Admin-Zustimmung für Microsoft-Integrationen
Bevor dein Team Microsoft-Integrationen in symbiofy nutzen kann, muss in den meisten Organisationen ein Microsoft- bzw. Entra-Administrator eine Zustimmung (Admin Consent) erteilen. In diesen Organisationen können Endnutzer Berechtigungen nicht selbst bestätigen — ein Entra-Administrator gibt sie für die gesamte Organisation frei.
Wichtig: Erklärt ist nicht gleich zugestimmt
Die symbiofy-App ist bei Microsoft als eine einzige Anwendung registriert. Sie deklariert die Vereinigungsmenge aller Berechtigungen sämtlicher Microsoft-Integrationen — also alles, was irgendeine Integration potenziell anfordern könnte.
Deine Organisation stimmt aber nur dem zu, was sie tatsächlich freigibt. Die Zustimmung erfolgt inkrementell pro Integration: Verbindet ein Administrator über symbiofy z. B. nur die Dataverse-Integration, stimmt deine Organisation auch nur deren Berechtigungen zu — nicht den Berechtigungen aller anderen Integrationen.
Eine Ausnahme bildet die app-weite Zustimmung (siehe Weg C unten): Dabei wird allen deklarierten Berechtigungen auf einmal zugestimmt — auch denen von Integrationen, die deine Organisation gar nicht nutzt.
Warum ist die Admin-Zustimmung nötig?
Microsoft verlangt für bestimmte Berechtigungen (z. B. Zugriff auf SharePoint, Teams-Nachrichten oder Outlook-Kalender) eine organisationsweite Freigabe durch einen Administrator. Erst nach dieser Freigabe können einzelne Nutzer ihre Accounts verbinden.
Die symbiofy-App benötigt folgende Berechtigungen, je nach aktivierter Integration:
| Integration | Berechtigungen |
|---|---|
| Microsoft 365 | Zugriff auf SharePoint-Seiten und OneDrive-Dateien |
| Microsoft 365 Excel | Lesen und Bearbeiten von Excel-Dateien |
| Microsoft Teams | Lesen von Kanalnachrichten und Direktnachrichten, optional Senden von Nachrichten |
| Outlook Mail | Lesen von E-Mails und Postfächern, optional Senden, Weiterleiten und Verschieben von E-Mails |
| Outlook Calendar | Lesen von Kalenderterminen |
| Power BI | Zugriff auf Workspaces und Datasets |
| Microsoft Dataverse | Zugriff auf Dataverse-Umgebungen, Tabellen und Datensätze (nur Lesen) |
| Teams Meeting Transkripte | Lesen von Kalender, Online-Meetings und Transkripten |
| Microsoft Planner | Lesen und Bearbeiten von Plänen, Buckets und Aufgaben in Microsoft Planner |
Detaillierte Berechtigungen (OAuth Scopes)
Die folgende Tabelle zeigt alle Berechtigungen, die symbiofy pro Microsoft-Integration anfordert. Alle Berechtigungen sind delegiert (Nutzerkontext) — symbiofy greift nur im Namen des angemeldeten Nutzers auf Daten zu.
Schreibberechtigungen werden nur bei Bedarf angefordert. Berechtigungen, mit denen symbiofy Daten verändert (z. B. bei Outlook Mail das Senden, Weiterleiten oder Verschieben von E-Mails, bei Microsoft Teams das Senden von Nachrichten), werden erst dann angefordert, wenn ein Administrator deiner Organisation die entsprechende Schreibaktion für die Integration freischaltet. In einer rein lesenden Einrichtung erscheinen diese Berechtigungen also gar nicht im Zustimmungsbildschirm. Wird eine Schreibaktion später aktiviert, müssen verbundene Nutzer ihren Account einmalig neu verbinden, damit die zusätzliche Berechtigung wirksam wird.
| Integration | Berechtigung | Beschreibung | Zweck |
|---|---|---|---|
| Microsoft 365 | offline_access | Token-Aktualisierung | Verbindung bleibt aktiv ohne erneute Anmeldung |
Files.Read.All | Dateien lesen | Zugriff auf OneDrive- und SharePoint-Dokumente | |
Sites.Read.All | SharePoint-Seiten lesen | Durchsuchen von SharePoint-Inhalten | |
| Microsoft 365 Excel | offline_access | Token-Aktualisierung | s.o. |
Files.ReadWrite.All | Dateien lesen/schreiben | Excel-Dateien lesen und bearbeiten | |
Sites.ReadWrite.All | SharePoint lesen/schreiben | Excel-Dateien in SharePoint bearbeiten | |
| Microsoft Teams | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Team.ReadBasic.All | Teams lesen | Liste der Teams anzeigen | |
Channel.ReadBasic.All | Kanäle lesen | Liste der Kanäle anzeigen | |
ChannelMessage.Read.All | Kanalnachrichten lesen | Nachrichten in Teams-Kanälen abrufen | |
Chat.Read | Chats lesen | Direktnachrichten und Gruppenchats anzeigen | |
ChatMessage.Read | Chat-Nachrichten lesen | Nachrichten aus Chats abrufen | |
ChannelMessage.Send | Kanalnachrichten senden | Nachrichten in Teams-Kanäle senden (nur bei aktivierter Schreibaktion) | |
ChatMessage.Send | Chat-Nachrichten senden | Nachrichten in Chats senden (nur bei aktivierter Schreibaktion) | |
| Outlook Mail | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Mail.Read | E-Mails lesen | Postfach durchsuchen und lesen | |
Mail.Read.Shared * | Gemeinsame Postfächer lesen | Zugriff auf freigegebene Postfächer (Shared Mailboxes) | |
Mail.Send | E-Mails senden | E-Mails senden und weiterleiten (nur bei aktivierter Schreibaktion) | |
Mail.Send.Shared * | Aus gemeinsamen Postfächern senden | Senden und Weiterleiten aus freigegebenen Postfächern (nur bei aktivierter Schreibaktion) | |
Mail.ReadWrite | E-Mails verschieben | E-Mails in andere Ordner verschieben (nur bei aktivierter Schreibaktion) | |
Mail.ReadWrite.Shared * | In gemeinsamen Postfächern verschieben | E-Mails in freigegebenen Postfächern verschieben (nur bei aktivierter Schreibaktion) | |
| Outlook Calendar | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Calendars.Read | Kalender lesen | Termine und Ereignisse anzeigen | |
| Power BI | offline_access | Token-Aktualisierung | s.o. |
Report.Read.All | Berichte lesen | Power BI-Berichte abrufen | |
Dashboard.Read.All | Dashboards lesen | Power BI-Dashboards anzeigen | |
Workspace.Read.All | Workspaces lesen | Arbeitsbereiche auflisten | |
Dataset.Read.All | Datasets lesen | Datenquellen und DAX-Abfragen | |
| Microsoft Dataverse | offline_access | Token-Aktualisierung | s.o. |
user_impersonation ** | Dynamics 365 / Dataverse | Dataverse-Umgebungen, Tabellen und Datensätze abfragen (nur Lesen) | |
| Teams Meeting Transkripte | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Calendars.Read | Kalender lesen | Meetings im Kalender finden | |
OnlineMeetings.Read | Online-Meetings lesen | Meeting-IDs auflösen | |
OnlineMeetingTranscript.Read.All | Transkripte lesen | Transkript-Inhalte abrufen | |
| Microsoft Planner | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos (auch für Selbstzuweisung) | |
Tasks.Read | Aufgaben lesen | Pläne, Buckets und Aufgaben anzeigen | |
Tasks.ReadWrite | Aufgaben lesen/schreiben | Aufgaben erstellen, aktualisieren, abschließen und dir selbst zuweisen |
Microsoft Planner fordert ausschließlich nutzerbezogene Berechtigungen für die eigenen Aufgaben an — keine verzeichnisweiten Rechte. Je nach Consent-Richtlinie deiner Organisation muss ein Administrator die Integration ggf. einmalig freigeben. Details siehe Microsoft Planner.
Schreibende Berechtigungen fordern nur Microsoft 365 Excel und Microsoft Planner sowie — jeweils optional und nur bei aktivierter Schreibaktion — Outlook Mail (Senden, Weiterleiten und Verschieben von E-Mails) und Microsoft Teams (Senden von Nachrichten) an. Alle übrigen hier aufgeführten Berechtigungen sind ausschließlich lesend. Microsoft Dataverse nutzt zwar einen technisch lese- und schreibfähigen Microsoft-Scope (siehe **), wird in symbiofy aber strikt nur lesend eingesetzt — es werden keine Daten in Dataverse verändert, erstellt oder gelöscht.
* Die mit
.Sharedmarkierte Berechtigung wird benötigt, um auf gemeinsame Postfächer (Shared Mailboxes) zuzugreifen.
** Microsoft bietet für Dataverse nur eine einzige delegierte Berechtigung an, die in der Zustimmung als „Access Dynamics 365 as organization users” (Dynamics CRM
user_impersonation) erscheint. Sie ist auf Microsoft-Seite technisch lese- und schreibfähig; symbiofy nutzt sie ausschließlich für lesende Abfragen. Zusätzlich werden nur die von einem Administrator freigegebenen Dataverse-Umgebungen abgefragt, und es werden ausschließlich EU/EWR-Umgebungen unterstützt. Welche konkreten Daten ein Nutzer sieht, richtet sich weiterhin nach seiner Dataverse-Sicherheitsrolle. Details siehe Microsoft Dataverse.
Welcher Weg ist der richtige?
Stell dir zuerst eine Frage:
Sind die Person, die symbiofy konfiguriert (symbiofy-Administrator), und der Microsoft-/Entra-Administrator dieselbe Person?
In vielen Organisationen ist das nicht der Fall: Häufig betreut ein IT-Dienstleister symbiofy (symbiofy-Administrator), während die organisationsweite Microsoft-Zustimmung nur ein interner Entra-Administrator erteilen darf. Je nach Antwort passt ein anderer Weg:
- Dieselbe Person -> Weg A: direkt in symbiofy verbinden und dabei für die Organisation zustimmen. Geringste Berechtigungen.
- Getrennte Rollen, Berechtigungen so klein wie möglich -> Weg B: Genehmigungs-Workflow in Entra. Geringste Berechtigungen, ohne dass der Entra-Administrator einen symbiofy-Zugang braucht.
- Getrennte Rollen, möglichst einfach -> Weg C: app-weite Zustimmung durch den Entra-Administrator. Am einfachsten, gewährt aber die Berechtigungen aller Integrationen auf einmal.
Weg A — Verbinden direkt in symbiofy
Empfohlen, wenn dieselbe Person symbiofy konfiguriert und Microsoft-/Entra-Administrator ist. Geringste Berechtigungen.
So stimmst du genau einer Integration zu — und nur dieser:
- Aktiviere die gewünschte Integration in symbiofy unter Administration > Integrationen (siehe Integrationen).
- Klicke bei der Integration auf Verbinden und melde dich mit deinem Microsoft-Administrator-Konto an.
- Weil symbiofy nur die Berechtigungen dieser Integration anfordert, zeigt der Microsoft-Zustimmungsbildschirm auch nur diese Berechtigungen an — zusammen mit dem Kontrollkästchen „Im Namen Ihrer Organisation zustimmen”.
- Setze dieses Häkchen und bestätige. Damit gilt die Zustimmung für diese Integration organisationsweit.
Danach können alle weiteren Nutzer ihren Microsoft-Account ohne erneute Berechtigungsabfrage verbinden. Deine Organisation stimmt auf diesem Weg immer nur dem zu, was sie tatsächlich aktiviert — aktivierst du später eine weitere Integration, durchläufst du den Schritt einmalig erneut.
Weg B — Genehmigungs-Workflow in Entra
Empfohlen bei getrennten Rollen, wenn die Berechtigungen so klein wie möglich bleiben sollen.
Hier stellt die symbiofy-Seite die Anfrage, der Entra-Administrator genehmigt sie separat — ohne selbst einen symbiofy-Zugang zu benötigen:
- Der symbiofy-Administrator aktiviert die Integration und klickt auf Verbinden.
- Microsoft zeigt die Meldung „Genehmigung durch Administrator erforderlich” an. Der symbiofy-Administrator kann hier eine Begründung eingeben und die Anfrage absenden.
- Die Anfrage landet im Microsoft Entra Admin Center unter Administratorzustimmungsanforderungen (Admin consent requests).
- Ein Entra-Administrator öffnet die Anfrage und genehmigt genau die angeforderten Berechtigungen — also nur die dieser Integration.
So bleibt die Zustimmung auf die tatsächlich genutzte Integration beschränkt, und der Entra-Administrator muss kein symbiofy-Konto haben.
Voraussetzung: Der Genehmigungs-Workflow muss in Entra aktiviert sein. Ist er deaktiviert, erscheint die Anfrage nicht im Admin Center — in diesem Fall eignet sich Weg A oder Weg C. Den Workflow aktiviert ein Entra-Administrator im Microsoft Entra Admin Center unter Identität > Anwendungen > Unternehmensanwendungen > Administratorzustimmungseinstellungen.
Weg C — App-weite Zustimmung durch den Entra-Administrator
Am einfachsten bei getrennten Rollen. Der Entra-Administrator kann die Zustimmung eigenständig und ohne symbiofy-Konto erteilen — ein einziges Mal für die gesamte Organisation.
Wichtig zur Transparenz: Auf diesem Weg wird den Berechtigungen aller Microsoft-Integrationen auf einmal zugestimmt — auch denen von Integrationen, die deine Organisation vielleicht gar nicht nutzt, und einschließlich technisch lese- und schreibfähiger Berechtigungen (z. B. nutzt symbiofy für Microsoft Dataverse einen Microsoft-Scope, der technisch lese- und schreibfähig ist, dort aber strikt nur lesend eingesetzt wird — siehe Hinweise unten). Empfehlenswert ist dieser Weg, wenn deine Organisation die meisten oder alle Microsoft-Integrationen nutzen möchte oder eine einmalige Freigabe bevorzugt.
Es gibt zwei Varianten der app-weiten Zustimmung.
Variante 1: Über das Microsoft Entra Admin Center
- Melde dich im Azure Portal mit einem Administrator-Konto an
- Navigiere zu Azure Active Directory (bzw. Microsoft Entra ID)
- Wähle Unternehmensanwendungen (Enterprise Applications) in der linken Navigation
- Suche nach der symbiofy-App in der Liste der Anwendungen
- Klicke auf die symbiofy-App und navigiere zu Berechtigungen (Permissions)
- Klicke auf Administratorzustimmung erteilen (Grant admin consent)
- Bestätige die angeforderten Berechtigungen im Dialog
Variante 2: Über die Admin-Consent-URL
Alternativ kann der Entra-Administrator die Zustimmung direkt über eine URL erteilen:
https://login.microsoftonline.com/DEINE_TENANT_ID/adminconsent?client_id=532529df-03f7-4d79-9689-db13a0459f57Ersetze die Platzhalter durch deine tatsächlichen Werte:
DEINE_TENANT_ID— Die Verzeichnis-(Tenant-)ID deiner Organisation (zu finden unter Azure AD > Übersicht)532529df-03f7-4d79-9689-db13a0459f57— Die Application (Client) ID der symbiofy-App
Öffne die URL in deinem Browser, melde dich mit einem Administrator-Konto an und bestätige die angeforderten Berechtigungen.
Nach der Admin-Zustimmung
Sobald die Admin-Zustimmung erteilt wurde:
- Administrator aktiviert die Integration — Ein Administrator schaltet die gewünschten Microsoft-Integrationen in symbiofy unter Administration > Integrationen frei (siehe Integrationen) und legt bei Bedarf fest, welche Aktionen für wen erlaubt sind (siehe Integration-Berechtigungen)
- Nutzer verbindet seinen Account — Jeder Nutzer kann nun seinen Microsoft-Account unter Einstellungen > Integrationen verbinden. Es wird nur noch die Kontoauswahl angezeigt — keine zusätzliche Berechtigungsabfrage.
Fehlerbehebung
”Genehmigung durch Administrator erforderlich”
Diese Meldung ist nicht zwingend ein Fehler: Bei getrennten Rollen ist sie der erwartete Einstieg in den Genehmigungs-Workflow (siehe Weg B). Soll die Berechtigung dagegen bereits organisationsweit zugestimmt sein und erscheint die Meldung trotzdem:
- Die Admin-Zustimmung wurde noch nicht erteilt oder nicht vollständig abgeschlossen
- Stelle sicher, dass die Zustimmung mit einem Konto erteilt wurde, das über die Rolle Globaler Administrator oder Cloudanwendungsadministrator verfügt
- Prüfe im Azure Portal unter Unternehmensanwendungen > symbiofy > Berechtigungen, ob die Zustimmung korrekt hinterlegt ist
Verbindung schlägt fehl
Falls die Verbindung trotz Admin-Zustimmung nicht funktioniert:
- Prüfe, ob die richtige Tenant-ID und App-ID verwendet wurden
- Stelle sicher, dass die Redirect-URI in der Azure-App-Registrierung korrekt konfiguriert ist
- Warte einige Minuten — die Zustimmung kann bis zu 5 Minuten für die Aktivierung benötigen
- Versuche die Verbindung erneut oder bitte den Nutzer, den Browser-Cache zu leeren
Berechtigungen wurden widerrufen
Falls ein Administrator die Zustimmung im Azure Portal widerrufen hat, müssen alle Nutzer ihre Microsoft-Integrationen in symbiofy neu verbinden. Der Administrator muss die Zustimmung erneut erteilen.
Tipps
- Vorab mit IT abstimmen — Kläre mit deinem IT-Team, ob organisationsweite Richtlinien die Admin-Zustimmung einschränken
- Minimale Berechtigungen — symbiofy fordert nur die Berechtigungen an, die für die jeweilige Integration notwendig sind. Alle Zugriffe sind lesend, sofern nicht anders angegeben
- Regelmäßig prüfen — Überprüfe im Azure Portal gelegentlich, ob die erteilten Berechtigungen noch aktuell und gewünscht sind