Microsoft 365 · AuxData Teams-Bot
Diese Berechtigungen braucht die Teams-Integration — und nur diese.
Damit der AuxData-Chatbot in Microsoft Teams läuft, genügt eine sehr kleine Menge an Microsoft-365-Rechten. Kein Zugriff auf SharePoint, Dateien oder Postfächer. Die ausführliche AuxData-Berechtigungsdoku wirkt umfangreicher, weil sie alle vier möglichen Anbindungen (SSO, Teams-Bot, SharePoint, Mail) zusammen beschreibt — für den reinen Teams-Bot gilt die kurze Liste unten.
Wer wird gebraucht
Zwei Rollen
Die Einrichtung dauert wenige Minuten und betrifft genau zwei Personen.
Microsoft-Tenant-Administrator
Legt im Azure-Portal (Microsoft Entra) die Bot-Ressource an, erzeugt das Client Secret, setzt die Graph-Berechtigung und erteilt die Administratorzustimmung.
AuxData-Organisations-Administrator
Trägt die drei Werte in AuxData ein, erstellt die Teams-App (Manifest) und lädt sie in Microsoft Teams hoch. Das übernehmen wir gemeinsam.
Das Minimum
Was Ihre IT freigeben muss
Fünf Punkte — alle im Microsoft-Tenant, ohne Zugriff auf Inhalte Ihrer Organisation.
1. Azure-Bot-Ressource anlegen
Im Azure-Portal eine Ressource vom Typ Azure Bot (Single Tenant, neue Microsoft-App-ID) erstellen und den Kanal Microsoft Teams aktivieren.
2. Geheimen Clientschlüssel erzeugen
In der App-Registrierung ein Client Secret anlegen. Es wird nur einmalig angezeigt — sicher notieren.
3. Eine Microsoft-Graph-Berechtigung + Admin-Zustimmung
Als Anwendungsberechtigung: User.Read.All (und User.Read). Damit ordnet AuxData den anfragenden Teams-Nutzer dem richtigen AuxData-Benutzer zu (per Microsoft-User-ID und E-Mail). Anschließend die Administratorzustimmung erteilen — sonst bleibt die Berechtigung wirkungslos.
4. Hochladen eigener Teams-Apps erlauben
Der Bot wird als eigene Teams-App (Manifest) installiert. In den Teams-Admin-Richtlinien muss „Benutzerdefinierte Apps hochladen“ (Sideloading) erlaubt sein.
5. Drei Werte an AuxData übergeben
Damit die Verbindung steht, brauchen wir:
Sicherheitshinweis: Tenant-ID, App-ID und vor allem das Client Secret sind Zugangsdaten. Bitte auf sicherem Weg übergeben — nicht per Ticket, Chat oder Screenshot.
Zur Beruhigung
Was ausdrücklich NICHT benötigt wird
Diese weitreichenden Rechte stehen in der AuxData-Gesamtdoku, gehören aber zu anderen Anbindungen. Für den Teams-Bot sind sie nicht anzufragen.
| Berechtigung | Gehört zu | Teams-Bot |
|---|---|---|
| Sites.Read.All, Sites.ReadWrite.All | SharePoint-Synchronisation | ✗ nicht nötig |
| Files.Read.All | SharePoint-Synchronisation | ✗ nicht nötig |
| Directory.Read.All | SharePoint-Synchronisation | ✗ nicht nötig |
| Mail.Read, Mail.ReadWrite, Mail.Send | Mailautomatisierung | ✗ nicht nötig |
| Team.ReadBasic.All, TeamSettings.Read.All | SSO / SharePoint | ✗ nicht nötig |
| Täglicher Benutzer-Sync / automatisches Deaktivieren von Accounts | Single Sign-On | ✗ nicht nötig |
Auch nicht nötig: die MS-Graph-Synchronisation im Microsoft Connector. Sie steuert lediglich per Microsoft-Sicherheitsgruppe, wer Zugang erhält (SSO) — für den reinen Bot-Betrieb wird sie nicht aktiviert.
Fragen zur Teams-Einrichtung?
Wir richten den Teams-Bot gemeinsam mit Ihrer IT ein und begleiten die Freigabe Schritt für Schritt.