Integrieren · E4 · 7 Stufen

Teams-Bot einrichten

Track E dockt AuxData an die Aussenwelt an. In E5 baust du den globalen Org-Chatbot als AuxData.ai Teams Bot — von der Azure-Ressource bis zum Manifest-Upload in Microsoft Teams.

Was du in diesem Tutorial einrichtest

Wir bringen den in Track C gebauten Helpdesk-Assistenten der Muster GmbH als Teams-Bot in die Microsoft-Teams-Umgebung der Organisation. Anwender chatten dann direkt in Teams mit den Wissensdatenbanken der Agenten, für die sie berechtigt sind. Die Schritte sind echte Klick- und Konfigurationswege im Azure-Portal, in AuxData und in MS Teams — mit .cfg-Mockups statt Screenshots.

Voraussetzung: Microsoft-Tenant-Administrator (Azure-Portal, Admin-Consent) und AuxData-Organisations-Administrator (Microsoft-Konnektor). Alle IDs, Secrets und Tokens sind Platzhalter<TENANT-ID>, <APP-ID>, ${BOT_SECRET}, <ACCESSTOKEN>.

Abgrenzung zu D2: D2 zeigt den Teams-Bot auf Organisationsebene — Freigabe (Schalter „Teams Bot aktiv"), Rechteprüfung des zugeordneten AuxData-Benutzers und die Verortung der Konnektor-Felder. E5 baut den Bot technisch: Azure-Ressource, App-Registrierung, Endpoint, Scopes, Manifest und Teams-Upload. Org-seitige Details (Konnektor-Felder, Token-Rotation) verweisen auf D2, statt sie erneut zu vertiefen.

Quellen und Stand

Geprüft gegen die Integration-in-MS-Teams-Doku (Stand Juni 2026) und die Microsoft-365-Konnektor-Doku (Stand 07.04.2026), ergänzt um das Administrator-Handbuch Kap. 9 (Org-Bezug → D2). Portal-, Teams- und Manifest-Beschriftungen sind versionsabhängig — gegen die eigene Instanz prüfen.

Stufe 1 von 7

Überblick & Voraussetzungen

Wie Teams, Azure-Bot und AuxData zusammenspielen — und wer was darf.

1Die Integration in drei Etappen

Der AuxData.ai Teams Bot ist die Integration des globalen Org-Chatbots in MS Teams. Die Einrichtung läuft in drei Etappen. (Teams-Doku, Einleitung)

  1. Azure-Ressource + App-Registrierung anlegen, Microsoft-App-Daten in AuxData hinterlegen und die Berechtigungen festlegen.
  2. Manifest-Datei erstellen (manifest.json aus der Vorlage).
  3. Manifest über Microsoft Teams installieren und testen.

2Architektur: Teams → Azure-Bot → AuxData

Eine Azure-Bot-Ressource nimmt die Teams-Nachrichten entgegen und leitet sie an den AuxData-Endpoint weiter. Pro Anfrage liest AuxData Microsoft User ID und E-Mail aus, ordnet die Person dem AuxData-Benutzer zu und prüft innerhalb der Plattform die Rechte — so erreicht jeder nur die Agenten, für die er berechtigt ist. (M365-Doku, „AuxData.ai Teams Bot")

Teams-Client
Azure-Bot-Ressource
AuxData-Endpoint (Rechteprüfung)
Antwort
Teams-Client → Azure-Bot-Ressource → AuxData-Endpoint → Antwort

3Voraussetzungen

Microsoft-Tenant
Azure-Portal-Zugang als Tenant-Administrator (Ressource, App-Registrierung, Admin-Consent).
AuxData-Plattform
Organisations-Administrator für den Microsoft-Konnektor und den Access-Token.
Agent
ein in C1 angelegter/freigeschalteter Helpdesk-Assistent.
Manifest-Vorlage
das AuxData-GitHub-Vorlage-Repo für manifest.json.
Abgrenzung: Die organisationsweite Freigabe und Rechteprüfung (Schalter „Teams Bot aktiv", Plattform-Rechte des zugeordneten Benutzers) ist D2. E5 baut die technische Einrichtung.
✎ Denkaufgabe: Welche zwei Administrator-Rollen brauchst du — und wofür ist jede zuständig?

✓ Das hast du jetzt erledigt

Stufe 2 von 7

Azure-Ressource & App-Registrierung

Den Bot in Azure anlegen und registrieren.

1Ressource anlegen (1.1)

Melde dich im Azure Portal (https://portal.azure.com) mit dem Administrator-Account an. (Teams-Doku 1.1)

  1. „Ressource erstellen" öffnen.
  2. Kategorie „KI-Apps und -Agents"„Azure Bot".
  3. Bot-Namen vergeben (z. B. AuxData_Bot), Abonnement ist vorausgewählt, Ressourcengruppe neu anlegen oder wählen.
  4. Type of App: Single Tenant; Creation Type: „Create new Microsoft App ID".
  5. „Überprüfen + erstellen"„Erstellen".
Azure-Bot-Ressource anlegen (offizielle Abbildung aus dem Teams-Integrationshandbuch, Demo-Daten)
Offizielle Abbildung aus dem Teams-Integrationshandbuch (Azure-Portal, Demo-Daten) — die Erstellungs-Maske „Azure Bot": Name, Abonnement, Ressourcengruppe, Single Tenant.

2App-Registrierung & geheimer Clientschlüssel (1.3)

Zurück ins Hauptmenü → App-Registrierung → die Anwendung über ihren Bot-Handle-Namen suchen (ggf. unter „Alle Anwendungen"). Dort einen „Neuer geheimer Clientschlüssel" anlegen (Name + Gültigkeitsdauer). Der Schlüssel wird nur einmalig angezeigt — sofort kopieren. Unter „Übersicht" findest du die Anwendungs-ID (Client) = die Client-ID.

Azure BotApp-Registrierung
Azure-Bot-Ressource (Demo-Werte)
Bot-Name
AuxData_Bot
Type of App
Single TenantMulti Tenant
Creation Type
Create new Microsoft App ID
Client-IDAnwendungs-ID (Client) aus „Übersicht"
<APP-ID>
Geheimer Clientschlüsselnur einmalig sichtbar
${BOT_SECRET}
Secret: Der geheime Clientschlüssel erscheint nur ein einziges Mal. Sicher notieren (Passwort-Manager), nie in Screenshots/Tickets eintragen und keine echten Secrets in Uebungsmaterial verwenden — hier ${BOT_SECRET}.
✎ Bauaufgabe: Du hast das Fenster mit dem geheimen Clientschlüssel geschlossen, ohne ihn zu kopieren — was tust du?

✓ Das hast du jetzt erledigt

Stufe 3 von 7

Graph-Berechtigungen (Bot-Scopes & Admin-Consent)

Welche Microsoft-Graph-Rechte der Bot braucht — und der Pflichtschritt danach.

1Warum der Bot Graph-Rechte braucht

AuxData braucht von Microsoft die Information, welcher Benutzer den Chatbot aufruft, um sie mit dem AuxData-User-Management abzugleichen und die Rechte des Anwenders zu prüfen. (Teams-Doku 1.4)

2Bot-Scopes (massgeblich: M365-Doku)

User.Read
Anwendungsberechtigung (Microsoft Graph) — Basis-Benutzerinfo.
User.Read.All
Anwendungsberechtigung — Benutzer dem AuxData-User zuordnen (User ID + E-Mail).
Divergenz (gegen Instanz prüfen): Die Teams-Integrations-Doku (Schritt 1.4) beschreibt den Weg API-Berechtigungen → Berechtigung hinzufügen → Microsoft Graph → Anwendungsberechtigungen, auf User.Read filtern; dort aktiviert sie zusätzlich User.ReadBasic.All. Die M365-Scope-Liste nennt für den Bot nur User.Read und User.Read.All. Im Zweifel die Minimalmenge (Least-Privilege, konsistent zu D2 Stufe 3) verwenden und gegen die eigene App-Registrierung prüfen.

3Admin-Consent (Pflichtschritt)

Die Scopes sind Anwendungsberechtigungen (nicht delegiert). Danach muss ein Tenant-Administrator die Administratorzustimmung erteilen (Schaltfläche „Administratorzustimmung erteilen" → bestätigen). Erst dann erscheinen die grünen Haken und Graph-Aufrufe funktionieren.

Consent: Ohne erteilten Admin-Consent bleibt die Zuordnung Microsoft-User ↔ AuxData-Benutzer wirkungslos. Gib nur die für den Bot nötigen Scopes frei — keine SharePoint-/Mail-Scopes.
✎ Bauaufgabe: Die Berechtigungen sind in Azure aktiviert, aber die Benutzerzuordnung schlägt fehl — was fehlt?

✓ Das hast du jetzt erledigt

Stufe 4 von 7

Endpoint & AccessToken in AuxData hinterlegen

Azure-Ressource und AuxData miteinander verbinden.

1Endpoint in der Azure-Ressource (1.2)

In der Azure-Ressource unter Einstellungen → Konfiguration den Endpunkt eintragen. Form für die AuxData-Plattform: https://auxdata.ai/organisation/teamschat/<ACCESSTOKEN>. (Teams-Doku 1.2)

Den Platzhalter <ACCESSTOKEN> beziehst du in AuxData unter Organisation → Reiter Konfiguration → Externer Zugriff → „Accesstoken für Chatbot" (Kopieren-Button).

2Microsoft-Konnektor in AuxData (1.3)

Im AuxData-Microsoft-Konnektor (Organisation → Reiter Microsoft-Konnektor) die Tenant-ID eintragen, MS Teams Bot aktivieren und die Microsoft App-ID unter „Teams Bot App ID" eintragen. Das Teams-Bot-Passwort ist der in Stufe 2 erzeugte geheime Clientschlüssel. Dann im Azure-Portal „Anwenden" und in AuxData „Speichern".

KonfigurationMicrosoft-Konnektor
AuxData Microsoft-Konnektor (Demo-Werte)
Tenant-ID
<TENANT-ID>
MS Teams Bot
aktiv
Teams Bot App ID
<APP-ID>
Teams Bot Passwort= geheimer Clientschlüssel
${BOT_SECRET}
Endpointin der Azure-Ressource
https://auxdata.ai/organisation/teamschat/<ACCESSTOKEN>
Echter Organisations-Editor, Reiter Microsoft Konnektor: Tenant-ID (Demo-Wert), MS-Graph-Synchronisation und Microsoft-Teams-Bot mit App-ID/Passwort
Echter Reiter „Microsoft Konnektor" an der Demo-Instanz — Tenant + Microsoft-Teams-Bot; Tenant-ID als Demo-UUID maskiert, Secrets leer
Azure-Ressource konfigurieren: Endpunkt eintragen (offizielle Abbildung aus dem Teams-Integrationshandbuch, Demo-Daten)
Offizielle Abbildung aus dem Teams-Integrationshandbuch (Azure-Portal, Demo-Daten) — die Konfiguration der Ressource; hier trägst du den AuxData-Endpunkt https://auxdata.ai/organisation/teamschat/<Accesstoken> ein.

3Kanal festlegen (Azure)

In Azure unter Einstellungen → Kanäle Microsoft Teams auswählen, den Benutzungsbestimmungen zustimmen („Agree"), für ein kommerzielles Unternehmen Microsoft Teams Commercial wählen und „Apply".

Secrets: Tenant-ID, App-ID und vor allem das Bot-Passwort sind Zugangsdaten — im Mockup nur Platzhalter, nie in Tickets/Screenshots teilen. Hinweis (gegen Instanz prüfen): Die MS-Graph-Synchronisation ist für den Teams-Bot nicht zwingend; aktiviert man sie, steuert zusätzlich eine Microsoft-Sicherheitsgruppe den Zugang (Org-Sicht → D2).
✎ Bauaufgabe: Woher kommt der <ACCESSTOKEN>-Teil des Endpunkts — und was trägst du im Gegenzug in AuxData ein?

✓ Das hast du jetzt erledigt

Stufe 5 von 7

Manifest erstellen (manifest.json)

Die Datei, mit der Teams die App installiert.

1Vorlage holen und anpassen

Die Manifest-ZIP enthält drei Dateien: die manifest.json und zwei Icons (color.png, outline.png). AuxData stellt unter https://github.com/AuxData-ai/teamsbot-manifest eine Vorlage bereit. (Teams-Doku, Manifestdatei)

In der Vorlage stehen Platzhalter <ID> — diese durch deine Teams-Bot-ID (= die Microsoft App-ID <APP-ID>) ersetzen. Anschliessend manifest.json, color.png und outline.png in eine ZIP-Datei packen.

2Schematische manifest.json

{
  "manifestVersion": "1.x",
  "id": "<APP-ID>",
  "packageName": "ai.auxdata.teamsbot",
  "name": { "short": "AuxData Helpdesk" },
  "bots": [
    {
      "botId": "<APP-ID>",
      "scopes": [ "personal", "team", "groupchat" ]
    }
  ],
  "validDomains": [ "auxdata.ai" ]
}
Platzhalter: <APP-ID> und die Domain sind Demo-Platzhalter — keine echten IDs ins Uebungsmaterial. Die massgebliche Feldstruktur (Schlüssel, manifestVersion, Scope-Werte, Domains) kommt aus der heruntergeladenen GitHub-Vorlage, nicht aus diesem Schema-Auszug; nur die <ID>-Platzhalter selbst ersetzen, sonst nichts blind übernehmen.
✎ Bauaufgabe: Welche drei Dateien gehören in die Manifest-ZIP — und welchen Platzhalter ersetzt du in der manifest.json?

✓ Das hast du jetzt erledigt

Stufe 6 von 7

Manifest in Teams hochladen & testen

Der letzte Einrichtungsschritt — und die Probe.

1Klickpfad zum Upload

Das Manifest wird über den Apps-Manager in MS Teams hochgeladen. (Teams-Doku, Upload)

  1. MS Teams öffnen → Apps.
  2. Im Apps-Manager „Apps verwalten".
  3. „Apps hochladen"„Benutzerdefinierte App hochladen".
  4. Deine Manifest-ZIP auswählen.
  5. Die App-Informationen erscheinen → „Hinzufügen".
Manifest-Upload in MS Teams (offizielle Abbildung aus dem Teams-Integrationshandbuch)
Offizielle Abbildung aus dem Teams-Integrationshandbuch — der Manifest-Upload in MS Teams („Apps hochladen → Benutzerdefinierte App").

2Test im Client

Den Helpdesk-Bot öffnen und eine einfache Helpdesk-Frage stellen. Prüfen, dass die Antwort aus den Wissensdatenbanken des berechtigten Agenten kommt und die Benutzerzuordnung greift (der angemeldete Teams-Nutzer wird auf seinen AuxData-Benutzer abgebildet).

Voraussetzung: „Benutzerdefinierte App hochladen" (Sideloading) muss im Tenant erlaubt sein. Ist die Option nicht sichtbar, ist sie in den Teams-Admin-Richtlinien gesperrt → mit dem Tenant-Admin klären (gegen Instanz prüfen).
✎ Bauaufgabe: Im Apps-Manager fehlt „Benutzerdefinierte App hochladen" — woran liegt das?

✓ Das hast du jetzt erledigt

Stufe 7 von 7

Betrieb & Sicherheit

Den laufenden Bot sicher betreiben.

1Globaler Modus vs. agentgebunden

Der Teams-Bot ist der globale Chatbot der Organisation — der Anwender chattet über ihn mit den Wissensdatenbanken der einzelnen Agenten (inkl. Datei-/Bild-Funktionen), für die er berechtigt ist. Er ist also nicht an genau einen Agenten gebunden, sondern routet org-weit. (M365-Doku)

2Rechteprüfung (plattformseitig)

Pro Anfrage liest AuxData Microsoft User ID + E-Mail aus, ordnet die Person zu und prüft die Berechtigungen innerhalb der Plattform — nur berechtigte Agenten sind erreichbar. Wer im Tenant ist, aber in AuxData keine Agent-Rechte hat, bekommt keine Inhalte (Org-Sicht/Freigabe → D2).

3Secret- & Token-Rotation

Der geheime Clientschlüssel hat eine Gültigkeitsdauer (Stufe 2) — vor Ablauf einen neuen erzeugen und in Azure und im AuxData-Konnektor (${BOT_SECRET}) aktualisieren. Den Access-Token für Chatbot (Endpoint-Bestandteil) wie ein Secret behandeln und gemäß AH 9.6 mindestens jährlich bzw. bei Admin-Wechsel rotieren. Nach einer Token-Rotation muss der Endpoint in der Azure-Ressource neu gesetzt werden (alter Token wird ungültig → Bot bricht ab).

Sicherheit: Drei Geheimnisse hängen am Bot — Bot-Passwort/geheimer Clientschlüssel, Tenant-/App-ID und Chatbot-Access-Token im Endpoint. Keines davon gehört in Manifest-Repos, Screenshots oder Tickets; nach Verdacht auf Leak sofort regenerieren und überall nachziehen.

Teams-Bot eingerichtet!

Der Helpdesk-Assistent der Muster GmbH läuft als Teams-Bot — eingerichtet, getestet und abgesichert. Mach das Quiz und geh dann weiter zu E5 — Filesync & Microsoft 365.

✎ Bauaufgabe: Nenne zwei Geheimnisse, die nach einer Rotation an mehreren Stellen gleichzeitig aktualisiert werden müssen.

✓ Das hast du jetzt erledigt

Kurz-Quiz

Sitzt die Teams-Bot-Einrichtung?

7 Fragen aus den Stufen 1–7. Kein Zertifikat — zur Selbstkontrolle. Beliebig oft wiederholbar.

Frage 1 von 7
Lade Frage…