FI Finnish
SE Swedish
FR French
PL Polish
DE German
US English (US)

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

German
FI Finnish
SE Swedish
FR French
PL Polish
DE German
US English (US)
  • Log in
  • Home
  • Plattform
  • ESM
  • Weitere technische ESM-Dokumentation

Verwenden von OAuth2 mit O365

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Serviceverwaltung
    Matrix42 Professional Lösung Matrix42 Core Enterprise-Servicemanagement Matrix42 Intelligenz
  • Identitätsverwaltung und -administration ( IGA )
    IGA Übersicht IGA Lösungsbibliothek
  • Plattform
    ESM ESS2 ESS Efecte Chat für Service Management Efecte Integrationen Add-ons
  • Versionshinweise für M42 Core & Pro , IGA , Conversational AI
    2025.3 2025.2 2025.1 2024.2 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Veröffentlichungsinformationen und Richtlinien
  • Sonstiges Material
    Bedingungen und uid Erklärungen zur Barrierefreiheit
  • Leistungen
+ More

    • Serviceverwaltung

    • Identitätsverwaltung und -administration ( IGA )

    • Plattform

    • Versionshinweise für M42 Core & Pro , IGA , Conversational AI

    • Sonstiges Material

    • Leistungen

Verwenden von OAuth2 mit O365

Moderne Authentifizierung (OAuth2) als E-Mail-Authentifizierungsmethode mit O365 verwenden

Notiz:

O365 (Exchange Online) weist einige Einschränkungen bei E-Mails auf, die sich auf den Betrieb von ESM auswirken können, wenn sie nicht berücksichtigt werden.

  1. Mit OAuth2 können nur IMAP und SMTP verwendet werden.
  2. Authentifiziertes SMTP begrenzt ausgehende E-Mails auf 30 Nachrichten pro Minute / 10.000 Empfänger pro Tag ( https://docs.microsoft.com/en-us/exchange/troubleshoot/send-emails/smtp-submission-improvements )

Die in diesem Dokument beschriebene moderne Authentifizierung wird in ESM Version 2021.1 und neueren Versionen unterstützt.

Um die moderne Authentifizierung (OAuth2) anstelle der Basisauthentifizierung für die Protokolle SMTP und IMAP in ESM zu konfigurieren, müssen wir drei Schritte ausführen:

  1. ESM muss über das Microsoft Azure -Portal als genehmigte Anwendung im Azure Active Directory registriert werden.
  2. Der registrierten Anwendung muss Zugriff auf das für Efecte verwendete O365-Postfachkonto gewährt werden.
  3. Die ESM-Plattformeinstellungen müssen aktualisiert werden, um mit den Microsoft Azure -Einstellungen synchronisiert zu sein.

Es wird empfohlen, die Schritte 1 und 2 mit demselben O365-Konto auszuführen, von dem die E-Mails in ESM gelesen werden. Wenn dies nicht möglich ist, muss für die Anwendung ein Besitzer im Azure AD eingerichtet werden.

ESM als Anwendung in Microsoft Azure registrieren

Voraussetzungen

  • Ein Microsoft Azure -Konto mit einem aktiven Abonnement (das O365-E-Mail-Konto, das mit ESM verwendet werden soll).
  • Ein Azure Mandant ist verfügbar, unter dem Sie Ihre Anwendung registrieren.

Notiz:

Zu Testzwecken können Sie diese Anweisungen befolgen, um mit Ihrer O365-E-Mail-ID ein kostenloses Azure-Konto und einen Mandanten zu erstellen:
https://azure.microsoft.com/en-us/free
https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant

Registrieren einer Anwendung

Durch die Registrierung einer Anwendung wird die Vertrauensbeziehung zwischen ESM und der Microsoft Identity Platform hergestellt. Das Vertrauen mit der registrierten Anwendung ist unidirektional: Die Anwendung (ESM) vertraut der Microsoft Identity Platform und nicht umgekehrt. Das Vertrauen basiert auf der im Registrierungsprozess erstellten ID.

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:

  • Melden Sie sich beim Microsoft Entra -Portal ( https://entra.microsoft.com ) oder Azure -Portal ( https://portal.azure.com/ ) an.
  • Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie den Verzeichnis- und Abonnementfilter im oberen Menü, um den Mandanten auszuwählen, bei dem Sie eine Anwendung registrieren möchten.
  • Suchen Sie nach der Microsoft Entra ID (früher Azure Active Directory ) und wählen Sie sie aus.
  • Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
  • Geben Sie einen Namen für Ihre Anwendung ein. Benutzer Ihrer App sehen diesen Namen möglicherweise und Sie können ihn später ändern.
  • Geben Sie an, wer die Anwendung verwenden darf (manchmal auch als Anmeldezielgruppe bezeichnet). Wählen Sie für ESM die Option „Nur Konten in diesem Organisationsverzeichnis“ .
  • Geben Sie bei „Umleitungs-URI (optional)“ nichts ein.
  • Wählen Sie „Registrieren“, um die Erstregistrierung der App abzuschließen.

Nach Abschluss der Registrierung wird im Azure -Portal der Übersichtsbereich der App-Registrierung angezeigt, der auch die Anwendungs-ID (Client-ID) enthält. Dieser Wert, auch einfach als Client-ID bezeichnet, identifiziert Ihre Anwendung in der Microsoft Identity Platform eindeutig.

Fügen Sie Berechtigungen für den Zugriff auf das O365-Postfach hinzu

Um E-Mails mit OAuth vom O365-Postfach zu senden und zu empfangen, müssen wir API Berechtigungsbereiche für die ESM-Anwendung definieren, die wir zuvor beim Azure Active Directory registriert haben.

Delegierte Berechtigung für Microsoft Graph

Konfigurieren Sie die delegierte Berechtigung für Microsoft Graph, damit ESM Vorgänge im Namen der APP-Eigentümer ausführen kann, z. B. das Lesen oder Senden ihrer E-Mails.

  • Melden Sie sich beim Microsoft Entra -Portal ( https://entra.microsoft.com ) oder Azure -Portal ( https://portal.azure.com/ ) an.
  • Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie den Verzeichnis- und Abonnementfilter im oberen Menü, um den Mandanten auszuwählen, der Ihre zuvor registrierte ESM-Anwendung enthält.
  • Wählen Sie Azure Active Directory > App-Registrierungen und wählen Sie dann Ihre Clientanwendung aus (falls sie nicht in der Liste angezeigt wird, überprüfen Sie, ob auf der Seite Alle Anwendungen angezeigt wird).
  • Wählen Sie API Berechtigungen > Berechtigung hinzufügen > Microsoft Graph .
  • Wählen Sie Delegierte Berechtigungen aus. Microsoft Graph stellt viele Berechtigungen bereit. Die am häufigsten verwendeten werden oben in der Liste angezeigt.
  • Wählen Sie unter Berechtigungen auswählen die folgenden Berechtigungen aus:
    • IMAP.AccessAsUser.All – Lese- und Schreibzugriff auf Postfächer über IMAP.
    • SMTP.Send – Senden Sie E-Mails aus Postfächern mit SMTP AUTH.
    • openid – Benutzer anmelden.
    • User.Read – Anmelden und Benutzerprofil lesen.
    • offline_access – Behalten Sie den Zugriff auf die Daten, für die Sie ihm Zugriff gewährt haben.
  • Wählen Sie „Berechtigungen hinzufügen“ aus, um den Vorgang abzuschließen.

Als Administrator sollten Sie die Zustimmung auch im Namen aller ESM-Administratorbenutzer erteilen, damit diese beim Anmelden am Postfach nicht erneut dazu aufgefordert werden. Die Administratorzustimmung wird im nächsten Unterkapitel erläutert. Wenn Sie die Administratorzustimmung vorab definieren, müssen die Benutzer, die sich an den Postfächern anmelden, nicht separat um die Administratorzustimmung bitten.

ESM-Administratoren sollten sich wöchentlich bei den E-Mail-Konten anmelden, die in ESM eingelesen werden, um zu überprüfen, ob der Spam-Ordner tatsächlich Kunden-E-Mails enthält, und diese in den Ordner verschieben, aus dem die E-Mails in ESM abgerufen werden (normalerweise der Posteingangsordner).
Administratoren sollten außerdem prüfen, ob E-Mails nicht erfolgreich in ESM abgerufen werden können. Befinden sich große E-Mails im Posteingang, die nicht in ESM abgerufen werden können, sollten diese in einen anderen Ordner verschoben werden, um Fehler zu vermeiden.

Schaltfläche „Administratorzustimmung“

Mit der Schaltfläche „Administratorzustimmung für {Ihren Mandanten} erteilen“ kann ein Administrator die Administratorzustimmung für die für die Anwendung konfigurierten Berechtigungen erteilen. Wenn Sie die Schaltfläche auswählen, wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, die Zustimmungsaktion zu bestätigen.


Nach der Erteilung der Zustimmung werden die Berechtigungen, für die die Zustimmung des Administrators erforderlich war, als erteilt angezeigt:


Die Schaltfläche „Administratorzustimmung erteilen“ ist deaktiviert, wenn Sie kein Administrator sind oder keine Berechtigungen für die Anwendung konfiguriert wurden. Wenn Sie über erteilte, aber noch nicht konfigurierte Berechtigungen verfügen, werden Sie über die Schaltfläche „Administratorzustimmung“ aufgefordert, diese Berechtigungen zu verwalten. Sie können sie zu konfigurierten Berechtigungen hinzufügen oder entfernen.


Authentifizierungseinstellungen

Damit der ROPC-Autorisierungsfluss für die Anwendung ordnungsgemäß funktioniert und ESM die Authentifizierung durchführen und Zugriffstoken erhalten kann, müssen wir die Einstellung „Standard-Clienttyp“ (wie im Screenshot gezeigt) unter „Authentifizierung“ → „Erweiterte Einstellungen“ aktivieren.

Standardmäßig ist die Einstellung auf „Nein“ (vertraulicher Client) gesetzt. Durch die Aktualisierung auf „Ja“ wird der Standard-Clienttyp in einen öffentlichen Client umgewandelt. Dies ist ein sehr wichtiger Schritt. Andernfalls wird die folgende Fehlermeldung angezeigt:

- A AD STS7000218: The request body must contain the following parameter: client_assertion or client_secret when authenticating to Azure AD .

Wir haben nun den Prozess der Anwendungsregistrierung und -einrichtung abgeschlossen. Danach müssen wir nur noch die folgenden Plattformeinstellungen in ESM hinzufügen, um das obige Setup zu verwenden.

ESM-Plattformeinstellungen

Notiz:

Diese Einstellungen sind zusätzliche Einstellungen für die Basisauthentifizierung. Wenn E-Mails in der Umgebung bisher nicht verwendet wurden, sind zusätzliche Eigenschaften erforderlich

Um ESM für die Verwendung des OAuth2-Endpunkts einzurichten, den wir gerade im Azure -Portal für E-Mails erstellt haben, wechseln Sie bitte zur ESM-Admin-Ansicht und navigieren Sie zu Wartung > Systemeinstellungen > Plattformeinstellungen bearbeiten . Verwenden Sie das Filterfeld, um die folgenden E-Mail-Einstellungen einzeln zu finden und die folgenden Eigenschaften festzulegen:

mail.store.oauth.enabled = true
mail.transport.oauth.enabled = true
mail.oauth.authorize.endpoint = https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/authorize
mail.oauth.client.id = {clientId}
mail.oauth.scopes = https://outlook.office365.com/IMAP.AccessAsUser.All,https://outlook.office365.com/SMTP.Send

Die Client-ID und der Autorisierungsendpunkt finden Sie auf der Azure Active Directory Startseite für die Anwendung, die wir für ESM registriert haben. Informationen dazu, wie Sie diese erhalten, finden Sie weiter unten.



Bitte beachten Sie, dass Mailtasks die in ihren Eigenschaften konfigurierten Einstellungen verwenden. Falls Verbindungs- und Authentifizierungseinstellungen in den Mailtask-Eigenschaften definiert wurden (und nicht zentral in den Plattformeinstellungen für alle Mailtasks), setzen Sie die oben aufgeführten Einstellungen bitte direkt in den Mailtask-Eigenschaften für jeden Mailtask.

Verweise

https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app
https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-authentication-flows
https://blogs.aaddevsup.xyz/2020/09/whats-the-security-implication-of-changing-the-default-client-type-from-confidential-to-public-in-azure-ad/

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Unterstützte Funktionen in der neuen Agent Benutzeroberfläche
  • SCCM Anschlussbeschreibung
  • ESM-Konfigurationsbeschreibung

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand