Benutzer- und Administratoreinwilligung in Microsoft Entra ID

  • Artikel

In diesem Artikel lernen Sie die grundlegenden Konzepte und Szenarien im Zusammenhang mit Benutzer- und Administratoreinwilligung in Microsoft Entra ID kennen.

Die Einwilligung ist ein Prozess, bei dem Benutzer einer Anwendung die Berechtigung für den Zugriff auf eine geschützte Ressource erteilen können. Um die erforderliche Zugriffsebene anzugeben, fordert eine Anwendung die benötigten API-Berechtigungen an. Beispielsweise kann eine Anwendung die Berechtigung anfordern, das Profil eines angemeldeten Benutzers anzuzeigen und den Inhalt des Postfachs des Benutzers zu lesen.

Es gibt verschiedene Möglichkeiten, die Einwilligung zu initiieren. Benutzer können beispielsweise zur Zustimmung aufgefordert werden, wenn sie versuchen, sich zum ersten Mal bei einer Anwendung zu anmelden. Abhängig von den benötigten Berechtigungen kann es bei einigen Anwendungen erforderlich sein, dass ein Administrator die Zustimmung erteilt.

Ein Benutzer kann eine Anwendung autorisieren, auf einige Daten in der geschützten Ressource zu zugreifen, während er als dieser Benutzer agiert. Die Berechtigungen, die diese Art von Zugriff zulassen, werden als „delegierte Berechtigungen“ bezeichnet.

Die Benutzereinwilligung wird in der Regel initiiert, wenn sich ein Benutzer bei einer Anwendung anmeldet. Nachdem der Benutzer Anmeldeinformationen angegeben hat, wird überprüft, ob die Einwilligung bereits erteilt wurde. Wenn keine frühere Benutzer- oder Administratoreinwilligung für die erforderlichen Berechtigungen vorliegt, wird der Benutzer zum Fenster für die Zustimmungsaufforderung weitergeleitet, um der Anwendung die angeforderten Berechtigungen zu erteilen.

Die Benutzereinwilligung durch Nichtadministratoren ist nur in Organisationen möglich, in denen die Benutzereinwilligung für die Anwendung und für den Berechtigungssatz zulässig ist, den die Anwendung benötigt. Wenn die Benutzereinwilligung deaktiviert ist oder Benutzer nicht berechtigt sind, in die angeforderten Berechtigungen einzuwilligen, werden sie nicht zur Einwilligung aufgefordert. Wenn Benutzer einwilligen dürfen und die angeforderten Berechtigungen akzeptieren, wird die Einwilligung erfasst, und die Benutzer müssen in der Regel bei künftigen Anmeldungen bei der gleichen Anwendung nicht erneut ihre Einwilligung geben.

Benutzer haben die Kontrolle über ihre Daten. Ein privilegierter Administrator kann konfigurieren, ob Benutzer ohne Administratorrechte eine Benutzereinwilligung für eine Anwendung erteilen dürfen. Bei dieser Einstellung können Aspekte der Anwendung und des Anwendungsherausgebers sowie die angeforderten Berechtigungen berücksichtigt werden.

Als Administrator können Sie auswählen, ob die Benutzereinwilligung zulässig ist. Wenn Sie die Benutzereinwilligung zulassen, können Sie auch auswählen, welche Bedingungen erfüllt sein müssen, bevor ein Benutzer für eine Anwendung einwilligen kann.

Indem Sie auswählen, welche Richtlinien für die Anwendungseinwilligung für alle Benutzer gelten sollen, können Sie Grenzwerte im Hinblick darauf festlegen, wann Benutzer Einwilligung für Anwendungen erteilen dürfen und wann sie zum Anfordern einer Überprüfung und Genehmigung durch den Administrator aufgefordert werden sollen: Das Microsoft Entra Admin Center bietet die folgenden integrierten Optionen:

  • Sie können die Benutzereinwilligung deaktivieren. Benutzer können Anwendungen keine Berechtigungen erteilen. Benutzer melden sich weiterhin bei Anwendungen an, für die sie zuvor ihre Einwilligung gegeben haben, oder bei Anwendungen, denen Administratoren in ihrem Namen ihre Einwilligung erteilt haben. Sie dürfen jedoch nicht selbst in neue Berechtigungen für Anwendungen einwilligen. Nur Benutzer, denen eine Verzeichnisrolle mit der Berechtigung zum Erteilen der Einwilligung erteilt wurde, können in neue Anwendungen einwilligen.

  • Benutzer können in Anwendungen von verifizierten Herausgebern oder Ihrer Organisation einwilligen, aber nur für die von Ihnen ausgewählten Berechtigungen. Alle Benutzer können nur in Anwendungen, die von einem verifizierten Herausgeber veröffentlicht wurden, sowie in Anwendungen einwilligen, die in Ihrem Mandanten registriert sind. Benutzer können nur in die Berechtigungen einwilligen, die von Ihnen als Berechtigungen mit geringer Auswirkung klassifiziert wurden. Sie müssen Berechtigungen klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.

  • Benutzer können in alle Anwendungen einwilligen. Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in alle Berechtigungen einzuwilligen, die keine Administratoreinwilligung erfordern.

Für die meisten Organisationen ist eine der integrierten Optionen geeignet. Einige erfahrene Kunden wünschen sich möglicherweise mehr Kontrolle über die Bedingungen, die steuern, wann Benutzer einwilligen dürfen. Diese Kunden können eine benutzerdefinierte Richtlinie zur Einwilligung für die App erstellen und diese Richtlinien so konfigurieren, dass sie auf die Benutzereinwilligung angewendet werden.

Bei der Administratoreinwilligung kann ein privilegierter Administrator einer Anwendung Zugriff im Namen anderer Benutzer gewähren (in der Regel im Namen der gesamten Organisation). Ebenfalls bei der Administratoreinwilligung bieten Anwendungen oder Dienste direkten Zugriff auf eine API, die von der Anwendung verwendet werden kann, wenn kein angemeldeter Benutzer verfügbar ist. Die spezifische Rolle, die für die Erteilung der Administratoreinwilligung erforderlich ist, hängt von den angeforderten Berechtigungen ab, die im Artikel Gewähren von Administratoreinwilligung beschrieben werden.

Wenn Ihre Organisation eine Lizenz oder ein Abonnement für eine neue Anwendung erwirbt, empfiehlt es sich, die Anwendung proaktiv einzurichten, damit sie von allen Benutzern in der Organisation verwendet werden kann. Um die Notwendigkeit einer Benutzereinwilligung zu vermeiden, kann ein Administrator die Einwilligung für die Anwendung im Namen aller Benutzer in der Organisation erteilen.

Nachdem ein Administrator die Administratoreinwilligung im Namen der Organisation erteilt hat, werden Benutzer für diese Anwendung normalerweise nicht zur Einwilligung aufgefordert. In bestimmten Fällen wird ein Benutzer möglicherweise zur Einwilligung aufgefordert, auch nachdem die Einwilligung von einem Administrator erteilt wurde. Dies ist beispielsweise der Fall, wenn eine Anwendung eine andere Berechtigung anfordert, die der Administrator noch nicht erteilt hat.

Das Erteilen der Administratoreinwilligung im Namen einer Organisation ist ein sensibler Vorgang, der dem Herausgeber der Anwendung möglicherweise Zugriff auf wichtige Teile der Unternehmensdaten oder die Berechtigung zum Durchführen von Vorgängen mit umfassenden Berechtigungen gewährt. Beispiele für solche Vorgänge sind die Rollenverwaltung, Vollzugriff auf alle Postfächer oder alle Websites und die Berechtigung für vollständige Benutzeridentitätswechsel.

Stellen Sie vor dem Erteilen einer mandantenweiten Administratoreinwilligung sicher, dass Sie der Anwendung und dem Anwendungsherausgeber im Sinne der zu erteilenden Zugriffsebene vertrauen. Wenn Sie nicht sicher sind, wer die Anwendung steuert und warum die Anwendung die Berechtigungen anfordert, erteilen Sie keine Einwilligung.

Eine Schritt-für-Schritt-Anleitung dazu, ob Administratoreinwilligung für eine Anwendung erteilt werden soll, finden Sie unter Auswerten einer Anforderung für eine mandantenweite Administratoreinwilligung.

Eine Schrittanleitung zum Erteilen der mandantenweiten Administratoreinwilligung über das Microsoft Entra Admin Center finden Sie unter Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung.

Anstatt die Einwilligung für eine gesamte Organisation zu erteilen, kann ein Administrator auch die Microsoft Graph-API verwenden, um eine Einwilligung für delegierte Berechtigungen im Namen eines einzelnen Benutzers zu erteilen. Ein ausführliches Beispiel für die Verwendung von Microsoft Graph PowerShell finden Sie unter Verwalten der Einwilligung zu Anwendungen und Auswerten von Einwilligungsanforderungen.

Beschränken des Benutzerzugriffs auf eine Anwendung

Der Benutzerzugriff auf Anwendungen kann auch dann noch eingeschränkt werden, wenn eine mandantenweite Administratoreinwilligung erteilt wurde. Konfigurieren Sie die Eigenschaften der Anwendung so, dass eine Benutzerzuweisung erforderlich ist, um den Benutzerzugriff auf die Anwendung zu beschränken. Weitere Informationen finden Sie unter Zuweisen von Benutzern und Gruppen zu einer Anwendung in Azure Active Directory.

Eine umfassendere Übersicht, einschließlich der Behandlung weiterer komplexer Szenarien, finden Sie unter Verwenden von Microsoft Entra ID für die Anwendungszugriffsverwaltung.

Der Workflow für die Administratoreinwilligung bietet Benutzern die Möglichkeit, die Administratoreinwilligung für Anwendungen anzufordern, wenn sie nicht selbst einwilligen dürfen. Wenn der Workflow für die Administratoreinwilligung aktiviert ist, wird Benutzern das Fenster „Genehmigung erforderlich“ angezeigt, in dem sie eine Administratorgenehmigung für den Zugriff auf die Anwendung anfordern können.

Nachdem Benutzer die Anforderung zur Administratoreinwilligung übermittelt haben, erhalten die Administratoren, die als Prüfer festgelegt wurden, eine Benachrichtigung. Die Benutzer werden benachrichtigt, nachdem ein Prüfer auf ihre Anforderung reagiert hat. Eine Schrittanleitung zum Konfigurieren des Workflows für die Administratoreinwilligung über das Microsoft Entra Admin Center finden Sie unter Konfigurieren des Workflows für die Administratoreinwilligung.

Nachdem der Workflow für die Administratoreinwilligung aktiviert wurde, können Benutzer eine Administratorgenehmigung für eine Anwendung anfordern, für die sie selbst keine Einwilligung erteilen können. Der Prozess umfasst die folgenden Schritte:

  1. Der Benutzer versucht, sich bei der Anwendung anzumelden.
  2. Die Meldung Genehmigung erforderlich wird angezeigt. Der Benutzer gibt ein, warum er Zugriff auf die Anwendung benötigt, und wählt anschließend „Genehmigung anfordern“ aus.
  3. In einer Meldung Anforderung gesendet wird bestätigt, dass die Anforderung an den Administrator gesendet wurde. Wenn der Benutzer mehrere Anforderungen sendet, wird nur die erste Anforderung an den Administrator übermittelt.
  4. Der Benutzer erhält eine E-Mail-Benachrichtigung, wenn die Anforderung genehmigt, abgelehnt oder blockiert wurde.

Nächste Schritte