Berechtigungen - Microsoft Graph API - delegated permissions

Berechtigungen - Microsoft Graph API - delegated permissions

Was bedeutet "delegated permissions“?

Delegierte Berechtigungen werden im Kontext des angemeldeten Benutzers ausgeführt. Das heißt:
Aktionen erfolgen nur mit den Rechten des Benutzers, nicht mit globalen App-Rechten.
Beispiel:
Ein Benutzer kann nur E-Mails aus seinem eigenen Postfach oder aus Postfächern versenden, für die er „Senden als“-Rechte hat.   
Es ist nicht möglich, E-Mails als beliebiger Benutzer zu versenden.

Wo wird das genutzt?

  1.  In clientseitigen Funktionen wie Modern Forms, List Actions, Automation Actions oder Funktionsplatzhaltern.
  2. API-Zugriffsanfragen können im SharePoint Admin Center → Erweitert → API-Zugriff genehmigt werden.
  3. Jede Zugriffsanfrage kann separat genehmigt werden, ist aber für den Betrieb von Teamsware Studio nicht zwingend erforderlich.

Beispielberechtigungen:

Sites.FullControl.All, Group.ReadWrite.All

Zweck:

Ermöglicht die automatisierte Erstellung, Konfiguration und Verwaltung von Projekten, SharePoint-Sites, Teams und Gruppen durch die Teamsware Plattform.

Warum?

Ohne diese Rechte könnte Teamsware keine neuen Strukturen anlegen, Vorlagen anwenden oder Mitglieder automatisiert hinzufügen. Sie sind essenziell für die Prü-fung ob die Projekte, SharePoint-Sites, Teams und Gruppen bereits bestehen.

Sicherheit:

  1. Die Vergabe erfolgt ausschließlich durch einen Global Admin des Kunden.
  2. Die Berechtigung wird immer gezielt für die jeweilige SharePoint Site Collection freigegeben, nicht global für den gesamten Tenant.
  3. Der Wirkungsbereich ist somit klar begrenzt.
  4. Alle Aktionen werden im Microsoft 365 Audit-Log protokolliert und sind je-derzeit nachvollziehbar.
  5. Die Rechte können vom Kunden jederzeit entzogen werden.

Mail.Send

Zweck:

Ermöglicht den automatisierten Versand von Systemnachrichten (z. B. Einladungen, Statusmeldungen) aus einem festgelegten Systempostfach.

Warum?

Diese Funktion wird benötigt, wenn Prozesse wie Benachrichtigungen oder Einladungen automatisiert und zuverlässig ablaufen sollen – z. B. bei der Projektan-lage oder Statusänderungen.

Sicherheit:

  1. Mail.Send ist optional und gehört nicht zur Standardinstallation.
  2. Die Freigabe erfolgt immer gezielt für die jeweilige Site Collection und nur auf ausdrücklichen Wunsch des Kunden.
  3. Der Versand ist technisch und organisatorisch abgesichert, alle E-Mails sind im Audit-Log nachvollziehbar.
  4. Es werden keine E-Mails im Namen beliebiger Benutzer oder ohne Frei-gabe versendet.

User.Invite.All

Zweck:

Ermöglicht die automatisierte Einladung externer Gäste in den Microsoft 365 Tenant des Kunden, z. B. für die Zusammenarbeit in Projekten.

Warum?

Diese Berechtigung wird benötigt, wenn externe Partner oder Projektbeteiligte gezielt und kontrolliert eingeladen werden sollen, ohne manuelle Einzelschritte.

Sicherheit:

  1. User.Invite.All ist optional und kein Bestandteil der Standardinstallation.
  2. Die Freigabe erfolgt immer gezielt für die jeweilige Site Collection und nur nach expliziter Genehmigung durch den Kunden.
  3. Jede Einladung ist im Audit-Log nachvollziehbar und kann jederzeit widerrufen werden.
  4. Gäste müssen den Registrierungsprozess durchlaufen und werden als externe Benutzer im Azure AD geführt.

    • Related Articles

    • 🏗️ Teamsware One Enterprise

      Die unternehmensweite CDE- und Projektplattform für Bau- und Projektorganisation Teamsware One Enterprise ist die umfassende Plattform für Unternehmen, die ihre Bau- und Projektorganisation zentral, skalierbar und prozessgetrieben steuern möchten. ...

    • 🏗️ Teamsware One

      Das erweiterte Projektportal für strukturierte Bau- und Projektorganisation Teamsware One erweitert die Digitale Bauakte um ein strukturiertes SharePoint‑Projektportal, zusätzliche Steuerungsmöglichkeiten und eine deutlich feinere Organisation von ...

    • Teamsware Planner Connector

      Teamsware Planner Connector API / Permission level Beschreibung Verwendet in Aktionen Tasks.ReadWrite.All Ermöglicht es der Anwendung, Aufgaben , Buckets usw. zu erstellen - Create and read planner tasks - Create and read planner details ...

    • 🏗️ Teamsware - Digitale Bauakte

      Die strukturierte Projekt- und Dokumentenablage in Microsoft Teams Die Digitale Bauakte ist die Basislösung für eine strukturierte, digitale Projektablage auf Basis von Microsoft Teams und SharePoint. Sie sorgt für Ordnung, klare Strukturen und eine ...

    • Vorlagenpaket in der Teamsware-Bauakte erstellen

      Ein Vorlagenpaket bündelt einzelne Vorlagen wie Microsoft Teams, SharePoint-Seiten oder Planner zu einem vollständigen Projektpaket. Es dient als Basis, um komplette Projekte mit Teamstruktur, Metadaten und Berechtigungen automatisiert anzulegen. ...