使用 Teams 應用程式能大幅提升組織用戶的生產力與協作效率。 Teams 應用程式將資訊傳遞給使用者,無需切換上下文,幫助他們完成優秀的工作。 作為管理員,您在賦能用戶使用合適類型的應用程式,同時平衡公司對安全與合規的需求方面扮演關鍵角色。 一旦決定批准使用應用程式,請確保應用程式的採用對使用者來說是順暢的。
這個過程中一個關鍵的環節,就是同意應用程式運作所需的權限。 您對已核准應用程式的同意至關重要,這樣組織中的每位使用者在啟動應用程式時,就不必逐一檢視權限與同意。 應用程式請求的權限範例包括閱讀團隊中儲存的資訊、閱讀使用者個人資料,以及代表使用者發送電子郵件。 欲了解更多關於權限與同意的資訊,請參閱 Microsoft 身分識別平台端點中的權限與同意。
為了保障公司需求並遵守政策,只有全域管理員能代表組織內所有使用者授權應用程式權限。 查看細節的選項及同意要求適用於自訂及第三方應用程式,不適用於 Microsoft 提供的應用程式。
查看應用程式請求的 Microsoft Graph 權限
在 「管理應用程式 」頁面, 權限 欄位會顯示應用程式是否有需要同意的權限。 選擇應用程式的 「查看詳情 」連結,以查看該應用程式所請求的各種權限與組織資訊存取權限。 查看細節與授權的選項適用於自訂及第三方應用程式,不適用於 Microsoft 提供的應用程式。
授予全組織管理員對應用程式權限的同意
當你同意這些權限時,你就允許應用程式存取你組織的資訊。 在授權前,請仔細檢視應用程式所要求的權限。 欲了解更多資訊,請參閱 Teams 應用程式的權限與同意。 只有全域管理員能授權應用程式申請的圖形權限。 Teams 管理員可以在管理中心查看所需的權限。 查看細節與授權的選項適用於自訂及第三方應用程式,不適用於 Microsoft 提供的應用程式。
要查看並授予組織內所有使用者的同意,請依照以下步驟操作:
在 Teams 管理中心,存取 Teams 應用程式>管理應用程式。
搜尋所需的應用程式,然後執行以下其中一個操作:
- 在應用程式的權限欄位中選擇「 查看詳情 」連結,以開啟 權限 標籤。
- 選擇應用程式名稱即可進入應用程式細節頁面,並選擇 權限 標籤。
請在開啟的對話框中檢視應用程式所請求的權限。
如果你同意應用程式要求的權限,請選擇「 接受 」以授予同意。 確認訊息會告知您該應用程式已取得同意。 應用程式現在可以存取組織中所有允許該應用程式使用者的指定資源。 現在用戶不會被要求去檢視權限。
備註
在新版應用程式中,如果開發者新增需要管理員同意的額外權限,使用者必須先 授權更新後的應用程式,否則無法使用該應用程式。
讓使用者授權低風險的 Graph 權限
你可以設定使用者同意設定,讓使用者同意 (推薦的做法) 同意,並使用只需這些特定權限的應用程式,無需管理員同意。
此方法可與 Microsoft Entra ID 入口網站中的權限分類協同運作。 該分類讓管理員在組織內將部分委派圖權限定義為低風險權限。 管理員會根據組織的風險態勢決定哪些低風險權限。 作為安全措施,你不能將應用程式權限歸類為低風險。
你可以設定使用者同意設定,讓使用者能夠:
- 無法同意任何應用程式,因此只能使用管理員核准的應用程式。
- 同意特定權限 (建議的) 與使用只需這些特定權限的應用程式。
建議的方法與權限分類協同運作。 該分類允許管理員在其組織內將部分或全部委派圖權限定義為低風險權限。 管理員會根據組織的風險態勢決定低風險權限。 作為安全措施,你不能將應用程式權限歸類為低風險。 應用程式權限只需管理員同意即可。 欲了解更多資訊,請參閱 設定使用者如何同意應用程式 ,以及如何 將權限分類為低風險或高風險。
能完成此設定的角色包括全域管理員、應用程式管理員或雲端應用程式管理員。 我們建議使用較低權限的角色,例如應用程式管理員。
檢查並驗證授權同意
在你授權應用程式權限後, 權限 標籤會顯示該應用程式權限已獲得同意的確認。 如果您想查看每個應用程式權限的詳細資訊,請依照以下步驟操作:
選擇 應用程式 企業>應用程式。
選擇應用程式以查看其權限。 在應用程式頁面選擇 權限 。
選擇一個權限以查看更多細節。
撤銷同意了許可
要撤銷您對應用程式的同意,請依照以下步驟操作:
在權限標籤中,選擇 Microsoft Entra ID 連結,即可在 Microsoft Entra 系統管理中心開啟應用程式的權限。
在管理員同意標籤中,選擇你想撤銷的權限,然後選擇省略
...號。選擇 撤銷權限 ,然後在確認對話框中選擇 「是,撤銷 」。
在你撤銷某些權限同意後,可以再次授予同意。 欲了解更多資訊,請參閱 「授予全組織管理員權限同意」一文。
在應用程式更新後授權新的 Graph 權限
開發者會更新應用程式以新增功能、強化現有功能或修正錯誤。 有些應用程式更新會新增權限,這些權限在之前版本中沒有。 如果開發者新增任何需要管理員同意的新權限,你必須同意這些新權限。 重新同意流程與 Grant 全組織管理員對應用程式權限的同意相同。
想了解需要使用者或管理員同意的應用程式變更,請參閱 應用程式更新需要同意的條件。 根據你組織的設定,使用者可能能夠授權某些類型的權限。
檢視應用程式的資源特定同意權限
資源專屬同意 (RSC) 權限允許應用程式存取並修改團隊或使用者的資料。 RSC 權限是細緻且專屬於新增應用程式的 Teams 團隊的。 RSC 權限的幾個例子包括:在團隊中建立和刪除頻道、取得團隊設定,以及建立和移除頻道分頁。
RSC 權限是在應用程式清單中定義,而不是在 Microsoft Entra 系統管理中心。 團隊擁有者在將應用程式加入團隊或聊天時,可以授權這些權限。 欲了解更多資訊,請參閱 RSC) (資源特定同意 。
你可以在應用程式詳情頁面的 權限 標籤中查看該應用程式的 RSC 權限。 RSC 權限與其他權限一同列於應用程式權限與委派權限區塊中。
讓資源擁有者同意 RSC 權限
管理員可以設定使用者是否允許應用程式存取其群組或團隊的資料。 全域管理員可以更改群組擁有者對存取 Microsoft Entra ID 資料設定的應用程式的同意,讓使用者同意 RSC 權限。
如果你不允許群組擁有者同意應用程式,那麼使用者就無法同意應用程式中的 RSC 權限,前提是 RSC 權限已經使用了。