Automatic Email Processor - Online-Hilfe
Umfassende Dokumentation aller Funktionen und Einstellungen

50.2 Microsoft 365 (Graph) einrichten

50.2.1 Übersicht

Für Postfächer, die mit Microsoft 365 (früher Office 365, Exchange Online) betrieben werden, nutzt das Programm die Microsoft Graph API statt klassischem IMAP. Das hat mehrere Vorteile: keine App-Passwörter nötig, OAuth-Anmeldung mit Zwei-Faktor-Authentifizierung, moderne Berechtigungs-Steuerung über Azure AD und vollen Zugriff auf Microsoft-365-spezifische Funktionen wie Kategorien, Markierungen und Shared Mailboxes.

50.2.2 Erforderliche Eingaben

Im Konto-Editor (Kontotyp: Microsoft 365) konfigurieren Sie:

Feld Beschreibung
Anzeigename Frei wählbarer Name
E-Mail-Adresse Die Microsoft-365-Adresse, die später überwacht werden soll
Postfach-Adresse (optional) Adresse eines Shared Mailbox, falls statt des persönlichen Postfachs ein gemeinsam genutztes Postfach verwendet wird (siehe Kapitel 50.2.6)

Anschließend klicken Sie auf Bei Microsoft anmelden - der OAuth-Flow startet.

50.2.3 OAuth-Anmeldung

Beim Klick auf Bei Microsoft anmelden öffnet sich ein Browser-Fenster mit der Microsoft-Anmeldemaske. Dort:

  1. Anmeldedaten eingeben (E-Mail-Adresse + Passwort + ggf. Zwei-Faktor-Code)
  2. Berechtigungs-Anfrage bestätigen - beim ersten Anmelden fragt Microsoft, ob die App auf das Postfach zugreifen darf (siehe Kapitel 50.2.4)
  3. Nach erfolgreicher Anmeldung schließt sich der Browser automatisch und der OAuth-Status im Konto-Editor wechselt auf „Angemeldet”

Das Programm speichert kein Passwort - stattdessen wird ein Refresh-Token lokal abgelegt, mit dem das Programm später eigenständig neue Zugriffs-Token bezieht. Der Token-Speicher liegt im AppData-Verzeichnis des Windows-Benutzers und ist verschlüsselt.

50.2.4 Berechtigungen

Beim ersten Anmelden verlangt das Programm folgende Berechtigungen:

Scope Wofür
Mail.ReadWrite E-Mails lesen, verschieben, kopieren, löschen, markieren, Kategorien setzen
Mail.Send E-Mails senden (für Aufgaben Weiterleiten, Antworten, Lesebestätigung senden)
User.Read Anzeigename und E-Mail-Adresse des angemeldeten Benutzers lesen
MailboxSettings.Read Master-Kategorien des Postfachs lesen (für Auto-Vervollständigung beim Setzen von Kategorien)

In Unternehmen mit zentral administrierten Azure-AD-Tenants kann es sein, dass diese Berechtigungen vorab durch einen Administrator-Consent freigegeben werden müssen - fragen Sie im Zweifel die IT-Abteilung.

50.2.5 Token-Cache und Refresh

Der Token-Cache liegt unter:

%LOCALAPPDATA%\AutomaticEmailProcessor\GraphTokenCache\

Er wird vom Programm verwaltet - kein manueller Eingriff nötig. Bei Token-Ablauf erfolgt ein automatischer Refresh im Hintergrund. Nur wenn der Refresh-Token selbst ungültig wird (z.B. Passwort geändert, 90 Tage Inaktivität, Account-Sperre), erscheint im Konto-Editor wieder „Anmeldung erforderlich” und Sie müssen erneut auf Bei Microsoft anmelden klicken.

50.2.6 Shared Mailbox (gemeinsames Postfach)

Ein Shared Mailbox ist ein Microsoft-365-Postfach, das mehrere Benutzer nutzen - typisch info@firma.de oder support@firma.de. Niemand meldet sich direkt an dem Shared Mailbox an; stattdessen erteilen Administratoren bestimmten Mitarbeitern die Berechtigung, das Postfach zu öffnen.

Im Programm konfigurieren Sie das so:

  1. E-Mail-Adresse: Ihre persönliche Microsoft-365-Adresse (über die Sie sich anmelden)
  2. Postfach-Adresse: Adresse des Shared Mailbox (z.B. info@firma.de)
  3. Bei Microsoft anmelden klicken - Anmeldung mit Ihrem persönlichen Account

Das Programm wird sich anschließend mit Ihrem Token authentifizieren, aber auf das Shared Mailbox zugreifen (Impersonation). Voraussetzung: Ihr Account hat im Azure-AD die Berechtigung, das Shared Mailbox zu lesen und zu schreiben.

50.2.7 Anmeldedaten entfernen

Im Konto-Editor steht eine Schaltfläche Anmeldedaten entfernen. Sie löscht den Refresh-Token aus dem Cache. Das Konto bleibt im Programm angelegt, beim nächsten Verbindungs-Versuch wird allerdings eine neue Anmeldung verlangt.

Sinnvoll bei Verdacht auf Token-Probleme oder beim Wechsel des angemeldeten Microsoft-Accounts.

50.2.8 Anwendungsfall

Zentrales Service-Postfach (Shared Mailbox)

Anzeigename: „Eingangsrechnungen”. E-Mail-Adresse: max.mustermann@firma.de (Anmeldekonto). Postfach-Adresse: rechnungen@firma.de (überwachtes Konto). Anmeldung mit max.mustermann@firma.de - der Zugriff erfolgt anschließend auf den Shared Mailbox.

50.2.9 Tipps

  • Bei zentral verwalteten Azure-AD-Tenants kann Administrator-Consent notwendig sein. Wenn die Anmeldung mit „Berechtigung verweigert” scheitert, kontaktieren Sie die IT
  • Im Service-Modus läuft die Anmeldung mit dem Token-Cache des Service-Benutzers - testen Sie die OAuth-Anmeldung idealerweise einmal interaktiv unter dem späteren Service-Account
IMAP-Konto einrichten POP3-Konto einrichten