了解 Teams 應用程式所存取的權限與資訊

根據功能不同，Teams 應用程式可能會存取你使用者或組織的資訊，使其如預期般運作。

• 有些應用程式不會尋求組織資訊的存取，因此不需要任何審核。 使用者可在無需管理員批准或同意的情況下使用此類應用程式，因為組織資訊受到保護。
• 有些應用程式需要你組織或使用者的資訊才能運作或處理這些資訊。 這類應用程式若不允許存取組織資訊，是無法運作的。

您必須評估應用程式的合規性、安全性及資料處理資訊，並了解該應用程式所要求的權限，才能允許使用者使用該應用程式。 為此，你需要了解權限、同意以及可用的控制措施。 欲了解更多有關安全、合規及隱私資訊的資訊，請參閱 應用程式合規計畫，涵蓋安全、資料處理與隱私。

權限讓應用程式能存取特權資源並代表使用者行動。 這項功能讓開發者能在應用程式中創造豐富功能，提升使用者的生產力。 您必須清楚了解權限、其範圍及影響。 在 Microsoft Teams 管理中心，您可以檢視應用程式權限風險與權限等級。 你也會看到每個應用程式在 Teams 中能做什麼的細節。 欲了解更多資訊，請參閱 「檢視應用程式權限風險與權限等級」。

應用程式如何利用權限存取組織資訊

Teams 提供防護措施，確保組織或使用者的資訊在未經你同意下無法被存取。 應用程式要存取任何資訊，必須完成以下步驟：

1. 應用程式開發者在創建應用程式時會宣告權限和 應用程式功能 。
2. 管理員會理解並分析應用程式在管理入口網站所需的權限。
3. 資料存取有兩種方式。 當你將應用程式加入 Teams 時，它會獲得一些基本功能，可能包括基本資訊。 當你授予同意時，應用程式會根據申請同意的應用程式權限，獲得使用者和組織的部分資料或兩者。

了解應用程式的資料存取及所需權限

應用程式可以透過以下兩種方式存取組織資訊：

• 委派存取權：應用程式代表使用者存取資源。 此存取需要授權權限。 應用程式只能存取使用者能存取的資訊。
• 應用程式存取：當不希望特定使用者登入，或無法將所需資料範圍限定給單一使用者時，應用程式會自行運作，沒有使用者登入。 此存取需要申請權限。 若獲得同意，應用程式可存取與該權限相關的資料。

每個應用程式的權限都可以在管理中心的應用程式細節頁面查看。

盡可能使用較低權限的角色來完成任務。 僅在必要時使用全域管理員角色。

管理員在哪裡可以看到應用程式的所有權限

請前往應用程式詳情頁面的 權限 標籤，查看所有必要的權限、存取權限及權限等級。 你也可以下載所有權限在 .csv 檔案中進行進一步分析。

要了解應用程式在 Teams 中能做什麼，請參閱 基本功能及與使用者及應用程式存取資料的互動。 想了解如何允許使用應用程式，請參閱 「授權與管理 Teams 應用程式權限的同意」。

查看應用程式權限風險與權限等級

要查看權限資訊，請依照以下步驟操作：

1. 登入 Microsoft Teams 管理中心。

2. 前往 「管理應用程式 」以檢視和管理你組織目錄中的應用程式，並選擇任何特定應用程式。

3. 使用 權限等級 欄位查看每個應用程式的權限等級。 依照想要的等級排序應用程式。

   

   應用程式權限等級分為三種：

   • 高：應用程式至少擁有一個高權限權限。
   • 中等：應用程式至少擁有一個中等權限權限，且沒有高權限權限。
   • 低：應用程式沒有高或中等權限。

   應用程式的整體權限等級是依據 MDA 中的應用程式治理原則計算的。

   或者，在 「所有應用程式 」區塊中選擇任一應用程式，然後到 權限 標籤查看並檢視所需的權限。

   

   備註

   權限風險等級和權限等級提升不適用於第一方 (Microsoft) 應用程式。

Microsoft Entra ID permissions

Microsoft Graph 允許開發者存取您組織的 Microsoft 365 資訊與資料，但前提是必須具備適當的 Microsoft Entra ID 權限。 應用程式事先宣告這些權限，管理員必須先同意這些權限，應用程式才能存取這些資訊。 如果你在 Teams 應用程式中授權管理員同意此權限，那麼所有被允許的使用者都可以使用該應用程式，並讓該應用程式存取組織的資訊。 這些權限在 Microsoft Entra ID 入口網站中定義。

應用程式開發者從多種 Microsoft Graph API 中選擇適當的權限，讓應用程式獲得必要的資訊以運作。 在您同意這些權限之前，您可以查看應用程式所要求的特定權限。 它幫助你評估授權應用程式權限的影響。 要查看 Microsoft Entra ID 權限，請依照以下步驟操作：

1. 進入 Teams 管理中心，開啟 Teams 應用程式>管理 頁面。

2. 搜尋所需的應用程式並選擇其名稱，即可開啟應用程式詳情頁面。

3. 選擇 「權限 」標籤，並選擇 「檢視權限與同意」。

4. 在對話框中，查看應用程式所需的權限。 欲了解更多對話框中可用資訊，請參閱 同意提示中的「可用資訊」。

   

所有可能權限的完整清單已在 Microsoft Graph 權限參考中記錄。

資源特定同意權限

Teams 中的資源可以是團隊、聊天室或使用者。 利用這些權限讓應用程式只能存取特定資源的資訊。 有了 RSC 權限，應用程式不必申請組織整體資訊的存取權限，且可以限制其存取範圍。 請在應用程式的清單檔案中定義這些 RSC 權限。 只有擁有資源存取權的使用者才能同意這些權限。 開發者會在應用程式本身的 App 清單檔案中定義這些權限。

RSC 權限允許使用者對應用程式提供特定範圍資訊的同意。 這種同意讓應用程式只能存取並修改團隊或聊天室的資訊。 這類應用程式無法存取未被加入的聊天室或團隊資訊。 RSC 權限的範例包括建立和刪除頻道、取得團隊的設定，以及建立和移除頻道索引標籤的功能。

RSC 權限限制應用程式權限的範圍為特定資源，與組織範圍的 Graph 權限不同，後者能讓應用程式存取組織整體資訊。 RSC 權限可應用的資源包括聊天與會議、團隊與頻道，以及使用者。

請在應用程式清單中定義 RSC 權限，而非 Microsoft Entra ID。 當您將應用程式新增至團隊時，即表示同意 RSC 權限。 欲了解更多資訊，請參閱 RSC) (資源特定同意 。

若要檢視應用程式的 RSC 權限，請遵循下列步驟：

1. 進入 Teams 管理中心，然後到 Teams 應用程式>管理應用程式。
2. 搜尋你想要的應用程式，選擇應用程式名稱進入應用程式詳情頁面，然後選擇 權限 標籤。
3. 在資源 特定同意 (RSC) 權限下，請查看應用程式所請求的 RSC 權限。

Teams 裡的應用程式能做什麼

當開發者開發 Teams 應用程式時，他們會使用開發框架中定義的一些功能。 這些功能是應用程式能具備的高階功能。 例如，一個應用程式可以包含一個與使用者對話的機器人。 當應用程式使用某項功能時，它會自動獲得一些基本權限。 例如，如果使用者允許包含機器人的應用程式，那麼機器人就能發送和接收訊息。 這些權限是根據開發者新增的功能而存在的，並非需要同意才能生效的權限。 開發者不會明確定義這些權限，但這些權限會在開發者開發任何應用程式功能時隱含地加入。

作為管理員，你管理的是 Teams 應用程式，而不是它們的功能。 Teams 應用程式具備 功能，讓應用程式能完成其核心使用情境並完成部分任務。 這些功能由 SDK 提供，安裝應用程式時即表示同意。 應用程式能完成的與能力相關的任務，與需要管理員同意的權限不同。作為管理員，您必須考量應用程式能做什麼，以及它如何根據以下功能與使用者互動。

• 機器人與訊息擴充功能
• 索引標籤
• 連接器
• 外寄 Webhook

Bot 和訊息擴充功能

請考慮以下類型的使用者互動、所需權限，以及機器人和訊息擴充功能對資料的存取：

• 機器人可以接收用戶訊息並回覆。 機器人只會在聊天中收到用戶明確提及機器人名稱的訊息。 此資料會離開公司網路。

• 用戶發送訊息給機器人後，機器人可以隨時直接或主動發送訊息給用戶。

• 有些機器人只會發送訊息。 它們被稱為僅通知型機器人，且機器人本身不提供對話式體驗。

• 加入團隊的機器人可以取得團隊中頻道的名稱和 ID。

• 在頻道、個人聊天或群組聊天中使用時，應用程式的機器人可以存取團隊成員的基本身份資訊。 資訊包括姓名、姓氏、UPN) (使用者主姓名及電子郵件地址。

• 應用程式的機器人有可能直接或主動發送訊息給團隊成員，即使他們沒有與機器人互動。

• 根據機器人應用程式的設定和運作狀況，它只能在個人聊天中傳送和接收檔案。 它不支援群組聊天或頻道。

• 機器人只能存取加入機器人的團隊，或是新增機器人應用程式的使用者。

• 當使用者與 Bot 交談時，如果 Bot 儲存使用者的識別碼，它可以隨時傳送直接訊息給使用者。

• 如有需要，使用者或管理員可以封鎖機器人。 Microsoft 也可以將機器人從商店移除。 應用程式驗證與確認檢查確保 Teams 商店中有高品質的應用程式，且機器人不會對用戶進行垃圾郵件。

• 機器人可以擷取並儲存應用程式加入團隊成員的基本身份資訊，或在個人或群組聊天中為個別用戶提供。 要取得更多關於這些使用者的資訊，機器人必須要求他們登入 Microsoft Entra ID。

• 機器人可以檢索並儲存團隊中的頻道列表。 此資料會離開公司網路。

• 預設情況下，機器人無法代表使用者行動，但可以要求使用者登入。 使用者一登入，機器人就擁有一個存取權杖，可以執行其他任務。 這些任務取決於機器人以及使用者登入的地點：機器人是註冊的 https://apps.dev.microsoft.com/ Microsoft Entra 應用程式，且可以擁有自己的權限。

• 當檔案傳送給 Bot 時，檔案會離開公司網路。 傳送和接收檔案需要使用者核准每個檔案。

• 每當新增使用者或從團隊中刪除使用者時，系統就會通知 Bot。

• Bot 不會看到使用者的 IP 位址或其他推薦人資訊。 所有資訊都來自 Microsoft。 (有一個例外：如果機器人自行實施登入體驗，登入介面會看到使用者的 IP 位址和推薦資訊 )

• 訊息擴充功能則能看到使用者的 IP 位址及轉介資訊。

索引標籤

索引標籤是 Teams 內執行的網站。 它可以是會議中的分頁、聊天室或頻道。

請考慮以下類型的使用者互動或資料存取方式：

• 使用者在瀏覽器或 Teams 中開啟分頁的情況完全相同。 網站本身無法自行存取任何組織的資訊。

• 分頁也會顯示其執行的上下文，包括目前使用者的登入名稱和 UPN、該使用者的 Microsoft Entra 物件 ID、該使用者所屬的 Microsoft 365 群組 ID（ (若是團隊) ）、租戶 ID，以及使用者目前所在的位置。 然而，要將這些 ID 對應到使用者的資訊，該分頁必須讓使用者登入 Entra ID。

連接器

當外部系統發生事件時，連接器會將訊息張貼至頻道。 連接器所需的權限是能夠在通道中張貼訊息。 連接器的一個可選權限是回覆訊息的權限。 部分連接器支援可操作訊息，讓使用者能針對連結訊息發表針對性的回覆。 例如，透過對 GitHub 議題的回應，或在 Trello 卡片上新增日期。 請考慮以下類型的使用者互動、所需權限，以及連接器對資料的存取：

• 發布連接器訊息的系統不知道自己發給誰，也不知道訊息是誰接收的。 收件人資訊不公開。 Microsoft 才是真正的接收者，而非組織。 Microsoft 會實際在頻道上發布。

• 當連接器在某個頻道發布訊息時，企業網路中沒有任何資料流出。

• 支援可操作訊息的連接器也不會看到 IP 位址和推薦資訊;Microsoft 接收這些資訊後，將其路由到先前在 Connectors 入口網站中註冊給 Microsoft 的 HTTP 端點。

• 每當一個連接器被設定為通道時，都會為該連接器實例建立一個獨特的 URL。 如果你刪除那個連接器實例，就無法使用該網址。

• 連接器訊息不能包含檔案附件。

• 將 Connector 實例的 URL 視為秘密或機密。 任何有網址的人都可以發文。 如有需要，團隊擁有者可刪除連結實例。

• 如有需要，管理員可阻止建立新的 Connector 實例，且 Microsoft 可封鎖所有 Connector 應用程式的使用。

外寄 Webhook

團隊擁有者或團隊成員會建立出線的 webhook。 外發 webhook 會接收使用者的訊息並回覆。 請考慮以下類型的使用者互動、所需權限，以及透過外部 webhook 存取資料：

• 外寄 Webhook 與 Bot 類似，但權限較少。 它們必須明確提及，就像 Bot 一樣。

• 當你註冊一個外出的 webhook 時，這個程序會產生一個秘密。 此秘密讓外出 Webhook 能驗證發送者為 Teams 而非惡意攻擊者。 保守這個秘密;任何有權限的人都可以冒充 Teams。 如果密碼遭到盜用，請刪除並重新建立外寄的 webhook，以產生新的密碼。

• 雖然可以建立不會驗證密碼的外寄 webhook，但我們建議您不要這樣做。

• 除了接收和回覆訊息外，外發 webhook 幾乎沒什麼用：它們無法主動發送訊息，無法傳送或接收檔案，也無法做機器人能做的事，除了接收和回覆訊息。

相關文章

• 授權並管理 Teams 應用程式權限的同意。
• Microsoft Graph 權限參考，包括 RSC 權限。