Freigeben über

OAuth-Authentifizierung für High-Volume-E-Mails für Microsoft 365

Erfahren Sie, wie Sie die OAuth-Authentifizierung verwenden, um eine Verbindung mit SMTP-Protokollen herzustellen und auf E-Mail-Daten für Office 365-Benutzer zuzugreifen.

OAuth2-Unterstützung für SMTP-Protokolle wie unten beschrieben ist sowohl für Microsoft 365 (einschließlich Office im Web) als auch für Outlook.com Benutzer verfügbar.

Wenn Sie mit dem OAuth 2.0-Protokoll nicht vertraut sind, finden Sie weitere Informationen unter OAuth 2.0-Protokoll unter Microsoft Identity Platform-Übersicht. Weitere Informationen zu den Microsoft-Authentifizierungsbibliotheken (MSAL), die das OAuth 2.0-Protokoll implementieren, um Benutzer zu authentifizieren und auf sichere APIs zuzugreifen, finden Sie unter MSAL-Übersicht.

Registrieren der App

Um OAuth verwenden zu können, muss eine Anwendung bei Microsoft Entra registriert werden.

Befolgen Sie die Anweisungen unter Registrieren einer Anwendung bei der Microsoft Identity Platform-, um eine neue Anwendung zu erstellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen, und wählen Sie Neue Registrierungaus.

    Screenshot der neuen Registrierung.

  3. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Benutzern Ihrer Anwendung wird der Anzeigename möglicherweise angezeigt, wenn sie die App verwenden, z. B. während der Anmeldung. Sie können den Anzeigenamen jederzeit ändern, und mehrere App-Registrierungen können denselben Namen verwenden. Die automatisch generierte Anwendungs-ID (Client-ID) der App-Registrierung, nicht der Anzeigename, identifiziert Ihre App innerhalb der Identity Platform eindeutig.

    Screenshot der Registrierung einer Anwendung.

  4. Nach der Registrierung werden mehrere IDs erstellt, von denen einige später erforderlich sind, um ein OAuth 2.0-Token zu erhalten.

    Screenshot mehrere IDs.

API-Berechtigungen hinzufügen

  1. Wählen Sie im linken Menü API-Berechtigungen und dann Berechtigung hinzufügen aus.

    Screenshot der hveoauth-API-Berechtigungen.

  2. Navigieren Sie zu APIs, die meine Organisation verwendet, und suchen Sie nach Office 365 Exchange Online.

    Screenshot der APIs, die meine Organisation verwendet.

  3. Wählen Sie unter API-Berechtigungen anfordernAnwendungsberechtigungenaus, wählen Sie Mail.Sendund dann Berechtigungen hinzufügenaus.

  4. Nach dem Hinzufügen der API-Berechtigung muss der Administrator Administratoreinwilligung für auswählen und erteilen.

    Screenshot: Erteilen der Administratorzustimmung.

Wir unterstützen beides: Delegieren von Berechtigungen und Anwendungsberechtigungen, um OAuth-Legacyanwendungen von Drittanbietern zuzulassen, da diese Anwendungsberechtigungen mit App-Geheimnissen verwenden.

Stellvertretungsberechtigungen:

  1. Fügen Sie auf der Registerkarte API-Berechtigungen die Mail.Send-API-Berechtigung aus Office 365 Exchange Online\Delegierte Berechtigungen hinzu.
  2. Wählen Sie auf der Registerkarte API-Berechtigungen die Option Administratoreinwilligung erteilen aus.
  3. Aktivieren Sie auf der Registerkarte Authentifizierung die OptionÖffentliche Clientflows zulassen.
  4. Verwenden Sie die HVE-E-Mail-Benutzeranmeldedaten, um ein Token für die Zielgruppe https://outlook.office.com/.defaultanzufordern.

Anwendungsberechtigungen:

  1. Fügen Sie auf der RegisterkarteAPI-BerechtigungendieMail.Send-API-Berechtigung aus Office 365 Exchange Online\Anwendungsberechtigungen hinzu.
  2. Wählen Sie auf der Registerkarte API-Berechtigungen die Option Administratoreinwilligung erteilen aus.
  3. Fügen Sie auf der Registerkarte Zertifikat und Geheimnisse einen neuen geheimen Clientschlüssel hinzu.
  4. Verwenden Sie den geheimen Clientschlüssel, um ein Token für die Zielgruppe https://outlook.office.com/.defaultanzufordern.

HVE SMTP-Protokollaustausch

Um eine SMTP-Serververbindung zu authentifizieren, muss der Client mit einem AUTH Befehl im SASL XOAUTH2-Format antworten. SASL XOAUTH2 codiert den Benutzernamen und das Zugriffstoken im folgenden Format:

base64("user=" + userName + "^Aauth=Bearer " + accessToken + "^A^A")

^A stellt ein Steuerelement + A (%x01) dar.

Beispielsweise lautet das SASL XOAUTH2-Format für den Zugriff auf application@contoso.onmicrosoft.com mit Zugriffstoken EwBAAl3BAAUFFpUAo7J3Ve0bjLBWZWCclRC3EoAA wie folgt:

base64("user=application@contoso.onmicrosoft.com^Aauth=Bearer EwBAAl3BAAUFFpUAo7J3Ve0bjLBWZWCclRC3EoAA^A^A")

Beispiel für einen Client-Server-Nachrichtenaustausch, der zu einem erfolgreichen Authentifizierungserfolg führt:

[connection begins]

C: auth xoauth2

S: 334

C: dXNlcj1hcHBsaWNhdGlvbkBjb250b3NvLm9ubWljcm9zb2Z0LmNvbQFBdXRoPUJlYXJlciBFd0JBQWwzQkFBVUZGcFVBbzdKM1ZlMGJqTEJXWldDY2xSQzNFb0FBAQE=

S: 235 2.7.0 Authentication successful

[connection continues...]

Beispiel für einen Client-Server-Nachrichtenaustausch, der zu einem Authentifizierungsfehler führt:

[connection begins]

C: auth xoauth2

S: 334

C: dXNlcj1hcHBsaWNhdGlvbkBjb250b3NvLm9ubWljcm9zb2Z0LmNvbQFBdXRoPUJlYXJlciBFd0JBQWwzQkFBVUZGcFVBbzdKM1ZlMGJqTEJXWldDY2xSQzNFb0FBAQE=

S: 535 5.7.3 Authentication unsuccessful