Teams Phone System admin app

通話計画（PSTN）の電話番号管理のための委任された管理者アプリケーション

Microsoftチームは、組織のさまざまなテレフォニーサービスを管理するための管理ポータルを提供します。このポータルにアクセスするには、ここに定義されている管理者の役割の1つを割り当てる必要があります。テレフォニーシステムを管理し、電話番号または音声ポリシーをユーザーに割り当てるために、必要な役割が最小限の「チーム通信管理者」です。この役割は、Azure Ad Tenantの範囲で適用されます。これは、組織内のすべてのユーザーを意味します。

このモデルはうまく機能しますが、操作は中央で管理されていますが、組織がこれらの操作をローカルレベル（国ごと）で委任する必要がある場合、より困難になります。委任された管理者に設定されたユーザーと許可。

今日の時点で、このアプリケーションは次のシナリオをサポートしています。

• PTSN番号をユーザーに割り当て /割り当てます
• 緊急の場所を添付 /更新します
• 音声ポリシーをユーザーに割り当て /割り当てます
• ユーザーに呼び出しポリシーを割り当て /割り当てます

注：ソリューションは呼び出し計画（別名PSTN）構成のみをサポートします - 直接ルーティングは範囲ですが、適切なPowerShell CMDLETを使用して最小限の取り組みでこのシナリオをサポートするためにソリューションを更新できます。

このソリューションのアーキテクチャは、PowerShell CMDletまたはMS Graph APIを介してアクセス可能なチームの電話システムまたはその他の機能の委任された管理管理を必要とする他のシナリオをサポートするために適合させることができます。

これがMicrosoftチームで実行されているアプリケーションです

1. ユーザー（中央および地元の管理者）は、Microsoftチームからアプリケーションに直接アクセスします。これらはすべて、オフィス365グループのメンバーであり、中央管理者がチームの所有者であり、地元の管理者がメンバーです。中央の管理者のみがローカル管理権を管理できます。
2. ユーザーインターフェイスは、パワーアプリによって提供されます。パワーアプリは、O365グループのメンバーにのみアクセスしています。
3. ローカルアプリの設定はSharePointリストに保存されます - このリストは中央管理者がのみアクセスできます - ローカル管理者ごとに、委任された権限の国コードのリストが設定されます（「US」 / "FR" / "UK"） - ローカル管理者は、委任されたカントリーコードに設定されたAzure ADの「使用場所」を持つユーザーのみを管理でき、一致する「CityCode」で電話番号のみを管理できます。
4. パワーアプリで検証されたアクションは、パワーオートメイトフローをトリガーします - フローの役割（APIごとに1つ）は、チーム管理センターAPIに送信されるすべてのクエリを保護およびログすることです。
5. Azure KeyVaultは、ソリューションに必要な秘密と資格情報を安全に保存するために使用されます。この設計により、「サービスアカウント」と「サービスプリンシパル」の秘密と資格管理は、チームテレフォニーソリューションの管理者ではない第三者に委任できます。
6. Power Automateは、適切な資格情報を提供するAzure関数APIを呼び出します。
7. azure関数「チーム通信管理者」の役割を持つ「サービスアカウント」資格情報を取得し、PowerShellスクリプトを実行する
8. Azure AD条件付きアクセスは、リクエストの権限と場所をチェックします。

前提条件

• Azure AD Adminの役割新しいユーザー（サービスアカウント）を作成し、役割を割り当て、新しいアプリケーションを登録する
• Azure Ad Azure AD条件付きアクセスを有効にするAzure AD Premium P1ライセンス
• 貢献者の役割を持つAzureサブスクリプションとアカウント（リソースを展開するため）
• アプリケーションを展開するためのパワーアプリライセンスとパワーオートメートフロー
• PSHELLスクリプトの実行前に、次のPowerShellモジュールをインストールする必要があります。
  • Microsoft Teams-https：//docs.microsoft.com/en-us/microsoftteams/teams-powershell-install- v4.7.0で構築およびテストされたソリューション
  • Azure AZ-https：//docs.microsoft.com/en-us/powershell/azure/install-az-ps- v7.3.2で構築およびテストされたソリューション

注：この展開では、同じユーザーがAzure、Power Platform、Azure ADにリソースを展開するための適切な権限を持っていると想定しています。ただし、これは必須ではなく、組織内のこれらのさまざまな役割と応答性に展開を分割することができます。

ステップ1- Azure ADでサービスアカウントを作成する

必要な役割：Azure AD管理者

• Azure Adポータルに移動して、ユーザーを管理します
• 新しいユーザー（「サービスアカウントチーム管理者」など）を追加し、パスワードを保存します

注：このパスワードを初めて使用するときにこのパスワードをリセットする必要があります - https：//portal.azure.comにユーザー資格情報と接続し、新しい複雑なパスワードを提供してください -このパスワードを安全な場所に保存してください

• 「割り当てられた役割」の下に移動し、次の役割を割り当てます。
  • ディレクトリリーダー - ユーザープロファイルを読み取ります
  • チームコミュニケーション管理 - チームテレフォニーシステムを管理する
  • ビジネス管理者向けSkype-ダイヤルアウトポリシーを管理する

ステップ2- Azureリソースを展開します

必要な役割：

• Azureの寄稿者
• Azure ADアプリ登録テナントのメンバー向けに自動化された（またはアプリ登録に割り当てられた特定のAzure ADロール）

この展開ステップを実行するには、ローカル環境でこのリポジトリのコンテンツをダウンロードし、PowerShellスクリプトを。 deployment deploy.ps1で実行する必要があります。

• このリポジトリのコンテンツをダウンロードします
• 次のパラメーターでスクリプトdeploy.ps1を実行します

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

展開は、Azure関数のウォームアップ時間を含む数分かかる場合があります - 展開の終了時に、Powerアプリの展開とAzure AD AD条件付きアクセスの構成に必要な出力を確認します。

展開の成功はそのように見えるはずです（デフォルトでは、スクリプトは3回実行されます）

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

ステップ3-パワーアプリとフローを展開します

このリンクにPowerアプリを展開する命令をダウンロードできます。

ドキュメントで言及されているzipファイルは、このリンクで利用できます。

このステップの最後に、ソリューションはエンドツーエンドで動作するはずです - 次のステップは推奨されますが、オプションであり、Azure Ad Authentication＆Controlsを使用してソリューションにセキュリティを追加するためにここにあります。

ステップ4- Azure AD条件付きアクセスをアクティブにします

Azure Functionアプリで使用されているサービスアカウントでAzure条件アクセスを有効にし、Azure Functionで使用されているIPに信頼できるIPを制限できます。 Azure AD条件付きアクセスには、プレミアムP1ライセンスを割り当てる必要があります。詳細については、ライセンス要件について詳しく説明してください。

• 条件付きアクセス管理のためにAzure ADポータルに移動します
• 「名前付き場所」を選択し、新しいIP範囲の場所を作成します
• 名前（「Azure Function App Teams admin」など）を提供し、場所を信頼できる場所としてマークします
• ステップ＃2（ azfunctionips ）の展開の出力に提供されているすべてのIPアドレスを入力 - 各IPアドレスに「/32」を追加します
• [作成]をクリックします
• ポリシーに移動してから、「新しいポリシーの作成」をクリックします
• ポリシーに名前を提供します
• 割り当てのために：
  • ユーザーまたはワークロードのアイデンティティ>「ユーザーとグループの選択」>「ユーザーとグループ」をチェック>サービスアカウントの検索>選択
  • クラウドアプリまたはアクション>「すべてのクラウドアプリ」を含める
  • 条件>場所>「選択した場所」を除外>「Azure Function Appチーム管理者」（以前に作成）
• アクセスコントロールの場合：
  • Grant>ブロックアクセス
• ポリシーを有効にします
• 保存して変更を確認して適用します

注：Powerアプリに戻って、アプリケーションが引き続き応答していることを確認してください。また、ローカルのデスクトップとログインできないVerityからサービスプリンシパルクレデンシャルを使用することもできます。

ステップ5-アプリケーションを共有します

これで、アプリケーションがチームに展開され、組織内の「委任された管理者」へのアクセスを提供する必要があります。それを達成するために、パワーアプリが展開されているチームのOffice 365グループを使用します。

1. すべての「委任された管理者」は、パワーアプリにアクセスするためにチームに招待する必要があります

2. アプリがインストールされているチームの名前をコピーします - これはO365グループの名前です

3. O365グループをセキュリティグループとして使用できるようにする必要があります。そのために、Azure AD Group Management BladeにアクセスしてO365グループIDを取得し、次のPowerShellコマンドを使用してこのグループのセキュリティを有効にします。

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. Azureポータルに移動し、このソリューションに展開されているAzure KeyVaultに移動します

   • [アクセスポリシー]>アクセスポリシーの追加を選択します
   • 「secret permissions」の下で「get」と「list」を選択します
   • [[プリンシパル]を選択]をクリックして、O365グループの名前を入力し、[選択]を押します。
   • [追加]をクリックして、このポリシーを検証します
   • [保存]をクリックして、新しい構成をコミットします

5. Power Appsポータルに移動してから、Powerアプリを選択します

   • オプションメニューを選択してから「共有」 - 詳細はこちら
   • セキュリティが有効になっているO365チームグループを検索する
   • 「共有」をクリックして、新しい許可を確認します

6. ユーザーがチームのPowerアプリにアクセスすると、3つのコネクタ（SharePoint、Office365、Azure KeyVault）の使用に同意する必要があります。AzureKeyVaultの場合、キーヴォルト名を提供する必要があります。 Azure Resources（例：AZ-Vault-6CDGS）

このソリューションは、Microsoft Power Platform（SAAS）とPAASサービスを使用してMicrosoft Azureに基づいて構築されています。これらのサービスの利点は、Microsoftがインフラストラクチャレイヤーを担当していることです。良い。ただし、次の推奨事項を使用して、このアプリケーションの管理についてはまだ責任があります。

• Azure Monitorとアプリケーションの洞察を実装して、Azureサービスとアプリケーションを監視します。
• サービスの更新に加入するMicrosoft 365メッセージセンターやAzure Service Healthを含む公式チャンネルを介して、Office 365、Power Platform、Azureの情報
• PowerShellギャラリーでMicrosoft Teamsモジュールの更新を購読する

これは、2022年3月の公開価格設定者に基づくコストの見積もりです。オフィス365とマイクロソフトチームのコストは含まれていません。

すべての価格は情報のみで提供されます。

• パワーアプリの価格設定
• Azure価格計算機
• Azure ADの価格設定

このプロジェクトは、貢献と提案を歓迎します。ほとんどの貢献では、貢献者ライセンス契約（CLA）に同意する必要があります。詳細については、https：//cla.opensource.microsoft.comをご覧ください。

プルリクエストを送信すると、CLAボットはCLAを提供し、PRを適切に飾る必要があるかどうかを自動的に決定します（たとえば、ステータスチェック、コメント）。ボットが提供する指示に従うだけです。 CLAを使用して、すべてのレポでこれを1回だけ行う必要があります。

このプロジェクトは、Microsoftのオープンソース行動規範を採用しています。詳細については、FAQのコードを参照するか、追加の質問やコメントについては[email protected]にお問い合わせください。

このプロジェクトには、プロジェクト、製品、またはサービスの商標またはロゴが含まれる場合があります。 Microsoftの商標またはロゴの承認された使用は、Microsoftの商標およびブランドガイドラインに従うものであり、従わなければなりません。このプロジェクトの変更されたバージョンでのMicrosoft商標またはロゴの使用は、混乱を引き起こしたり、Microsoftのスポンサーシップを暗示したりしてはなりません。サードパーティの商標またはロゴの使用は、これらのサードパーティのポリシーの対象となります。

• さまざまなPSTN接続オプションのユーザープロビジョニングエンドステート
• ライセンスの製品名とサービスプラン識別子
• 組織内のすべての電話番号をご覧ください
• ユーザーの電話番号を割り当てたり、変更したり、削除したりします
• オーディオ会議およびユーザーPSTNコールのためのアウトバウンド呼び出し制限ポリシー

• PowerShell Gallery | MicrosoftTeams

• AzureはPowerShell開発者ガイドを機能させます