Ressourcenspezifische Zustimmung in Microsoft TeamsResource-specific consent in Microsoft Teams

Dies ist eine Vorschauversion oder eine Vorabfunktion.This is a preview or early release feature.

Die ressourcenspezifische Zustimmung in Microsoft Teams ermöglicht es den Teambesitzern, Apps für den Zugriff auf Team Daten zu genehmigen.Resource-specific consent in Microsoft Teams lets team owners give consent to apps to access team data. Beispiele für diesen Zugriff sind die Möglichkeit, Kanal Nachrichten zu lesen, Kanäle zu erstellen und zu löschen sowie Kanal Registerkarten zu erstellen und zu entfernen.Examples of such access include the ability to read channel messages, create and delete channels, and create and remove channel tabs.

Als Administrator steuern Sie, ob die Teambesitzer in Ihrer Organisation mithilfe des Azure Active Directory (Azure AD) PowerShell-Moduls oder des Azure-Portals und des Microsoft Teams admin Centers die Zustimmung über Einstellungen erteilen können, die Sie konfigurieren.As an admin, you control whether team owners in your organization can give consent through settings that you configure by using the Azure Active Directory (Azure AD) PowerShell module or the Azure portal and the Microsoft Teams admin center.

Hier sind die Einstellungen, die Sie festlegen müssen, um zu steuern, ob Teambesitzer die Zustimmung zu Apps geben können.Here are the settings that you must set to control whether team owners can give consent to apps. Achten Sie darauf, alle folgenden Einstellungen zu überprüfen.Be sure to review all the following settings.

Einstellungen in Azure ADSettings in Azure AD

Die beiden folgenden Einstellungen bestimmen, ob Teambesitzer die Zustimmung zu Apps geben können.The following two settings determine whether team owners can give consent to apps.

Wichtig

Das Ändern dieser Einstellungen hat keinen Einfluss auf den Datenzugriff für apps, denen bereits eine Genehmigung erteilt wurde.Changing any of these settings doesn't affect data access for apps that were already granted consent. Wenn Sie beispielsweise diese Einstellungen so konfigurieren, dass die Zustimmung der Teambesitzer verhindert wird, entfernen diese Änderungen nicht den bereits gewährten Datenzugriff.For example, if you configure these settings to prevent team owners from giving consent, these changes don't remove data access that's already been granted.

Mit dieser Einstellung wird gesteuert, ob Benutzer in Ihrer Organisation apps in Ihrem Auftrag zustimmen können.This setting controls whether users in your organization can consent to apps on their behalf. Damit Teambesitzer die Zustimmung erteilen können, muss diese Einstellung auf Jafestgelegt sein.To enable team owners to give consent, this setting must be set to Yes. Gehen Sie wie folgt vor, um diese Einstellung zu verwalten:To manage this setting, do the following:

  1. Wechseln Sie im Azure-Portal zu Benutzereinstellungen für Enterprise-Anwendungen > User settings.In the Azure portal, go to Enterprise applications > User settings.
  2. Unter Unternehmensanwendungenkönnen Benutzer festzulegen, dass apps den Zugriff auf Unternehmensdaten in Ihrem Namen auf Nein oder Jagenehmigen.Under Enterprise applications, set Users can consent to apps accessing company data on their behalf to No or Yes.

Sie können diese Einstellung auch mithilfe von PowerShell verwalten.You can also manage this setting using PowerShell. Weitere Informationen finden Sie unter Konfigurieren von Benutzerinhalten für Anwendungen.To learn more, see Configure user content to applications.

Die Einstellung "EnableGroupSpecificConsent"The "EnableGroupSpecificConsent" setting

Mit dieser Einstellung wird gesteuert, ob die Benutzer in Ihrer Organisation den apps den Zugriff auf Unternehmensdaten für Ihre eigenen Gruppen zustimmen können.This setting controls whether users in your organization can consent to apps accessing company data for the groups that they own. Diese Einstellung muss aktiviert sein, damit die Teambesitzer die Zustimmung erteilen können.This setting must be enabled for team owners to give consent. Eine schrittweise Anleitung zum Verwalten dieser Einstellung mithilfe von PowerShell finden Sie unter Konfigurieren der Zustimmung des Gruppen Besitzers zu apps, die auf Gruppendaten zugreifen.For steps on how to manage this setting by using PowerShell, see Configure group owner consent to apps accessing group data.

Einstellungen im Microsoft Teams Admin CenterSettings in the Microsoft Teams admin center

Zusätzlich zu den Einstellungen in Azure AD -, org-Wide-App-Einstellungen auf der Seite " apps verwalten ", unabhängig davon, ob eine APP auf der Seite " apps verwalten " blockiert oder zulässig ist, und die dem Teambesitzer zugewiesene App-Berechtigungsrichtlinie bestimmt, ob ein Teambesitzer die Zustimmung erteilen kann.In addition to settings in Azure AD, org-wide app settings on the Manage apps page, whether an app is blocked or allowed on the Manage apps page, and the app permission policy assigned to the team owner determine whether a team owner can give consent.

Wichtig

Das Ändern dieser Einstellungen hat keinen Einfluss auf den Datenzugriff für apps, denen bereits eine Genehmigung erteilt wurde.Changing any of these settings doesn't affect data access for apps that were already granted consent. Wenn Sie beispielsweise apps von Drittanbietern in der gesamten Organisation deaktivieren oder bestimmte apps blockieren, um zu verhindern, dass Teambesitzer Ihre Zustimmung erteilen, entfernen diese Änderungen den bereits gewährten Datenzugriff nicht.For example, if you disable third-party apps org-wide or if you block specific apps to prevent team owners from giving consent, these changes don't remove data access that's already been granted.

Die Einstellung "Drittanbieter-apps zulassen" in den organisationsweiten App-EinstellungenThe "Allow third party apps" setting in org-wide app settings

Diese organisationsweite app-Einstellung steuert, ob Benutzer in Ihrer Organisation Drittanbieter-Apps verwenden können.This org-wide app setting controls whether users in your organization can use third-party apps. Diese Einstellung muss aktiviert sein, damit die Teambesitzer die Zustimmung erteilen können.This setting must be on to enable team owners to give consent. Gehen Sie wie folgt vor, um diese Einstellung zu verwalten:To manage this setting, do the following:

  1. Navigieren Sie in der linken Navigationsleiste des Microsoft Teams Admin Center zu Teams apps > Verwalten von apps, und klicken Sie dann auf organisationsweite App-Einstellungen.In the left navigation of the Microsoft Teams admin center, go to Teams apps > Manage apps, and then click Org-wide app settings.

  2. Deaktivieren oder aktivieren Sie unter apps von Drittanbieterndas Zulassen von Drittanbieter-apps.Under Third party apps, turn off or turn on Allow third party apps.

    Screenshot der Einstellung "Drittanbieter-apps in Teams zulassen"

Sie müssen ggf. bis zu 24 Stunden warten, bis Ihre Änderungen wirksam werden.You may have to wait up to 24 hours for your changes to take effect.

Zulassen oder Blockieren der APP auf OrganisationsebeneAllow or block the app at the org level

Wenn Sie eine APP auf der Seite " apps verwalten " blockieren oder zulassen, wird diese APP für alle Benutzer in Ihrer Organisation blockiert oder zugelassen.When you block or allow an app on the Manage apps page, that app is blocked or allowed for all users in your organization. Team Besitzer können einer APP nur zustimmen, wenn die APP zulässig ist.Team owners can only give consent to an app if the app is allowed. Gehen Sie wie folgt vor, um eine APP auf Organisationsebene zuzulassen oder zu blockieren:To allow or block an app at the org level, do the following:

  1. Navigieren Sie in der linken Navigationsleiste des Microsoft Teams Admin Center zu Teams apps > Verwalten von apps.In the left navigation of the Microsoft Teams admin center, go to Teams apps > Manage apps.

  2. Wählen Sie auf der Seite apps verwalten die APP aus, und klicken Sie dann auf blockieren , um Sie zu blockieren, oder auf zulassen , um Sie zu erlauben.On the Manage apps page, select the app, and then click Block to block it or click Allow to allow it.

    Screenshot der blockierten apps in organisationsweiten Einstellungen

Dem Teambesitzer zugewiesene App-BerechtigungsrichtlinieApp permission policy assigned to the team owner

Team Besitzer können Apps nur zustimmen, wenn Sie von der APP-Berechtigungsrichtlinie ausgeführt werden können.Team owners can only give consent to apps that their app permission policy allows them to run. Gehen Sie wie folgt vor, um die APP-Berechtigungsrichtlinie anzuzeigen und zu verwalten, die einem Teambesitzer zugewiesen ist:To view and manage the app permission policy that's assigned to a team owner, do the following:

  1. Wechseln Sie in der linken Navigationsleiste des Microsoft Teams Admin Center zu Benutzer.In the left navigation of the Microsoft Teams admin center, go to Users.
  2. Doppelklicken Sie auf den Anzeigenamen des Team Besitzers, und klicken Sie dann auf Richtlinien.Double-click the display name of the team owner, and then click Policies.
  3. Die dem Teambesitzer zugewiesene Richtlinie wird unter App-Berechtigungsrichtlinieaufgeführt.The policy assigned to the team owner is listed under App permission policy.
    • Wenn Sie eine andere Richtlinie zuweisen möchten, klicken Sie auf Bearbeiten, und wählen Sie dann die Richtlinie aus, die Sie zuweisen möchten.To assign a different policy, click Edit, and then select the policy that you want to assign.
    • Wenn Sie die Einstellungen der Richtlinie bearbeiten möchten, die dem Teambesitzer zugewiesen ist, klicken Sie auf den Richtliniennamen, und nehmen Sie dann die gewünschten Änderungen vor.To edit the settings of the policy that's assigned to the team owner, click the policy name, and then make the changes that you want.

Hochladen benutzerdefinierter appsUploading custom apps

Wenn Sie eine benutzerdefinierte app (auch bekannt Sideloading) hochladen, die eine ressourcenspezifische Zustimmung verwendet, muss die APP von dem Mandanten stammen, in dem Sie installiert ist.When uploading a custom app (also known sideloading) that uses resource-specific consent, the app must come from the tenant that it's being installed to. Anders ausgedrückt, muss die Azure AD-App-Registrierung von diesem Mandanten sein.In other words, the Azure AD app registration must be from this tenant. Globale Administratoren sind von dieser Einschränkung ausgenommen und können benutzerdefinierte apps von einem beliebigen Mandanten hochladen, entweder direkt in ein Team (Sideloading) oder in den Mandanten-App-Katalog.Global admins are exempted from this restriction, and can upload custom apps from any tenant, either directly to a team (sideloading) or to the tenant app catalog.