嘿，我来帮你梳理下这两个场景下的实现方案，都是基于Bot Framework的常规配置+代码逻辑结合的方式，亲测靠谱：

1. 先锁定租户范围 #

在Bot Framework门户配置Skype for Business渠道时，直接选择「仅我的租户」选项，这一步先把机器人的访问范围缩小到你的Office 365租户内，避免外部用户访问。

2. 代码层校验特定用户 #

当用户发起交互时，Bot会收到包含用户身份信息的Activity对象，你可以维护一个允许访问的用户列表（比如存在Azure App Configuration或本地配置文件），在处理消息前做校验：

// C# 示例：处理消息前验证用户权限
protected override async Task OnMessageActivityAsync(ITurnContext<IMessageActivity> turnContext, CancellationToken cancellationToken)
{
    // 获取用户标识（Skype for Business里通常是用户的UPN）
    string userUpn = turnContext.Activity.From.Name;
    string tenantId = turnContext.Activity.ChannelData?["Tenant"]?["Id"]?.ToString();

    // 从配置读取允许的用户列表
    var allowedUsers = new List<string> { "user1@contoso.com", "user2@contoso.com" };

    // 校验用户是否在允许列表内
    if (!allowedUsers.Contains(userUpn))
    {
        await turnContext.SendActivityAsync(MessageFactory.Text("抱歉，你没有权限访问此机器人。"), cancellationToken);
        return;
    }

    // 正常处理用户请求
    await turnContext.SendActivityAsync(MessageFactory.Text("欢迎使用机器人！"), cancellationToken);
}

小贴士：可以先通过调试获取用户实际的UPN格式，再配置到允许列表里，避免格式不匹配的问题。

3. 进阶：结合Azure AD角色控制（可选） #

如果不想硬编码用户列表，你可以在Azure AD中给机器人应用创建自定义角色，然后给特定用户/组分配该角色，再在Bot代码中调用Microsoft Graph API验证用户的角色权限，这样管理更灵活。

Teams有三种常用方案，你可以根据需求选择：

方法1：纯配置实现（无需代码） #

通过Teams Admin Center控制应用发布范围：

• 登录Teams Admin Center，进入「Teams应用」->「管理应用」
• 找到你的机器人应用，点击「发布」
• 在「发布范围」里选择「特定用户/组」，添加目标用户或安全组
• 保存后，只有这些用户能在Teams应用商店看到并安装你的机器人

方法2：代码层用户校验 #

和Skype for Business逻辑类似，通过Activity对象获取用户信息并校验：

// C# 示例：Teams机器人的用户权限校验
protected override async Task OnMessageActivityAsync(ITurnContext<IMessageActivity> turnContext, CancellationToken cancellationToken)
{
    // 从ChannelData获取更准确的用户UPN
    var channelData = turnContext.Activity.ChannelData as JObject;
    string userUpn = channelData?["user"]?["userPrincipalName"]?.ToString();

    var allowedUsers = new List<string> { "user1@contoso.com", "user2@contoso.com" };

    if (!allowedUsers.Contains(userUpn))
    {
        await turnContext.SendActivityAsync(MessageFactory.Text("你没有权限使用此机器人。"), cancellationToken);
        return;
    }

    // 正常处理业务逻辑
    await turnContext.SendActivityAsync(MessageFactory.Text("Hello from Teams bot!"), cancellationToken);
}

方法3：通过Teams应用清单配置角色权限 #

在Teams应用的manifest.json中添加权限配置，结合Azure AD角色分配：

"authorization": {
    "permissions": {
        "resourceSpecific": [
            {
                "name": "chatbot.read",
                "type": "User"
            }
        ]
    },
    "roles": [
        {
            "name": "BotAccessUser",
            "description": "Users authorized to access the bot"
        }
    ]
}

然后在Azure AD中给特定用户/组分配「BotAccessUser」角色，这样只有被分配角色的用户才能访问机器人。

内容的提问来源于stack exchange，提问作者Koushik