Microsoft Entra ID: Admin Consent Workflow für sichere Anwendungsberechtigungen
Letzte Aktualisierung am 20. August 2025
Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID ist eine Funktion zur Verwaltung von Benutzerzustimmungen für Berechtigungen von Unternehmensanwendungen. Der Administratoreinwilligungs-Workflow ermöglicht es, Berechtigungsanfragen zu prüfen sowie freizugeben oder abzulehnen. Anstatt Benutzern direkt weitreichende Zustimmungen zu gestatten, kann mit dem Administratoreinwilligungs-Workflow sichergestellt werden, dass nur autorisierte Anwendungen Zugriff auf sensible Daten erhalten. Zum Beispiel kann eine Applikation die Berechtigung anfordern, auf das Benutzerprofil zuzugreifen oder den Inhalt des Benutzerpostfachs zu lesen. Der Administratoreinwilligungs-Workflow trägt damit wesentlich zur Umsetzung des Prinzips der minimalen Rechte (Least-Privilege-Prinzips) bei und minimiert das Risiko unbeabsichtigter Datenexposition.
Dieser Blogpost bietet eine Anleitung zur Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID. Er zeigt, wie Benutzer Anfragen für Applikationsberechtigungen stellen und wie diese überprüft und bearbeitet werden.
Voraussetzungen und Lizenzierung
Lizenzen
Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID setzt folgende Lizenz voraus:
- Microsoft Entra ID Free oder höher
Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Für die Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow), Überprüfung von Anfragen sowie das Erteilen oder Ablehnen von Zugriffsanfragen sind nach dem Prinzip der geringsten Berechtigung die folgenden Rollen geeignet:
| Rolle | Beschreibung |
| Globaler Administrator | Einrichtung und Aktivierung des Administratoreinwilligungs-Workflow Berechtigungsanfragen prüfen, freigeben oder ablehnen |
| *Administrator für privilegierte Rollen *Cloudanwendungsadministrator | Berechtigungsanfragen prüfen, freigeben oder ablehnen |
* Details zu diesen Rollen können hier nachgelesen werden: Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung – Microsoft Entra ID | Microsoft Learn
Konfiguration Administratoreinwilligungs-Workflow in Microsoft Entra ID
Benutzereinwilligung (User Consent) in Microsoft Entra ID konfigurieren
Die Benutzereinwilligung (User Consent) in Microsoft Entra ID steuert, ob und in welchem Umfang Benutzer Anwendungen die Zustimmung zum Zugriff auf Daten erteilen dürfen. Ohne eine zentrale Steuerung besteht das Risiko, dass Benutzer unbeabsichtigt Anwendungen Zugriff auf sensible Daten gewähren, ohne sich der möglichen Sicherheits- und Compliance-Risiken bewusst zu sein.
Die Konfiguration der Benutzereinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Einstellungen für die Benutzereinwilligung.
Für die Konfiguration der Benutzereinwilligung stehen folgende Optionen zur Verfügung, mit denen sich der Zugriff auf Daten durch Drittanbieter-Apps steuern lässt:
- Benutzereinwilligung nicht zulassen
Nur Administratoren können Anwendungen die Zustimmung zum Zugriff auf Daten erteilen. Diese Option bietet die höchste Sicherheit, erfordert jedoch einen höheren administrativen Aufwand. - Für ausgewählte Berechtigungen zulassen
Benutzer dürfen Anwendungen mit Berechtigungen geringer Auswirkung von verifizierten Herausgebern selbst autorisieren. Die zugelassenen Berechtigungen werden in den Berechtigungsklassifizierungen konfiguriert. Diese Einstellung bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit. - Benutzereinwilligung für alle Apps zulassen
Benutzer dürfen Anwendungen mit delegierten Berechtigungen geringer Auswirkung selbst autorisieren, kritische Berechtigungen wie Files.Read.All, Files.ReadWrite.All, Sites.Read.All und Sites.ReadWrite.All sind jedoch ausgeschlossen. Die Richtlinie wird von Microsoft automatisch gepflegt und nach aktuellen Sicherheitsempfehlungen angepasst, mit mindestens 30 Tagen Vorankündigung bei Änderungen.
Für maximale Sicherheit empfiehlt es sich, die Option Benutzereinwilligung nicht zulassen zu aktivieren.
Administratoreinwilligung-Workflow (Admin Consent Workflow) in Microsoft Entra ID aktivieren
Die Administratoreinwilligung (Admin Consent) in Microsoft Entra ID ermöglicht eine sichere und kontrollierte Verwaltung von Anwendungsberechtigungen. Sie regelt, wie Benutzer Zustimmungsanfragen für Anwendungen einreichen können, wenn diese Berechtigungen erfordern, die sie selbst nicht genehmigen dürfen. Durch den Administratoreinwilligung-Workflow (Admin Consent Workflow) wird der Zugriff auf sensible Ressourcen effektiv gesteuert und die Sicherheit der Umgebung erhöht.
Die Konfiguration der Administratoreinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Einstellungen für die Administratoreinwilligung.
Folgende Optionen können für den Administratoreinwilligungs-Workflow konfiguriert werden, um den Genehmigungsprozess zu steuern:
- Aktivierung des Administratoreinwilligungs-Workflow
Durch Setzen der Option auf Ja wird der Administratoreinwilligungs-Workflow (Admin Consent Workflow) aktiviert und Benutzer können Zugriffsanfragen an Prüfer senden. - Festlegen von Prüfern
Benutzer, Gruppen oder Rollen auswählen, welche für die Überprüfung und Genehmigung von Zugriffsanfragen zuständig sind. - Aktivieren von E-Mail-Benachrichtigungen
Prüfer mit einer E-Mail benachrichtigen, sobald neue Zugriffsanfragen eingehen. - Einrichten von Erinnerungsemails
Prüfer per E-Mail informieren, wenn eine Zugriffsanfrage kurz vor dem Ablauf steht und noch nicht bearbeitet wurde. - Definieren der Gültigkeitsdauer für Anfragen
Maximale Gültigkeit offener Zugriffsanfragen festlegen, bevor sie automatisch ablaufen.
Berechtigungsklassifizierungen (Permission classifications) in Microsoft Entra ID
Berechtigungsklassifizierungen (Permission Classifications) im Microsoft Entra Admin Center ermöglichen es, API-Berechtigungen basierend auf ihrem Risikoprofil in Kategorien wie Niedrig, Mittel und Hoch einzuteilen. Anhand dieser Klassifizierung kann die Benutzereinwilligung (User Consent) so automatisiert werden, dass Benutzer bestimmten Berechtigungen ohne zusätzliche Genehmigung zustimmen können.
Die Klassifizierung der API-Berechtigungen erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Berechtigungsklassifizierungen.
Die Klassifizierungen lassen sich entweder pauschal für die meisten angeforderten Anwendungsberechtigungen (1) konfigurieren oder granular pro API (2) steuern.
Admin Experience und User Experience
Benutzererfahrung (User Experience)
Wenn ein Benutzer die Berechtigungsanfrage einer Unternehmensanwendung nicht selbst genehmigen darf, wird eine entsprechende Meldung angezeigt. Durch Eingabe einer Begründung (1) und Klick auf Genehmigungsanforderung (2) wird der Administratoreinwilligungs-Workflow (Admin Consent Workflow) gestartet.
Die Genehmigungsanforderung wurde erfolgreich übermittelt und wartet nun auf die weitere Bearbeitung durch einen Prüfer.
Administratorerfahrung (Admin Experience)
Jeder Prüfer erhält die Genehmigungsanfrage per E-Mail.
Die Bearbeitung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Anforderungen zur Administratoreinwilligung > Meine ausstehenden Anforderungen
Die prüfende Person hat nun die Möglichkeit, die Anwendung entweder abzulehnen (2) oder zu blockieren (1).
Ablehnen bedeutet, dass die aktuelle Genehmigungsanfrage einmalig zurückgewiesen wird. Blockieren hingegen verhindert, dass zukünftig Genehmigungsanfragen für diese Anwendung gestellt werden können.
Die prüfende Person kann eine Genehmigungsanfrage einsehen, ablehnen oder blockieren. Für die Anzeige der angeforderten Berechtigungen und deren Freigabe sind die Rollen Globaler Administrator, Administrator für privilegierte Rollen oder Cloudanwendungsadministrator erforderlich.
Stimmen die Berechtigungen, kann die Anfrage durch Klicken auf Akzeptieren freigegeben werden.
Im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Alle Anwendungen > Anwendung auswählen > Berechtigungen werden die freigegebenen Berechtigungen angezeigt. Die Anwendung ist nun einsatzbereit.
Gut zu wissen
Microsofts empfohlene Einwilligungsrichtlinie ab August 2025
Microsoft stellt ab August 2025 die empfohlene Einwilligungsrichtlinie Lassen Sie Microsoft Ihre Einwilligungseinstellungen verwalten bereit. Diese von Microsoft verwaltete Einwilligungsrichtlinie gilt als neue Standardempfehlung für Microsoft Entra ID und erlaubt Endbenutzern ausschliesslich die Zustimmung zu delegierten Berechtigungen mit geringem Risiko. Ausgenommen sind die Berechtigungen Files.Read.All, Files.ReadWrite.All, Sites.Read.All und Sites.ReadWrite.All. Microsoft aktualisiert diese Einwilligungsrichtlinie automatisch und kündigt jede Änderung mindestens 30 Tage im Voraus an.
Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.
Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.
