Automatic Email Processor - Online-Hilfe
Umfassende Dokumentation aller Funktionen und Einstellungen

50.2 Microsoft 365 (Graph) einrichten

50.2.1 Übersicht

Für Postfächer, die mit Microsoft 365 (früher Office 365, Exchange Online) betrieben werden, nutzt das Programm die Microsoft Graph API statt klassischem IMAP. Das hat mehrere Vorteile: keine App-Passwörter nötig, OAuth-Anmeldung mit Zwei-Faktor-Authentifizierung, moderne Berechtigungs-Steuerung über Azure AD und vollen Zugriff auf Microsoft-365-spezifische Funktionen wie Kategorien, Markierungen und Shared Mailboxes.

50.2.2 Erforderliche Eingaben

Im Konto-Editor (Kontotyp: Microsoft 365) konfigurieren Sie:

Feld Beschreibung
Anzeigename Frei wählbarer Name
E-Mail-Adresse Die Microsoft-365-Adresse, die später überwacht werden soll
Postfach-Adresse (optional) Adresse eines Shared Mailbox, falls statt des persönlichen Postfachs ein gemeinsam genutztes Postfach verwendet wird (siehe Kapitel 50.2.6)

Anschließend klicken Sie auf Bei Microsoft anmelden - der OAuth-Flow startet.

50.2.3 OAuth-Anmeldung

Beim Klick auf Bei Microsoft anmelden öffnet sich ein Browser-Fenster mit der Microsoft-Anmeldemaske. Dort:

  1. Anmeldedaten eingeben (E-Mail-Adresse + Passwort + ggf. Zwei-Faktor-Code)
  2. Berechtigungs-Anfrage bestätigen - beim ersten Anmelden fragt Microsoft, ob die App auf das Postfach zugreifen darf (siehe Kapitel 50.2.4)
  3. Nach erfolgreicher Anmeldung schließt sich der Browser automatisch und der OAuth-Status im Konto-Editor wechselt auf „Angemeldet”

Das Programm speichert kein Passwort - stattdessen wird ein Refresh-Token lokal abgelegt, mit dem das Programm später eigenständig neue Zugriffs-Token bezieht. Der Token-Speicher liegt im AppData-Verzeichnis des Windows-Benutzers und ist verschlüsselt.

50.2.4 Berechtigungen

Beim ersten Anmelden verlangt das Programm folgende Berechtigungen:

Scope Wofür
Mail.ReadWrite E-Mails im eigenen Postfach lesen, verschieben, kopieren, löschen, markieren, Kategorien setzen
Mail.ReadWrite.Shared Dieselben Operationen auf einem Shared Mailbox oder einem Benutzer-Postfach mit Vollzugriffs-Delegierung
Mail.Send E-Mails aus dem eigenen Postfach senden (für Weiterleiten, Antworten, Lesebestätigung senden)
Mail.Send.Shared E-Mails als oder im Auftrag eines Shared Mailbox bzw. delegierten Benutzer-Postfachs senden
User.Read Anzeigename und E-Mail-Adresse des angemeldeten Benutzers lesen
MailboxSettings.Read Master-Kategorien des Postfachs lesen (für Auto-Vervollständigung beim Setzen von Kategorien)

In Unternehmen mit zentral administrierten Azure-AD-Tenants kann es sein, dass diese Berechtigungen vorab durch einen Administrator-Consent freigegeben werden müssen - fragen Sie im Zweifel die IT-Abteilung.

50.2.5 Token-Cache und Refresh

Der Token-Cache liegt unter:

%LOCALAPPDATA%\AutomaticEmailProcessor\GraphTokenCache\

Er wird vom Programm verwaltet - kein manueller Eingriff nötig. Bei Token-Ablauf erfolgt ein automatischer Refresh im Hintergrund. Nur wenn der Refresh-Token selbst ungültig wird (z.B. Passwort geändert, 90 Tage Inaktivität, Account-Sperre), erscheint im Konto-Editor wieder „Anmeldung erforderlich” und Sie müssen erneut auf Bei Microsoft anmelden klicken.

50.2.6 Shared Mailbox und delegiertes Benutzer-Postfach

Sowohl ein Shared Mailbox (ein Microsoft-365-Postfach ohne eigene Lizenz, das mehrere Benutzer gemeinsam nutzen — typisch info@firma.de oder support@firma.de) als auch ein reguläres Benutzer-Postfach mit Vollzugriffs-Delegierung kann überwacht werden. Eine Umwandlung in ein Shared Mailbox ist nicht erforderlich.

Im Programm konfigurieren Sie das so:

  1. E-Mail-Adresse: Ihre persönliche Microsoft-365-Adresse (über die Sie sich anmelden)
  2. Postfach-Adresse: Adresse des Ziel-Postfachs (z.B. info@firma.de)
  3. Bei Microsoft anmelden klicken - Anmeldung mit Ihrem persönlichen Account

Das Programm authentifiziert sich anschließend mit Ihrem Token, liest aber aus dem Ziel-Postfach und versendet auch darüber (Microsoft-Graph-Impersonation). Voraussetzungen:

  • Ihr Account hat Vollzugriff auf das Ziel-Postfach (Microsoft 365 Admin Center → Postfach → Delegierung → „Lesen und Verwalten”).
  • Für das Senden zusätzlich: „Senden als” oder „Senden im Auftrag von” auf dem Ziel-Postfach.
  • Die Azure-AD-App-Registrierung gewährt die Scopes Mail.ReadWrite.Shared und Mail.Send.Shared (Administrator-Zustimmung für den Tenant).

Wenn ein bereits vor Mai 2026 eingerichtetes Konto nach dem Update einen 403 ErrorAccessDenied zeigt, im Konto-Editor auf Anmeldedaten entfernen klicken und neu anmelden — der erneuerte Token enthält dann die neuen Shared-Scopes.

50.2.7 Anmeldedaten entfernen

Im Konto-Editor steht eine Schaltfläche Anmeldedaten entfernen. Sie löscht den Refresh-Token aus dem Cache. Das Konto bleibt im Programm angelegt, beim nächsten Verbindungs-Versuch wird allerdings eine neue Anmeldung verlangt.

Sinnvoll bei Verdacht auf Token-Probleme oder beim Wechsel des angemeldeten Microsoft-Accounts.

50.2.8 Anwendungsfall

Zentrales Service-Postfach (Shared Mailbox)

Anzeigename: „Eingangsrechnungen”. E-Mail-Adresse: max.mustermann@firma.de (Anmeldekonto). Postfach-Adresse: rechnungen@firma.de (überwachtes Konto). Anmeldung mit max.mustermann@firma.de - der Zugriff erfolgt anschließend auf den Shared Mailbox.

50.2.9 Tipps

  • Bei zentral verwalteten Azure-AD-Tenants kann Administrator-Consent notwendig sein. Wenn die Anmeldung mit „Berechtigung verweigert” scheitert, kontaktieren Sie die IT
  • Im Service-Modus läuft die Anmeldung mit dem Token-Cache des Service-Benutzers - testen Sie die OAuth-Anmeldung idealerweise einmal interaktiv unter dem späteren Service-Account
IMAP-Konto einrichten POP3-Konto einrichten