Admin-Zustimmung für Microsoft-Integrationen
Bevor dein Team Microsoft-Integrationen in symbiofy nutzen kann, muss ein Microsoft 365- bzw. Azure AD-Administrator eine organisationsweite Zustimmung (Admin Consent) erteilen. Ohne diese Zustimmung können Nutzer ihre Microsoft-Accounts nicht mit symbiofy verbinden.
Warum ist die Admin-Zustimmung nötig?
Microsoft verlangt für bestimmte Berechtigungen (z. B. Zugriff auf SharePoint, Teams-Nachrichten oder Outlook-Kalender) eine organisationsweite Freigabe durch einen Administrator. Erst nach dieser Freigabe können einzelne Nutzer ihre Accounts verbinden.
Die symbiofy-App benötigt folgende Berechtigungen, je nach aktivierter Integration:
| Integration | Berechtigungen |
|---|---|
| Microsoft 365 | Zugriff auf SharePoint-Seiten und OneDrive-Dateien |
| Microsoft 365 Excel | Lesen und Bearbeiten von Excel-Dateien |
| Microsoft Teams | Lesen von Kanalnachrichten und Direktnachrichten |
| Outlook Mail | Lesen und Durchsuchen von E-Mails |
| Outlook Calendar | Lesen von Kalenderterminen |
| Power BI | Zugriff auf Workspaces und Datasets |
| Teams Meeting Transkripte | Lesen von Kalender, Online-Meetings und Transkripten |
Detaillierte Berechtigungen (OAuth Scopes)
Die folgende Tabelle zeigt alle Berechtigungen, die symbiofy pro Microsoft-Integration anfordert. Alle Berechtigungen sind delegiert (Nutzerkontext) — symbiofy greift nur im Namen des angemeldeten Nutzers auf Daten zu.
| Integration | Berechtigung | Beschreibung | Zweck |
|---|---|---|---|
| Microsoft 365 | offline_access | Token-Aktualisierung | Verbindung bleibt aktiv ohne erneute Anmeldung |
Files.Read.All | Dateien lesen | Zugriff auf OneDrive- und SharePoint-Dokumente | |
Sites.Read.All | SharePoint-Seiten lesen | Durchsuchen von SharePoint-Inhalten | |
| Microsoft 365 Excel | offline_access | Token-Aktualisierung | s.o. |
Files.ReadWrite.All | Dateien lesen/schreiben | Excel-Dateien lesen und bearbeiten | |
Sites.ReadWrite.All | SharePoint lesen/schreiben | Excel-Dateien in SharePoint bearbeiten | |
| Microsoft Teams | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Team.ReadBasic.All | Teams lesen | Liste der Teams anzeigen | |
Channel.ReadBasic.All | Kanäle lesen | Liste der Kanäle anzeigen | |
ChannelMessage.Read.All | Kanalnachrichten lesen | Nachrichten in Teams-Kanälen abrufen | |
Chat.Read | Chats lesen | Direktnachrichten und Gruppenchats anzeigen | |
ChatMessage.Read | Chat-Nachrichten lesen | Nachrichten aus Chats abrufen | |
| Outlook Mail | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Mail.Read | E-Mails lesen | Postfach durchsuchen und lesen | |
Mail.Read.Shared * | Gemeinsame Postfächer | Zugriff auf freigegebene Postfächer (Shared Mailboxes) | |
| Outlook Calendar | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Calendars.Read | Kalender lesen | Termine und Ereignisse anzeigen | |
| Power BI | offline_access | Token-Aktualisierung | s.o. |
Report.Read.All | Berichte lesen | Power BI-Berichte abrufen | |
Dashboard.Read.All | Dashboards lesen | Power BI-Dashboards anzeigen | |
Workspace.Read.All | Workspaces lesen | Arbeitsbereiche auflisten | |
Dataset.Read.All | Datasets lesen | Datenquellen und DAX-Abfragen | |
| Teams Meeting Transkripte | offline_access | Token-Aktualisierung | s.o. |
User.Read | Benutzerprofil lesen | Identifikation des Kontos | |
Calendars.Read | Kalender lesen | Meetings im Kalender finden | |
OnlineMeetings.Read | Online-Meetings lesen | Meeting-IDs auflösen | |
OnlineMeetingTranscript.Read.All | Transkripte lesen | Transkript-Inhalte abrufen |
Mit Ausnahme von Microsoft 365 Excel sind alle Berechtigungen ausschließlich lesend. symbiofy kann keine Daten verändern, löschen oder versenden.
*
Mail.Read.Sharedwird als zusätzliche Berechtigung nur angefordert, wenn du auf ein gemeinsames Postfach (Shared Mailbox) zugreifst. Die Basisberechtigung wird bei der ersten Verbindung erteilt.
Admin-Zustimmung erteilen
Es gibt zwei Wege, die Admin-Zustimmung zu erteilen.
Option 1: Über das Azure Portal
- Melde dich im Azure Portal mit einem Administrator-Konto an
- Navigiere zu Azure Active Directory (bzw. Microsoft Entra ID)
- Wähle Unternehmensanwendungen (Enterprise Applications) in der linken Navigation
- Suche nach der symbiofy-App in der Liste der Anwendungen
- Klicke auf die symbiofy-App und navigiere zu Berechtigungen (Permissions)
- Klicke auf Administratorzustimmung erteilen (Grant admin consent)
- Bestätige die angeforderten Berechtigungen im Dialog
Option 2: Über die Admin Consent URL
Alternativ kannst du die Zustimmung direkt über eine URL erteilen:
https://login.microsoftonline.com/DEINE_TENANT_ID/adminconsent?client_id=532529df-03f7-4d79-9689-db13a0459f57Ersetze die Platzhalter durch deine tatsächlichen Werte:
- DEINE_TENANT_ID — Die Azure AD Tenant-ID deiner Organisation (zu finden unter Azure AD > Übersicht)
- 532529df-03f7-4d79-9689-db13a0459f57 — Die Application (Client) ID der symbiofy-App
Öffne die URL in deinem Browser, melde dich mit einem Administrator-Konto an und bestätige die angeforderten Berechtigungen.
Nach der Admin-Zustimmung
Sobald die Admin-Zustimmung erteilt wurde:
- Administrator aktiviert die Integration — Ein Administrator schaltet die gewünschten Microsoft-Integrationen in symbiofy unter Administration > Integrationen frei (siehe Integrationen)
- Nutzer verbindet seinen Account — Jeder Nutzer kann nun seinen Microsoft-Account unter Einstellungen > Integrationen verbinden. Es wird nur noch die Kontoauswahl angezeigt — keine zusätzliche Berechtigungsabfrage.
Fehlerbehebung
”Genehmigung durch Administrator erforderlich”
Wenn Nutzer beim Verbinden die Meldung erhalten, dass eine Administrator-Genehmigung erforderlich ist:
- Die Admin-Zustimmung wurde noch nicht erteilt oder nicht vollständig abgeschlossen
- Stelle sicher, dass die Zustimmung mit einem Konto erteilt wurde, das über die Rolle Globaler Administrator oder Cloudanwendungsadministrator verfügt
- Prüfe im Azure Portal unter Unternehmensanwendungen > symbiofy > Berechtigungen, ob die Zustimmung korrekt hinterlegt ist
Verbindung schlägt fehl
Falls die Verbindung trotz Admin-Zustimmung nicht funktioniert:
- Prüfe, ob die richtige Tenant-ID und App-ID verwendet wurden
- Stelle sicher, dass die Redirect-URI in der Azure-App-Registrierung korrekt konfiguriert ist
- Warte einige Minuten — die Zustimmung kann bis zu 5 Minuten für die Aktivierung benötigen
- Versuche die Verbindung erneut oder bitte den Nutzer, den Browser-Cache zu leeren
Berechtigungen wurden widerrufen
Falls ein Administrator die Zustimmung im Azure Portal widerrufen hat, müssen alle Nutzer ihre Microsoft-Integrationen in symbiofy neu verbinden. Der Administrator muss die Zustimmung erneut erteilen.
Tipps
- Vorab mit IT abstimmen — Kläre mit deinem IT-Team, ob organisationsweite Richtlinien die Admin-Zustimmung einschränken
- Minimale Berechtigungen — symbiofy fordert nur die Berechtigungen an, die für die jeweilige Integration notwendig sind. Alle Zugriffe sind lesend, sofern nicht anders angegeben
- Regelmäßig prüfen — Überprüfe im Azure Portal gelegentlich, ob die erteilten Berechtigungen noch aktuell und gewünscht sind