Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID ist eine Funktion zur Verwaltung von Benutzerzustimmungen für Berechtigungen von Unternehmensanwendungen. Der Administratoreinwilligungs-Workflow ermöglicht es, Berechtigungsanfragen zu prüfen sowie freizugeben oder abzulehnen. Anstatt Benutzern direkt weitreichende Zustimmungen zu gestatten, kann mit dem Administratoreinwilligungs-Workflow sichergestellt werden, dass nur autorisierte Anwendungen Zugriff auf sensible Daten erhalten. Zum Beispiel kann eine Applikation die Berechtigung anfordern, auf das Benutzerprofil zuzugreifen oder den Inhalt des Benutzerpostfachs zu lesen. Der Administratoreinwilligungs-Workflow trägt damit wesentlich zur Umsetzung des Prinzips der minimalen Rechte (Least-Privilege-Prinzips) bei und minimiert das Risiko unbeabsichtigter Datenexposition.
Dieser Blogpost bietet eine Anleitung zur Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID. Er zeigt, wie Benutzer Anfragen für Applikationsberechtigungen stellen und wie diese überprüft und bearbeitet werden.
Voraussetzungen und Lizenzierung
Lizenzen
Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID setzt folgende Lizenz voraus:
- Microsoft Entra ID P1 oder höher
Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Für die Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow), Überprüfung von Anfragen sowie das Erteilen oder Ablehnen von Zugriffsanfragen sind nach dem Prinzip der geringsten Berechtigung die folgenden Rollen geeignet:
| Rolle | Beschreibung |
| Globaler Administrator | Einrichtung und Aktivierung des Administratoreinwilligungs-Workflow Berechtigungsanfragen prüfen, freigeben oder ablehnen |
| *Administrator für privilegierte Rollen *Cloudanwendungsadministrator | Berechtigungsanfragen prüfen, freigeben oder ablehnen |
* Details zu diesen Rollen können hier nachgelesen werden: Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung – Microsoft Entra ID | Microsoft Learn
Konfiguration Administratoreinwilligungs-Workflow in Microsoft Entra ID
Benutzereinwilligung (User Consent) in Microsoft Entra ID konfigurieren
Die Benutzereinwilligung (User Consent) in Microsoft Entra ID steuert, ob und in welchem Umfang Benutzer Anwendungen die Zustimmung zum Zugriff auf Daten erteilen dürfen. Ohne eine zentrale Steuerung besteht das Risiko, dass Benutzer unbeabsichtigt Anwendungen Zugriff auf sensible Daten gewähren, ohne sich der möglichen Sicherheits- und Compliance-Risiken bewusst zu sein.
Die Konfiguration der Benutzereinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Anwendungen > Unternehmensanwendungen > Einwilligung und Berechtigungen > Einstellungen für die Benutzereinwilligung.
Für die Konfiguration der Benutzereinwilligung stehen folgende Optionen zur Verfügung, mit denen sich der Zugriff auf Daten durch Drittanbieter-Apps steuern lässt:
- Benutzereinwilligung nicht zulassen
Nur Administratoren können Anwendungen die Zustimmung zum Zugriff auf Daten erteilen. Diese Option bietet die höchste Sicherheit, erfordert jedoch einen höheren administrativen Aufwand. - Für ausgewählte Berechtigungen zulassen
Benutzer dürfen Anwendungen mit Berechtigungen geringer Auswirkung von verifizierten Herausgebern selbst autorisieren. Die zugelassenen Berechtigungen werden in den Berechtigungsklassifizierungen konfiguriert. Diese Einstellung bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit. - Benutzereinwilligung für alle Apps zulassen
Alle Benutzer können jeder Anwendung den Zugriff auf Daten gewähren, unabhängig von Herausgeber oder Risikoeinstufung. Diese Konfiguration wird aus Sicherheitsgründen nicht empfohlen.
Für maximale Sicherheit empfiehlt es sich, die Option Benutzereinwilligung nicht zulassen zu aktivieren.
Administratoreinwilligung-Workflow (Admin Consent Workflow) in Microsoft Entra ID aktivieren
Die Administratoreinwilligung (Admin Consent) in Microsoft Entra ID ermöglicht eine sichere und kontrollierte Verwaltung von Anwendungsberechtigungen. Sie regelt, wie Benutzer Zustimmungsanfragen für Anwendungen einreichen können, wenn diese Berechtigungen erfordern, die sie selbst nicht genehmigen dürfen. Durch den Administratoreinwilligung-Workflow (Admin Consent Workflow) wird der Zugriff auf sensible Ressourcen effektiv gesteuert und die Sicherheit der Umgebung erhöht.
Die Konfiguration der Administratoreinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Anwendungen > Unternehmensanwendungen > Einwilligung und Berechtigungen > Einstellungen für die Administratoreinwilligung.
Folgende Optionen können für den Administratoreinwilligungs-Workflow konfiguriert werden, um den Genehmigungsprozess zu steuern:
- Aktivierung des Administratoreinwilligungs-Workflow
Durch Setzen der Option auf Ja wird der Administratoreinwilligungs-Workflow (Admin Consent Workflow) aktiviert und Benutzer können Zugriffsanfragen an Prüfer senden. - Festlegen von Prüfern
Benutzer, Gruppen oder Rollen auswählen, welche für die Überprüfung und Genehmigung von Zugriffsanfragen zuständig sind. - Aktivieren von E-Mail-Benachrichtigungen
Prüfer mit einer E-Mail benachrichtigen, sobald neue Zugriffsanfragen eingehen. - Einrichten von Erinnerungsemails
Prüfer per E-Mail informieren, wenn eine Zugriffsanfrage kurz vor dem Ablauf steht und noch nicht bearbeitet wurde. - Definieren der Gültigkeitsdauer für Anfragen
Maximale Gültigkeit offener Zugriffsanfragen festlegen, bevor sie automatisch ablaufen.
Berechtigungsklassifizierungen (Permission classifications) in Microsoft Entra ID
Berechtigungsklassifizierungen (Permission Classifications) im Microsoft Entra Admin Center ermöglichen es, API-Berechtigungen basierend auf ihrem Risikoprofil in Kategorien wie Niedrig, Mittel und Hoch einzuteilen. Anhand dieser Klassifizierung kann die Benutzereinwilligung (User Consent) so automatisiert werden, dass Benutzer bestimmten Berechtigungen ohne zusätzliche Genehmigung zustimmen können.
Die Klassifizierung der API-Berechtigungen erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Anwendungen > Unternehmensanwendungen > Einwilligung und Berechtigungen > Berechtigungsklassifizierungen.
Die Klassifizierungen lassen sich entweder pauschal für die meisten angeforderten Anwendungsberechtigungen (1) konfigurieren oder granular pro API (2) steuern.
Admin Experience und User Experience
Benutzererfahrung (User Experience)
Wenn ein Benutzer die Berechtigungsanfrage einer Unternehmensanwendung nicht selbst genehmigen darf, wird eine entsprechende Meldung angezeigt. Durch Eingabe einer Begründung (1) und Klick auf Genehmigungsanforderung (2) wird der Administratoreinwilligungs-Workflow (Admin Consent Workflow) gestartet.
Die Genehmigungsanforderung wurde erfolgreich übermittelt und wartet nun auf die weitere Bearbeitung durch einen Prüfer.
Administratorerfahrung (Admin Experience)
Jeder Prüfer erhält die Genehmigungsanfrage per E-Mail.
Die Bearbeitung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Anwendungen > Unternehmensanwendungen > Anforderungen zur Administratoreinwilligung > Meine ausstehenden Anforderungen
Die prüfende Person hat nun die Möglichkeit, die Anwendung entweder abzulehnen (2) oder zu blockieren (1).
Ablehnen bedeutet, dass die aktuelle Genehmigungsanfrage einmalig zurückgewiesen wird. Blockieren hingegen verhindert, dass zukünftig Genehmigungsanfragen für diese Anwendung gestellt werden können.
Die prüfende Person kann eine Genehmigungsanfrage einsehen, ablehnen oder blockieren. Für die Anzeige der angeforderten Berechtigungen und deren Freigabe sind die Rollen Globaler Administrator, Administrator für privilegierte Rollen oder Cloudanwendungsadministrator erforderlich.
Stimmen die Berechtigungen, kann die Anfrage durch Klicken auf Akzeptieren freigegeben werden.
Im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Anwendungen > Unternehmensanwendungen > Alle Anwendungen > Anwendung auswählen > Berechtigungen werden die freigegebenen Berechtigungen angezeigt. Die Anwendung ist nun einsatzbereit.
Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!
