以應用程式為中心的管理可簡化允許使用者和群組使用應用程式的程式。 以應用程式為中心的管理移轉涉及保留應用程式許可權原則中允許的使用者和應用程式。 您也可以在移轉期間新增或排除使用者。
建議您在手動移轉前後遵循這些步驟,以檢查以應用程式為中心的管理移轉健康情況。
移轉前
步驟 1:匯出應用程式目錄和附註允許的應用程式
流覽至 [管理應用程式] 頁面,並將型錄中的應用程式完整清單匯出為 CSV 檔案,包括每個應用程式的允許或封鎖應用程式狀態。 允許或封鎖狀態會決定應用程式是否可供所有人使用或沒有人使用。 下列步驟會使用此狀態來篩選您的使用者。 如需詳細數據,請參閱 將應用程式目錄匯出為 CSV。
步驟 2:檢閱許可權原則,並注意允許或封鎖的應用程式
如果您有多個許可權原則,請依照下列步驟取得許可權原則清單:
- 移至 Teams 系統管理中心>管理應用程式>許可權原則。
- 開啟每個許可權原則,並記下哪些應用程式可以允許或封鎖。
使用 PowerShell 命令取得許可權原則列表的步驟:
執行 PowerShell 命令:
Get-CsTeamsAppPermissionPolicy。顯示下列結果:
在每個許可權原則中擷取允許的應用程式
您可以使用 PowerShell 命令,在每個許可權原則中擷取允許的應用程式。 但並非所有預設應用程式都會顯示在回應中。 若要檢視完整清單,請將結果指派給變數。
例如:$msftApps = Get-CsTeamsAppPermissionPolicy -Identity "Global" | Select-Object -ExpandProperty DefaultCatalogApps $msftApps.id
篩選掉封鎖的應用程式
收集租用戶內允許之所有應用程式的信息之後,找出獲授權使用每個應用程式的使用者或群組。
將此資料與 [管理應用程式] 頁面的匯出合併。
備註
無論原則指派結果為何,在 [管理應用程式] 中標示為已封鎖的任何應用程式都會保持封鎖狀態。
步驟 3:識別每個應用程式允許的使用者
您可以使用下列方式識別每個應用程式允許的使用者:
在UI中取得指派給原則的用戶清單
移至 Teams 系統管理中心。
移至 [使用者>管理使用者]。
![顯示 [管理使用者] 頁面的螢幕快照。](media/step3-manage-users-page.png)
選取位於 [管理使用者] 資料表右上角的篩選。
選取您需要使用者指派的原則名稱,然後按兩下 [ 套用]。
![顯示已套用 [管理使用者] 頁面的螢幕快照。](media/step3-manage-users-page-filter-applied.png)
系統會顯示指派給已篩選原則的所有使用者。
您也可以將使用者清單匯出為 CSV。
![顯示 [匯出管理使用者] 頁面 csv 的螢幕快照。](media/step3-manage-users-page-export-csv.png)
![顯示 [管理使用者] 頁面的螢幕快照。](media/step3-manage-users-page.png#lightbox)
![顯示已套用 [管理使用者] 頁面的螢幕快照。](media/step3-manage-users-page-filter-applied.png#lightbox)
![顯示 [匯出管理使用者] 頁面 csv 的螢幕快照。](media/step3-manage-users-page-export-csv.png#lightbox)
識別 PowerShell 中每個應用程式允許的使用者
您也可以使用下列 PowerShell 命令匯出每個自定義原則的使用者指派。 如果指定的原則有使用者指派,此腳本會產生Excel檔案;否則,系統會顯示一則訊息,指出沒有使用者指派。
PowerShell 命令輸出如下所示:
導出的檔案會如下所示:
若要定義匯出的基礎路徑:
$basePath = "C:\Users\<user name>\Downloads"為了確保基本路徑存在:如果 ( 非 (Test-Path -Path $basePath) ) { New-Item -ItemType Directory -Path $basePath | Out-Null }
若要擷取所有 Teams 應用程式許可權原則:
$policies = Get-CsTeamsAppPermissionPolicy | Select-Object Identity若要循環顯示每個原則:
foreach ($policy in $policies) { $policyName = $policy.Identity #Ignore 'Global' policy if ($policyName -eq 'Global') { continue }若要移除 「TAG:」前置詞,請移除前綴:
if ($policyName -like 'TAG:*') { $policyName = $policyName -replace '^TAG:', '' }若要擷取指派給目前原則的使用者:
$users = Get-CsOnlineUser -Filter "TeamsAppPermissionPolicy -eq '$policyName' -and SoftDeletionTimestamp -eq$null“| Select-Object 身分識別、DisplayName、UserPrincipalName、TeamsAppPermissionPolicy、AccountEnabled、AccountType'檢查用戶計數是否為零:
if ($users.Count -eq 0) { Write-Host "e[31m$policyName 沒有任何使用者指派e[0m" continue }若要將用戶匯出至 CSV 檔案:
$outputPath = "$basePath\users_$($policyName).csv" $users | Export-Csv -Path $outputPath -NoTypeInformationWrite-Host “e[32mExported users for policy: $policyName to $outputPathe[0m” }
移轉之後
移轉之後,客戶可以使用相同的步驟,針對移轉前的姿勢進行驗證。 請依照本節定義的指示收集您先前的許可權原則,並將它們與以應用程式為中心的管理設定進行比較。 檢閱您的許可權原則,並注意您允許/封鎖的應用程式。
大量應用程式管理
建立通訊組清單並新增成員:您可以使用
New-DistributionGroup和Add-DistributionGroupMemberPowerShell 命令來建立通訊組清單並新增成員。例如:
New-DistributionGroup -Name "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins" -PrimarySmtpAddress "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com"Add-DistributionGroupMember -Identity "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins" -Member "user1@man-es.com"將所有應用程式指派給通訊組清單:若要將所有應用程式指派給通訊組清單 DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com,您可以使用
Update-M365TeamsAppPowerShell 命令。 以下是一起指派所有應用程式的範例:$apps = Get-AllM365TeamsApps foreach ($app in $apps) { Update-M365TeamsApp -Id $app.Id -AppAssignmentType UsersAndGroups -Groups "DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com" }修改特定應用程式對每個人的可用性:若要修改特定應用程式對每個人的可用性,您可以使用
Update-M365TeamsAppPowerShell 命令並將AppAssignmentType參數設為Everyone。例如:
$appIds = @("appId1", "appId2", "appId3", ...) # List of 53 app IDs foreach ($appId in $appIds) { Update-M365TeamsApp -Id $appId -AppAssignmentType Everyone }允許Microsoft應用程式至多個通訊組清單:若要允許所有Microsoft應用程式至通訊組清單 DTDEAUG_MSTeamsAppPolicy_ITTestMSPVA@man-es.com , DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com您可以使用該
Update-M365TeamsApp命令。例如:
$msApps = Get-AllM365TeamsApps | Where-Object { $_.Publisher -eq "Microsoft" } foreach ($app in $msApps) { Update-M365TeamsApp -Id $app.Id -AppAssignmentType UsersAndGroups -Groups "DTDEAUG_MSTeamsAppPolicy_ITTestMSPVA@man-es.com","DTDEAUG_MSTeamsAppPolicy_M365TeamsAdmins@man-es.com" }以下是檔案的
list.csv範例:AppId,DistributionList appId1,DTDEAUG_MSTeamsAppPolicy_Group1@man-es.com appId2,DTDEAUG_MSTeamsAppPolicy_Group2@man-es.com appId3,DTDEAUG_MSTeamsAppPolicy_Group3@man-es.com...
下列 PowerShell 腳本可用來讀取 CSV 檔案,並將應用程式指派給指定的通訊組清單:
$csv = Import-Csv -Path "C:\path\to\list.csv" foreach ($row in $csv) { Update-M365TeamsApp -Id $row.AppId -AppAssignmentType UsersAndGroups -Groups $row.DistributionList } 此 PowerShell 腳本會循環顯示 CSV 檔案中的每一列,並將應用程式指派給對應的通訊組清單。
以下是另一個範例:
已對 Teams 管理員 Center 設定 匯報 進行必要變更。
將所有可用的應用程式套用到 Teams 管理員 通訊群組,以順暢地管理。
使用下列 PowerShell 命令:
Import-Csv .\AppList1.csv | %{Update-M365TeamsApp -Id $_.AppId -AppAssignmentType UsersAndGroups -Groups $_.GroupID -OperationType Add}將所有Microsoft應用程式指派給指定的自定義原則組,讓所有Microsoft應用程式在目標使用者群組的特定原則下保持井然有序和管理。 使用下列 PowerShell 命令:
Import-Csv .\AppList2.csv | %{Update-M365TeamsApp -Id $_.AppId -AppAssignmentType UsersAndGroups -Groups $_.GroupID -OperationType Add}將特定應用程式對應到各自的自定義原則組,讓存取控制更有效。 使用下列 PowerShell 命令:
Import-Csv .\AppList3.csv | %{Update-M365TeamsApp -Id $_.AppId -AppAssignmentType UsersAndGroups -Groups $_.GroupID -OperationType Add}更新 全域原則 ,讓組織中的所有使用者都能存取選取的應用程式。 使用下列 PowerShell 命令:
gc '.\GlobalApps.txt' | %{Update-M365TeamsApp -Id $_ -AppAssignmentType Everyone}