Voraussetzungen
Zugriff auf das Microsoft Entra Admin Center mit mindestens der Rolle Application Developer
Deine Redirect URI (Callback-Endpunkt der Anwendung, z.B. https://deine-app.example.com/oauth/callback/msgraph
Schritt 1 – App-Registrierung anlegen
-
Öffne das Microsoft Entra Admin Center und melde dich an.
-
Navigiere zu Identity > Applications > App registrations.
-
Klicke auf + New registration.
-
Fülle das Formular aus:
-
Name: z.B.
MeinProjekt-MsgraphConnector -
Supported account types:
-
Accounts in this organizational directory only – Single-Tenant (empfohlen für interne Apps)
-
Accounts in any Azure AD directory – Multi-Tenant
-
… and personal Microsoft accounts – falls private MS-Konten erlaubt sein sollen
-
-
Redirect URI: Plattform Web, URI z.B.
https://deine-app.example.com/oauth/callback/msgraph
-
-
Klicke auf Register.
Schritt 2 – Client Secret anlegen
-
Navigiere zu Certificates & secrets.
-
Klicke auf + New client secret.
-
Vergib eine Beschreibung (z.B.
prod-secret) und wähle eine Ablaufzeit. Maximum: 24 Monate – Microsoft empfiehlt weniger als 12 Monate. -
Klicke auf Add.
-
Kopiere den angezeigten Wert sofort – er wird danach nicht mehr angezeigt!
Speichere das Secret sicher (z.B. Secret Manager, Umgebungsvariable).
Schritt 3 – API-Berechtigungen konfigurieren
-
Navigiere zu API permissions.
-
Klicke auf + Add a permission > Microsoft Graph > Delegated permissions.
-
Füge folgende Berechtigungen hinzu:
|
Scope |
Zweck |
Pflicht? |
|---|---|---|
|
|
OIDC-Login |
✅ Ja |
|
|
Benutzerprofil |
✅ Ja |
|
|
E-Mail-Adresse |
Empfohlen |
|
|
Refresh Tokens |
✅ Ja |
|
|
Basiszugriff eigenes Profil |
Empfohlen |
|
Weitere Graph-Scopes |
Je nach Connector-Bedarf |
Optional |
-
Klicke auf Add permissions.
-
Optional: Grant admin consent for [Tenant] – damit Nutzer beim ersten Login nicht einzeln zustimmen müssen.