Erteilen und Verwalten der Zustimmung zu Teams-App-Berechtigungen

  • Artikel
  • Gilt für::
    Microsoft Teams

Die Verwendung von Teams-Apps kann die Produktivität und Zusammenarbeit zwischen den Benutzern Ihrer organization enorm steigern. Teams-Apps bieten Informationen zu den Tipps Ihrer Benutzer, ohne dass der Kontext wechselt, und helfen ihnen dabei, großartige Arbeit zu leisten. Als Administrator spielen Sie eine wichtige Rolle, um Ihre Benutzer mit dem richtigen Typ von Apps zu unterstützen und gleichzeitig die Anforderungen Ihres Unternehmens an Sicherheit und Compliance abzuwägen. Nachdem Sie sich entschieden haben, die Verwendung einer App zu genehmigen, müssen Sie sicherstellen, dass die App-Einführung für die Benutzer reibungslos verläuft.

Ein wichtiger Teil ist das Erteilen der Zustimmung zu den Berechtigungen, die eine App benötigt, um zu funktionieren. Sie stimmen genehmigten Apps zu, damit jeder Benutzer in Ihrem organization berechtigungen und zustimmungen nicht einzeln überprüfen muss, wenn er die App startet. Einige Beispiele für von Apps angeforderte Berechtigungen umfassen die Möglichkeit, in einem Team gespeicherte Informationen zu lesen, das Profil eines Benutzers zu lesen und eine E-Mail im Namen von Benutzern zu senden. Weitere Informationen zu Berechtigungen und Zustimmung finden Sie unter Berechtigungen und Zustimmung im Microsoft Identity Platform-Endpunkt.

Um die Anforderungen des Unternehmens zu schützen und seine Richtlinien einzuhalten, kann nur ein globaler Administrator im Namen aller Benutzer in Ihrem organization die Zustimmung zu App-Berechtigungen erteilen. Die Option zum Anzeigen von Details und anforderung zum Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Apps von Drittanbietern und nicht für die von Microsoft bereitgestellten Apps.

Anzeigen von Microsoft Graph-Berechtigungen, die von einer App angefordert werden

Auf der Seite Apps verwalten gibt die Spalte Berechtigungen an, ob eine App über Berechtigungen verfügt, für die eine Zustimmung erforderlich ist. Wählen Sie den Link Details anzeigen für eine App aus, um die verschiedenen Berechtigungen und den Zugriff auf die von der App angeforderten Informationen organization anzuzeigen. Die Option zum Anzeigen von Details und Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Drittanbieter-Apps und nicht für die von Microsoft bereitgestellten Apps.

Durch das Erteilen der Zustimmung zu solchen Berechtigungen kann eine App auf die Informationen Ihrer organization zugreifen. Überprüfen Sie sorgfältig die von der App angeforderten Berechtigungen, bevor Sie ihre Zustimmung erteilen. Weitere Informationen finden Sie unter Berechtigungen und Zustimmung zu Teams-Apps. Nur globale Administratoren können die Zustimmung zu den Von einer App angeforderten Graph-Berechtigungen erteilen. Teams-Administratoren können die erforderlichen Berechtigungen im Admin Center anzeigen. Die Option zum Anzeigen von Details und Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Drittanbieter-Apps und nicht für die von Microsoft bereitgestellten Apps.

Führen Sie die folgenden Schritte aus, um die Zustimmung für alle Benutzer in Ihrem organization anzuzeigen und zu erteilen:

  1. Greifen Sie im Teams Admin Center auf Teams-Apps>Apps verwalten zu.

  2. Suchen Sie nach der erforderlichen App, und führen Sie dann eine der folgenden Aktionen aus:

    • Wählen Sie den Link Details anzeigen in der Spalte Berechtigungen der App aus, um die Registerkarte Berechtigungen zu öffnen.
    • Wählen Sie den App-Namen aus, um zur Seite mit den App-Details zu wechseln, und wählen Sie die Registerkarte Berechtigungen aus.

  3. Wählen Sie unter Organisationsweite Berechtigungen die Option Berechtigungen überprüfen und zustimmen aus.

    Screenshot: Option zum Erteilen der Zustimmung zu Graph-Berechtigungen, die für eine App angefordert wurden

  4. Überprüfen Sie im daraufhin geöffneten Dialogfeld die von der App angeforderten Berechtigungen.

    Screenshot der von einer App angeforderten Berechtigungen.

  5. Wenn Sie mit den von der App angeforderten Berechtigungen einverstanden sind, wählen Sie Akzeptieren aus, um die Zustimmung zu erteilen. Am oberen Rand der Seite wird vorübergehend ein Banner angezeigt, um Sie darüber zu informieren, dass die angeforderten Berechtigungen für die App erteilt wurden. Die App hat jetzt Zugriff auf die angegebenen Ressourcen für alle Benutzer in Ihrem organization für die die App zulässig ist. Benutzer werden jetzt nicht aufgefordert, die Berechtigungen zu überprüfen.

Nachdem Sie die Zustimmung zu Berechtigungen einer App erteilt haben, wird auf der Registerkarte Berechtigungen eine Meldung angezeigt, in der Sie darüber informiert werden, dass die Zustimmung erteilt wurde. Wenn Sie die Berechtigungen der App in Microsoft Entra ID anzeigen möchten, klicken Sie auf den Link, um die Berechtigungen der App in Microsoft Entra Admin Center zu öffnen.

Screenshot: Link zu Microsoft Entra Admin Center nach dem Erteilen der Zustimmung zu Graph-Berechtigungen

Hinweis

Wenn die neue Version einer App zusätzliche Berechtigungen als die vorherige Version erfordert, müssen Sie der App erneut zustimmen.

Sie können Einstellungen für die Benutzereinwilligung konfigurieren, damit Benutzer ausgewählten Berechtigungen zustimmen (empfohlener Ansatz) und Apps verwenden können, die nur diese spezifischen Berechtigungen erfordern, ohne dass eine Administratoreinwilligung erforderlich ist.

Dieser Ansatz funktioniert zusammen mit der Berechtigungsklassifizierung in Microsoft Entra ID-Portal. Mit der Klassifizierung können Administratoren einige delegierte Graph-Berechtigungen als Berechtigungen mit geringem Risiko innerhalb ihrer organization definieren. Administratoren entscheiden basierend auf dem Risikostatus ihrer organization, welche Berechtigungen mit geringem Risiko vorhanden sind. Aus Sicherheitsgründen können Sie Anwendungsberechtigungen nicht mit geringem Risiko kategorisieren.

Sie können Die Einstellungen für die Benutzerzustimmung so konfigurieren, dass Benutzer Folgendes ausführen können:

  • Sie können keinem Apps zustimmen und daher nur vom Administrator genehmigte Apps verwenden.
  • Stimmen Sie ausgewählten Berechtigungen zu (empfohlener Ansatz), und verwenden Sie eine App, die nur diese spezifischen Berechtigungen erfordert.

Der empfohlene Ansatz funktioniert zusammen mit der Berechtigungsklassifizierung. Mit der Klassifizierung können Administratoren einige oder alle berechtigungen des delegierten Graphs als Berechtigungen mit geringem Risiko innerhalb ihrer organization definieren. Administratoren entscheiden berechtigungen mit geringem Risiko basierend auf dem Risikostatus ihrer organization. Aus Sicherheitsgründen können Sie Anwendungsberechtigungen nicht mit geringem Risiko kategorisieren. Anwendungsberechtigungen erfordern nur die Zustimmung eines Administrators. Weitere Informationen finden Sie unter Konfigurieren, wie Benutzer Anwendungen zustimmen und Berechtigungen als niedriges oder hohes Risiko klassifizieren.

Um diese Konfiguration auszuführen, müssen Sie in Ihrem organization über die Rolle "Globaler Administrator", "Anwendungsadministrator" oder "Cloudanwendungsadministrator" verfügen.

Nachdem Sie die Zustimmung zu Berechtigungen einer App erteilt haben, wird auf der Registerkarte Berechtigungen eine Meldung angezeigt, in der Sie darüber informiert werden, dass die Zustimmung erteilt wurde.

Screenshot: Link zu Entra nach dem Erteilen der Zustimmung zu Graph-Berechtigungen

Wenn Sie die Berechtigungen der App in Microsoft Entra ID anzeigen möchten, wählen Sie den Link aus, um die Berechtigungen der App in Microsoft Entra Admin Center zu öffnen.

Screenshot: Entra-Benutzeroberfläche zum Anzeigen und Verwalten der erteilten Zustimmung zu den Berechtigungen einer App.

Wählen Sie eine Berechtigung aus, um weitere Details dazu zu erfahren.

Screenshot: Details zu einer ausgewählten Berechtigung

Führen Sie die folgenden Schritte aus, um die Einwilligung zu widerrufen, die Sie zuvor für eine App erteilt haben:

  1. Wählen Sie auf der Registerkarte Berechtigungen den Link Microsoft Entra ID aus, um die Berechtigungen der App in Microsoft Entra Admin Center zu öffnen.

  2. Wählen Sie auf der Registerkarte Admin Zustimmung die Berechtigung aus, die Sie widerrufen möchten, und wählen Sie dann die Auslassungspunkte ...aus.

  3. Wählen Sie Berechtigung widerrufen und dann ja , widerrufen im Bestätigungsdialogfeld aus.

    Screenshot: Option zum Widerrufen einer Graph-Berechtigung einer App im Microsoft Entra Admin Center

Nachdem Sie die Zustimmung zu einigen Berechtigungen widerrufen haben, können Sie die Zustimmung erteilen. Weitere Informationen finden Sie unter Erteilen der organisationsweiten Administratoreinwilligung für die Berechtigungen einer App.

Entwickler aktualisieren Apps, um neue Funktionen hinzuzufügen, vorhandene Funktionen zu verbessern oder Fehler zu beheben. Einige App-Updates fügen möglicherweise neue Berechtigungen hinzu, die nicht Teil der vorherigen Version der App waren. Wenn der Entwickler neue Berechtigungen hinzufügt, die die Administratoreinwilligung erfordern, müssen Sie den neuen Berechtigungen zustimmen. Der Reconsent-Flow ist der gleiche wie unter Erteilen der organisationsweiten Administratoreinwilligung für die Berechtigungen einer App beschrieben.

Informationen zu App-Änderungen, die die Zustimmung eines Benutzers oder Administrators erfordern, finden Sie unter Bedingungen, wenn für ein App-Update die Zustimmung erforderlich ist. Abhängig von der Konfiguration Ihrer organization können Benutzer möglicherweise einigen Berechtigungstypen ihre Zustimmung erteilen.

MIT RSC-Berechtigungen kann eine App auf die Daten eines Teams oder Benutzers zugreifen und diese ändern. RSC-Berechtigungen sind präzise und spezifisch für das Teams-Team, in dem eine App hinzugefügt wird. Einige Beispiele für RSC-Berechtigungen sind die Möglichkeit, Kanäle in einem Team zu erstellen und zu löschen, die Einstellungen für ein Team abzurufen und Kanalregister zu erstellen und zu entfernen.

RSC-Berechtigungen werden im App-Manifest und nicht im Microsoft Entra Admin Center definiert. Teambesitzer können die Zustimmung für solche Berechtigungen erteilen, wenn sie die App einem Team oder einem Chat hinzufügen. Weitere Informationen finden Sie unter Ressourcenspezifische Zustimmung (RSC).

Globale Administratoren und Teams-Administratoren können RSC-Berechtigungen für eine App auf der Registerkarte Berechtigungen der App-Detailseite anzeigen. Gehen Sie folgendermaßen vor, um die RSC-Berechtigungen für eine Anwendung anzuzeigen:

  1. Navigieren Sie im Teams Admin Center zu Teams-Apps>Apps verwalten.

  2. Suchen Sie im Katalog nach der erforderlichen App.

  3. Klicken Sie auf den App-Namen, um zur Seite mit den App-Details zu wechseln, und wählen Sie dann die Registerkarte Berechtigungen aus. Wählen Sie alternativ den Link Details anzeigen der App aus.

  4. Überprüfen Sie unter Berechtigungen für ressourcenspezifische Zustimmung (RSC) die von der App angeforderten RSC-Berechtigungen.

    Screenshot: Beispiel für RSC-Berechtigungen einer App auf der Registerkarte

Administratoren können konfigurieren, ob Benutzer Apps den Zugriff auf die Daten ihrer Gruppen oder Teams erlauben können. Globale Administratoren können die Zustimmung des Gruppenbesitzers für Apps, die auf Dateneinstellungen in Microsoft Entra ID zugreifen, ändern, damit Benutzer rsC-Berechtigungen zustimmen können.

Wenn Sie die Zustimmung des Gruppenbesitzers für Apps nicht zulassen, können Benutzer den RSC-Berechtigungen in einer App nicht zustimmen, wenn RSC-Berechtigungen verwendet werden.