Verwalten · D2 · 6 Stufen

Organisation und Microsoft-Konnektor

Track D ist der Betreiber-Track. In D2 pflegst du die Organisations-Stammdaten, verbindest den Microsoft-365-Tenant, prüfst die Graph-Scopes nach Least-Privilege und gibst den organisationsweiten Teams-Bot frei.

Was du in diesem Tutorial einrichtest und prüfst

Du bist Org-Admin der Muster GmbH. Du pflegst die Organisations-Stammdaten, verbindest den Microsoft-365-Tenant (Azure Entra) für Single-Sign-On und User-Sync, prüfst die Graph-Scopes nach Least-Privilege und schaltest den organisationsweiten Teams-Bot für das „Helpdesk-Team“ frei. Die Admin-Reiter zeigen wir als Konfigurations-Mockups.

Voraussetzung: Track B empfohlen, D1 (Rollen und Rechte) sowie die Rolle Organisations-Administrator — nur Org- oder Service-Admins öffnen editorg.html. Für den Admin-Consent brauchst du zusätzlich einen Microsoft-Tenant-Administrator. Den Teams-Bot technisch einrichten baut E4, die SharePoint-Synchronisation E5, Modelle und Token-Budgets D3.

Quellenregel: Maßgeblich für die Graph-Berechtigungen und Scopes ist die Microsoft-365-Konnektor-Doku (plus Teams-Doku), nicht allein das Administrator-Handbuch. Feld-, Provider- und Scope-Listen ändern sich häufig — instanzabhängige Details kennzeichnen wir mit „gegen Instanz prüfen“.

Quellen und Stand

Geprüft gegen das AuxData-Administrator-Handbuch (Stand Juni 2026), Kapitel 9 (Organisation und Benutzer), die Microsoft-365-Konnektor-Berechtigungen (Stand 07.04.2026) sowie die Teams-Integrations-Doku (Stand Juni 2026). Graph-Scopes exakt aus der M365-Doku; Divergenzen sind als „gegen Instanz prüfen“ gekennzeichnet.

Stufe 1 von 6

Der Organisations-Reiter

Stammdaten und Konfiguration der Muster GmbH.

1Sechs Reiter — nur für Org-Admins

Die Organisations-Seite editorg.html ist in sechs Reiter gegliedert; nur Organisations- oder Service-Administratoren können sie öffnen. (AH 9.1)

StammdatenKonfigurationMicrosoft KonnektorVerbrauchsmanagerUmgebungsvariablenDOCX-Vorlagen
Stammdaten
Name der OrganisationPflichtfeld
Muster GmbH
Straße + Hausnummer
Musterstraße 12
Postleitzahl + OrtPLZ fünfstellig
12345 Musterstadt
LandName oder ISO-Code
Deutschland (DE)
Webseite
https://muster-gmbh.example
Ansprechpartner + E-MailKontakt für Plattform-Benachrichtigungen
Alex Muster · admin@muster-gmbh.example
Telefonoptional
+49 …
LogoDrag & Drop · erscheint in der Nav-Rail
Bild hierher ziehen …
Echter Organisations-Editor, Reiter Stammdaten: Organisationsdaten und Ansprechpartner (Demo-Werte)
D2-S01 · Organisations-Editor „Stammdaten" an der Demo-Instanz (Kontaktdaten als Demo maskiert)
Reiter Konfiguration der Organisation (offizielle Abbildung aus dem Admin-Handbuch)
Offizielle Abbildung aus dem Admin-Handbuch (Kap. 9) — der Reiter „Konfiguration" der Organisation.

2Reiter „Konfiguration“ (Sicherheit & Global)

StammdatenKonfigurationMicrosoft KonnektorDOCX-Vorlagen
Sicherheits- und Globaleinstellungen
2-Faktor-Authentifizierung erforderlicherzwingt TOTP über Keycloak
aus
Immer DSGVO-konform handelnbindet an DSGVO-konforme LLM-Provider
an
Ist die Option aus, prüft der GDPR-Analyzer pro Anfrage dynamisch (Vertiefung in D3/D4).
Chatbot-Default-Begrüßung
Hallo! Wie kann ich helfen?
Minimum-Sicherheit AgentFinder-Check0–100
60
Such-SchwellenChunk-Limit, Quality Gate
Chunk-Limit 12 · Quality Gate 0.6
Externer ZugriffAccess-Tokens
Chatbot-TokenSuch-Token
Details in Stufe 6.
Echter Organisations-Editor, Reiter Konfiguration: Sicherheit (2FA, DSGVO-konform), globaler Chatbot, globale Suche und externer Zugriff mit Accesstoken
D2-S02 · Reiter „Konfiguration" an der Demo-Instanz (Sicherheit, DSGVO-Schalter, Externer Zugriff)

Die weiteren Reiter werden hier nur verortet: Microsoft Konnektor (Stufe 2/3), Verbrauchsmanager (Token-Limits, vertieft in D3), Umgebungsvariablen (Key-Value-Editor für organisationsweite Variablen und Secrets in HTTP-Services und Funktionen) und DOCX-Vorlagen (Stufe 6).

Schwellen mit Augenmaß: Für „Minimum-Sicherheit AgentFinder" sind laut Handbuch 30–45 sinnvoll (0 = aus); das Quality Gate für Suche/AgentFinder sollte 45–60 liegen und wird auch auf Name, Beschreibung und aktive Tools eines Agenten angewandt. (AH 9.1)
Reiter „Branding" (Farbschema): Mit „Branding aktivieren" setzt die Organisation pro Theme (Dark/Light) 12 Farb-Tokens (Akzent, Buttons, KI-Violett, Such-Cyan, App-/Karten-Hintergrund, Hover, Rahmen, Text, Fehler, Erfolg) als 6-stelligen Hex (mit #) und Live-Vorschau. Das Schema wirkt auf die Webapp und den eingebetteten Chatbot-Widget-Code (A6). (AH 9.6)
Achtung: „Speichern“ synchronisiert sicherheitsrelevante Einstellungen mit Keycloak (z. B. die 2FA-Pflicht). Setze 2FA bewusst, bevor du externe Nutzer einlädst. (AH 9.1)
✎ Übung: Welche Stammdaten der Muster GmbH erscheinen wo im Cockpit?

✓ Das hast du eingerichtet / geprüft

Stufe 2 von 6

Microsoft-365-Konnektor

Tenant verbinden und Graph-Grundlagen verstehen.

1Reiter „Microsoft Konnektor“

Hier richtest du die Microsoft-Graph- und Azure-Entra-Integration ein. (AH 9.1 + Microsoft-365-Konnektor-Doku)

StammdatenKonfigurationMicrosoft KonnektorDOCX-Vorlagen
Microsoft-Graph- / Azure-Entra-Integration
Tenant-IDAzure-Entra-Tenant-ID
00000000-0000-0000-0000-000000000000 (Platzhalter)
MS Graph API Synchronisation aktivautomatische User-Sync
an
Client-IDOAuth Application ID
11111111-1111-1111-1111-111111111111 (Platzhalter)
Client SecretOAuth Secret
•••••••• (Platzhalter, nie teilen)
Synchronisations-Gruppennameoptional: nur Mitglieder dieser Azure-AD-Gruppe
AuxData-Nutzer
Teams Bot aktivChatbot-Integration in Teams (Stufe 5)
aus
Microsoft App-ID / App PasswordTeams-Bot-Credentials (Stufe 5)
aus E5-Einrichtung (Platzhalter)
Aktionen
Test MS GraphSynchronisation durchführen
„Test MS Graph“ prüft die Anmeldedaten; „Synchronisation durchführen“ löst sofort einen Lauf aus (legt fehlende Benutzer an, deaktiviert gelöschte, gleicht Gruppen ab).
Echter Organisations-Editor, Reiter Microsoft Konnektor: Tenant-ID (Demo-Wert), MS-Graph-Synchronisation mit Berechtigungen und Microsoft-Teams-Bot
D2-S03 · Reiter „Microsoft Konnektor" an der Demo-Instanz (Tenant-ID als Demo-UUID maskiert)

2Vier Verknüpfungswege

AuxData bietet laut M365-Doku vier Verknüpfungswege — jeder braucht andere Berechtigungen (Stufe 3):

Single Sign On
Anmeldung und User-Sync über Azure Entra.
AuxData.ai Teams Bot
globaler Chatbot in Microsoft Teams (Stufe 5).
SharePoint-Sync
Datei- und Sites-Synchronisation (→ E5).
Mailautomatisierung
Lesen, Verschieben/Entwurf oder Versenden.

Für SSO empfiehlt die Doku ausdrücklich eine Microsoft-Sicherheitsgruppe: nur deren Mitglieder erhalten einen AuxData-Zugang — sonst bekämen alle, auch externe, Tenant-Nutzer Zugang. Wenn keine Gruppe gesetzt ist, ist das also eine bewusste Freigabe für den gesamten Tenant. Der Sync läuft manuell oder nächtlich als täglicher Job.

So funktioniert SSO technisch: AuxData nutzt einen zentralen Multi-Tenant-Microsoft-IdP (Keycloak-Alias microsoft, /common/-Endpoint); die Zuordnung läuft über den tid-Claim zur Organisation mit passender Tenant-ID (pro Tenant-ID nur eine Organisation). Es findet keine automatische Nutzeranlage statt — Anwender müssen vorab angelegt sein, sonst wird der frische Login wieder verworfen. (AH 9.9)
Wie der Sync zuordnet: Der Abgleich erfolgt zuerst über die Azure-AD-Object-ID (thirdPartyId), bei Fehlen über die E-Mail (Groß-/Kleinschreibung egal); eine fehlende thirdPartyId wird nachgetragen (kein zweiter Datensatz). Zuvor deaktivierte, in AD wieder auftauchende Nutzer werden reaktiviert (ohne Datenverlust); pro E-Mail bleibt höchstens ein aktiver Anwender. (AH 9.3)
Sicherheit & Datenresidenz: Client Secret und Tenant-ID niemals in Screenshots oder Tickets teilen — im Mockup nur Platzhalter. Datenresidenz und Berechtigungsumfang vor dem Verbinden mit dem Tenant-Admin klären. (AH 9.1 + M365-Doku)
✎ Übung: Warum ist die Sync-Gruppe für die Muster GmbH dringend zu empfehlen?

✓ Das hast du eingerichtet / geprüft

Stufe 3 von 6

Graph-Berechtigungen & Scopes

Least-Privilege je Feature und der Admin-Consent.

1Scopes je Feature (Primärliste aus der M365-Doku)

Die Feature-Liste ist aus der Microsoft-365-Konnektor-Doku übernommen; bekannte Abweichungen aus AH 9.5 und der Teams-Integrationsdoku stehen direkt darunter. Least-Privilege heißt: nur freigeben, was das genutzte Feature wirklich braucht. (Microsoft-365-Konnektor-Berechtigungen + Teams-Doku 1.4 + AH 9.5)

Single Sign OnUser-Sync
User.Read User.Read.All Team.ReadBasic.All TeamSettings.Read.All
AuxData.ai Teams BotM365-Doku
User.Read User.Read.All
SharePoint-SyncDatei/Sites → E5
Directory.Read.All Files.Read.All Sites.Read.All Sites.ReadWrite.All Team.ReadBasic.All TeamSettings.Read.All
Mail (nur lesen)
Mail.Read Mail.ReadBasic.All
Mail (verschieben/Entwurf)
Mail.ReadWrite
Mail (versenden)
Mail.Send

2Admin-Consent als Pflichtschritt

Die Berechtigungen werden als Anwendungsberechtigungen (nicht delegiert) zugewiesen; danach muss ein Microsoft-Tenant-Administrator die Administratorzustimmung erteilen. Erst dann erscheinen die grünen Haken und Graph-Aufrufe funktionieren — Test MS Graph ohne erteilten Consent schlägt fehl. (Teams-Doku 1.4)

Divergenz — gegen Instanz prüfen: Der MS-Graph-Sync-Ablauf in AH 9.5 nennt zum Abfragen User.Read.All und Group.Read.All; die M365-Scope-Liste für SSO führt stattdessen Team.ReadBasic.All / TeamSettings.Read.All. Die Teams-Doku (1.4) nennt für die technische Bot-App zusätzlich User.ReadBasic.All. Dokumentiere deshalb die tatsächlich genehmigte Scope-Liste aus der eigenen Azure-App-Registrierung; im Zweifel mit der M365-Primärliste starten und nur begründet ergänzen.
Least-Privilege ist Pflicht: Gib keine SharePoint- oder Mail-Scopes frei, solange die Muster GmbH nur SSO und Teams-Bot nutzt. Jeder zusätzliche Scope vergrößert die Datenexposition. (M365-Doku)
✎ Übung: Welche Scopes braucht die Muster GmbH für „nur SSO + Teams-Bot“?

✓ Das hast du eingerichtet / geprüft

Stufe 4 von 6

Benutzer- und Gruppenverwaltung

Anwender, Gruppen und der MS-Graph-Sync im Detail.

1Zwei-Panel-Layout: Anwender und Gruppen

Die Benutzerverwaltung in editorg.html stellt links die Anwender, rechts die Gruppen dar. (AH 9.2–9.5)

Panel Anwender
Tabellen-Spalten
IDVor-/NachnameE-Mail = LoginRolle
Rolle: Administrator bei Rollenwert ≥ 3, sonst Anwender.
Zeilen-Aktionen
BearbeitenPasswort zurücksetzen / Einladung erneut sendenLöschen
„Löschen“ deaktiviert den Benutzer permanent.
Anwender erstellen
speichert Stammdaten, erzeugt (ohne SSO) einen Keycloak-Account, verschickt Einladung, übernimmt Rolle + Gruppen
Lizenz-Abrechnung
aktive Benutzerzahl + Mehrkosten pro zusätzlichem Benutzer

2Benutzer und Gruppen bearbeiten

Benutzer bearbeiten (edituser.html, AH 9.3): Vor-/Nachname, E-Mail (nach Anlage nicht mehr änderbar), Telefon, Aktiv-Checkbox, Rolle (vgl. D1), Gruppen-Zugehörigkeit (Multi-Select), 2FA-Status.

Gruppen bearbeiten (editusergroup.html, AH 9.4): Name/Beschreibung plus Rechte-Matrix:

Organisation
rightOrganisationAdmin rightOrganisationUser
Service
rightServiceAdmin rightServiceUser
Agent (je Agent)
rightAgentAdmin rightAgentUser

Ein Benutzer erhält die Vereinigung aus individueller Rolle und allen Gruppen-Rechten.

3MS-Graph-Sync im Detail (Cron-Job)

Nach der Einrichtung läuft der Sync regelmäßig als Cron-Job (AH 9.5):

  1. OAuth-Token holen.
  2. Benutzer und Gruppen über Graph abfragen.
  3. Neue Azure-AD-Benutzer in AuxData.ai + Keycloak anlegen.
  4. Gelöschte Benutzer deaktivieren.
  5. Gruppen-Zugehörigkeiten abgleichen (bei gesetztem Gruppen-Filter nur für diese Gruppe).
Offboarding: „Löschen“ deaktiviert dauerhaft, entfernt aber nicht alles automatisch (DSGVO-Lösch-Workflow → D4). Bei aktivem Sync werden Personen, die nicht mehr in der Sicherheitsgruppe sind, automatisch deaktiviert — Gruppenpflege im Tenant ist damit die zentrale Offboarding-Kontrolle. (AH 9.2/9.5)
✎ Übung: Wie entziehst du einer ausgeschiedenen Person zuverlässig den Zugang?

✓ Das hast du eingerichtet / geprüft

Stufe 5 von 6

Teams-Bot organisationsweit

Globaler Modus, Rechteprüfung und die Abgrenzung zu E5.

1Der globale Chatbot in Teams

Der AuxData.ai Teams Bot integriert den globalen Chatbot der Organisation in Microsoft Teams: Anwender chatten dort mit den Wissensdatenbanken der einzelnen Agenten, inklusive Datei- und Bild-Funktionen. (Microsoft-365-Konnektor-Doku + Teams-Integrations-Doku + AH 9.1)

Pro Anfrage liest der Bot Microsoft User ID und E-Mail-Adresse aus, ordnet die Person dem AuxData-Benutzer zu und prüft dann innerhalb der Plattform deren Berechtigungen. So erhält jeder Anwender nur Zugriff auf Agenten, für die er berechtigt ist. Die M365-Doku nennt dafür User.Read und User.Read.All; die technische Teams-Einrichtung nennt zusätzlich User.ReadBasic.All für die Azure-App-Registrierung. Entscheidend ist die geprüfte, genehmigte Scope-Liste im eigenen Tenant (Stufe 3/E5).

2Bot-Freigabe im Reiter Microsoft Konnektor

StammdatenKonfigurationMicrosoft Konnektor
Teams-Bot
Teams Bot aktiv
an
Microsoft App-IDTeams-Bot-Credential
22222222-2222-2222-2222-222222222222 (Platzhalter)
Microsoft App Password
•••••••• (Platzhalter)
Public-API-Endpunktnutzt den Access-Token für Chatbot (Stufe 6)
…/organisation/teamschat/<Accesstoken> (Form gegen Instanz prüfen)

Die MS-Graph-Synchronisation ist für den Teams-Bot nicht zwingend notwendig; aktiviert man sie, steuert die Sicherheitsgruppe zusätzlich den Zugang.

Abgrenzung zu E5: Diese Stufe verwaltet den Bot organisationsweit (Freigabe + Rechteprüfung). Die technische Einrichtung — Azure-Bot-Ressource, App-Registrierung, Client Secret, API-Berechtigungen + Admin-Consent, Manifest-ZIP und Teams-Upload — beschreibt die Teams-Integrations-Doku und gehört zu E5. (AH 3.13 gegen Instanz prüfen)
✎ Übung: Eine externe Person ist im Tenant, aber nicht im AuxData-Helpdesk-Team berechtigt — was darf sie im Bot?

✓ Das hast du eingerichtet / geprüft

Stufe 6 von 6

Access-Tokens & DOCX-Vorlagen

Externer Zugriff, Token-Rotation und die Org-Word-Vorlage.

1Externer Zugriff über Access-Tokens

Im Reiter Konfiguration → Externer Zugriff aktivierst du die Bearer-Token-Public-API für Chat und Suche — getrennt und unabhängig. (AH 9.6 + 9.1)

StammdatenKonfigurationDOCX-Vorlagen
Externer Zugriff
Globaler Zugriff auf Chatbot über Accesstoken
an
Accesstoken für Chatbotregenerierbar · Klartext
chat-tok-DEMO-xxxx (Platzhalter)
Globaler Zugriff auf Suche über Accesstoken
aus
Accesstoken für Sucheseparat · Klartext
search-tok-DEMO-xxxx (Platzhalter)

Beide Tokens erscheinen in Klartext und sind sicher aufzubewahren. Verwaltung laut AH 9.6: Rotation mindestens jährlich (idealerweise bei jedem Wechsel des verantwortlichen Admins), getrennte Scopes (Chat- und Such-Token unabhängig rotierbar), Verteilung über den Header Authorization: Bearer … in externen Systemen (Website, Mobile App, Teams-Bot-Endpunkt aus Stufe 5).

2DOCX-Vorlagen

KonfigurationDOCX-Vorlagen
Organisationsweite Word-Formatvorlage
Vorlage hochladennur .docx, max. 10 MB
muster-gmbh-vorlage.docx (Platzhalter)
Engine
Pandoc wandelt Markdown in formatierte Word-Dokumente
Liefert
SchriftartenFarbenÜberschriftenLayout
Priorität & Fallback
Workflow-Schritt-Vorlagen gehen vor; ohne Vorlage Standard-Formatierung
Upload ersetzt die aktuelle Vorlage (keine Versionshistorie); „Zurücksetzen“ entfernt sie.

Die hochgeladene .docx liefert das Layout für KI-Workflow-Exporte. (AH 9.7)

Organisation der Muster GmbH ist betriebsbereit!

Organisation, Microsoft-Konnektor, Graph-Scopes und der organisationsweite Teams-Bot sind eingerichtet und geprüft. Mach das Quiz und geh dann weiter zu D3 — Modelle und Token-Budgets steuern, wo wir Modellfreigaben und Verbrauchsgrenzen verwalten.

Token wie Secrets behandeln: Bei Verdacht sofort regenerieren — das invalidiert alle Clients, die den alten Token nutzen, inklusive Teams-Bot-Endpunkt. (AH 9.6)
✎ Übung: Welche Stationen müssen nach einer Token-Rotation neu konfiguriert werden?

✓ Das hast du eingerichtet / geprüft

Kurz-Quiz

Sitzt die Organisations-Verwaltung?

6 Fragen aus den Stufen 1–6. Kein Zertifikat — zur Selbstkontrolle. Beliebig oft wiederholbar.

Frage 1 von 6
Lade Frage…