Freigeben über


Erteilen und Verwalten der Zustimmung zu Teams-App-Berechtigungen

Die Verwendung von Teams-Apps kann die Produktivität und Zusammenarbeit zwischen den Benutzern Ihrer organization enorm steigern. Teams-Apps bieten Informationen zu den Tipps Ihrer Benutzer, ohne dass der Kontext wechselt, und helfen ihnen dabei, großartige Arbeit zu leisten. Als Administrator spielen Sie eine wichtige Rolle, um Ihre Benutzer mit dem richtigen Typ von Apps zu unterstützen und gleichzeitig die Anforderungen Ihres Unternehmens an Sicherheit und Compliance abzuwägen. Nachdem Sie sich entschieden haben, die Verwendung einer App zu genehmigen, müssen Sie sicherstellen, dass die App-Einführung für die Benutzer reibungslos verläuft.

Ein wichtiger Teil ist das Erteilen der Zustimmung zu den Berechtigungen, die eine App benötigt, um zu funktionieren. Sie stimmen genehmigten Apps zu, damit jeder Benutzer in Ihrem organization berechtigungen und zustimmungen nicht einzeln überprüfen muss, wenn er die App startet. Einige Beispiele für von Apps angeforderte Berechtigungen umfassen die Möglichkeit, in einem Team gespeicherte Informationen zu lesen, das Profil eines Benutzers zu lesen und eine E-Mail im Namen von Benutzern zu senden. Weitere Informationen zu Berechtigungen und Zustimmung finden Sie unter Berechtigungen und Zustimmung im Microsoft Identity Platform-Endpunkt.

Um die Anforderungen des Unternehmens zu schützen und seine Richtlinien einzuhalten, können nur globale Administratoren im Namen aller Benutzer in Ihrem organization die Zustimmung zu App-Berechtigungen erteilen. Die Option zum Anzeigen von Details und anforderung zum Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Apps von Drittanbietern und nicht für die von Microsoft bereitgestellten Apps.

Anzeigen von Microsoft Graph-Berechtigungen, die von einer App angefordert werden

Auf der Seite Apps verwalten gibt die Spalte Berechtigungen an, ob eine App über Berechtigungen verfügt, für die eine Zustimmung erforderlich ist. Wählen Sie den Link Details anzeigen für eine App aus, um die verschiedenen Berechtigungen und den Zugriff auf die von der App angeforderten Informationen organization anzuzeigen. Die Option zum Anzeigen von Details und Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Drittanbieter-Apps und nicht für die von Microsoft bereitgestellten Apps.

Durch das Erteilen der Zustimmung zu solchen Berechtigungen kann eine App auf die Informationen Ihrer organization zugreifen. Überprüfen Sie sorgfältig die von der App angeforderten Berechtigungen, bevor Sie ihre Zustimmung erteilen. Weitere Informationen finden Sie unter Berechtigungen und Zustimmung zu Teams-Apps. Nur globale Administratoren können die Zustimmung zu den Von einer App angeforderten Graph-Berechtigungen erteilen. Teams-Administratoren können die erforderlichen Berechtigungen im Admin Center anzeigen. Die Option zum Anzeigen von Details und Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Drittanbieter-Apps und nicht für die von Microsoft bereitgestellten Apps.

Führen Sie die folgenden Schritte aus, um die Zustimmung für alle Benutzer in Ihrem organization anzuzeigen und zu erteilen:

  1. Greifen Sie im Teams Admin Center auf Teams-Apps>Apps verwalten zu.

  2. Suchen Sie nach der erforderlichen App, und führen Sie dann eine der folgenden Aktionen aus:

    • Wählen Sie den Link Details anzeigen in der Spalte Berechtigungen der App aus, um die Registerkarte Berechtigungen zu öffnen.
    • Wählen Sie den App-Namen aus, um zur Seite mit den App-Details zu wechseln, und wählen Sie die Registerkarte Berechtigungen aus.
  3. Wählen Sie unter Organisationsweite Berechtigungen die Option Berechtigungen überprüfen und zustimmen aus.

    Screenshot: Option zum Erteilen der Zustimmung zu Graph-Berechtigungen, die für eine App angefordert wurden

  4. Überprüfen Sie im daraufhin geöffneten Dialogfeld die von der App angeforderten Berechtigungen.

    Screenshot des Dialogfelds, in dem die Zustimmung für die von einer App angeforderten Berechtigungen akzeptiert wird

  5. Wenn Sie mit den von der App angeforderten Berechtigungen einverstanden sind, wählen Sie Akzeptieren aus, um die Zustimmung zu erteilen. Eine Bestätigung auf der Registerkarte "Berechtigungen" lässt Sie wissen, dass die Zustimmung für die App verfügbar ist. Die App hat jetzt Zugriff auf die angegebenen Ressourcen für alle Benutzer in Ihrem organization für die die App zulässig ist. Benutzer werden jetzt nicht aufgefordert, die Berechtigungen zu überprüfen.

    Screenshot: Bestätigung nach dem Erteilen der Zustimmung zu App-Berechtigungen

Hinweis

Wenn der Entwickler in der neuen Version der App zusätzliche Berechtigungen hinzufügt, die die Administratoreinwilligung erfordern, können Benutzer die App erst verwenden, wenn Sie der aktualisierten App ihre Zustimmung erteilen.

Sie können Einstellungen für die Benutzereinwilligung konfigurieren, damit Benutzer ausgewählten Berechtigungen zustimmen (empfohlener Ansatz) und Apps verwenden können, die nur diese spezifischen Berechtigungen erfordern, ohne dass eine Administratoreinwilligung erforderlich ist.

Dieser Ansatz funktioniert zusammen mit der Berechtigungsklassifizierung in Microsoft Entra ID Portal. Mit der Klassifizierung können Administratoren einige delegierte Graph-Berechtigungen als Berechtigungen mit geringem Risiko innerhalb ihrer organization definieren. Administratoren entscheiden basierend auf dem Risikostatus ihrer organization, welche Berechtigungen mit geringem Risiko vorhanden sind. Aus Sicherheitsgründen können Sie Anwendungsberechtigungen nicht mit geringem Risiko kategorisieren.

Sie können Die Einstellungen für die Benutzerzustimmung so konfigurieren, dass Benutzer Folgendes ausführen können:

  • Sie können keinem Apps zustimmen und daher nur vom Administrator genehmigte Apps verwenden.
  • Stimmen Sie ausgewählten Berechtigungen zu (empfohlener Ansatz), und verwenden Sie eine App, die nur diese spezifischen Berechtigungen erfordert.

Der empfohlene Ansatz funktioniert zusammen mit der Berechtigungsklassifizierung. Mit der Klassifizierung können Administratoren einige oder alle berechtigungen des delegierten Graphs als Berechtigungen mit geringem Risiko innerhalb ihrer organization definieren. Administratoren entscheiden berechtigungen mit geringem Risiko basierend auf dem Risikostatus ihrer organization. Aus Sicherheitsgründen können Sie Anwendungsberechtigungen nicht mit geringem Risiko kategorisieren. Anwendungsberechtigungen erfordern nur die Zustimmung eines Administrators. Weitere Informationen finden Sie unter Konfigurieren, wie Benutzer Anwendungen zustimmen und Berechtigungen als niedriges oder hohes Risiko klassifizieren.

Die Rollen, die diese Konfiguration durchführen können, sind globaler Administrator, Anwendungsadministrator oder Cloudanwendungsadministrator. Es wird empfohlen, eine niedrigere Berechtigungsrolle wie Anwendungsadministrator zu verwenden.

Nachdem Sie die Zustimmung zu Berechtigungen einer App erteilt haben, wird auf der Registerkarte Berechtigungen eine Bestätigung angezeigt, mit der Sie darüber informiert werden, dass die Zustimmung für die App-Berechtigungen verfügbar ist. Wenn Sie Details zu den einzelnen App-Berechtigungen anzeigen möchten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei Microsoft Entra Admin Center an.

  2. Wählen Sie Anwendungen>Unternehmensanwendungen aus.

  3. Wählen Sie eine Anwendung aus, um deren Berechtigungen anzuzeigen. Wählen Sie auf der Anwendungsseite Berechtigungen aus.

    Screenshot: Entra-Benutzeroberfläche zum Anzeigen und Verwalten der erteilten Zustimmung zu den Berechtigungen einer App.

  4. Wählen Sie eine Berechtigung aus, um weitere Details dazu zu erfahren.

    Screenshot: Details zu einer ausgewählten Berechtigung

Führen Sie die folgenden Schritte aus, um die Einwilligung zu widerrufen, die Sie zuvor für eine App erteilt haben:

  1. Wählen Sie auf der Registerkarte Berechtigungen den Link Microsoft Entra ID aus, um die Berechtigungen der App in Microsoft Entra Admin Center zu öffnen.

  2. Wählen Sie auf der Registerkarte Admin Zustimmung die Berechtigung aus, die Sie widerrufen möchten, und wählen Sie dann die Auslassungspunkte ...aus.

  3. Wählen Sie Berechtigung widerrufen und dann ja , widerrufen im Bestätigungsdialogfeld aus.

    Screenshot: Option zum Widerrufen einer Graph-Berechtigung einer App im Microsoft Entra Admin Center

Nachdem Sie die Zustimmung zu einigen Berechtigungen widerrufen haben, können Sie die Zustimmung erteilen. Weitere Informationen finden Sie unter Erteilen der organisationsweiten Administratoreinwilligung für die Berechtigungen einer App.

Entwickler aktualisieren Apps, um neue Funktionen hinzuzufügen, vorhandene Funktionen zu verbessern oder Fehler zu beheben. Einige App-Updates fügen möglicherweise neue Berechtigungen hinzu, die nicht Teil der vorherigen Version der App waren. Wenn der Entwickler neue Berechtigungen hinzufügt, die die Administratoreinwilligung erfordern, müssen Sie den neuen Berechtigungen zustimmen. Der Reconsent-Flow ist der gleiche wie unter Erteilen der organisationsweiten Administratoreinwilligung für die Berechtigungen einer App beschrieben.

Informationen zu App-Änderungen, die die Zustimmung eines Benutzers oder Administrators erfordern, finden Sie unter Bedingungen, wenn für ein App-Update die Zustimmung erforderlich ist. Abhängig von der Konfiguration Ihrer organization können Benutzer möglicherweise einigen Berechtigungstypen ihre Zustimmung erteilen.

Mit ressourcenspezifischen Zustimmungsberechtigungen (RSC) kann eine App auf die Daten eines Teams oder Benutzers zugreifen und diese ändern. RSC-Berechtigungen sind präzise und spezifisch für das Teams-Team, in dem eine App hinzugefügt wird. Einige Beispiele für RSC-Berechtigungen sind die Möglichkeit, Kanäle in einem Team zu erstellen und zu löschen, die Einstellungen für ein Team abzurufen und Kanalregister zu erstellen und zu entfernen.

RSC-Berechtigungen werden im App-Manifest und nicht in Microsoft Entra Admin Center definiert. Teambesitzer können die Zustimmung für solche Berechtigungen erteilen, wenn sie die App einem Team oder einem Chat hinzufügen. Weitere Informationen finden Sie unter Ressourcenspezifische Zustimmung (RSC).

Sie können RSC-Berechtigungen für eine App auf der Registerkarte Berechtigungen der App-Detailseite anzeigen. Die RSC-Berechtigungen werden zusammen mit den anderen Berechtigungen in den Abschnitten Anwendungsberechtigungen und Delegierte Berechtigungen aufgeführt.

Administratoren können konfigurieren, ob Benutzer Apps den Zugriff auf die Daten ihrer Gruppen oder Teams erlauben können. Globale Administratoren können die Zustimmung des Gruppenbesitzers für Apps, die auf Dateneinstellungen in Microsoft Entra ID zugreifen, ändern, um Benutzern die Zustimmung zu RSC-Berechtigungen zu ermöglichen.

Wenn Sie die Zustimmung des Gruppenbesitzers für Apps nicht zulassen, können Benutzer den RSC-Berechtigungen in einer App nicht zustimmen, wenn RSC-Berechtigungen verwendet werden.