Email Voraussetzungen für eine Microsoft 365 OAuth 2.0-Verbindung

Einführung

Auf dieser Seite werden die Voraussetzungen für die Nutzung des Email Konnektors dokumentiert mit einer Microsoft 365 OAuth 2.0-Verbindung unter Verwendung von Resource Owner Password Credential (ROPC) Authentifizierung.

Eine Microsoft 365 Business Standard-Lizenz ist bei der Authentifizierung mit Microsoft 365 OAuth 2.0 erforderlich.

Für alle erforderlichen Aufgaben müssen Sie sich beim Azure-Portal anmelden mit einem Azure-Konto mit aktivierten Administratorberechtigungen Exchange Administrator. Exchange Administrator ist erforderlich, um das Exo2 Powershell-Modul herunterzuladen erforderlich in Verbinden Sie die App-Registrierung mit Exchange Online. Der Benutzername und das Passwort dieses Kontos werden auch in Zugriffstoken für ROPC-Authentifizierung abrufen verwendet.

Für einige Aufgaben sind außerdem Windows PowerShell und curl, Postman oder ein ähnliches Tool zum Senden von POST-Anfragen.

Erstellen einer App-Registrierung

Befolgen Sie diese Schritte, um eine App-Registrierung zu erstellen mit der Microsoft Identity Platform:

1. Suchen Sie im Azure Portal nach Microsoft Entra ID (früher bekannt als Azure Active Directory oder Azure AD) und klicken Sie darauf:

   

2. Klicken Sie in der linken Seitenleiste unter Verwalten auf App-Registrierungen.

3. Klicken Sie auf Neue Registrierung:

   

4. Geben Sie einen Namen für Ihre App ein. Dieser Anzeigename ist für Benutzer sichtbar:

   

5. Klicken Sie auf Registrieren, um die App-Registrierung abzuschließen. Sie werden dann auf die Übersichtsseite der App weitergeleitet:

   

   Wichtig

   Behalten Sie die Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) der App-Registrierung bei, um sie als client_id Und tenant_id in App-Registrierung überprüfen und Zugriffstoken für die ROPC-Authentifizierung erhalten.

6. Klicken Sie auf Zertifikat oder Geheimnis hinzufügen.

7. Klicken Sie auf der Tab Client-Geheimnisse auf Neues Client-Geheimnis, um den Bereich Client-Geheimnis hinzufügen zu öffnen. Geben Sie in diesem Bereich eine Beschreibung ein und wählen Sie ein Ablaufdatum für das Client-Geheimnis aus. Klicken Sie anschließend auf Hinzufügen:

   

8. Das Client-Geheimnis ist nun auf der Tab Client-Geheimnisse sichtbar. Behalten Sie den Wert des Client-Geheimnisses bei, um ihn als client_secret in Zugriffstoken für ROPC-Authentifizierung erhalten.

   

Erforderliche Berechtigungen zur App-Registrierung hinzufügen

So verwenden Sie den Email Connector mit einer Microsoft 365 OAuth 2.0-Verbindung muss Ihre App-Registrierung über diese Berechtigungen verfügen:

• Office 365 Exchange Online-Anwendungsberechtigungen
• Microsoft Graph-Anwendungsberechtigungen
• Delegierte Berechtigungen von Microsoft Graph

Navigieren Sie im Azure-Portal zu Ihrer App-Registrierung und klicken Sie in der linken Seitenleiste auf API Berechtigungen:

Office 365 Exchange Online-Anwendungsberechtigungen

Um Office 365 Exchange Online-Anwendungsberechtigungen hinzuzufügen, führen Sie diese Schritte aus:

1. Klicken Sie auf der Seite API Berechtigungen auf Berechtigung hinzufügen.

2. Klicken Sie im Bereich API Berechtigungen anfordern auf die Tab Von meiner Organisation verwendete APIs, suchen Sie nach Office 365 Exchange Online und klicken Sie darauf:

   

3. Klicken Sie auf Anwendungsberechtigungen.

4. Aktivieren Sie für POP-Zugriff die Berechtigung POP.AccessAsApp. Aktivieren Sie für IMAP-Zugriff die Berechtigung IMAP.AccessAsApp.

5. Klicken Sie auf Berechtigungen hinzufügen. Die Seite Konfigurierte Berechtigungen der aktualisierten App-Registrierung wird angezeigt.

Microsoft Graph-Anwendungsberechtigungen

Um Microsoft Graph-Anwendungsberechtigungen hinzuzufügen, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf der Seite API Berechtigungen auf Berechtigung hinzufügen.

2. Klicken Sie im Bereich API Berechtigungen anfordern auf die Tab Von meiner Organisation verwendete APIs, suchen Sie nach Microsoft Graph und klicken Sie darauf:

   

3. Klicken Sie auf Anwendungsberechtigungen.

4. Aktivieren Sie die Berechtigungen Mail.Send und User.Read.All.

5. Klicken Sie auf Berechtigungen hinzufügen. Die Seite Konfigurierte Berechtigungen der aktualisierten App-Registrierung wird angezeigt.

Delegierte Berechtigungen für Microsoft Graph

Um delegierte Microsoft Graph-Berechtigungen hinzuzufügen, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf der Seite API Berechtigungen auf Berechtigung hinzufügen.

2. Klicken Sie im Bereich API Berechtigungen anfordern auf die Tab Von meiner Organisation verwendete APIs, suchen Sie nach Microsoft Graph und klicken Sie darauf:

   

3. Klicken Sie auf Delegierte Berechtigungen.

4. Aktivieren Sie diese Berechtigungen abhängig von der zu verwendenden Email Aktivität:

   Aktivität	Erforderliche Berechtigungen
   Read Email	offline_access, IMAP.AccessAsUser.All und User.Read
   Send Email	offline_access und SMTP.Send

5. Klicken Sie auf Berechtigungen hinzufügen. Die Seite Konfigurierte Berechtigungen der aktualisierten App-Registrierung wird angezeigt. Ihre App-Registrierung verfügt jetzt über die erforderlichen Berechtigungen.

Verbinden Sie die App-Registrierung mit dem Online-Austausch

Um die App-Registrierung mit Exchange Online zu verbinden, führen Sie die folgenden Schritte aus:

1. Laden Sie das EXO2 PowerShell-Modul herunter und installieren Sie es indem Sie zum Classic Exchange Admin Center gehen. Klicken Sie auf Hybrid und dann auf Exchange PowerShell-Modul konfigurieren.

   Wichtig

   Wenn Sie das EXO2 PowerShell-Modul nicht herunterladen und installieren können, können Sie die Exchange-Verbindung nicht herstellen.

2. Starten Sie Windows PowerShell und führen Sie Folgendes aus:

   Install-Module-Name ExchangeOnlineManagement -allowprerelease
   Install-Module Microsoft.Graph -allowprerelease
   Install-Module-Name AzureAD
   Install-module AzureADPreview-Verbose
   import-module AzureADPreview
   import-module ExchangeOnlineManagement
   

3. Ausführen Connect-AzureAD und geben Sie Ihre Anmeldeinformationen ein.

4. Ausführen Connect-ExchangeOnline und geben Sie Ihre Anmeldeinformationen ein.

5. Rufen Sie die Dienstprinzipalinformationen der registrierten App ab und speichern Sie sie in einer Variablen, indem Sie Folgendes ausführen:

   $MyApp = Get-AzureADServicePrincipal-SearchString <Registered application name>
   $MyApp | fl
   

6. Verwenden Sie die gespeicherten Dienstprinzipalinformationen, um die Verbindung herzustellen:

   New-ServicePrincipal-AppId $MyApp.AppId-ServiceId $MyApp.ObjectId-DisplayName "Service Principal for IMAP APP"
   Add-MailboxPermission-Identity <Administrator email address> -User $MyApp.ObjectId-AccessRights FullAccess
   

Überprüfen der App-Registrierung

Um die App-Registrierung zu bestätigen, gehen Sie folgendermaßen vor:

1. Senden Sie eine POST-Anfrage an https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/devicecode Wo <client_id> Und <tenant_id> werden durch die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant-ID) ersetzt, die Sie beim Erstellen Ihrer App-Registrierung gespeichert haben:

   curl --location --request POST 'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/devicecode' \
   --header 'Content-Type: application/x-www-form-urlencoded' \
   --data-urlencode 'client_id=<client_id>' \
   --data-urlencode 'scope=https://outlook.office.com/SMTP.Send https://outlook.office.com/IMAP.AccessAsUser.All'
   

   Hinweis

   Wenn Sie nur die Berechtigungen offline_access und SMTP.Send aktiviert haben legen Sie den scope Zu https://outlook.office365.com/.default.

   Bei Erfolg enthält die Antwort einen Autorisierungscode.

2. Navigieren Sie zu https://login.microsoftonline.com/common/oauth2/deviceauth in Ihrem Browser und geben Sie den Autorisierungscode ein. Die App-Registrierung ist nun verifiziert und Sie können kostenlos Zugriffstoken erhalten.

Erhalten Sie Zugriffstoken für die ROPC-Authentifizierung

Nach Abschluss der vorherigen Schritte können mithilfe einer POST-Anfrage Token für die ROPC-Authentifizierung generiert werden:

curl --location --request POST 'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=<client_id>' \
--data-urlencode 'scope=https://outlook.office.com/IMAP.AccessAsUser.All' \
--data-urlencode 'client_secret=<client_secret>' \
--data-urlencode 'username=<account_username>' \
--data-urlencode 'password=<account_password>' \
--data-urlencode 'grant_type=password'

• <client_id> Und <tenant_id> werden durch die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant-ID) ersetzt, die Sie beim Erstellen Ihrer App-Registrierung gespeichert haben.
• <client_secret> wird durch das Client-Geheimnis ersetzt, das Sie beim Erstellen Ihrer App-Registrierung gespeichert haben.
• <account_username> Und <account_password> werden durch Ihre Azure-Anmeldeinformationen für die ROPC-Authentifizierung ersetzt.

Bei Erfolg enthält die Antwort eine access_token zur ROPC-Authentifizierung.