Ressourcenspezifische Zustimmung in Microsoft Teams

  • Artikel
  • Gilt für::
    Microsoft Teams

Die ressourcenspezifische Zustimmung (Resource-Specific Consent, RSC) ist eine Integration von Microsoft Teams und Microsoft Graph-API, mit der Apps API-Endpunkte verwenden können, um bestimmte Ressourcen eines Teams innerhalb Ihres organization zu verwalten. Die RSC-Berechtigungen ermöglichen es Teambesitzern, einer Anwendung die Zustimmung für den Zugriff auf und die Änderung der Daten eines Teams zu erteilen. Mit der ressourcenspezifischen Zustimmung in Microsoft Teams können Teambesitzer Apps ihre Zustimmung zum Zugriff auf Teamdaten erteilen. Beispiele für diesen Zugriff sind die Möglichkeit, Kanalnachrichten zu lesen, Kanäle zu erstellen und zu löschen sowie Kanalregisterkarten zu erstellen und zu entfernen.

Als Administrator steuern Sie, ob Teambesitzer in Ihrer organization über Einstellungen, die Sie mithilfe des Microsoft Graph PowerShell-Moduls oder des Azure-Portal und des Microsoft Teams Admin Centers konfigurieren, ihre Zustimmung erteilen können.

Dies sind die Einstellungen, die Sie festlegen müssen, um zu steuern, ob Teambesitzer Apps ihre Zustimmung erteilen können. Überprüfen Sie unbedingt alle der folgenden Einstellungen.

Einstellungen im Microsoft Entra Admin Center

Die folgenden beiden Einstellungen bestimmen, ob Teambesitzer Apps ihre Zustimmung erteilen können.

Wichtig

Das Ändern dieser Einstellungen wirkt sich nicht auf den Datenzugriff für Apps aus, denen bereits die Zustimmung erteilt wurde. Wenn Sie diese Einstellungen beispielsweise so konfigurieren, dass Teambesitzer ihre Zustimmung nicht geben können, wird durch diese Änderungen der bereits gewährte Datenzugriff nicht entfernt.

Diese Einstellung steuert, ob Benutzer in Ihrer Organisation Apps in ihrem Namen zustimmen können. Damit Teambesitzer ihre Zustimmung erteilen können, muss diese Einstellung auf Ja festgelegt werden. Gehen Sie wie folgt vor, um diese Einstellung zu verwalten:

  1. Wechseln Sie im Azure-Portal zu Unternehmensanwendungen>Benutzereinstellungen.
  2. Legen Sie unter Unternehmensanwendungen die Einstellung Benutzer können Anwendungen zustimmen, die in ihrem Namen auf Firmendaten zugreifen auf Nein oder Ja fest.

Sie können diese Einstellung auch mithilfe von PowerShell verwalten. Weitere Informationen finden Sie unter Konfigurieren von Benutzerinhalten in Anwendungen.

Diese Einstellung steuert, ob Benutzer in Ihrer Organisation Apps die Zustimmung erteilen können, die für die Gruppen, deren Besitzer sie sind, auf Unternehmensdaten zugreifen. Diese Einstellung muss aktiviert sein, damit Teambesitzer ihre Zustimmung geben können. Schritte zum Verwalten dieser Einstellung mithilfe von PowerShell finden Sie unter Konfigurieren der Zustimmung des Gruppenbesitzers für Apps, die auf Gruppendaten zugreifen.

Einstellungen im Microsoft Teams Admin Center

Zusätzlich zu den Einstellungen in Microsoft Entra ID bestimmen organisationsweite App-Einstellungen auf der Seite Apps verwalten, ob eine App auf der Seite Apps verwalten blockiert oder zugelassen ist, und die dem Teambesitzer zugewiesene App-Berechtigungsrichtlinie bestimmen, ob ein Teambesitzer seine Zustimmung erteilen kann.

Wichtig

Das Ändern dieser Einstellungen wirkt sich nicht auf den Datenzugriff für Apps aus, denen bereits die Zustimmung erteilt wurde. Wenn Sie beispielsweise Drittanbieter-Apps organisationsweit deaktivieren oder bestimmte Apps blockieren, um zu verhindern, dass Teambesitzer ihre Zustimmung geben, wird durch diese Änderungen der bereits gewährte Datenzugriff nicht entfernt.

Die Option Apps von Drittanbietern zulassen in organisationsweiten App-Einstellungen

Diese organisationsweite App-Einstellung steuert, ob Benutzer in Ihrer Organisation Drittanbieter-Apps verwenden können. Diese Einstellung muss aktiviert sein, damit Teambesitzer ihre Zustimmung geben können. Gehen Sie wie folgt vor, um diese Einstellung zu verwalten:

  1. Melden Sie sich beim Teams Admin Center an, und greifen Sie auf Teams-Apps>Apps verwalten zu.

  2. Wählen Sie Organisationsweite App-Einstellungen aus, und aktivieren Sie unter Drittanbieter-Appsdie Option Apps von Drittanbietern zulassen.

    Screenshot: Einstellung

Es kann bis zu 24 Stunden dauern, bis Ihre Änderungen wirksam werden.

Zulassen oder Blockieren der App auf Organisationsebene

Wenn Sie eine App auf der Seite Apps verwalten blockieren oder zulassen, wird diese App für alle Benutzer in Ihrer Organisation blockiert bzw. zugelassen. Teambesitzer können einer App nur Zustimmung erteilen, wenn die App zulässig ist. Gehen Sie wie folgt vor, um eine App auf Organisationsebene zuzulassen oder zu blockieren:

  1. Melden Sie sich beim Teams Admin Center an, und greifen Sie auf Teams-Apps>Apps verwalten zu.
  2. Wählen Sie auf der Seite Apps verwalten die App aus, und wählen Sie dann Blockieren aus, um sie zu blockieren, oder wählen Sie Zulassen aus, um sie zuzulassen.

App-Berechtigungsrichtlinie, die dem Teambesitzer zugewiesen ist

Teambesitzer können nur Apps Zustimmung erteilen, die sie gemäß ihrer App-Berechtigungsrichtlinie ausführen können. Gehen Sie wie folgt vor, um die App-Berechtigungsrichtlinie anzuzeigen und zu verwalten, die einem Teambesitzer zugewiesen ist:

  1. Wechseln Sie in der linken Navigation des Microsoft Teams Admin Centers zu Nutzer.

  2. Doppelklicken Sie auf den Anzeigenamen des Teambesitzers, und wählen Sie dann Richtlinien aus.

  3. Die dem Teambesitzer zugewiesene Richtlinie wird unter App-Berechtigungsrichtlinie aufgeführt.

    • Um eine andere Richtlinie zuzuweisen, wählen Sie Bearbeiten und dann die Richtlinie aus, die Sie zuweisen möchten.
    • Um die Einstellungen der Richtlinie zu bearbeiten, die dem Teambesitzer zugewiesen ist, wählen Sie den Richtliniennamen aus, und nehmen Sie dann die gewünschten Änderungen vor.

Hochladen benutzerdefinierter Apps

Beim Hochladen einer benutzerdefinierten App, die eine ressourcenspezifische Zustimmung verwendet, muss die App aus dem Mandanten stammen, in dem sie installiert wird. Anders ausgedrückt: Die Microsoft Entra App-Registrierung muss von diesem Mandanten stammen. Globale Administratoren sind von dieser Einschränkung ausgenommen und können benutzerdefinierte Apps von jedem Mandanten hochladen, entweder direkt in ein Team oder in den Mandanten-App-Katalog.