Grundlegendes zu Einwilligungserfahrungen für Azure AD-AnwendungenUnderstanding Azure AD application consent experiences

Erfahren Sie mehr über die Einwilligungsbenutzererfahrung für Azure Active Directory-Anwendungen (Azure AD).Learn more about the Azure Active Directory (Azure AD) application consent user experience. Sie können also auf intelligente Weise Anwendungen für Ihre Organisation verwalten und/oder Anwendungen mit einer nahtloseren Einwilligungserfahrung entwickeln.So you can intelligently manage applications for your organization and/or develop applications with a more seamless consent experience.

Einwilligung ist der Prozess, mit dem ein Benutzer einer Anwendung die Autorisierung für den Zugriff auf geschützte Ressourcen in seinem Auftrag gewährt.Consent is the process of a user granting authorization to an application to access protected resources on their behalf. Ein Administrator oder Benutzer kann zur Einwilligung aufgefordert werden, um den Zugriff auf seine Organisations-/individuellen Daten zuzulassen.An admin or user can be asked for consent to allow access to their organization/individual data.

Die tatsächliche Benutzererfahrung des Erteilens der Einwilligung variiert in Abhängigkeit von den auf dem Mandanten des Benutzers festgelegten Richtlinien, dem Gültigkeitsbereich der Autorität (oder Rolle) des Benutzers und dem Typ der Berechtigungen, die von der Clientanwendung angefordert werden.The actual user experience of granting consent will differ depending on policies set on the user's tenant, the user's scope of authority (or role), and the type of permissions being requested by the client application. Dies bedeutet, dass Anwendungsentwickler und Mandantenadministratoren eine gewisse Kontrolle über die Einwilligungserfahrung haben.This means that application developers and tenant admins have some control over the consent experience. Administratoren besitzen die Flexibilität, Richtlinien für einen Mandanten oder eine App festzulegen oder zu deaktivieren, um die Einwilligungserfahrung in ihrem Mandanten zu kontrollieren.Admins have the flexibility of setting and disabling policies on a tenant or app to control the consent experience in their tenant. Anwendungsentwickler können vorgeben, welche Typen von Berechtigungen angefordert werden, und ob sie Benutzer durch den Benutzereinwilligungsflow bzw. den Administratoreinwilligungsflow führen möchten.Application developers can dictate what types of permissions are being requested and if they want to guide users through the user consent flow or the admin consent flow.

  • Benutzereinwilligungsflow ist, wenn ein Anwendungsentwickler Benutzer mit der Absicht zum Autorisierungsendpunkt weiterleitet, die Einwilligung nur für den aktuellen Benutzer aufzuzeichnen.User consent flow is when an application developer directs users to the authorization endpoint with the intent to record consent for only the current user.
  • Administratoreinwilligungsflow ist, wenn ein Anwendungsentwickler Benutzer mit der Absicht zum Administratoreinwilligungs-Endpunkt weiterleitet, die Einwilligung für den gesamten Mandanten aufzuzeichnen.Admin consent flow is when an application developer directs users to the admin consent endpoint with the intent to record consent for the entire tenant. Um sicherzustellen, dass der Administratoreinwilligungsflow ordnungsgemäß funktioniert, müssen Anwendungsentwickler alle Berechtigungen in der Eigenschaft RequiredResourceAccess im Anwendungsmanifest auflisten.To ensure the admin consent flow works properly, application developers must list all permissions in the RequiredResourceAccess property in the application manifest. Weitere Informationen finden Sie unter Anwendungsmanifest.For more info, see Application manifest.

Die Einwilligungsaufforderung ist darauf ausgelegt, sicherzustellen, dass Benutzer über ausreichende Informationen verfügen, um zu bestimmen, ob sie der Clientanwendung so vertrauen, dass sie auf geschützte Ressourcen in ihrem Namen zugreifen darf.The consent prompt is designed to ensure users have enough information to determine if they trust the client application to access protected resources on their behalf. Das Verständnis der Bausteine hilft Benutzern, die Ihre Einwilligung geben, fundiertere Entscheidungen zu treffen, und hilft Entwicklern, bessere Benutzererfahrungen zu erstellen.Understanding the building blocks will help users granting consent make more informed decisions and it will help developers build better user experiences.

Das Diagramm und die Tabelle im Folgenden bieten Informationen über die Bausteine der Einwilligungsaufforderung.The following diagram and table provide information about the building blocks of the consent prompt.

Bausteine der Einwilligungsaufforderung

# KomponenteComponent ZweckPurpose
11 Benutzer-IDUser identifier Dieser Bezeichner stellt den Benutzer dar, von dem die Clientanwendung den Zugriff auf geschützte Ressourcen in seinem Auftrag anfordert.This identifier represents the user that the client application is requesting to access protected resources on behalf of.
22 TitelTitle Der Titel ändert sich basierend darauf, ob die Benutzer den Benutzer- oder Administratoreinwilligungsflow durchlaufen.The title changes based on whether the users are going through the user or admin consent flow. Im Benutzereinwilligungsflow lautet der Titel „Berechtigungen“, während er im Administratoreinwilligungsflow eine zusätzliche Zeile namens „Für Ihre Organisation zustimmen“ besitzt.In user consent flow, the title will be “Permissions requested” while in the admin consent flow the title will have an additional line “Accept for your organization”.
33 App-LogoApp logo Dieses Bild sollte Benutzern einen visuellen Hinweis geben, ob diese App die App ist, auf die sie zugreifen wollten.This image should help users have a visual cue of whether this app is the app they intended to access. Dieses Bild wird von den Anwendungsentwicklern bereitgestellt, und der Besitz für dieses Bild wird nicht überprüft.This image is provided by application developers and the ownership of this image isn't validated.
44 App-NameApp name Dieser Wert sollte Benutzer darüber informieren, welche Anwendung Zugriff auf ihre Daten anfordert.This value should inform users which application is requesting access to their data. Beachten Sie, dass dieser Name von den Entwicklern bereitgestellt wird, und dass der Besitz an diesem App-Namen nicht überprüft wird.Note this name is provided by the developers and the ownership of this app name isn't validated.
55 HerausgeberdomänePublisher domain Dieser Wert sollte Benutzern eine Domäne bereitstellen, deren Vertrauenswürdigkeit sie möglicherweise bewerten können.This value should provide users with a domain they may be able to evaluate for trustworthiness. Diese Domäne wird von den Entwicklern bereitgestellt, und der Besitz an dieser Herausgeberdomäne wird überprüft.This domain is provided by the developers and the ownership of this publisher domain is validated.
66 BerechtigungenPermissions Diese Liste enthält die Berechtigungen, die von der Clientanwendung angefordert werden.This list contains the permissions being requested by the client application. Benutzer sollten die Typen der angeforderten Berechtigungen immer bewerten, um zu verstehen, auf welche Daten der Zugriff der Clientanwendung in ihrem Namen autorisiert wird, wenn sie zustimmen.Users should always evaluate the types of permissions being requested to understand what data the client application will be authorized to access on their behalf if they accept. Als Anwendungsentwickler ist es am besten, den Zugriff auf die Berechtigungen mit den geringsten Rechten anzufordern.As an application developer it is best to request access, to the permissions with the least privilege.
77 BerechtigungsbeschreibungPermission description Dieser Wert wird vom Dienst bereitgestellt, der die Berechtigungen verfügbar macht.This value is provided by the service exposing the permissions. Um die Berechtigungsbeschreibung anzuzeigen, müssen Sie das Chevron neben den Berechtigungen umschalten.To see the permission descriptions, you must toggle the chevron next to the permission.
88 App-NutzungsbedingungenApp terms Diese Nutzungsbedingungen enthalten Links zu den Nutzungsbedingungen und Datenschutzbestimmungen der Anwendung.These terms contain links to the terms of service and privacy statement of the application. Der Herausgeber ist verantwortlich für die Darlegung ihrer Regeln in ihren Nutzungsbedingungen.The publisher is responsible for outlining their rules in their terms of service. Darüber hinaus ist der Herausgeber dafür verantwortlich, in den Datenschutzbestimmungen die Art zu veröffentlichen, in der sie Benutzerdaten verwenden und teilen.Additionally, the publisher is responsible for disclosing the way they use and share user data in their privacy statement. Stellt der Verleger Herausgeber keine Links zu diesen Werten für mehrinstanzenfähige Anwendungen bereit, wird eine fett formatierte Warnung in der Einwilligungsaufforderung angezeigt.If the publisher doesn't provide links to these values for multi-tenant applications, there will be a bolded warning on the consent prompt.
99 https://myapps.microsoft.com Dies ist der Link, unter dem Benutzer alle Nicht-Microsoft-Anwendungen überprüfen und entfernen können, die zurzeit Zugriff auf ihre Daten haben.This is the link where users can review and remove any non-Microsoft applications that currently have access to their data.

Hier finden Sie die Einwilligungserfahrungen, denen ein Benutzer in den gängigsten Einwilligungsszenarien begegnen kann:Here are the consent experiences that a user may see in the common consent scenarios:

  1. Einzelne Personen, die auf eine App zugreifen, die sie zum Benutzereinwilligungsflow weiterleitet und gleichzeitig einen Satz Berechtigungen anfordert, der innerhalb ihres Gültigkeitsbereichs der Autorität liegt.Individuals accessing an app that directs them to the user consent flow while requiring a permission set that is within their scope of authority.

    1. Administratoren wird in der herkömmlichen Einwilligungsaufforderung ein zusätzliches Steuerelement angezeigt, das es ihnen gestattet, die Einwilligung im Auftrag des gesamten Mandanten zu geben.Admins will see an additional control on the traditional consent prompt that will allow them consent on behalf of the entire tenant. Das Steuerelement ist standardmäßig deaktiviert, weshalb auch nur, wenn Administratoren das Kontrollkästchen ausdrücklich aktivieren, die Einwilligung im Auftrag des gesamten Mandanten erklärt wird.The control will be defaulted to off, so only when admins explicitly check the box will consent be granted on behalf of the entire tenant. Ab sofort wird dieses Kontrollkästchen nur für die Rolle „Globaler Administrator“ angezeigt, sodass dieses Kontrollkästchen den Rollen „Cloudadministrator“ und „App-Administrator“ nicht angezeigt werden.As of today, this check box will only show for the Global Admin role, so Cloud Admin and App Admin will not see this checkbox.

      Einwilligungsaufforderung für Szenario 1a

    2. Benutzern wird die herkömmliche Einwilligungsaufforderung angezeigt.Users will see the traditional consent prompt.

      Einwilligungsaufforderung für Szenario 1b

  2. Einzelne Personen, die auf eine App zugreifen, die mindestens eine Berechtigung erfordert, die außerhalb ihres Gültigkeitsbereichs der Autorität liegt.Individuals accessing an app that requires at least one permission that is outside their scope of authority.

    1. Administratoren wird dieselbe Aufforderung wie 1.i, wie oben abgebildet, angezeigt.Admins will see the same prompt as 1.i shown above.

    2. Benutzer werden am Erteilen der Einwilligung für die Anwendung gehindert und darauf hingewiesen, ihren Administrator um Zugriff auf die App zu bitten.Users will be blocked from granting consent to the application, and they will be told to ask their admin for access to the app.

      Einwilligungsaufforderung für Szenario 1b

  3. Einzelne Personen, die zum Administratoreinwilligungsflow navigieren oder dorthin weitergeleitet werden.Individuals that navigate or are directed to the admin consent flow.

    1. Administratorbenutzern wird die Administratoreinwilligungsaufforderung angezeigt.Admin users will see the admin consent prompt. Der Titel und die Beschreibung der Berechtigungen hat sich in dieser Eingabeaufforderung geändert, und die Änderungen unterstreichen die Tatsache, dass das Annehmen dieser Aufforderung der App Zugriff auf die angeforderten Daten im Auftrag des gesamten Mandanten erteilt.The title and the permission descriptions changed on this prompt, the changes highlight the fact that accepting this prompt will grant the app access to the requested data on behalf of the entire tenant.

      Einwilligungsaufforderung für Szenario 1b

    2. Nicht-Administratorbenutzern wird derselbe Bildschirm wie 2.ii, wie oben abgebildet, angezeigt.Non-admin users will see the same screen as 2.ii shown above.

Nächste SchritteNext steps