Dieses Dokument beschreibt, wie die SMTP-Übertragung über den OAuth 2.0 Client Credentials Flow mit Microsoft Entra ID (ehemals Azure AD) konfiguriert wird, um E-Mails von Simplifier über Microsoft Exchange zu versenden.

1. Überblick

Viele Dienste erfordern jetzt eine moderne Authentifizierung (OAuth 2.0) anstelle von einfachem Benutzernamen/Passwort für SMTP. Für Microsoft 365 (Exchange Online) erfolgt dies über:

• Eine in Microsoft Entra ID registrierte Anwendung
• OAuth 2.0 Client Credentials Flow (reine App-Authentifizierung)
• Die Berechtigung SMTP.SendAsApp in „Office 365 Exchange Online“
• Simplifier-Administrationsrechte

Innerhalb von Simplifier benötigen Sie:

• Mandanten-ID
• Client-ID (Anwendungs-ID)
• Client Secret

um ein Zugriffstoken zu erhalten und sich mit OAuth am Microsoft 365 SMTP-Server zu authentifizieren

2. Voraussetzungen

• Ein Microsoft 365-Mandant mit Exchange Online
• Admin-Zugriff auf Microsoft Entra ID
• Admin-/Konfigurationszugriff auf Ihre Simplifier-Servereinstellungen
• PowerShell mit installiertem Exchange Online Management-Modul (zum Erstellen des Dienstprinzipals und der Postfachberechtigungen)

3. Registrieren der Anwendung in Microsoft Entra ID

1. 1. Gehen Sie zum Entra ID Admin Center: https://entra.microsoft.com und melden Sie sich bei Ihrem Mandanten an.
   2. Navigieren Sie zu: Identity → Applications → App registrations → New registration
   3. Konfigurieren Sie die App:
      Name: ein beliebiger erkennbarer Name (z. B. SMTP OAuth Simplifier).
      Unterstützte Kontotypen: Standardeinstellung beibehalten (Single Tenant), es sei denn, Sie haben spezielle Anforderungen.
      Redirect URI: für Client-Anmeldeinformationen nicht erforderlich; Standardeinstellung kann beibehalten werden.
   4. Klicken Sie auf Registrieren.

Sie haben jetzt eine Anwendung mit einer Anwendungs-(Client-)ID und einer zugehörigen Verzeichnis-(Mandanten-)ID.

4. Erstellen eines Client Secret

1. 1. Öffnen Sie die registrierte App
   2. Gehen Sie zu Certificates & secrets → New client secret
      Geben Sie Folgendes ein:
      Description: z. B. SMTP Client Secret.
      Expires: Wählen Sie eine geeignete Lebensdauer (z. B. 24 Monate)
   3. Klicken Sie auf Hinzufügen und kopieren Sie sofort den Wert des Client Secret.

Sie benötigen nur den Wert (Client Secret Key) für die Konfiguration in Ihrer Anwendung, nicht die Secret ID.

Der Secret Value ist nur einmal sichtbar; wenn Sie die Seite verlassen, können Sie ihn nicht mehr sehen.

5. SMTP-Anwendungsberechtigungen zuweisen

1. Gehen Sie in derselben App zu API-Berechtigungen
2. Klicken Sie auf Add a permission
3. Wählen Sie:
   APIs my organization uses → suchen Sie nach Office 365 Exchange Online.
   Wählen Sie Application permissions.
   Suchen und wählen Sie SMTP.SendAsApp.
   Klicken Sie auf Add permissions.
4. Ein Entra ID-Administrator muss die Administratorzustimmung für diese Berechtigungen erteilen.

Dadurch kann die App E-Mails über SMTP als Anwendung (nur App) senden.

6. Erstellen eines Dienstprinzipals und Gewähren des Postfachzugriffs

Um der App das Senden von einem bestimmten Postfach (z. B. invoices@example.com) zu ermöglichen, müssen Sie:

1. 1. Sammeln Sie Folgendes aus dem Entra ID-Portal:
      Tenant ID:
      Navigieren Sie zu Identity → Overview und kopieren Sie die Mandanten-ID.
      Application ID (Client ID):
      Von Applications → Enterprise applications → wählen Sie Ihre App aus → kopieren Sie die Application ID.
      Object ID (Service principal object ID):
      Wichtig: Verwenden Sie die Ansicht Enterprise applications, nicht die Ansicht App registrations, um die korrekte Objekt-ID zu erhalten.
   2. Öffnen Sie PowerShell (als Administrator) und installieren/importieren Sie das Exchange Online-Modul:

      Install-Module -Name ExchangeOnlineManagement
      Import-Module ExchangeOnlineManagement

   3. Verbinden Sie sich mit Exchange Online:

      Connect-ExchangeOnline -Organization

   4. Erstellen Sie den Dienstprinzipal in Exchange Online:

      New-ServicePrincipal -AppId -ObjectId

   5. Überprüfen Sie den Dienstprinzipal:

      Get-ServicePrincipal | fl

   6. Gewähren Sie dem Dienstprinzipal Zugriff auf das Postfach, das E-Mails sendet (z. B. invoices@example.com):

      Add-MailboxPermission -Identity "invoices@example.com" -User -AccessRights FullAccess

Jetzt darf die Anwendung E-Mails von diesem Postfach über App-Only-SMTP senden.

7. SMTP-Einstellungen in Simplifier einrichten

In Simplifier wird SMTP OAuth mit Entra ID unter Servereinstellungen → SMTP-Einstellungen konfiguriert, wobei die Option Authentication: OAuth with Entra ID verwendet wird, die Client Credentials Flow unterstützt.

1. 1. Servereinstellungen öffnen
   2. Lege in den SMTP-Einstellungen die Eigenschaften fest, wie z. B.
   4. Allgemeines SMTP:
      • E-Mails senden: aktivieren
      • SMTP-Host: smtp-mail.outlook.com (oder Ihr Exchange Online SMTP-Host)
      • SMTP-Port: 587 für TLS
      • Authentifizierung: Wählen Sie OAuth with Entra ID. Dies verwendet den Client-Credentials-Flow

      OAuth / Entra ID:

      • Mandanten-ID: Ihre Microsoft-Mandanten-ID
      • Client-ID: die Entra ID-Anwendungs-(Client-)ID
      • Client Secret: das in der App-Registrierung erstellte Client Secret

      Mail headers:

      • Absender-E-Mail: Standardabsenderadresse, z. B. no-reply@company.com
      • Absender: Anzeigename (optional mit E-Mail)
      • Server erlaubt UTF‑8: aktivieren, wenn Ihr SMTP-Server UTF‑8 für E-Mail-Adressen und Header unterstützt
      • Standardzeichensatz: Wählen Sie Ihren Standardzeichensatz (z. B. UTF-8)
      • Benutzername: oft derselbe wie die E-Mail-Adresse, falls erforderlich

Verwenden Sie die Aktion Test Mail im SMTP-Einstellungsheader, um Konnektivität und Authentifizierung zu überprüfen.