Teams Phone System admin app

Eine delegierte Administratoranwendung für Anrufpläne (PSTN) Telefonnummernverwaltung

Microsoft Teams bietet ein Verwaltungsportal zur Verwaltung der verschiedenen Telefoniedienste für die Organisation. Um auf dieses Portal zuzugreifen, müssen Sie eine der hier definierten Administratorrollen zuweisen. Um das Telefonie -System zu verwalten und den Benutzern Telefonnummern oder Sprachrichtlinien zuzuweisen, ist die erforderliche Mindestrolle "Teams Communications Administrator" - diese Rolle wird dann auf den Geltungsbereich des Azure -AD -Mieters angewendet, was bedeutet, dass alle Benutzer in Ihrer Organisation.

Während dieses Modell gut funktioniert, werden die Operationen zentral verwaltet, aber es wird schwieriger, wenn eine Organisation diese Operationen auf lokaler Ebene (z. B. pro Land) delegieren muss - diese Anwendung bietet eine Antwort. Wir eine delegierte Verwaltung des Telefoniesystems basierend auf dem Standort von Die Benutzer und Berechtigungen für die delegierten Administratoren.

Ab heute unterstützt diese Anwendung die folgenden Szenarien:

• PTSN -Nummern einem Benutzer zuweisen / verabschiedet
• Assistent / Aktualisierung des Notstandsstandorts
• Weisen / verabschiedeten Sprachrichtlinien einem Benutzer zu, /
• Richten Sie einem Benutzer Richtlinien zu / verabreichen / verabschiedet

HINWEIS: Die Lösung unterstützt nur die Konfiguration von Call -Plänen (AKA PSTN) - Direktouting ist unser Ziel, aber die Lösung kann aktualisiert werden, um dieses Szenario mit minimalen Anstrengungen mit dem entsprechenden PowerShell -CMDLet zu unterstützen.

Die Architektur dieser Lösung kann angepasst werden, um andere Szenarien zu unterstützen, bei denen eine delegierte Verwaltung des Teams von Teams oder andere Funktionen über PowerShell CMDLET oder sogar MS -Graph -API erforderlich ist.

Hier ist die Anwendung in Microsoft -Teams

1. Benutzer (zentrale und lokale Administratoren) zugreifen direkt von Microsoft -Teams auf die Anwendung. Sie sind alle Mitglieder einer Office 365 -Gruppe, wobei zentrale Administratoren die Eigentümer des Teams sind, und lokale (AKA -Delegierte) Administratoren sind Mitglieder. Nur zentraler Administrator kann lokale Verwaltungsberechtigungen verwalten .
2. Die Benutzeroberfläche wird von einer Power-Apps bereitgestellt. Die Power -Apps sind nur zu Accessbile für die Mitglieder der O365 -Gruppe .
3. Lokale App -Einstellungen werden in einer SharePoint -Liste gespeichert - diese Liste ist nur für zentrale Administratoren zugänglich - für jeden lokalen Administrator ist eine Liste von Ländercodes für delegierte Berechtigungen festgelegt (z. B. "US" / "FR" / "UK") - a Lokaler Administrator kann nur Benutzer verwalten, die über den "Nutzungsort" in Azure -Anzeigen auf ihren delegierten Ländercodes eingestellt sind, und kann nur Telefonnummern mit einem übereinstimmenden "CityCode" verwalten.
4. Auf den Power -Apps validierte Aktionen auslösen einen Stromautomatisierungsfluss - die Rolle des Flusses (eine pro API) besteht darin, alle an die API der Teams gesendeten Abfragen zu sichern und zu protokollieren .
5. Azure KeyVault wird verwendet, um die von der Lösung erforderlichen Geheimnisse und Anmeldeinformationen sicher zu speichern. Mit diesem Design können Secrets & Referentials Management des "Service Account" und des "Service Principal" an einen Dritten delegiert werden, der kein Administrator für die Team -Telefonie -Lösung ist.
6. Stromautomatisieren Sie die Azure -Funktions -API, die die entsprechenden Anmeldeinformationen angibt.
7. Die Azure -Funktion erhalten Sie den Anmeldeinformationen "Service Account", der die Rolle "Teams Communications Administrator" spielt und die PowerShell -Skripte ausführt
8. Azure AD bedingte Zugriff überprüft die Berechtigungen und den Standort der Anfrage.

Voraussetzungen

• Azure AD -Administratorrolle Um einen neuen Benutzer (ein Servicekonto) zu erstellen, Rollen zuzuweisen und eine neue Anwendung zu registrieren
• Azure AD Premium P1 -Lizenz, mit der Azure AD bedingten Zugang ermöglicht werden kann
• Azure -Abonnement und Konto bei der Rolle des Beitrags (zur Bereitstellung von Ressourcen)
• Power App -Lizenz zum Bereitstellen der Anwendung und der Stromversorgung von Flows
• Die folgenden PowerShell -Module müssen vor der Ausführung des Pshell -Skripts installiert werden:
  • Microsoft-Teams-https://docs.microsoft.com/en-us/microsoftteams/teams-powershell-install-Lösung, die mit v4.7.0 erstellt und getestet wurde
  • Azure AZ-https://docs.microsoft.com/en-us/powershell/azure/install-az-ps-Lösung, die mit v7.3.2 gebaut und getestet wurde

Hinweis: In dieser Bereitstellung gehen wir davon aus, dass derselbe Benutzer über die entsprechenden Berechtigungen verfügt, um die Ressourcen auf Azure, Power -Plattform und Azure -Anzeige bereitzustellen. Dies ist jedoch nicht obligatorisch und der Einsatz kann über diese unterschiedlichen Rollen und Verantwortlichkeiten innerhalb der Organisation aufgeteilt werden.

Schritt 1 - Erstellen Sie ein Servicekonto in Azure AD

Rolle erforderlich: Azure ad admin

• Gehen Sie zum Azure -Anzeigenportal, um Benutzer zu verwalten
• Fügen Sie einen neuen Benutzer hinzu (z. B. "Service Account Teams Admin") und speichern Sie das Passwort

Hinweis: Sie müssen dieses Kennwort beim ersten Verwenden dieses Kontos zurücksetzen. Stellen Sie eine Verbindung zu https://portal.azure.com mit den Benutzeranmeldeinformationen her und geben Sie ein neues komplexes Passwort an - Speichern Sie dieses Kennwort an einem gesicherten Ort

• Gehen Sie unter "zugewiesene Rollen" und weisen Sie die folgenden Rollen zu: zuweisen:
  • Verzeichnisleser - zum Lesen der Benutzerprofile
  • Teams Kommunikationsverwaltung - Verwaltung des Teams des Teams
  • Skype for Business Administrator - Verwaltung der Dialout -Richtlinien

Schritt 2 - Stellen Sie die Azure -Ressourcen ein

Rollen erforderlich:

• Azure -Mitarbeiter
• Azure AD -App -Registrierung für Mitglieder des Mieters (oder eine spezifische Azure -Anzeigenrolle, die für die App -Registrierung zugewiesen ist)

Um diesen Bereitstellungsschritt auszuführen, müssen Sie den Inhalt dieses Repositorys in Ihrer lokalen Umgebung herunterladen und das PowerShell -Skript unter . Deployment Deployman.ps1 ausführen

• Laden Sie den Inhalt dieses Repositorys herunter
• Führen Sie das Skript diples.ps1 mit den folgenden Parametern aus

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

Die Bereitstellung kann einige Minuten dauern, einschließlich der Aufwärmzeit der Azure -Funktionen - am Ende der Bereitstellung die Ausgänge überprüfen

Eine erfolgreiche Bereitstellung sollte so aussehen (standardmäßig wird das Skript dreimal ausgeführt)

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

Schritt 3 - Bereiten Sie die Power -App und die Flüsse ein

Sie können die Anweisung herunterladen, um die Power -App in diesem Link bereitzustellen.

Die im Dokument erwähnte ZIP -Datei ist auf diesem Link verfügbar.

Am Ende dieses Schritts sollte die Lösung End-to-End-Lösung funktionieren.

Schritt 4 - Aktivieren Sie die Azure -AD -Konditionalzugriff

Sie können den bedingten Zugriff auf das von Ihrer Azure -Funktions -App verwendete Servicekonto aktivieren und die vertrauenswürdigen IPs auf die von der Azure -Funktion verwendete Funktion beschränken. Azure AD bedingte Zugriff erfordert eine Premium -P1 -Lizenz, die zugewiesen werden kann - weitere Informationen hier zu Lizenzanforderungen.

• Gehen Sie zum Azure AD -Portal, um eine bedingte Zugriffsmanagement zu erhalten
• Wählen Sie "benannte Speicherort" und erstellen Sie einen neuen IP -Bereich -Speicherort
• Geben Sie einen Namen (z.
• Enter all the IP addresses provided in the output of the deployment in step #2 ( AzFunctionIPs ) - Append a "/32" to each IP address
• Klicken Sie auf Erstellen
• Gehen Sie zu Richtlinien und klicken Sie dann auf "Neue Richtlinie erstellen"
• Geben Sie Ihrer Richtlinie einen Namen an
• Für die Aufgaben:
  • Benutzer- oder Workload -Identitäten> Integrieren "Benutzer und Gruppen auswählen"> "Benutzer und Gruppen"> nach Ihrem Service -Konto suchen> Wählen Sie aus
  • Cloud -Apps oder -aktionen> enthalten "alle Cloud -Apps"
  • Bedingungen> Positionen> Ausschließen "Ausgewählte Standorte"> "Azure Function App -Teams Admin" (früher erstellt)
• Für die Zugangskontrollen:
  • Grant> Blockzugriff blockieren
• Politik aktivieren
• Speichern, um die Änderungen zu bestätigen und anzuwenden

Hinweis: Bitte kehren Sie zu Ihrer Power -App zurück und überprüfen Sie, ob die Anwendung weiterhin antwortet.

Schritt 5 - Teilen Sie die Anwendung

Sie haben jetzt die Anwendung in Teams eingesetzt und müssen Zugriff auf "delegierte Administratoren" in Ihrer Organisation gewähren. Um dies zu erreichen, nutzen wir die Office 365 -Gruppe des Teams, in der die Power -Apps bereitgestellt wurden.

1. Alle "delegierten Administratoren" müssen im Team eingeladen werden, um auf die Power -App zuzugreifen

2. Kopieren Sie den Namen des Teams, in dem die App installiert ist. Dies ist der Name Ihrer O365 -Gruppe

3. Sie müssen ermöglichen, dass Ihre O365 -Gruppe als Sicherheitsgruppe verwendet wird. Dafür finden Sie die Azure Ad -Gruppen -Management -Blade, um Ihre O365 -Gruppen -ID zu erhalten, und verwenden Sie den folgenden PowerShell -Befehl, um die Sicherheit in dieser Gruppe zu ermöglichen.

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. Gehen Sie zum Azure -Portal und dann zum in dieser Lösung bereitgestellten Azure KeyVault

   • Wählen Sie "Zugriffsrichtlinien> Zugriffsrichtlinie hinzufügen
   • Unter "Geheimberechtigungen" wählen Sie "Get" und "List" aus.
   • Klicken Sie auf "SELECT SELECT SELECTE" und geben Sie den Namen Ihrer O365 -Gruppe ein und drücken Sie "SELECT".
   • Klicken Sie auf "Hinzufügen", um diese Richtlinie zu validieren
   • Klicken Sie auf "Speichern", um die neue Konfiguration zu begehen

5. Gehen Sie zum Power Apps -Portal und wählen Sie dann Ihre Power -Apps aus

   • Wählen Sie das Optionsmenü und dann "Teilen" - Weitere Informationen hier
   • Suchen Sie nach der O365 -Teamgruppe, die eine Sicherheitsfunktion ist
   • Klicken Sie auf "Freigabe", um die neue Erlaubnis zu bestätigen

6. Das erste, das Ihre Benutzer in den Teams auf die Power -App zugreifen, müssen sie mithilfe der 3 Anschlüsse (SharePoint, Office365 und Azure KeyVault) zustimmen. Azure Ressourcen (z. B. AZ-VAULT-6CDGS)

Diese Lösung basiert auf der Microsoft Power Platform (SAAS) und Microsoft Azure unter Verwendung von PAAS -Diensten. Der Vorteil dieser Dienste besteht darin Also. Sie sind jedoch weiterhin für die Verwaltung dieser Anwendung mit den folgenden Empfehlungen verantwortlich:

• Implementieren Sie Azure Monitor und Application Insights zur Überwachung der Azure -Dienste und der Anwendung.
• Abonnieren Sie die Service -Aktualisierungen für Office 365, Power Platform und Azure über die offiziellen Kanäle, einschließlich Microsoft 365 Message Center und Azure Service Health
• Abonnieren Sie Microsoft Teams Module Updates in der PowerShell Gallery

Dies ist eine Kostenschätzung, die auf dem öffentlichen Prizelisten vom März 2022 basiert. Sie enthalten nicht die Kosten für Office 365- und Microsoft -Teams.

Alle Preise werden nur für Informationen bereitgestellt.

• Power -Apps Preisgestaltung
• Azure -Preisrechner
• Azure Ad Pricing

Dieses Projekt begrüßt Beiträge und Vorschläge. In den meisten Beiträgen müssen Sie einer Mitarbeiters Lizenzvereinbarung (CLA) zustimmen, in der Sie erklären, dass Sie das Recht haben und uns tatsächlich tun, um uns die Rechte zu gewähren, Ihren Beitrag zu verwenden. Weitere Informationen finden Sie unter https://cla.opensource.microsoft.com.

Wenn Sie eine Pull -Anfrage einreichen, bestimmt ein CLA -Bot automatisch, ob Sie einen CLA angeben und die PR angemessen dekorieren müssen (z. B. Statusprüfung, Kommentar). Befolgen Sie einfach die vom Bot bereitgestellten Anweisungen. Sie müssen dies nur einmal über alle Repos mit unserem CLA tun.

Dieses Projekt hat den Microsoft Open Source -Verhaltenscode übernommen. Weitere Informationen finden Sie im FAQ oder wenden Sie sich an [email protected] mit zusätzlichen Fragen oder Kommentaren.

Dieses Projekt kann Marken oder Logos für Projekte, Produkte oder Dienstleistungen enthalten. Die autorisierte Verwendung von Microsoft -Marken oder Logos unterliegt den Marken- und Markenrichtlinien von Microsoft und muss folgen. Die Verwendung von Microsoft -Marken oder Logos in geänderten Versionen dieses Projekts darf keine Verwirrung verursachen oder Microsoft -Sponsoring implizieren. Jede Verwendung von Marken oder Logos von Drittanbietern unterliegt den Richtlinien dieses Drittanbieters.

• Benutzerbereitstellung Endstaat für verschiedene PSTN-Konnektivitätsoptionen
• Produktnamen und Serviceplan -Kennungen für die Lizenzierung
• Sehen Sie alle Telefonnummern in Ihrer Organisation an
• Eine Telefonnummer für einen Benutzer zuweisen, ändern oder entfernen
• Outbound Calling Restriction -Richtlinien für Audiokonferenzen und Benutzer -PSTN -Anrufe

• PowerShell Gallery | MicrosoftTeams

• Azure -Funktionen PowerShell Developer Guide