Grundlegendes zu Berechtigungen bei Outlook-Add-Ins

Outlook-Add-Ins geben die erforderliche Berechtigungsstufe in ihrem Manifest an. Es stehen vier Ebenen zur Verfügung.

Kanonischer Name der Berechtigungsstufe	XML-Manifestname	Einheitliches Manifest für Microsoft 365-Name	Zusammenfassungsbeschreibung
eingeschränkt	Restricted	MailboxItem.Restricted.User	Ermöglicht den Zugriff auf Eigenschaften und Methoden, die sich nicht auf bestimmte Informationen zum Benutzer oder E-Mail-Element beziehen.
Element lesen	ReadItem	MailboxItem.Read.User	Zusätzlich zu dem, was in restricted zulässig ist, ist Folgendes möglich: Reguläre Ausdrücke Lesezugriff auf Outlook-Add-in-API Abrufen der Elementeigenschaften und des Rückruftokens Schreiben benutzerdefinierter Eigenschaften
Element lesen/schreiben	ReadWriteItem	MailboxItem.ReadWrite.User	Zusätzlich zu dem, was in einem Leseelement zulässig ist, ist Folgendes möglich: voller Zugriff auf Outlook-Add-In-API mit Ausnahme von makeEwsRequestAsync Festlegen der Elementeigenschaften
Lese-/Schreibpostfach	ReadWriteMailbox	Mailbox.ReadWrite.User	Zusätzlich zu dem, was im Lese-/Schreibzugriff zulässig ist, ist Folgendes möglich: Erstellen, Lesen und Schreiben von Elementen und Ordnern Senden von Elementen Aufrufen von makeEwsRequestAsync

Berechtigungen werden im Manifest deklariert. Das Markup variiert je nach Art des Manifests.

• XML-Manifest: Verwenden Sie das <Permissions-Element> .
• Einheitliches Manifest für Microsoft 365: Verwenden Sie die Eigenschaft "name" eines Objekts im Array "authorization.permissions.resourceSpecific".

Hinweis

• Für Add-Ins, die das Feature "Append-on-Send" verwenden, ist eine zusätzliche Berechtigung erforderlich. Geben Sie im XML-Manifest die Berechtigung im ExtendedPermissions-Element an. Weitere Informationen finden Sie unter Implementieren von "Append-on-Send" in Ihrem Outlook-Add-In. Geben Sie mit dem einheitlichen Manifest diese Berechtigung mit dem Namen Mailbox.AppendOnSend.User in einem zusätzlichen Objekt im Array "authorization.permissions.resourceSpecific" an.
• Für Add-Ins, die freigegebene Ordner verwenden, ist eine zusätzliche Berechtigung erforderlich. Geben Sie mit dem XML-Manifest die Berechtigung an, indem Sie das SupportsSharedFolders-Element auf truefestlegen. Weitere Informationen finden Sie unter Aktivieren von Szenarien für freigegebene Ordner und freigegebene Postfächer in einem Outlook-Add-In. Geben Sie mit dem einheitlichen Manifest diese Berechtigung mit dem Namen Mailbox.SharedFolder in einem zusätzlichen Objekt im Array "authorization.permissions.resourceSpecific" an.

Die vier Berechtigungsstufen sind kumulativ: Die Berechtigung Postfach lesen/schreiben schließt die Berechtigungen Element lesen/schreiben, Element lesen und Eingeschränkt ein, Element lesen/schreiben schließt Element lesen und Eingeschränkt ein, und die Berechtigung Element lesen schließt Eingeschränkt ein.

Sie können die von einem Mail-Add-In angeforderten Berechtigungen sehen, bevor Sie es aus AppSource installieren. Die für installierte Add-Ins erforderlichen Berechtigungen können Sie auch im Exchange Admin Center anzeigen.

Eingeschränkte Berechtigung

Die eingeschränkte Berechtigung ist die grundlegendste Berechtigungsstufe. Outlook weist diese Berechtigung standardmäßig einem Mail-Add-In zu, wenn das Add-In keine bestimmte Berechtigung im Manifest anweist.

Möglich

Auf Eigenschaften und Methoden zugreifen, die nicht auf bestimmte Informationen über den Benutzer oder das Element zugreifen (Im nächsten Abschnitt finden Sie eine Liste der Elemente, die dies tun).

Nicht möglich

• Verwenden der ItemHasAttachment- oder ItemHasRegularExpressionMatch-Regel.

• Zugriff auf Elemente in der folgenden Liste, die für die Informationen über den Benutzer oder das Element gelten. Beim Versuch des Zugriffs auf Elemente in dieser Liste werden null und die Fehlermeldung zurückgegeben, dass Outlook für das Mail-Add-In erhöhte Berechtigungen anfordert.

  • item.addFileAttachmentAsync
  • item.addItemAttachmentAsync
  • item.attachments
  • item.bcc
  • item.body
  • item.cc
  • item.from
  • item.getRegExMatches
  • item.getRegExMatchesByName
  • item.optionalAttendees
  • item.organizer
  • item.removeAttachmentAsync
  • item.requiredAttendees
  • item.sender
  • item.to
  • mailbox.getCallbackTokenAsync
  • mailbox.getUserIdentityTokenAsync
  • mailbox.makeEwsRequestAsync
  • mailbox.userProfile
  • Body und alle untergeordneten Elemente
  • Location und alle untergeordneten Member
  • Recipients und alle untergeordneten Member
  • Subject und alle untergeordneten Member
  • Time und alle untergeordneten Member

Berechtigung zum Lesen von Elementen

Die Berechtigung zum Lesen von Elementen ist die nächste Berechtigungsebene im Berechtigungsmodell.

Möglich

• Lesen aller Eigenschaften des aktuellen Elements in einem Lese- oder Erstellformular, z. B. item.to in einem Leseformular und item.to.getAsync in einem Erstellformular.

• Abrufen eines Rückruftokens zum Abrufen von Elementanlagen oder das vollständige Element mit Exchange-Webdienste (EWS) oder Outlook-REST-APIs.

  Wichtig

  Legacy-Exchange-Benutzeridentitätstoken und Rückruftoken werden im Oktober 2024 für alle Exchange Online-Mandanten im Rahmen der Microsoft Secure Future Initiative deaktiviert, die Organisationen die Tools bietet, die für die Reaktion auf die aktuelle Bedrohungslandschaft erforderlich sind. Exchange-Benutzeridentitätstoken funktionieren weiterhin für lokale Exchange-Instanzen. Die Authentifizierung geschachtelter Apps ist der empfohlene Ansatz für token in Zukunft. Weitere Informationen finden Sie in unserem Blogbeitrag zur Authentifizierung geschachtelter Apps und älteren Exchange-Token.

• Schreiben von benutzerdefinierten Eigenschaften, die von dem Add-In für das Element festgelegt wurden.

• Verwenden Sie reguläre Ausdrücke in einem Kontext-Add-In.

Nicht möglich

• Verwenden Sie das von mailbox.getCallbackTokenAsync bereitgestellte Token für Folgendes:

  • Zum Aktualisieren oder Löschen des aktuellen Elements mithilfe der Outlook-REST-API oder zum Zugreifen auf andere Elemente im Postfach des Benutzers.
  • Abrufen des aktuellen Kalenderereigniselements mithilfe der Outlook-REST-API.

• Verwenden Sie eine der folgenden APIs.

  • mailbox.makeEwsRequestAsync
  • item.addFileAttachmentAsync
  • item.addItemAttachmentAsync
  • item.bcc.addAsync
  • item.bcc.setAsync
  • item.body.prependAsync
  • item.body.setAsync
  • item.body.setSelectedDataAsync
  • item.cc.addAsync
  • item.cc.setAsync
  • item.end.setAsync
  • item.location.setAsync
  • item.optionalAttendees.addAsync
  • item.optionalAttendees.setAsync
  • item.removeAttachmentAsync
  • item.requiredAttendees.addAsync
  • item.requiredAttendees.setAsync
  • item.start.setAsync
  • item.subject.setAsync
  • item.to.addAsync
  • item.to.setAsync

Lese-/Schreibberechtigung für Elemente

Geben Sie die Berechtigung zum Lesen/Schreiben von Elementen im Manifest an, um diese Berechtigung anzufordern. In Erstellformularen aktivierte Mail-Add-ins, die Schreibmethoden (Message.to.addAsync oder Message.to.setAsync) verwenden, benötigen mindestens diese Berechtigungsstufe.

Möglich

• Lesen und Schreiben aller Elementebeneneigenschaften des Elements, das in Outlook angezeigt oder verfasst wird.

• Hinzufügen oder Entfernen von Anlagen des Elements.

• Verwenden Sie alle anderen Elemente der Office JavaScript-API, die für Mail-Add-Ins gelten, mit Ausnahme von Mailbox.makeEWSRequestAsync.

Nicht möglich

• Verwenden Sie das von mailbox.getCallbackTokenAsync bereitgestellte Token für Folgendes:

  • Zum Aktualisieren oder Löschen des aktuellen Elements mithilfe der Outlook-REST-API oder zum Zugreifen auf andere Elemente im Postfach des Benutzers.
  • Abrufen des aktuellen Kalenderereigniselements mithilfe der Outlook-REST-API.

• Verwenden der mailbox.makeEWSRequestAsync-Methode.

Lese-/Schreibberechtigung für Postfächer

Die Postfachberechtigung für Lese-/Schreibzugriff ist die höchste Berechtigungsstufe.

Zusätzlich zu dem, was die Lese-/Schreibberechtigung für Elemente unterstützt, bietet das von mailbox.getCallbackTokenAsync bereitgestellte Token Zugriff auf die Verwendung von EWS-Vorgängen (Exchange Web Services) oder Outlook-REST-APIs für folgende Aktionen:

• Lesen und Schreiben aller Eigenschaften eines beliebigen Elements im Postfach des Benutzers.
• Erstellen, lesen und schreiben eines beliebigen Ordners oder Elements in dem Postfach.
• Senden eines Elements aus dem Postfach

Über mailbox.makeEWSRequestAsync können Sie auf die folgenden EWS-Vorgänge zugreifen.

• CopyItem
• CreateFolder
• CreateItem
• FindConversation
• FindFolder
• FindItem
• GetConversationItems
• GetFolder
• GetItem
• MarkAsJunk
• MoveItem
• SendItem
• UpdateFolder
• UpdateItem

Der Versuch, einen nicht unterstützten Vorgang auszuführen, führt zu einer Fehlermeldung.

Wichtig

Legacy-Exchange-Benutzeridentitätstoken und Rückruftoken werden im Oktober 2024 für alle Exchange Online-Mandanten im Rahmen der Microsoft Secure Future Initiative deaktiviert, die Organisationen die Tools bietet, die für die Reaktion auf die aktuelle Bedrohungslandschaft erforderlich sind. Exchange-Benutzeridentitätstoken funktionieren weiterhin für lokale Exchange-Instanzen. Die Authentifizierung geschachtelter Apps ist der empfohlene Ansatz für token in Zukunft. Weitere Informationen finden Sie in unserem Blogbeitrag zur Authentifizierung geschachtelter Apps und älteren Exchange-Token.

Siehe auch

• Datenschutz, Berechtigungen und Sicherheit für Outlook-Add-Ins