Teams Phone System admin app

通話計劃（PSTN）電話號碼管理的委派管理申請

Microsoft Teams提供了一個管理門戶網站來管理組織的不同電話服務。要訪問此門戶，您需要分配此處定義的管理員角色之一。為了管理電話系統並將電話號碼或語音策略分配給用戶，最低要求的角色是“團隊通信管理員” - 然後在Azure AD租戶的範圍內應用此角色，這意味著您組織中的所有用戶。

儘管此模型運行良好，但運營良好，但當組織需要在本地級別（例如每個國家 /地區）委派這些操作時，它變得更具挑戰用戶和權限為委派的管理員設置。

截至今天，此應用程序支持以下方案：

• 為用戶分配 /統一的PTSN編號
• 屁股 /更新緊急位置
• 將 /統一語音策略分配給用戶
• 為用戶分配 /統一調用策略

注意：該解決方案僅支持調用計劃（又稱PSTN）配置 - 直接路由是我們的範圍，但可以更新解決方案以使用適當的PowerShell CMDLET在最低限度的努力下支持此方案。

可以對該解決方案的架構進行調整，以支持其他方案，這些方案需要團隊電話系統的授權管理管理或通過PowerShell CMDLET甚至MS Graph API訪問的任何其他功能。

這是Microsoft團隊中運行的應用程序

1. 用戶（中央和本地管理員）直接從Microsoft團隊訪問該應用程序 - 他們都是Office 365組的成員，中央管理員是團隊的所有者，本地（又稱委派）的管理員是成員。只有中央管理員才能管理本地管理權限。
2. 用戶界面由電源應用程序提供。 Power應用僅適用於O365組成員的訪問權限。
3. 本地應用程序設置存儲在SharePoint列表中- 此列表僅適用於Central Admins - 對於每個本地管理員，設置了委派權限的國家代碼列表（例如，“ US” /“ /“ FR” /“ UK”） - a本地管理員只能管理將Azure AD中具有“使用位置”的用戶設置為其委派國家代碼，並且只能通過匹配的“ CityCode”來管理電話號碼。
4. 在電源應用程序上驗證的操作觸發了電源自動化流 - 流的作用（一個API）是確保並記錄發送給團隊管理中心API的所有查詢。
5. Azure KeyVault用於安全地存儲解決方案所需的秘密和憑據。通過此設計，可以將“服務帳戶”和“服務本金”的秘密和憑據管理委託給不是團隊電話解決方案的管理員。
6. Power Automate調用提供適當憑據的Azure函數API。
7. Azure函數獲得具有“ Teams Communications Administrator”角色並執行PowerShell腳本的“服務帳戶”憑據
8. Azure AD條件訪問檢查請求的權限和位置。

先決條件

• Azure Ad Admin角色創建新用戶（服務帳戶），分配角色並註冊新應用程序
• Azure AD Premium P1啟用Azure AD條件訪問的許可證
• Azure訂閱和帳戶具有貢獻者角色（部署資源）
• 部署應用程序和電源自動化流量的電源應用許可證
• 在執行PSHELL腳本之前，需要安裝以下PowerShell模塊：
  • Microsoft Teams-https：//docs.microsoft.com/en-us/microsoftteams/teams-powershell-install-構建和測試v4.7.0
  • Azure AZ-https：//docs.microsoft.com/en-us/powershell/azure/install-az-ps-使用v7.3.3.2構建和測試的解決方案

注意：在此部署中，我們假設同一用戶具有適當的權限，可以在Azure，Power Platform和Azure AD上部署資源。但是，這不是強制性的，並且可以在組織內部的這些不同的角色和裁決上分配部署。

步驟1-在Azure AD中創建一個服務帳戶

需要的角色：Azure廣告管理員

• 轉到Azure AD門戶以管理用戶
• 添加新用戶（例如“服務帳戶團隊管理員”）並保存密碼

注意：您需要在第一次使用此帳戶時重置此密碼 - 請使用用戶憑據連接到https：//portal.azure.com並提供新的複雜密碼 -將此密碼存儲在安全的位置中

• 遵循“分配的角色”並分配以下角色：
  • 目錄閱讀器 - 閱讀用戶配置文件
  • 團隊通信管理 - 管理團隊電話系統
  • Skype for Business Administrator-管理撥號策略

步驟2-部署Azure資源

需要的角色：

• Azure貢獻者
• Azure AD應用程序註冊為房客的成員自動開放（或為應用程序註冊分配的特定Azure AD角色）

要執行此部署步驟，您需要在本地環境上下載此存儲庫的內容，並在下載PowerShell腳本。

• 下載此存儲庫的內容
• 用以下參數執行腳本deploy.ps1

 $displayName          = ' Teams-Telephony-Manager ' ( default value)  
$rgName               = ' Teams-Telephony-Manager ' ( default value)  
$resourcePrefix       = ' teams-mng ' ( default value)  
$location             = ' westeurope ' ( default value)  
$serviceAccountUPN    = [ UPN of the Service Account created in step 1 ]
$serviceAccountSecret = [ Password of the Service Account created in step 1 ]    

.deploy.ps1 - serviceAccountUPN $serviceAccountUPN - serviceAccountSecret $serviceAccountSecret

部署可能需要幾分鐘，包括Azure功能的熱身時間 - 在部署結束時，檢查配置Power App的部署和Azure AD條件訪問所需的輸出

成功的部署應該看起來像這樣（默認情況下，腳本運行3次）

TriggerTime         WorkerId Duration StatusCode StatusDescription
-----------         -------- -------- ---------- -----------------
16 / 12 / 2021 16 : 42 : 06        2     6 , 93        200 OK
16 / 12 / 2021 16 : 42 : 08        1     8 , 65        200 OK
16 / 12 / 2021 16 : 42 : 09        3     9 , 38        200 OK

Deployment script terminated
Here are the information you ll need to deploy and configure the Power Application

API_URL       : ' https://teams-nnjqs.azurewebsites.net '
API_Code      : ' pujmFZfGxwqGXXXdddxLs2xXXXg2cMLhAUUE2Q== '
TenantID      : ' 153017a8-XXXX-XXXX-XXXX-463465842b89 '
ClientID      : ' bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
Audience      : ' api://azfunc-bad28fb5-XXXX-XXXX-XXXX-665886c2cbad '
KeyVault_Name : ' az-vault-6cdgs '
AzFunctionIPs : ' 104.45.68.78,104.45.69.84,104.45.69.210,104.45.69.232,104.45.66.240,104.45.70.42,20.50.2.80 '

步驟3-部署電源應用並流動

您可以下載指令以在此鏈接中部署電源應用程序。

文檔中提到的zip文件可在此鏈接上可用。

在此步驟結束時，解決方案應端到端工作 - 建議下一個步驟但可選，並在這裡使用Azure AD ADENICATION＆CONTROLS在解決方案中添加更多安全性。

步驟4-激活Azure AD條件訪問

您可以在Azure功能應用程序使用的服務帳戶上啟用Azure條件訪問，並將可信IP限制為Azure函數使用的IP。 Azure AD條件訪問需要分配高級P1許可證 - 有關許可要求的更多信息。

• 轉到Azure AD門戶進行條件訪問管理
• 選擇“命名位置”並創建一個新的IP範圍位置
• 提供名稱（例如“ Azure函數應用團隊管理員”），並將位置標記為可信位置
• 輸入步驟2（ azfunctionips ）中部署輸出中提供的所有IP地址 - 將“/32”附加到每個IP地址
• 單擊創建
• 轉到策略，然後單擊“創建新策略”
• 為您的政策提供名稱
• 對於作業：
  • 用戶或工作負載身份>包括“選擇用戶和組”>檢查“用戶和組”>搜索您的服務帳戶>選擇
  • 雲應用程序或操作>包括“所有云應用”
  • 條件>位置>排除“選定位置”>“ Azure函數應用程序團隊”（創建）
• 對於訪問控件：
  • 授予>塊訪問
• 啟用政策
• 保存以確認並應用更改

注意：請返回您的電源應用程序，檢查應用程序是否仍然響應 - 您還可以嘗試使用本地桌面和Verity的服務主憑據，而您將無法再登錄。

步驟5-共享申請

現在，您將應用程序部署在團隊中，您需要在組織中提供對“授權管理員”的訪問權限。為了實現這一目標，我們將使用部署了Power Apps的Office 365組。

1. 所有“授權管理員”都需要邀請團隊訪問Power App

2. 複製安裝應用程序的團隊的名稱 - 這是您的O365組的名稱

3. 您需要使您的O365組用作安全組 - 為此，轉到Azure Ad組管理刀片以獲取您的O365組ID並使用以下PowerShell命令來啟用該組的安全性。

     Set-AzureADMSGroup - Id [ Office365 _ Group _ ID ] - SecurityEnabled $true

4. 轉到Azure門戶，然後轉到該解決方案中部署的Azure keyVault

   • 選擇“訪問策略>添加訪問策略
   • 在“秘密權限”下選擇“獲取”和“列表”
   • 單擊“選擇主體”，然後輸入O365組的名稱，然後按“選擇”
   • 單擊“添加”以驗證此策略
   • 單擊“保存”提交新的配置

5. 轉到Power Apps門戶，然後選擇您的電源應用程序

   • 選擇選項菜單，然後“共享” - 更多信息。
   • 搜索啟用安全性的O365團隊組
   • 單擊“共享”以確認新許可

6. 您的第一個用戶將在團隊中訪問Power應用程序，他們需要同意使用3個連接器（SharePoint，Office365和Azure KeyVault） - 對於Azure KeyVault，他們需要提供您從部署中獲得的密鑰維護名稱。 Azure資源（例如AZ-VAULT-6CDGS）

該解決方案是在使用PAAS服務的Microsoft Power Platform（SaaS）和Microsoft Azure建立的 - 這些服務的好處是Microsoft負責基礎架構層，此解決方案包括一定級別出色地。但是，您仍然對本申請的管理負責以下建議：

• 實施Azure監視器和應用程序見解以監視Azure服務和應用程序。
• 通過官方渠道（包括Microsoft 365消息中心和Azure Service Health）訂閱Office 365，Power Platform和Azure的服務更新服務的信息
• 在PowerShell畫廊中訂閱Microsoft Teams模塊更新

這是基於2022年3月的公共價格的成本估算。它們不包括Office 365和Microsoft團隊的費用。

僅提供所有價格以獲取信息。

• 電源應用定價
• Azure定價計算器
• Azure廣告定價

該項目歡迎貢獻和建議。大多數捐款要求您同意撰寫貢獻者許可協議（CLA），宣布您有權並實際上授予我們使用您的貢獻的權利。有關詳細信息，請訪問https://cla.opensource.microsoft.com。

當您提交拉動請求時，CLA機器人將自動確定您是否需要提供CLA並適當裝飾PR（例如狀態檢查，評論）。只需按照機器人提供的說明即可。您只需要使用我們的CLA在所有存儲庫中進行一次。

該項目採用了Microsoft開源的行為代碼。有關更多信息，請參見《行為守則常見問題守則》或與其他問題或評論聯繫[email protected]。

該項目可能包含用於項目，產品或服務的商標或徽標。 Microsoft商標或徽標的授權使用受到了Microsoft的商標和品牌準則的約束。在此項目的修改版本中使用Microsoft商標或徽標不得引起混亂或暗示Microsoft贊助。任何使用第三方商標或徽標都遵守這些第三方政策。

• 各種PSTN連接選項的用戶提供最終狀態
• 許可的產品名稱和服務計劃標識符
• 查看組織中的所有電話號碼
• 為用戶分配，更改或刪除電話號碼
• 用於音頻會議和用戶PSTN調用的出站呼叫限制策略

• Powershell畫廊| Microsoftteams

• Azure功能Powershell開發人員指南