Teams Phone System admin app

Aplikasi Admin Delegasi untuk Paket Paket (PSTN) Manajemen Nomor Telepon

Tim Microsoft menyediakan portal administrasi untuk mengelola berbagai layanan telepon untuk organisasi. Untuk mengakses portal ini, Anda perlu menetapkan salah satu peran administrator yang ditentukan di sini. Untuk mengelola sistem telepon dan menetapkan nomor telepon atau kebijakan suara kepada pengguna, peran minimum yang diperlukan adalah "Administrator Komunikasi Tim" - peran ini kemudian diterapkan pada ruang lingkup Azure Ad Tenant, yang berarti semua pengguna di organisasi Anda.

Sementara model ini bekerja dengan baik, operasi dikelola secara terpusat, menjadi lebih menantang ketika suatu organisasi perlu mendelegasikan operasi ini di tingkat lokal (misalnya per negara) - Aplikasi ini memberikan jawaban kami sebagai manajemen yang didelegasikan dari sistem telepon berdasarkan lokasi dari lokasi Pengguna dan izin ditetapkan untuk admin yang didelegasikan.

Sampai hari ini, aplikasi ini mendukung skenario berikut:

• Tetapkan / Buka Nomor PTSN ke Pengguna
• Assing / Perbarui Lokasi Darurat
• Tetapkan / Buka Kebijakan Suara untuk Pengguna
• Tetapkan / Unirsign Panggilan Kebijakan ke Pengguna

Catatan: Solusi hanya mendukung konfigurasi Paket Panggilan (alias PSTN) - Routing langsung adalah ruang lingkup kami tetapi solusinya dapat diperbarui untuk mendukung skenario ini dengan upaya minimum menggunakan CMDlet PowerShell yang sesuai.

Arsitektur solusi ini dapat disesuaikan untuk mendukung skenario lain yang memerlukan manajemen admin yang didelegasikan dari sistem telepon tim atau fitur lain yang dapat diakses melalui PowerShell Cmdlet atau bahkan MS Graph API.

Berikut adalah aplikasi yang berjalan di tim Microsoft

1. Pengguna (admin pusat dan lokal) mengakses aplikasi langsung dari tim Microsoft - mereka semua adalah anggota kelompok Office 365 dengan admin pusat menjadi pemilik tim dan admin lokal (alias yang didelegasikan) adalah anggota. Hanya admin pusat yang dapat mengelola izin admin lokal .
2. Peringan pengguna disediakan oleh aplikasi daya. Aplikasi Power hanya diakses untuk anggota grup O365 .
3. Pengaturan aplikasi lokal disimpan dalam daftar SharePoint - daftar ini hanya dapat diakses oleh admin pusat - untuk setiap admin lokal, daftar kode negara untuk izin yang didelegasikan ditetapkan (misalnya "AS" / "fr" / "uk") - a Admin lokal hanya dapat mengelola pengguna yang memiliki "lokasi penggunaan" di Azure AD yang diatur ke kode negara yang didelegasikan dan hanya dapat mengelola nomor telepon dengan "kode kota" yang cocok.
4. Tindakan divalidasi pada aplikasi daya memicu aliran otomatisasi daya - peran aliran (satu per API) adalah untuk mengamankan dan mencatat semua pertanyaan yang dikirim ke API Pusat Admin Tim.
5. Azure Keyvault digunakan untuk menyimpan rahasia dan kredensial yang diperlukan oleh solusi. Dengan desain ini, Manajemen Rahasia & Kredensial dari "Akun Layanan" dan "Kepala Sekolah Layanan" dapat didelegasikan kepada pihak ketiga yang bukan admin dari solusi telepon tim.
6. Power Automate memanggil AZURE Function API yang memberikan kredensial yang sesuai.
7. Fungsi Azure mendapatkan kredensial "Akun Layanan" yang memiliki peran "Administrator Komunikasi Tim" dan menjalankan skrip PowerShell
8. Azure AD Conditional Access memeriksa izin dan lokasi permintaan.

Prasyarat

• Peran admin iklan Azure untuk membuat pengguna baru (akun layanan), menetapkan peran dan mendaftarkan aplikasi baru
• Lisensi Azure Ad Premium P1 untuk mengaktifkan akses bersyarat iklan Azure
• Langganan Azure dan Akun dengan Peran Kontributor (untuk Menyebarkan Sumber Daya)
• Lisensi Aplikasi Daya Untuk Menyebarkan Aplikasi dan Aliran Otomatisasi Daya
• Modul PowerShell berikut perlu diinstal sebelum pelaksanaan skrip pshell:
  • Tim Microsoft-https://docs.microsoft.com/en-us/microsoftteams/teams-powershell-install-solusi dibangun dan diuji dengan v4.7.0
  • Azure AZ-https://docs.microsoft.com/en-us/powershell/azure/install-az-ps-Solusi dibangun dan diuji dengan v7.3.2

Catatan: Dalam penyebaran ini, kami berasumsi bahwa pengguna yang sama memiliki izin yang sesuai untuk menggunakan sumber daya pada Azure, Power Platform, dan Azure AD. Namun ini tidak wajib dan penyebaran dapat dibagi di berbagai peran dan tanggung jawab dalam organisasi.

Langkah 1 - Buat Akun Layanan di Azure Ad Iklan

Peran yang Diperlukan: Admin AD Azure

• Pergi ke portal iklan Azure untuk mengelola pengguna
• Tambahkan pengguna baru (misalnya "Admin Tim Akun Layanan" dan Simpan Kata Sandi

Catatan: Anda harus mengatur ulang kata sandi ini saat pertama kali menggunakan akun ini - silakan terhubung ke https://portal.azure.com dengan kredensial pengguna dan berikan kata sandi kompleks baru - simpan kata sandi ini di lokasi yang dijamin

• Pergi di bawah "peran yang ditugaskan" dan tetapkan peran berikut:
  • Pembaca Direktori - Membaca Profil Pengguna
  • Administrasi Komunikasi Tim - Untuk Mengelola Sistem Telepon Tim
  • Skype for Business Administrator - Untuk mengelola kebijakan dialout

Langkah 2 - Menyebarkan Sumber Daya Azure

Peran yang dibutuhkan:

• Kontributor Azure
• Pendaftaran aplikasi iklan Azure diotori untuk anggota penyewa (atau peran iklan Azure spesifik yang ditugaskan untuk pendaftaran aplikasi)

Untuk menjalankan langkah penempatan ini, Anda perlu mengunduh konten repositori ini di lingkungan lokal Anda dan menjalankan skrip PowerShell di bawah . Deployment deploy.ps1

• Unduh konten repositori ini
• Jalankan skrip deploy.ps1 dengan parameter berikut

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

Penyebaran dapat memakan waktu beberapa menit, termasuk waktu pemanasan fungsi Azure - di akhir penyebaran, periksa output yang akan diperlukan untuk mengonfigurasi penyebaran aplikasi daya dan akses kondisional iklan Azure AD

Penempatan yang berhasil akan terlihat seperti itu (secara default, skrip berjalan 3 kali)

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

Langkah 3 - Menyebarkan aplikasi dan aliran daya

Anda dapat mengunduh instruksi untuk menggunakan aplikasi Power di tautan ini.

File zip yang disebutkan dalam dokumen tersedia di tautan ini.

Pada akhir langkah ini, solusinya harus berfungsi ujung ke ujung-langkah-langkah berikutnya direkomendasikan tetapi opsional dan ada di sini untuk menambahkan lebih banyak keamanan ke dalam solusi menggunakan otentikasi & kontrol Azure Ad.

Langkah 4 - Aktifkan Azure Ad Conditional Access

Anda dapat mengaktifkan akses bersyarat Azure pada akun layanan yang digunakan oleh aplikasi fungsi Azure Anda dan membatasi IP tepercaya untuk yang digunakan oleh fungsi Azure. Akses bersyarat Azure AD membutuhkan lisensi P1 premium untuk ditugaskan - info lebih lanjut di sini pada persyaratan lisensi.

• Pergi ke Azure Ad Portal untuk manajemen akses bersyarat
• Pilih "Lokasi Bernama" dan Buat Lokasi Rentang IP Baru
• Berikan nama (misalnya "Azure Function App Teams Admin") dan tandai lokasi sebagai lokasi tepercaya
• Masukkan semua alamat IP yang disediakan dalam output penyebaran di Langkah #2 ( AZFunctips ) - Tambahkan "/32" untuk setiap alamat IP
• Klik Buat
• Pergi ke kebijakan dan kemudian klik "Buat Kebijakan Baru"
• Berikan nama untuk polis Anda
• Untuk tugas:
  • Pengguna atau Identitas Beban Kerja> Sertakan "Pilih Pengguna dan Grup"> Periksa "Pengguna dan Grup"> Cari Akun Layanan Anda> Pilih
  • Aplikasi atau Tindakan Cloud> Sertakan "Semua Aplikasi Cloud"
  • Kondisi> Lokasi> Kecualikan "Lokasi Terpilih"> "Azure Function App Teams Admin" (dibuat sebelumnya)
• Untuk kontrol akses:
  • Grant> Block Access
• Aktifkan kebijakan
• Simpan untuk mengonfirmasi dan menerapkan perubahan

Catatan: Silakan kembali ke aplikasi Power Anda dan periksa apakah aplikasi masih merespons - Anda juga dapat mencoba menggunakan kredensial utama layanan dari desktop lokal dan kejujuran Anda tidak dapat masuk lagi.

Langkah 5 - Bagikan Aplikasi

Anda sekarang memiliki aplikasi yang digunakan dalam tim dan Anda perlu memberikan akses ke "admin yang didelegasikan" di organisasi Anda. Untuk mencapainya, kami akan menggunakan grup Office 365 dari tim tempat aplikasi listrik telah digunakan.

1. Semua "Admin Delegasi" perlu diundang dalam tim untuk mengakses aplikasi Power

2. Salin nama tim tempat aplikasi diinstal - ini adalah nama grup O365 Anda

3. Anda perlu mengaktifkan grup O365 Anda untuk digunakan sebagai grup keamanan - untuk itu, buka blade manajemen grup iklan Azure untuk mendapatkan ID grup O365 Anda dan menggunakan perintah PowerShell berikut untuk memungkinkan keamanan pada grup ini.

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. Pergi ke portal Azure dan kemudian ke keyvault Azure yang digunakan dalam solusi ini

   • Pilih "Kebijakan Akses> Tambahkan Kebijakan Akses
   • Di bawah "Izin Rahasia" Pilih "Dapatkan" dan "Daftar"
   • Klik pada "Pilih Principal" dan masukkan nama grup O365 Anda dan tekan "Pilih"
   • Klik "Tambahkan" untuk memvalidasi kebijakan ini
   • Klik "Simpan" untuk melakukan konfigurasi baru

5. Buka Portal Aplikasi Daya dan kemudian pilih Aplikasi Daya Anda

   • Pilih menu opsi dan kemudian "Bagikan" - info lebih lanjut di sini
   • Cari grup tim O365 yang diaktifkan keamanan
   • Klik "Bagikan" untuk mengonfirmasi izin baru

6. Yang pertama pengguna Anda akan mengakses aplikasi daya dalam tim, mereka perlu menyetujui untuk menggunakan 3 konektor (SharePoint, Office365 dan Azure Keyvault) - untuk Azure KeyVault, mereka perlu memberikan nama KeyVault yang Anda dapatkan dari penyebaran dari tersebut Azure Resources (misalnya AZ-Vault-6CDGS)

Solusi ini dibangun di atas platform Microsoft Power (SaaS) dan Microsoft Azure menggunakan Layanan PaaS - manfaat dari layanan ini adalah bahwa Microsoft bertanggung jawab atas lapisan infrastruktur dan solusi ini mencakup beberapa tingkat log untuk melacak perubahan dan memfasilitasi pemecahan masalah sebagai sebagai pemecahan masalah sebagai sebagai pemecahan masalah sebagai sebagai pemecahan masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah tersebut sebagai masalah masalah sebagai masalah sebagai masalah sebagai masalah sebagai masalah Sehat. Namun, Anda masih bertanggung jawab atas pengelolaan aplikasi ini dengan rekomendasi berikut:

• Menerapkan wawasan monitor dan aplikasi Azure untuk memantau layanan dan aplikasi Azure.
• Berlangganan Layanan Memperbarui Informasi untuk Office 365, Power Platform dan Azure melalui saluran resmi termasuk Microsoft 365 Message Center dan Azure Service Health
• Berlangganan Pembaruan Modul Tim Microsoft di Galeri PowerShell

Ini adalah perkiraan biaya yang didasarkan pada daftar nama publik Maret 2022. Mereka tidak memasukkan biaya untuk tim Office 365 & Microsoft.

Semua harga disediakan untuk informasi saja.

• Harga Aplikasi Daya
• Kalkulator Harga Azure
• Harga iklan Azure

Proyek ini menyambut kontribusi dan saran. Sebagian besar kontribusi mengharuskan Anda untuk menyetujui perjanjian lisensi kontributor (CLA) yang menyatakan bahwa Anda memiliki hak untuk, dan benar -benar melakukannya, beri kami hak untuk menggunakan kontribusi Anda. Untuk detailnya, kunjungi https://cla.opensource.microsoft.com.

Saat Anda mengirimkan permintaan tarik, bot CLA akan secara otomatis menentukan apakah Anda perlu memberikan CLA dan menghiasi PR secara tepat (misalnya, pemeriksaan status, komentar). Cukup ikuti instruksi yang disediakan oleh bot. Anda hanya perlu melakukan ini sekali di semua repo menggunakan CLA kami.

Proyek ini telah mengadopsi kode perilaku open source Microsoft. Untuk informasi lebih lanjut, lihat FAQ Kode Perilaku atau hubungi [email protected] dengan pertanyaan atau komentar tambahan.

Proyek ini dapat berisi merek dagang atau logo untuk proyek, produk, atau layanan. Penggunaan resmi merek dagang atau logo Microsoft tunduk dan harus mengikuti pedoman merek dagang & merek Microsoft. Penggunaan merek dagang atau logo Microsoft dalam versi yang dimodifikasi dari proyek ini tidak boleh menyebabkan kebingungan atau menyiratkan sponsor Microsoft. Setiap penggunaan merek dagang atau logo pihak ketiga tunduk pada kebijakan pihak ketiga tersebut.

• Penyediaan pengguna akhir untuk berbagai opsi konektivitas PSTN
• Nama Produk dan Pengidentifikasi Rencana Layanan untuk Lisensi
• Lihat semua nomor telepon di organisasi Anda
• Tetapkan, ubah, atau hapus nomor telepon untuk pengguna
• Kebijakan pembatasan panggilan keluar untuk konferensi audio dan panggilan PSTN pengguna

• Galeri PowerShell | Microsoftteams

• Azure Functions PowerShell Developer Guide