Planen der Authentifizierung und Berechtigungen

Gilt für: Entwickler

Verwenden Sie diesen Artikel, um die Authentifizierung und Autorisierung für eine SharePoint Embedded-Anwendung zu planen.

SharePoint Embedded-Anwendungen verwenden Microsoft Graph für den Zugriff auf Container und Inhalte.

Die vollständige Authentifizierungsreferenz finden Sie unter SharePoint Embedded-Authentifizierung und -Autorisierung.

Kernprinzipien

Die SharePoint Embedded-Authentifizierung und -Autorisierung folgt den folgenden Prinzipien:

  • Anwendungen interagieren mit SharePoint Embedded über Microsoft Graph.
  • Anwendungen benötigen Anwendungsberechtigungen vom Typ Container, um auf Container dieses Containertyps zuzugreifen.
  • Anwendungen können nur auf Container zugreifen, bei denen der Benutzer Mitglied ist, wenn der Zugriff im Namen eines Benutzers verwendet wird.
  • Anwendungen können auf alle Container zugreifen, die durch ihre Containertyp-Anwendungsberechtigungen aktiviert werden, wenn sie Zugriff ohne Benutzer verwenden.
  • Anwendungen sollten den Zugriff nach Möglichkeit im Namen von Benutzern verwenden, um die Sicherheit und Verantwortlichkeit zu verbessern.

Voraussetzungen

Planen Sie folgendes:

  • Eine Microsoft Entra ID Anwendungsregistrierung.
  • Ein Microsoft 365-Abonnement im Microsoft Entra ID Mandanten.
  • Microsoft Graph-Berechtigungen für SharePoint Embedded-Vorgänge.
  • Containertypanwendungsberechtigungen, die über die Containertypregistrierung gewährt werden.
  • Admin Zustimmung im Nutzen des Mandanten.

Berechtigungsebenen

Der SharePoint Embedded-Zugriff verfügt über mehrere Ebenen.

Ebene Zweck
Microsoft Graph-Berechtigung Ermöglicht der App das Aufrufen von SharePoint Embedded-Endpunkten.
Anwendungsberechtigung für Containertypen Ermöglicht der App den Zugriff auf Container eines bestimmten Containertyps.
Containerberechtigung Bestimmt, was ein Benutzer in einem bestimmten Container für delegierten Zugriff tun kann.

Wichtig

Microsoft Graph-Berechtigungen allein gewähren keinen Zugriff auf Container. Der Anwendung muss auch die Berechtigung für einen Containertyp erteilt werden.

Delegierter Zugriff

Delegierter Zugriff bedeutet, dass die Anwendung im Namen eines Benutzers handelt.

SharePoint Embedded-Vorgänge im Namen eines Benutzers erfordern delegierte Microsoft Graph-Berechtigungen FileStorageContainer.Selected .

Für diese delegierte Berechtigung ist keine Administratoreinwilligung für den Nutzen des Mandanten erforderlich.

Der Benutzer muss auch über Containerberechtigungen verfügen.

Die effektiven Berechtigungen der Anwendung sind die Schnittmenge von:

  • Die für den Containertyp gewährten Anwendungsberechtigungen.
  • Die Berechtigungen des Benutzers für den Container.

Verwenden Sie nach Möglichkeit delegierten Zugriff.

Delegierter Zugriff verbessert die Überprüfbarkeit, da Aktionen dem Benutzer zugeordnet werden können.

Nur App-Zugriff

Nur-App-Zugriff bedeutet, dass die Anwendung ohne Benutzer agiert.

SharePoint Embedded-Vorgänge ohne Benutzer erfordern die Microsoft Graph-Anwendungsberechtigung FileStorageContainer.Selected .

Diese Berechtigung erfordert die Administratoreinwilligung für den Nutzen des Mandanten.

Mit Nur-App-Zugriff kann die App auf alle Container zugreifen, die durch die Anwendungsberechtigungen des Containertyps aktiviert sind.

Verwenden Sie den reinen App-Zugriff für Hintergrundvorgänge, die nicht im Namen eines Benutzers ausgeführt werden können.

Wenden Sie die geringsten Berechtigungen beim Erteilen von Anwendungsberechtigungen für Containertypen an.

Ein Administrator des nutzenden Mandanten muss der Berechtigungsanforderung der Anwendung zustimmen.

Admin Zustimmung ist für die Anwendungsberechtigung FileStorageContainer.Selected erforderlich. Delegiert FileStorageContainer.Selected erfordert keine Administratoreinwilligung.

Die Containertypregistrierung erfordert auch die Zustimmung für die besitzende Anwendung, um im nutzenden Mandanten zu agieren.

Informationen zur Containertypregistrierung finden Sie unter Registrieren von Anwendungsberechtigungen für Den Dateispeichercontainertyp.

Containertypberechtigungen (Microsoft Graph)

Die Erstellung, Verwaltung und Registrierung von Containertypen sind jetzt Microsoft Graph-Vorgänge. Planen Sie diese Berechtigungen:

Permission Zweck Mandant
FileStorageContainerType.Manage.All Erstellen und verwalten Sie Containertypen auf dem eigenen Mandanten. Nur besitzend
FileStorageContainerTypeReg.Selected Registrieren Sie den Containertyp bei der Nutzung von Mandanten. Verbrauchen
FileStorageContainer.Selected Greifen Sie auf Container des Containertyps bei der Nutzung von Mandanten zu. Verbrauchen

FileStorageContainerType.Manage.All ist eine delegierte Berechtigung und erfordert keine Administratoreinwilligung. Jeder Nicht-Gastbenutzer im besitzenden Mandanten kann ihm zustimmen, zum Erstellen eines Containertyps verwenden und wird dann automatisch als Besitzer dieses Containertyps zugewiesen. (Vor Juni 2026 war hierfür die Rolle SharePoint Embedded-Administrator oder globaler Administrator erforderlich.)

Wichtig

FileStorageContainerType.Manage.All wird nur auf dem eigenen Mandanten benötigt, um den Containertyp zu erstellen. Entfernen Sie es aus Ihrem Anwendungsmanifest, bevor Sie sie an nutzende Mandanten verteilen, damit Kunden nicht nach übermäßigen Berechtigungen gefragt werden. Fordern Sie bei der Nutzung von Mandanten nur FileStorageContainerTypeReg.Selected und an FileStorageContainer.Selected.

Anwendungsberechtigungen für Containertypen

Containertypanwendungsberechtigungen werden von der Besitzeranwendung über die Containertypregistrierung erteilt.

Diese Berechtigungen definieren, was eine Anwendung mit Containern des Containertyps tun kann.

Zu den Anwendungsberechtigungen des Containertyps gehören:

  • None
  • ReadContent
  • WriteContent
  • Create
  • Delete
  • Read
  • Write
  • EnumeratePermissions
  • AddPermissions
  • UpdatePermissions
  • DeletePermissions
  • DeleteOwnPermission
  • ManagePermissions
  • ManageContent
  • Full

Erteilen Sie nur die Berechtigungen, die die Anwendung benötigt.

Gewähren Full Sie z. B. keine Gast-App im Hintergrund, wenn sie nur Lesezugriff für Sicherungen oder Analysen benötigt.

Containerberechtigungen

Containerberechtigungen gelten für Benutzer.

Sie gelten nur für den Zugriff im Namen eines Benutzers.

Jeder Benutzer, der auf einen Container zugreift, muss Mitglied des Containers sein.

Die Containermitgliedschaft gewährt Benutzerberechtigungen für diesen Container.

SharePoint Embedded unterstützt die folgenden Containerrollen:

Rolle Zusammenfassung
Reader Lesen von Eigenschaften und Inhalten des Containers.
Writer Leseberechtigungen sowie Erstellen, Aktualisieren und Löschen von Inhalten und Aktualisieren anwendbarer Containereigenschaften.
Manager Writer-Berechtigungen sowie Verwalten der Mitgliedschaft des Containers.
Besitzer Managerberechtigungen und Löschen von Containern.

Wenn ein Benutzer einen neuen Container über delegierte Aufrufe erstellt, wird diesem Benutzer automatisch die Rolle Besitzer zugewiesen.

Containertypbesitzer

Containertypbesitzer unterscheiden sich von Containerbesitzern. Sie steuern den Containertyp selbst im besitzenden Mandanten.

  • Automatische Zuweisung: Der Benutzer, der einen Containertyp erstellt, wird automatisch als Besitzer zugewiesen.
  • Hinzufügen oder Entfernen von Besitzern: Verwenden Sie die Containertypbeziehung permissions (DELETE /storage/fileStorage/containerTypes/{id}/permissionsPOST/Beta), um bis zu drei Besitzer pro Containertyp zu verwalten.
  • Funktionen: Mit FileStorageContainerType.Manage.All im delegierten Modus können Besitzer den Containertyp, den sie besitzen, erstellen, lesen, aktualisieren und löschen, seine Besitzer verwalten und Container dieses Typs erstellen (nur delegierte Aufrufe).
  • Einschränkungen: Externe Identitäten (Gastbenutzer) können keine Containertypbesitzer sein. Besitzerinformationen sind nur im besitzenden Mandanten vorhanden und werden bei der Registrierung nicht an die nutzenden Mandanten weitergegeben.
  • Effektiver Zugriff: Besitzerfunktionen sind Benutzerberechtigungen; Effektiver Zugriff ist die Schnittmenge der Graph-Berechtigungen der App und der Rolle "Besitzer".

Auswirkungen auf die Containertypregistrierung

Damit die besitzende Anwendung auf einen nutzenden Mandanten reagiert:

  • Für die besitzende App muss ein Dienstprinzipal auf dem nutzenden Mandanten installiert sein.
  • Der besitzenden App muss die Administratoreinwilligung erteilt werden, um die Containertypregistrierung durchzuführen.
  • Nur die besitzende Anwendung des Containertyps kann die Registrierungs-API im nutzenden Mandanten aufrufen.

Die Registrierungs-API gibt Berechtigungen für die besitzende App und alle Gast-Apps an.

Der letzte erfolgreiche Registrierungs-API-Aufruf bestimmt die Einstellungen, die im verbrauchenden Mandanten verwendet werden.

Außergewöhnliche Zugriffsmuster

Planen Sie Vorgänge, die nicht dem normalen Microsoft Graph-Autorisierungsmuster folgen.

Zu den außergewöhnlichen Zugriffsmustern gehören:

  • Containertypverwaltung für mandanteneigene Mandanten über Microsoft Graph.
  • Containertypregistrierung bei der Nutzung von Mandanten über Microsoft Graph (FileStorageContainerTypeReg.Selected).
  • Administrative Containervorgänge, die einen angemeldeten SharePoint Embedded-Administrator oder globalen Administrator erfordern FileStorageContainer.Manage.All .
  • Microsoft Search-Szenarien, für die während der Vorschau zusätzliche Berechtigungen erforderlich sind.
  • Vorgänge, für die derzeit eine Benutzerlizenz erforderlich ist.

Überprüfen Sie diese, bevor Sie privilegierte oder suchintensive Features entwerfen.

Sicherheitsüberlegungen

  • Delegierten Zugriff für benutzergesteuerte Vorgänge bevorzugen.
  • Verwenden Sie nur App-Zugriff, wenn dies für Dienstvorgänge erforderlich ist.
  • Gewähren Sie die geringsten Berechtigungen auf Containertypebene.
  • Gewähren Sie die geringsten Berechtigungen auf der Containermitgliedschaftsebene.
  • Erfordere die Administratoreinwilligung im richtigen Mandanten.
  • Behandeln Sie die Registrierung als Teil des Kunden-Onboardings.
  • Vermeiden Sie umfassenden Gast-App-Zugriff, es sei denn, das Szenario erfordert dies.
  • Überprüfen Sie die Auswirkungen auf Überwachung und Compliance mit Ihren Mandantenadministratoren.

Planungscheckliste

  • Registrieren Sie die Microsoft Entra ID Anwendung.
  • Entscheiden Sie, welche Vorgänge delegierten Zugriff verwenden.
  • Entscheiden Sie, welche Vorgänge nur App-Zugriff verwenden.
  • Anfordern von Microsoft Graph-Berechtigungen FileStorageContainer.Selected
  • Fordern Sie Microsoft Graph FileStorageContainerType.Manage.All (besitzereigener Mandant) und FileStorageContainerTypeReg.Selected (nutzende Mandanten) für die Erstellung und Registrierung von Containertypen an.
  • Planen Sie die Administratoreinwilligung in jedem Nutzen-Mandanten.
  • Definieren Sie Anwendungsberechtigungen für Containertypen.
  • Definieren Sie Benutzercontainerrollen.
  • Identifizieren Sie alle Gast-Apps und deren Berechtigungen.
  • Überprüfen Sie außergewöhnliche Zugriffsmuster.

Nächste Schritte

Überprüfen von Skalierungs- und Leistungseinschränkungen: Verstehen von Grenzwerten und Aufrufmustern.