Skip to Content
Beta-Dokumentation. Feedback senden
IntegrationenAdmin-Zustimmung (Microsoft)

Admin-Zustimmung für Microsoft-Integrationen

Bevor dein Team Microsoft-Integrationen in symbiofy nutzen kann, muss in den meisten Organisationen ein Microsoft- bzw. Entra-Administrator eine Zustimmung (Admin Consent) erteilen. In diesen Organisationen können Endnutzer Berechtigungen nicht selbst bestätigen — ein Entra-Administrator gibt sie für die gesamte Organisation frei.

Wichtig: Erklärt ist nicht gleich zugestimmt

Die symbiofy-App ist bei Microsoft als eine einzige Anwendung registriert. Sie deklariert die Vereinigungsmenge aller Berechtigungen sämtlicher Microsoft-Integrationen — also alles, was irgendeine Integration potenziell anfordern könnte.

Deine Organisation stimmt aber nur dem zu, was sie tatsächlich freigibt. Die Zustimmung erfolgt inkrementell pro Integration: Verbindet ein Administrator über symbiofy z. B. nur die Dataverse-Integration, stimmt deine Organisation auch nur deren Berechtigungen zu — nicht den Berechtigungen aller anderen Integrationen.

Eine Ausnahme bildet die app-weite Zustimmung (siehe Weg C unten): Dabei wird allen deklarierten Berechtigungen auf einmal zugestimmt — auch denen von Integrationen, die deine Organisation gar nicht nutzt.

Warum ist die Admin-Zustimmung nötig?

Microsoft verlangt für bestimmte Berechtigungen (z. B. Zugriff auf SharePoint, Teams-Nachrichten oder Outlook-Kalender) eine organisationsweite Freigabe durch einen Administrator. Erst nach dieser Freigabe können einzelne Nutzer ihre Accounts verbinden.

Die symbiofy-App benötigt folgende Berechtigungen, je nach aktivierter Integration:

IntegrationBerechtigungen
Microsoft 365Zugriff auf SharePoint-Seiten und OneDrive-Dateien
Microsoft 365 ExcelLesen und Bearbeiten von Excel-Dateien
Microsoft TeamsLesen von Kanalnachrichten und Direktnachrichten, optional Senden von Nachrichten
Outlook MailLesen von E-Mails und Postfächern, optional Senden, Weiterleiten und Verschieben von E-Mails
Outlook CalendarLesen von Kalenderterminen
Power BIZugriff auf Workspaces und Datasets
Microsoft DataverseZugriff auf Dataverse-Umgebungen, Tabellen und Datensätze (nur Lesen)
Teams Meeting TranskripteLesen von Kalender, Online-Meetings und Transkripten
Microsoft PlannerLesen und Bearbeiten von Plänen, Buckets und Aufgaben in Microsoft Planner

Detaillierte Berechtigungen (OAuth Scopes)

Die folgende Tabelle zeigt alle Berechtigungen, die symbiofy pro Microsoft-Integration anfordert. Alle Berechtigungen sind delegiert (Nutzerkontext) — symbiofy greift nur im Namen des angemeldeten Nutzers auf Daten zu.

Schreibberechtigungen werden nur bei Bedarf angefordert. Berechtigungen, mit denen symbiofy Daten verändert (z. B. bei Outlook Mail das Senden, Weiterleiten oder Verschieben von E-Mails, bei Microsoft Teams das Senden von Nachrichten), werden erst dann angefordert, wenn ein Administrator deiner Organisation die entsprechende Schreibaktion für die Integration freischaltet. In einer rein lesenden Einrichtung erscheinen diese Berechtigungen also gar nicht im Zustimmungsbildschirm. Wird eine Schreibaktion später aktiviert, müssen verbundene Nutzer ihren Account einmalig neu verbinden, damit die zusätzliche Berechtigung wirksam wird.

IntegrationBerechtigungBeschreibungZweck
Microsoft 365offline_accessToken-AktualisierungVerbindung bleibt aktiv ohne erneute Anmeldung
Files.Read.AllDateien lesenZugriff auf OneDrive- und SharePoint-Dokumente
Sites.Read.AllSharePoint-Seiten lesenDurchsuchen von SharePoint-Inhalten
Microsoft 365 Exceloffline_accessToken-Aktualisierungs.o.
Files.ReadWrite.AllDateien lesen/schreibenExcel-Dateien lesen und bearbeiten
Sites.ReadWrite.AllSharePoint lesen/schreibenExcel-Dateien in SharePoint bearbeiten
Microsoft Teamsoffline_accessToken-Aktualisierungs.o.
User.ReadBenutzerprofil lesenIdentifikation des Kontos
Team.ReadBasic.AllTeams lesenListe der Teams anzeigen
Channel.ReadBasic.AllKanäle lesenListe der Kanäle anzeigen
ChannelMessage.Read.AllKanalnachrichten lesenNachrichten in Teams-Kanälen abrufen
Chat.ReadChats lesenDirektnachrichten und Gruppenchats anzeigen
ChatMessage.ReadChat-Nachrichten lesenNachrichten aus Chats abrufen
ChannelMessage.SendKanalnachrichten sendenNachrichten in Teams-Kanäle senden (nur bei aktivierter Schreibaktion)
ChatMessage.SendChat-Nachrichten sendenNachrichten in Chats senden (nur bei aktivierter Schreibaktion)
Outlook Mailoffline_accessToken-Aktualisierungs.o.
User.ReadBenutzerprofil lesenIdentifikation des Kontos
Mail.ReadE-Mails lesenPostfach durchsuchen und lesen
Mail.Read.Shared *Gemeinsame Postfächer lesenZugriff auf freigegebene Postfächer (Shared Mailboxes)
Mail.SendE-Mails sendenE-Mails senden und weiterleiten (nur bei aktivierter Schreibaktion)
Mail.Send.Shared *Aus gemeinsamen Postfächern sendenSenden und Weiterleiten aus freigegebenen Postfächern (nur bei aktivierter Schreibaktion)
Mail.ReadWriteE-Mails verschiebenE-Mails in andere Ordner verschieben (nur bei aktivierter Schreibaktion)
Mail.ReadWrite.Shared *In gemeinsamen Postfächern verschiebenE-Mails in freigegebenen Postfächern verschieben (nur bei aktivierter Schreibaktion)
Outlook Calendaroffline_accessToken-Aktualisierungs.o.
User.ReadBenutzerprofil lesenIdentifikation des Kontos
Calendars.ReadKalender lesenTermine und Ereignisse anzeigen
Power BIoffline_accessToken-Aktualisierungs.o.
Report.Read.AllBerichte lesenPower BI-Berichte abrufen
Dashboard.Read.AllDashboards lesenPower BI-Dashboards anzeigen
Workspace.Read.AllWorkspaces lesenArbeitsbereiche auflisten
Dataset.Read.AllDatasets lesenDatenquellen und DAX-Abfragen
Microsoft Dataverseoffline_accessToken-Aktualisierungs.o.
user_impersonation **Dynamics 365 / DataverseDataverse-Umgebungen, Tabellen und Datensätze abfragen (nur Lesen)
Teams Meeting Transkripteoffline_accessToken-Aktualisierungs.o.
User.ReadBenutzerprofil lesenIdentifikation des Kontos
Calendars.ReadKalender lesenMeetings im Kalender finden
OnlineMeetings.ReadOnline-Meetings lesenMeeting-IDs auflösen
OnlineMeetingTranscript.Read.AllTranskripte lesenTranskript-Inhalte abrufen
Microsoft Planneroffline_accessToken-Aktualisierungs.o.
User.ReadBenutzerprofil lesenIdentifikation des Kontos (auch für Selbstzuweisung)
Tasks.ReadAufgaben lesenPläne, Buckets und Aufgaben anzeigen
Tasks.ReadWriteAufgaben lesen/schreibenAufgaben erstellen, aktualisieren, abschließen und dir selbst zuweisen

Microsoft Planner fordert ausschließlich nutzerbezogene Berechtigungen für die eigenen Aufgaben an — keine verzeichnisweiten Rechte. Je nach Consent-Richtlinie deiner Organisation muss ein Administrator die Integration ggf. einmalig freigeben. Details siehe Microsoft Planner.

Schreibende Berechtigungen fordern nur Microsoft 365 Excel und Microsoft Planner sowie — jeweils optional und nur bei aktivierter Schreibaktion — Outlook Mail (Senden, Weiterleiten und Verschieben von E-Mails) und Microsoft Teams (Senden von Nachrichten) an. Alle übrigen hier aufgeführten Berechtigungen sind ausschließlich lesend. Microsoft Dataverse nutzt zwar einen technisch lese- und schreibfähigen Microsoft-Scope (siehe **), wird in symbiofy aber strikt nur lesend eingesetzt — es werden keine Daten in Dataverse verändert, erstellt oder gelöscht.

* Die mit .Shared markierte Berechtigung wird benötigt, um auf gemeinsame Postfächer (Shared Mailboxes) zuzugreifen.

** Microsoft bietet für Dataverse nur eine einzige delegierte Berechtigung an, die in der Zustimmung als „Access Dynamics 365 as organization users” (Dynamics CRM user_impersonation) erscheint. Sie ist auf Microsoft-Seite technisch lese- und schreibfähig; symbiofy nutzt sie ausschließlich für lesende Abfragen. Zusätzlich werden nur die von einem Administrator freigegebenen Dataverse-Umgebungen abgefragt, und es werden ausschließlich EU/EWR-Umgebungen unterstützt. Welche konkreten Daten ein Nutzer sieht, richtet sich weiterhin nach seiner Dataverse-Sicherheitsrolle. Details siehe Microsoft Dataverse.

Welcher Weg ist der richtige?

Stell dir zuerst eine Frage:

Sind die Person, die symbiofy konfiguriert (symbiofy-Administrator), und der Microsoft-/Entra-Administrator dieselbe Person?

In vielen Organisationen ist das nicht der Fall: Häufig betreut ein IT-Dienstleister symbiofy (symbiofy-Administrator), während die organisationsweite Microsoft-Zustimmung nur ein interner Entra-Administrator erteilen darf. Je nach Antwort passt ein anderer Weg:

  • Dieselbe Person -> Weg A: direkt in symbiofy verbinden und dabei für die Organisation zustimmen. Geringste Berechtigungen.
  • Getrennte Rollen, Berechtigungen so klein wie möglich -> Weg B: Genehmigungs-Workflow in Entra. Geringste Berechtigungen, ohne dass der Entra-Administrator einen symbiofy-Zugang braucht.
  • Getrennte Rollen, möglichst einfach -> Weg C: app-weite Zustimmung durch den Entra-Administrator. Am einfachsten, gewährt aber die Berechtigungen aller Integrationen auf einmal.

Weg A — Verbinden direkt in symbiofy

Empfohlen, wenn dieselbe Person symbiofy konfiguriert und Microsoft-/Entra-Administrator ist. Geringste Berechtigungen.

So stimmst du genau einer Integration zu — und nur dieser:

  1. Aktiviere die gewünschte Integration in symbiofy unter Administration > Integrationen (siehe Integrationen).
  2. Klicke bei der Integration auf Verbinden und melde dich mit deinem Microsoft-Administrator-Konto an.
  3. Weil symbiofy nur die Berechtigungen dieser Integration anfordert, zeigt der Microsoft-Zustimmungsbildschirm auch nur diese Berechtigungen an — zusammen mit dem Kontrollkästchen „Im Namen Ihrer Organisation zustimmen”.
  4. Setze dieses Häkchen und bestätige. Damit gilt die Zustimmung für diese Integration organisationsweit.

Danach können alle weiteren Nutzer ihren Microsoft-Account ohne erneute Berechtigungsabfrage verbinden. Deine Organisation stimmt auf diesem Weg immer nur dem zu, was sie tatsächlich aktiviert — aktivierst du später eine weitere Integration, durchläufst du den Schritt einmalig erneut.

Weg B — Genehmigungs-Workflow in Entra

Empfohlen bei getrennten Rollen, wenn die Berechtigungen so klein wie möglich bleiben sollen.

Hier stellt die symbiofy-Seite die Anfrage, der Entra-Administrator genehmigt sie separat — ohne selbst einen symbiofy-Zugang zu benötigen:

  1. Der symbiofy-Administrator aktiviert die Integration und klickt auf Verbinden.
  2. Microsoft zeigt die Meldung „Genehmigung durch Administrator erforderlich” an. Der symbiofy-Administrator kann hier eine Begründung eingeben und die Anfrage absenden.
  3. Die Anfrage landet im Microsoft Entra Admin Center unter Administratorzustimmungsanforderungen (Admin consent requests).
  4. Ein Entra-Administrator öffnet die Anfrage und genehmigt genau die angeforderten Berechtigungen — also nur die dieser Integration.

So bleibt die Zustimmung auf die tatsächlich genutzte Integration beschränkt, und der Entra-Administrator muss kein symbiofy-Konto haben.

Voraussetzung: Der Genehmigungs-Workflow muss in Entra aktiviert sein. Ist er deaktiviert, erscheint die Anfrage nicht im Admin Center — in diesem Fall eignet sich Weg A oder Weg C. Den Workflow aktiviert ein Entra-Administrator im Microsoft Entra Admin Center unter Identität > Anwendungen > Unternehmensanwendungen > Administratorzustimmungseinstellungen.

Weg C — App-weite Zustimmung durch den Entra-Administrator

Am einfachsten bei getrennten Rollen. Der Entra-Administrator kann die Zustimmung eigenständig und ohne symbiofy-Konto erteilen — ein einziges Mal für die gesamte Organisation.

Wichtig zur Transparenz: Auf diesem Weg wird den Berechtigungen aller Microsoft-Integrationen auf einmal zugestimmt — auch denen von Integrationen, die deine Organisation vielleicht gar nicht nutzt, und einschließlich technisch lese- und schreibfähiger Berechtigungen (z. B. nutzt symbiofy für Microsoft Dataverse einen Microsoft-Scope, der technisch lese- und schreibfähig ist, dort aber strikt nur lesend eingesetzt wird — siehe Hinweise unten). Empfehlenswert ist dieser Weg, wenn deine Organisation die meisten oder alle Microsoft-Integrationen nutzen möchte oder eine einmalige Freigabe bevorzugt.

Es gibt zwei Varianten der app-weiten Zustimmung.

Variante 1: Über das Microsoft Entra Admin Center

  1. Melde dich im Azure Portal  mit einem Administrator-Konto an
  2. Navigiere zu Azure Active Directory (bzw. Microsoft Entra ID)
  3. Wähle Unternehmensanwendungen (Enterprise Applications) in der linken Navigation
  4. Suche nach der symbiofy-App in der Liste der Anwendungen
  5. Klicke auf die symbiofy-App und navigiere zu Berechtigungen (Permissions)
  6. Klicke auf Administratorzustimmung erteilen (Grant admin consent)
  7. Bestätige die angeforderten Berechtigungen im Dialog

Alternativ kann der Entra-Administrator die Zustimmung direkt über eine URL erteilen:

https://login.microsoftonline.com/DEINE_TENANT_ID/adminconsent?client_id=532529df-03f7-4d79-9689-db13a0459f57

Ersetze die Platzhalter durch deine tatsächlichen Werte:

  • DEINE_TENANT_ID — Die Verzeichnis-(Tenant-)ID deiner Organisation (zu finden unter Azure AD > Übersicht)
  • 532529df-03f7-4d79-9689-db13a0459f57 — Die Application (Client) ID der symbiofy-App

Öffne die URL in deinem Browser, melde dich mit einem Administrator-Konto an und bestätige die angeforderten Berechtigungen.

Nach der Admin-Zustimmung

Sobald die Admin-Zustimmung erteilt wurde:

  1. Administrator aktiviert die Integration — Ein Administrator schaltet die gewünschten Microsoft-Integrationen in symbiofy unter Administration > Integrationen frei (siehe Integrationen) und legt bei Bedarf fest, welche Aktionen für wen erlaubt sind (siehe Integration-Berechtigungen)
  2. Nutzer verbindet seinen Account — Jeder Nutzer kann nun seinen Microsoft-Account unter Einstellungen > Integrationen verbinden. Es wird nur noch die Kontoauswahl angezeigt — keine zusätzliche Berechtigungsabfrage.

Fehlerbehebung

”Genehmigung durch Administrator erforderlich”

Diese Meldung ist nicht zwingend ein Fehler: Bei getrennten Rollen ist sie der erwartete Einstieg in den Genehmigungs-Workflow (siehe Weg B). Soll die Berechtigung dagegen bereits organisationsweit zugestimmt sein und erscheint die Meldung trotzdem:

  • Die Admin-Zustimmung wurde noch nicht erteilt oder nicht vollständig abgeschlossen
  • Stelle sicher, dass die Zustimmung mit einem Konto erteilt wurde, das über die Rolle Globaler Administrator oder Cloudanwendungsadministrator verfügt
  • Prüfe im Azure Portal unter Unternehmensanwendungen > symbiofy > Berechtigungen, ob die Zustimmung korrekt hinterlegt ist

Verbindung schlägt fehl

Falls die Verbindung trotz Admin-Zustimmung nicht funktioniert:

  • Prüfe, ob die richtige Tenant-ID und App-ID verwendet wurden
  • Stelle sicher, dass die Redirect-URI in der Azure-App-Registrierung korrekt konfiguriert ist
  • Warte einige Minuten — die Zustimmung kann bis zu 5 Minuten für die Aktivierung benötigen
  • Versuche die Verbindung erneut oder bitte den Nutzer, den Browser-Cache zu leeren

Berechtigungen wurden widerrufen

Falls ein Administrator die Zustimmung im Azure Portal widerrufen hat, müssen alle Nutzer ihre Microsoft-Integrationen in symbiofy neu verbinden. Der Administrator muss die Zustimmung erneut erteilen.

Tipps

  • Vorab mit IT abstimmen — Kläre mit deinem IT-Team, ob organisationsweite Richtlinien die Admin-Zustimmung einschränken
  • Minimale Berechtigungen — symbiofy fordert nur die Berechtigungen an, die für die jeweilige Integration notwendig sind. Alle Zugriffe sind lesend, sofern nicht anders angegeben
  • Regelmäßig prüfen — Überprüfe im Azure Portal gelegentlich, ob die erteilten Berechtigungen noch aktuell und gewünscht sind
Zuletzt aktualisiert am