Teilen über

Erteilen und Verwalten der Zustimmung zu Teams-App-Berechtigungen

  • Artikel
  • Gilt für:
    Microsoft Teams

Die Verwendung von Teams-Apps kann die Produktivität und Zusammenarbeit zwischen den Benutzern Ihrer Organisation enorm steigern. Teams-Apps bieten Informationen zu den Tipps Ihrer Benutzer, ohne dass der Kontext wechselt, und helfen ihnen dabei, großartige Arbeit zu leisten. Als Administrator spielen Sie eine wichtige Rolle, um Ihre Benutzer mit dem richtigen Typ von Apps zu unterstützen und gleichzeitig die Anforderungen Ihres Unternehmens an Sicherheit und Compliance abzuwägen. Nachdem Sie sich entschieden haben, die Verwendung einer App zu genehmigen, müssen Sie sicherstellen, dass die App-Einführung für die Benutzer reibungslos verläuft.

Ein wichtiger Teil ist das Erteilen der Zustimmung zu den Berechtigungen, die eine App benötigt, um zu funktionieren. Sie stimmen genehmigten Apps zu, damit jeder Benutzer in Ihrer Organisation berechtigungen und seine Zustimmung nicht einzeln überprüfen muss, wenn er die App startet. Einige Beispiele für von Apps angeforderte Berechtigungen umfassen die Möglichkeit, in einem Team gespeicherte Informationen zu lesen, das Profil eines Benutzers zu lesen und eine E-Mail im Namen von Benutzern zu senden. Weitere Informationen zu Berechtigungen und Zustimmung finden Sie unter Berechtigungen und Zustimmung im Microsoft Identity Platform-Endpunkt.

Um die Anforderungen des Unternehmens zu schützen und seine Richtlinien einzuhalten, kann nur ein globaler Administrator die Zustimmung zu App-Berechtigungen im Namen aller Benutzer in Ihrer Organisation erteilen. Die Option zum Anzeigen von Details und anforderung zum Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Apps von Drittanbietern und nicht für die von Microsoft bereitgestellten Apps.

Anzeigen von Microsoft Graph-Berechtigungen, die von einer App angefordert werden

Auf der Seite Apps verwalten gibt die Spalte Berechtigungen an, ob eine App über Berechtigungen verfügt, für die eine Zustimmung erforderlich ist. Wählen Sie den Link Details anzeigen für eine App aus, um die verschiedenen Berechtigungen und den Zugriff auf Organisationsinformationen anzuzeigen, die die App anfordert. Die Option zum Anzeigen von Details und Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Drittanbieter-Apps und nicht für die von Microsoft bereitgestellten Apps.

Durch das Erteilen der Zustimmung zu solchen Berechtigungen kann eine App auf die Informationen Ihrer Organisation zugreifen. Überprüfen Sie sorgfältig die von der App angeforderten Berechtigungen, bevor Sie ihre Zustimmung erteilen. Weitere Informationen finden Sie unter Berechtigungen und Zustimmung zu Teams-Apps. Nur globale Administratoren können die Zustimmung zu den Von einer App angeforderten Graph-Berechtigungen erteilen. Teams-Administratoren können die erforderlichen Berechtigungen im Admin Center anzeigen. Die Option zum Anzeigen von Details und Erteilen der Zustimmung gilt für benutzerdefinierte Apps und Drittanbieter-Apps und nicht für die von Microsoft bereitgestellten Apps.

Führen Sie die folgenden Schritte aus, um die Zustimmung für alle Benutzer in Ihrer Organisation anzuzeigen und zu erteilen:

  1. Greifen Sie im Teams Admin Center auf Teams-Apps>Apps verwalten zu.

  2. Suchen Sie nach der erforderlichen App, und führen Sie dann eine der folgenden Aktionen aus:

    • Wählen Sie den Link Details anzeigen in der Spalte Berechtigungen der App aus, um die Registerkarte Berechtigungen zu öffnen.
    • Wählen Sie den App-Namen aus, um zur Seite mit den App-Details zu wechseln, und wählen Sie die Registerkarte Berechtigungen aus.

  3. Wählen Sie unter Organisationsweite Berechtigungen die Option Berechtigungen überprüfen und zustimmen aus.

    Screenshot: Option zum Erteilen der Zustimmung zu Graph-Berechtigungen, die für eine App angefordert wurden

  4. Überprüfen Sie im daraufhin geöffneten Dialogfeld die von der App angeforderten Berechtigungen.

    Screenshot des Dialogfelds, in dem die Zustimmung für die von einer App angeforderten Berechtigungen akzeptiert wird

  5. Wenn Sie mit den von der App angeforderten Berechtigungen einverstanden sind, wählen Sie Akzeptieren aus, um die Zustimmung zu erteilen. Eine Bestätigung auf der Registerkarte "Berechtigungen" lässt Sie wissen, dass die Zustimmung für die App verfügbar ist. Die App hat jetzt Zugriff auf die angegebenen Ressourcen für alle Benutzer in Ihrer Organisation, für die die App zulässig ist. Benutzer werden jetzt nicht aufgefordert, die Berechtigungen zu überprüfen.

    Screenshot: Bestätigung nach dem Erteilen der Zustimmung zu App-Berechtigungen

Hinweis

Wenn der Entwickler in der neuen Version der App zusätzliche Berechtigungen hinzufügt, die die Administratoreinwilligung erfordern, können Benutzer die App erst verwenden, wenn Sie der aktualisierten App ihre Zustimmung erteilen.

Sie können Einstellungen für die Benutzereinwilligung konfigurieren, damit Benutzer ausgewählten Berechtigungen zustimmen (empfohlener Ansatz) und Apps verwenden können, die nur diese spezifischen Berechtigungen erfordern, ohne dass eine Administratoreinwilligung erforderlich ist.

Dieser Ansatz funktioniert zusammen mit der Berechtigungsklassifizierung im Microsoft Entra ID-Portal. Mit der Klassifizierung können Administratoren einige delegierte Graph-Berechtigungen als Berechtigungen mit geringem Risiko innerhalb ihrer Organisation definieren. Administratoren entscheiden basierend auf dem Risikostatus ihrer Organisation, welche Berechtigungen mit geringem Risiko vorhanden sind. Aus Sicherheitsgründen können Sie Anwendungsberechtigungen nicht mit geringem Risiko kategorisieren.

Sie können Die Einstellungen für die Benutzerzustimmung so konfigurieren, dass Benutzer Folgendes ausführen können:

  • Sie können keinem Apps zustimmen und daher nur vom Administrator genehmigte Apps verwenden.
  • Stimmen Sie ausgewählten Berechtigungen zu (empfohlener Ansatz), und verwenden Sie eine App, die nur diese spezifischen Berechtigungen erfordert.

Der empfohlene Ansatz funktioniert zusammen mit der Berechtigungsklassifizierung. Mit der Klassifizierung können Administratoren einige oder alle berechtigungen des delegierten Graphs als Berechtigungen mit geringem Risiko innerhalb ihrer Organisation definieren. Administratoren entscheiden berechtigungen mit geringem Risiko basierend auf dem Risikostatus ihrer Organisation. Aus Sicherheitsgründen können Sie Anwendungsberechtigungen nicht mit geringem Risiko kategorisieren. Anwendungsberechtigungen erfordern nur die Zustimmung eines Administrators. Weitere Informationen finden Sie unter Konfigurieren, wie Benutzer Anwendungen zustimmen und Berechtigungen als niedriges oder hohes Risiko klassifizieren.

Um diese Konfiguration zu erreichen, müssen Sie in Ihrer Organisation über die Rolle "Globaler Administrator", "Anwendungsadministrator" oder "Cloudanwendungsadministrator" verfügen.

Nachdem Sie die Zustimmung zu Berechtigungen einer App erteilt haben, wird auf der Registerkarte Berechtigungen eine Bestätigung angezeigt, mit der Sie darüber informiert werden, dass die Zustimmung für die App-Berechtigungen verfügbar ist. Wenn Sie Details zu den einzelnen App-Berechtigungen anzeigen möchten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Wählen Sie Anwendungen>Unternehmensanwendungen aus.

  3. Wählen Sie eine Anwendung aus, um deren Berechtigungen anzuzeigen. Wählen Sie auf der Anwendungsseite Berechtigungen aus.

    Screenshot: Entra-Benutzeroberfläche zum Anzeigen und Verwalten der erteilten Zustimmung zu den Berechtigungen einer App.

  4. Wählen Sie eine Berechtigung aus, um weitere Details dazu zu erfahren.

    Screenshot: Details zu einer ausgewählten Berechtigung

Führen Sie die folgenden Schritte aus, um die Einwilligung zu widerrufen, die Sie zuvor für eine App erteilt haben:

  1. Wählen Sie auf der Registerkarte Berechtigungen den Link Microsoft Entra ID aus, um die Berechtigungen der App im Microsoft Entra Admin Center zu öffnen.

  2. Wählen Sie auf der Registerkarte Administratoreinwilligung die Berechtigung aus, die Sie widerrufen möchten, und wählen Sie dann die Auslassungspunkte ...aus.

  3. Wählen Sie Berechtigung widerrufen und dann ja , widerrufen im Bestätigungsdialogfeld aus.

    Screenshot: Option zum Widerrufen einer Graph-Berechtigung einer App im Microsoft Entra Admin Center

Nachdem Sie die Zustimmung zu einigen Berechtigungen widerrufen haben, können Sie die Zustimmung erteilen. Weitere Informationen finden Sie unter Erteilen der organisationsweiten Administratoreinwilligung für die Berechtigungen einer App.

Entwickler aktualisieren Apps, um neue Funktionen hinzuzufügen, vorhandene Funktionen zu verbessern oder Fehler zu beheben. Einige App-Updates fügen möglicherweise neue Berechtigungen hinzu, die nicht Teil der vorherigen Version der App waren. Wenn der Entwickler neue Berechtigungen hinzufügt, die die Administratoreinwilligung erfordern, müssen Sie den neuen Berechtigungen zustimmen. Der Reconsent-Flow ist der gleiche wie unter Erteilen der organisationsweiten Administratoreinwilligung für die Berechtigungen einer App beschrieben.

Informationen zu App-Änderungen, die die Zustimmung eines Benutzers oder Administrators erfordern, finden Sie unter Bedingungen, wenn für ein App-Update die Zustimmung erforderlich ist. Abhängig von der Konfiguration Ihrer Organisation können Benutzer möglicherweise einigen Arten von Berechtigungen ihre Zustimmung erteilen.

MIT RSC-Berechtigungen kann eine App auf die Daten eines Teams oder Benutzers zugreifen und diese ändern. RSC-Berechtigungen sind präzise und spezifisch für das Teams-Team, in dem eine App hinzugefügt wird. Einige Beispiele für RSC-Berechtigungen sind die Möglichkeit, Kanäle in einem Team zu erstellen und zu löschen, die Einstellungen für ein Team abzurufen und Kanalregister zu erstellen und zu entfernen.

RSC-Berechtigungen werden im App-Manifest und nicht im Microsoft Entra Admin Center definiert. Teambesitzer können die Zustimmung für solche Berechtigungen erteilen, wenn sie die App einem Team oder einem Chat hinzufügen. Weitere Informationen finden Sie unter Ressourcenspezifische Zustimmung (RSC).

Sie können RSC-Berechtigungen für eine App auf der Registerkarte Berechtigungen der App-Detailseite anzeigen. Die RSC-Berechtigungen werden zusammen mit den anderen Berechtigungen in den Abschnitten Anwendungsberechtigungen und Delegierte Berechtigungen aufgeführt.

Administratoren können konfigurieren, ob Benutzer Apps den Zugriff auf die Daten ihrer Gruppen oder Teams erlauben können. Globale Administratoren können die Zustimmung des Gruppenbesitzers für Apps, die auf Dateneinstellungen in Microsoft Entra ID zugreifen, ändern, damit Benutzer RSC-Berechtigungen zustimmen können.

Wenn Sie die Zustimmung des Gruppenbesitzers für Apps nicht zulassen, können Benutzer den RSC-Berechtigungen in einer App nicht zustimmen, wenn RSC-Berechtigungen verwendet werden.