授予和管理对 Teams 应用权限的许可

使用 Teams 应用可以极大地提高组织的用户的工作效率和协作。 Teams 应用无需任何上下文切换即可从用户的提示获取信息,并帮助他们完成出色的工作。 作为管理员,你扮演了关键角色,为用户提供正确的应用类型,同时平衡公司对安全性和合规性的需求。 决定批准使用应用后,必须确保用户顺利采用应用。

一个关键部分是授予对应用工作所需的权限的许可。 你同意已批准的应用,以便组织中的每个用户在启动应用时不必单独查看权限和同意。 应用请求的权限的几个示例包括读取团队中存储的信息、读取用户的个人资料以及代表用户发送电子邮件的功能。 若要了解有关权限和同意的详细信息,请参阅 Microsoft 标识平台 终结点中的权限和同意

为了保障公司的需求并遵守其策略,只有全局管理员可以代表组织中的所有用户授予对应用权限的许可。 查看详细信息和授予同意要求的选项适用于自定义应用和第三方应用,不适用于 Microsoft 提供的应用

查看应用请求的 Microsoft Graph 权限

“管理应用 ”页上, “权限” 列指示应用是否具有需要同意的权限。 选择应用的 “查看详细信息 ”链接,以查看应用请求的组织信息的各种权限和访问权限。 查看详细信息和授予同意的选项适用于自定义应用和第三方应用,不适用于 Microsoft 提供的应用

授予对此类权限的同意允许应用访问组织的信息。 在授予同意之前,请仔细查看应用请求的权限。 有关详细信息,请参阅 Teams 应用权限和同意。 只有全局管理员可以向应用请求的 Graph 权限授予许可。 Teams 管理员可以在管理中心查看所需的权限。 查看详细信息和授予同意的选项适用于自定义应用和第三方应用,不适用于 Microsoft 提供的应用

若要查看组织中的所有用户并向其授予同意,请执行以下步骤:

  1. 在 Teams 管理中心中,访问 Teams 应用>管理应用

  2. 搜索所需的应用,然后执行下列操作之一:

    • 选择应用的“权限”列中的“ 查看详细信息 ”链接,打开“ 权限” 选项卡。
    • 选择应用名称以转到应用详细信息页,然后选择“ 权限 ”选项卡。
  3. 在“组织范围权限”下,选择“查看权限和同意”。

    显示向应用请求的 Graph 权限授予许可的选项的屏幕截图。

  4. 在打开的对话框中,查看应用请求的权限。

    显示接受应用请求的权限同意的对话框的屏幕截图。

  5. 如果同意应用请求的权限,请选择“ 接受 ”以授予许可。 通过“权限”选项卡中的确认,你可以知道该应用可以使用许可。 应用现在有权访问组织中允许应用的所有用户的指定资源。 现在不会提示用户查看权限。

    显示向应用权限授予同意后确认的屏幕截图。

注意

在新版本的应用中,如果开发人员添加了需要管理员同意的额外权限,则在你 向更新的应用授予许可之前,用户将无法使用该应用。

可以配置用户同意设置,让用户同意所选权限 (建议的方法) 和使用仅需要这些特定权限的应用,而无需管理员同意。

此方法与 Microsoft Entra ID 门户中的权限分类结合使用。 通过分类,管理员可在组织中将某些委托的 Graph 权限定义为低风险权限。 管理员根据其组织的风险状况决定哪些低风险权限。 作为一项安全措施,不能对应用程序权限进行低风险分类。

可以配置用户同意设置,让用户能够:

  • 无法同意任何应用,因此仅使用管理员批准的应用。
  • 同意所选权限 (建议的方法) 和使用仅需要这些特定权限的应用。

建议的方法与权限分类结合使用。 通过分类,管理员可在组织中将部分或全部委托的 Graph 权限定义为低风险权限。 管理员根据其组织的风险状况决定低风险权限。 作为一项安全措施,不能对应用程序权限进行低风险分类。 应用程序权限仅需要管理员同意。 有关详细信息,请参阅 配置用户如何同意应用程序 以及如何 将权限分类为低风险或高风险

可以完成此配置的角色是全局管理员、应用程序管理员或云应用程序管理员。 建议使用较低特权角色,例如应用程序管理员。

授予对应用权限的同意后,在“ 权限 ”选项卡中进行确认,告知你同意可用于应用权限。 如果要查看每个应用权限的详细信息,请执行以下步骤:

  1. 登录到Microsoft Entra 管理中心

  2. 选择 “应用程序>”“企业应用程序”。

  3. 选择应用程序以查看其权限。 在“应用程序”页中选择“ 权限 ”。

    显示 Entra UI 的屏幕截图,该 UI 用于查看和管理对应用权限的已授予许可。

  4. 选择一个权限以了解有关该权限的更多详细信息。

    显示所选权限的详细信息的屏幕截图。

若要撤销以前授予应用的许可,请执行以下步骤:

  1. 在“权限”选项卡中,选择Microsoft Entra ID链接以在Microsoft Entra 管理中心中打开应用的权限。

  2. “管理员同意”选项卡中,选择要撤销的权限,然后选择省略号 ...

  3. 选择“ 撤销权限” ,然后在确认对话框中选择“ 是,撤销 ”。

    显示从Microsoft Entra 管理中心撤消应用的 Graph 权限的选项的屏幕截图。

撤销对某些权限的同意后,可以重新授予同意。 请参阅 向组织范围的管理员授予对应用权限的同意

开发人员更新应用以添加新功能、增强现有功能或修复 bug。 某些应用更新可能会添加不属于应用早期版本的新权限。 如果开发人员添加了任何需要管理员同意的新权限,则必须同意新权限。 重新访问流与 授予组织范围的管理员对应用权限的同意中所述相同。

若要了解需要用户或管理员同意的应用更改,请参阅 应用更新需要同意的条件。 根据组织的配置,用户可能能够授予对某些类型权限的同意。

特定于资源的许可 (RSC) 权限允许应用访问和修改团队或用户的数据。 RSC 权限细化且特定于在其中添加应用的 Teams 团队。 RSC 权限的一些示例包括能够在团队中创建和删除频道、获取团队设置以及创建和删除频道选项卡。

RSC 权限在应用清单中定义,而不是在Microsoft Entra 管理中心中定义。 团队所有者在将应用添加到团队或聊天时,可以授予对此类权限的同意。 若要了解详细信息,请参阅 特定于资源的同意 (RSC)

可以在应用详细信息页的“ 权限 ”选项卡中查看应用的 RSC 权限。 RSC 权限以及其他权限在“应用程序和委托的权限”部分下列出。

管理员可以配置用户是否可以允许应用访问其组或团队的数据。 全局管理员可以更改组所有者同意的应用访问Microsoft Entra ID中的数据设置,以允许用户同意 RSC 权限

如果不让组所有者同意应用,则如果用户使用 RSC 权限,则用户将无法同意应用中的 RSC 权限。