Microsoft Teams 应用权限和考虑事项

Teams 应用可能会也可能不会访问用户或组织的信息，具体取决于其功能。

应用可以访问组织的信息、执行某些任务并与用户互动。 为了帮助你了解应用可以执行的操作，可以在 Teams 中应用可以执行的操作中提供此信息的编译。 应用只能访问已向其授予访问权限的信息。 用户或你同意应用有权访问组织中的信息。 还可以撤销授予应用的许可。

应用程序可以通过以下两种方式访问组织的信息，从而获得两种类型的权限：

此外，权限在以下两个位置定义：

对于每个应用，这些权限在管理中心的应用详细信息页中列出。

在任何应用的使用条款和隐私策略中，应用开发人员会披露其应用使用的数据及其处理方式。 此信息在应用开发人员的网站上提供，你可以访问 Teams 管理中心的应用详细信息页中的 URL。

许多应用开发人员选择接受 Microsoft 365 应用合规性计划。 该计划根据派生自领先的行业标准框架的控制来检查和审核应用。 有关每个此类应用的详细信息，请参阅 Microsoft 网站上的 Teams 应用安全性和合规性。

该计划演示了为保护客户数据而实施的功能强大的安全性和合规性做法。 有关 安全性、数据处理和隐私，请参阅应用合规性计划中的详细信息。

Microsoft Graph 用于允许应用开发人员访问必要的 Microsoft 365 信息，但始终具有适当的权限。 应用开发人员从各种 Graph API 中进行选择，以创建其应用并获取相关组织范围的信息，使应用功能正常工作。 但是，默认情况下，应用获取此类信息的权限不可用。 IT 管理员验证应用、其用例以及应用在其组织中寻求的权限。 IT 管理员在用户对工作效率的需求与组织对安全性的需求之间取得平衡。 为此，管理员必须了解 Graph 权限的潜力、Teams 应用如何使用这些权限，以及如何批准或拒绝寻求一组此类权限的应用。

在 Teams 管理中心中，可以查看应用请求的 Graph 权限（如果已部署），并且你可以知道应用可以访问哪些组织信息（如果已授予许可）。

访问 Teams 管理中心并打开 Teams 应用>管理应用 页面。

搜索所需的应用，然后选择其名称以打开应用详细信息页。

在应用详细信息页的“ 权限 ”选项卡中，注意应用所需的权限。

Microsoft Graph 权限参考中提供了所有可能的权限的完整列表。

作为管理员，你仅管理 Teams 应用。 应用本身可以使用一个或多个功能。 这些功能在应用功能、用户参与度、所需权限和风险配置文件方面存在差异。 根据这些功能，你作为管理员必须考虑应用访问以下 Teams 信息。

与 Teams 应用内的任何功能关联的Microsoft Entra权限 (机器人、选项卡、连接器或消息传递扩展) 与此处列出的 Teams 权限是分开的。

请考虑以下类型的用户交互、所需权限以及机器人和消息传递扩展的数据访问：

机器人可以接收来自用户的消息并对其进行答复。 机器人仅在聊天中接收消息，其中用户通过机器人名称显式提及机器人。 此数据离开公司网络。

用户向机器人发送消息后，机器人可以随时向用户发送直接或主动消息。

某些机器人仅发送消息。 它们称为仅通知机器人，机器人不提供对话体验。

添加到团队的机器人可以获取团队中频道的名称和 ID 列表。

在频道、个人聊天或群组聊天中使用时，应用的机器人可以访问团队成员的基本身份信息， (名字、姓氏、用户主体名称 [UPN] 和电子邮件地址) 。

应用的机器人可以向团队成员发送直接或主动消息，即使他们尚未与机器人交互。

根据作为机器人的应用的设置和功能，它只能在个人聊天中发送和接收文件。 群组聊天或频道不支持它。

机器人只能访问已添加到的团队或已安装它们的用户。

当用户与机器人进行交互时，如果机器人存储用户的 ID，则它可以随时发送用户直接消息。

如有必要，用户或管理员可以阻止机器人。 Microsoft 还可以从应用商店中删除机器人。 应用验证和验证检查 可确保在 Teams 应用商店中提供高质量的应用。

机器人可以检索并存储应用已添加到的团队成员的基本标识信息，或者为个人或群组聊天中的单个用户存储基本标识信息。 若要获取有关这些用户的详细信息，机器人必须要求他们登录到Microsoft Entra ID。

机器人可以检索频道列表，并且可以将频道列表存储在团队中。 此数据离开公司网络。

默认情况下，机器人无法代表用户执行操作，但机器人可以要求用户登录;用户登录后，机器人就会获得一个访问令牌，可用于执行其他任务。 任务取决于机器人和用户登录的位置：机器人是注册https://apps.dev.microsoft.com/到的Microsoft Entra应用，可以有自己的权限集。

将文件发送到机器人时，该文件将离开公司网络。 发送和接收文件需要用户批准每个文件。

每当向团队添加或删除用户时，都会通知机器人。

机器人看不到用户的 IP 地址或其他引用者信息。 所有信息都来自 Microsoft。 (有一个例外：如果机器人实现自己的登录体验，登录 UI 将看到用户的 IP 地址和引用网站信息。)

另一方面，消息传递扩展会看到用户的 IP 地址和引用者信息。

出于有效目的，应用指南（和 AppSource 审核流程）要求在向用户发布个人聊天消息（通过POST_MESSAGE_TEAM权限）时自行决定。 如有必要，用户可以阻止机器人，租户管理员可以阻止应用，Microsoft 可以删除充当机器人的应用。

注意

选项卡是在 Teams 中运行的网站。 它可以作为会议、聊天或频道中的选项卡。

请考虑以下类型的选项卡用户交互或数据访问：

在浏览器或 Teams 中打开选项卡的用户完全相同。 网站本身不能单独访问任何组织的信息。

选项卡还获取运行该选项卡的上下文，包括当前用户的登录名和 UPN、当前用户的Microsoft Entra对象 ID、它所在的 Microsoft 365 组的 ID（如果它是团队) (、租户 ID 以及用户的当前区域设置）。 但是，若要将这些 ID 映射到用户的信息，该选项卡必须让用户登录到Microsoft Entra ID。

外部系统中发生事件时，连接器会将消息发布到通道。 连接器所需的权限是能够在通道中发布消息。 连接器的可选权限是答复邮件的权限。 某些连接器支持可操作邮件，允许用户对连接器消息发布有针对性的答复。 例如，通过添加对 GitHub 问题的响应或向 Trello 卡添加日期。 请考虑连接器以下类型的用户交互、所需权限和数据访问：

发布连接器消息的系统不知道向谁发布或谁接收消息。 不会透露有关收件人的信息。 （Microsoft 是实际收件人，而不是租户;Microsoft 会将实际帖子发布到频道。）

当连接器消息发布到通道时，公司网络中没有数据。

支持可操作消息的连接器也看不到 IP 地址和引用者信息;此信息将发送到 Microsoft，然后路由到以前在连接器门户中向 Microsoft 注册的 HTTP 终结点。

每次为通道配置连接器时，都会创建该连接器实例的唯一 URL。 如果删除该连接器实例，则无法再使用该 URL。

连接器消息不能包含文件附件。

连接器实例 URL 应被视为机密或机密。 拥有 URL 的任何人都可以发布到该 URL。 如有必要，团队所有者可以删除连接器实例。

如有必要，租户管理员可以阻止创建新的连接器实例，Microsoft 可以阻止使用连接器应用。

团队所有者或团队成员创建传出 Webhook。 传出 Webhook 可以接收来自用户的消息并对其进行答复。 请考虑以下类型的用户交互、所需权限和传出 Webhook 的数据访问：

传出 Webhook 类似于机器人，但特权较少。 必须像机器人一样显式提及它们。

注册传出 Webhook 时，将生成一个机密，允许传出 Webhook 验证发件人是否为 Microsoft Teams 而不是恶意攻击者。 此机密应保留为机密;有权访问它的任何人都可以模拟 Microsoft Teams。 如果机密遭到入侵，请删除并重新创建传出 Webhook 以生成新机密。

尽管可以创建不验证机密的传出 Webhook，但我们建议对其进行验证。

除了接收和答复邮件之外，传出 Webhook 无法执行很多操作：无法主动发送邮件、无法发送或接收文件、无法执行机器人可执行的任何其他操作（接收和答复邮件除外）。