Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Nutzen des Mandantenadministrators – Globaler Administrator
Erteilen Sie die Administratoreinwilligung, wenn eine SharePoint Embedded-App Berechtigungen mit hohen Berechtigungen in Ihrem Microsoft 365-Mandanten benötigt. Anwendungsberechtigungen erfordern immer die Zustimmung des Administrators, delegierte Berechtigungen für SharePoint Embedded hingegen nicht. Weitere Informationen finden Sie unter Erteilen der Administratoreinwilligung.
Verwenden Sie diesen Artikel, um angeforderte Berechtigungen zu überprüfen, die Zustimmung zu erteilen und häufige Zustimmungsfehler zu beheben.
Wichtig
Erteilen Sie die Zustimmung nur für Apps und Herausgeber, die Ihrer organization vertrauen. Überprüfen Sie vor der Genehmigung die App-ID, den Herausgeber und die angeforderten Berechtigungen.
Bevor Sie beginnen
Bestätigen Sie die folgenden Voraussetzungen:
- Sie können die Administratoreinwilligung erteilen (siehe Erteilen der mandantenweiten Administratoreinwilligung).
- Sie wissen, dass Sie Microsoft Entra Mandanten-ID (siehe So finden Sie Ihre Microsof Entra Mandanten-ID).
- Sie kennen die Client-ID der besitzenden Anwendung.
- Sie verstehen, warum die App jede angeforderte Berechtigung benötigt.
- Der App-Besitzer hat Installations- und Zustimmungsanweisungen bereitgestellt.
- Abrechnungsanforderungen sind für das App-Modell bekannt.
Grundlegendes zur Zustimmung in SharePoint Embedded
Eine besitzende Anwendung muss zwei Anforderungen erfüllen, bevor sie auf einen nutzenden Mandanten reagieren kann.
- Für die besitzende App muss ein Dienstprinzipal im nutzenden Mandanten installiert sein.
- Der besitzenden App müssen die Erforderlichen Berechtigungen erteilt werden, um den Containertyp zu registrieren und auf seine Container im nutzenden Mandanten zuzugreifen.
Beide Anforderungen werden in der Regel erfüllt, wenn ein Mandantenadministrator der besitzenden Anwendung die Administratoreinwilligung erteilt. Die Administratoreinwilligung ist jedoch keine harte Anforderung für die besitzende Anwendung, um auf den nutzenden Mandanten zu reagieren. SharePoint Embedded-Apps, die ausschließlich im Namen eines Benutzers ausgeführt werden, müssen keine Administratoreinwilligung erhalten. Das Erteilen der Administratoreinwilligung für Apps, die ausschließlich im Namen eines Benutzers ausgeführt werden, kann die Benutzerfreundlichkeit verbessern, da die App nicht die Zustimmung jedes Benutzers erfordert, der sich bei der App anmelden möchte.
Achtung
Sie müssen die Auswirkungen der Erteilung der Administratoreinwilligung für eine Anwendung verstehen. Weitere Informationen finden Sie unter Erteilen der mandantenweiten Administratoreinwilligung.
Dies sind die Berechtigungen, die die besitzende Anwendung benötigt, um auf den nutzenden Mandanten zu reagieren:
| Permission | Warum die App sie anfordert | Zustimmungshinweis |
|---|---|---|
FileStorageContainerTypeReg.Selected |
Registrieren Sie den Containertyp im verbrauchenden Mandanten. | Die App kann dies als delegierte oder Anwendungsberechtigung anfordern. Wenn die delegierte Registrierung verwendet wird, ist keine Administratoreinwilligung erforderlich, aber der Benutzer, der die Registrierung durchführt, muss ein SharePoint Embedded-Administrator oder ein globaler Administrator sein. |
FileStorageContainer.Selected |
Greifen Sie auf Container und Inhalte für den zugehörigen Containertyp im verbrauchenden Mandanten zu. | Die App kann dies als delegierte oder Anwendungsberechtigung anfordern. Wenn delegierter Zugriff verwendet wird, ist keine Administratoreinwilligung erforderlich, aber jeder Benutzer der App muss bei der Anmeldung bei der App zustimmen. |
Überprüfen der angeforderten Berechtigungen
Überprüfen Sie vor dem Erteilen der Zustimmung die angeforderten Berechtigungen mit dem App-Besitzer.
| Element überprüfen | Warum dies wichtig ist |
|---|---|
| Anwendungsclient-ID | Bestätigt, dass Sie der beabsichtigten besitzereigenen App zustimmen. |
| Publisher | Hilft bei der Überprüfung der Vertrauensstellung und unterstützung des Besitzes. |
| Berechtigungsliste | Zeigt, was die App nach der Zustimmung tun kann. |
| Containertyp-ID | Gibt den Containertyp an, der der App gehört. |
| Gast-App-Zugriff | Identifiziert andere Apps, die möglicherweise über die Registrierung Zugriff erhalten. |
| Abrechnungsmodell | Bestimmt, ob der Mandant die Abrechnung konfigurieren muss, bevor Benutzer die App verwenden können. |
Bitten Sie den App-Besitzer, jede Berechtigung zu erläutern, die nicht dem erwarteten Szenario entspricht.
Achtung
Erteilen Sie keine Zustimmung für eine kopierte URL, es sei denn, Sie haben den
client_idWert in der URL überprüft. Eine Zustimmungs-URL gewährt berechtigungen für die App, die durch diese Client-ID identifiziert wird.ERTEILEN SIE KEINE Zustimmung, wenn Sie nicht verstehen, warum jede Berechtigung angefordert wird.
Erteilen der Administratoreinwilligung über den Einwilligungsendpunkt
SharePoint Embedded kann die Administratoreinwilligung für Ihren Mandanten anfordern, indem sie Ihnen die URL für die Administratoreinwilligung bereitstellt oder zu dieser umleitet. Weitere Informationen zur URL für die Administratoreinwilligung finden Sie unter Admin Zustimmung auf dem Microsoft Identity Platform.
https://login.microsoftonline.com/{your-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}
Vergewissern Sie sich, dass in der URL für die Administratoreinwilligung:
-
{your-tenant-id}entspricht Ihrer Microsoft Entra Mandanten-ID. -
{owning-app-clientid}entspricht der Client-ID der besitzenden Anwendung. -
{spe-app-redirect-uri}verweist auf eine URL in der SharePoint Embedded-App. - Der Bereichswert verweist auf den
.defaultMicrosoft Graph-Bereich. Wenn der App-Besitzer Ihnen einen anderen Bereichswert gibt, stellen Sie sicher, dass Sie verstehen, warum. - Ein
stateAbfrageparameter kann vorhanden sein oder nicht.
In nationalen Cloudumgebungen variiert der Endpunkt für die Administratoreinwilligung. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierungsendpunkte in nationalen Clouds.
Erteilen der Zustimmung über Microsoft Entra Administratorfunktionen
Sie können die Administratoreinwilligung nur über die Microsoft Entra Admin Center erteilen, wenn die besitzende Anwendung bereits über einen Dienstprinzipal in Ihrem Mandanten verfügt. Anweisungen zum Erteilen der Administratoreinwilligung finden Sie unter Erteilen der mandantenweiten Administratoreinwilligung im Bereich "Unternehmens-Apps".
Überprüfen des Dienstprinzipals
Vergewissern Sie sich nach der Zustimmung, dass die App in Ihrem Mandanten installiert ist.
- Suchen Sie im Microsoft Entra Admin Center mithilfe ihrer Client-ID im Bereich Unternehmen nach der besitzenden Anwendung.
- Vergewissern Sie sich, dass die Anwendung vorhanden ist.
- Bestätigen Sie den Herausgeber und die Anwendungs-ID.
- Vergewissern Sie sich, dass berechtigungen den erwarteten Zustimmungszustand anzeigen.
- Vergewissern Sie sich, dass keine unerwarteten Berechtigungen erteilt wurden.
Wenn der Dienstprinzipal fehlt, wurde die Zustimmung nicht abgeschlossen.
Behandeln von Einwilligungsfehlern
Verwenden Sie diese Überprüfungen, wenn die Zustimmung fehlschlägt.
- Vergewissern Sie sich, dass das Administratorkonto mandantenweite Administratoreinwilligung erteilen kann.
- Vergewissern Sie sich, dass die Zustimmungs-URL die richtige Nutzen-Mandanten-ID verwendet.
- Vergewissern Sie sich,
client_iddass die besitzende Anwendungsclient-ID ist. - Vergewissern Sie sich, dass die URL den erwarteten
v2.0/adminconsentEndpunkt und graphen.defaultBereich verwendet. - Vergewissern Sie sich, dass die App-Registrierung vorhanden ist und vom App-Besitzer ordnungsgemäß konfiguriert wurde.
- Vergewissern Sie sich, dass der Umleitungs-URI oder die Erfolgsbehandlung vom App-Besitzer konfiguriert wurde.
- Vergewissern Sie sich, dass Ihre Mandantenrichtlinien die Zustimmung des Benutzers oder Administrators für die App zulassen.
- Vergewissern Sie sich, dass nationale Cloudendpunkte korrekt sind, falls zutreffend.
- Vergewissern Sie sich, dass die App nicht durch Herausgeber- oder Unternehmens-App-Richtlinien blockiert wird.
Problembehandlung für zugriff verweigert nach zustimmung
Verwenden Sie diese Überprüfungen, wenn die Zustimmung erfolgreich ist, der App-Besitzer jedoch meldet, dass API-Aufrufe auf Ihrem Mandanten fehlschlagen.
- Vergewissern Sie sich, dass der App-Besitzer den Containertyp mithilfe der Registrierungs-API registriert hat.
- Vergewissern Sie sich, dass die App die besitzereigene Anwendung für den Containertyp ist, wenn Sie die Registrierungs-API aufrufen.
- Vergewissern Sie sich, dass die App die erwartete
FileStorageContainer.SelectedBerechtigung für den Zugriff auf Container und Inhalte verwendet. - Vergewissern Sie sich, dass die App bei Bedarf nur die App-Authentifizierung verwendet.
- Vergewissern Sie sich, dass die App den richtigen delegierten oder reinen App-Registrierungsflow für ihr Design verwendet.
- Vergewissern Sie sich, dass die Abrechnung aktiv ist, wenn die App die Passthrough-Abrechnung verwendet.
Verwandte Inhalte
- Installieren einer SharePoint Embedded-App
- Einrichten der Abrechnung in Microsoft 365 Admin Center
- Verwalten von Containern mit PowerShell
- Registrieren von Anwendungsberechtigungen vom Typ "Dateispeichercontainer"
- Übersicht für Administratoren
Nächste Schritte
Konfigurieren Sie die Abrechnung unter Einrichten der Abrechnung in Microsoft 365 Admin Center.