M365 Schritt-für-Schritt-Anleitung

Allgemein

venabo nutzt für die Kommunikation mit Microsoft 365 die Microsoft-Graph-API. Führen Sie die nachfolgenden Schritte aus, um die Integration einzurichten.

💡 Voraussetzung: Sie benötigen Administratorzugriff auf das Azure Admin Center Ihrer Organisation.

Schritt 1 – App-Registrierung anlegen

Melden Sie sich im Azure Admin Center an.
Navigieren Sie zu App-Registrierungen und wählen Sie Neue Registrierung.

App-Registrierung - Neue Registrierung anlegen

Vergeben Sie einen aussagekräftigen Namen für die Anwendung.
Stellen Sie sicher, dass die Option „Nur Konten in diesem Organisationsverzeichnis…“ ausgewählt ist.
Bestätigen Sie die Registrierung mit Registrieren.

App-Registrierung - Name und Kontotyp festlegen

Schritt 2 – API-Berechtigungen vergeben

Öffnen Sie die soeben angelegte App-Registrierung und wählen Sie den Menüpunkt API-Berechtigungen. Klicken Sie auf Berechtigung hinzufügen und wählen Sie Microsoft Graph.

venabo benötigt zwei Typen von Berechtigungen: Anwendungsberechtigungen und Delegierte Berechtigungen.

Anwendungsberechtigungen

Berechtigung	Beschreibung
Calendars.ReadWrite	Kalender lesen und schreiben
CallRecords.Read.All	Anrufaufzeichnungen lesen
Group.Read.All	Gruppen lesen
User.Read.All	Benutzerprofile lesen
CrossTenantInformation.ReadBasic.All	Mandantenübergreifende Basisinformationen lesen

Delegierte Berechtigungen

Berechtigung	Beschreibung
ChannelMessage.Read.All	Kanalnachrichten lesen
ChannelMessage.Send	Kanalnachrichten senden
Chat.Create	Chats erstellen
Chat.ReadWrite	Chats lesen und schreiben
ChatMessage.Read	Chatnachrichten lesen
ChatMessage.Send	Chatnachrichten senden
GroupMember.Read.All	Gruppenmitglieder lesen
IMAP.AccessAsUser.All	IMAP-Zugriff als Benutzer
offline_access	Offline-Zugriff ermöglichen
SMTP.Send	E-Mails per SMTP senden

Schritt 3 – Administratorzustimmung erteilen

Die vergebenen Berechtigungen müssen in zwei Bereichen bestätigt werden.

Administratorzustimmung in der App-Registrierung

Öffnen Sie die App-Registrierung und wechseln Sie zu API-Berechtigungen.
Klicken Sie auf „Administratorzustimmung für [Ihr Unternehmen] erteilen“.
Bestätigen Sie den Dialog.

Administratorzustimmung in der Unternehmensanwendung

Klicken Sie im unteren Bereich der API-Berechtigungen auf den Link „Unternehmensanwendungen“.
Klicken Sie erneut auf „Administratorzustimmung für [Ihr Unternehmen] erteilen“.
Melden Sie sich als Administrator an und bestätigen Sie den Dialog mit Akzeptieren.

Schritt 4 – Web-Authentifizierung konfigurieren

Öffnen Sie die App-Registrierung im Azure Admin Center.
Wählen Sie den Menüpunkt Authentifizierung.
Klicken Sie auf „Plattform hinzufügen“ und wählen Sie Web.

Tragen Sie die folgenden URLs ein – ersetzen Sie dabei IHRSERVER durch die Adresse Ihres venabo-Servers:

Feld	URL
Umleitungs-URI (primär)	https://IHRSERVER.venabo.cloud/microsoft_sso
URL für Front-Channel-Abmeldung	https://IHRSERVER.venabo.cloud/logout

Aktivieren Sie beide Token-Optionen:
–Zugriffstoken (werden für implizite Flows verwendet)
–ID-Token (werden für implizite und Hybridflows verwendet)

Ergänzen Sie die Umleitungs-URIs um die folgenden weiteren Einträge:

Umleitungs-URI
https://IHRSERVER.venabo.cloud/oauth/azure_system_user
https://IHRSERVER.venabo.cloud/oauth/azure_process_user
https://IHRSERVER.venabo.cloud/oauth/azure_ticket_user
https://IHRSERVER.venabo.cloud/oauth/azure_smtp_user
https://IHRSERVER.venabo.cloud/oauth/azure_hr_process_user

Schritt 5 – Zertifikate und Geheimnisse

Öffnen Sie die App-Registrierung und wählen Sie Zertifikate & Geheimnisse.
Klicken Sie auf Neuer geheimer Clientschlüssel.

Zertifikate und Geheimnisse - neuen Schlüssel anlegen

Vergeben Sie einen beliebigen Namen und wählen Sie eine Gültigkeit von 24 Monaten.
Klicken Sie auf Hinzufügen.

⚠️ Achtung: Der Schlüssel wird Ihnen nur einmal angezeigt. Kopieren Sie den Wert aus dem Feld „Wert“ sofort nach der Anlage. Wenn Sie den Schlüssel nicht kopiert haben, müssen Sie diesen Schritt wiederholen.

Schritt 6 – Einrichtung in venabo

Client Secret und Client-ID hinterlegen

Öffnen Sie in venabo unter Verwaltung die Systemkonfiguration.
Wechseln Sie zum Reiter Microsoft 365.
Fügen Sie den kopierten Schlüssel in das Feld „Client Secret“ ein.

venabo Systemkonfiguration - Client Secret

Wechseln Sie im Azure Admin Center zur App-Registrierung und öffnen Sie Übersicht.
Kopieren Sie die Anwendungs-ID (Client-ID).

Fügen Sie die Client-ID in venabo in das Feld „Client ID“ ein.

Endpunkte hinterlegen

Die benötigten Endpunkte finden Sie in der App-Registrierung unter Endpunkte. Kopieren Sie jeden Endpunkt und tragen Sie ihn an der entsprechenden Stelle in der venabo-Systemkonfiguration ein.

Feld in venabo	Endpunkt in Microsoft Azure
Token-Endpunkt	OAuth 2.0 Token-Endpunkt (v2)
Authentifizierungsendpunkt	OAuth 2.0 Autorisierungsendpunkt (v2)
OpenID-Endpunkt	OpenID Connect-Metadatendokument

Endpunkte in der venabo Systemkonfiguration

Schritt 7 – E-Mail-Postfach verbinden

Öffnen Sie in venabo unter Verwaltung die Systemkonfiguration.
Wechseln Sie zum Reiter E-Mail und/oder Ticket.
Aktivieren Sie die Option „Office 365 Auth“.
Klicken Sie auf Speichern.
Klicken Sie auf den angezeigten Link und melden Sie sich mit dem Benutzer an, dem das Postfach gehört.
Wiederholen Sie diesen Schritt für den Reiter Ticket, falls erforderlich.

💡 Hinweis: Der Azure-Benutzer für das Postfach kann erst nach dem erstmaligen Speichern der Option hinterlegt werden.

Schritt 8 – Teams und Kalenderabgleich einrichten

Öffnen Sie in venabo unter Verwaltung die Systemkonfiguration.
Wechseln Sie zum Reiter Microsoft 365.
Klicken Sie auf „Azure Systembenutzer festlegen“ und melden Sie sich mit dem gewünschten Benutzer an.

✅ Hinweis: Die Systemkonfiguration ist damit abgeschlossen. Detailinformationen zu den einzelnen Funktionen finden Sie in den weiterführenden Artikeln dieser Dokumentation.

Benutzersynchronisierung

Nach abgeschlossener Konfiguration synchronisiert venabo die Benutzer automatisch aus Azure. Die synchronisierten Benutzer finden Sie unter Schnittstelle → Microsoft M365 Benutzer.

💡 Voraussetzungen für den Kalenderabgleich: Damit der Abgleich reibungslos funktioniert, müssen zwei Bedingungen erfüllt sein:
1. Verknüpfung mit Microsoft 365: Der Microsoft 365-Benutzer muss mit dem entsprechenden venabo-Mitarbeiter verknüpft werden.
2. Kalenderhinterlegung: Es muss ein Kalender hinterlegt werden, in den die Daten exportiert werden sollen.
Ohne diese beiden Schritte ist ein Export von Terminen in den Mitarbeiterkalender nicht möglich.

Berechtigungen und Sonderfälle

Azure AD Connect

Wenn Sie Azure AD Connect zur Synchronisation einsetzen, können Anmeldungen fehlschlagen, sofern Active Directory Federation Services (ADFS) und Web Application Proxy (WAP) abweichend konfiguriert sind.

In diesem Fall benötigen Sie zusätzliche API-Berechtigungen für Microsoft Graph (Tasks.Read, Tasks.ReadWrite) sowie weitere ADFS- und Azure-Konfigurationen. Wenden Sie sich in diesem Fall an Ihren Administrator oder den venabo-Support.

Praxisbeispiel

Szenario: Ein Unternehmen möchte venabo mit Microsoft 365 verbinden, um Teams-Nachrichten aus venabo zu senden, Kalendertermine abzugleichen und E-Mails über ein Office-365-Postfach zu verarbeiten.

Schritt	Aktion	Ergebnis
1	App-Registrierung „venabo-Prod“ im Azure Admin Center anlegen	App steht für die API-Verbindung bereit
2	Alle 15 Berechtigungen (5 Anwendung + 10 Delegiert) hinzufügen	Alle benötigten Funktionen sind freigeschaltet
3	Administratorzustimmung in App-Registrierung und Unternehmensanwendung erteilen	Berechtigungen sind für alle Benutzer gültig
4	Umleitungs-URIs für „meinserver.venabo.cloud“ eintragen	OAuth-Login funktioniert korrekt
5	Client Secret kopieren und in venabo unter Systemkonfiguration eintragen	venabo kann sich gegenüber Azure authentifizieren
6	Postfach-Benutzer über „Office 365 Auth“ verknüpfen	E-Mail-Empfang und -Versand über M365 aktiv
7	Azure Systembenutzer festlegen und Kalender hinterlegen	Teams und Kalenderabgleich vollständig eingerichtet

Häufige Fragen

Was passiert, wenn ich den geheimen Clientschlüssel nicht sofort kopiere?

Azure zeigt den Schlüssel nur unmittelbar nach der Anlage an. Verlassen Sie die Seite ohne den Schlüssel zu kopieren, ist er nicht mehr einsehbar. Sie müssen in diesem Fall einen neuen geheimen Clientschlüssel anlegen und den alten löschen.

Warum kann ich den Azure-Benutzer für das Postfach nicht hinterlegen?

Der Link zum Hinterlegen des Azure-Benutzers erscheint erst, nachdem Sie die Option „Office 365 Auth“ aktiviert und gespeichert haben. Stellen Sie sicher, dass Sie nach dem Aktivieren zuerst auf Speichern klicken.

Termine werden nicht in den Kalender des Mitarbeiters exportiert – was kann ich tun?

Prüfen Sie, ob zwei Voraussetzungen erfüllt sind: Erstens muss der Microsoft 365-Benutzer mit dem entsprechenden venabo-Mitarbeiter verknüpft sein. Zweitens muss für diesen Mitarbeiter ein Kalender hinterlegt sein, in den die Termine exportiert werden sollen.

Kann ich dieselbe App-Registrierung für mehrere venabo-Instanzen nutzen?

Das ist grundsätzlich möglich, wenn Sie alle Umleitungs-URIs der jeweiligen Server in der App-Registrierung hinterlegen. Beachten Sie jedoch, dass Sie für jede Instanz die Server-Adresse in den URIs anpassen müssen.

Zusammenfassung

Konfigurationsschritt	Wo?	Wichtiger Hinweis
App-Registrierung anlegen	Azure Admin Center	Nur Organisationskonten zulassen
API-Berechtigungen vergeben	Azure Admin Center	5 Anwendungs- + 10 delegierte Berechtigungen
Administratorzustimmung erteilen	App-Registrierung + Unternehmensanwendung	In beiden Bereichen erforderlich
Web-Authentifizierung konfigurieren	Azure Admin Center	6 Umleitungs-URIs + Token-Optionen aktivieren
Client Secret anlegen	Azure Admin Center	Schlüssel sofort kopieren!
Secret, Client-ID und Endpunkte eintragen	venabo Systemkonfiguration → Microsoft 365	Werte aus Azure-Übersicht entnehmen
E-Mail-Postfach verknüpfen	venabo Systemkonfiguration → E-Mail / Ticket	Erst nach Speichern von „Office 365 Auth“ möglich
Azure Systembenutzer + Kalender hinterlegen	venabo Systemkonfiguration → Microsoft 365	Pflicht für Teams und Kalenderabgleich