Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung

In diesem Artikel erfahren Sie, wie Sie einer Anwendung in Azure Active Directory (Azure AD) eine mandantenweite Administratoreinwilligung erteilen. Informationen zur Einwilligung durch einzelne Benutzer finden Sie unter Konfigurieren der Benutzereinwilligung für Anwendungen.

Wenn Sie mandantenweite Administratoreinwilligung für eine Anwendung erteilen, geben Sie der Anwendung im Namen der gesamten Organisation Zugriff auf die angeforderten Berechtigungen. Das Erteilen der Administratoreinwilligung im Namen einer Organisation ist ein sensibler Vorgang, der dem Herausgeber der Anwendung möglicherweise Zugriff auf wichtige Teile der Unternehmensdaten oder die Berechtigung zum Durchführen von Vorgängen mit umfassenden Berechtigungen gewährt. Beispiele für solche Vorgänge sind die Rollenverwaltung, Vollzugriff auf alle Postfächer oder alle Websites und die Berechtigung für vollständige Benutzeridentitätswechsel.

Standardmäßig ermöglicht das Erteilen der mandantenweiten Administratoreinwilligung für eine Anwendung allen Benutzern den Zugriff auf die Anwendung, sofern er nicht anderweitig eingeschränkt wurde. Um einzuschränken, welche Benutzer sich bei einer Anwendung anmelden können, konfigurieren Sie die Anwendung so, dass eine Benutzerzuweisung erforderlich ist, und weisen Sie der Anwendung dann Benutzer oder Gruppen zu.

Durch die mandantenweite Administratoreinwilligung für eine App erhalten die App und der Herausgeber der App Zugriff auf die Daten Ihrer Organisation. Überprüfen Sie vor dem Erteilen einer Einwilligung sorgfältig die Berechtigungen, die von der Anwendung angefordert werden. Weitere Informationen zur Einwilligung für Anwendungen finden Sie unter Azure Active Directory-Zustimmungsframework.

Durch das Erteilen der mandantenweiten Administratoreinwilligung werden möglicherweise alle Berechtigungen widerrufen, die zuvor mandantenweit für diese Anwendung erteilt wurden. Berechtigungen, die zuvor von Benutzern im eigenen Auftrag erteilt wurden, sind nicht betroffen.

Voraussetzungen

Zum Erteilen einer mandantenweiten Administratoreinwilligung müssen Sie sich als Benutzer anmelden, der zum Zustimmen im Namen der Organisation autorisiert ist.

Folgendes ist zum Erteilen einer mandantenweiten Administratoreinwilligung erforderlich:

  • Ein Azure AD-Benutzerkonto mit einer der folgenden Rollen:
    • Globaler Administrator oder Administrator für privilegierte Rollen, um Einwilligung für Apps zu erteilen, die eine Berechtigung für eine beliebige API anfordern
    • Cloudanwendungsadministrator oder Anwendungsadministrator, um Einwilligung für Apps zu erteilen, die eine Berechtigung für eine beliebige API anfordern, mit Ausnahme von Azure AD Graph- oder Microsoft Graph-App-Rollen (Anwendungsberechtigungen)
    • Eine benutzerdefinierte Verzeichnisrolle, die die Berechtigung zum Erteilen von Berechtigungen für Anwendungen für die von der Anwendung benötigten Berechtigungen enthält

Sie können die mandantenweite Administratoreinwilligung über Unternehmensanwendungen erteilen, wenn die Anwendung bereits in Ihrem Mandanten bereitgestellt wurde. Eine Anwendung wurde z. B. in Ihrem Mandanten bereitgestellt, wenn mindestens ein Benutzer bereits eine Einwilligung für die Anwendung erteilt hat. Weitere Informationen finden Sie unter Wie und warum werden Anwendungen zu Azure AD hinzugefügt?.

So erteilen Sie die mandantenweite Administratoreinwilligung für eine in Unternehmensanwendungen aufgeführte Anwendung:

  1. Melden Sie sich im Azure-Portal mit einer der Rollen an, die im Abschnitt „Voraussetzungen“ aufgeführt sind.

  2. Wählen Sie Azure Active Directory und dann Unternehmensanwendungen aus.

  3. Wählen Sie die Anwendung aus, der Sie eine mandantenweite Administratoreinwilligung erteilen möchten, und wählen Sie dann Berechtigungen aus. Screenshot: Erteilen der mandantenweiten Administratoreinwilligung.

  4. Überprüfen Sie sorgfältig die Berechtigungen, die die Anwendung anfordert. Erteilen Sie die Administratoreinwilligung, wenn Sie mit den angeforderten Berechtigungen der Anwendung einverstanden sind.

Bei Anwendungen, die Ihre Organisation entwickelt hat, oder die direkt in Ihrem Azure AD-Mandant registriert sind, können Sie auch eine mandantenweite Administratoreinwilligung in App-Registrierungen im Azure-Portal erteilen.

So erteilen Sie die mandantenweite Administratoreinwilligung in App-Registrierungen:

  1. Melden Sie sich im Azure-Portal mit einer der Rollen an, die im Abschnitt „Voraussetzungen“ aufgeführt sind.
  2. Wählen Sie Azure Active Directory und dann App-Registrierungen aus.
  3. Wählen Sie die Anwendung aus, der Sie eine mandantenweite Administratoreinwilligung erteilen möchten.
  4. Wählen Sie API-Berechtigungen anfordern aus.
  5. Überprüfen Sie sorgfältig die Berechtigungen, die die Anwendung anfordert. Wählen Sie Administratoreinwilligung erteilen aus, wenn Sie einverstanden sind.

Wenn Sie mithilfe einer der oben beschriebenen Methoden die mandantenweite Administratoreinwilligung erteilen, öffnet sich im Azure-Portal ein Fenster mit der Aufforderung zur mandantenweiten Administratoreinwilligung. Wenn Sie die Client-ID (auch Anwendungs-ID) der Anwendung kennen, können Sie die gleiche URL erstellen, um die mandantenweite Administratoreinwilligung zu erteilen.

Die URL für die mandantenweite Administratoreinwilligung verfügt über folgendes Format:

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}

Dabei gilt:

  • {client-id} ist die Client-ID der Anwendung, auch App-ID.
  • {tenant-id} ist die Mandanten-ID Ihrer Organisation oder ein beliebiger verifizierter Domänenname.

Überprüfen Sie vor dem Erteilen einer Einwilligung wie immer sorgfältig die Berechtigungen, die von einer Anwendung angefordert werden.

Nächste Schritte

Konfigurieren der Art der Benutzereinwilligung für eine Anwendung in Azure Active Directory

Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)