Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Entwickler
SharePoint Embedded-Inhalt erbt Berechtigungen von seiner Containerhierarchie. Sie können die Vererbung für beliebige Dateien oder Ordner nicht unterbrechen. Verwenden Sie additive Berechtigungen, um den Zugriff auf ein bestimmtes Laufwerkselement zu erweitern, ohne die Baseline-Containermitgliedschaft zu ändern.
Grundlegendes zu Containerrollen
Containerrollen bieten den geerbten Basiszugriff für einen Container. Diese Rollen sind in Containerberechtigungen definiert:
| Rolle | Zugriffszusammenfassung |
|---|---|
Reader |
Liest Containereigenschaften und -inhalte. |
Writer |
Verfügt über Lesezugriff sowie die Berechtigung zum Erstellen, Aktualisieren und Löschen von Inhalten sowie zum Aktualisieren anwendbarer Containereigenschaften. |
Manager |
Verfügt über Writer-Zugriff sowie die Berechtigung zum Verwalten der Containermitgliedschaft. |
Owner |
Verfügt über Manager-Zugriff sowie die Berechtigung zum Löschen von Containern. |
Ein Benutzer mit geerbtem Reader Zugriff kann zusätzlichen Bearbeitungszugriff auf ein Dokument erhalten. Durch das Entfernen dieser hinzugefügten Berechtigung wird die geerbte Containerrolle des Benutzers nicht entfernt.
Gewähren von additivem Zugriff
Gewähren Sie additiven Zugriff mit der Microsoft Graph-Laufwerkelement-Einladung. Legen Sie auf fest sendInvitationfalse. Nur-App-Berechtigungen werden für diesen Vorgang nicht unterstützt.
POST https://graph.microsoft.com/v1.0/drives/{drive-id}/items/{item-id}/invite
Content-Type: application/json
{
"recipients": [
{ "email": "user@contoso.com" }
],
"message": "",
"requireSignIn": true,
"sendInvitation": false,
"roles": ["write"]
}
Verwenden Sie roles: ["read"] für den Ansichtszugriff und roles: ["write"] für den Bearbeitungszugriff. Erteilen Sie dem Stammordner eines Containers keine zusätzlichen Berechtigungen. Fügen Sie den Benutzer stattdessen einer geeigneten Containerrolle hinzu.
Abrufen und Löschen von Berechtigungen
Listen Sie Berechtigungen auf, wenn Sie den direkten Freigabestatus für eine Datei oder einen Ordner anzeigen müssen.
GET https://graph.microsoft.com/v1.0/drives/{drive-id}/items/{item-id}/permissions
GET https://graph.microsoft.com/v1.0/drives/{drive-id}/items/{item-id}/permissions/{perm-id}
Löschen Sie nur die additive Berechtigung für das Laufwerkelement, dem sie ursprünglich hinzugefügt wurde.
DELETE https://graph.microsoft.com/v1.0/drives/{drive-id}/items/{item-id}/permissions/{perm-id}
Wenn der Benutzer nach dem Löschen weiterhin Zugriff hat, überprüfen Sie geerbte Containerrollen, Microsoft Entra Gruppen und andere zusätzliche Berechtigungen für übergeordnete Ordner.
Konfigurieren, wer freigeben darf
SharePoint Embedded unterstützt ein rollenbasiertes Freigabemodell für den Containertyp. Beim restriktiven Modell können nur Owner - und Manager -Member neue Berechtigungen zu Dateien hinzufügen. Mit dem offenen Modell können Containermitglieder und Gäste mit Bearbeitungsberechtigungen neue Dateiberechtigungen hinzufügen. Standardmäßig verwendet ein Containertyp das offene Modell.
Anwendungsbesitzerentwickler steuern diese Containertypeinstellung. Entwerfen Sie Ihre Benutzeroberfläche so, dass die Freigabeaktion deaktiviert oder ausgeblendet wird, wenn die Rolle des aktuellen Benutzers keine Berechtigungen hinzufügen kann. Informationen zur administrativen Konfiguration finden Sie unter Erstellen von Apps mit PowerShell.
Respektieren der Mandantenfreigaberichtlinie
Standardmäßig folgt die SharePoint Embedded-Anwendungsfreigabe der Freigabekonfiguration des Nutzens des Mandanten. Wenn der Mandant die Gastfreigabe deaktiviert, kann Ihre App keine Gäste zu Containerrollen hinzufügen oder zusätzliche Gastberechtigungen erteilen.
Ein SharePoint Embedded-Administrator, der den Mandanten nutzt, kann die Freigabe auf Anwendungsebene in Verwaltungstools konfigurieren.
Melden von Richtlinienfehlern in benutzerseitiger Sprache. Unterscheiden Sie den geerbten Containerzugriff vom direkten Elementzugriff in Berechtigungsbereichen, damit Benutzer verstehen, warum eine Person eine Datei trotzdem öffnen kann.
Verwalten der Mitgliedschaft über den verbrauchenden Mandanten
Benutzermandantenadministratoren können die Containermitgliedschaft direkt in Verwaltungstools verwalten. Diese Tools ergänzen die appgesteuerten Microsoft Graph-Berechtigungs-APIs und sind nützlich für administrative oder Break-Glass-Mitgliedschaftsänderungen.