Add-In-Berechtigungen in SharePoint

  • Artikel

Bevor Sie diesen Artikel lesen, sollten Sie sich zuerst mit dem Thema Autorisierung und Authentifizierung für Add-Ins in SharePoint vertraut machen.

Ein SharePoint-Add-In fordert die Berechtigungen, die es während der Installation benötigt, beim Benutzer, der es installiert, an. Der Entwickler eines Add-Ins muss über die Add-In-Manifestdatei die Berechtigungen anfordern, die das jeweilige Add-In benötigt, um ausgeführt werden zu können. (Geräte- und Web-Apps, die auf SharePoint zugreifen, aber nicht auf SharePoint-Websites installiert sind, müssen zur Laufzeit von dem Benutzer, der das Add-In ausführt, Berechtigungen erteilt werden. Weitere Informationen finden Sie unter OAuth-Fluss mit Autorisierungscode für SharePoint-Add-Ins.)

Benutzer können nur die Berechtigungen erteilen, die sie selber besitzen. Der Benutzer kann entweder alle Berechtigungen gewähren, die für ein Add-In erforderlich sind, oder keine Berechtigung erteilen. Das Auswählen einzelner Berechtigungen ist nicht möglich. (Bei Add-Ins, die Berechtigungen im laufenden Betrieb anfordern, kann nur ein Benutzer mit Verwaltungsberechtigungen für die SharePoint-Ressourcen, auf die das Add-In zugreifen möchte, das Add-In ausführen, dies gilt auch dann, wenn das Add-In nur geringere Berechtigungen anfordert, wie z. B. Lesen.)

Die Berechtigungen, die dem Add-In erteilt wurden, werden auch in der Inhaltsdatenbank der SharePoint-Farm oder im SharePoint Online-Mandanten gespeichert. Sie werden nicht mit einem Sicherheitstokendienst, wie z. B. Microsoft Azure Access Control Service (ACS), gespeichert. Wenn ein Benutzer zum ersten Mal eine Add-In-Berechtigung erteilt, erhält SharePoint von ACS Informationen über das Add-In. SharePoint speichert dann die grundlegenden Informationen über das Add-In und die Add-In-Berechtigungen im Add-In-Verwaltungsdienst und der Inhaltsdatenbank. Weitere Informationen über ACS finden Sie unter Erstellen von SharePoint-Add-Ins, die eine Autorisierung mit niedriger Vertrauensebene verwenden.

Wichtig

Azure ACS (Access Control), ein Dienst von Azure Active Directory (Azure AD), wird am 7. November 2018 eingestellt. Diese Deaktivierung hat keinen Einfluss auf das SharePoint-Add-In-Modell, das den Hostnamen https://accounts.accesscontrol.windows.net verwendet, der von der Deaktivierung nicht betroffen ist. Weitere Informationen finden Sie unter Auswirkungen der Deaktivierung von Azure Access Control für SharePoint-Add-Ins.

Wenn ein Objekt, für das einem Add-In eine Berechtigung erteilt wurde, gelöscht wird, wird die entsprechende Berechtigung ebenfalls gelöscht. Wenn ein Objekt, für das einem Add-In eine Berechtigung gewährt wurde, wiederhergestellt wird, ändert SharePoint die entsprechende Berechtigung nicht. .

Wenn eine App entfernt wird, dann werden alle Berechtigungen widerrufen, die dieser App in dem Bereich, aus dem sie entfernt wird, gewährt wurden. Auf diese Weise soll sichergestellt werden, dass die App nicht weiterhin remote auf geschützte SharePoint-Ressourcen zugreifen kann, nachdem ein Benutzer die App aus SharePoint entfernt hat.

Arten von App-Berechtigungen und Berechtigungsbereichen

Ein SharePoint-Add-In gibt mithilfe von Berechtigungsanforderungen die Berechtigungen an, die für sein ordnungsgemäßes Funktionieren erforderlich sind. Die Berechtigungsanforderungen geben sowohl die von einem Add-In benötigten Rechte als auch den Bereich an, in dem die Rechte benötigt werden. Diese Berechtigungen werden als Teil des Add-In-Manifests angefordert.

Berechtigungsanforderungsbereiche geben die Position in der SharePoint-Hierarchie an, auf die sich eine Berechtigungsanforderung bezieht.

Hinweis

Ein SharePoint-Add-In besitzt eine eigene Identität und ist ein Sicherheitsprinzipal, der als Add-In-Prinzipal bezeichnet wird. Wie Benutzer und Gruppen besitzt ein Add-In-Prinzipal bestimmte Berechtigungen oder Rechte. Der Add-In-Prinzipal verfügt über Vollzugriff auf das Add-In-Web, sodass er nur Berechtigungen für SharePoint-Ressourcen im Hostweb oder in anderen Speicherorten außerhalb des Add-In-Webs anfordern muss. Weitere Informationen über das Add-In-Web finden Sie unter Kritische Aspekte der Architektur und der Entwicklungslandschaft für SharePoint-Add-Ins und Hostwebs, Add-In-Webs und SharePoint-Komponenten in SharePoint.

SharePoint unterstützt vier verschiedene Berechtigungsbereiche innerhalb der Inhaltsdatenbank und des Mandanten, wie in Tabelle 1 dargestellt. Berechtigungsbereiche werden mit URIs bezeichnet, einschließlich eines "http:"-Präfix, aber sie sind keine URLs und enthalten keine Platzhalter. Die Berechtigungsbereiche in dieser Tabelle und in diesem Artikel sind Literalzeichenfolgen.

Tabelle 1. URIs und Beschreibungen des SharePoint-App-Berechtigungsanforderungsbereichs

Bereich Bereichs-URI Beschreibung
Mandant http://sharepoint/content/tenant Die Mandanteneinheit, in der die App installiert ist. Sie umfasst alle untergeordneten Elemente dieses Bereichs.
Websitesammlung http://sharepoint/content/sitecollection Die Websitesammlung, in der die App installiert ist. Sie umfasst alle untergeordneten Elemente dieses Bereichs.
Website http://sharepoint/content/sitecollection/web Die Website, auf der die App installiert ist. Sie umfasst alle untergeordneten Elemente dieses Bereichs.
Auflisten http://sharepoint/content/sitecollection/web/list Eine einzelne Liste auf der Website, auf der das Add-In installiert ist.

Wenn der Benutzer, der das Add-In installiert, aufgefordert wird, Berechtigungen zu erteilen, ermöglicht das Dialogfeld es dem Benutzer, eine Liste auszuwählen, für die dem Add-In Berechtigungen erteilt werden.

Wenn das Add-In Berechtigung für mehr als eine Liste benötigt, muss es eine Berechtigung für den Webbereich anfordern.

Da Sie, der Entwickler, keine Möglichkeit haben, zu steuern, welche Liste der Benutzer auswählen oder dem Benutzer mitteilen kann, welche Liste er auswählen soll, müssen Sie den Webbereich verwenden, wenn eine Liste vorhanden ist, für die Ihr Add-In die Berechtigung verfügen muss (es gibt jedoch eine Möglichkeit, die Auswahl des Benutzers auf bestimmte Teilmengen von Listen einzugrenzen. Weitere Informationen finden Sie unter Berechtigungsanforderungsbereich mit zugeordneten Eigenschaften.)

Wenn einer App eine Berechtigung für einen der Bereiche gewährt wird, gilt diese Berechtigung für alle untergeordneten Elemente des Bereichs. Wenn einer App beispielsweise Berechtigungen für eine Website gewährt werden, dann erhält die App auch Berechtigungen für alle Listen dieser Website und für alle Listenelemente dieser Listen.

Da Berechtigungsanforderungen ohne Informationen zur Topologie der Websitesammlung gestellt werden, in der das Add-In installiert ist, wird der Bereich als Typ anstatt als URL einer bestimmten Instanz ausgedrückt. Diese Bereichstypen werden als URIs ausgedrückt. Berechtigungen für Ressourcen, die in der SharePoint-Inhaltsdatenbank gespeichert sind, werden unter dem folgenden URI zusammengefasst: http://sharepoint/content.

Unterschiede zwischen App-Berechtigungsrechten und Benutzerrechten

Berechtigungen geben die Aktivitäten an, die eine App im Anforderungsbereich ausführen darf. SharePoint unterstützt vier Berechtigungsstufen in der Inhaltsdatenbank. Für jeden Bereich kann die App über folgende Rechte verfügen:

  • Lesen
  • Schreiben
  • Verwalten
  • Vollzugriff

Hinweis

Weitere Informationen dazu, was die Rechte Lesen, Schreiben, Verwalten und Vollzugriff beinhalten, finden Sie im Thema zur Planung der App-Berechtigungsverwaltung.

Hinweis

Diese Rechte entsprechen den Standardberechtigungsstufen für Benutzer von SharePoint: Leser, Teilnehmer, Designer und Vollzugriff. Weitere Informationen über Berechtigungsstufen für Benutzer finden Sie unter Benutzerberechtigungen und Berechtigungsstufen. Die Namen der Add-In-Rechte entsprechen nicht den Namen der Benutzerrollenrechte von SharePoint, um Verwechslungen der Benutzerrollenrechte und Add-In-Rechte zu vermeiden. Weil sich die Anpassung der Berechtigungen, die mit SharePoint-Benutzerrollen verknüpft sind, nicht auf die App-Berechtigungsanforderungsstufen auswirken, entsprechen die Namen der App-Rechte nicht den entsprechenden SharePoint-Benutzerrollen mit Ausnahme des Rechts Vollzugriff, das nicht über die Benutzeroberfläche zur Berechtigungsverwaltung angepasst werden kann.

Weitere Schritte:

  • Nur für den Bereich Search gilt, dass eine App das Query-Recht zum Abfragen haben kann.

  • Für einige Microsoft Project Server 2013-Bereiche gibt es zudem das SubmitStatus- oder das Elevate-Recht. Für die meisten Project Server 2013-Bereiche sind nur Lese- und Schreibberechtigungen verfügbar. Weitere Informationen finden Sie im Abschnitt Arten von Add-In-Berechtigungen und Berechtigungsbereichen in diesem Artikel.

  • Für die Taxonomie sind nur Lese- und Schreibberechtigungen verfügbar.

Hinweis

Bei Office Store-Apps sind die Arten von Berechtigungen, die ein Add-In anfordern kann, teilweise eingeschränkt. Weitere Informationen finden Sie weiter oben in diesem Artikel im Abschnitt Typen von Add-In-Berechtigungen und Berechtigungsbereichen .

Im Gegensatz zu SharePoint-Benutzerrollen sind diese Berechtigungsstufen nicht anpassbar. Damit soll sichergestellt werden, dass die App durch die Gewährung einer Berechtigungsanforderung eine vorhersehbare Gruppe von Funktionen erhält und nicht der Möglichkeit Rechnung tragen muss, unter Umständen weniger als die erwarteten Berechtigungen zu erhalten.

Ein Benutzer kann einer App keine Berechtigungen gewähren, über die er nicht selbst verfügt. Wenn ein Benutzer versucht, eine App zu installieren, die mehr Berechtigungen anfordert, als der Benutzer hat, wird eine Fehlermeldung angezeigt, die den Benutzer darüber informiert, dass er nicht über ausreichende Berechtigungen verfügt, um die Anforderungen der App erfüllen zu können.

Berechtigungen, die SharePoint nicht kennt, werden ignoriert. Das heißt, wenn eine App eine Berechtigung anfordert, die SharePoint nicht erkennt, dann kann die App installiert werden, aber der Benutzer wird nicht aufgefordert, diese Berechtigung zu gewähren, und die App erhält diese Berechtigung nicht.

Verfügbare Bereiche und Berechtigungen sowie Einschränkungen für Office Store-App-Berechtigungen

Verschiedene Bereiche verfügen über verschiedene Rechte, die von einem Add-In angefordert werden können. In diesem Abschnitt werden die Gruppen von Rechten beschrieben, die für die einzelnen Bereiche verfügbar sind. Zudem wird auf die für SharePoint-Add-Ins, die über den Office Store verkauft werden, geltenden Beschränkungen hingewiesen.

Rechte von Office Store-Apps

Nur die Rechte Lesen, Schreiben und Verwalten sind für Office Store-Apps zulässig. Wenn Sie versuchen, eine App, die FullControl-Rechte benötigt, an den Office Store zu übermitteln, wird die Übermittlung dieser App blockiert. Da sich der Block in der Office Store-Übermittlungspipeline befindet, können Apps, die mehr als Verwaltungsberechtigungen anfordern, dennoch über den Add-In-Katalog bereitgestellt werden.

Berechtigungsanforderungsbereiche für Listeninhalte und Bibliotheksinhalte

Tabelle 2 enthält den Berechtigungsanforderungsbereich für Listen- und Bibliotheksinhalte und die Rechte, die für die einzelnen Bereichs-URIs angegeben werden können.

Hinweis

Die in Tabelle 2 angegebenen URIs sind Literalwerte.

Tabelle 2. URIs und verfügbare Rechte des SharePoint-Berechtigungsanforderungsbereichs

Bereichs-URI Verfügbare Rechte
http://sharepoint/content/sitecollection Read, Write, Manage, FullControl
http://sharepoint/content/sitecollection/web Read, Write, Manage, FullControl
http://sharepoint/content/sitecollection/web/list Read, Write, Manage, FullControl
http://sharepoint/content/tenant Read, Write, Manage, FullControl

The following code shows how you use permission scopes and rights in the AppManifest.xml file. In the first example, an add-in is asking for Write access to the list scope.

  <?xml version="1.0" encoding="utf-8" ?>
  <App xmlns="http://schemas.microsoft.com/sharepoint/2012/app/manifest"
      ProductID="{4a07f3bd-803d-45f2-a710-b9e944c3396e}"
      Version="1.0.0.0"
      SharePointMinVersion="15.0.0.0"
      Name="MySampleAddIn"
  >
    <Properties>
      <Title>My Sample Add-in</Title>
      <StartPage>~remoteAppUrl/Home.aspx?{StandardTokens}</StartPage>
    </Properties>

    <AppPrincipal>
      <RemoteWebApplication ClientId="1ee82b34-7c1b-471b-b27e-ff272accd564" />
    </AppPrincipal>

    <AppPermissionRequests>
      <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="Write"/>
    </AppPermissionRequests>
  </App>

Im folgenden Code wird eine App veranschaulicht, die Lesezugriff auf den Webbereich und Schreibzugriff auf den Listenbereich anfordert.

  <?xml version="1.0" encoding="utf-8" ?>
  <App xmlns="http://schemas.microsoft.com/sharepoint/2012/app/manifest"
      ProductID="{4a07f3bd-803d-45f2-a710-b9e944c3396e}"
      Version="1.0.0.0"
      SharePointMinVersion="15.0.0.0"
      Name="MySampleAddIn"
  >
    <Properties>
      <Title>My Sample Add-in</Title>
      <StartPage>~remoteAppUrl/Home.aspx?{StandardTokens}</StartPage>
    </Properties>

    <AppPrincipal>
      <RemoteWebApplication ClientId="6daebfdd-6516-4506-a7a9-168862921986" />
    </AppPrincipal>

    <AppPermissionRequests>
      <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read"/>
      <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="Write"/>
    </AppPermissionRequests>
  </App>

Berechtigungsanforderungsbereiche für andere SharePoint-Funktionen

Die Berechtigungsanforderungsbereiche für andere SharePoint-Features sind in den folgenden Tabellen aufgeführt.

Hinweis

Die in der Tabelle angegebenen URIs sind Literalwerte.

Tabelle 3 zeigt den Berechtigungsanforderungsbereich für Business Connectivity Services (BCS). Es sind auch die Berechtigungen aufgeführt, die für diesen Bereichs-URI angegeben werden können.

Tabelle 3. URIs und verfügbare Rechte des App-Berechtigungsanforderungsbereichs BCS

Bereichs-URI Verfügbare Rechte
http://sharepoint/bcs/connection Read

Hinweis

Weitere Informationen zum App-Berechtigungsanforderungsbereich für BCS finden Sie unter Business Connectivity Services in SharePoint.


Tabelle 4 enthält den App-Berechtigungsanforderungsbereich Search. Es sind auch die Berechtigungen aufgeführt, die für diesen Bereichs-URI angegeben werden können.

Tabelle 4. URIs und verfügbare Rechte des App-Berechtigungsanforderungsbereichs Search

Bereichs-URI Verfügbare Rechte
http://sharepoint/search QueryAsUserIgnoreAppPrincipal

Hinweis

Weitere Informationen zum App-Berechtigungsanforderungsbereich Search finden Sie unter Search in SharePoint.


Tabelle 5 enthält den Berechtigungsanforderungsbereich für Project Server 2013. Darin werden auch die Rechte aufgeführt, die für diesen Bereichs-URI angegeben werden können. > [! HINWEIS] > Ein Add-In, das Project Server 2013-Features und -Dienste verwendet, sollte in einer Umgebung getestet werden, die über die erforderlichen Project Server-Features und -Dienste verfügt. Die Project Server 2013-Berechtigungsanbieter-Assembly mit den Informationen zu Project Server 2013-Berechtigungsbereichen, wird nicht standardmäßig mit SharePoint Server installiert. Weitere Informationen finden Sie in der Project Server 2013-Entwicklerdokumentation.

Tabelle 5. URIs und verfügbare Rechte des App-Berechtigungsanforderungsbereichs Project Server

Bereich Verfügbare Rechte
http://sharepoint/projectserver Verwalten
http://sharepoint/projectserver/projects Read, Write
http://sharepoint/projectserver/projects/project Read, Write
http://sharepoint/projectserver/enterpriseresources Read, Write
http://sharepoint/projectserver/statusing SubmitStatus
http://sharepoint/projectserver/reporting Read
http://sharepoint/projectserver/workflow Elevate

Tabelle 6 enthält den Berechtigungsanforderungsbereich für Features für soziale Netzwerke. Darin werden auch die Rechte aufgeführt, die für diesen Bereichs-URI angegeben werden können.

Tabelle 6. URIs und verfügbare Rechte des App-Berechtigungsanforderungsbereichs für Features für soziale Netzwerke

Bereichsname Beschreibung Verfügbare Rechte
Benutzerprofile
http://sharepoint/social/tenant		 Der Berechtigungsanforderungsbereich, der für den Zugriff auf alle Benutzerprofile verwendet wird. Nur das Profilbild kann geändert werden; alle anderen Benutzerprofileigenschaften sind schreibgeschützt für SharePoint-Add-Ins. Muss von einem Mandantenadministrator installiert werden. Read, Write, Manage, FullControl
Core
http://sharepoint/social/core		 Der berechtigungsanforderungsbereich für den Zugriff des Benutzers auf beobachteten Inhalte und einem freigegebenen Metadaten, die von mikroblogging Features verwendet wird. In diesem Bereich gilt nur für persönliche Websites, die nach Inhalten zu unterstützen. Wenn die app auf eine andere Art von Website installiert wurde, verwenden Sie die mandantenbereich. Read, Write, Manage, FullControl
Newsfeed
http://sharepoint/social/microfeed		 Den berechtigungsanforderungsbereich des Benutzers Feed oder den Feed Team Zugriff auf verwendet. In diesem Bereich gilt für persönliche Websites, die mikroblogging unterstützen oder Teamwebsites, in dem das Website-Feed-Feature aktiviert ist. Wenn die app auf eine andere Art von Website installiert wurde, verwenden Sie die mandantenbereich. Read, Write, Manage, FullControl
http://sharepoint/social/trimming In diesem berechtigungsanforderungsbereich verwendet, um festzustellen, ob Sicherheit verkürzt Inhalte in den Feed für soziale Netzwerke für apps anzuzeigen. Wenn diese Berechtigung hoher Vertrauenswürdigkeit nicht gewährt wurde, wird bestimmter Inhalte (wie Aktivitäten zu Dokumenten und Websites, denen die app zum berechtigt nicht) abgeschnitten aus der feed-Daten, die an die app zurückgegeben werden, auch wenn der Benutzer über ausreichende Berechtigungen verfügt. Diese Berechtigung muss die app-manifest-Datei manuell hinzugefügt werden. Read, Write, Manage, FullControl

Hinweis

Weitere Informationen zum App-Berechtigungsanforderungsbereich für Features für soziale Netzwerke finden Sie unter App-Berechtigungsanforderungen für den Zugriff auf soziale Features.


Tabelle 7 enthält den App-Berechtigungsanforderungsbereich Taxonomy. Es sind auch die Berechtigungen aufgeführt, die für diesen Bereichs-URI angegeben werden können.

Tabelle 7. URIs und verfügbare Rechte des App-Berechtigungsanforderungsbereichs Taxonomy

Bereichs-URI Verfügbare Rechte
http://sharepoint/taxonomy Read, Write

Hinweis

Weitere Informationen zum App-Berechtigungsanforderungsbereich Taxonomy finden Sie unter Hinzufügen von SharePoint-Funktionen.

Berechtigungsanforderungsbereich mit den zugehörigen Eigenschaften

Der Berechtigungsanforderungsbereich für Listen besitzt eine zusätzliche optionale Eigenschaft. Der Listenbereich kann eine Eigenschaft mit dem Namen BaseTemplateId und einen ganzzahligen Wert aus einer Listenbasisvorlage übernehmen, wie im folgenden Markupbeispiel gezeigt. Ohne eine Basisvorlagen-ID kann der Benutzer, der das Add-In installiert, die Berechtigung für eine Liste von allen Listen im Web erteilen. Durch die Angabe einer Listenbasisvorlagen-ID wird die Auswahl des Benutzers auf die Gruppe von Listen eingeschränkt, die dem Wert der Eigenschaft BaseTemplateId entsprechen.

Die BaseTemplateId -Eigenschaft ist ein untergeordnetes Element, kein Attribut des AppPermissionRequest -Elements. Im folgenden Code wird gezeigt, wie die BaseTemplateId -Eigenschaft verwendet wird.

  <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="Write">
    <Property Name="BaseTemplateId" Value="101"/>
  </AppPermissionRequest>

Tabelle 8. Berechtigungsanforderungsbereich mit den zugehörigen Eigenschaften

Bereichs-URI Eigenschaft Type
http://sharepoint/content/sitecollection/web/list BaseTemplateId Ganze Zahl

Hinweis

Weitere Informationen zu BaseTemplateId und dem zugehörigen ganzzahligen Wert für die Listenbasisvorlage finden Sie unter dem Type-Attribut von List-Element (Liste).

Verwaltung und Problembehandlung von Add-In-Berechtigungen

SharePoint-Add-Ins erhalten Berechtigungen, nachdem sie in SharePoint installiert wurden. Add-Ins, die auf anderen Plattformen installiert sind, jedoch auf SharePoint zugreifen, erhalten zur Laufzeit Berechtigungen von dem Benutzer, der das Add-In ausführt. Gelegentlich kann die erste Add-In eines Typs ihre Berechtigungen verlieren. Sie können die Berechtigungen für ein Add-In erneut erteilen, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie auf der Seite Websiteinhalt der Website, auf der das Add-In Berechtigungen verloren zu haben scheint, die Schaltfläche ... auf der Kachel des Add-Ins aus. Daraufhin wird eine Legende mit entweder dem Link BERECHTIGUNGEN oder einer anderen ...-Schaltfläche geöffnet.

  2. Wählen Sie den Link BERECHTIGUNGEN aus, wenn dieser vorhanden ist, und überspringen Sie den nächsten Schritt, oder wählen Sie die Schaltfläche ... aus.

  3. Wählen Sie den Link Berechtigungen.

  4. Wählen Sie auf der Seite, die geöffnet wird, hier im letzten Satz aus. Das Add-In erhält seine Berechtigungen zurück, und der Browser wird zurück zur Seite Websiteinhalte geleitet.

Einer App erneut Berechtigungen gewähren


Wenn Sie eine App entwickeln oder Fehler in einer App beheben, gibt es möglicherweise Situationen, in denen Sie die Berechtigungen einer bereits installierten App ändern oder erneut gewähren möchten. Gehen Sie dafür wie folgt vor :

  1. Wechseln Sie zu http://{SharePointWebSite}_layouts/15/AppInv.aspx, wobei <SharePointWebSite> die URL der Website ist, auf der das Add-In installiert ist. Achten Sie darauf, keine Abfrageparameter zu der URL hinzuzufügen. Das Formular, das Sie benötigen, wird nur auf dieser Seite angezeigt, wenn die URL genauso aussieht wie angezeigt.

  2. Geben Sie die Add-In-ID, auch als Client-ID bezeichnet, in das Feld Add-In-Id ein, und wählen Sie dann Verweis. Die anderen Felder des Formulars werden dann mit Informationen über das Add-In ausgefüllt.

  3. Geben Sie in das Feld Berechtigungsanforderung XML die Berechtigungsanforderungen exakt so ein, wie Sie sie in ein Add-In-Manifest eingeben würden. Beispiele finden Sie unter Berechtigungsanforderungsbereiche für Listeninhalte und Bibliotheksinhalte. Die vollständige Syntaxinformationen finden Sie unter AppPermissionRequest Element.

  4. Wählen Sie Erstellen aus.

Die Berechtigungen für ein Add-In für einen bestimmten Bereich werden widerrufen, wenn es aus dem Bereich entfernt wird.

Warum Apps nicht vor Benutzern ausgeblendet werden können

Jeder Benutzer mit Durchsuchen-Berechtigungen für eine SharePoint-Website kann jedes auf der Website installierte SharePoint-Add-In starten. Ob der Benutzer etwas mit dem Add-In tun kann, hängt von den anderen Berechtigungen des Benutzers und davon ab, welchen Autorisierungsrichtlinientyp das Add-In verwendet. Wenn der Benutzer versucht, etwas mit dem Add-In zu tun, für das er keine Berechtigung hat, und der Aufruf an SharePoint die Benutzer- und Add-In-Richtlinie verwendet, schlägt der Aufruf fehl.

Siehe auch