Поделиться через

Управление доступом к приложениям с помощью управления, ориентированного на приложения

  • Статья
  • Применяется к:
    Microsoft Teams

Важно!

Во всех организациях не доступна функция управления, ориентированного на приложения (ACM). Если вы не использовали настраиваемые политики разрешений и не были корпоративным клиентом, мы перенесли вашу организацию на использование этой функции. Если вы используете настраиваемые политики разрешений или являетесь корпоративным клиентом, скоро вы сможете перейти на функцию ACM самостоятельно. Сведения о временных шкалах см. в разделе MC688930 публикации Центра сообщений или 151829 пункта стратегии развития Microsoft 365.

Если на странице политики разрешений отображаются политики, продолжайте использовать политики разрешений приложений или переходите на эту функцию самостоятельно. Если ваша организация теперь использует функцию ACM, на странице политики разрешений отобразится следующее сообщение.

Снимок экрана: изменение политики разрешений для организации, которая использует управление, ориентированное на приложения.

Функциональные возможности управления, ориентированные на приложения, представляют собой новый способ управления доступом к приложениям Teams для пользователей и групп. Он заменяет политики разрешений приложений. Эта функция позволяет указать, какие пользователи и группы могут использовать каждое приложение, и управлять им на основе каждого приложения.

Вы можете управлять доступом к приложениям для отдельных пользователей, поддерживаемых групп или всех пользователей в организации. Вы имеете полный контроль над тем, кто может или не может добавлять приложения в вашей организации. Вы также можете управлять доступом к новым приложениям, которые мы публикуем в магазине приложений Teams.

Чем управление, ориентированное на приложения, отличается от политики разрешений

Ранее при использовании политик разрешений вы определяли доступ к приложениям с помощью следующих трех параметров:

  • Параметр приложения на уровне организации для сторонних приложений. Он применяется на уровне организации и определяет, доступны ли все сторонние приложения для каждого пользователя.
  • Состояние приложения. Он применяется на уровне приложения в качестве разрешения или блокировки и элементов управления, если они доступны любому пользователю или нет.
  • Политика разрешений. Она применяется на уровне пользователя и определяет, разрешено ли конкретному пользователю использовать приложение.

Функция управления, ориентированная на приложения, упрощает эти параметры. Каждое приложение содержит свое определение доступа с помощью списка пользователей и групп, назначенных ему. Она позволяет управлять каждым приложением по отдельности в зависимости от потребностей пользователя и соответствия требованиям организации и уровня риска.

При использовании этой функции вы определяете доступ к приложениям с помощью одного из следующих параметров для каждого приложения:

Новый параметр Кто получает приложение Как он сопоставляется с предыдущими параметрами
Everyone Доступно для всех пользователей организации, новых пользователей и гостей То же действие, что и разрешение приложения и глобальная политика разрешений приложения (по умолчанию для всей организации), позволяющая всем пользователям использовать его.
Specific users or groups Приложение могут использовать только те пользователи и группы, которые вы выбрали. Поддерживаемые типы групп : группы безопасности, группы Microsoft 365, группы динамического членства пользователей, вложенные группы и списки рассылки. Аналогично использованию настраиваемой политики разрешений приложения для ограничения использования приложения выбранными пользователями или группами.
No one Недоступно ни для одного пользователя То же, что и заблокированное приложение.

Метод, разрешающий пользователям доступ к приложению, изменяется с помощью этой функции. В прошлом, чтобы разрешить доступ пользователю, вы добавляли приложение в качестве разрешенного приложения в политику и назначали эту политику пользователю. Используя эту функцию, вы просто изменяете доступность приложения, чтобы позволить выбранным пользователям использовать его. Кроме того, вам не нужно создавать несколько политик для различных сочетаний приложений и разрешенных пользователей.

Переход на управление, ориентированное на приложения

Ранее мы автоматически переносили организации, которые не использовали пользовательские политики. Теперь администраторы могут выполнять миграцию по запросу. Понимать разницу между двумя типами миграции.

Тип миграции Кто это делает Требования Как это делается
Помощь Администратор Организация использует одну или несколько настраиваемых политик Интерактивный пользовательский интерфейс в Центре администрирования
Управление идентификаторами конфигураций Microsoft Организация использует только глобальную политику по умолчанию Автоматически, без вмешательства администратора

Мы настоятельно рекомендуем подготовиться к миграции и выполнить следующие действия для подготовки:

  1. Войдите в Центр администрирования Teams и откройте страницу Политики разрешений для приложений > Teams. Пройдите инвентаризацию приложений в политиках разрешений и определите пользователей и группы, для которых приложения разрешены или заблокированы. Во время миграции может потребоваться вручную изменить доступность некоторых приложений для существующих пользователей и групп. Дополнительные сведения см. в шаге 5.

  2. На странице политики разрешений выберите Начало работы.

    Снимок экрана: страница политики с запросом на переход на управление, ориентированное на приложения.

  3. Выберите политики, которые требуется перенести, и нажмите кнопку Далее. На странице отображаются только те политики, которые назначены пользователям или группам. Кроме того, мы переносим только те приложения и их доступность, которые являются частью политик, которые вы решили перенести. Приложения в невыбранных политиках не являются частью миграции и не могут быть перенесены позже. Однако вы можете вручную изменить доступность для любого приложения после миграции.

    Снимок экрана: пользовательский интерфейс миграции, ориентированный на приложения, для выбора политик.

  4. Проверьте доступность приложения для пользователей на следующей странице. На следующих трех вкладках отображается список приложений из параметров приложения для всей организации и политик разрешений приложений, которые вы решили перенести.

    • Доступно всем: список приложений, разрешенных для всех пользователей в вашей организации.
    • Доступно для определенных пользователей и групп: список приложений, которые выборочно разрешены по крайней мере для одного пользователя организации или поддерживаемой группы.
    • Доступно никому: список приложений, которые никто в организации не может использовать.

  5. При необходимости на каждой вкладке можно изменить доступность приложения на один из трех типов доступности приложений. Параметр "Изменить доступность" отображается на вкладке "Доступно для определенных пользователей и групп ", если доступность приложения не является ясной и для продолжения требуются входные данные администратора. Это связано с тем, что приложения отсутствуют в политиках, выбранных для миграции, или имеют конфликтующую доступность. Прежде чем продолжить, необходимо назначить такие приложения.

    Снимок экрана: три вкладки во время миграции, которые помогают проверить и изменить доступность приложения.

    Кончик

    Если на этой вкладке отображается много приложений, скорее всего, у вас есть политики, которые имеют конфликтующую доступность приложений. Например, политика, которая разрешает много приложений, и другая политика, которая блокирует те же приложения. В таком сценарии рекомендуется снять флажок политики, которая приводит к конфликту, или изменить доступность на этой вкладке.

  6. Вы можете проверить изменения для каждого приложения или пользователя. Выберите вкладку и введите имя приложения или пользователя.

    Снимок экрана: параметр проверки доступности для каждого пользователя и пользователей, получающих определенное приложение.

  7. В пользовательском интерфейсе окончательной проверки можно просмотреть приложения, их доступность и параметры приложений для всей организации, которые применяются после миграции. Эти сведения можно скачать в виде CSV-файла для дальнейшего анализа. Например, можно использовать сопоставление инвентаризации из шага 1, чтобы убедиться, что доступность приложения соответствует назначению. После этого выберите Начать миграцию и следуйте инструкциям.

    Снимок экрана: последний пользовательский интерфейс для просмотра всех параметров.

Во время миграции можно сохранить черновик хода миграции с помощью параметра Готово позже . Кроме того, можно отменить и удалить сохраненный черновик с помощью параметра Сбросить все изменения .

Примечание.

Существующий пользовательский интерфейс управления приложениями отключается при запуске миграции. Если вы не готовы продолжить или хотите внести изменения в политики разрешений выхода, откройте мастер и выберите параметр Сбросить все изменения. Миграцию можно перезапустить снова.

После миграции заблокированные приложения по-прежнему остаются недоступными для пользователей. Состояние таких приложений отображается как unblocked сейчас, но приложениям присваивается No one в столбце Available to на странице Управление приложениями. Это означает, что пользователь организации не может использовать приложение, как вы планировали ранее.

Добавление или изменение доступности приложений для пользователей

Чтобы разрешить пользователям добавлять и использовать приложение, необходимо назначить приложению пользователей или группы. Чтобы изменения вступили в силу, потребуется до 24 часов.

  1. В Центре администрирования Teams перейдите на страницу Управление приложениями , найдите требуемое приложение и выберите имя приложения, чтобы открыть страницу сведений о приложении. Вы не можете назначать приложения в пакетном режиме.

  2. Перейдите на вкладку Назначения .

  3. Выберите Назначить или Назначить приложение.

  4. Выберите необходимый параметр в меню Управление пользователями, которые могут установить это приложение . При назначении пользователей или групп найдите пользователя или группу в меню Поиск пользователей или групп . Нажмите Применить.

    Снимок экрана: определение доступности приложения на странице сведений о приложении.

  5. Чтобы удалить одного или нескольких пользователей или групп из приложения, выберите строки и нажмите кнопку Удалить.

    Снимок экрана: удаление существующей доступности приложения со страницы сведений о приложении.

Параметры доступности приложений по умолчанию

Помимо определения доступности приложения, вы также можете управлять доступностью приложений по умолчанию для любых новых приложений. Вы можете управлять им для каждого типа приложения. Для новых организаций по умолчанию устанавливается параметр, разрешая пользователям устанавливать приложения по умолчанию. В существующих организациях старые параметры сопоставляются с новыми параметрами доступа.

Чтобы изменить этот параметр по умолчанию, перейдите на страницу Управление приложениями , выберите Действия>Параметры приложения для всей организации и измените необходимые параметры.

Параметры приложения для всей организации применяются к:

  • Все новые приложения, доступные в магазине приложений Teams.
  • Все существующие приложения, которыми вы не управляли активно, то есть вы не изменили доступность.

Снимок экрана: параметры приложений для всей организации в организации, которая использует функцию управления, ориентированную на приложения.

Параметры приложения для всей организации не применяются к:

  • Все приложения, для которых для назначения пользователей задано значение Конкретные пользователи и группы и сохранены вами.
  • Все приложения, которые были назначены всем или Никому и сохранены по отдельности.
  • Любые заблокированные приложения.

Рассмотрим сценарий, в котором вы начали использовать эту функцию и все приложения были назначены всем. Теперь вы изменили доступность приложения для определенной группы или некоторых пользователей. После сохранения этого изменения, если вы измените параметр приложения для всей организации под названием Разрешить пользователям устанавливать и использовать доступные приложения по умолчанию, это конкретное приложение по-прежнему назначается определенной группе или пользователям. Изменение параметра приложения для всей организации применяется только к тем приложениям, для которых вы не изменили доступность. Кроме того, если вы снова измените параметр Разрешить пользователям устанавливать и использовать доступные приложения по умолчанию , доступность всех остальных приложений будет снова затронута, за исключением приложения, которым вы активно управляли.

Просмотр приложений в организации

Вы можете просмотреть все приложения в каталоге и легко получить доступ к доступности приложений на странице Управление приложениями . Вы можете сортировать и фильтровать, используя все три типа доступности приложений. Сведения о приложениях, предоставляемых корпорацией Майкрософт, см. в списке приложений, созданных корпорацией Майкрософт.

Снимок экрана: фильтрация приложений путем объединения различных критериев, таких как доступность, тип приложения и состояние приложения.

Просмотр всех приложений, доступных конкретному пользователю

На странице Управление пользователями выберите пользователя, чтобы открыть страницу сведений о пользователе, и перейдите на вкладку Приложения . На вкладке перечислены приложения, к которым у пользователя есть доступ. Чтобы легко найти тип доступа для приложения, можно найти имя приложения.

Снимок экрана: просмотр всех приложений, к которым у пользователя есть доступ, на странице Управление пользователями.

Каждое приложение отображает тип своей доступности, который указывает, как пользователь назначается приложению: через доступность для всех, прямую доступность для пользователя или через группу. В списке отображаются только те приложения, которые назначены пользователю и разрешены для использования в организации. Приложения, назначенные никому, и приложения, заблокированные в организации, не отображаются в этом списке.

Вы можете удалить доступность приложений для пользователя. Выберите приложение, которое назначается пользователю напрямую, и нажмите кнопку Удалить. Невозможно удалить доступность для пользователя, если приложение доступно всем или группе.

Сопоставление старых политик разрешений и доступности новых приложений

Когда центр администрирования вашего клиента получает эту функцию, в доступ к приложению вносятся следующие обновления. Доступ к приложениям не меняется, и обновление сопоставляет только существующие политики разрешений с новой доступностью.

Политика разрешений приложений и параметры организации ранее Параметры приложения для всей организации при использовании этой функции
Глобальная политика разрешений для приложений Майкрософт была Allow all или глобальная политика разрешений для приложений Майкрософт Block an app(s), allow all others Allow users install available apps by default для приложений Майкрософт задано значение включено
Глобальная политика разрешений для приложений Майкрософт была Block all или глобальная политика разрешений для приложений Майкрософт Allow app(s), Block all others Allow users install available apps by default для приложений Майкрософт выбрано значение off
Параметр стороннего приложения в параметрах приложения для всей организации был установлен в значение включено; Для нового стороннего приложения в параметре приложения на уровне организации задано значение включено; Глобальная политика разрешений для сторонних приложений — Allow all; или глобальная политика разрешений для сторонних приложений — Block an app(s), allow all others Allow users install available apps by default для сторонних приложений имеет значение включено
параметр стороннего приложения в параметрах приложения для всей организации был отключен; Параметр нового стороннего приложения в параметре приложения для всей организации был отключен; Глобальная политика разрешений для сторонних приложений — Block all; или глобальная политика разрешений для сторонних приложений — Allow app(s), Block all others Allow users install available apps by default для сторонних приложений выбрано значение off
Глобальная политика разрешений для пользовательских приложений — или Allow all глобальная политика разрешений для пользовательских приложений — Block an app(s), allow all others Allow users install available apps by default для пользовательских приложений задано значение включено
Глобальная политика разрешений для пользовательских приложений — или Block all глобальная политика разрешений для пользовательских приложений — Allow app(s), Block all others Allow users install available apps by default для пользовательских приложений выбрано значение off
Состояние приложения ранее Политика разрешений, примененная ранее Доступность приложений при использовании этой функции
Заблокировано Заблокировано Никто не может установить
Заблокировано Дозволенный Никто не может установить
Дозволенный Заблокировано Никто не может установить
Дозволенный Дозволенный Все

Рекомендации и известные ограничения

  • Вы можете добавить в приложение до 99 пользователей или групп одновременно.

  • При поиске пользователей или групп для добавления пользовательский интерфейс отображает только 20 результатов. Если вы не нашли ожидаемые результаты, уточните поисковый запрос, чтобы использовать точное имя.

  • После миграции заблокированные приложения по-прежнему остаются недоступными для пользователей. Состояние таких приложений сейчас, unblocked но они доступны No one в столбце Available to на странице Управление приложениями. Это означает, что пользователь организации не может использовать приложение, как вы планировали ранее.

  • После переключения на эту функцию вы не сможете получить доступ, изменить или использовать политики разрешений. После миграции вашей организации вы не сможете отменить миграцию.

  • Невозможно обновить доступность приложений в пакетном режиме.