Teams Phone System admin app

Управление номерами телефонов (PSTN) Управление делегированным администратором для планов вызовов (PSTN)

Microsoft Teams предоставляет административный портал для управления различными услугами телефонии для организации. Чтобы получить доступ к этому порталу, вам необходимо назначить одну из ролей администратора, определенной здесь. Чтобы управлять системой телефонии и назначить пользователям телефонные номера или голосовые политики, минимальная необходимая роль - «Администратор связи команды» - эта роль затем применяется в сфере Azure Ad Adant, что означает всех пользователей в вашей организации.

Несмотря на то, что эта модель работает хорошо, операции хорошо управляются централизованно, становится все более сложной, когда организации необходимо делегировать эти операции на местных уровнях (например, на страну) - это приложение дает ответ, мы делегированное управление системой телефонии на основе местоположения Пользователи и разрешения, установленные для делегированных администраторов.

На сегодняшний день это приложение поддерживает следующие сценарии:

• Назначить / Unassign PTSN номера пользователю
• Отверстие / Обновление местного местоположения
• Назначать / Unassign Voice политики пользователю
• Назначить / Unassign Callicies пользователю

ПРИМЕЧАНИЕ. Решение поддерживает только конфигурацию планов вызовов (AKA PSTN) - прямая маршрутизация - это наша область, но решение может быть обновлено для поддержки этого сценария с минимальными усилиями с использованием соответствующего командлета PowerShell.

Архитектура этого решения может быть адаптирована для поддержки других сценариев, которые требуют делегированного управления администратором телефонной системы команды или любой другой функции, доступной через Cmdlet PowerShell или даже MS Graph API.

Вот приложение, работающее в командах Microsoft

1. Пользователи (центральные и локальные администраторы) получают доступ к приложению непосредственно из команд Microsoft - все они являются членами группы Office 365, а центральные администраторы являются владельцами команды, а местные (он же делегированные) администраторы являются участниками. Только центральный администратор может управлять разрешениями локального администратора .
2. Пользовательский интерфейс предоставляется приложениями Power. Power Apps является только доступом к членам группы O365 .
3. Настройки локального приложения хранятся в списке SharePoint - этот список доступен только для центральных администраторов - для каждого локального администратора устанавливается список страновых кодов для делегированных разрешений (например, «US» / «FR» / «UK») - A Локальный администратор может управлять только пользователями, которые имеют «местоположение использования» в Azure Ad, установленном в их делегированных кодах страны, и может управлять только телефонными номерами с подходящим «CityCode».
4. Действия, подтвержденные на приложениях Power, запускают поток автоматизации питания - роль потока (по одному на API) заключается в защите и регистрации всех запросов, отправленных в API Adment Adment Api команды.
5. Azure KeyVault используется для надежного хранилища секретных и учетных данных, требуемых решением. С помощью этого дизайна, секреты и управление учетными данными «Учетная запись обслуживания» и «Принципал обслуживания» могут быть делегированы третьей стороне, которая не является администратором командного решения для телефона.
6. Power Automate вызывает API функции Azure, предоставляя соответствующие учетные данные.
7. Функция Azure Получите учетные данные «Сервисная учетная запись», в которой играет роль «Администратор коммуникаций команды», и выполнять сценарии PowerShell
8. Azure Ad Условный доступ проверяет разрешения и местоположение запроса.

Предварительные условия

• Роль Azure Ad Admin для создания нового пользователя (учетная запись службы), назначить роли и зарегистрировать новое приложение
• Azure Ad Premium P1 Лицензия на обеспечение условного доступа Azure AD
• Подписка Azure и учетная запись с роли вкладчика (для развертывания ресурсов)
• Лицензия приложений Power для развертывания приложений и автоматических потоков питания
• Следующие модули PowerShell должны быть установлены до выполнения сценария Pshell:
  • Microsoft Teams-https://docs.microsoft.com/en-us/microsoftteams/teams-powershell-install-Решение построено и протестировано с помощью v4.7.0
  • Azure AZ-https://docs.microsoft.com/en-us/powershell/azure/install-az-ps-решение, построенное и протестированное с V7.3.2

Примечание. В этом развертывании мы предполагаем, что у одного и того же пользователя есть соответствующие разрешения для развертывания ресурсов на Azure, Power Platform и Azure AD. Однако это не обязательно, и развертывание может быть разделено на эти различные роли и ответственности в организации.

Шаг 1 - Создайте сервисную учетную запись в Azure Ad

Требуемая роль: Azure Ad Admin

• Перейдите на Azure Ad Portal, чтобы управлять пользователями
• Добавить нового пользователя (например, «Администратор администратора учетной записи службы») и сохранить пароль

ПРИМЕЧАНИЕ. Вам нужно сбросить этот пароль в первый раз, когда вы используете эту учетную запись - пожалуйста, подключитесь к https://portal.azure.com с учетными данными пользователя и предоставьте новый сложный пароль - храните этот пароль в защищенном месте

• Перейти к «назначенным ролям» и назначьте следующие роли:
  • Читатели каталогов - для чтения профилей пользователей
  • Администрация коммуникаций команд - управлять системой телефонии команды
  • Skype для делового администратора - для управления политикой на дистанции

Шаг 2 - развернуть ресурсы Azure

Требуются роли:

• Azure Apporater
• Azure Ad Registration Авторизованная для членов арендатора (или конкретная роль Azure AD, назначенная для регистрации приложений)

Чтобы выполнить этот этап развертывания, вам необходимо загрузить контент этого хранилища в вашей локальной среде и запустить скрипт PowerShell под . Deployment Deploy.ps1

• Загрузите содержание этого репозитория
• Выполнить сценарий deploy.ps1 со следующими параметрами

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

Развертывание может занять несколько минут, включая время разминки функций Azure - в конце развертывания проверьте выходы, которые потребуются для настройки развертывания приложения Power и Azure Ad Condateral Access

Успешное развертывание должно выглядеть так (по умолчанию сценарий работает 3 раза)

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

Шаг 3 - развернуть приложение Power и потоки

Вы можете скачать инструкцию для развертывания приложения Power в этой ссылке.

ZIP -файл, упомянутый в документе, доступен по этой ссылке.

В конце этого шага решение должно работать в скворе-рекомендуются следующие шаги, но необязательны и здесь, чтобы добавить больше безопасности в решение с использованием аутентификации и элементов Azure AD.

Шаг 4 - активируйте условное доступ Azure AD

Вы можете включить условную доступ Azure в учетной записи службы, используемой вашим приложением Function Function, и ограничить надежные IP -адреса, используемая функцией Azure. Azure Ad Condental Access требует назначения лицензии P1 Premium P1 - больше информации здесь о требованиях к лицензии.

• Перейдите на Azure Ad Portal для управления условным доступом
• Выберите «Именованное местоположение» и создайте новое местоположение диапазона IP
• Предоставьте имя (например, «Azure Function App Admin») и отметьте место как надежное местоположение
• Введите все IP -адреса, представленные в результате вывода развертывания на шаге № 2 ( Azfuncingips ) - Добавьте «/32» на каждый IP -адрес
• Нажмите на создание
• Перейдите в политику, а затем нажмите «Создать новую политику»
• Предоставьте название вашей политике
• Для заданий:
  • Пользователи или идентификации рабочей нагрузки> Включите «Выбрать пользователей и группы»> Проверьте «Пользователь и группы»> Поиск для вашей учетной записи службы> Выберите
  • Облачные приложения или действия> Включите «все облачные приложения»
  • Условия> Местоположения> Исключить «Выбранные местоположения»> «Приложения Azure Function App Admin» (создано ранее)
• Для элементов управления доступа:
  • Грант> Доступ к блоку
• Включить политику
• Сохранить, чтобы подтвердить и применить изменения

Примечание. Пожалуйста, вернитесь к своему приложению Power и проверьте, что приложение все еще отвечает - вы также можете использовать учетные данные о основном сервисе с локального рабочего стола и версии, которую вы больше не можете войти в систему.

Шаг 5 - Поделитесь приложением

Теперь у вас есть приложение, развернутое в командах, и вам необходимо предоставить доступ к «делегированным администраторам» в вашей организации. Чтобы достичь этого, мы будем использовать группу Office 365 команды, где были развернуты Power Apps.

1. Все «делегированные администраторы» должны быть приглашены в команде для доступа к приложению Power

2. Скопируйте название команды, в которой установлено приложение - это название вашей группы O365

3. Вам необходимо, чтобы ваша группа O365 была использована в качестве группы безопасности - для этого перейдите в управленческое лезвие Azure AD, чтобы получить свой идентификатор группы O365 и использовать следующую команду PowerShell для обеспечения безопасности в этой группе.

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. Перейдите на портал Azure, а затем в Azure Keyvault, развернутое в этом решении

   • Выберите «Политики доступа> Добавить политику доступа
   • В разделе «Секретные разрешения» выберите «Get» и «Список»
   • Нажмите «Выберите« Принципал »и введите имя своей группы O365 и нажмите« Выбрать »
   • Нажмите «Добавить», чтобы подтвердить эту политику
   • Нажмите «Сохранить», чтобы совершить новую конфигурацию

5. Перейдите на портал Power Apps, а затем выберите свои приложения Power

   • Выберите меню «Опции», а затем «Поделиться» - больше информации здесь
   • Поиск группы команды O365, которая включена в безопасность
   • Нажмите «Поделиться», чтобы подтвердить новое разрешение

6. 1 -й вашим пользователям будет получить доступ к приложению Power в командах, им нужно будет согласиться на использование 3 разъемов (SharePoint, Office365 и Azure KeyVault) - для Azure KeyVault им необходимо предоставить имя Keyvault, которое вы получаете от развертывания Azure Resources (например, AZ-Vault-6CDGS)

Это решение построено на платформе Microsoft Power (SAAS) и Microsoft Azure с использованием услуг PAAS - преимуществом этих услуг является то, что Microsoft отвечает за уровень инфраструктуры, и это решение включает в себя некоторый уровень журналов для отслеживания изменений и облегчения устранения неполадок как хорошо. Тем не менее, вы все еще несете ответственность за управление этим приложением со следующими рекомендациями:

• Реализуйте Monitor Monitor и Application для мониторинга услуг и приложения Azure.
• Подпишитесь на обновления услуг информацию для Office 365, Power Platform и Azure через официальные каналы, включая Microsoft 365 Centre и Azure Service Health
• Подпишитесь на модули Microsoft Teams обновления в галерее PowerShell

Это оценки затрат, основанные на общественном Pricelist от марта 2022 года. Они не включают расходы для команд Office 365 и Microsoft.

Все цены предоставляются только для информации.

• Power Apps Ценообразование
• Калькулятор ценообразования лазурного
• Azure Ad Pricing

Этот проект приветствует вклады и предложения. Большинство взносов требуют, чтобы вы согласились с лицензионным соглашением о участнике (CLA), заявив, что вы имеете право и фактически предоставить нам права на использование вашего вклада. Для получения подробной информации, посетите https://cla.opensource.microsoft.com.

Когда вы отправляете запрос на привлечение, бот CLA автоматически определит, нужно ли вам предоставить CLA и правильно украсить PR (например, проверка состояния, комментарий). Просто следуйте инструкциям, предоставленным ботом. Вам нужно будет сделать это только один раз во всех репо, используя наш CLA.

Этот проект принял код поведения с открытым исходным кодом Microsoft. Для получения дополнительной информации см. Кодекс поведения FAQ или свяжитесь с [email protected] с любыми дополнительными вопросами или комментариями.

Этот проект может содержать товарные знаки или логотипы для проектов, продуктов или услуг. Уполномоченное использование товарных знаков или логотипов Microsoft подлежит и должно следовать указаниям Microsoft по товарной марке и брендам. Использование товарных знаков Microsoft или логотипов в модифицированных версиях этого проекта не должно вызывать путаницу или подразумевать спонсорство Microsoft. Любое использование сторонних товарных знаков или логотипов подвержена политике сторонних сторон.

• Пользовательский конечный состояние для различных параметров подключения PSTN
• Названия продуктов и идентификаторы плана услуг для лицензирования
• Смотрите все телефонные номера в вашей организации
• Назначить, изменить или удалить номер телефона для пользователя
• Политики ограничения исходящих вызовов для аудиоконференций и пользовательских вызовов PSTN

• Галерея PowerShell | Microsoftteams

• Azure функции PowerShell Guide Developer