Дополнительные сведения см. в статье Настройка согласия пользователей для приложений и классификация разрешений с низким или высоким риском.

Роли, которые могут выполнить эту настройку: глобальный администратор, администратор приложений или администратор облачных приложений. Рекомендуется использовать роль с более низкими привилегиями, например администратор приложения.

После предоставления согласия на разрешения приложения на вкладке Разрешения появится подтверждение, чтобы сообщить, что для разрешений приложения доступно согласие. Если вы хотите просмотреть сведения о разрешениях каждого приложения, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra.

  2. Выберите Приложения>Корпоративные приложения.

  3. Выберите приложение, чтобы просмотреть его разрешения. Выберите Разрешения на странице приложений.

    Снимок экрана: пользовательский интерфейс Entra, используемый для просмотра и управления предоставленным согласием для разрешений приложения.

  4. Выберите разрешение, чтобы узнать больше о нем.

    Снимок экрана: сведения о выбранном разрешении.

Чтобы отозвать согласие, предоставленное ранее приложению, выполните следующие действия.

  1. На вкладке Разрешения выберите ссылку Microsoft Entra ID, чтобы открыть разрешения приложения в Центр администрирования Microsoft Entra.

  2. На вкладке согласия Администратор выберите разрешение, которые вы хотите отозвать, а затем выберите многоточие ....

  3. Выберите Отозвать разрешение , а затем выберите Да, отозвать в диалоговом окне подтверждения.

    Снимок экрана: параметр отзыва разрешения Graph приложения из Центр администрирования Microsoft Entra.

После отзыва согласия на некоторые разрешения вы можете регентировать согласие. См. раздел Предоставление согласия администратора для всей организации для разрешений приложения.

Разработчики обновляют приложения, чтобы добавить новые функции, улучшить существующую функциональность или исправить ошибки. Некоторые обновления приложений могут добавлять новые разрешения, которые не были частью предыдущей версии приложения. Если разработчик добавляет новые разрешения, требующие согласия администратора, необходимо предоставить согласие на новые разрешения. Поток рекогносцировки так же, как описано в разделе Предоставление согласия администратора на уровне организации для разрешений приложения.

Чтобы узнать об изменениях приложения, для которых требуется согласие пользователя или администратора, ознакомьтесь с условиями, когда обновление приложения требует согласия. В зависимости от конфигурации вашей организации пользователи могут предоставлять согласие на некоторые типы разрешений.

Разрешения на согласие для конкретного ресурса (RSC) позволяют приложению получать доступ к данным команды или пользователя и изменять их. Разрешения RSC являются детализированными и зависят от команды Teams, в которую добавляется приложение. Несколько примеров разрешений RSC — это возможность создавать и удалять каналы в команде, получать параметры для команды, а также создавать и удалять вкладки каналов.

Разрешения RSC определяются в манифесте приложения, а не в Центр администрирования Microsoft Entra. Владельцы команд могут предоставить согласие на такие разрешения при добавлении приложения в команду или чат. Дополнительные сведения см. в разделе Согласие для конкретных ресурсов (RSC).

Разрешения RSC для приложения можно просмотреть на вкладке Разрешения на странице сведений о приложении. Разрешения RSC перечислены вместе с другими разрешениями в разделах Приложения и Делегированные разрешения.

Администраторы могут настроить, могут ли пользователи разрешать приложениям доступ к данным своих групп или команд. Глобальные администраторы могут изменить согласие владельца группы для приложений, обращаюсь к данным в Microsoft Entra ID, чтобы предоставить пользователям согласие на разрешения RSC.

Если вы не разрешаете владельцу группы согласие для приложений, пользователи не смогут предоставить согласие на разрешения RSC в приложении, если используются разрешения RSC.