Anfordern von Berechtigungen,für eine die Admin-Zustimmung erforderlich ist

In diesem Artikel beschreiben wir, wie Sie als Entwicklerin oder Entwickler in einem Szenario, in dem Sie Ihren Anwendungscode für die Anforderung von Anwendungsberechtigungen schreiben, die eine Admin-Zustimmung erfordern, mit Berechtigungen und Zustimmungen umgehen. Die Beispiel-Screenshots von Dialogfeldern für Berechtigungen und Einwilligungen und das Microsoft Entra Admin Center geben Ihnen eine Vorstellung der Perspektive Ihrer Benutzer und der Mandantenadministratoren. Verbessern Sie die Zusammenarbeit mit Administratoren, um das Zero-Trust-Prinzip der geringsten Rechte in Ihren Anwendungen zu implementieren.

Beim Entwickeln Ihrer Anwendung schreiben Sie Code, der den Zugriff auf eine Ressource anfordert, indem Sie ein Zugriffstoken mit einem bestimmten Bereich (oder einer Berechtigung) anfordern. Sie verwenden den Bereichsparameter, wie im OAuth 2.0-Standard beschrieben, den einige Personen als Berechtigung beschreiben. Ressourcenbesitzerinnen und -besitzer gewähren oder verweigern Berechtigungsanforderungen. In Microsoft Entra ID ist der Ressourcenbesitzer entweder der Benutzer der App oder ein Administrator, der über die Berechtigungen zum Erteilen der Einwilligung zu dieser Ressource im Namen aller Benutzer verfügt.

Oberfläche für die Benutzerzustimmung

Wenn Ihre Anwendung die Berechtigung für den Zugriff auf eine Ressource anfordert, wird der Benutzerin oder dem Benutzer möglicherweise eine Berechtigungsanfrage angezeigt, die dem Dialogfeld in diesem Beispiel ähnelt.

Im obigen Beispieldialogfeld erteilt der Benutzer der App die Einwilligung, die Daten in seinem Namen zu lesen, indem er Annehmen auswählt oder die Anforderung verweigert, indem er Abbrechen auswählt. Nachdem die Benutzerin oder der Benutzer zugestimmt hat, empfängt die Anwendung ein Zugriffstoken und kann ihre Prozesse fortsetzen. Denken Sie daran, sicherzustellen, dass Ihre App sich ordnungsgemäß verhält, wenn sie kein Token erhält.

Einwilligungserfahrung für Administratoren

Für einige Zugriffsanforderungen kann nur ein Administrator die Einwilligung erteilen. Wenn der angeforderte Zugriff eine große Tragweite hat oder Ressourcen umfasst, deren Besitzer nicht die aktuellen Benutzer sind, sorgen Sie in Ihrem Code dafür, dass nur ein Administrator Anforderungen gewähren kann.

Sie wissen jedoch nie, welche Berechtigungen eine Admin-Zustimmung erfordern und bei welchen eine normale Benutzerin oder ein normaler Benutzer die Zustimmung erteilen kann, da Mandanten-Admins ihren Mandanten mit Benutzerzustimmung nicht zulassen (alle Berechtigungen erfordern Admin-Zustimmung) konfigurieren können, wie im folgenden Beispiel-Screenshot der Einstellungen für die Benutzerzustimmung im Microsoft Entra Admin Center dargestellt.

Administratoren können auch Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen, wie im folgenden Beispiel-Screenshot der Einstellungen für die Benutzereinwilligung im Microsoft Entra Admin Center gezeigt.

Administratoren können dann Berechtigungen hinzufügen, zu denen Benutzer einwilligen können, wie im folgenden Beispiel-Screenshot der Berechtigungsklassifizierungen im Microsoft Entra Admin Center gezeigt.

Wenn Ihre Anwendung eine Berechtigung anfordert, die die Zustimmung des Admin erfordert (automatisch oder durch Administratorkonfiguration), wird Ihrer Benutzerin oder Ihrem Benutzer möglicherweise ein Dialogfeld zur Genehmigung durch den Admin angezeigt, das diesem Beispiel ähnelt.

Das obige Beispieldialogfeld zeigt die Standarderfahrung (vorkonfiguriert) für Berechtigungen, die Administratoreinwilligungen erfordern. Die meisten Benutzer wissen nicht, was in diesem Szenario zu tun ist. Sie wissen nicht, wer ihr Administrator ist und wer für die Genehmigung verantwortlich ist. Durch diese Ungewissheit kann der Benutzer möglicherweise seine gewünschten Ziele nicht erreichen.

Verbessern der Berechtigungs- und Einwilligungserfahrung

Um die Berechtigungs- und Einwilligungserfahrung zu verbessern, kann der Mandantenadministrator den Workflow für die Administratoreinwilligung konfigurieren, wie im folgenden Beispiel-Screenshot der Benutzereinstellungen im Microsoft Entra Admin Center gezeigt.

Unter Admin-Zustimmungsanfragen können Mandanten-Admins die Genehmigungs- und Zustimmungserfahrung der Benutzerinnen und Benutzer verbessern, indem sie Ja für die Option Benutzerinnen und Benutzer können eine Admin-Zustimmung für Anwendungen anfordern, denen sie nicht zustimmen können, und andere Einstellungen für Admin-Zustimmungsanfragen konfigurieren.

Nachdem Mandanten-Admins Ja für die Option Benutzerinnen und Benutzer können eine Admin-Zustimmung für Anwendungen anfordern, denen sie nicht zustimmen können ausgewählt haben, und eine Anwendung eine Berechtigung anfordert, die eine Admin-Zustimmung erfordert, sehen die Benutzerinnen und Benutzer ein Genehmigung erforderlich-Dialogfeld, das dem folgenden ähnelt, das eine bessere Benutzererfahrung bietet.

Im obigen Beispieldialogfeld kann der Benutzer eine Begründung für das Anfordern dieser App eingeben, bevor er Genehmigung anfordern auswählt. Die Genehmigungsanfrage gelangt dann in eine Warteschlange für Genehmigungsanfragen für Admins (wie im folgenden Beispiel-Screenshot gezeigt), wo Admins die Möglichkeit haben, Anträge in ihrer Organisation auf der Grundlage des Risikoprofils zu prüfen, zu akzeptieren oder zu sperren.

Wenn Admins eine Anwendung ausführen, die eine Admin-Zustimmung erfordert, ohne diese im Microsoft Entra Admin Center zu konfigurieren, wird ein Dialogfeld mit dem Hinweis Berechtigungen erforderlich angezeigt, das dem folgenden Beispiel ähnelt.

Im obigen Beispiel sieht der Administrator eine Beschreibung der Berechtigungen, die die Anwendung anfordert. Der Administrator kann Akzeptieren auswählen, um die Anwendung einzeln auszuführen, oder er kann die Option Zustimmung im Namen Ihrer Organisation und anschließend Akzeptieren auswählen. Nachdem der Admin die Genehmigung für die Organisation erteilt hat, müssen künftige Benutzerinnen und Benutzer der Organisation keine Genehmigung für diese Anwendung mehr erteilen, es sei denn, ein Admin entfernt die Genehmigung aus der Mandantenkonfiguration der Genehmigungsanforderungen für Admins.

Eine weitere Möglichkeit der Zustimmung von Mandanten-Admins ist über die Berechtigungen im Microsoft Entra Admin Center, wo Admins die Details der zuvor angeforderten App-Berechtigungen einsehen können.

Im obigen Beispiel für die Benutzereinwilligung kann der Administrator die erteilten Berechtigungen für die App zusammen mit Informationen zu Ansprüchen, Berechtigungstyp und Benutzer, der die Einwilligung erteilt hat, überprüfen. Der Administrator kann die Administratoreinwilligung auswählen, um erteilte Berechtigungen zu überprüfen, für die eine Administratoreinwilligung erforderlich ist.

Anfordern der Administratoreinwilligung im Voraus

Die beste Strategie für Anwendungsberechtigungen besteht darin, alle Berechtigungen, die Ihre Anwendung benötigen oder anfordern könnte, im Voraus zu deklarieren, wenn Sie Ihre Anwendung registrieren. Sie müssen nicht alle Berechtigungen gleichzeitig anfordern, aber nachdem Sie alle Berechtigungen angegeben haben, die Ihre App benötigen könnte, können Admins in der Konfiguration Ihrer App im Mandanten die Option Admin-Zustimmung erteilen für auswählen, um einen Dialog ähnlich diesem Beispiel anzuzeigen.

Das obige Beispiel zeigt, wie der Admin den von Ihnen angegebenen Berechtigungen zustimmen kann, um Ihren Benutzerinnen und Benutzern sowie den Mandant-Admins das beste Erlebnis zu bieten.

Das Anfordern der Administratoreinwilligung im Voraus ist eine bevorzugte Vorgehensweise für Branchen-Apps (Line Of Business, LOB), insbesondere für die Apps, die Ihre Organisation entwickelt. Es ist einfacher, die Benutzerin oder den Benutzer nicht fragen zu müssen, ob Ihr Unternehmen auf die Daten Ihres Unternehmens zugreifen darf, indem Sie diese Anwendungen vorab genehmigen. Sie nehmen die Anforderung zur Administratoreinwilligung als Teil Ihres App-Registrierungsvorgangs vor.

Nächste Schritte

• Unter Zugriffsberechtigung auf Ressourcen einholen erfahren Sie, wie Sie bei der Einholung von Zugriffsberechtigungen auf Ressourcen für Ihre Anwendung am besten Zero Trust gewährleisten können.
• Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
• Bewährte Methoden zur Autorisierung helfen Ihnen, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.
• Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können. Es wird erläutert, wie Token angepasst werden, um Flexibilität und Kontrolle zu verbessern, während gleichzeitig die Zero Trust-Sicherheit der Anwendung mit minimalen Berechtigungen erhöht wird.
• Die Übersicht über Berechtigungen und Einwilligung auf der Microsoft Identity Platform hilft Ihnen, grundlegende Konzepte des Zugriffs und der Autorisierung zu verstehen.
• Die Übersicht über Einwilligung und Berechtigungen hilft Ihnen, grundlegende Konzepte und Szenarien rund um Einwilligungen und Berechtigungen in Microsoft Entra ID zu erlernen.
• Lernmodul: Berechtigungen und Einwilligungsframework hilft Ihnen beim Erlernen von Berechtigungs- und Einwilligungsframeworkmodellen.
• Lernen Live: Microsoft Identity: Berechtigungen und Einwilligungsframework hilft Ihnen, die Grundlagen von Microsoft Identity zu lernen, einschließlich Token, Kontotypen und Topologien.