Ressourcenspezifische Zustimmung

Hinweis

Die ressourcenspezifische Zustimmung für den Chatbereich ist nur in der öffentlichen Entwicklervorschau verfügbar.

Bei der ressourcenspezifischen Zustimmung (RSC) handelt es sich um eine Microsoft Teams- und Microsoft Graph-API-Integration, mit der Ihre App API-Endpunkte verwenden kann, um bestimmte Ressourcen innerhalb einer Organisation zu verwalten, entweder Teams oder Chats. Das RSC-Berechtigungsmodell ermöglicht Es Teambesitzern und Chatbesitzern, einer Anwendung die Zustimmung zu erteilen, auf die Daten eines Teams und die Daten eines Chats zuzugreifen bzw. diese zu ändern.

Hinweis: Wenn einem Chat eine Besprechung oder ein Anruf zugeordnet ist, gelten die entsprechenden RSC-Berechtigungen auch für diese Ressourcen.

Ressourcenspezifische Berechtigungen

Die granularen, Teams-spezifischen RSC-Berechtigungen definieren, was eine Anwendung innerhalb einer bestimmten Ressource tun kann.

Ressourcenspezifische Berechtigungen für ein Team

Anwendungsberechtigung Aktion
TeamSettings.Read.Group Rufen Sie die Einstellungen dieses Teams ab.
TeamSettings.ReadWrite.Group Aktualisieren Sie die Einstellungen dieses Teams.
ChannelSettings.Read.Group Rufen Sie die Kanalnamen, Kanalbeschreibungen und Kanaleinstellungen dieses Teams ab.
ChannelSettings.ReadWrite.Group Aktualisieren Sie die Kanalnamen, Kanalbeschreibungen und Kanaleinstellungen dieses Teams.
Channel.Create.Group Erstellen von Kanälen in diesem Team.
Channel.Delete.Group Löschen Sie Kanäle in diesem Team.
ChannelMessage.Read.Group Rufen Sie die Kanalnachrichten dieses Teams ab.
TeamsAppInstallation.Read.Group Rufen Sie eine Liste der installierten Apps dieses Teams ab.
TeamsTab.Read.Group Rufen Sie eine Liste der Registerkarten dieses Teams ab.
TeamsTab.Create.Group Erstellen von Registerkarten in diesem Team.
TeamsTab.ReadWrite.Group Aktualisieren Sie die Registerkarten dieses Teams.
TeamsTab.Delete.Group Löschen der Registerkarten dieses Teams.
TeamMember.Read.Group Rufen Sie die Mitglieder dieses Teams ab.
TeamsActivity.Send.Group Erstellen Sie neue Benachrichtigungen in den Aktivitätsfeeds der Benutzer in diesem Team.

Weitere Informationen finden Sie unter teamressourcenspezifische Zustimmungsberechtigungen.

Ressourcenspezifische Berechtigungen für einen Chat

Die folgende Tabelle enthält ressourcenspezifische Berechtigungen für einen Chat:

Anwendungsberechtigung Aktion
ChatSettings.Read.Chat Rufen Sie die Einstellungen dieses Chats ab.
ChatSettings.ReadWrite.Chat Aktualisieren Sie die Einstellungen dieses Chats.
ChatMessage.Read.Chat Rufen Sie die Nachrichten dieses Chats ab.
ChatMember.Read.Chat Rufen Sie die Mitglieder dieses Chats ab.
Chat.Manage.Chat Verwalten dieses Chats.
TeamsTab.Read.Chat Rufen Sie die Registerkarten dieses Chats ab.
TeamsTab.Create.Chat Erstellen von Registerkarten in diesem Chat.
TeamsTab.Delete.Chat Löschen der Registerkarten dieses Chats.
TeamsTab.ReadWrite.Chat Verwalten der Registerkarten dieses Chats.
TeamsAppInstallation.Read.Chat Rufen Sie ab, welche Apps in diesem Chat installiert sind.
OnlineMeeting.ReadBasic.Chat Lesen Sie grundlegende Eigenschaften wie Name, Zeitplan, Organisator, Verknüpfung und Start-/End-Benachrichtigungen einer Besprechung, die diesem Chat zugeordnet ist.
Calls.AccessMedia.Chat Zugreifen auf Mediendatenströme in Anrufen, die mit diesem Chat oder dieser Besprechung verbunden sind.
Calls.JoinGroupCall.Chat Nehmen Sie an Anrufen teil, die mit diesem Chat oder dieser Besprechung verbunden sind.
TeamsActivity.Send.Chat Erstellen Sie neue Benachrichtigungen in den Aktivitätsfeeds der Benutzer in diesem Chat.

Weitere Informationen finden Sie unter "Ressourcenspezifische Zustimmungsberechtigungen für Chats".

Hinweis

Ressourcenspezifische Berechtigungen sind nur für Teams Apps verfügbar, die auf dem Teams-Client installiert sind, und sind derzeit nicht Teil des Azure Active Directory-Portals (AAD).

Aktivieren von RSC in Ihrer Anwendung

  1. Konfigurieren Sie die Zustimmungseinstellungen im AAD Portal.
    1. Konfigurieren Sie die Einstellungen für die Zustimmung des Gruppenbesitzers für RSC in einem Team.
    2. Konfigurieren von Benutzer-Zustimmungseinstellungen für RSC in einem Chat.
  2. Registrieren Sie Ihre App mit Microsoft Identity Platform über das AAD-Portal.
  3. Überprüfen Sie Ihre Anwendungsberechtigungen im AAD Portal.
  4. Rufen Sie ein Zugriffstoken von der Identitätsplattform ab.
  5. Aktualisieren Sie das Teams-App-Manifest.
  6. Installieren Sie Ihre App direkt in Teams.
  7. Überprüfen Sie Ihre App auf hinzugefügte RSC-Berechtigungen.
    1. Überprüfen Sie Ihre App auf hinzugefügte RSC-Berechtigungen in einem Team.
    2. Überprüfen Sie Ihre App auf hinzugefügte RSC-Berechtigungen in einem Chat.

Sie können die Zustimmung des Gruppenbesitzers direkt im Azure-Portal aktivieren oder deaktivieren:

  1. Melden Sie sich beim Azure-Portal als globaler Administrator oder Unternehmensadministratoran.

  2. Wählen Sie Azure Active Directory > Enterprise Anwendungen > Zustimmungs- und Berechtigungseinstellungen für > Benutzergenehmigungenaus.

  3. Aktivieren, deaktivieren oder beschränken Sie die Zustimmung des Benutzers mit der Zustimmung des Steuerelements "Gruppenbesitzer" für Apps, die auf Daten zugreifen. Der Standardwert ist Die Zustimmung des Gruppenbesitzers für alle Gruppenbesitzer zulassen. Damit ein Teambesitzer eine App mit RSC installieren kann, muss die Zustimmung des Gruppenbesitzers für diesen Benutzer aktiviert sein.

    Azure RSC-Teamkonfiguration

Darüber hinaus können Sie die Zustimmung des Gruppenbesitzers mithilfe von PowerShell aktivieren oder deaktivieren. Führen Sie die unter Konfigurieren der Gruppenbesitzerzustimmung mithilfe von PowerShellbeschriebenen Schritte aus.

Sie können die Zustimmung des Benutzers direkt im Azure-Portal aktivieren oder deaktivieren:

  1. Melden Sie sich beim Azure-Portal als globaler Administrator oder Unternehmensadministratoran.

  2. Wählen Sie Azure Active Directory > Enterprise Anwendungen Zustimmung und > Berechtigungen > Benutzer zustimmungseinstellungenaus.

  3. Aktivieren, deaktivieren oder einschränken Sie die Zustimmung des Benutzers mit dem Steuerelement mit der Bezeichnung "Benutzer-Zustimmung für Anwendungen". Die Standardeinstellung ist "Zustimmung des Benutzers für Apps zulassen". Damit ein Chatmitglied eine App mit RSC installieren kann, muss die Benutzerzustimmung für diesen Benutzer aktiviert sein.

    Azure RSC-Chatkonfiguration

Darüber hinaus können Sie die Benutzerzustimmung mithilfe von PowerShell aktivieren oder deaktivieren. Führen Sie die schritte aus, die unter Konfigurieren der Benutzerzustimmung mithilfe von PowerShellbeschrieben sind.

Registrieren Ihrer App bei Microsoft Identity Platform über das AAD Portal

Das AAD-Portal bietet Ihnen eine zentrale Plattform zum Registrieren und Konfigurieren Ihrer Apps. Ihre App muss im AAD Portal registriert sein, um sie in die Identitätsplattform zu integrieren und Microsoft Graph-APIs aufzurufen. Weitere Informationen finden Sie unter Registrieren einer Anwendung bei der Identitätsplattform.

Warnung

Eine AAD App-ID darf nicht für mehrere Teams Apps freigegeben werden. Es muss eine 1:1-Zuordnung zwischen einer Teams-App und einer AAD-App vorhanden sein. Versuche, mehrere Teams Apps zu installieren, die derselben AAD App-ID zugeordnet sind, führen zu Installations- oder Laufzeitfehlern.

Überprüfen Der Anwendungsberechtigungen im AAD Portal

  1. Wechseln Sie zur Registrierungsseite der Start-App, > und wählen Sie Ihre RSC-App aus.
  2. Wählen Sie im linken Bereich API-Berechtigungen aus, und durchlaufen Sie die Liste der konfigurierten Berechtigungen für Ihre App. Wenn Ihre App nur RSC-Graph API-Aufrufe vornimmt, löschen Sie alle Berechtigungen auf dieser Seite. Wenn Ihre App auch Nicht-RSC-Aufrufe vornimmt, behalten Sie diese Berechtigungen bei Bedarf bei.

Wichtig

Das AAD-Portal kann nicht zum Anfordern von RSC-Berechtigungen verwendet werden. RSC-Berechtigungen gelten derzeit ausschließlich für Teams Anwendungen, die im Teams-Client installiert sind, und werden in der JSON-Datei (Teams App Manifest) deklariert.

Abrufen eines Zugriffstokens vom Microsoft Identity Platform

Um Graph API-Aufrufe auszuführen, müssen Sie ein Zugriffstoken für Ihre App von der Identitätsplattform abrufen. Bevor Ihre App ein Token von der Identitätsplattform abrufen kann, muss sie im AAD Portal registriert werden. Das Zugriffstoken enthält Informationen zu Ihrer App und die Berechtigungen, über die es für die Ressourcen und APIs verfügt, die über Microsoft Graph bereitgestellt werden.

Sie benötigen die folgenden Werte aus dem AAD Registrierungsprozess, um ein Zugriffstoken von der Identitätsplattform abzurufen:

  • Die vom App-Registrierungsportal zugewiesene Anwendungs-ID. Wenn Ihre App einmaliges Anmelden (Single Sign-On, SSO) unterstützt, müssen Sie dieselbe Anwendungs-ID für Ihre App und SSO verwenden.
  • Der geheime Clientschlüssel/das Kennwort oder ein öffentliches oder privates Schlüsselpaar, bei dem es sich um ein Zertifikat handelt. Dies ist für systemeigene Apps nicht erforderlich.
  • Ein Umleitungs-URI oder eine Antwort-URL, damit Ihre App Antworten von AAD empfängt.

Weitere Informationen finden Sie unter "Zugriff im Namen eines Benutzers erhalten und Zugriff ohne Benutzer erhalten".

Aktualisieren des Teams-App-Manifests

Die RSC-Berechtigungen werden in Ihrer JSON-Datei des App-Manifests deklariert. Fügen Sie ihrem App-Manifest einen webApplicationInfo-Schlüssel mit den folgenden Werten hinzu:

Name Typ Beschreibung
id Zeichenfolge Ihre AAD-App-ID. Weitere Informationen finden Sie unter Registrieren Ihrer App im AAD Portal.
resource Zeichenfolge Dieses Feld hat keinen Vorgang in RSC, muss jedoch hinzugefügt werden und einen Wert aufweisen, um eine Fehlerantwort zu vermeiden. Jede Zeichenfolge wird ausgeführt.
applicationPermissions Array aus Zeichenfolgen RSC-Berechtigungen für Ihre App. Weitere Informationen finden Sie unter ressourcenspezifische Berechtigungen.

Wichtig

Nicht-RSC-Berechtigungen werden im Azure-Portal gespeichert. Fügen Sie sie nicht dem App-Manifest hinzu.

Beispiel für RSC in einem Team

"webApplicationInfo": {
    "id": "XXxxXXXXX-XxXX-xXXX-XXxx-XXXXXXXxxxXX",
    "resource": "https://RscBasedStoreApp",
    "applicationPermissions": [
        "TeamSettings.Read.Group",
        "TeamSettings.ReadWrite.Group",
        "ChannelSettings.Read.Group",
        "ChannelSettings.ReadWrite.Group",
        "Channel.Create.Group",
        "Channel.Delete.Group",
        "ChannelMessage.Read.Group",
        "TeamsAppInstallation.Read.Group",
        "TeamsTab.Read.Group",
        "TeamsTab.Create.Group",
        "TeamsTab.ReadWrite.Group",
        "TeamsTab.Delete.Group",
        "TeamMember.Read.Group",
        "TeamsActivity.Send.Group"
    ]
  }

Beispiel für RSC in einem Chat

"webApplicationInfo": {
    "id": "XXxxXXXXX-XxXX-xXXX-XXxx-XXXXXXXxxxXX",
    "resource": "https://RscBasedStoreApp",
    "applicationPermissions": [
        "ChatSettings.Read.Chat",
        "ChatSettings.ReadWrite.Chat",
        "ChatMessage.Read.Chat",
        "ChatMember.Read.Chat",
        "Chat.Manage.Chat",
        "TeamsTab.Read.Chat",
        "TeamsTab.Create.Chat",
        "TeamsTab.Delete.Chat",
        "TeamsTab.ReadWrite.Chat",
        "TeamsAppInstallation.Read.Chat",
        "OnlineMeeting.ReadBasic.Chat",
        "Calls.AccessMedia.Chat",
        "Calls.JoinGroupCalls.Chat",
        "TeamsActivity.Send.Chat"
    ]
  }

Hinweis

Wenn die App die Installation sowohl im Team- als auch im Chatbereich unterstützen soll, können sowohl Team- als auch Chatberechtigungen im selben Manifest unter angegeben applicationPermissions werden.

Querladen Ihrer App in Teams

Wenn Ihr Teams-Administrator benutzerdefinierte App-Uploads zulässt, können Sie Ihre App direkt in ein bestimmtes Team oder einen bestimmten Chat laden.

Überprüfen Ihrer App auf hinzugefügte RSC-Berechtigungen

Wichtig

Die RSC-Berechtigungen werden keinem Benutzer zugeordnet. Aufrufe erfolgen mit App-Berechtigungen, nicht mit delegierten Berechtigungen des Benutzers. Die App kann Aktionen ausführen, die der Benutzer nicht ausführen kann, z. B. das Löschen einer Registerkarte. Sie müssen die Absicht des Teambesitzers oder Chatbesitzers für Ihre Verwendung überprüfen, bevor Sie RSC-API-Aufrufe tätigen. Weitere Informationen finden Sie unter Microsoft Teams API-Übersicht.

Nachdem die App in einer Ressource installiert wurde, können Sie Graph Explorer verwenden, um die Berechtigungen anzuzeigen, die der App in der Ressource gewährt wurden.

Überprüfen Ihrer App auf hinzugefügte RSC-Berechtigungen in einem Team

  1. Rufen Sie die groupId des Teams aus Teams ab.

  2. Wählen Sie in Teams ganz links Teams aus.

  3. Wählen Sie das Team aus, in dem die App installiert werden soll.

  4. Wählen Sie die Ellipsen aus, ●●● für dieses Team.

  5. Wählen Sie im Teamdropdownmenü den Link zum Team abrufen aus.

  6. Kopieren und speichern Sie den groupId-Wert aus dem Dialogfeld "Link zum Team-Popup abrufen".

  7. Melden Sie sich bei Graph Explorer an.

  8. Führen Sie einen GET-Aufruf an diesen Endpunkt aus: https://graph.microsoft.com/beta/teams/{teamGroupId}/permissionGrants . Das clientAppId Feld in der Antwort wird dem im Teams webApplicationInfo.id App-Manifest angegebenen zugeordnet.

    Graph Explorer-Antwort auf get call for team RSC permissions

Weitere Informationen zum Abrufen von Details zu den in einem bestimmten Team installierten Apps finden Sie unter Abrufen der Namen und anderer Details von Apps, die im angegebenen Team installiert sind.

Überprüfen Ihrer App auf hinzugefügte RSC-Berechtigungen in einem Chat

  1. Rufen Sie die Chatthread-ID vom Teams-Webclient ab.

  2. Wählen Sie im Teams Webclient im bereich ganz links die Option "Chat" aus.

  3. Wählen Sie im Dropdownmenü den Chat aus, in dem die App installiert ist.

  4. Kopieren Sie die Web-URL, und speichern Sie die Chatthread-ID aus der Zeichenfolge.

    Chatthread-ID von Web-URL

  5. Melden Sie sich bei Graph Explorer an.

  6. Führen Sie einen GET-Aufruf an den folgenden Endpunkt aus: https://graph.microsoft.com/beta/chats/{chatId}/permissionGrants . Das clientAppId Feld in der Antwort wird dem im Teams webApplicationInfo.id App-Manifest angegebenen zugeordnet.

    Graph Explorer-Antwort auf GET call for chat RSC permissions

Weitere Informationen zum Abrufen von Details zu in einem bestimmten Chat installierten Apps finden Sie unter Abrufen der Namen und anderer Details von Apps, die im angegebenen Chat installiert sind.

Codebeispiel

Beispielname Beschreibung .NET Node.js
Resource-Specific Zustimmung (RSC) Verwenden Sie RSC, um Graph APIs aufzurufen. View Anzeigen

Siehe auch