Freigeben über


Anfordern von Berechtigungen,für eine die Admin-Zustimmung erforderlich ist

In diesem Artikel beschreiben wir, wie Sie als Entwicklerin oder Entwickler in einem Szenario, in dem Sie Ihren Anwendungscode für die Anforderung von Anwendungsberechtigungen schreiben, die eine Admin-Zustimmung erfordern, mit Berechtigungen und Zustimmungen umgehen. Die Beispiel-Screenshots von Dialogfeldern für Berechtigungen und Einwilligungen und das Microsoft Entra Admin Center geben Ihnen eine Vorstellung der Perspektive Ihrer Benutzer und der Mandantenadministratoren. Verbessern Sie die Zusammenarbeit mit Administratoren, um das Zero-Trust-Prinzip der geringsten Rechte in Ihren Anwendungen zu implementieren.

Beim Entwickeln Ihrer Anwendung schreiben Sie Code, der den Zugriff auf eine Ressource anfordert, indem Sie ein Zugriffstoken mit einem bestimmten Bereich (oder einer Berechtigung) anfordern. Sie verwenden den Bereichsparameter, wie im OAuth 2.0-Standard beschrieben, den einige Personen als Berechtigung beschreiben. Ressourcenbesitzerinnen und -besitzer gewähren oder verweigern Berechtigungsanforderungen. In Microsoft Entra ID ist der Ressourcenbesitzer entweder der Benutzer der App oder ein Administrator, der über die Berechtigungen zum Erteilen der Einwilligung zu dieser Ressource im Namen aller Benutzer verfügt.

Wenn Ihre Anwendung die Berechtigung für den Zugriff auf eine Ressource anfordert, wird der Benutzerin oder dem Benutzer möglicherweise eine Berechtigungsanfrage angezeigt, die dem Dialogfeld in diesem Beispiel ähnelt.

Screenshot des Dialogfelds „Angeforderte Berechtigungen“, in dem die von der App angeforderten Berechtigungen beschrieben werden, mit den Schaltflächen „Abbrechen“ und „Annehmen“

Im obigen Beispieldialogfeld erteilt der Benutzer der App die Einwilligung, die Daten in seinem Namen zu lesen, indem er Annehmen auswählt oder die Anforderung verweigert, indem er Abbrechen auswählt. Nachdem die Benutzerin oder der Benutzer zugestimmt hat, empfängt die Anwendung ein Zugriffstoken und kann ihre Prozesse fortsetzen. Denken Sie daran, sicherzustellen, dass Ihre App sich ordnungsgemäß verhält, wenn sie kein Token erhält.

Für einige Zugriffsanforderungen kann nur ein Administrator die Einwilligung erteilen. Wenn der angeforderte Zugriff eine große Tragweite hat oder Ressourcen umfasst, deren Besitzer nicht die aktuellen Benutzer sind, sorgen Sie in Ihrem Code dafür, dass nur ein Administrator Anforderungen gewähren kann.

Sie wissen jedoch nie, welche Berechtigungen eine Admin-Zustimmung erfordern und bei welchen eine normale Benutzerin oder ein normaler Benutzer die Zustimmung erteilen kann, da Mandanten-Admins ihren Mandanten mit Benutzerzustimmung nicht zulassen (alle Berechtigungen erfordern Admin-Zustimmung) konfigurieren können, wie im folgenden Beispiel-Screenshot der Einstellungen für die Benutzerzustimmung im Microsoft Entra Admin Center dargestellt.

Screenshot von „Benutzereinwilligungseinstellungen“ im Microsoft Entra Admin Center zum Konfigurieren der Einwilligung für Anwendungen zum Zugriff auf Organisationsdaten

Administratoren können auch Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen, wie im folgenden Beispiel-Screenshot der Einstellungen für die Benutzereinwilligung im Microsoft Entra Admin Center gezeigt.

Screenshot von „Benutzereinwilligungseinstellungen“ im Microsoft Entra Admin Center zum Konfigurieren der Einwilligung für Apps von verifizierten Herausgebern

Administratoren können dann Berechtigungen hinzufügen, zu denen Benutzer einwilligen können, wie im folgenden Beispiel-Screenshot der Berechtigungsklassifizierungen im Microsoft Entra Admin Center gezeigt.

Screenshot von „Berechtigungsklassifizierungen“ im Microsoft Entra Admin Center zum Konfigurieren von Berechtigungsklassifizierungen, die eine Benutzereinwilligung zulassen

Wenn Ihre Anwendung eine Berechtigung anfordert, die die Zustimmung des Admin erfordert (automatisch oder durch Administratorkonfiguration), wird Ihrer Benutzerin oder Ihrem Benutzer möglicherweise ein Dialogfeld zur Genehmigung durch den Admin angezeigt, das diesem Beispiel ähnelt.

Screenshot des Dialogfelds „Admin-Genehmigung erforderlich“, der zeigt, wie Admins angeforderte Berechtigungen gewähren können.

Das obige Beispieldialogfeld zeigt die Standarderfahrung (vorkonfiguriert) für Berechtigungen, die Administratoreinwilligungen erfordern. Die meisten Benutzer wissen nicht, was in diesem Szenario zu tun ist. Sie wissen nicht, wer ihr Administrator ist und wer für die Genehmigung verantwortlich ist. Durch diese Ungewissheit kann der Benutzer möglicherweise seine gewünschten Ziele nicht erreichen.

Um die Berechtigungs- und Einwilligungserfahrung zu verbessern, kann der Mandantenadministrator den Workflow für die Administratoreinwilligung konfigurieren, wie im folgenden Beispiel-Screenshot der Benutzereinstellungen im Microsoft Entra Admin Center gezeigt.

Screenshot von „Benutzereinstellungen“ im Microsoft Entra Admin Center zum Konfigurieren der Option „Administratoreinwilligung erforderlich“

Unter Admin-Zustimmungsanfragen können Mandanten-Admins die Genehmigungs- und Zustimmungserfahrung der Benutzerinnen und Benutzer verbessern, indem sie Ja für die Option Benutzerinnen und Benutzer können eine Admin-Zustimmung für Anwendungen anfordern, denen sie nicht zustimmen können, und andere Einstellungen für Admin-Zustimmungsanfragen konfigurieren.

Nachdem Mandanten-Admins Ja für die Option Benutzerinnen und Benutzer können eine Admin-Zustimmung für Anwendungen anfordern, denen sie nicht zustimmen können ausgewählt haben, und eine Anwendung eine Berechtigung anfordert, die eine Admin-Zustimmung erfordert, sehen die Benutzerinnen und Benutzer ein Genehmigung erforderlich-Dialogfeld, das dem folgenden ähnelt, das eine bessere Benutzererfahrung bietet.

Screenshot des Dialogfelds „Genehmigung erforderlich“, der die von der App angeforderten Berechtigungen zeigt, mit einem Textfeld „Geben Sie eine Begründung für das Anfordern dieser App ein.“

Im obigen Beispieldialogfeld kann der Benutzer eine Begründung für das Anfordern dieser App eingeben, bevor er Genehmigung anfordern auswählt. Die Genehmigungsanforderung gibt dann eine Warteschlange mit Administratorzustimmungsanforderungen ein, in der Administratoren optionen zum Überprüfen, Akzeptieren oder Verbieten von Anwendungen in ihrer Organisation haben, die auf dem Risikoprofil basieren.

Wenn Admins eine Anwendung ausführen, die eine Admin-Zustimmung erfordert, ohne diese im Microsoft Entra Admin Center zu konfigurieren, wird ein Dialogfeld mit dem Hinweis Berechtigungen erforderlich angezeigt, das dem folgenden Beispiel ähnelt.

Screenshot des Dialogfelds „Angeforderte Berechtigungen“, in dem die von der App angeforderten Berechtigungen beschrieben werden, mit dem Kontrollkästchen „Zustimmung im Namen Ihrer Organisation“

Im obigen Beispiel sieht der Administrator eine Beschreibung der Berechtigungen, die die Anwendung anfordert. Der Administrator kann Akzeptieren auswählen, um die Anwendung einzeln auszuführen, oder er kann die Option Zustimmung im Namen Ihrer Organisation und anschließend Akzeptieren auswählen. Nachdem der Admin die Genehmigung für die Organisation erteilt hat, müssen künftige Benutzerinnen und Benutzer der Organisation keine Genehmigung für diese Anwendung mehr erteilen, es sei denn, ein Admin entfernt die Genehmigung aus der Mandantenkonfiguration der Genehmigungsanforderungen für Admins.

Eine weitere Möglichkeit der Zustimmung von Mandanten-Admins ist über die Berechtigungen im Microsoft Entra Admin Center, wo Admins die Details der zuvor angeforderten App-Berechtigungen einsehen können.

Screenshot von „Berechtigungen“ im Microsoft Entra Admin Center mit Details zu vorhandenen Anwendungsanforderungen

Im obigen Beispiel für die Benutzereinwilligung kann der Administrator die erteilten Berechtigungen für die App zusammen mit Informationen zu Ansprüchen, Berechtigungstyp und Benutzer, der die Einwilligung erteilt hat, überprüfen. Der Administrator kann die Administratoreinwilligung auswählen, um erteilte Berechtigungen zu überprüfen, für die eine Administratoreinwilligung erforderlich ist.

Die beste Strategie für Anwendungsberechtigungen besteht darin, alle Berechtigungen, die Ihre Anwendung benötigen oder anfordern könnte, im Voraus zu deklarieren, wenn Sie Ihre Anwendung registrieren. Sie müssen nicht alle Berechtigungen gleichzeitig anfordern, aber nachdem Sie alle Berechtigungen angegeben haben, die Ihre App benötigen könnte, können Admins in der Konfiguration Ihrer App im Mandanten die Option Admin-Zustimmung erteilen für auswählen, um einen Dialog ähnlich diesem Beispiel anzuzeigen.

Screenshot des Dialogfelds „Angeforderte Berechtigungen – Für Ihre Organisation überprüfen“, in dem die von der App angeforderten Berechtigungen beschrieben werden, mit den Schaltflächen „Abbrechen“ und „Annehmen“

Das obige Beispiel zeigt, wie der Admin den von Ihnen angegebenen Berechtigungen zustimmen kann, um Ihren Benutzerinnen und Benutzern sowie den Mandant-Admins das beste Erlebnis zu bieten.

Das Anfordern der Administratoreinwilligung im Voraus ist eine bevorzugte Vorgehensweise für Branchen-Apps (Line Of Business, LOB), insbesondere für die Apps, die Ihre Organisation entwickelt. Es ist einfacher, die Benutzerin oder den Benutzer nicht fragen zu müssen, ob Ihr Unternehmen auf die Daten Ihres Unternehmens zugreifen darf, indem Sie diese Anwendungen vorab genehmigen. Sie nehmen die Anforderung zur Administratoreinwilligung als Teil Ihres App-Registrierungsvorgangs vor.

Nächste Schritte