Erteilen der Administratoreinwilligung und -berechtigungen

Gilt für: Nutzen des Mandantenadministrators – Globaler Administrator

Erteilen Sie die Administratoreinwilligung, wenn eine SharePoint Embedded-App Berechtigungen mit hohen Berechtigungen in Ihrem Microsoft 365-Mandanten benötigt. Anwendungsberechtigungen erfordern immer die Zustimmung des Administrators, delegierte Berechtigungen für SharePoint Embedded hingegen nicht. Weitere Informationen finden Sie unter Erteilen der Administratoreinwilligung.

Verwenden Sie diesen Artikel, um angeforderte Berechtigungen zu überprüfen, die Zustimmung zu erteilen und häufige Zustimmungsfehler zu beheben.

Wichtig

Erteilen Sie die Zustimmung nur für Apps und Herausgeber, die Ihrer organization vertrauen. Überprüfen Sie vor der Genehmigung die App-ID, den Herausgeber und die angeforderten Berechtigungen.

Bevor Sie beginnen

Bestätigen Sie die folgenden Voraussetzungen:

Eine besitzende Anwendung muss zwei Anforderungen erfüllen, bevor sie auf einen nutzenden Mandanten reagieren kann.

  1. Für die besitzende App muss ein Dienstprinzipal im nutzenden Mandanten installiert sein.
  2. Der besitzenden App müssen die Erforderlichen Berechtigungen erteilt werden, um den Containertyp zu registrieren und auf seine Container im nutzenden Mandanten zuzugreifen.

Beide Anforderungen werden in der Regel erfüllt, wenn ein Mandantenadministrator der besitzenden Anwendung die Administratoreinwilligung erteilt. Die Administratoreinwilligung ist jedoch keine harte Anforderung für die besitzende Anwendung, um auf den nutzenden Mandanten zu reagieren. SharePoint Embedded-Apps, die ausschließlich im Namen eines Benutzers ausgeführt werden, müssen keine Administratoreinwilligung erhalten. Das Erteilen der Administratoreinwilligung für Apps, die ausschließlich im Namen eines Benutzers ausgeführt werden, kann die Benutzerfreundlichkeit verbessern, da die App nicht die Zustimmung jedes Benutzers erfordert, der sich bei der App anmelden möchte.

Achtung

Sie müssen die Auswirkungen der Erteilung der Administratoreinwilligung für eine Anwendung verstehen. Weitere Informationen finden Sie unter Erteilen der mandantenweiten Administratoreinwilligung.

Dies sind die Berechtigungen, die die besitzende Anwendung benötigt, um auf den nutzenden Mandanten zu reagieren:

Permission Warum die App sie anfordert Zustimmungshinweis
FileStorageContainerTypeReg.Selected Registrieren Sie den Containertyp im verbrauchenden Mandanten. Die App kann dies als delegierte oder Anwendungsberechtigung anfordern. Wenn die delegierte Registrierung verwendet wird, ist keine Administratoreinwilligung erforderlich, aber der Benutzer, der die Registrierung durchführt, muss ein SharePoint Embedded-Administrator oder ein globaler Administrator sein.
FileStorageContainer.Selected Greifen Sie auf Container und Inhalte für den zugehörigen Containertyp im verbrauchenden Mandanten zu. Die App kann dies als delegierte oder Anwendungsberechtigung anfordern. Wenn delegierter Zugriff verwendet wird, ist keine Administratoreinwilligung erforderlich, aber jeder Benutzer der App muss bei der Anmeldung bei der App zustimmen.

Überprüfen der angeforderten Berechtigungen

Überprüfen Sie vor dem Erteilen der Zustimmung die angeforderten Berechtigungen mit dem App-Besitzer.

Element überprüfen Warum dies wichtig ist
Anwendungsclient-ID Bestätigt, dass Sie der beabsichtigten besitzereigenen App zustimmen.
Publisher Hilft bei der Überprüfung der Vertrauensstellung und unterstützung des Besitzes.
Berechtigungsliste Zeigt, was die App nach der Zustimmung tun kann.
Containertyp-ID Gibt den Containertyp an, der der App gehört.
Gast-App-Zugriff Identifiziert andere Apps, die möglicherweise über die Registrierung Zugriff erhalten.
Abrechnungsmodell Bestimmt, ob der Mandant die Abrechnung konfigurieren muss, bevor Benutzer die App verwenden können.

Bitten Sie den App-Besitzer, jede Berechtigung zu erläutern, die nicht dem erwarteten Szenario entspricht.

Achtung

  • Erteilen Sie keine Zustimmung für eine kopierte URL, es sei denn, Sie haben den client_id Wert in der URL überprüft. Eine Zustimmungs-URL gewährt berechtigungen für die App, die durch diese Client-ID identifiziert wird.

  • ERTEILEN SIE KEINE Zustimmung, wenn Sie nicht verstehen, warum jede Berechtigung angefordert wird.

SharePoint Embedded kann die Administratoreinwilligung für Ihren Mandanten anfordern, indem sie Ihnen die URL für die Administratoreinwilligung bereitstellt oder zu dieser umleitet. Weitere Informationen zur URL für die Administratoreinwilligung finden Sie unter Admin Zustimmung auf dem Microsoft Identity Platform.

https://login.microsoftonline.com/{your-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}

Vergewissern Sie sich, dass in der URL für die Administratoreinwilligung:

  • {your-tenant-id}entspricht Ihrer Microsoft Entra Mandanten-ID.
  • {owning-app-clientid} entspricht der Client-ID der besitzenden Anwendung.
  • {spe-app-redirect-uri} verweist auf eine URL in der SharePoint Embedded-App.
  • Der Bereichswert verweist auf den .default Microsoft Graph-Bereich. Wenn der App-Besitzer Ihnen einen anderen Bereichswert gibt, stellen Sie sicher, dass Sie verstehen, warum.
  • Ein state Abfrageparameter kann vorhanden sein oder nicht.

In nationalen Cloudumgebungen variiert der Endpunkt für die Administratoreinwilligung. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierungsendpunkte in nationalen Clouds.

Sie können die Administratoreinwilligung nur über die Microsoft Entra Admin Center erteilen, wenn die besitzende Anwendung bereits über einen Dienstprinzipal in Ihrem Mandanten verfügt. Anweisungen zum Erteilen der Administratoreinwilligung finden Sie unter Erteilen der mandantenweiten Administratoreinwilligung im Bereich "Unternehmens-Apps".

Überprüfen des Dienstprinzipals

Vergewissern Sie sich nach der Zustimmung, dass die App in Ihrem Mandanten installiert ist.

  1. Suchen Sie im Microsoft Entra Admin Center mithilfe ihrer Client-ID im Bereich Unternehmen nach der besitzenden Anwendung.
  2. Vergewissern Sie sich, dass die Anwendung vorhanden ist.
  3. Bestätigen Sie den Herausgeber und die Anwendungs-ID.
  4. Vergewissern Sie sich, dass berechtigungen den erwarteten Zustimmungszustand anzeigen.
  5. Vergewissern Sie sich, dass keine unerwarteten Berechtigungen erteilt wurden.

Wenn der Dienstprinzipal fehlt, wurde die Zustimmung nicht abgeschlossen.

Verwenden Sie diese Überprüfungen, wenn die Zustimmung fehlschlägt.

  • Vergewissern Sie sich, dass das Administratorkonto mandantenweite Administratoreinwilligung erteilen kann.
  • Vergewissern Sie sich, dass die Zustimmungs-URL die richtige Nutzen-Mandanten-ID verwendet.
  • Vergewissern Sie sich, client_id dass die besitzende Anwendungsclient-ID ist.
  • Vergewissern Sie sich, dass die URL den erwarteten v2.0/adminconsent Endpunkt und graphen .default Bereich verwendet.
  • Vergewissern Sie sich, dass die App-Registrierung vorhanden ist und vom App-Besitzer ordnungsgemäß konfiguriert wurde.
  • Vergewissern Sie sich, dass der Umleitungs-URI oder die Erfolgsbehandlung vom App-Besitzer konfiguriert wurde.
  • Vergewissern Sie sich, dass Ihre Mandantenrichtlinien die Zustimmung des Benutzers oder Administrators für die App zulassen.
  • Vergewissern Sie sich, dass nationale Cloudendpunkte korrekt sind, falls zutreffend.
  • Vergewissern Sie sich, dass die App nicht durch Herausgeber- oder Unternehmens-App-Richtlinien blockiert wird.

Verwenden Sie diese Überprüfungen, wenn die Zustimmung erfolgreich ist, der App-Besitzer jedoch meldet, dass API-Aufrufe auf Ihrem Mandanten fehlschlagen.

  • Vergewissern Sie sich, dass der App-Besitzer den Containertyp mithilfe der Registrierungs-API registriert hat.
  • Vergewissern Sie sich, dass die App die besitzereigene Anwendung für den Containertyp ist, wenn Sie die Registrierungs-API aufrufen.
  • Vergewissern Sie sich, dass die App die erwartete FileStorageContainer.Selected Berechtigung für den Zugriff auf Container und Inhalte verwendet.
  • Vergewissern Sie sich, dass die App bei Bedarf nur die App-Authentifizierung verwendet.
  • Vergewissern Sie sich, dass die App den richtigen delegierten oder reinen App-Registrierungsflow für ihr Design verwendet.
  • Vergewissern Sie sich, dass die Abrechnung aktiv ist, wenn die App die Passthrough-Abrechnung verwendet.

Nächste Schritte

Konfigurieren Sie die Abrechnung unter Einrichten der Abrechnung in Microsoft 365 Admin Center.