Teams Phone System admin app

Una aplicación de teléfono de aplicación de administración delegada para llamadas (PSTN) Gestión de números de teléfono

Microsoft Teams proporciona un portal de administración para administrar los diferentes servicios de telefonía para la organización. Para acceder a este portal, debe asignar uno de los roles de administrador definidos aquí. Para administrar el sistema de telefonía y asignar números de teléfono o políticas de voz a los usuarios, el rol mínimo requerido es "Administrador de comunicaciones de equipos": este rol se aplica al alcance del inquilino Azure AD, lo que significa todos los usuarios de su organización.

Si bien este modelo funciona bien, las operaciones se gestionan centralmente, se vuelve más desafiante cuando una organización necesita delegar estas operaciones a nivel local (por ejemplo, por país); esta aplicación proporciona una respuesta a una gestión delegada del sistema de telefonía basada en la ubicación de Los usuarios y permisos establecidos para los administradores delegados.

A partir de hoy, esta aplicación admite los siguientes escenarios:

• Asignar / Unassign PTSN Números a un usuario
• Assing / actualización de la ubicación de emergencia
• Asignar / Unassign Políticas de voz a un usuario
• Asignar / Unassign Políticas de llamadas a un usuario

Nota: La solución solo admite planes de llamadas (también conocido como configuración PSTN): el enrutamiento directo es nuestro alcance, pero la solución se puede actualizar para admitir este escenario con esfuerzos mínimos utilizando el cmdlet de PowerShell apropiado.

La arquitectura de esta solución se puede adaptar para admitir otros escenarios que requieren la administración de administración delegada del sistema telefónico de equipos o cualquier otra característica accesible a través de PowerShell Cmdlet o incluso la API de MS Graph.

Aquí está la aplicación que se ejecuta en los equipos de Microsoft

1. Los usuarios (administradores centrales y locales) acceden a la aplicación directamente desde los equipos de Microsoft: todos son miembros de un grupo de Office 365 con los administradores centrales que son los propietarios del equipo y los administradores locales (también conocidos como delegados) son miembros. Solo el administrador central puede administrar los permisos de administración locales .
2. La interfaz de usuario es proporcionada por un Power Apps. Las aplicaciones de Power son solo AccessBile a los miembros del grupo O365 .
3. La configuración de la aplicación local se almacena en una lista de SharePoint: esta lista solo se puede acceder a los administradores centrales: para cada administrador local, se establece una lista de códigos de país para permisos delegados (por ejemplo, "US" / "fr" / "Reino Unido") - A El administrador local solo puede administrar a los usuarios que tienen la "ubicación de uso" en el anuncio de Azure establecido en sus códigos de país delegados y solo pueden administrar números de teléfono con un "CityCode" coincidente.
4. Las acciones validadas en las aplicaciones de potencia activan un flujo de automatización de potencia: el papel del flujo (uno por API) es asegurar y registrar todas las consultas enviadas a las API del centro de administración de equipos.
5. Azure KeyVault se utiliza para almacenar de forma segura el secreto y las credenciales requeridas por la solución. Con este diseño, la gestión de secretos y credenciales de la "cuenta de servicio" y del "director de servicio" puede delegarse a un tercero que no es un administrador de la solución de telefonía del equipo.
6. Power Automate llama a la API de la función Azure que proporciona las credenciales apropiadas.
7. La función Azure obtiene la credencial de "cuenta de servicio" que tiene el rol de "Administrador de comunicaciones de equipos" y ejecuta los scripts de PowerShell
8. El acceso condicional de Azure AD verifica los permisos y la ubicación de la solicitud.

Requisitos previos

• Rol de administración de anuncios de Azure para crear un nuevo usuario (una cuenta de servicio), asignar roles y registrar una nueva aplicación
• Azure AD Premium P1 Licencia para habilitar el acceso condicional de Azure AD
• Suscripción de Azure y cuenta con el rol de contribuyente (para implementar recursos)
• Licencia de aplicación de energía para implementar los flujos de aplicación y automatizar energía
• Los siguientes módulos de PowerShell deben instalarse antes de la ejecución del script PSHELL:
  • Equipos de Microsoft-https://docs.microsoft.com/en-us/microsoftteams/teams-powershellinstall-Solución construida y probada con v4.7.0
  • Azure AZ-https://docs.microsoft.com/en-us/powershell/azure/install-az-ps-Solución construida y probada con v7.3.2

Nota: En esta implementación, suponemos que el mismo usuario tiene los permisos apropiados para implementar los recursos en Azure, Power Platform y Azure AD. Sin embargo, esto no es obligatorio y la implementación se puede dividir en estos diferentes roles y responsabilidades dentro de la organización.

Paso 1 : cree una cuenta de servicio en Azure AD

Rol requerido: Azure AD Admin

• Vaya al portal de anuncios de Azure para administrar a los usuarios
• Agregue un nuevo usuario (por ejemplo, "administrador de equipos de cuenta de servicio") y guarde la contraseña

Nota: Deberá restablecer esta contraseña la primera vez que use esta cuenta; conéctese a https://portal.azure.com con las credenciales del usuario y proporcione una nueva contraseña compleja : almacene esta contraseña en una ubicación segura

• Vaya bajo "roles asignados" y asigne los siguientes roles:
  • Lectores de directorio: para leer los perfiles de usuario
  • Administración de comunicaciones de equipos: para administrar el sistema de telefonía de los equipos
  • Skype para administrador de empresas: para administrar las políticas de dialout

Paso 2 : implementa los recursos de Azure

Roles requeridos:

• Colaborador de Azure
• Registro de aplicación Azure AD Autorizado para miembros del inquilino (o rol de anuncio de Azure específico asignado para el registro de la aplicación)

Para ejecutar este paso de implementación, debe descargar el contenido de este repositorio en su entorno local y ejecutar el script de PowerShell en . Implementment implement.ps1

• Descargue el contenido de este repositorio
• Ejecutar el script implement.ps1 con los siguientes parámetros

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

El despliegue puede tardar varios minutos, incluido el tiempo de calentamiento de las funciones de Azure, al final de la implementación, verifique las salidas que se requerirán para configurar la implementación de la aplicación Power y el acceso condicional Azure AD

Una implementación exitosa debe verse así (por defecto, el script se ejecuta 3 veces)

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

Paso 3 : implementa la aplicación de alimentación y fluye

Puede descargar la instrucción para implementar la aplicación Power en este enlace.

El archivo zip mencionado en el documento está disponible en este enlace.

Al final de este paso, la solución debe funcionar de extremo a extremo: se recomiendan los siguientes pasos, pero son opcionales y están aquí para agregar más seguridad a la solución utilizando la autenticación y controles de Azure AD.

Paso 4 - Activar acceso condicional de Azure AD

Puede habilitar el acceso condicional de Azure en la cuenta de servicio utilizada por su aplicación de función Azure y restringir las IP de confianza a la utilizada por la función Azure. El acceso condicional de Azure AD requiere una licencia P1 premium para asignarse, más información aquí sobre los requisitos de la licencia.

• Vaya al portal de anuncios de Azure para la gestión de acceso condicional
• Seleccione "Ubicación nombrada" y cree una nueva ubicación de rango de IP
• Proporcione un nombre (por ejemplo, "Azure Function App Teams Admin") y marque la ubicación como ubicación confiable
• Ingrese todas las direcciones IP proporcionadas en la salida de la implementación en el paso #2 ( AZFunctions ) - Agregue un "/32" a cada dirección IP
• Haga clic en Crear
• Vaya a políticas y luego haga clic en "Crear nueva política"
• Proporcione un nombre a su política
• Para las tareas:
  • Usuarios o identidades de carga de trabajo> Incluya "seleccionar usuarios y grupos"> verificar "usuarios y grupos"> Buscar su cuenta de servicio> Seleccione
  • Las aplicaciones o acciones en la nube> incluyen "todas las aplicaciones en la nube"
  • Condiciones> Ubicaciones> Excluir "Ubicaciones seleccionadas"> "Azure Function App Teams Admin" (creado anteriormente)
• Para los controles de acceso:
  • Grant> Acceso de bloque
• Habilitar política
• Guardar para confirmar y aplicar los cambios

Nota: Vuelva a su aplicación de energía y verifique que la aplicación aún responda; también puede intentar usar la credencial principal de servicio desde su escritorio y veridad local que ya no puede iniciar sesión.

Paso 5 - Comparte la aplicación

Ahora tiene la aplicación implementada en equipos y debe proporcionar acceso a "administradores delegados" en su organización. Para lograr eso, utilizaremos el grupo Office 365 del equipo donde se han implementado las aplicaciones de energía.

1. Todos los "administradores delegados" deben ser invitados al equipo para acceder a la aplicación Power

2. Copie el nombre del equipo donde está instalada la aplicación: este es el nombre de su grupo O365

3. Debe habilitar que su grupo O365 se utilice como grupo de seguridad; para eso, vaya a Azure Ad Groups Management Blade para obtener su ID de grupo O365 y utilice el siguiente comando PowerShell para habilitar la seguridad en este grupo.

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. Vaya al portal Azure y luego al Azure KeyVault desplegado en esta solución

   • Seleccione "Políticas de acceso> Agregar política de acceso
   • En "permisos secretos" seleccione "Get" y "List"
   • Haga clic en "Seleccionar principal" e ingrese el nombre de su grupo O365 y presione "Seleccionar"
   • Haga clic en "Agregar" para validar esta política
   • Haga clic en "Guardar" para confirmar la nueva configuración

5. Vaya al portal de aplicaciones de energía y luego seleccione sus aplicaciones de energía

   • Seleccione el menú de opciones y luego "Compartir" - Más información aquí
   • Busque el grupo de equipo O365 que esté habilitado para la seguridad
   • Haga clic en "Compartir" para confirmar el nuevo permiso

6. El primero que sus usuarios accederán a la aplicación Power en los equipos, deberán consentir para usar los 3 conectores (SharePoint, Office365 y Azure KeyVault): para Azure KeyVault, deben proporcionar el nombre de KeyVault que obtiene del despliegue del Recursos Azure (por ejemplo, AZ-Vault-6CDGS)

Esta solución se basa en la plataforma de potencia de Microsoft (SaaS) y Microsoft Azure utilizando los servicios de PAAS: el beneficio de estos servicios es que Microsoft está a cargo de la capa de infraestructura y esta solución incluye cierto nivel de registros para rastrear los cambios y facilitar la solución de problemas tanto. Bueno. Sin embargo, sigue siendo responsable de la gestión de esta aplicación con las siguientes recomendaciones:

• Implemente el monitor de Azure y las ideas de la aplicación para monitorear los servicios y la aplicación Azure.
• Suscríbete a las actualizaciones del servicio una información para Office 365, Power Platform y Azure a través de los canales oficiales, incluido el Centro de mensajes de Microsoft 365 y Azure Service Health
• Suscríbase a las actualizaciones de módulos de los equipos de Microsoft en la Galería PowerShell

Esta es una estimación de costos basadas en la licencia pública de marzo de 2022. No incluyen los costos para los equipos de Office 365 y Microsoft.

Todos los precios se proporcionan solo para información.

• Precio de aplicaciones de energía
• Calculadora de precios de Azure
• Precios de anuncios de Azure

Este proyecto da la bienvenida a las contribuciones y sugerencias. La mayoría de las contribuciones requieren que acepte un Acuerdo de Licencia de Contributor (CLA) que declare que tiene derecho y realmente hacernos los derechos para utilizar su contribución. Para más detalles, visite https://cla.opensource.microsoft.com.

Cuando envíe una solicitud de extracción, un BOT CLA determinará automáticamente si necesita proporcionar un CLA y decorar el PR adecuadamente (por ejemplo, verificación de estado, comentario). Simplemente siga las instrucciones proporcionadas por el bot. Solo necesitará hacer esto una vez en todos los reposos usando nuestro CLA.

Este proyecto ha adoptado el Código de Conducta Open Open Microsoft. Para obtener más información, consulte el Código de Conducta Preguntas frecuentes o comuníquese con [email protected] con cualquier pregunta o comentario adicional.

Este proyecto puede contener marcas comerciales o logotipos para proyectos, productos o servicios. El uso autorizado de marcas o logotipos de Microsoft está sujeto y debe seguir las pautas de marca y marca de Microsoft. El uso de marcas registradas de Microsoft o logotipos en versiones modificadas de este proyecto no debe causar confusión o implicar el patrocinio de Microsoft. Cualquier uso de marcas comerciales o logotipos de terceros está sujeto a las políticas de esas partes de terceros.

• Provisión del usuario Estado final para varias opciones de conectividad PSTN
• Nombres de productos e identificadores de planes de servicio para licencias
• Vea todos los números de teléfono de su organización
• Asignar, cambiar o eliminar un número de teléfono para un usuario
• Políticas de restricción de llamadas salientes para conferencias de audio y llamadas de usuario PSTN

• Galería PowerShell | MicrosoftTeams

• Guía de desarrolladores de Azure Functions PowerShell