Steuern des Zugriffs auf Features in Viva mithilfe von PowerShell
Sie können Zugriffsrichtlinien in Viva verwenden, um zu verwalten, welche Benutzer auf bestimmte Features in Viva-Apps mit PowerShell zugreifen können. Mit der Featurezugriffsverwaltung können Sie bestimmte Features in Viva für bestimmte Gruppen oder Benutzer in Ihrem Mandanten aktivieren oder deaktivieren und Ihre Bereitstellungen so an Ihre lokalen gesetzlichen und geschäftlichen Anforderungen anpassen.
Ein autorisierter Administrator in Ihrem Mandanten kann Zugriffsrichtlinien über PowerShell erstellen, zuweisen und verwalten. Wenn sich ein Benutzer bei Viva anmeldet, werden die Richtlinieneinstellungen angewendet, und es werden nur die Features angezeigt, die nicht deaktiviert wurden.
Wichtig
Sie können mehrere Zugriffsrichtlinien für ein Feature in Ihrem organization haben. Dies bedeutet, dass ein Benutzer oder eine Gruppe von mehreren Richtlinien betroffen sein kann. In diesem Fall hat die restriktivste Richtlinie, die einem Benutzer oder einer Gruppe direkt zugewiesen wird, Vorrang. Weitere Informationen finden Sie unter Funktionsweise von Zugriffsrichtlinien in Viva.
Anforderungen
Bevor Sie eine Zugriffsrichtlinie in Viva erstellen können, benötigen Sie Folgendes:
- Eine unterstützte Version von Microsoft 365 oder eine Viva Suite-Lizenz
- Zugriff auf Exchange Online PowerShell Version 3.2.0 oder höher. Wenn Sie Nicht-E-Mail-fähige Gruppen verwenden müssen, benötigen Sie Zugriff auf Exchange PowerShell Version 3.5.1 oder höher.
- Benutzerkonten, die in erstellt oder mit Microsoft Entra ID synchronisiert wurden
- Microsoft 365-Gruppen, Microsoft Entra Sicherheitsgruppen, die in Microsoft Entra ID erstellt oder mit diesen synchronisiert wurden, oder Verteilergruppen.
- Die rolle, die für die jeweilige App und das feature erforderlich ist.
Wichtig
Diese Features sind in GCC High oder DoD noch nicht verfügbar. Informationen zu GCC finden Sie in der Dokumentation für Ihre spezifische App zur Verfügbarkeit.
Erstellen und Verwalten von Zugriffsrichtlinien für Viva Features
Richtlinien können von einem Viva Administrator erstellt und verwaltet werden, der dazu im Microsoft 365 Admin Center oder mithilfe von PowerShell berechtigt ist. Hier finden Sie alle Details zum Erstellen und Verwalten von Richtlinien.
Abrufen der Feature-ID für das Feature
Bevor Sie eine Zugriffsrichtlinie erstellen können, verwenden Sie die ModuleID , um die Feature-ID für das spezifische Feature abzurufen, auf das Sie den Zugriff steuern möchten.
Modul-IDs
| App | ModuleID |
|---|---|
| Einbinden | VivaEngage |
| Glint | VivaGlint |
| Ziele | VivaGoals |
| Einblicke | VivaInsights |
| Puls | VivaPulse |
| Skills | VivaSkills |
Verwenden Sie das PowerShell-Cmdlet Get-VivaModuleFeature, um eine Liste aller Features abzurufen, die in einer bestimmten Viva-App verfügbar sind, und der zugehörigen IDs.
Installieren Sie Exchange Online PowerShell Version 3.2.0 oder höher:
Install-Module -Name ExchangeOnlineManagementStellen Sie mit Administratoranmeldeinformationen eine Verbindung mit Exchange Online her:
Connect-ExchangeOnlineSchließen Sie die Authentifizierung als die Rolle ab, die für das spezifische Feature erforderlich ist, für das Sie die Richtlinie erstellen.
Führen Sie das Cmdlet Get-VivaModuleFeature aus, um die Features anzuzeigen, die Sie mithilfe einer Zugriffsrichtlinie verwalten können.
Führen Sie beispielsweise das folgende Cmdlet aus, um zu sehen, welche Features in Viva Insights unterstützt werden:
Get-VivaModuleFeature -ModuleId VivaInsightsSuchen Sie das Feature, für das Sie eine Zugriffsrichtlinie erstellen möchten, und notieren Sie sich dessen featureID.
Erstellen einer Zugriffsrichtlinie
Nachdem Sie nun über die featureID verfügen, verwenden Sie das PowerShell-Cmdlet Add-VivaModuleFeaturePolicy , um eine Zugriffsrichtlinie für das Feature zu erstellen.
Sie können Benutzern und Gruppen maximal 10 Richtlinien pro Feature zuweisen. Jede Richtlinie kann maximal 20 Benutzern oder Gruppen zugewiesen werden. Sie können dem gesamten Mandanten eine zusätzliche Richtlinie pro Feature zuweisen, indem Sie den Parameter -Everyone verwenden, der als globaler Standardzustand für dieses Feature in Ihrem organization fungiert.
Führen Sie das Cmdlet Add-VivaModuleFeaturePolicy aus, um eine neue Zugriffsrichtlinie zu erstellen.
Hinweis
Wenn Ihr Feature Benutzersteuerelemente für die Deaktivierung unterstützt, stellen Sie sicher, dass Sie beim Erstellen der Richtlinie den Parameter IsUserControlEnabled festlegen. Andernfalls verwenden Benutzersteuerelemente für die Richtlinie den Standardzustand für das Feature.
Führen Sie beispielsweise folgendes aus, um eine Zugriffsrichtlinie namens UsersAndGroups zu erstellen, um den Zugriff auf das Reflektionsfeature in Viva Insights einzuschränken.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
In diesem Beispiel wird eine Richtlinie für das Reflektionsfeature in Viva Insights hinzugefügt. Die Richtlinie deaktiviert das Feature für die angegebenen Benutzer und Gruppenmitglieder. Wenn Sie das Feature für alle Benutzer deaktivieren möchten, verwenden Sie stattdessen den Parameter -Everyone .
Verwalten von Zugriffsrichtlinien
Sie können eine Zugriffsrichtlinie aktualisieren, um zu ändern, ob ein Feature aktiviert oder deaktiviert ist, und um zu ändern, für wen die Richtlinie gilt (jeder, ein Benutzer oder eine Gruppe).
Führen Sie z. B. basierend auf unserem letzten Beispiel das folgende Cmdlet aus, um zu aktualisieren, für wen die Richtlinie gilt:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Wenn Ihre Richtlinie Benutzersteuerelemente unterstützt, schließen Sie genau wie beim Erstellen der Richtlinie den Parameter IsUserControlEnabled ein, wenn Sie die Richtlinie ändern.
Wichtig
Werte, die Sie für die Parameter -UserIds und -GroupIds oder den Parameter -Everyone angeben, überschreiben alle vorhandenen Benutzer oder Gruppen. Um die vorhandenen Benutzer und Gruppen beizubehalten, müssen Sie diese vorhandenen Benutzer oder Gruppen sowie alle zusätzlichen Benutzer oder Gruppen angeben, die Sie hinzufügen möchten. Wenn vorhandene Benutzer oder Gruppen nicht in den Befehl eingeschlossen werden, werden diese spezifischen Benutzer oder Gruppen effektiv aus der Richtlinie entfernt. Sie können eine Richtlinie für einen bestimmten Benutzer oder eine gruppe nicht aktualisieren, um den gesamten Mandanten einzuschließen, wenn für das Feature bereits eine Richtlinie für den gesamten Mandanten vorhanden ist. Es wird nur eine mandantenweite Richtlinie unterstützt.
Um zu überprüfen, welche Features für einen bestimmten Benutzer oder eine bestimmte Gruppe deaktiviert sind, führen Sie das Cmdlet Get-VivaModuleFeatureEnablement aus . Dieses Cmdlet gibt die so genannte Aktivierungs-status für den Benutzer oder die Gruppe zurück.
Zum Beispiel:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Löschen einer Zugriffsrichtlinie
Verwenden Sie das Cmdlet Remove-VivaModuleFeaturePolicy , um eine Zugriffsrichtlinie zu löschen.
Wenn Sie beispielsweise die Zugriffsrichtlinie reflektionsfeatures löschen möchten, rufen Sie zunächst die spezifische UID für die Zugriffsrichtlinie ab. Sie können diese abrufen, indem Sie Get-VivaModuleFeaturePolicy ausführen. Führen Sie dann das folgende Cmdlet aus:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Problembehandlung
- Wenn Sie Probleme beim Erstellen oder Verwenden von Zugriffsrichtlinien für Viva App-Features haben, vergewissern Sie sich, dass das Feature, für das Sie eine Richtlinie festlegen möchten, in der Featuretabelle aufgeführt ist und für Ihren Mandanten verfügbar ist.
- Wenn beim Ausführen eines PowerShell-Cmdlets die Fehlermeldung "Der Anfordernde war nicht autorisiert, die Anforderung abzuschließen" angezeigt wird, überprüfen Sie, ob Eine Richtlinie für bedingten Zugriff festgelegt ist, die bestimmte IP-Adressen blockiert. Wenn ja, entfernen Sie entweder Ihre IP-Adresse aus dieser Richtlinie, oder erstellen Sie eine neue Richtlinie, um Ihre IP-Adresse in die Positivliste zu setzen. Erfahren Sie mehr über Microsoft Entra bedingten Zugriff und Problembehandlung für bedingten Zugriff mit dem Was-wäre-wenn-Tool.
Weitere Ressourcen
Weitere Informationen zum Erstellen und Verwalten von Richtlinien