Teams Phone System admin app

แอปพลิเคชันผู้ดูแลระบบที่ได้รับมอบหมายสำหรับแผนการโทร (PSTN) การจัดการหมายเลขโทรศัพท์

Microsoft Teams จัดเตรียมพอร์ทัลการบริหารเพื่อจัดการบริการโทรศัพท์ที่แตกต่างกันสำหรับองค์กร ในการเข้าถึงพอร์ทัลนี้คุณต้องกำหนดบทบาทของผู้ดูแลระบบที่กำหนดไว้ที่นี่ ในการจัดการระบบโทรศัพท์และกำหนดหมายเลขโทรศัพท์หรือนโยบายเสียงให้กับผู้ใช้บทบาทขั้นต่ำที่จำเป็นคือ "Teams Communications Administrator" - บทบาทนี้จะถูกนำไปใช้ในขอบเขตของผู้เช่า Azure Ad ซึ่งหมายความว่าผู้ใช้ทั้งหมดในองค์กรของคุณ

ในขณะที่โมเดลนี้ทำงานได้ดีการดำเนินงานที่ดีได้รับการจัดการจากส่วนกลาง ผู้ใช้และสิทธิ์ที่กำหนดไว้สำหรับผู้ดูแลระบบที่ได้รับมอบหมาย

ณ วันนี้แอปพลิเคชันนี้รองรับสถานการณ์ต่อไปนี้:

• กำหนด / ยกเลิกการออกแบบหมายเลข PTSN ให้กับผู้ใช้
• assing / อัปเดตสถานที่ฉุกเฉิน
• กำหนด / ไม่ได้ออกแบบนโยบายเสียงให้กับผู้ใช้
• กำหนด / ไม่ได้ออกแบบนโยบายการโทรให้กับผู้ใช้

หมายเหตุ: โซลูชันรองรับการกำหนดค่าการโทร (aka PSTN) เท่านั้น - การกำหนดเส้นทางโดยตรงเป็นขอบเขตของเรา แต่สามารถปรับปรุงโซลูชันเพื่อสนับสนุนสถานการณ์นี้ด้วยความพยายามขั้นต่ำโดยใช้ Powershell CMDLET ที่เหมาะสม

สถาปัตยกรรมของโซลูชันนี้สามารถปรับเปลี่ยนเพื่อรองรับสถานการณ์อื่น ๆ ที่ต้องการการจัดการผู้ดูแลระบบที่ได้รับมอบหมายของระบบโทรศัพท์ของทีมหรือคุณสมบัติอื่น ๆ ที่สามารถเข้าถึงได้ผ่าน PowerShell CMDLET หรือแม้แต่ MS Graph API

นี่คือแอปพลิเคชันที่ทำงานในทีม Microsoft

1. ผู้ใช้ (ผู้ดูแลระบบกลางและท้องถิ่น) เข้าถึงแอปพลิเคชันโดยตรงจากทีม Microsoft - พวกเขาทั้งหมดเป็นสมาชิกของกลุ่ม Office 365 ที่มีผู้ดูแลระบบกลางเป็นเจ้าของทีมและท้องถิ่น (AKA ที่ได้รับมอบหมาย) เป็นสมาชิก มีเพียงผู้ดูแลระบบกลางเท่านั้นที่สามารถจัดการสิทธิ์ผู้ดูแลระบบในท้องถิ่น
2. ผู้ใช้อินเทอร์เฟซจัดทำโดยแอพพลิเคชั่น แอพพลิเคชั่นเป็นเพียงการเข้าถึงสมาชิกของกลุ่ม O365 เท่านั้น
3. การตั้งค่าแอพท้องถิ่นจะถูกเก็บไว้ในรายการ SharePoint - รายการนี้สามารถเข้าถึงได้เฉพาะผู้ดูแลระบบกลาง - สำหรับผู้ดูแลระบบในท้องถิ่นแต่ละรายการรายการรหัสประเทศสำหรับการอนุญาตที่ได้รับมอบหมายจะถูกตั้งค่า (เช่น "US" / "FR" / "UK") - A ผู้ดูแลระบบในพื้นที่สามารถจัดการผู้ใช้ที่มี "ตำแหน่งการใช้งาน" ในโฆษณา Azure เป็นรหัสประเทศที่ได้รับมอบหมายและสามารถจัดการหมายเลขโทรศัพท์ได้ด้วย "CityCode" ที่ตรงกันเท่านั้น
4. การดำเนินการตรวจสอบความถูกต้องบนแอพพลิเคชั่นจะกระตุ้นการไหลของพลังงานโดยอัตโนมัติ - บทบาทของการไหล (หนึ่งต่อ API) คือการ รักษาความปลอดภัยและบันทึก การสืบค้นทั้งหมดที่ส่งไปยังทีมผู้ดูแลระบบศูนย์ API
5. Azure KeyVault ใช้เพื่อจัดเก็บความลับและข้อมูลรับรองที่ต้องการโดยโซลูชันอย่างปลอดภัย ด้วยการออกแบบนี้การจัดการความลับและข้อมูลรับรองของ "บัญชีบริการ" และของ "บริการหลัก" สามารถมอบหมายให้บุคคลที่สามซึ่งไม่ใช่ผู้ดูแลระบบของโซลูชันโทรศัพท์ของทีม
6. Power Power โดยอัตโนมัติเรียกใช้ฟังก์ชัน Azure API ให้ข้อมูลรับรองที่เหมาะสม
7. ฟังก์ชั่น Azure ได้รับข้อมูลรับรอง "บัญชีบริการ" ที่มีบทบาท "Teams Communications Administrator"
8. Azure AD การเข้าถึงแบบมีเงื่อนไขตรวจสอบสิทธิ์และตำแหน่งของคำขอ

สิ่งที่ต้องมีก่อน

• บทบาทผู้ดูแลระบบ Azure AD เพื่อสร้างผู้ใช้ใหม่ (บัญชีบริการ) กำหนดบทบาทและลงทะเบียนแอปพลิเคชันใหม่
• ใบอนุญาต Azure AD Premium P1 เพื่อเปิดใช้งาน Azure AD แบบมีเงื่อนไขการเข้าถึง
• การสมัครสมาชิก Azure และบัญชีที่มีบทบาทผู้สนับสนุน (เพื่อปรับใช้ทรัพยากร)
• ใบอนุญาตแอพพลิเคชั่นในการปรับใช้แอปพลิเคชันและกระแสไฟฟ้าอัตโนมัติ
• ต้องติดตั้งโมดูล PowerShell ต่อไปนี้ก่อนที่จะดำเนินการสคริปต์ pshell:
  • ทีม Microsoft-https://docs.microsoft.com/en-us/microsoftteams/teams-powershell-install-โซลูชันที่สร้างและทดสอบด้วย v4.7.0
  • Azure AZ-https://docs.microsoft.com/en-us/powershell/azure/install-az-ps-โซลูชันที่สร้างและทดสอบด้วย v7.3.2

หมายเหตุ: ในการปรับใช้นี้เราคิดว่าผู้ใช้รายเดียวกันมีสิทธิ์ที่เหมาะสมในการปรับใช้ทรัพยากรบน Azure, Power Platform และ Azure AD อย่างไรก็ตามสิ่งนี้ไม่ได้บังคับและการปรับใช้สามารถแยกออกจากบทบาทและความรับผิดชอบที่แตกต่างกันเหล่านี้ภายในองค์กร

ขั้นตอนที่ 1 - สร้างบัญชีบริการในโฆษณา Azure

บทบาทที่จำเป็น: Azure AD Admin

• ไปที่พอร์ทัลโฆษณา Azure เพื่อจัดการผู้ใช้
• เพิ่มผู้ใช้ใหม่ (เช่น "ผู้ดูแลระบบบัญชีบริการ") และบันทึกรหัสผ่าน

หมายเหตุ: คุณจะต้องรีเซ็ตรหัสผ่านนี้ในครั้งแรกที่คุณใช้บัญชีนี้ - โปรดเชื่อมต่อกับ https://portal.azure.com พร้อมข้อมูลรับรองผู้ใช้และให้รหัสผ่าน ที่ซับซ้อน ใหม่ - เก็บรหัสผ่านนี้ไว้ในตำแหน่งที่ปลอดภัย

• ไปภายใต้ "บทบาทที่ได้รับมอบหมาย" และกำหนดบทบาทต่อไปนี้:
  • เครื่องอ่านไดเรกทอรี - เพื่ออ่านโปรไฟล์ผู้ใช้
  • Teams Communications Administration - เพื่อจัดการระบบโทรศัพท์ของทีม
  • Skype สำหรับผู้ดูแลธุรกิจ - เพื่อจัดการนโยบาย dialout

ขั้นตอนที่ 2 - ปรับใช้ทรัพยากร Azure

บทบาทที่ต้องการ:

• ผู้สนับสนุน Azure
• Azure Ad App Lignized Autorized สำหรับสมาชิกของผู้เช่า (หรือบทบาทโฆษณา Azure เฉพาะที่ได้รับมอบหมายสำหรับการลงทะเบียนแอป)

ในการดำเนินการขั้นตอนการปรับใช้นี้คุณจะต้องดาวน์โหลดเนื้อหาของที่ เก็บ นี้ในสภาพแวดล้อมในพื้นที่ของคุณ

• ดาวน์โหลดเนื้อหาของที่เก็บนี้
• ดำเนินการสคริปต์ deploy.ps1 ด้วยพารามิเตอร์ต่อไปนี้

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

การปรับใช้อาจใช้เวลาหลายนาทีรวมถึงเวลาอุ่นเครื่องของฟังก์ชั่น Azure - ในตอนท้ายของการปรับใช้ให้ตรวจสอบผลลัพธ์ที่จำเป็นในการกำหนดค่าการปรับใช้แอพพลิเคชั่นและ Azure AD ตามเงื่อนไข

การปรับใช้ที่ประสบความสำเร็จควรมีลักษณะเช่นนั้น (โดยค่าเริ่มต้นสคริปต์จะทำงาน 3 ครั้ง)

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

ขั้นตอนที่ 3 - ปรับใช้แอพพลิเคชั่นและกระแส

คุณสามารถดาวน์โหลดคำสั่งเพื่อปรับใช้แอพไฟในลิงค์นี้

ไฟล์ zip ที่กล่าวถึงในเอกสารมีอยู่ในลิงค์นี้

ในตอนท้ายของขั้นตอนนี้โซลูชันควรทำงานแบบ end-to-end-แนะนำขั้นตอนต่อไป แต่เป็นทางเลือกและอยู่ที่นี่เพื่อเพิ่มความปลอดภัยเพิ่มเติมลงในโซลูชันโดยใช้ Azure Ad Authentication & Controls

ขั้นตอนที่ 4 - เปิดใช้งาน Azure Ad Formitional Access

คุณสามารถเปิดใช้งาน Azure ตามเงื่อนไขการเข้าถึงบัญชีบริการที่ใช้โดยแอพฟังก์ชั่น Azure ของคุณและ จำกัด IP ที่เชื่อถือได้ให้กับฟังก์ชัน Azure ที่ใช้ Azure AD แบบมีเงื่อนไขการเข้าถึงต้องมีใบอนุญาต P1 ระดับพรีเมี่ยมที่จะได้รับมอบหมาย - ข้อมูลเพิ่มเติมที่นี่เกี่ยวกับข้อกำหนดใบอนุญาต

• ไปที่พอร์ทัลโฆษณา Azure สำหรับการจัดการการเข้าถึงแบบมีเงื่อนไข
• เลือก "Named Location" และสร้างตำแหน่ง IP ใหม่
• ระบุชื่อ (เช่น "Azure Function App Teams Apple") และทำเครื่องหมายตำแหน่งเป็นตำแหน่งที่เชื่อถือได้
• ป้อนที่อยู่ IP ทั้งหมดที่ให้ไว้ในเอาต์พุตของการปรับใช้ในขั้นตอนที่ #2 ( AZFUNCTIONIPS ) - ผนวก "/32" เข้ากับที่อยู่ IP แต่ละอัน
• คลิกที่สร้าง
• ไปที่นโยบายแล้วคลิกที่ "สร้างนโยบายใหม่"
• ตั้งชื่อตามนโยบายของคุณ
• สำหรับการมอบหมาย:
  • Users or workload identities > Include "Select users and groups" > check "User and groups" > search for your Service Account > Select
  • แอพคลาวด์หรือการกระทำ> รวม "แอพคลาวด์ทั้งหมด"
  • เงื่อนไข> สถานที่> ยกเว้น "สถานที่ที่เลือก"> "Azure Function App Teams Apple Teams Admins" (สร้างขึ้นก่อนหน้านี้)
• สำหรับการควบคุมการเข้าถึง:
  • Grant> การเข้าถึงบล็อก
• เปิดใช้งานนโยบาย
• บันทึกเพื่อยืนยันและใช้การเปลี่ยนแปลง

หมายเหตุ: โปรดกลับไปที่แอพพาวเวอร์ของคุณและตรวจสอบว่าแอปพลิเคชันยังคงตอบกลับ - คุณสามารถลองใช้ข้อมูลรับรองหลักบริการจากเดสก์ท็อปในพื้นที่ของคุณและความจริงที่คุณไม่สามารถเข้าสู่ระบบได้อีกต่อไป

ขั้นตอนที่ 5 - แบ่งปันแอปพลิเคชัน

ตอนนี้คุณมีแอปพลิเคชันที่ปรับใช้ในทีมและคุณต้องให้การเข้าถึง "ผู้ดูแลระบบที่ได้รับมอบหมาย" ในองค์กรของคุณ เพื่อให้บรรลุเป้าหมายเราจะใช้กลุ่ม Office 365 ของทีมที่มีการปรับใช้แอพพลิเคชั่น

1. "ผู้ดูแลระบบที่ได้รับมอบหมาย" ทั้งหมดจะต้องได้รับเชิญในทีมเพื่อเข้าถึงแอพ Power

2. คัดลอกชื่อทีมที่ติดตั้งแอป - นี่คือชื่อของกลุ่ม O365 ของคุณ

3. คุณต้องเปิดใช้งานกลุ่ม O365 ของคุณที่จะใช้เป็นกลุ่มความปลอดภัย - ไปที่ Blade การจัดการกลุ่มโฆษณา Azure เพื่อรับ ID กลุ่ม O365 ของคุณและใช้คำสั่ง PowerShell ต่อไปนี้เพื่อเปิดใช้งานความปลอดภัยในกลุ่มนี้

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. ไปที่พอร์ทัล Azure แล้วไปที่ Azure KeyVault ที่ใช้ในโซลูชันนี้

   • เลือก "นโยบายการเข้าถึง> เพิ่มนโยบายการเข้าถึง
   • ภายใต้ "การอนุญาตลับ" เลือก "รับ" และ "รายการ"
   • คลิกที่ "เลือก Principal" และป้อนชื่อกลุ่ม O365 ของคุณแล้วกด "เลือก"
   • คลิก "เพิ่ม" เพื่อตรวจสอบนโยบายนี้
   • คลิก "บันทึก" เพื่อกระทำการกำหนดค่าใหม่

5. ไปที่พอร์ทัลแอพพลิเคชั่นจากนั้นเลือกแอพไฟของคุณ

   • เลือกเมนูตัวเลือกแล้ว "แบ่งปัน" - ข้อมูลเพิ่มเติมที่นี่
   • ค้นหากลุ่มทีม O365 ที่เปิดใช้งานความปลอดภัย
   • คลิกที่ "แบ่งปัน" เพื่อยืนยันการอนุญาตใหม่

6. ผู้ใช้ที่ 1 ของคุณจะเข้าถึงแอพพลิเคชั่นในทีมพวกเขาจะต้องยินยอมให้ใช้ตัวเชื่อมต่อ 3 ตัว (SharePoint, Office365 และ Azure KeyVault) - สำหรับ Azure KeyVault พวกเขาจำเป็นต้องระบุชื่อ KeyVault ที่คุณได้รับจากการปรับใช้ Azure Resources (เช่น AZ-Vault-6CDGS)

โซลูชันนี้สร้างขึ้นบน Microsoft Power Platform (SaaS) และ Microsoft Azure โดยใช้บริการ PAAS - ประโยชน์ของบริการเหล่านี้คือ Microsoft รับผิดชอบชั้นโครงสร้างพื้นฐานและโซลูชันนี้รวมถึงระดับของบันทึกเพื่อติดตามการเปลี่ยนแปลงและอำนวยความสะดวกในการแก้ไขปัญหา ดี. อย่างไรก็ตามคุณยังคงรับผิดชอบในการจัดการแอปพลิเคชันนี้พร้อมคำแนะนำต่อไปนี้:

• ใช้ Azure Monitor และ Application Insights เพื่อตรวจสอบบริการและแอปพลิเคชัน Azure
• สมัครรับข้อมูลการอัปเดตข้อมูลสำหรับ Office 365, Power Platform และ Azure ผ่านช่องทางการอย่างเป็นทางการรวมถึง Microsoft 365 Message Center และ Azure Service Health
• สมัครสมาชิกโมดูล Microsoft Teams Updates ใน PowerShell Gallery

นี่เป็นค่าใช้จ่ายในการประมาณการตามรายการที่มีชื่อเสียงในเดือนมีนาคม 2565 พวกเขาไม่รวมค่าใช้จ่ายสำหรับทีม Office 365 & Microsoft

ราคาทั้งหมดมีให้สำหรับข้อมูลเท่านั้น

• ราคาแอพพลิเคชั่น
• เครื่องคิดเลขราคา Azure
• ราคาโฆษณา Azure

โครงการนี้ยินดีต้อนรับการมีส่วนร่วมและข้อเสนอแนะ การมีส่วนร่วมส่วนใหญ่กำหนดให้คุณต้องยอมรับข้อตกลงใบอนุญาตผู้มีส่วนร่วม (CLA) ประกาศว่าคุณมีสิทธิ์และทำจริงให้สิทธิ์ในการใช้การบริจาคของคุณ สำหรับรายละเอียดเยี่ยมชม https://cla.opensource.microsoft.com

เมื่อคุณส่งคำขอดึง CLA บอทจะพิจารณาโดยอัตโนมัติว่าคุณจำเป็นต้องให้ CLA และตกแต่ง PR อย่างเหมาะสม (เช่นการตรวจสอบสถานะแสดงความคิดเห็น) เพียงทำตามคำแนะนำที่จัดทำโดยบอท คุณจะต้องทำสิ่งนี้เพียงครั้งเดียวใน repos ทั้งหมดโดยใช้ CLA ของเรา

โครงการนี้ได้นำรหัสการดำเนินงานของ Microsoft โอเพ่นซอร์สมาใช้ สำหรับข้อมูลเพิ่มเติมโปรดดูจรรยาบรรณคำถามที่พบบ่อยหรือติดต่อ [email protected] พร้อมคำถามหรือความคิดเห็นเพิ่มเติมใด ๆ

โครงการนี้อาจมีเครื่องหมายการค้าหรือโลโก้สำหรับโครงการผลิตภัณฑ์หรือบริการ การใช้เครื่องหมายการค้าหรือโลโก้ของ Microsoft ที่ได้รับอนุญาตขึ้นอยู่กับและต้องปฏิบัติตามแนวทางเครื่องหมายการค้าและแบรนด์ของ Microsoft การใช้เครื่องหมายการค้าหรือโลโก้ของ Microsoft ในรุ่นที่แก้ไขของโครงการนี้จะต้องไม่ทำให้เกิดความสับสนหรือบอกเป็นสปอนเซอร์ของ Microsoft การใช้เครื่องหมายการค้าหรือโลโก้ของบุคคลที่สามจะอยู่ภายใต้นโยบายของบุคคลที่สามเหล่านั้น

• การจัดสรรผู้ใช้สิ้นสุดสถานะสำหรับตัวเลือกการเชื่อมต่อ PSTN ต่างๆ
• ชื่อผลิตภัณฑ์และตัวระบุแผนบริการสำหรับการออกใบอนุญาต
• ดูหมายเลขโทรศัพท์ทั้งหมดในองค์กรของคุณ
• กำหนดเปลี่ยนหรือลบหมายเลขโทรศัพท์สำหรับผู้ใช้
• นโยบายการ จำกัด การโทรออกสำหรับการประชุมทางเสียงและการโทร PSTN ของผู้ใช้

• PowerShell Gallery | MicrosoftTeams

• Azure ฟังก์ชั่นคู่มือนักพัฒนา PowerShell