Teams Phone System admin app

通话计划（PSTN）电话号码管理的委派管理申请

Microsoft Teams提供了一个管理门户网站来管理组织的不同电话服务。要访问此门户，您需要分配此处定义的管理员角色之一。为了管理电话系统并将电话号码或语音策略分配给用户，最低要求的角色是“团队通信管理员” - 然后在Azure AD租户的范围内应用此角色，这意味着您组织中的所有用户。

尽管此模型运行良好，但运营良好，但当组织需要在本地级别（例如每个国家 /地区）委派这些操作时，它变得更具挑战用户和权限为委派的管理员设置。

截至今天，此应用程序支持以下方案：

• 为用户分配 /统一的PTSN编号
• 屁股 /更新紧急位置
• 将 /统一语音策略分配给用户
• 为用户分配 /统一调用策略

注意：该解决方案仅支持调用计划（又称PSTN）配置 - 直接路由是我们的范围，但可以更新解决方案以使用适当的PowerShell CMDLET在最低限度的努力下支持此方案。

可以对该解决方案的架构进行调整，以支持其他方案，这些方案需要团队电话系统的授权管理管理或通过PowerShell CMDLET甚至MS Graph API访问的任何其他功能。

这是Microsoft团队中运行的应用程序

1. 用户（中央和本地管理员）直接从Microsoft团队访问该应用程序 - 他们都是Office 365组的成员，中央管理员是团队的所有者，本地（又称委派）的管理员是成员。只有中央管理员才能管理本地管理权限。
2. 用户界面由电源应用程序提供。 Power应用仅适用于O365组成员的访问权限。
3. 本地应用程序设置存储在SharePoint列表中 - 此列表仅适用于Central Admins - 对于每个本地管理员，设置了委派权限的国家代码列表（例如，“ US” /“ /“ FR” /“ UK”） - a本地管理员只能管理将Azure AD中具有“使用位置”的用户设置为其委派国家代码，并且只能通过匹配的“ CityCode”来管理电话号码。
4. 在电源应用程序上验证的操作触发了电源自动化流 - 流的作用（一个API）是确保并记录发送给团队管理中心API的所有查询。
5. Azure KeyVault用于安全地存储解决方案所需的秘密和凭据。通过此设计，可以将“服务帐户”和“服务本金”的秘密和凭据管理委托给不是团队电话解决方案的管理员。
6. Power Automate调用提供适当凭据的Azure函数API。
7. Azure函数获得具有“ Teams Communications Administrator”角色并执行PowerShell脚本的“服务帐户”凭据
8. Azure AD条件访问检查请求的权限和位置。

先决条件

• Azure Ad Admin角色创建新用户（服务帐户），分配角色并注册新应用程序
• Azure AD Premium P1启用Azure AD条件访问的许可证
• Azure订阅和帐户具有贡献者角色（部署资源）
• 部署应用程序和电源自动化流量的电源应用许可证
• 在执行PSHELL脚本之前，需要安装以下PowerShell模块：
  • Microsoft Teams-https：//docs.microsoft.com/en-us/microsoftteams/teams-powershell-install-构建和测试v4.7.0
  • Azure AZ-https：//docs.microsoft.com/en-us/powershell/azure/install-az-ps-使用v7.3.3.2构建和测试的解决方案

注意：在此部署中，我们假设同一用户具有适当的权限，可以在Azure，Power Platform和Azure AD上部署资源。但是，这不是强制性的，并且可以在组织内部的这些不同的角色和裁决上分配部署。

步骤1-在Azure AD中创建一个服务帐户

需要的角色：Azure广告管理员

• 转到Azure AD门户以管理用户
• 添加新用户（例如“服务帐户团队管理员”）并保存密码

注意：您需要在第一次使用此帐户时重置此密码 - 请使用用户凭据连接到https：//portal.azure.com并提供新的复杂密码 -将此密码存储在安全的位置中

• 遵循“分配的角色”并分配以下角色：
  • 目录阅读器 - 阅读用户配置文件
  • 团队通信管理 - 管理团队电话系统
  • Skype for Business Administrator-管理拨号策略

步骤2-部署Azure资源

需要的角色：

• Azure贡献者
• Azure AD应用程序注册为房客的成员自动开放（或为应用程序注册分配的特定Azure AD角色）

要执行此部署步骤，您需要在本地环境上下载此存储库的内容，并在下载PowerShell脚本。

• 下载此存储库的内容
• 用以下参数执行脚本deploy.ps1

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

部署可能需要几分钟，包括Azure功能的热身时间 - 在部署结束时，检查配置Power App的部署和Azure AD条件访问所需的输出

成功的部署应该看起来像这样（默认情况下，脚本运行3次）

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

步骤3-部署电源应用并流动

您可以下载指令以在此链接中部署电源应用程序。

文档中提到的zip文件可在此链接上可用。

在此步骤结束时，解决方案应端到端工作 - 建议下一个步骤但可选，并在这里使用Azure AD ADENICATION＆CONTROLS在解决方案中添加更多安全性。

步骤4-激活Azure AD条件访问

您可以在Azure功能应用程序使用的服务帐户上启用Azure条件访问，并将可信IP限制为Azure函数使用的IP。 Azure AD条件访问需要分配高级P1许可证 - 有关许可要求的更多信息。

• 转到Azure AD门户进行条件访问管理
• 选择“命名位置”并创建一个新的IP范围位置
• 提供名称（例如“ Azure函数应用团队管理员”），并将位置标记为可信位置
• Enter all the IP addresses provided in the output of the deployment in step #2 ( AzFunctionIPs ) - Append a "/32" to each IP address
• 单击创建
• 转到策略，然后单击“创建新策略”
• 为您的政策提供名称
• 对于作业：
  • 用户或工作负载身份>包括“选择用户和组”>检查“用户和组”>搜索您的服务帐户>选择
  • 云应用程序或操作>包括“所有云应用”
  • 条件>位置>排除“选定位置”>“ Azure函数应用程序团队”（创建）
• 对于访问控件：
  • 授予>块访问
• 启用政策
• 保存以确认并应用更改

注意：请返回您的电源应用程序，检查应用程序是否仍然响应 - 您还可以尝试使用本地桌面和Verity的服务主凭据，而您将无法再登录。

步骤5-共享申请

现在，您将应用程序部署在团队中，您需要在组织中提供对“授权管理员”的访问权限。为了实现这一目标，我们将使用部署了Power Apps的Office 365组。

1. 所有“授权管理员”都需要邀请团队访问Power App

2. 复制安装应用程序的团队的名称 - 这是您的O365组的名称

3. 您需要使您的O365组用作安全组 - 为此，转到Azure Ad组管理刀片以获取您的O365组ID并使用以下PowerShell命令来启用该组的安全性。

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. 转到Azure门户，然后转到该解决方案中部署的Azure keyVault

   • 选择“访问策略>添加访问策略
   • 在“秘密权限”下选择“获取”和“列表”
   • 单击“选择主体”，然后输入O365组的名称，然后按“选择”
   • 单击“添加”以验证此策略
   • 单击“保存”提交新的配置

5. 转到Power Apps门户，然后选择您的电源应用程序

   • 选择选项菜单，然后“共享” - 更多信息。
   • 搜索启用安全性的O365团队组
   • 单击“共享”以确认新许可

6. 您的第一个用户将在团队中访问Power应用程序，他们需要同意使用3个连接器（SharePoint，Office365和Azure KeyVault） - 对于Azure KeyVault，他们需要提供您从部署中获得的密钥维护名称。 Azure资源（例如AZ-VAULT-6CDGS）

该解决方案是在使用PAAS服务的Microsoft Power Platform（SaaS）和Microsoft Azure建立的 - 这些服务的好处是Microsoft负责基础架构层，此解决方案包括一定级别出色地。但是，您仍然对本申请的管理负责以下建议：

• 实施Azure监视器和应用程序见解以监视Azure服务和应用程序。
• 通过官方渠道（包括Microsoft 365消息中心和Azure Service Health）订阅Office 365，Power Platform和Azure的服务更新服务的信息
• Subscribe to Microsoft Teams modules updates in the PowerShell gallery

这是基于2022年3月的公共价格的成本估算。它们不包括Office 365和Microsoft团队的费用。

仅提供所有价格以获取信息。

• 电源应用定价
• Azure定价计算器
• Azure广告定价

该项目欢迎贡献和建议。大多数捐款要求您同意撰写贡献者许可协议（CLA），宣布您有权并实际上授予我们使用您的贡献的权利。有关详细信息，请访问https://cla.opensource.microsoft.com。

当您提交拉动请求时，CLA机器人将自动确定您是否需要提供CLA并适当装饰PR（例如状态检查，评论）。只需按照机器人提供的说明即可。您只需要使用我们的CLA在所有存储库中进行一次。

该项目采用了Microsoft开源的行为代码。有关更多信息，请参见《行为守则常见问题守则》或与其他问题或评论联系[email protected]。

该项目可能包含用于项目，产品或服务的商标或徽标。 Microsoft商标或徽标的授权使用受到了Microsoft的商标和品牌准则的约束。在此项目的修改版本中使用Microsoft商标或徽标不得引起混乱或暗示Microsoft赞助。任何使用第三方商标或徽标都遵守这些第三方政策。

• 各种PSTN连接选项的用户提供最终状态
• 许可的产品名称和服务计划标识符
• 查看组织中的所有电话号码
• 为用户分配，更改或删除电话号码
• 用于音频会议和用户PSTN调用的出站呼叫限制策略

• Powershell画廊| Microsoftteams

• Azure功能Powershell开发人员指南