Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung

Erfahren Sie, wie Sie eine mandantenweite Administratoreinwilligung für eine Anwendung erteilen. In diesem Artikel werden die verschiedenen Methoden dafür erläutert.

Weitere Informationen zur Einwilligung für Anwendungen finden Sie unter Azure Active Directory-Zustimmungsframework.

Voraussetzungen

Zum Erteilen einer mandantenweiten Administratoreinwilligung müssen Sie sich als Benutzer anmelden, der zum Zustimmen im Namen der Organisation autorisiert ist. Hierzu zählen die Rollen Globaler Administrator und Administrator für privilegierte Rollen sowie für einige Anwendungen Anwendungsadministrator und Cloudanwendungsadministrator. Ein Benutzer kann auch für die mandantenweite Einwilligung autorisiert sein, wenn ihm eine benutzerdefinierte Verzeichnisrolle zugewiesen ist, die die Berechtigung zum Erteilen von Berechtigungen für Anwendungen enthält.

Warnung

Durch das Erteilen der mandantenweiten Administratoreinwilligung für eine Anwendung erhält die App und der Herausgeber der App Zugriff auf die Daten Ihrer Organisation. Überprüfen Sie vor dem Erteilen einer Einwilligung sorgfältig die Berechtigungen, die von der Anwendung angefordert werden.

Wichtig

Wenn für eine Anwendung die mandantenweite Administratoreinwilligung erteilt wurde, können sich alle Benutzer bei der Anwendung anmelden, es sei denn eine Benutzerzuweisung ist erforderlich. Sie benötigen die Benutzerzuweisung und müssen dann der Anwendung Benutzer oder Gruppen zuweisen, um zu bestimmen, welche Benutzer sich bei der Anwendung anmelden dürfen. Weitere Informationen finden Sie unter Zuweisen von Benutzern und Gruppen zu einer Anwendung in Azure Active Directory.

Sie können die mandantenweite Administratoreinwilligung über Unternehmensanwendungen erteilen, wenn die Anwendung bereits in Ihrem Mandanten bereitgestellt wurde. Eine Anwendung wurde z. B. in Ihrem Mandanten bereitgestellt, wenn mindestens ein Benutzer bereits eine Einwilligung für die Anwendung erteilt hat. Weitere Informationen finden Sie unter Wie und warum werden Anwendungen zu Azure AD hinzugefügt?.

So erteilen Sie die mandantenweite Administratoreinwilligung für eine in Unternehmensanwendungen aufgeführte Anwendung:

  1. Melden Sie sich als globaler Administrator, als Anwendungsadministrator oder als Cloudanwendungsadministrator beim Azure-Portal an.
  2. Klicken Sie auf Azure Active Directory und anschließend auf Unternehmensanwendungen.
  3. Wählen Sie die Anwendung aus, der Sie eine mandantenweite Administratoreinwilligung erteilen möchten.
  4. Wählen Sie Berechtigungen aus, und klicken Sie dann auf Administratoreinwilligung gewähren.
  5. Überprüfen Sie sorgfältig die Berechtigungen, die die Anwendung anfordert.
  6. Erteilen Sie die Einwilligung, wenn Sie mit den angeforderten Berechtigungen der Anwendung einverstanden sind. Klicken Sie andernfalls auf Abbrechen, oder schließen Sie das Fenster.

Warnung

Durch das Erteilen der mandantenweiten Administratorzustimmung über Unternehmens-Apps werden alle Berechtigungen widerrufen, die zuvor mandantenweit erteilt wurden. Berechtigungen, die zuvor von Benutzern im eigenen Auftrag erteilt wurden, sind nicht betroffen.

Bei Anwendungen, die Ihre Organisation entwickelt hat, oder die direkt in Ihrem Azure AD-Mandant registriert sind, können Sie auch eine mandantenweite Administratoreinwilligung in App-Registrierungen im Azure-Portal erteilen.

So erteilen Sie die mandantenweite Administratoreinwilligung in App-Registrierungen:

  1. Melden Sie sich als globaler Administrator, als Anwendungsadministrator oder als Cloudanwendungsadministrator beim Azure-Portal an.
  2. Klicken Sie auf Azure Active Directory und anschließend auf App-Registrierungen.
  3. Wählen Sie die Anwendung aus, der Sie eine mandantenweite Administratoreinwilligung erteilen möchten.
  4. Wählen Sie API-Berechtigungen aus, und klicken Sie dann auf Administratoreinwilligung erteilen.
  5. Überprüfen Sie sorgfältig die Berechtigungen, die die Anwendung anfordert.
  6. Erteilen Sie die Einwilligung, wenn Sie mit den angeforderten Berechtigungen der Anwendung einverstanden sind. Klicken Sie andernfalls auf Abbrechen, oder schließen Sie das Fenster.

Warnung

Durch das Erteilen der mandantenweiten Administratorzustimmung über App-Registrierungen werden alle Berechtigungen widerrufen, die zuvor mandantenweit erteilt wurden. Berechtigungen, die zuvor von Benutzern im eigenen Auftrag erteilt wurden, sind nicht betroffen.

Wenn Sie mithilfe einer der oben beschriebenen Methoden die mandantenweite Administratoreinwilligung erteilen, öffnet sich im Azure-Portal ein Fenster mit der Aufforderung zur mandantenweiten Administratoreinwilligung. Wenn Sie die Client-ID (auch Anwendungs-ID) der Anwendung kennen, können Sie die gleiche URL erstellen, um die mandantenweite Administratoreinwilligung zu erteilen.

Die URL für die mandantenweite Administratoreinwilligung verfügt über folgendes Format:

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}

Dabei gilt:

  • {client-id} ist die Client-ID der Anwendung, auch App-ID.
  • {tenant-id} ist die Mandanten-ID Ihrer Organisation oder ein beliebiger verifizierter Domänenname.

Überprüfen Sie vor dem Erteilen einer Einwilligung wie immer sorgfältig die Berechtigungen, die von einer Anwendung angefordert werden.

Warnung

Durch das Erteilen der mandantenweiten Administratorzustimmung über diese URL werden alle Berechtigungen widerrufen, die zuvor mandantenweit erteilt wurden. Berechtigungen, die zuvor von Benutzern im eigenen Auftrag erteilt wurden, sind nicht betroffen.

Nächste Schritte

Konfigurieren der Art der Benutzereinwilligung für eine Anwendung in Azure Active Directory

Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)

Berechtigungen und Zustimmung im Microsoft Identity Platform-Endpunkt

Azure AD bei Microsoft Q&A