Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Entwickler
Verwenden Sie diesen Artikel, um die Authentifizierung und Autorisierung für eine SharePoint Embedded-Anwendung zu planen.
SharePoint Embedded-Anwendungen verwenden Microsoft Graph für den Zugriff auf Container und Inhalte.
Die vollständige Authentifizierungsreferenz finden Sie unter SharePoint Embedded-Authentifizierung und -Autorisierung.
Kernprinzipien
Die SharePoint Embedded-Authentifizierung und -Autorisierung folgt den folgenden Prinzipien:
- Anwendungen interagieren mit SharePoint Embedded über Microsoft Graph.
- Anwendungen benötigen Anwendungsberechtigungen vom Typ Container, um auf Container dieses Containertyps zuzugreifen.
- Anwendungen können nur auf Container zugreifen, bei denen der Benutzer Mitglied ist, wenn der Zugriff im Namen eines Benutzers verwendet wird.
- Anwendungen können auf alle Container zugreifen, die durch ihre Containertyp-Anwendungsberechtigungen aktiviert werden, wenn sie Zugriff ohne Benutzer verwenden.
- Anwendungen sollten den Zugriff nach Möglichkeit im Namen von Benutzern verwenden, um die Sicherheit und Verantwortlichkeit zu verbessern.
Voraussetzungen
Planen Sie folgendes:
- Eine Microsoft Entra ID Anwendungsregistrierung.
- Ein Microsoft 365-Abonnement im Microsoft Entra ID Mandanten.
- Microsoft Graph-Berechtigungen für SharePoint Embedded-Vorgänge.
- Containertypanwendungsberechtigungen, die über die Containertypregistrierung gewährt werden.
- Admin Zustimmung im Nutzen des Mandanten.
Berechtigungsebenen
Der SharePoint Embedded-Zugriff verfügt über mehrere Ebenen.
| Ebene | Zweck |
|---|---|
| Microsoft Graph-Berechtigung | Ermöglicht der App das Aufrufen von SharePoint Embedded-Endpunkten. |
| Anwendungsberechtigung für Containertypen | Ermöglicht der App den Zugriff auf Container eines bestimmten Containertyps. |
| Containerberechtigung | Bestimmt, was ein Benutzer in einem bestimmten Container für delegierten Zugriff tun kann. |
Wichtig
Microsoft Graph-Berechtigungen allein gewähren keinen Zugriff auf Container. Der Anwendung muss auch die Berechtigung für einen Containertyp erteilt werden.
Delegierter Zugriff
Delegierter Zugriff bedeutet, dass die Anwendung im Namen eines Benutzers handelt.
SharePoint Embedded-Vorgänge im Namen eines Benutzers erfordern delegierte Microsoft Graph-Berechtigungen FileStorageContainer.Selected .
Für diese delegierte Berechtigung ist keine Administratoreinwilligung für den Nutzen des Mandanten erforderlich.
Der Benutzer muss auch über Containerberechtigungen verfügen.
Die effektiven Berechtigungen der Anwendung sind die Schnittmenge von:
- Die für den Containertyp gewährten Anwendungsberechtigungen.
- Die Berechtigungen des Benutzers für den Container.
Verwenden Sie nach Möglichkeit delegierten Zugriff.
Delegierter Zugriff verbessert die Überprüfbarkeit, da Aktionen dem Benutzer zugeordnet werden können.
Nur App-Zugriff
Nur-App-Zugriff bedeutet, dass die Anwendung ohne Benutzer agiert.
SharePoint Embedded-Vorgänge ohne Benutzer erfordern die Microsoft Graph-Anwendungsberechtigung FileStorageContainer.Selected .
Diese Berechtigung erfordert die Administratoreinwilligung für den Nutzen des Mandanten.
Mit Nur-App-Zugriff kann die App auf alle Container zugreifen, die durch die Anwendungsberechtigungen des Containertyps aktiviert sind.
Verwenden Sie den reinen App-Zugriff für Hintergrundvorgänge, die nicht im Namen eines Benutzers ausgeführt werden können.
Wenden Sie die geringsten Berechtigungen beim Erteilen von Anwendungsberechtigungen für Containertypen an.
Administratorzustimmung
Ein Administrator des nutzenden Mandanten muss der Berechtigungsanforderung der Anwendung zustimmen.
Admin Zustimmung ist für die Anwendungsberechtigung FileStorageContainer.Selected erforderlich. Delegiert FileStorageContainer.Selected erfordert keine Administratoreinwilligung.
Die Containertypregistrierung erfordert auch die Zustimmung für die besitzende Anwendung, um im nutzenden Mandanten zu agieren.
Informationen zur Containertypregistrierung finden Sie unter Registrieren von Anwendungsberechtigungen für Den Dateispeichercontainertyp.
Containertypberechtigungen (Microsoft Graph)
Die Erstellung, Verwaltung und Registrierung von Containertypen sind jetzt Microsoft Graph-Vorgänge. Planen Sie diese Berechtigungen:
| Permission | Zweck | Mandant |
|---|---|---|
FileStorageContainerType.Manage.All |
Erstellen und verwalten Sie Containertypen auf dem eigenen Mandanten. | Nur besitzend |
FileStorageContainerTypeReg.Selected |
Registrieren Sie den Containertyp bei der Nutzung von Mandanten. | Verbrauchen |
FileStorageContainer.Selected |
Greifen Sie auf Container des Containertyps bei der Nutzung von Mandanten zu. | Verbrauchen |
FileStorageContainerType.Manage.All ist eine delegierte Berechtigung und erfordert keine Administratoreinwilligung. Jeder Nicht-Gastbenutzer im besitzenden Mandanten kann ihm zustimmen, zum Erstellen eines Containertyps verwenden und wird dann automatisch als Besitzer dieses Containertyps zugewiesen. (Vor Juni 2026 war hierfür die Rolle SharePoint Embedded-Administrator oder globaler Administrator erforderlich.)
Wichtig
FileStorageContainerType.Manage.All wird nur auf dem eigenen Mandanten benötigt, um den Containertyp zu erstellen. Entfernen Sie es aus Ihrem Anwendungsmanifest, bevor Sie sie an nutzende Mandanten verteilen, damit Kunden nicht nach übermäßigen Berechtigungen gefragt werden. Fordern Sie bei der Nutzung von Mandanten nur FileStorageContainerTypeReg.Selected und an FileStorageContainer.Selected.
Anwendungsberechtigungen für Containertypen
Containertypanwendungsberechtigungen werden von der Besitzeranwendung über die Containertypregistrierung erteilt.
Diese Berechtigungen definieren, was eine Anwendung mit Containern des Containertyps tun kann.
Zu den Anwendungsberechtigungen des Containertyps gehören:
NoneReadContentWriteContentCreateDeleteReadWriteEnumeratePermissionsAddPermissionsUpdatePermissionsDeletePermissionsDeleteOwnPermissionManagePermissionsManageContentFull
Erteilen Sie nur die Berechtigungen, die die Anwendung benötigt.
Gewähren Full Sie z. B. keine Gast-App im Hintergrund, wenn sie nur Lesezugriff für Sicherungen oder Analysen benötigt.
Containerberechtigungen
Containerberechtigungen gelten für Benutzer.
Sie gelten nur für den Zugriff im Namen eines Benutzers.
Jeder Benutzer, der auf einen Container zugreift, muss Mitglied des Containers sein.
Die Containermitgliedschaft gewährt Benutzerberechtigungen für diesen Container.
SharePoint Embedded unterstützt die folgenden Containerrollen:
| Rolle | Zusammenfassung |
|---|---|
| Reader | Lesen von Eigenschaften und Inhalten des Containers. |
| Writer | Leseberechtigungen sowie Erstellen, Aktualisieren und Löschen von Inhalten und Aktualisieren anwendbarer Containereigenschaften. |
| Manager | Writer-Berechtigungen sowie Verwalten der Mitgliedschaft des Containers. |
| Besitzer | Managerberechtigungen und Löschen von Containern. |
Wenn ein Benutzer einen neuen Container über delegierte Aufrufe erstellt, wird diesem Benutzer automatisch die Rolle Besitzer zugewiesen.
Containertypbesitzer
Containertypbesitzer unterscheiden sich von Containerbesitzern. Sie steuern den Containertyp selbst im besitzenden Mandanten.
- Automatische Zuweisung: Der Benutzer, der einen Containertyp erstellt, wird automatisch als Besitzer zugewiesen.
-
Hinzufügen oder Entfernen von Besitzern: Verwenden Sie die Containertypbeziehung
permissions(DELETE /storage/fileStorage/containerTypes/{id}/permissionsPOST/Beta), um bis zu drei Besitzer pro Containertyp zu verwalten. -
Funktionen: Mit
FileStorageContainerType.Manage.Allim delegierten Modus können Besitzer den Containertyp, den sie besitzen, erstellen, lesen, aktualisieren und löschen, seine Besitzer verwalten und Container dieses Typs erstellen (nur delegierte Aufrufe). - Einschränkungen: Externe Identitäten (Gastbenutzer) können keine Containertypbesitzer sein. Besitzerinformationen sind nur im besitzenden Mandanten vorhanden und werden bei der Registrierung nicht an die nutzenden Mandanten weitergegeben.
- Effektiver Zugriff: Besitzerfunktionen sind Benutzerberechtigungen; Effektiver Zugriff ist die Schnittmenge der Graph-Berechtigungen der App und der Rolle "Besitzer".
Auswirkungen auf die Containertypregistrierung
Damit die besitzende Anwendung auf einen nutzenden Mandanten reagiert:
- Für die besitzende App muss ein Dienstprinzipal auf dem nutzenden Mandanten installiert sein.
- Der besitzenden App muss die Administratoreinwilligung erteilt werden, um die Containertypregistrierung durchzuführen.
- Nur die besitzende Anwendung des Containertyps kann die Registrierungs-API im nutzenden Mandanten aufrufen.
Die Registrierungs-API gibt Berechtigungen für die besitzende App und alle Gast-Apps an.
Der letzte erfolgreiche Registrierungs-API-Aufruf bestimmt die Einstellungen, die im verbrauchenden Mandanten verwendet werden.
Außergewöhnliche Zugriffsmuster
Planen Sie Vorgänge, die nicht dem normalen Microsoft Graph-Autorisierungsmuster folgen.
Zu den außergewöhnlichen Zugriffsmustern gehören:
- Containertypverwaltung für mandanteneigene Mandanten über Microsoft Graph.
- Containertypregistrierung bei der Nutzung von Mandanten über Microsoft Graph (
FileStorageContainerTypeReg.Selected). - Administrative Containervorgänge, die einen angemeldeten SharePoint Embedded-Administrator oder globalen Administrator erfordern
FileStorageContainer.Manage.All. - Microsoft Search-Szenarien, für die während der Vorschau zusätzliche Berechtigungen erforderlich sind.
- Vorgänge, für die derzeit eine Benutzerlizenz erforderlich ist.
Überprüfen Sie diese, bevor Sie privilegierte oder suchintensive Features entwerfen.
Sicherheitsüberlegungen
- Delegierten Zugriff für benutzergesteuerte Vorgänge bevorzugen.
- Verwenden Sie nur App-Zugriff, wenn dies für Dienstvorgänge erforderlich ist.
- Gewähren Sie die geringsten Berechtigungen auf Containertypebene.
- Gewähren Sie die geringsten Berechtigungen auf der Containermitgliedschaftsebene.
- Erfordere die Administratoreinwilligung im richtigen Mandanten.
- Behandeln Sie die Registrierung als Teil des Kunden-Onboardings.
- Vermeiden Sie umfassenden Gast-App-Zugriff, es sei denn, das Szenario erfordert dies.
- Überprüfen Sie die Auswirkungen auf Überwachung und Compliance mit Ihren Mandantenadministratoren.
Planungscheckliste
- Registrieren Sie die Microsoft Entra ID Anwendung.
- Entscheiden Sie, welche Vorgänge delegierten Zugriff verwenden.
- Entscheiden Sie, welche Vorgänge nur App-Zugriff verwenden.
- Anfordern von Microsoft Graph-Berechtigungen
FileStorageContainer.Selected - Fordern Sie Microsoft Graph
FileStorageContainerType.Manage.All(besitzereigener Mandant) undFileStorageContainerTypeReg.Selected(nutzende Mandanten) für die Erstellung und Registrierung von Containertypen an. - Planen Sie die Administratoreinwilligung in jedem Nutzen-Mandanten.
- Definieren Sie Anwendungsberechtigungen für Containertypen.
- Definieren Sie Benutzercontainerrollen.
- Identifizieren Sie alle Gast-Apps und deren Berechtigungen.
- Überprüfen Sie außergewöhnliche Zugriffsmuster.
Nächste Schritte
Überprüfen von Skalierungs- und Leistungseinschränkungen: Verstehen von Grenzwerten und Aufrufmustern.