重要
並非所有組織都提供以應用程式為中心的管理功能。 如果您已移轉至以應用程式為中心的管理,您可以在權限原則頁面上看到下列訊息:
如需時間表,請參閱 訊息中心張貼MC688930 或 Microsoft 365 藍圖項目151829。
如果您在 權限原則頁面上看到原則,請繼續 使用應用程式權限原則 ,或自行移轉至此功能。
隨著以應用程式為中心的管理功能的引入,管理員有兩種方法來控制應用程式和副手代理的存取和可用性。
- 繼續 使用權限原則。
- 如果已自動移轉,請使用此功能,或 手動移轉至以應用程式為中心的管理。 它取代了應用程式權限原則。
此功能可讓您指定哪些使用者和群組可以使用每個應用程式或副手代理,並且可以針對每個應用程式進行控制。
無論您使用哪種方法,您都可以管理個別使用者、支援的群組或組織中每個人對應用程式的存取權。 您可以完全控制誰可以在組織中新增應用程式。 您也可以控制我們發佈至 Teams 應用程式市集之新應用程式的存取權。
以應用程式為中心的管理與權限原則有何不同
先前,使用權限原則時,您會使用下列三個設定來決定應用程式的存取權:
- 第三方應用程式的組織範圍應用程式設定:它適用於組織層級,並控制所有第三方應用程式是否可供每個使用者使用。
- 應用程式狀態:它在應用程式層級套用為允許或封鎖,並控制它是否可供任何使用者使用。
- 權限政策:它適用於使用者層級,並控制是否允許特定使用者使用應用程式。
以應用程式為中心的管理功能簡化了這些設定。 每個應用程式都會使用您指派給它的使用者和群組清單來包含其存取定義。 它可讓您根據使用者的需求以及組織的合規性和風險狀況個別管理每個應用程式。
使用此功能時,您可以使用每個應用程式的下列其中一個選項來決定對應用程式的存取:
| 新選項 | 誰獲得應用程式 | 它如何與先前的設定對應 |
|---|---|---|
Everyone |
適用於所有組織使用者、新使用者和來賓。 | 與允許應用程式和全域 (組織範圍的預設) 應用程式權限原則允許所有使用者使用它的效果相同。 |
Specific users or groups |
只有您選擇的使用者和群組才能使用該應用程式。 支援的群組類型包括安全性群組、Microsoft 365 群組、動態使用者成員資格群組、巢狀群組和通訊群組清單。 如果選取此選項,即使已將來賓指派給應用程式,來賓也無法使用應用程式。 | 與使用自訂應用程式權限原則將應用程式的使用限制為選取的使用者或群組相同。 |
No one |
不適用於任何使用者 | 與被封鎖的應用程式相同。 |
允許使用者存取應用程式的方法會隨著這項功能而變更。 過去,若要允許使用者存取,您會將應用程式新增為原則中允許的應用程式,並將該原則指派給使用者。 使用此功能,您只需修改應用程式的可用性,即可讓選取的使用者使用它。 此外,您不需要為不同的應用程式組合和允許的使用者建立多個原則。
移轉至以應用程式為中心的管理
重要
從 2025 年 4 月開始,您的租用戶會自動移轉至以應用程式為中心的管理。 移轉之後,您無法存取移轉精靈。 不過,在移轉完成之前,您可以使用精靈並選擇手動完成移轉。 如需詳細資訊,請參閱 瞭解自動移轉程式。
先前,我們會自動移轉未使用任何自訂原則的組織。 系統管理員現在可以執行隨選移轉。 瞭解兩種移轉類型之間的差異。
| 移轉類型 | 誰做的 | 需求 | 怎麼做 |
|---|---|---|---|
| 協助 | 行政官 | 組織使用一或多個自訂原則 | 系統管理中心中的引導式 UI。 這已轉換至自動移轉。 請參閱 訊息中心貼文MC688930 以取得時間表。 |
| 自動的 | Microsoft | 組織僅使用預設全域原則 | 自動,無需管理員干預。 正在推出一或多個自訂原則。請參閱 訊息中心貼文MC688930 以取得時間表。 |
若要移轉您的組織,請遵循下列步驟:
登入 Teams 系統管理中心,並存取 Teams 應用程式 >的許可權原則 頁面。 清查許可權原則中的應用程式,並識別允許或封鎖應用程式的使用者和群組。 在移轉期間,您可能必須手動編輯現有使用者和群組部分應用程式的可用性。 如需詳細資訊,請參閱步驟 5。
在權限原則頁面上,選取 開始使用。
選取您要移轉的原則,然後選取 [ 下一步]。 此頁面只會顯示指派給使用者或群組的原則。 此外,我們只會移轉屬於您選擇移轉政策的應用程式及其可用性。 未選取原則中的應用程式不是移轉的一部分,而且稍後無法移轉。 不過,您可以在移轉後手動編輯任何應用程式的可用性。
在下一頁上驗證使用者的應用程式可用性。 在下列三個索引標籤中,它會顯示來自組織全組織應用程式設定的應用程式清單,以及您選擇移轉的應用程式權限原則。
- 可供所有人使用:允許組織中每個人使用的應用程式清單。
- 可供特定使用者和群組使用:選擇性地允許至少一個組織使用者或支援群組使用的應用程式清單。
- 無人可用:組織中沒有人可以使用的應用程式清單。
在每個索引標籤中,您可以視需要將應用程式可用性修改為 三種應用程式可用性類型之一。 如果應用程式可用性不清楚且需要系統管理員輸入才能繼續,則 [編輯可用性] 選項會顯示在 [ 可供特定使用者和群組使用 ] 索引標籤中。 應用程式不存在於您選取要移轉的原則中,或選取的原則包含衝突的可用性。 您必須先將這類應用程式指派給其中一個可用性類型,才能繼續。
末
如果您在此索引標籤中看到許多應用程式,表示您的政策可能與應用程式可用性衝突。 例如,允許應用程式的原則和封鎖相同應用程式的另一個原則。 在這種情況下,建議您取消核取導致衝突的原則,或在此索引標籤中編輯可用性。
您可以針對每個應用程式或每個使用者驗證變更。 選取索引標籤,然後輸入應用程式或使用者的名稱。
在最終檢閱 UI 上,您可以看到應用程式、其可用性,以及移轉後套用的組織範圍應用程式設定。 您可以將此資訊下載為 CSV 檔案以進一步評估。 例如,您可以使用步驟 1 中的庫存對應來確保應用程式可用性符合預期。 確定之後,請選取 [ 開始移轉 ],然後依照提示進行操作。
備註
遷移會在幾分鐘內完成,但最多可能需要 24 小時才能將變更反映給所有使用者。 移轉完成後,您可以開始透過新的 UI 變更應用程式可用性。 您也可以在移轉之後隨時使用 PowerShell Cmdlet 來更新應用程式可用性。 UI 或 PowerShell 變更最多需要 24 小時才能套用至所有使用者,這與 UI 或 PowerShell 更新發生的任何時候一致,而不僅僅是在移轉完成後立即進行。
在移轉期間,您可以使用 稍後完成 選項來儲存移轉進度的草稿。 您可以使用 [重設所有變更] 選項來取消移轉並刪除已儲存的草稿。
備註
遷移時,您無法變更應用程式指派。 當您開始移轉時,現有的 UI 會停用。 如果您尚未準備好繼續,或想要變更現有的權限原則,請開啟移轉精靈,然後選取 [重設所有變更] 選項。 您會遺失進度,稍後可以重新啟動移轉。
遷移後,您被封鎖的應用程式仍無法供使用者使用。 這類應用程式的狀態會顯示為 unblocked 現在,但應用程式會指派給 No one [管理應用程式] 頁面上的欄中 Available to 。 這表示組織使用者無法使用應用程式,就像您之前的預期一樣。 用戶可以查看商店中的應用程序並 請求對應用程序的訪問權限。
移轉之後,系統會保留先前授與的應用程式許可權的任何系統管理員同意。 應用程式權限與權限原則不同,而權限原則是以應用程式為中心的管理所取代的。 如需詳細資訊,請參閱 授與和管理 Teams 應用程式許可權的同意。
瞭解自動移轉程式
當使用者指派的原則之間沒有衝突時,自動移轉會維持應用程式權限原則中定義的相同存取權。 如果使用者指派給封鎖應用程式的自訂應用程式許可權原則,而全域許可權原則允許相同的應用程式,Microsoft 會自動移轉該應用程式,因為該使用者允許。 在自動移轉期間,會為每個自訂應用程式權限原則建立一個安全性群組。 然後,目前指派給應用程式權限原則的所有使用者都會新增至該原則的對應安全性群組。 這些群組會指派給各自原則中允許的每個應用程式,以維護其應用程式存取權。 管理員會像其他群組一樣管理這些群組,以自訂以應用程式為中心的管理指派,例如新增和移除使用者,或移除群組並將其取代為另一個群組。
如需移轉前後最佳做法的詳細資訊,請參閱 以應用程式為中心管理的最佳移轉做法。
新增或修改使用者的應用程式可用性
若要允許使用者新增和使用應用程式或 Copilot 代理程式,您必須將使用者或群組指派給應用程式。 若要在您的組織中提供任何應用程式或 Copilot 代理程式,請確定下列幾點:
- 如果您的組織未移轉至統一應用程式管理,請在 Teams 系統管理中心和 Microsoft 365 系統管理中心 的 [整合式應用程式] 頁面下允許應用程式和 Copilot 代理程式。
- 如果您的組織已移轉至統一應用程式管理,請在 Teams 系統管理中心或 Microsoft 365 系統管理中心中的 [整合式應用程式] 頁面下允許應用程式和 Copilot 代理程式。
備註
可用性變更最多需要 24 小時才會生效。 在極少數情況下,變更最多可能需要六天的時間才能反映在用戶端中。
若要在 Teams 系統管理中心中為您的組織提供任何應用程式或 Copilot 代理程式,請遵循下列步驟:
移至 [管理應用程式] 頁面。
搜尋所需的應用程式,然後選取應用程式名稱以開啟其應用程式詳細資料頁面。
選取 [使用者和群組 ] 索引標籤。
在 [選取以管理組織中安裝此應用程式或可供誰使用] 底下,選取 [可用性]。
選取 [編輯可用性]。
從 Available to 功能表中選取所需的選項。 指派使用者或群組時,請從 搜尋使用者或群組 功能表中搜尋使用者或群組。 選取 套用。
若要從應用程式中移除一或多個使用者或群組,請選取資料列,然後選取 [ 移除]。
備註
應用程式和代理程式可在 Teams 系統管理中心和 Teams 中使用,視指派的租用戶通道而定。 例如,如果在 Teams 通道 1.2 中指派 TAP 租用戶,則 Teams 系統管理中心的系統管理員和 Teams 中的使用者都可以存取通道 1.2 中的應用程式和代理程式。
應用程式可用性的預設設定
除了定義 App 的可用性之外,您還可以控制任何新 App 的預設 App 可用性。 您可以針對每種類型的應用程序控制它。 對於新組織,預設設定為預設允許使用者安裝應用程式。 對於現有組織, 舊設定會對應至新的存取設定。
若要變更此預設設定,請存取 管理應用程式頁面 ,選取 動作組織>範圍的應用程式設定,然後修改所需的設定。
組織範圍的應用程式設定適用於:
- Teams 應用商店中提供的所有新應用程序。
- 您未主動管理的所有現有應用程式,也就是您未變更其可用性的應用程式。
備註
在以應用程式為中心的管理移轉之前,全組織設定對第三方應用程式有兩個單獨的控制項,一個用於大量管理新應用程式,另一個用於現有應用程式
遷移到以應用程式為中心的管理後,單一控制項現在可以管理新應用程式和現有第三方應用程式的大量可用性。 開啟以啟用租用戶中所有新的和現有的第三方應用程式;關閉以禁用全部。 應用程式層級設定保持不變。
ACM 之前
與 ACM
以應用程式為中心的管理之前,組織範圍的設定包括針對第三方應用程式的兩個獨立控制項;一個用於批量管理新應用程序的可用性,另一個用於現有應用程序。
以應用程式為中心的管理移轉之後,這些會統一為單一控制項,以控管新和現有第三方應用程式的大量可用性。 當您打開時,所有應用程序都會啟用,當您打開關閉時,所有應用程序都會被禁用。 此控制項不會覆寫應用程式層級設定。
組織範圍的應用程式設定不適用於:
- 所有將使用者指派設定為特定使用者和群組並由您儲存的應用程式。
- 指派給所有人或無人並個別儲存的所有應用程式。
- 任何被封鎖的應用程式。
假設您開始使用此功能,且所有應用程式都已指派給每個人。 現在,您已將應用程式的可用性變更為特定群組或某些使用者。 儲存此變更之後,如果您變更標題為「 讓使用者預設安裝和使用可用應用程式」的全組織應用程式設定,則此特定應用程式會繼續指派給特定群組或使用者。 您對組織範圍應用程式設定的變更只會套用至您未變更可用性的應用程式。 此外,如果您再次變更 [ 允許使用者預設安裝和使用可用的應用程式 ] 設定,所有其他應用程式的可用性會再次受到影響,但您主動管理的應用程式除外。
檢視組織中的應用程式
您可以檢視目錄中的所有應用程式,並從 [管理應用程式] 頁面輕鬆存取應用程式可用性。 您可以使用所有三種類型的應用程式可用性來排序和篩選。 若要瞭解 Microsoft 提供的應用程式,請參閱 Microsoft 建立的應用程式清單。
查看特定使用者可用的所有應用程式
在 [ 管理使用者 ] 頁面上,選取使用者以開啟使用者詳細資料頁面,然後選取 [ 應用程式 ] 索引標籤。此索引標籤會列出使用者有權存取的應用程式。 若要輕鬆找到應用程式的存取類型,您可以搜尋應用程式的名稱。
![螢幕擷取畫面顯示如何從 [管理使用者] 頁面檢視使用者有權存取的所有應用程式。](media/acm-manage-user-apps-tab.png)
每個應用程式都會顯示其可用性類型,指出使用者如何指派給應用程式:透過所有人的可用性、使用者的直接可用性或透過群組。 此清單只會顯示指派給使用者且允許在組織中使用之應用程式。 未指派給任何人的應用程式和組織中封鎖的應用程式不會顯示在此清單中。
您可以移除使用者的應用程式可用性。 選取直接指派給使用者的應用程式,然後選取 [移除]。 如果應用程式可供所有人或群組使用,則您無法移除使用者的可用性。
查看熱門應用程式見解以提高採用率
在 Teams 系統管理中心中,[ 管理應用程式 ] 頁面上的 [ 組織中的熱門應用程式 ] 小工具會顯示兩個最常用的第三方應用程式,這些應用程式尚未可供組織中的每個人使用或安裝。 這些應用程式在過去 90 天內的使用量排名前 40%,並按使用量遞減順序顯示。
如果您的租用戶已移轉至統一代理程式和應用程式管理體驗,您可以在 組織小工具中看到熱門應用程式 ,以分析和安裝相關應用程式。 如需詳細資訊,請參閱 檢視具有統一代理程式和應用程式的租用戶中的熱門應用程式。 如果沒有熱門應用程式,則不會顯示小工具。
此小工具可協助您:
- 分析應用程式可用性,並改善整個租用戶的採用率
- 採取建議的動作,為使用者安裝相關應用程式
若要檢視 組織中的熱門應用程式 Widget 並分析兩個最常用的應用程式:
登入 Teams 系統管理中心。
移至 Teams 應用程式>[管理應用程式 ] 以檢視 組織中的熱門應用程式 Widget。 它會根據隨機選取、使用應用程式的使用者數目,以及 [允許其他人] 選項,顯示貴組織中兩個最常用的第三方應用程式。
![螢幕擷取畫面,顯示 [管理應用程式] 頁面上的小工具。](media/top-apps-widget-manage-apps.png)
選用項目: 選取小組件上 的資訊 圖示,然後選擇 應用程式使用情形報告 鏈結。
[ 使用情況報告] 頁面隨即開啟,並根據過去 90 天內的使用情況,自動產生所有協力廠商應用程式的報告,包括小工具上顯示的兩個最常用的應用程式。
重要
使用量報告數據
Ideas來自 API,涵蓋 Teams 以外的應用程式使用量。選取 允許 小 工具上的其他人。
[ 使用者和群組 ] 索引標籤隨即開啟,其中會顯示所選應用程式可用的使用者數目,以及使用該應用程式的實際使用者數目。 例如,如果所選應用程式僅供八位使用者使用,但已有六位使用者在使用,則表示該應用程式很受歡迎,並且可能會為更多使用者啟用。
![螢幕擷取畫面顯示 [使用者和群組] 索引標籤,以編輯應用程式可用性。](media/users-and-groups-tab-manage-apps.png)
選取 [編輯可用性] 以讓應用程式可供選取的使用者使用,或允許所有人使用該應用程式以提高採用率。
選取 [套用] 以反映變更。
![螢幕擷取畫面,顯示 [管理應用程式] 頁面上的小工具。](media/top-apps-widget-manage-apps.png#lightbox)
![螢幕擷取畫面顯示 [使用者和群組] 索引標籤,以編輯應用程式可用性。](media/users-and-groups-tab-manage-apps.png#lightbox)
或者,移至 Teams 系統管理中心的 儀錶板 ,以檢視 組織小工具中的熱門應用程式 ,其中顯示三個最常用的第三方應用程式。 小工具上的這些應用程式與 「管理應用程式」 頁面上的應用程式相符,並以相同的順序顯示,但第三個應用程式除外。 選取 [ 允許 ] 以開啟 [ 使用者和群組 ] 索引標籤,您可以在其中檢視和分析應用程式可用的使用者數目,並據此編輯可用性。
備註
若要移動或移除小工具,請選取小工具右上角的 [更多選項] (...) 功能表。
舊權限原則與新應用程式可用性之間的對應
當您租用戶的系統管理中心收到這項功能時,會對應用程式存取進行下列更新。 應用程式的存取權不會變更,而且更新只會將您現有的權限原則對應至新的可用性。
| 先前的應用程式許可權原則和組織設定 | 使用此功能時的組織範圍應用程式設定 |
|---|---|
Microsoft 應用程式的全域許可權原則是 Allow all 或 Microsoft 應用程式的全域許可權原則是 Block an app(s), allow all others |
Allow users install available apps by default 對於 Microsoft 應用程式,已設定為開啟 |
Microsoft 應用程式的全域許可權原則是 Block all 或 Microsoft 應用程式的全域許可權原則是 Allow app(s), Block all others |
Allow users install available apps by default 對於 Microsoft 應用程式,設定為關閉 |
組織範圍的應用程式設定中的協力廠商應用程式設定已設定為開啟;組織範圍的應用程式設定中的新第三方應用程式設定已設定為開啟;第三方應用程式的全域權限原則為 Allow all;或第三方應用程式的全域權限原則為 Block an app(s), allow all others |
Allow users install available apps by default 對於第三方應用程式,設定為開啟 |
組織範圍的應用程式設定中的協力廠商應用程式設定已設定為關閉;組織範圍應用程式設定中的新協力廠商應用程式設定已設定為關閉;第三方應用程式的全域權限原則為 Block all;或第三方應用程式的全域權限原則為 Allow app(s), Block all others |
Allow users install available apps by default 對於第三方應用程式設定為關閉 |
組織範圍的應用程式設定中的協力廠商應用程式設定已設定為開啟;組織範圍應用程式設定中的新協力廠商應用程式設定已設定為關閉;第三方應用程式的全域權限原則為 Block all;或第三方應用程式的全域權限原則為 Allow app(s), Block all others |
Allow users install available apps by default for third party apps 設定為關閉 |
第三方應用程式設定已關閉;權限政策為 Block an app(s), allow all others |
Allow users install available apps by default for third party apps 設定為關閉 |
自訂應用程式的全域權限原則為 Allow all 或自訂應用程式的全域權限原則為 Block an app(s), allow all others |
Allow users install available apps by default 對於自訂應用程式設定為開啟 |
自訂應用程式的全域權限原則是 Block all 或自訂應用程式的全域權限原則是 Allow app(s), Block all others |
Allow users install available apps by default 對於自訂應用程式設定為關閉 |
| 較早的應用程式狀態 | 先前套用的權限原則 | 使用此功能時的應用程式可用性 |
|---|---|---|
| 已封鎖 | 已封鎖 | 沒有人可以安裝 |
| 已封鎖 | 允許 | 沒有人可以安裝 |
| 允許 | 已封鎖 | 沒有人可以安裝 |
| 允許 | 允許 | 任何人 |
考量事項和已知限制
您一次最多可以將 99 個使用者或群組新增至應用程式。
搜尋要新增的使用者或群組時,UI 只會顯示 20 個結果。 如果您找不到預期的結果,請調整搜尋查詢以使用確切的名稱。
遷移後,您被封鎖的應用程式仍無法供使用者使用。 這類應用程式的狀態現在是
unblocked,但應用程式可在No one[管理應用程式] 頁面的欄中使用Available to。 這表示沒有組織使用者可以按照您之前的預期使用應用程式。切換至此功能之後,您將無法存取、編輯或使用權限政策。 組織移轉之後,您就無法還原移轉。
您無法在 Teams 系統管理中心大量更新應用程式可用性,但可以透過 PowerShell 執行此動作。 如需應用程式可用性 PowerShell Cmdlet 的詳細資訊,請參閱 Update-M365TeamsApp。
應用程式權限原則自動移轉的詳細資料:
在移轉期間,請為每個自訂應用程式權限原則 建立一個安全性群組 。 指派給應用程式權限原則的所有使用者都會指派給對應的群組。
移轉之後,您可以檢視和管理群組。
移轉期間不會變更應用程式許可權,除非全域原則中允許應用程式,但在自訂應用程式許可權原則中遭到封鎖。 在這裡,該應用程序可供租戶的所有用戶使用,但 EDU 客戶除外,任何人都無法使用該應用程序。 這是租用戶中應用程式許可權變更的唯一實例。 系統管理員可以在移轉後視需要修改此行為。