Skip to main content

MS Graph OAuth2

Um die Outlook-Synchronisation mit OAuth2-Authentifizierung zu konfigurieren ist die Registrierung der Anwendung im Azure-Portal notwendig.

Dazu rufen Sie bitte die Seite https://portal.azure.com auf, melden sich mit Ihren bzw. den Daten Ihres Unternehmens an u. klicken oben links auf den Button «Menü»

Klicken Sie nun auf Registerkarte «Azure Active Directory» (1), danach in der Gruppe «Verwalten» auf «App-Registrierungen» (2) u. auf den Button «Neue Registrierung» (3)

Nach Klick auf «Neue Registrierung» können Sie nun einen Namen für die Anwendung vergeben (1). Ausserdem muss die Option «nur Konten in diesem Organisationsverzeichnis» angewählt werden (2)

Nach der Registrierung werden ID’s im Register «Übersicht» generiert und Ihnen angezeigt. Die Anwendungs-ID sowie die Verzeichnis ID sind später zu hinterlegen.

Nun muss noch ein «geheimer Schlüssel» generiert werden. Dazu klicken Sie bitte in der Gruppe «Verwalten» auf die Registerkarte «Zertifikate & Geheimnisse» (1). Nach Klick auf «Neuer geheimer Clientschlüssel» (2) öffnet sich ein Fenster, in dem Sie sowohl die Beschreibung (3) eingeben, als auch die Option «Gültig bis» mit «Nie» (4) anwählen müssen/sollten. Dies bedeutet, dass der «geheime Clientschlüssel» nie abläuft. Mit Klick auf «Hinzufügen» (5) schliessen Sie die Eingabe ab und der «geheime Clientschlüssel» wird generiert

ACHTUNG: der Wert des «geheime Clientschlüssels» kann im Nachhinein nicht mehr eingesehen werden. Aus diesem Grund ist das Kopieren in eine Zwischenablage und/oder sichere Verwahren notwendig.

Die Eingabe, z.B. in einer Outlook-Synch.-Definition, der zuvor generierten IDs erfolgt wie folgt:

Anwendungs ID: eindeutiger Schlüssel der Anwendung (Client ID) im Azure Portal

Verzeichnis ID: eindeutiger Schlüssel des Verzeichnis (Tenant) im Azure Portal

Geheimer Key: geheimer Clientschlüssel (Secret Key)

Zur Berechtigungsvergabe in Azure klicken Sie nun in der Gruppe «Verwalten» auf Registerkarte «API-Berechtigungen» und danach auf die Schaltfläche «Berechtigung hinzufügen» (1). Suchen Sie hier nun die API «Microsoft Graph» (2) und wählen diese aus.

Als «Berechtigungsart» wählen Sie bitte «Anwendungsberechtigung» (1) aus.

Für die Outlook-Synchronisation werden im Einzelnen die Berechtigungen «Calendars.ReadWrite», «Contacts.ReadWrite» u. «User.Read» benötigt. Wählen Sie bitte diese drei Berechtigungen aus und bestätigen Sie Ihre Auswahl mit dem Button «Berechtigungen hinzufügen»

HINWEIS: Werden über MS Graph auch eMails versendet (z.B. als Fehler-Mail), so muss zusätzlich noch die Berechtigung für "Mail.Send" hinzugefügt werden.

Abschliessend muss nun noch über die Schaltfläche «Administratorzustimmung für …» die entsprechende Zustimmung erteilt werden, womit die Einrichtung der OAuth2-Authentifizierung abgeschlossen ist.