Unerwartete Aufforderung zur Genehmigung bei der Anmeldung bei einer Anwendung

Viele Anwendungen, die mit Microsoft Entra ID integriert sind, erfordern Berechtigungen für verschiedene Ressourcen, um ausgeführt werden zu können. Wenn diese Ressourcen auch mit Microsoft Entra ID integriert sind, werden Berechtigungen für den Zugriff darauf mithilfe des Microsoft Entra-Einwilligungsframeworks angefordert. Diese Anfragen führen dazu, dass bei der ersten Verwendung einer Anwendung eine Zustimmungsaufforderung angezeigt wird, was häufig ein einmaliger Vorgang ist.

In bestimmten Szenarien können zusätzliche Zustimmungsaufforderungen angezeigt werden, wenn ein Benutzer versucht, sich anzumelden. In diesem Artikel werden wir den Grund für die unerwarteten Einwilligungsaufforderungen und die Problembehandlung diagnostizieren.

Szenarien, in denen Benutzern Aufforderungen zur Genehmigung angezeigt werden

Weitere Eingabeaufforderungen sind in verschiedenen Szenarien zu erwarten:

• Die Anwendung wurde so konfiguriert, dass eine Zuweisung erforderlich ist. Die Einwilligung einzelner Benutzer wird derzeit nicht für Apps unterstützt, die eine Zuweisung erfordern. Daher müssen die Berechtigungen von einem Administrator für das gesamte Verzeichnis erteilt werden. Wenn Sie eine Anwendung so konfigurieren, dass eine Zuweisung erforderlich ist, stellen Sie sicher, dass Sie auch die mandantenweite Administratoreinwilligung erteilen, damit sich zugewiesene Benutzer anmelden können.

• Die von der Anwendung erforderliche Berechtigungsmenge wurde vom Entwickler geändert und muss erneut gewährt werden.

• Der Benutzer oder die Benutzerin, der bzw. die in die Anwendung ursprünglich eingewilligt hat, war kein*e Administrator*in, und jetzt nutzt ein anderer Benutzer oder eine andere Benutzerin (ohne Administratorrechte) die Anwendung zum ersten Mal.

• Der Benutzer, der der Anwendung ursprünglich zugestimmt hat, war ein Administrator, aber er hat nicht im Namen der gesamten Organisation zugestimmt.

• Die Anwendung arbeitet mit einer inkrementellen und dynamischen Genehmigung, um zusätzliche Berechtigungen anzufordern, nachdem die Genehmigung anfänglich erteilt wurde. Die inkrementelle und dynamische Zustimmung wird häufig verwendet, wenn optionale Funktionen einer Anwendung Berechtigungen erfordern, die über die für die Basisfunktionalität erforderlichen hinausgehen.

• Die Genehmigung wurde aufgehoben, nachdem sie zunächst erteilt wurde.

• Der Entwickler hat die Anwendung so konfiguriert, dass bei jeder Verwendung eine Einwilligungsaufforderung erforderlich ist. (Hinweis: Dieses Verhalten entspricht nicht der Best Practice.)

  Hinweis

  Viele Organisationen haben gemäß den Empfehlungen und bewährten Methoden von Microsoft die Berechtigungen von Benutzern zum Erteilen der Einwilligung für Apps deaktiviert oder eingeschränkt. Wenn eine Anwendung einen Benutzer bei jeder Anmeldung zum Erteilen der Einwilligung zwingt, werden die meisten Benutzer für die Nutzung dieser Anwendung blockiert, selbst wenn ein Administrator eine mandantenweite Administratoreinwilligung erteilt. Wenn Sie eine Anwendung nutzen, die selbst nach Erteilen der Administratoreinwilligung eine Benutzereinwilligung erfordert, kontaktieren Sie den Herausgeber der App, um herauszufinden, ob es eine Einstellung oder Option gibt, mit der das Erzwingen der Benutzereinwilligung bei jeder Anmeldung verhindert werden kann.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Schritte zur Problembehandlung

Vergleichen Sie die für die Anwendungen angeforderten und erteilten Berechtigungen

Um sicherzustellen, dass die für die Anwendung erteilten Berechtigungen aktuell sind, können Sie die von der Anwendung angeforderten Berechtigungen mit den bereits im Mandanten erteilten Berechtigungen vergleichen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
3. Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.
4. Wählen Sie unter "Sicherheit" in der linken Navigation "Berechtigungen“ aus
5. Zeigen Sie die Liste der bereits erteilten Berechtigungen in der Tabelle auf der Seite „Berechtigungen“ an
6. Wenn Sie die angeforderten Berechtigungen anzeigen möchten, wählen Sie die Schaltfläche Administratoreinwilligung erteilen aus. Dadurch wird eine Einwilligungsaufforderung mit allen angeforderten Berechtigungen geöffnet. Wählen Sie in der Einwilligungsaufforderung nur dann Annehmen aus, wenn Sie sicher sind, dass Sie mandantenweite Administratoreinwilligung erteilen möchten.
7. Erweitern Sie in der Zustimmungsaufforderung die aufgelisteten Berechtigungen und vergleichen Sie sie mit der Tabelle auf der Seite „Berechtigungen“. Wenn in der Zustimmungsaufforderung welche vorhanden sind, aber nicht auf der Berechtigungsseite, muss dieser Berechtigung noch zugestimmt werden. Nicht genehmigte Berechtigungen können die Ursache dafür sein, dass unerwartete Zustimmungsaufforderungen für die Anwendung angezeigt werden.

Benutzerzuweisungseinstellungen anzeigen

Wenn die Anwendung eine Zuweisung erfordert, können einzelne Benutzer nicht selbst zustimmen. Um zu prüfen, ob eine Zuweisung für die Anwendung erforderlich ist, gehen Sie wie folgt vor:

1. Wählen Sie auf der Seite der Anwendung unter Verwalten die Option Eigenschaften aus.
2. Prüfen Sie, ob Zuordnung erforderlich?, auf Ja festgelegt ist.
3. Wenn diese Einstellung auf „Ja“ gesetzt ist, muss ein Administrator den Berechtigungen im Namen der gesamten Organisation zustimmen.

Überprüfen Sie die Einstellungen für die mandantenweite Benutzereinwilligung

Die Bestimmung, ob ein einzelner Benutzer einer Anwendung zustimmen kann, kann von jeder Organisation konfiguriert werden und kann sich von Verzeichnis zu Verzeichnis unterscheiden. Auch wenn nicht jede Berechtigung standardmäßig eine Administratoreinwilligung erfordert, hat Ihre Organisation möglicherweise die Benutzereinwilligung vollständig deaktiviert, wodurch verhindert wird, dass ein einzelner Benutzer für sich selbst einer Anwendung zustimmt. Gehen Sie wie folgt vor, um die Benutzereinwilligungseinstellungen Ihrer Organisation anzuzeigen:

1. Navigieren Sie zur Seite Unternehmensanwendungen im Microsoft Entra Admin Center.
2. Wählen Sie unter Sicherheit die Option Einwilligung und Berechtigungen aus.
3. Zeigen Sie die Einstellungen für die Benutzereinwilligung an. Wenn Benutzereinwilligung nicht zulassen eingestellt ist, können Benutzer*innen einer Anwendung nie im eigenen Namen zustimmen.

Nächste Schritte

• Umfänge, Berechtigungen und Einwilligung in der Microsoft Identity Platform (v2.0-Endpunkt)

• Unerwarteter Fehler beim Vorgang des Genehmigens einer Anwendung