Freigeben über

Microsoft Graph Data Connect-App-Autorisierung

Die Autorisierungsoberfläche für Microsoft Graph Data Connect-Apps ist in die Microsoft 365 Admin Center integriert. Nur globale Administratoren können Data Connect-Anwendungen autorisieren. Um Apps für Ihre organization zu autorisieren, können globale Administratoren zum Microsoft Graph Data Connect-Autorisierungsportal wechseln und in den Organisationseinstellungen die Registerkarte Sicherheit & Datenschutz und dann Microsoft Graph Data Connect-Anwendungen auswählen, wie in der folgenden Abbildung dargestellt.

Screenshot mit den Organisationseinstellungen, der Registerkarte

App-Zusammenfassungsansicht

Die Landing Page des Data Connect-Anwendungsportals bietet eine schnelle Übersicht über alle Data Connect-Anwendungen, an denen Sie möglicherweise interessiert sind, wie in der folgenden Abbildung dargestellt.

Screenshot: Schnellansicht von Apps im Data Connect-Portal.

Im Portal finden Sie die folgenden Anwendungstypen:

  • Apps mit nur einem Mandanten : Anwendungen, die in Ihrem Mandanten registriert sind und Zugriff auf Daten erfordern. Bei diesen Apps handelt es sich in der Regel um Unternehmensszenarien.
  • Mehrinstanzenfähige Anwendungen : Anwendungen, die in einem anderen Mandanten gehostet werden und Zugriff auf Daten von Ihrem Mandanten erfordern. Bei diesen Apps handelt es sich in der Regel um IsV-Szenarien (Independent Software Vendor). Überprüfen Sie diese Apps sorgfältig. Wenn Sie mehrinstanzenfähige Apps autorisieren, können Daten aus Ihrem Mandanten in den Mandanten des App-Entwicklers migriert werden.

Alle Apps mit nur einem Mandanten werden standardmäßig in der Tabelle aufgefüllt. Nur genehmigte, verweigerte oder abgelaufene mehrinstanzenfähige Apps sind in der Tabelle enthalten. Andere Apps werden möglicherweise in der Tabelle mit den folgenden Status angezeigt:

  • Ausstehende Autorisierung : Apps, für die eine Aktion aussteht. Diese status ist nur für Apps mit nur einem Mandanten möglich. Apps in diesem Zustand schlagen zur Laufzeit immer fehl.
  • Genehmigt : Apps, die ein Administrator für den Zugriff auf Microsoft 365-Daten für Ihren Mandanten genehmigt hat.
  • Verweigert : Apps, die ein Administrator den Zugriff auf Microsoft 365-Daten für Ihren Mandanten verweigert hat. Apps in diesem Zustand schlagen zur Laufzeit immer fehl.
  • Abgelaufen : Apps, für die ein Administrator den Zugriff auf Microsoft 365-Daten für Ihren Mandanten genehmigt hat, die Genehmigung jedoch abgelaufen ist. Apps in diesem Zustand schlagen zur Laufzeit immer fehl.
  • Update verfügbar : Apps, die ein Administrator zuvor überprüft und bearbeitet hat, jetzt aber aktualisiert werden. Apps in diesem Zustand funktionieren weiterhin gemäß vorheriger Autorisierung. Wenn der Administrator eine neue Genehmigung bereitstellt, überschreibt die neue Definition der App die alte.

Ansicht "App-Details"

Wählen Sie eine App aus der Tabelle aus, um die Ansicht mit den App-Details zu starten, die weitere Informationen zu den für die App benötigten Daten enthält. Dieser Assistent führt Sie durch die relevanten Datenzugriffsdetails. Wenn Sie den Assistenten abschließen, können Sie die App am Ende genehmigen oder verweigern. Die folgende Abbildung zeigt die Ansicht "App-Details".

Screenshot: Ansicht der App-Details im Data Connect-Portal

Zunächst zeigt der Assistent Übersichtsinformationen zur Anwendung an:

  • Entwickler : Der Benutzername des Entwicklers, der die Anwendung registriert hat.

  • Datenziel : Die Senke, in die die Daten übermittelt werden. Wenn diese App genehmigt wird, kann diese App die angeforderten Daten an einen beliebigen Speicherort innerhalb der aufgeführten Senke verschieben.

  • App-Herausgeber: Die Microsoft Entra Mandanten-ID, in der die App registriert ist. Für Apps mit nur einem Mandanten entspricht dieser Wert Microsoft Entra Mandanten-ID ihrem Mandanten.

Als Nächstes enthält der Assistent mehrere Datasetschritte, einen Schritt pro dataset, das in der App registriert ist. Auf jeder Seite werden relevante Informationen für jedes Dataset angezeigt. Zum Beispiel:

  • Spalten: Gibt Spalten an, die die App über Data Connect extrahieren möchte. Wenn diese App genehmigt wird, kann sie jede Teilmenge der genehmigten Spalten für das angegebene Dataset extrahieren.

  • Bereich: Gibt den Bereich (Benutzerauswahl) an, den die App über Data Connect extrahieren möchte. Ausführliche Informationen zu Bereichen finden Sie unter Verwenden von Microsoft Graph Data Connect zum Definieren des Bereichs eines Datasets.

Ausführliche Informationen zur Funktionsweise der Autorisierung in verschiedenen Bereichen finden Sie unter Autorisierungsüberprüfung während der Pipelinelaufzeit.

Screenshot: Seite zur Überprüfung der Autorisierung im Data Connect-Portal

Schließlich bestätigt der Assistent einige wichtige Informationen zur App, die Sie überprüfen können. Sie können Genehmigen, Ablehnen oder Abbrechen auswählen. Eine Aktion für eine App ist alles oder nichts. Das Autorisieren einer App bedeutet, dass Sie den gesamten Zugriff autorisieren, der in den vorherigen Schritten angegeben wurde.

Eine Genehmigung bleibt 180 Tage gültig, danach gilt sie als abgelaufen. Um eine Genehmigung zu verlängern, kann ein Administrator die Details der Anwendung im Microsoft 365 Admin Center überprüfen und die Autorisierung für weitere 180 Tage genehmigen. Um eine Genehmigung zu widerrufen, kann ein Administrator auch auf die Microsoft 365 Admin Center zugreifen, um die Autorisierung einer Anwendung abzulehnen.

Beim Autorisieren einer App können folgende Fehlermeldungen auftreten:

  • App approver and owner cannot be the same user.
  • App registration not found. It is possible someone deleted this app.

Wenn ein unerwarteter Fehler auftritt, enthält die Fehlermeldung einen Fehlercode. Notieren Sie sich diesen Fehlercode, um sie für den Microsoft-Support zu teilen.

Ermitteln von mehrinstanzenfähigen Anwendungen

Um mehrinstanzenfähige Anwendungen zu ermitteln, wählen Sie neue mehrinstanzenfähige App hinzufügen oberhalb der App-Zusammenfassungstabelle aus. Wenn Ihr Mandant für die mandantenübergreifende Datenmigration aktiviert ist, werden zwei Textfelder angezeigt. Nachdem Sie die Anwendungs-ID und die Mandanten-ID eingegeben haben, wählen Sie Suchen aus, und das Portal startet die App-Detailansicht für die App, nach der Sie suchen.

Screenshot: Seite zum Hinzufügen einer mehrinstanzenfähigen App im Data Connect-Portal

Microsoft 365-Überwachungsprotokolle

Die Microsoft Graph Data Connect-App-Autorisierung ist in Microsoft 365-Überwachungsprotokolle integriert. Wenn Administratoren eine Data Connect-Anwendung genehmigen oder verweigern, wird ein überprüfbares Ereignis an Microsoft 365-Überwachungsprotokolle mit relevanten Daten darüber ausgegeben, was genehmigt oder verweigert wurde. Verwenden Sie eines der folgenden Felder, um die Überwachungsprotokolle nach Data Connect-Autorisierungsereignissen zu durchsuchen:

  • Workload – MicrosoftGraphDataConnect

  • Datensatztyp – MicrosoftGraphDataConnectConsent

  • Aktivitäten : Genehmigte oder verweigerte App (in Microsoft Graph Data Connect-Aktivitäten)

Screenshot: Beispielseite für das Microsoft 365-Überwachungsprotokoll

Autorisierungsüberprüfung während der Pipelinelaufzeit

Zur Laufzeit überprüft Data Connect eingehende Anforderungen mit allen Autorisierungen im Mandanten. Wenn eine übereinstimmende Autorisierung gefunden wird, wird der Auftrag fortgesetzt. Wenn keine Autorisierung ermittelt wird, schlägt der Auftrag fehl. Data Connect stagniert ConsentPending nicht mehr, wenn auf die Autorisierung gewartet wird. Wenn bei der Autorisierungsüberprüfung ein Fehler auftritt, erhalten Sie eine bestimmte Fehlermeldung darüber, warum Ihr Auftrag nicht mit vorhandenen App-Autorisierungen übereinstimmt.

Autorisierungsüberprüfungen, die während der Laufzeit angewendet werden, umfassen:

  • Die Anwendungs-ID für die eingehende Anforderung entspricht einer autorisierten App.
  • Die gefundene App-Autorisierung wurde genehmigt.
  • Die Mandanten-ID der Anwendung für die eingehende Anforderung entspricht der Mandanten-ID der gefundenen App-Autorisierung.
  • Das Dataset für die eingehende Anforderung ist eines der Datasets in der gefundenen App-Autorisierung.
  • Die Spalten in der eingehenden Anforderung sind eine Teilmenge der Spalten, die für das angeforderte Dataset autorisiert wurden.
  • Die Zielmandanten-ID entspricht der Zielmandanten-ID der gefundenen App-Autorisierung.
  • Der Zielspeicherort für die eingehende Anforderung ist in der Zielsenke in der gefundenen App-Autorisierung enthalten.
  • Der Bereich für die eingehende Anforderung entspricht dem Bereich in der gefundenen App-Autorisierung.
    • Wenn die App für alle Benutzer/Gruppen im Mandanten autorisiert ist, besteht jeder Bereich diese Überprüfung.
    • Wenn die App für eine Liste von Gruppen autorisiert ist, besteht jede Teilmenge der autorisierten Gruppen diese Überprüfung.
    • Wenn die App für einen Bereichsfilter-URI autorisiert ist, muss die eingehende Anforderung genau mit dem autorisierten Wert übereinstimmen.