Freigeben über

Unerwartete Zustimmungsaufforderung beim Anmelden bei einer Anwendung

Viele Anwendungen, die in Microsoft Entra-ID integriert sind, erfordern Berechtigungen für verschiedene Ressourcen, um sie auszuführen. Wenn diese Ressourcen auch in die Microsoft Entra-ID integriert sind, wird die Berechtigung für den Zugriff auf sie mithilfe des Microsoft Entra-Zustimmungsframeworks angefordert. Diese Anforderungen führen dazu, dass eine Zustimmungsaufforderung angezeigt wird, wenn eine Anwendung zum ersten Mal verwendet wird, was häufig ein einmaliger Vorgang ist.

In bestimmten Szenarien können zusätzliche Zustimmungsaufforderungen angezeigt werden, wenn ein Benutzer versucht, sich anzumelden. In diesem Artikel diagnostizieren wir den Grund für die unerwarteten Zustimmungsaufforderungen, die angezeigt werden, und wie Sie Probleme beheben können.

Weitere Eingabeaufforderungen können in verschiedenen Szenarien erwartet werden:

  • Die Anwendung wurde so konfiguriert, dass eine Zuordnung erforderlich ist. Die Zustimmung einzelner Benutzer wird für Apps, die eine Zuweisung erfordern, derzeit nicht unterstützt. daher müssen die Berechtigungen von einem Administrator für das gesamte Verzeichnis erteilt werden. Wenn Sie eine Anwendung so konfigurieren, dass eine Zuweisung erforderlich ist, müssen Sie auch mandantenweite Administratorzustimmung erteilen, damit sich der zugewiesene Benutzer anmelden kann.

  • Der Satz von Berechtigungen, die von der Anwendung benötigt werden, wurde vom Entwickler geändert und muss erneut erteilt werden.

  • Der Benutzer, der der Anwendung ursprünglich zugestimmt hat, war kein Administrator, und jetzt verwendet ein anderer (nicht administratorischer) Benutzer die Anwendung zum ersten Mal.

  • Der Benutzer, der der Anwendung ursprünglich zugestimmt hat, war ein Administrator, aber er stimmte nicht im Namen der gesamten Organisation zu.

  • Die Anwendung verwendet inkrementelle und dynamische Zustimmung , um weitere Berechtigungen anzufordern, nachdem die Zustimmung anfänglich erteilt wurde. Die inkrementelle und dynamische Zustimmung wird häufig verwendet, wenn optionale Features einer Anwendung Berechtigungen erfordern, die über die für die Basisfunktionalität erforderlichen hinausgehen.

  • Die Zustimmung wurde widerrufen, nachdem sie anfänglich erteilt wurde.

  • Der Entwickler hat die Anwendung so konfiguriert, dass bei jeder Verwendung eine Zustimmungsaufforderung erforderlich ist (Hinweis: Dieses Verhalten ist nicht bewährte Methode).

    Hinweis

    Im Anschluss an die Empfehlungen und bewährten Methoden von Microsoft haben viele Organisationen die Berechtigung zum Erteilen der Zustimmung zu Apps deaktiviert oder eingeschränkt. Wenn eine Anwendung die Zustimmung bei jeder Anmeldung erzwingt, werden die meisten Benutzer daran gehindert, diese Anwendungen zu verwenden, auch wenn ein Administrator mandantenweite Administratorzustimmung erteilt. Wenn Sie auf eine Anwendung stoßen, die die Zustimmung des Benutzers erfordert, auch nachdem die Administratorzustimmung erteilt wurde, wenden Sie sich an den App-Herausgeber, um festzustellen, ob er über eine Einstellung oder Option verfügt, um die Benutzerzustimmung bei jeder Anmeldung zu beenden.

Schritte zur Fehlersuche

Vergleichen der angeforderten und erteilten Berechtigungen für die Anwendungen

Um sicherzustellen, dass die für die Anwendung erteilten Berechtigungen aktuell sind, können Sie die von der Anwendung angeforderten Berechtigungen mit den bereits im Mandanten erteilten Berechtigungen vergleichen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.
  3. Geben Sie den Namen der vorhandenen Anwendung in das Suchfeld ein, und wählen Sie dann die Anwendung aus den Suchergebnissen aus.
  4. Wählen Sie unter "Sicherheit" in der linken Navigation die Option "Berechtigungen" aus.
  5. Die Liste der bereits erteilten Berechtigungen in der Tabelle auf der Seite "Berechtigungen" anzeigen.
  6. Um die angeforderten Berechtigungen anzuzeigen, wählen Sie die Schaltfläche " Administratorzustimmung erteilen" aus . Dadurch wird eine Zustimmungsaufforderung mit allen angeforderten Berechtigungen geöffnet. Wählen Sie in der Einwilligungsaufforderung nur dann Annehmen aus, wenn Sie sicher sind, dass Sie mandantenweite Administratoreinwilligung erteilen möchten.
  7. Erweitern Sie in der Zustimmungsaufforderung die aufgelisteten Berechtigungen, und vergleichen Sie sie mit der Tabelle auf der Berechtigungsseite. Wenn in der Zustimmungsaufforderung welche vorhanden sind, aber nicht auf der Berechtigungsseite, muss dieser Berechtigung noch zugestimmt werden. Nicht genehmigte Berechtigungen können die Ursache dafür sein, dass unerwartete Zustimmungsaufforderungen für die Anwendung angezeigt werden.

Anzeigen von Benutzerzuweisungseinstellungen

Wenn die Anwendung eine Zuweisung erfordert, können einzelne Benutzer nicht für sich selbst zustimmen. Um zu prüfen, ob eine Zuweisung für die Anwendung erforderlich ist, gehen Sie wie folgt vor:

  1. Wählen Sie auf der Seite der Anwendung unter "Verwalten" die Option "Eigenschaften" aus.
  2. Prüfen Sie, ob Zuordnung erforderlich?, auf Ja festgelegt ist.
  3. Wenn dieser Wert auf "Ja" festgelegt ist, muss ein Administrator den Berechtigungen im Namen der gesamten Organisation zustimmen.

Bestimmen, ob ein einzelner Benutzer einer Anwendung zustimmen kann, kann von jeder Organisation konfiguriert werden und kann sich von Verzeichnis zu Verzeichnis unterscheiden. Auch wenn jede Berechtigung standardmäßig keine Administratorzustimmung erfordert, hat Ihre Organisation möglicherweise die Zustimmung des Benutzers vollständig deaktiviert, hindert einen einzelnen Benutzer daran, sich für eine Anwendung zuzustimmen. Gehen Sie wie folgt vor, um die Benutzerzustimmungseinstellungen Ihrer Organisation anzuzeigen:

  1. Navigieren Sie zur Seite "Unternehmensanwendungen " im Microsoft Entra Admin Center.
  2. Wählen Sie unter "Sicherheit" die Option "Zustimmung" und "Berechtigungen" aus.
  3. Zeigen Sie die Einstellungen für die Zustimmung des Benutzers an. Wenn diese Einstellung auf "Benutzerzustimmung nicht zulassen" festgelegt ist, können Die Benutzer niemals im Namen von sich selbst für eine Anwendung zustimmen.

Nächste Schritte