Teams Phone System admin app

Une demande d'administration déléguée pour les plans d'appel (PSTN) Gestion des numéros de téléphone

Microsoft Teams fournit un portail d'administration pour gérer les différents services de téléphonie pour l'organisation. Pour accéder à ce portail, vous devez affecter l'un des rôles administratifs définis ici. Pour gérer le système de téléphonie et attribuer des numéros de téléphone ou des politiques vocales aux utilisateurs, le rôle minimum requis est "Teams Communications Administrator" - ce rôle est ensuite appliqué à la portée du locataire Azure AD, ce qui signifie tous les utilisateurs de votre organisation.

Bien que ce modèle fonctionne bien que les opérations sont gérées de manière centralisée, elle devient plus difficile lorsqu'une organisation doit déléguer ces opérations aux niveaux local (par exemple par pays) - cette application fournit une réponse nous une gestion déléguée du système de téléphonie en fonction de l'emplacement de la localisation de Les utilisateurs et les autorisations ont défini pour les administrateurs délégués.

À ce jour, cette application prend en charge les scénarios suivants:

• Attribuer / non-assign PTSN Numbers à un utilisateur
• Assaissionner / mettre à jour l'emplacement d'urgence
• Affecter / désassigner les politiques vocales à un utilisateur
• Affecter / désaffecter les politiques d'appel à un utilisateur

Remarque: La solution ne prend en charge que les plans d'appel (AKA PSTN) Configuration - Le routage direct est notre portée, mais la solution peut être mise à jour pour prendre en charge ce scénario avec un minimum d'efforts en utilisant le commandement PowerShell approprié.

L'architecture de cette solution peut être adaptée pour prendre en charge d'autres scénarios qui nécessitent la gestion déléguée de l'administrateur du système téléphonique d'équipes ou de toute autre fonctionnalité accessible via PowerShell Cmdlet ou même MS Graph API.

Voici l'application exécutée dans les équipes Microsoft

1. Les utilisateurs (administrateurs centraux et locaux) accèdent à l'application directement à partir des équipes de Microsoft - ils sont tous membres d'un groupe Office 365, les administrateurs centraux étant les propriétaires de l'équipe et les administrateurs locaux (aka délégués) sont membres. Seul Central Admin peut gérer les autorisations d'administration locales .
2. L'interface utilisateur est fournie par une application de puissance. Les applications Power ne sont qu'AccessBile aux membres du groupe O365 .
3. Les paramètres de l'application locaux sont stockés dans une liste SharePoint - cette liste n'est accessible qu'aux administrateurs centraux - pour chaque administrateur local, une liste des codes de pays pour les autorisations déléguées est définie (par exemple "US" / "FR" / "UK") - A L'administrateur local ne peut gérer que les utilisateurs qui ont «l'emplacement d'utilisation» dans Azure AD définis sur leurs codes de pays délégués et ne peuvent gérer que les numéros de téléphone avec un «Citycode» correspondant.
4. Les actions validées sur les applications de puissance déclenchent un flux d'automatise de puissance - le rôle du flux (un par API) est de sécuriser et d'enregistrer toutes les requêtes envoyées aux API du Centre d'administration des équipes.
5. Azure Keyvault est utilisé pour stocker en toute sécurité le secret et les informations d'identification requis par la solution. Avec cette conception, la gestion des secrets et des informations d'identification du «compte de service» et du «directeur de service» peut être délégué à un tiers qui n'est pas un administrateur de la solution de téléphonie d'équipe.
6. Power Automate appelle l'API de la fonction Azure fournissant les informations d'identification appropriées.
7. La fonction Azure obtient l'identification "Compte de service" qui a le rôle "Teams Communications Administrator" et exécuter les scripts PowerShell
8. Azure AD Conditional Access vérifie les autorisations et l'emplacement de la demande.

Pré-requis

• Azure AD Admin Rôle pour créer un nouvel utilisateur (un compte de service), attribuer des rôles et enregistrer une nouvelle application
• Azure AD Premium P1 Licence pour activer l'accès conditionnel Azure AD
• Abonnement Azure et compte avec le rôle des contributeurs (pour déployer des ressources)
• Licence d'application d'alimentation pour déployer l'application et l'alimentation des flux d'automate
• Les modules PowerShell suivants doivent être installés avant l'exécution du script PShell:
  • Microsoft Teams - https://docs.microsoft.com/en-us/microsoftteams/teams-powershell-install - Solution construite et testée avec v4.7.0
  • Azure AZ - https://docs.microsoft.com/en-us/powershell/azure/install-az-ps - Solution construite et testée avec v7.3.2

Remarque: Dans ce déploiement, nous supposons que le même utilisateur a les autorisations appropriées pour déployer les ressources sur Azure, Power Platform et Azure AD. Ce n'est cependant pas obligatoire et le déploiement peut être divisé sur ces différents rôles et responsabilités au sein de l'organisation.

Étape 1 - Créez un compte de service dans Azure AD

Rôle requis: Azure Ad Admin

• Accédez au portail publicitaire Azure pour gérer les utilisateurs
• Ajoutez un nouvel utilisateur (par exemple "Admin des équipes de compte de service") et enregistrez le mot de passe

Remarque: vous devrez réinitialiser ce mot de passe la première fois que vous utilisez ce compte - veuillez vous connecter à https://portal.azure.com avec les informations d'identification de l'utilisateur et fournir un nouveau mot de passe complexe - stocker ce mot de passe dans un emplacement sécurisé

• Passez sous «rôles attribués» et attribuez les rôles suivants:
  • Lecteurs d'annuaire - pour lire les profils d'utilisateur
  • Administration des communications des équipes - pour gérer le système de téléphonie des équipes
  • Skype pour l'administrateur d'entreprise - pour gérer les politiques de numérotation

Étape 2 - Déployez les ressources Azure

Rôles requis:

• Contributeur Azure
• Enregistrement des applications Azure AD Autorisé pour les membres du locataire (ou un rôle Azure AD spécifique attribué à l'enregistrement des applications)

Pour exécuter cette étape de déploiement, vous devez télécharger le contenu de ce référentiel sur votre environnement local et exécuter le script PowerShell sous . Deployment Deploy.PS1

• Téléchargez le contenu de ce référentiel
• Exécutez le script deploy.ps1 avec les paramètres suivants

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

Le déploiement peut prendre plusieurs minutes, y compris le temps d'échauffement des fonctions Azure - à la fin du déploiement, vérifiez les sorties qui seront nécessaires pour configurer le déploiement de l'application Power et l'accès conditionnel Azure AD

Un déploiement réussi devrait ressembler à cela (par défaut, le script s'exécute 3 fois)

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

Étape 3 - Déploiement de l'application Power et flux

Vous pouvez télécharger l'instruction pour déployer l'application Power dans ce lien.

Le fichier zip mentionné dans le document est disponible sur ce lien.

À la fin de cette étape, la solution doit fonctionner de bout en bout - les étapes suivantes sont recommandées mais facultatives et sont là pour ajouter plus de sécurité dans la solution à l'aide de l'authentification et des contrôles Azure AD.

Étape 4 - Activer l'accès conditionnel à Azure AD

Vous pouvez activer l'accès conditionnel Azure sur le compte de service utilisé par votre application Azure Fonction et restreindre les IP de confiance à celui utilisé par la fonction Azure. L'accès conditionnel Azure AD nécessite une licence P1 premium à attribuer - plus d'informations ici sur les exigences de licence.

• Accédez au portail Azure AD pour la gestion de l'accès conditionnel
• Sélectionnez "Emplacement nommé" et créez un nouvel emplacement de gamme IP
• Fournir un nom (par exemple "Azure Function App Teams Admin") et marquez l'emplacement comme un emplacement de confiance
• Entrez toutes les adresses IP fournies dans la sortie du déploiement à l'étape # 2 ( AZFunctionips ) - Ajoutez un "/ 32" à chaque adresse IP
• Cliquez sur Créer
• Accédez aux politiques, puis cliquez sur "Créer une nouvelle politique"
• Fournir un nom à votre politique
• Pour les affectations:
  • Utilisateurs ou identités de charge de travail> Inclure "Sélectionner des utilisateurs et des groupes"> Vérifier "utilisateur et groupes"> Recherchez votre compte de service> Sélectionner
  • Applications ou actions cloud> Inclure "toutes les applications cloud"
  • Conditions> Emplacements> Exclure "Emplacements sélectionnés"> "Azure Fonction App Teams Admin" (créé plus tôt)
• Pour les contrôles d'accès:
  • GRANTION> ACCÈS DE BLOC
• Permettre la politique
• Enregistrer pour confirmer et appliquer les modifications

Remarque: veuillez revenir à votre application Power et vérifier que l'application répond toujours - vous pouvez également essayer d'utiliser les informations d'identification principales de service à partir de votre bureau local et de votre vérité que vous ne pouvez plus vous connecter.

Étape 5 - Partagez l'application

Vous avez maintenant l'application déployée dans les équipes et vous devez donner accès aux "administrateurs délégués" dans votre organisation. Pour y parvenir, nous utiliserons le groupe Office 365 de l'équipe où les applications Power ont été déployées.

1. Tous les «administrateurs délégués» doivent être invités dans l'équipe à accéder à l'application Power

2. Copiez le nom de l'équipe où l'application est installée - c'est le nom de votre groupe O365

3. Vous devez permettre à votre groupe O365 d'être utilisé comme groupe de sécurité - pour cela, accédez à la lame de gestion des groupes Azure AD pour obtenir votre ID de groupe O365 et utiliser la commande PowerShell suivante pour permettre la sécurité de ce groupe.

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. Accédez au portail Azure puis à l'Azure Keyvault déployé dans cette solution

   • Sélectionnez "Politiques d'accès> Ajouter une stratégie d'accès
   • Sous "Autorisations secrètes" Sélectionnez "Get" et "List"
   • Cliquez sur "Sélectionner le directeur" et entrez le nom de votre groupe O365 et appuyez sur "Sélectionner"
   • Cliquez sur "Ajouter" pour valider cette politique
   • Cliquez sur "Enregistrer" pour commettre la nouvelle configuration

5. Accédez au portail Power Apps, puis sélectionnez vos applications Power

   • Sélectionnez le menu d'option puis "partager" - Plus d'informations ici
   • Recherchez le groupe d'équipe O365 qui est activé par la sécurité
   • Cliquez sur "Partager" pour confirmer la nouvelle autorisation

6. Les premiers vos utilisateurs accéderont à l'application Power dans les équipes, ils devront consentir à utiliser les 3 connecteurs (SharePoint, Office365 et Azure KeyVault) - pour Azure Keyvault, ils doivent fournir le nom de KeyVault que vous obtenez du déploiement de la Ressources Azure (par exemple AZ-Vault-6CDG)

Cette solution est construite sur la plate-forme Microsoft Power (SAAS) et Microsoft Azure à l'aide des services PaaS - le bénéfice de ces services est que Microsoft est en charge de la couche d'infrastructure et cette solution comprend un certain niveau de journaux pour suivre les modifications et faciliter le dépannage en tant que tel Bien. Cependant, vous êtes toujours responsable de la gestion de cette demande avec les recommandations suivantes:

• Implémentez Azure Monitor et Application Insights pour surveiller les services et l'application Azure.
• Abonnez-vous au service met à jour une information pour Office 365, Power Platform et Azure via les canaux officiels, notamment Microsoft 365 Message Center et Azure Service Health
• Abonnez-vous aux mises à jour des modules Microsoft Teams dans la galerie PowerShell

Il s'agit d'une estimation des coûts basée sur le prix public de mars 2022. Ils n'incluent pas les coûts pour les équipes Office 365 et Microsoft.

Tous les prix sont fournis uniquement pour les informations.

• Prix ​​des applications de puissance
• Calculatrice de tarification Azure
• Prix ​​de l'annonce azure

Ce projet accueille les contributions et les suggestions. La plupart des contributions vous obligent à accepter un accord de licence de contributeur (CLA) déclarant que vous avez le droit de faire et en fait, accordez-nous les droits d'utilisation de votre contribution. Pour plus de détails, visitez https://cla.opensource.microsoft.com.

Lorsque vous soumettez une demande de traction, un bot CLA déterminera automatiquement si vous devez fournir un CLA et décorer le RP de manière appropriée (par exemple, vérification d'état, commentaire). Suivez simplement les instructions fournies par le bot. Vous n'aurez besoin de le faire qu'une seule fois sur tous les dépositions en utilisant notre CLA.

Ce projet a adopté le code de conduite open source Microsoft. Pour plus d'informations, consultez le code de conduite FAQ ou contactez [email protected] avec toute question ou commentaire supplémentaire.

Ce projet peut contenir des marques ou des logos pour des projets, des produits ou des services. L'utilisation autorisée de marques ou de logos Microsoft est soumise et doit suivre les directives de marque et de marque de Microsoft. L'utilisation de marques ou de logos de Microsoft dans des versions modifiées de ce projet ne doit pas provoquer de confusion ou impliquer le parrainage de Microsoft. Toute utilisation de marques ou de logos tiers est soumis aux politiques de ces tiers.

• Provisionnement des utilisateurs
• Noms de produits et identifiants de plan de service pour les licences
• Voir tous les numéros de téléphone de votre organisation
• Affecter, modifier ou supprimer un numéro de téléphone pour un utilisateur
• Politiques de restriction des appels sortants pour la conférence audio et les appels PSTN utilisateur

• Galerie PowerShell | Microsoftteams

• Azure Functions Guide du développeur PowerShell