Einrichten von OAuth 2.0 unter Verwendung eines Autorisierungscodes mit PKCE

Um OAuth 2.0 für die Verwendung von Autorisierungscodes mit PKCE einzurichten, müssen Sie Ihre Azure Active Directory-Anwendung registrieren.

Um Ihre Azure Active Directory-Anwendung bei der Microsoft Identity-Plattform zu registrieren, führen Sie die folgenden Schritte aus:

Prozedur

  1. Melden Sie sich beim Microsoft Azure-Portal an:
    Azure-Portal-Anmeldeseite
    Anmerkung: Geben Sie Ihre vollständige E-Mail-Adresse einschließlich der Domäne ein (zum Beispiel: abc@domain.com).
  2. Klicken Sie auf der Startseite unter der Option Azure Active Directory verwalten auf Ansicht.
  3. Wählen Sie auf der Seite Übersicht im Bereich Verwaltung die Option App-Registrierungen und klicken Sie dann auf + Neue Registrierung.
  4. Geben Sie auf der Seite Anwendung registrieren den entsprechenden Namen in das Feld Name ein, wählen Sie dann den unterstützten Kontotyp aus und konfigurieren Sie den Umleitungs-URI.
    1. Wählen Sie für den Umleitungs-URI die Option Öffentlicher Client/nativ (Mobile & Desktop) aus.
    2. Setzen Sie den Umleitungs-URI auf http://localhost:9999/Callback.
      Vergewissern Sie sich, dass Port 9999 freigegeben ist, oder verwenden Sie einen anderen freigegebenen Port.
    3. Klicken Sie auf Registrieren, um die erste Registrierung der App abzuschließen.
    Registrierung einer Anwendung für den PKCE-Ablauf
  5. Um die API-Berechtigung für den Zugriff der Anwendung auf die API-Ressourcen festzulegen, wählen Sie die Option API-Berechtigungen unter dem Bereich Verwalten aus.
  6. Klicken Sie auf + Berechtigung hinzufügen > Microsoft-APIs und wählen Sie Microsoft Graph.
    Bildschirm „API-Berechtigung gewähren“
  7. Wählen Sie Delegierte Berechtigungen und führen Sie die folgenden Schritte aus:
    1. Wählen Sie die folgenden Berechtigungen aus:
      • email
      • offline_access
      • openid
      • Profil
    2. Suchen Sie mit Nutzer im Suchfeld Berechtigungen auswählen und erweitern Sie die Option Nutzer.
    3. Aktivieren Sie das Kontrollkästchen User.Read.
      Anmerkung: Administratoren können mit dem PowerShell-Cmdlet New-ApplicationAccessPolicy den Zugriff auf bestimmte Postfächer beschränken. Weitere Informationen finden Sie unter Limiting application permissions to specific Exchange Online mailboxes.
    4. Suchen Sie mit Mail im Suchfeld Berechtigungen auswählen und erweitern Sie die Option Mail.
    5. Wählen Sie die API-Berechtigungen Mail.ReadWrite und Mail.Send aus.
      Wählen Sie die Berechtigungen für PKCE-Ablauf aus
    6. Klicken Sie auf Berechtigungen hinzufügen.
    7. Klicken Sie auf Ja, um die Berechtigung zur Nutzung der API zu gewähren.
      Die Berechtigungen müssen von einem Administrator oder einem Nutzer mit Administratorrechten erteilt werden, wie im Folgenden dargestellt:
      Erteilte API-Berechtigungen für PKCE
  8. Nachdem eine Anwendung registriert wurde, werden ihr die Client-ID und die Mandanten-ID zugewiesen. Sie können auf In Zwischenablage kopieren klicken, um die Mandanten- und Client-IDs zu kopieren.
    Client-ID, Mandanten-ID und Umleitungs-URL kopieren
    Sie können die Client-ID, die Mandanten-ID und den geheimen Clientschlüssel verwenden, um eine Verbindung mit einem Microsoft 365 Outlook-Server herzustellen.
    Anmerkung: Wenn die Mailbox innerhalb einer Schleife Aktionverwendet wird, müssen Sie den Nutzer registrieren, der die Automatisierung durchführen soll. Weitere Informationen finden Sie unter Manage users and groups assignment to an application.