第一章:MCP MS-720 Teams AI 插件的权限设置
在部署 Microsoft Teams 中的 MCP MS-720 AI 插件时,合理的权限配置是保障功能正常运行与数据安全的关键环节。管理员需通过 Microsoft 365 后台对应用权限进行精细化控制,确保插件既能访问必要的资源,又不会超出最小权限原则。
配置 Azure AD 应用权限
MS-720 插件依赖于 Azure Active Directory 注册的应用程序来获取身份验证和授权能力。必须为该应用分配以下关键权限:
- TeamsActivity.Read:允许插件读取用户在 Teams 中的活动状态
- Chat.Read.All:用于访问团队聊天上下文(需管理员同意)
- OnlineMeetings.ReadWrite:支持会议中 AI 实时参与和记录生成
这些权限应在 Azure 门户的“企业应用程序”或“应用注册”中手动添加并完成管理员授予权限操作。
使用 PowerShell 批量分配角色
可通过 PowerShell 脚本自动化为用户组分配插件所需权限:
# 连接到 Microsoft Graph
Connect-MgGraph -Scopes "Application.ReadWrite.All", "RoleManagement.ReadWrite.Directory"
# 定义插件服务主体名称
$appDisplayName = "MCP MS-720 AI Plugin"
# 获取服务主体对象
$servicePrincipal = Get-MgServicePrincipal -Filter "DisplayName eq '$appDisplayName'"
# 获取目录角色模板(例如:应用管理员)
$roleTemplate = Get-MgDirectoryRoleTemplate | Where-Object { $_.DisplayName -eq "Application Administrator" }
# 分配角色给用户组(假设已知组ID)
New-MgDirectoryRoleAssignment -DirectoryScopeId "/" `
-AppRoleId $roleTemplate.Id `
-PrincipalId "your-user-group-object-id"
此脚本适用于大规模部署场景,确保权限一致性和可审计性。
权限策略对比表
| 权限级别 | 适用角色 | 可访问资源 |
|---|
| 只读模式 | 普通用户 | 个人日程、在线状态 |
| 协作模式 | 团队成员 | 群聊内容、会议记录 |
| 管理权限 | IT 管理员 | 全租户日志、配置设置 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
