Zum Hauptinhalt springen

Microsoft 365 Outlook — IT-Einrichtung (delegierter Mailzugriff)

Diese Anleitung beschreibt die Registrierung einer Anwendung in Microsoft Entra ID (Azure AD), damit Higent mit delegierten Berechtigungen auf Microsoft Graph zugreifen kann im Namen angemeldeter Benutzer (E-Mails versenden wie der Benutzer, E-Mails lesen/schreiben, soweit der Einsatz es erfordert).

Delegiert bedeutet: Jeder Benutzer (oder Postfachinhaber) durchläuft einmal Microsoft-Anmeldung und Zustimmung.

Was eingerichtet wird

KomponenteZweck
App-RegistrierungIdentifiziert Higents OAuth-Client gegenüber Microsoft.
Delegierte Graph-BerechtigungenDer angemeldete Benutzer erlaubt Mail-Aktionen, die Higent in seiner Identität ausführt.
Redirect-URIZiel nach der Anmeldung bei Microsoft (muss exakt zur Higent-Callback-URL passen).
ClientgeheimnisWird serverseitig für den Tokenaustausch verwendet.

Teil 1 — Azure / Entra: App-Registrierung

1.1 App-Registrierung anlegen

  1. Anmeldung im Microsoft Entra Admin Center (oder im Azure-Portal — App-Registrierungen).
  2. App-RegistrierungenNeue Registrierung.
  3. Anzeigenamen wählen (z. B. higent).
  4. Kontotypen
  • Ein Mandant (für die meisten Unternehmen sinnvoll): Nur Konten in diesem Organisationsverzeichnis.
  1. Assistenten abschließen.

Neue App-Registrierung in Microsoft Entra: Name und unterstützte Kontotypen

1.2 Kennungen notieren

Auf der Seite Übersicht der App kopieren:

  • Anwendungs-ID (Client) → Higent-Feld: client ID
  • Verzeichnis-ID (Mandant) → Higent-Feld: tenant ID (bei Single-Tenant diese GUID verwenden, nicht common)

App-Übersicht mit Anwendungs-ID (Client) und Verzeichnis-ID (Mandant)

1.3 Authentifizierung — Redirect-URI

Diese Web-Redirect-URI genau verwenden (Pfad ist produktfest):

https://app.higent.ai/api/integration/outlook/callback

In Entra: App-Registrierung → Authentifizierung → Plattformkonfigurationen → Plattform hinzufügen → Web → obige URL eintragen.
Konfiguration speichern.

Authentifizierung: Web-Plattform mit Redirect-URI für Outlook

Wichtig: Die Redirect-URI in Entra muss zeichengenau mit dieser URL übereinstimmen. Abweichungen führen nach der Microsoft-Anmeldung zu Fehlern.

Optional: Implizite Gewährung und Hybridflows — Standard beibehalten, sofern die Mandantenrichtlinie nichts anderes verlangt; Higent nutzt das Authorization-Code-Muster.

1.4 API-Berechtigungen — Microsoft Graph (delegiert)

API-Berechtigungen → Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen.

Mindestens folgende Einträge (an Higents Standard-Scopes für Mail-Tools angelehnt):

BerechtigungGrund
Mail.SendE-Mail als angemeldeter Benutzer senden.
Mail.ReadWrite(Optional) Postfach lesen/aktualisieren (breitere Outlook-Automation in Higent, nicht nur „Senden“).
offline_accessRefresh Token, damit Higent neue Zugriffstoken ohne wiederholte Nutzerabfrage erhält.
openidOpenID Connect-Anmeldung.
profileBasisprofil für die Anmeldung.
emailE-Mail-Anspruch im Token (Anmeldung / Identifikation).
User.ReadAnmeldung und Lesen des Benutzerprofils über Microsoft Graph (häufig in Entra neben OIDC-Berechtigungen eingetragen).

Anschließend Administratorzustimmung für Ihre Organisation erteilen, falls Richtlinien eine vorab genehmigte Admin-Zustimmung verlangen.

API-Berechtigungen: Microsoft Graph, delegiert, mit Admin-Zustimmung

Bei bewusst reduzierten Berechtigungen (z. B. nur Senden) mit dem Support abstimmen—einige Funktionen setzen Mail.ReadWrite voraus.

1.5 Clientgeheimnis

  1. Zertifikate & GeheimnisseNeues Clientgeheimnis.
  2. Ablauf nach Sicherheitsrichtlinie; Wert sofort kopieren (wird nicht erneut angezeigt).
  3. Im Unternehmens-Secret-Store ablegen; einmalig in Higents organisationsweite Outlook-Konfiguration eintragen (Teil 2).

Zertifikate & Geheimnisse: neues Clientgeheimnis

Zertifikatbasierte Authentifizierung ist grundsätzlich möglich; die aktuelle Outlook-Integration in Higent ist auf Clientgeheimnis ausgelegt. Geheimnis nutzen, sofern keine zertifikatsbasierte Variante vereinbart wurde.

Teil 2 — Azure mit Higent verbinden (Organisationsdaten)

Higent trennt die Outlook-Konfiguration in:

  1. Organisationsweite App-Registrierungclient ID, client secret, tenant ID, optional delegatedScopes als Zeichenkette.
  2. Pro-Benutzer-Tokens — über den OAuth-Button Verbinden (Teil 3); Benutzer tragen keine Geheimnisse ein.

2.1 Wo die Daten eingetragen werden

  1. Einstellungen → Integrationen → Outlook öffnen.
  2. Sicherstellen, dass die Konfiguration für die Organisation gilt (keine reine Endbenutzer-Zeile): Die App-Registrierung gilt mandantenweit.
  3. Eintragen:
  • clientId — Anwendungs-ID (Client) aus Azure.
  • clientSecret — Wert des Clientgeheimnisses.
  • tenantId — Verzeichnis-ID (Mandant) bei Single-Tenant (empfohlen), oder common / organizations nur bei entsprechendem Multitenant-Setup in Entra.
  • delegatedScopes (optional) — durch Leerzeichen getrennt. Wenn leer, nutzt Higent den Standard, vergleichbar mit:
    offline_access openid profile email https://graph.microsoft.com/Mail.Send https://graph.microsoft.com/Mail.ReadWrite
    Wenn in Entra zusätzlich User.Read erteilt ist, dieselbe Liste um https://graph.microsoft.com/User.Read ergänzen, damit OAuth und App-Berechtigungen zusammenpassen.
  1. Konfiguration speichern.

Higent: Outlook-Integration — Organisationskonfiguration (Client-ID, Geheimnis, Mandanten-ID)

Nach dem Speichern ist die OAuth-Anwendung für die Organisation hinterlegt. Mailversand erfordert zusätzlich pro Benutzer Verbinden (Teil 3), damit Higent das Refresh Token dieses Benutzers erhält.

Teil 3 — Endbenutzer-OAuth (Anmeldung und Zustimmung)

Jeder Benutzer, der Outlook über Higent nutzen soll, muss Microsoft einmal autorisieren (erneut z. B. nach Widerruf oder Passwortänderung).

3.1 Typischer Ablauf

  1. Benutzer öffnet https://app.higent.ai/ktr-solutions/configuration.
  2. Klickt auf Integration hinzufügen (oder vergleichbar).
  3. Sucht Outlook.
  4. Klickt auf Verbinden (oder Erneut verbinden).

Higent: Outlook — Schaltfläche Verbinden / OAuth-Bereich

  1. Browser leitet zu login.microsoftonline.com für den Mandanten weiter.
  2. Anmeldung mit Microsoft-365-Arbeitskonto.

Microsoft-Anmeldeseite (Organisationskonto)

  1. Microsoft zeigt die Berechtigungen / Zustimmung mit den delegierten Rechten (z. B. Mail senden, lesen/schreiben).

Microsoft: angeforderte Berechtigungen für die App

  1. Rückkehr zu Higent mit Erfolgsanzeige; Verbinden kann als verbunden angezeigt werden.

Higent: Outlook nach erfolgreicher OAuth-Verbindung

3.2 Administrator- vs. Benutzerzustimmung

  • Wurde in Entra (Teil 1.4) die Administratorzustimmung erteilt, kann die Zustimmungsseite weiterhin erscheinen, aber typischerweise kein „Administratorgenehmigung erforderlich“ für die konfigurierten Rechte.
  • Conditional Access, IP-Beschränkungen oder Gerätecompliance gelten weiter für die Benutzeranmeldung.

Kurz-Checkliste

  • App-Registrierung angelegt (passender Kontotyp).
  • Web-Redirect-URI: https://app.higent.ai/api/integration/outlook/callback.
  • Delegierte Berechtigungen: Mail.Send, Mail.ReadWrite, offline_access, openid, profile, email, User.Read (nur nach Abstimmung ändern).
  • Administratorzustimmung in Entra.
  • Clientgeheimnis erzeugt und sicher dokumentiert.
  • Higent Outlook Organisation: clientId, clientSecret, tenantId gespeichert.
  • Jeder Postfachbenutzer führt Verbinden in Higent aus.