Управление доступом к функциям в Viva с помощью PowerShell

Статья
02/20/2025

Политики доступа в Viva можно использовать для управления доступом пользователей к определенным функциям в Viva приложениях с помощью PowerShell. Управление доступом к функциям позволяет включать или отключать определенные функции в Viva для определенных групп или пользователей в клиенте и адаптировать развертывания в соответствии с местными нормативными и бизнес-требованиями.

Авторизованный администратор в клиенте может создавать, назначать политики доступа и управлять ими с помощью PowerShell. Когда пользователь входит в Viva, применяются параметры политики, и он видит только функции, которые не были отключены.

Важно!

Вы можете использовать несколько политик доступа для функции, активной в вашей организации. Это означает, что на пользователя или группу могут повлиять несколько политик. В этом случае приоритет имеет наиболее строгая политика, назначенная непосредственно пользователю или группе. Дополнительные сведения см. в разделе Принцип работы политик доступа в Viva.

Требования

Перед созданием политики доступа в Viva необходимо:

Поддерживаемая версия Microsoft 365 или лицензия Viva Suite
Доступ к Exchange Online PowerShell версии 3.2.0 или более поздней. Если вам нужно использовать группы, не поддерживающие почту, у вас должен быть доступ к Exchange PowerShell версии 3.5.1 или более поздней.
Учетные записи пользователей, созданные в или синхронизированные с Microsoft Entra ID
Группы Microsoft 365, Microsoft Entra группы безопасности, созданные или синхронизированные с Microsoft Entra ID или группами рассылки.
Роль, необходимая для конкретного приложения и функции.

Важно!

Эти функции еще не доступны в GCC High или DoD. Сведения о GCC см. в документации по конкретному приложению.

Создание политик доступа для функций Viva и управление ими

Политики могут создаваться и управляться администратором Viva, у которого есть разрешения на это в Центр администрирования Microsoft 365 или с помощью PowerShell. Получите все сведения о создании политик и управлении ими.

Получение идентификатора компонента

Прежде чем создавать политику доступа, используйте ModuleID , чтобы получить идентификатор компонента для конкретной функции, к которой вы хотите управлять доступом.

Идентификаторы модулей

Приложение	ModuleID
Взаимодействие	VivaEngage
Glint	VivaGlint
Цели	VivaGoals
Insights	VivaInsights
Пульс	VivaPulse
Навыки	VivaSkills

Используйте командлет PowerShell Get-VivaModuleFeature, чтобы получить список всех функций, доступных в конкретном приложении Viva, и связанных с ними идентификаторов.

Установите Exchange Online PowerShell версии 3.2.0 или более поздней:
```
Install-Module -Name ExchangeOnlineManagement
```
Подключитесь к Exchange Online с учетными данными администратора:
```
Connect-ExchangeOnline
```
Выполните проверку подлинности в качестве роли, необходимой для конкретной функции, для которую вы создаете политику.
Выполните командлет Get-VivaModuleFeature , чтобы просмотреть функции, которыми можно управлять с помощью политики доступа.

Например, чтобы узнать, какие функции поддерживаются в Viva Insights, выполните следующий командлет:
```
Get-VivaModuleFeature -ModuleId VivaInsights
```
Найдите функцию, для которую вы хотите создать политику доступа, и запишите ее featureID.

Создать политику доступа

Теперь, когда у вас есть featureID, используйте командлет PowerShell Add-VivaModuleFeaturePolicy , чтобы создать политику доступа для этой функции.

Пользователям и группам можно назначить не более 10 политик на каждую функцию. Каждая политика может быть назначена не более 20 пользователям или группам. Вы можете назначить одну дополнительную политику для каждого компонента всему клиенту с помощью параметра -Все , который будет функционировать как глобальное состояние по умолчанию для этой функции в вашей организации.

Выполните командлет Add-VivaModuleFeaturePolicy , чтобы создать новую политику доступа.

Примечание.

Если функция поддерживает пользовательские элементы управления для отказа, убедитесь, что при создании политики задан параметр IsUserControlEnabled . В противном случае пользовательские элементы управления для политики используют состояние по умолчанию для компонента.

Например, выполните следующую команду, чтобы создать политику доступа с именем UsersAndGroups, чтобы ограничить доступ к функции отражения в Viva Insights.

Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com

В этом примере добавляется политика для функции отражения в Viva Insights. Политика отключает функцию для указанных пользователей и членов группы. Если вы хотите отключить эту функцию для всех пользователей, используйте вместо этого параметр -All .

Управление политиками доступа

Вы можете обновить политику доступа, чтобы изменить, включена или отключена функция, а также изменить, к кому применяется политика (все, пользователь или группа).

Например, на основе нашего последнего примера, чтобы обновить, к кому применяется политика, выполните следующий командлет:

Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com

Как и при создании политики, если политика поддерживает пользовательские элементы управления, включите параметр IsUserControlEnabled при изменении политики.

Важно!

Значения, указанные для параметров -UserIds и -GroupIds или параметра -All , перезаписывают все существующие пользователи или группы. Чтобы сохранить существующих пользователей и группы, необходимо указать этих существующих пользователей или группы , а также всех дополнительных пользователей или групп, которые вы хотите добавить. Если не включить в команду существующих пользователей или групп, эти пользователи или группы будут удалены из политики. Вы не можете обновить политику для конкретного пользователя или группы, чтобы включить весь клиент, если для функции уже существует политика для всего клиента . Поддерживается только одна политика на уровне клиента.

Чтобы проверка, какие функции отключены для конкретного пользователя или группы, выполните командлет Get-VivaModuleFeatureEnablement. Этот командлет возвращает то, что называется состоянием включения для пользователя или группы.

Например:

Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com

Удаление политики доступа

Используйте командлет Remove-VivaModuleFeaturePolicy , чтобы удалить политику доступа.

Например, чтобы удалить политику доступа к функции отражения, начните с получения определенного идентификатора пользовательского интерфейса для политики доступа. Это можно получить, выполнив командлет Get-VivaModuleFeaturePolicy. Затем запустите следующий командлет:

Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Устранение неполадок

Если у вас возникли проблемы с созданием или использованием политик доступа для функций Viva приложений, убедитесь, что функция, для которую вы пытаетесь задать политику, указана в таблице компонентов и доступна вашему клиенту.
Если во время выполнения командлета PowerShell отображается сообщение об ошибке "Инициатор запроса не был авторизован на выполнение запроса", проверка, если у вас есть какая-либо политика условного доступа, блокирующая определенные IP-адреса. Если это так, удалите IP-адрес из этой политики или создайте новую политику, чтобы разрешить список IP-адресов. Дополнительные сведения о Microsoft Entra условного доступа и устранении неполадок с условным доступом с помощью средства "Что если".