Benutzeroberfläche für die Zustimmung für Anwendungen in Microsoft Entra ID
In diesem Artikel erfahren Sie mehr über die Einwilligungsoberfläche für Microsoft Entra-Anwendungen. Sie können also auf intelligente Weise Anwendungen für Ihre Organisation verwalten und/oder Anwendungen mit einer nahtloseren Einwilligungserfahrung entwickeln.
Einwilligung ist der Prozess, mit dem ein Benutzer einer Anwendung die Autorisierung für den Zugriff auf geschützte Ressourcen in seinem Auftrag gewährt. Ein Administrator oder Benutzer kann zur Einwilligung aufgefordert werden, um den Zugriff auf seine Organisations-/individuellen Daten zuzulassen.
Die tatsächliche Benutzererfahrung des Erteilens der Einwilligung variiert in Abhängigkeit von den auf dem Mandanten des Benutzers festgelegten Richtlinien, dem Gültigkeitsbereich der Autorität (oder Rolle) des Benutzers und dem Typ der Berechtigungen, die von der Clientanwendung angefordert werden. Dies bedeutet, dass Anwendungsentwickler und Mandantenadministratoren eine gewisse Kontrolle über die Einwilligungserfahrung haben. Administratoren besitzen die Flexibilität, Richtlinien für einen Mandanten oder eine App festzulegen oder zu deaktivieren, um die Einwilligungserfahrung in ihrem Mandanten zu kontrollieren. Anwendungsentwickler können diktieren, welche Arten von Berechtigungen angefordert werden. Sie können auch entscheiden, ob sie Benutzer durch den Benutzerzustimmungsfluss oder den Administratorzustimmungsfluss führen möchten.
- Benutzereinwilligungsflow ist, wenn ein Anwendungsentwickler Benutzer mit der Absicht zum Autorisierungsendpunkt weiterleitet, die Einwilligung nur für den aktuellen Benutzer aufzuzeichnen.
-
Administratoreinwilligungsflow ist, wenn ein Anwendungsentwickler Benutzer mit der Absicht zum Administratoreinwilligungs-Endpunkt weiterleitet, die Einwilligung für den gesamten Mandanten aufzuzeichnen. Um sicherzustellen, dass der Administratoreinwilligungsflow ordnungsgemäß funktioniert, müssen Anwendungsentwickler alle Berechtigungen in der Eigenschaft
RequiredResourceAccessim Anwendungsmanifest auflisten. Weitere Informationen finden Sie unter Anwendungsmanifest.
Bausteine der Einwilligungsaufforderung
Die Einwilligungsaufforderung ist darauf ausgelegt, sicherzustellen, dass Benutzer über ausreichende Informationen verfügen, um zu bestimmen, ob sie der Clientanwendung so vertrauen, dass sie auf geschützte Ressourcen in ihrem Namen zugreifen darf. Das Verständnis der Bausteine hilft Benutzern, die Ihre Einwilligung geben, fundiertere Entscheidungen zu treffen, und hilft Entwicklern, bessere Benutzererfahrungen zu erstellen.
Das Diagramm und die Tabelle im Folgenden bieten Informationen über die Bausteine der Einwilligungsaufforderung.
| # | Komponente | Zweck |
|---|---|---|
| 1 | Benutzer-ID | Dieser Bezeichner stellt den Benutzer dar, von dem die Clientanwendung den Zugriff auf geschützte Ressourcen in seinem Auftrag anfordert. |
| 2 | Titel | Der Titel ändert sich basierend darauf, ob die Benutzer den Benutzer- oder Administratoreinwilligungsflow durchlaufen. Im Benutzerzustimmungsfluss lautet der Titel "Berechtigungen angefordert", während im Administratorzustimmungsfluss der Titel eine weitere Zeile "Akzeptieren für Ihre Organisation" aufweist. |
| 3 | App-Logo | Dieses Bild sollte Benutzern einen visuellen Hinweis geben, ob diese App die App ist, auf die sie zugreifen wollten. Dieses Bild wird von den Anwendungsentwicklern bereitgestellt, und der Besitz für dieses Bild wird nicht überprüft. |
| 4 | App-Name | Dieser Wert sollte Benutzer darüber informieren, welche Anwendung Zugriff auf ihre Daten anfordert. Beachten Sie, dass dieser Name von den Entwicklern bereitgestellt wird, und dass der Besitz an diesem App-Namen nicht überprüft wird. |
| 5 | Herausgebername und Überprüfung | Das blaue "überprüfte" Signal bedeutet, dass der App-Herausgeber seine Identität mit einem Microsoft Partner Network-Konto überprüft und den Überprüfungsprozess abgeschlossen hat. Wenn die App durch den Herausgeber verifiziert wurde, wird der Herausgebername angezeigt. Wenn die App nicht durch den Herausgeber verifiziert wurde, wird anstelle eines Herausgebernamens „Nicht verifiziert“ angezeigt. Weitere Informationen finden Sie unter Herausgeberüberprüfung. Wenn Sie den Herausgebernamen auswählen, werden weitere App-Informationen als verfügbar angezeigt. Die Informationen umfassen den Herausgebernamen, die Herausgeberdomäne, das Erstellungsdatum, die Zertifizierungsdetails und Antwort-URLs. |
| 6 | Microsoft 365-Zertifizierung | Das Microsoft 365-Zertifizierungslogo bedeutet, dass eine App auf Steuerelemente überprüft wird, die von führenden Branchenstandardframeworks abgeleitet sind. Es zeigt, dass starke Sicherheits- und Compliancepraktiken vorhanden sind, um Kundendaten zu schützen. Weitere Informationen finden Sie unter Worum handelt es sich bei der Microsoft 365-Zertifizierung?. |
| 7 | Informationen zum Herausgeber | Zeigt an, ob die Anwendung von Microsoft veröffentlicht wird. |
| 8 | Berechtigungen | Diese Liste enthält die Berechtigungen, die von der Clientanwendung angefordert werden. Benutzer sollten immer die Arten von Berechtigungen auswerten, die angefordert werden, um zu verstehen, welche Daten die Clientanwendung für den Zugriff in ihrem Auftrag autorisiert ist. Als Anwendungsentwickelnde sollte der Zugriff auf die Berechtigungen mit den geringsten Rechten angefordert werden. |
| 9 | Berechtigungsbeschreibung | Dieser Wert wird vom Dienst bereitgestellt, der die Berechtigungen verfügbar macht. Um die Berechtigungsbeschreibung anzuzeigen, müssen Sie das Chevron neben den Berechtigungen umschalten. |
| 10 | https://myapps.microsoft.com |
Mit diesem Link können Benutzer alle Nicht-Microsoft-Anwendungen überprüfen und entfernen, die derzeit Zugriff auf ihre Daten haben. |
| 11 | Hier melden | Dieser Link wird verwendet, um eine verdächtige App zu melden, wenn Sie der App nicht vertrauen, wenn Sie der Meinung sind, dass sie eine andere App annehmen, wenn sie wahrscheinlich Ihre Daten missbraucht oder aus einem anderen Grund. |
Allgemeine Szenarien und Einwilligungserfahrungen
Im folgenden Abschnitt werden die gängigen Szenarien und die erwartete Einwilligungserfahrung dafür beschrieben.
App erfordert eine Berechtigung, die der Benutzer erteilen kann
In diesem Einwilligungsszenario greift der Benutzer auf eine App zu, für die eine Berechtigung festgelegt werden muss, die im Autoritätsbereichs des Benutzers liegt. Der Benutzer wird an den Benutzerzustimmungsflow weitergeleitet.
Administratoren sehen ein weiteres Steuerelement für die herkömmliche Zustimmungsaufforderung, mit der sie die Zustimmung im Namen des gesamten Mandanten erteilen können. Das Steuerelement ist standardmäßig deaktiviert, sodass Administratoren das Kontrollkästchen explizit aktivieren müssen, damit die Zustimmung im Namen des gesamten Mandanten erteilt wird. Das Kontrollkästchen wird nur für Benutzer angezeigt, die mindestens die Rolle "Privilegierter Rollenadministrator"haben. Daher sehen Cloud-Admins und App-Admins dieses Kontrollkästchen nicht.
Benutzern wird die herkömmliche Einwilligungsaufforderung angezeigt.
Die App erfordert eine Berechtigung, die der Benutzer nicht erteilen kann
In diesem Einwilligungsszenario greift der Benutzer auf eine App zu, die mindestens eine Berechtigung erfordert, die außerhalb des Autoritätsbereichs des Benutzers liegt.
Administratoren sehen ein weiteres Steuerelement für die herkömmliche Zustimmungsaufforderung, mit der sie im Namen des gesamten Mandanten zustimmen können.
Benutzer, die keine Administratoren sind, werden am Erteilen ihrer Einwilligung für die Anwendung gehindert und darauf hingewiesen, ihren Administrator um Zugriff auf die App zu bitten. Wenn der Workflow für die Administratoreinwilligung im Mandanten des Benutzers aktiviert ist, können Benutzer, die keine Administratoren sind, über die Einwilligungsaufforderung eine Anforderung für die Administratorgenehmigung senden. Weitere Informationen zum Workflow für die Administratoreinwilligung finden Sie unter Workflow für die Administratoreinwilligung.
Benutzer wird zum Administratoreinwilligungsflow weitergeleitet
In diesem Einwilligungsszenario navigiert der Benutzer zum Flow für die Administratoreinwilligung oder wird dorthin geleitet.
Administratorbenutzern wird die Administratoreinwilligungsaufforderung angezeigt. Der Titel und die Berechtigungsbeschreibungen in dieser Aufforderung wurden geändert; diese Änderungen verdeutlichen, dass die Annahme dieser Aufforderung der App im Namen des gesamten Mandanten Zugriff auf die angeforderten Daten gewährt.
Benutzer werden am Erteilen der Einwilligung für die Anwendung gehindert und darauf hingewiesen, ihren Administrator um Zugriff auf die App zu bitten.
Anzeigen von Protokollen über das Microsoft Entra Admin Center
In diesem Szenario willigt ein Administrator in alle Berechtigungen ein, die eine Anwendung anfordert. Dazu können auch delegierte Berechtigungen im Namen aller Benutzer im Mandanten gehören. Der oder die Administrator*in erteilt die Einwilligung über die Seite API-Berechtigungen der Anwendungsregistrierung im Microsoft Entra Admin Center.
Alle Benutzer in diesem Mandanten sehen das Zustimmungsdialogfeld nicht, es sei denn, die Anwendung erfordert neue Berechtigungen. Um zu erfahren, welche Administratorrollen delegierten Berechtigungen zustimmen können, lesen Sie Berechtigungen der Administratorrolle in Microsoft Entra ID.
Wichtig
Das explizite Gewähren der Zustimmung über die Schaltfläche Berechtigungen erteilen ist derzeit für Single-Page-Webanwendungen (Single-Page Applications, SPAs) erforderlich, die „MSAL.js“ nutzen. Andernfalls tritt für die Anwendung ein Fehler auf, wenn das Zugriffstoken angefordert wird.
Häufige Probleme
In diesem Abschnitt werden die häufigen Probleme mit der Einwilligungserfahrung und mögliche Tipps zur Problembehandlung beschrieben.
403 Fehler
- Ist der Fall ein delegiertes Szenario? Welche Berechtigungen hat ein Benutzer?
- Wurden für die Nutzung des Endpunkts erforderliche Berechtigungen hinzugefügt?
- Prüfen Sie, ob das Token die notwendigen Ansprüche hat, um den Endpunkt aufzurufen.
- Welche Berechtigungen wurden genehmigt? Wer hat eingewilligt?
Benutzer kann nicht einwilligen
- Überprüfen, ob der Mandantenadministrator die Benutzerzustimmung für Ihre Organisation deaktiviert hat
- Vergewissern Sie sich, ob es sich bei den von Ihnen angeforderten Berechtigungen um auf Administratoren beschränkte Berechtigungen handelt.
Der Benutzer wird auch nach Der Zustimmung des Administrators weiterhin blockiert.
- Prüfen Sie, ob statische Berechtigungen so konfiguriert sind, dass sie eine Obermenge der dynamisch angeforderten Berechtigungen sind.
- Überprüfen Sie, ob eine Benutzerzuweisung für die App erforderlich ist.
Problembehandlung bei bekannten Fehlern
Problembehandlungsschritte finden Sie unter Unerwarteter Fehler beim Vorgang des Genehmigens einer Anwendung.
Verwandte Inhalte
- Eine ausführliche Übersicht über die Zustimmungsimplementierung mit dem Microsoft Entra-Zustimmungsframework
- Ausführlichere Informationen finden Sie , wie eine mehrinstanzenfähige Anwendung das Zustimmungsframework verwenden kann, um die Zustimmung von "Benutzer" und "Administrator" zu implementieren und erweiterte mehrstufige Anwendungsmuster zu unterstützen.
- Erfahren Sie, wie Sie die Herausgeberdomäne der App konfigurieren.