Zurück zur Übersicht
Integrationen

Microsoft 365 verbinden — Schritt für Schritt

Was ein Agent mit Microsoft 365 kann

Sobald M365 verbunden ist, kann ein Taabit-Agent über die Graph API:

  • E-Mails lesen, suchen, beantworten und senden — auch mit Anhang
  • Kalender-Termine lesen, anlegen, verschieben, absagen
  • OneDrive Dateien suchen, lesen, hochladen
  • Teams Chats lesen und Nachrichten senden
  • Planner Tasks erstellen und Status setzen
  • Verzeichnis-Suche Mitarbeitende und Verteiler finden

Beispiel: „Schreib der Familie Bachmann eine Bestätigung für den Umzugstermin am Freitag, hänge die Offerte aus OneDrive an" — der Agent zieht den Kontakt aus dem Adressbuch, sucht die Offerten-PDF auf OneDrive und versendet die Mail mit Anhang.

Zwei Wege M365 zu verbinden

Taabit unterstützt zwei Setup-Pfade:

PfadWann passendSchwierigkeit
**Per-User OAuth** (Einstellungen → Verbindungen)Einzelner Mitarbeitender connected sein eigenes M365-KontoSehr einfach — 30 Sekunden
**App Registration** (Einstellungen → Integrationen)Tenant-weiter Service-Zugriff (z.B. zentrales Postfach pollen)Admin-Rechte in Azure AD nötig

Für die meisten KMU-Anwendungsfälle reicht Per-User OAuth — fang damit an.

Pfad 1: Per-User OAuth (empfohlen)

Voraussetzung: Du hast ein Microsoft-365-Konto.

  • Öffne Einstellungen → Verbindungen in Taabit.
  • Suche Microsoft 365 in der Liste und klicke Verbinden.
  • Du wirst zu Microsoft weitergeleitet — melde dich mit deinem M365-Konto an.
  • Erteile die angeforderten Berechtigungen (Mail, Kalender, OneDrive, Teams).
  • Du kommst automatisch zurück zu Taabit. Die Verbindung ist sofort aktiv.

Damit kann der Agent in deinem Namen auf Mail, Kalender und OneDrive zugreifen. Die Berechtigung ist an dein Konto gebunden — andere Mitarbeitende verbinden ihr eigenes Konto separat.

Pfad 2: App Registration (für Admins)

Wenn du tenant-weiten Zugriff brauchst (z.B. ein zentrales `info@firma.ch`-Postfach das automatisch beantwortet werden soll), brauchst du eine App Registration in Azure AD.

App in Azure AD anlegen

  • Öffne portal.azure.com und gehe zu Microsoft Entra ID → App registrations.
  • Klicke New registration.
  • Konfiguriere:

- Name: z.B. „Taabit Service Agent"

- Supported account types: Single tenant

- Redirect URI: kannst du leer lassen (Client-Credentials-Flow)

  • Nach der Erstellung notiere:

- Application (client) ID — entspricht „Client ID" in Taabit

- Directory (tenant) ID — entspricht „Tenant ID" in Taabit

  • Gehe zu Certificates & secrets → New client secret:

- Beschreibung: „Taabit"

- Ablauf: 24 Monate (max)

- Klicke Add, dann den Value sofort kopieren — wird nur einmal angezeigt.

Permissions setzen

  • Gehe zu API permissions → Add a permission → Microsoft Graph → Application permissions.
  • Wähle die nötigen Scopes — typisch:

- `Mail.ReadWrite` + `Mail.Send` — für Mailbox-Zugriff

- `Calendars.ReadWrite` — für Termine

- `User.Read.All` — für Verzeichnis-Suche

- `Files.ReadWrite.All` — für OneDrive/SharePoint

  • Wichtig: Nach dem Hinzufügen klicke Grant admin consent for [tenant] — sonst greift nichts.

In Taabit hinterlegen

  • Öffne Einstellungen → Integrationen in Taabit.
  • Wähle Microsoft 365.
  • Fülle aus:

- Tenant ID — die Directory (tenant) ID aus Azure

- Client ID — die Application (client) ID

- Client Secret — der kopierte Secret-Value

  • Speichern. Taabit fordert sofort einen Test-Token an.

Für ein zentrales Postfach (Mailbox-Scoping)

Standardmässig kann der Service mit `Mail.ReadWrite` ALLE Postfächer im Tenant lesen. Das willst du meist nicht. Schränke ein über Application Access Policy in Exchange Online:

```powershell

Connect-ExchangeOnline

New-ApplicationAccessPolicy -AppId -PolicyScopeGroupId info@firma.ch \

-AccessRight RestrictAccess -Description "Taabit only on info mailbox"

```

Damit darf der App-Service nur auf `info@firma.ch` zugreifen.

Agent Zugriff geben

  • Öffne Agenten → [dein Agent] → Zugriff.
  • Aktiviere Microsoft 365 in der Tool-Liste.
  • (Empfohlen) Über die Scope-Einstellung kannst du erlaubte Bereiche einschränken (nur Mail, nur Kalender, etc.).

Häufige Stolperfallen

  • „AADSTS70011: invalid_scope" — der angeforderte Scope ist nicht in der App-Registration freigegeben. Permissions-Seite prüfen + admin consent erneuern.
  • „401 Unauthorized" trotz korrekter Daten — beim App Registration-Flow: hast du Grant admin consent geklickt? Ohne das funktionieren Application Permissions nicht.
  • Mail kommt nicht an — Exchange-Antispam erkennt Mails von App Registrations als verdächtig. Stelle sicher dass das Service-Konto eine echte Mailbox-Lizenz hat (oder benutze ein Shared Mailbox mit zugewiesener App Permission).
  • Refresh-Token läuft ab (Per-User OAuth) — passiert bei langen Inaktivitäts-Perioden. Lösung: User reconnected einfach, oder du erhöhst „Sign-in frequency" in Conditional Access.

Datenschutz / Compliance

Per-User-OAuth-Tokens werden mit AES-256 in Taabit verschlüsselt und sind an deinen Tenant gebunden. Bei Disconnect werden sie sofort gelöscht. Bei App Registration: das Client Secret bleibt verschlüsselt; rotiere es jährlich indem du in Azure ein neues Secret erstellst und in Taabit einträgst.

Nächste Schritte

Für ein typisches KMU empfehlen wir die Vorlage „M365 Triage-Assistent" unter Agenten → Vorlagen-Bibliothek als Startpunkt — sie liest Mails, priorisiert und entwirft Antworten.

Noch Fragen?

Unser Chat-Agent hilft dir sofort weiter. Oder schreib uns eine E-Mail.

Kontaktformular