E-Mail-Versand über Microsoft Graph
Prosoft kann E-Mails über die Microsoft Graph API versenden. Dazu wird im Microsoft-365-Tenant des Kunden eine App Registration eingerichtet, die Prosoft berechtigt, E-Mails im Namen von Postfächern zu senden.
Diese Anleitung richtet sich an den IT-Administrator des Kunden.
Warum eine eigene App Registration pro Kunde?
Prosoft setzt bewusst auf eine separate App Registration im Tenant jedes Kunden statt auf eine zentrale, mandantenfähige App. Dadurch liegt die vollständige Kontrolle über Berechtigungen, Zugangsdaten und Zugriffsentzug bei Ihrer IT-Administration. Eine gegenseitige Beeinflussung zwischen verschiedenen Kundenumgebungen ist damit ausgeschlossen.
Sicherheitshinweise zu Zugangsdaten
Die Zugangsdaten (Client ID, Tenant ID und insbesondere das Client Secret) ermöglichen den E-Mail-Versand im Namen aller Postfächer in Ihrem Tenant. Beachten Sie daher:
- Client Secret niemals per E-Mail oder Chat übermitteln. Nutzen Sie einen sicheren Übertragungsweg (z. B. persönliche Übergabe, verschlüsselter Dateitransfer oder Passwortmanager mit Freigabefunktion).
- Client Secret nicht in Dateien speichern, die in Versionskontrollsystemen, Cloud-Speichern oder Netzwerkfreigaben abgelegt werden.
- Ablaufdatum des Secrets überwachen. Erstellen Sie rechtzeitig vor Ablauf ein neues Secret und hinterlegen Sie es in Prosoft, bevor das alte abläuft.
- Zugriff regelmäßig überprüfen. Kontrollieren Sie in der App Registration, ob die erteilten Berechtigungen noch dem aktuellen Bedarf entsprechen.
- Bei Verdacht auf Kompromittierung das Client Secret sofort löschen und ein neues erstellen. Prosoft kann mit dem alten Secret dann nicht mehr senden, bis das neue hinterlegt ist.
Voraussetzungen
- Ein aktiver Microsoft 365 Tenant
- Ein Benutzerkonto mit der Rolle Global Administrator (oder Application Administrator + Privileged Role Administrator)
- Die E-Mail-Postfächer, über die Prosoft senden soll, müssen im Tenant vorhanden sein (z. B.
verkauf@firma.de,noreply@firma.de)
Schritt 1: App Registration anlegen
- Öffnen Sie das Microsoft Entra Admin Center unter entra.microsoft.com
- Navigieren Sie zu Applications → App registrations → New registration
- Füllen Sie die Felder wie folgt aus:
| Feld | Wert |
|---|---|
| Name | Prosoft ERP (oder ein sprechender Name Ihrer Wahl) |
| Supported account types | Accounts in this organizational directory only (Single tenant) |
| Redirect URI | Leer lassen — wird nicht benötigt |
- Klicken Sie auf Register
Schritt 2: API-Berechtigungen konfigurieren
- Öffnen Sie die soeben erstellte App Registration
- Navigieren Sie zu API permissions → Add a permission
- Wählen Sie Microsoft Graph → Application permissions
- Suchen Sie nach
Mail.Sendund aktivieren Sie die Berechtigung - Klicken Sie auf Add permissions
- Klicken Sie anschließend auf Grant admin consent for \<Ihr Tenant> und bestätigen Sie
Admin Consent erforderlich
Die Berechtigung Mail.Send als Application Permission erfordert die Zustimmung eines Administrators. Ohne Admin Consent kann Prosoft keine E-Mails versenden.
Berechtigung Mail.Send
Mit der Berechtigung Mail.Send (Application) kann Prosoft E-Mails im Namen aller Postfächer im Tenant senden. Microsoft bietet derzeit keine Möglichkeit, diese Berechtigung auf einzelne Postfächer einzuschränken.
Schritt 3: Client Secret erstellen
- Navigieren Sie zu Certificates & secrets → Client secrets → New client secret
- Vergeben Sie eine Beschreibung, z. B.
Prosoft Server - Wählen Sie ein Ablaufdatum (empfohlen: 24 Monate)
- Klicken Sie auf Add
- Kopieren Sie den angezeigten Value sofort — er wird danach nicht mehr angezeigt
Secret sicher aufbewahren
Das Client Secret ist ein Passwort und muss vertraulich behandelt werden. Geben Sie es ausschließlich an die zuständige Person weiter, die den Prosoft-Server konfiguriert. Notieren Sie das Ablaufdatum — nach Ablauf muss ein neues Secret erstellt und in Prosoft hinterlegt werden.
Schritt 4: Zugangsdaten notieren
Folgende drei Werte werden für die Konfiguration in Prosoft benötigt. Sie finden sie in der App Registration unter Overview:
| Wert | Wo zu finden |
|---|---|
| Application (Client) ID | App Registration → Overview |
| Directory (Tenant) ID | App Registration → Overview |
| Client Secret | Wurde in Schritt 3 erstellt |
Geben Sie diese Werte an den zuständigen Prosoft-Administrator weiter.
Schritt 5: Werte in Prosoft eintragen
Die Zugangsdaten werden in der Prosoft-Serverkonfiguration hinterlegt. Ihr Prosoft-Ansprechpartner wird die Werte für Sie eintragen.
Optional: Zertifikat statt Client Secret
Für höhere Sicherheitsanforderungen kann anstelle eines Client Secrets ein Zertifikat verwendet werden. Das Zertifikat wird auf dem Prosoft-Server installiert und der öffentliche Schlüssel in der App Registration unter Certificates & secrets → Certificates hinterlegt.
Vorteile eines Zertifikats gegenüber einem Client Secret:
- Der private Schlüssel verlässt niemals den Server
- Kein Passwort wird bei der Authentifizierung übertragen
- Der private Schlüssel kann zusätzlich durch Hardware (TPM) geschützt werden
Sprechen Sie Ihren Prosoft-Ansprechpartner an, wenn Sie diese Option nutzen möchten.
Hinweise
- Secret-Rotation: Erstellen Sie rechtzeitig vor Ablauf ein neues Client Secret und hinterlegen Sie es in Prosoft. Es können mehrere Secrets gleichzeitig aktiv sein, sodass ein nahtloser Übergang möglich ist.
- Minimale Berechtigungen: Konfigurieren Sie nur die Berechtigungen, die tatsächlich benötigt werden. Für den reinen E-Mail-Versand genügt
Mail.Send. - Zugriff widerrufen: Sie können den Zugriff von Prosoft jederzeit widerrufen, indem Sie die App Registration löschen oder das Client Secret entfernen.