Een toepassing beheerderstoestemming verlenen voor de hele tenant

In dit artikel leert u hoe u beheerderstoestemming voor de hele tenant kunt verlenen aan een toepassing in Azure Active Directory (Azure AD).

Wanneer u beheerderstoestemming voor de hele tenant verleent aan een toepassing, kunnen alle gebruikers zich aanmelden bij de app. Als u wilt beperken welke gebruikers zich kunnen aanmelden bij een toepassing, configureert u de app om gebruikerstoewijzing te vereisen en wijst u vervolgens gebruikers of groepen toe aan de toepassing.

Beheerderstoestemming voor de hele tenant voor een app verleent de app en de uitgever van de app toegang tot de gegevens van uw organisatie. Bekijk zorgvuldig de machtigingen die de toepassing aanvraagt voordat u toestemming geeft. Zie het Azure Active Directory-toestemmingsframework voor meer informatie over het verlenen van toestemming aan toepassingen.

Het verlenen van beheerderstoestemming voor de hele tenant kan alle machtigingen intrekken die eerder aan de tenant zijn verleend. Machtigingen die eerder namens gebruikers zijn verleend, worden niet beïnvloed.

Vereisten

Voor het verlenen van beheerderstoestemming voor de hele tenant moet u zich aanmelden als een gebruiker die gemachtigd is om toestemming te geven namens de organisatie.

Als u tenantbrede beheerderstoestemming wilt verlenen, hebt u het volgende nodig:

  • Een Azure AD-gebruikersaccount met een van de volgende rollen:
    • Globale beheerder of beheerder met bevoorrechte rol, voor het verlenen van toestemming voor apps die een machtiging aanvragen, voor elke API.
    • Cloudtoepassingsbeheerder of toepassingsbeheerder, voor het verlenen van toestemming voor apps die toestemming vragen voor elke API, met uitzondering van Azure AD Graph- of Microsoft Graph-app-rollen (toepassingsmachtigingen).
    • Een aangepaste maprol die de machtiging bevat voor het verlenen van machtigingen aan toepassingen, voor de machtigingen die vereist zijn voor de toepassing.

U kunt tenantbrede beheerderstoestemming verlenen via Bedrijfstoepassingen als de toepassing al is ingericht in uw tenant. Een app kan bijvoorbeeld worden ingericht in uw tenant als ten minste één gebruiker al toestemming heeft gegeven voor de toepassing. Zie Hoe en waarom toepassingen worden toegevoegd aan Azure Active Directory voor meer informatie.

Als u tenantbrede beheerderstoestemming wilt verlenen aan een app die wordt vermeld in Bedrijfstoepassingen:

  1. Meld u aan bij Azure Portal met een van de rollen die worden vermeld in de sectie Vereisten.

  2. Selecteer Azure Active Directory en selecteer vervolgens Bedrijfstoepassingen.

  3. Selecteer de toepassing waaraan u beheerderstoestemming voor de hele tenant wilt verlenen en selecteer vervolgens Machtigingen. Screenshot shows how to grant tenant-wide admin consent.

  4. Bekijk zorgvuldig de machtigingen die de toepassing nodig heeft. Als u akkoord gaat met de machtigingen die de toepassing vereist, selecteert u Beheerderstoestemming verlenen.

Voor toepassingen die uw organisatie heeft ontwikkeld of die rechtstreeks zijn geregistreerd in uw Azure AD-tenant, kunt u ook beheerderstoestemming voor de hele tenant verlenen vanuit app-registraties in Azure Portal.

Beheerderstoestemming verlenen aan app-registraties voor de hele tenant:

  1. Meld u aan bij Azure Portal met een van de rollen die worden vermeld in de sectie Vereisten.
  2. Selecteer Azure Active Directory en selecteer vervolgens App-registraties.
  3. Selecteer de toepassing waaraan u beheerderstoestemming voor de hele tenant wilt verlenen.
  4. Selecteer API-machtigingen.
  5. Bekijk zorgvuldig de machtigingen die de toepassing nodig heeft. Als u akkoord gaat, selecteert u Beheerderstoestemming verlenen.

Wanneer u beheerderstoestemming voor de hele tenant verleent met behulp van een van de hierboven beschreven methoden, wordt er een venster geopend vanuit Azure Portal om te vragen om beheerderstoestemming voor de hele tenant. Als u de client-id (ook wel de toepassings-id genoemd) van de toepassing kent, kunt u dezelfde URL bouwen om beheerderstoestemming voor de hele tenant te verlenen.

De URL voor beheerderstoestemming voor de hele tenant volgt de volgende indeling:

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}

Hierbij

  • {client-id} is de client-id van de toepassing (ook wel app-id genoemd).
  • {tenant-id} is de tenant-id van uw organisatie of een geverifieerde domeinnaam.

Bekijk zoals altijd zorgvuldig de machtigingen die een toepassing aanvraagt voordat u toestemming verleent.

Volgende stappen

Configureren hoe eindgebruikers toestemming geven voor toepassingen

De werkstroom voor beheerderstoestemming configureren