OAuth-Authentifizierung für den E-Mail-Versand in TIME4 einrichten – M-SOFT

Diese Anleitung beschreibt, wie Sie für TIME4 die OAuth-Authentifizierung für den E-Mail-Versand über Microsoft 365 / Exchange Online einrichten. OAuth ersetzt die klassische Passwort-Authentifizierung und ist seit der Abschaffung der Basic Authentication durch Microsoft für viele Tenants verpflichtend.

Voraussetzungen
Microsoft 365 / Exchange Online · Zugang zum Azure-Portal mit Administratorrechten · Exchange Online PowerShell

Schritt 1: App-Registrierung im Microsoft Entra Admin Center

Öffnen Sie das Azure-Portal (portal.azure.com) und melden Sie sich als Administrator an.
Navigieren Sie zu Microsoft Entra ID → App-Registrierungen → Neue Registrierung.
Füllen Sie das Formular aus:
- Name: z. B. TIME4 E-Mail-Versand
- Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis
- Umleitungs-URI: leer lassen
Klicken Sie auf Registrieren.
Notieren Sie sich auf der Übersichtsseite:
- Anwendungs-ID (Client-ID) → wird in TIME4 als Client ID eingetragen
- Verzeichnis-ID (Mandant) → wird in TIME4 als Tenant ID eingetragen

Schritt 2: Client-Secret anlegen

Klicken Sie in der App-Registrierung auf Zertifikate & Geheimnisse → Neuer geheimer Clientschlüssel.
Vergeben Sie eine Beschreibung (z. B. TIME4 SMTP) und wählen Sie eine Ablaufzeit.
Klicken Sie auf Hinzufügen.
Kopieren Sie den angezeigten Wert sofort – er wird danach nicht mehr vollständig angezeigt.

ℹ Hinweis: Dieser Wert wird in TIME4 als Client Secret eingetragen. Bewahren Sie ihn sicher auf.

Schritt 3: API-Berechtigung für SMTP hinzufügen

Navigieren Sie in der App-Registrierung zu API-Berechtigungen → Berechtigung hinzufügen.
Wählen Sie die Registerkarte APIs, die meine Organisation verwendet und suchen Sie nach Office 365 Exchange Online.
Wählen Sie Anwendungsberechtigungen.
Aktivieren Sie die Berechtigung SMTP.SendAsApp.
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie danach auf Administratorzustimmung erteilen für [Ihr Unternehmen] und bestätigen Sie mit Ja.

Schritt 4: Dienstprinzipal in Exchange Online registrieren

Dieser Schritt wird per PowerShell durchgeführt. Öffnen Sie die PowerShell als Administrator:

# Exchange Online Modul installieren (einmalig)
Install-Module -Name ExchangeOnlineManagement

# Mit Exchange Online verbinden
Connect-ExchangeOnline -Organization <Ihre-Domain.onmicrosoft.com>

# Dienstprinzipal registrieren
New-ServicePrincipal -AppId <Client-ID> -ObjectId <Objekt-ID>

⚠ Wichtig: Die ObjectId finden Sie unter Unternehmensanwendungen (Enterprise Applications) → Ihre App → Übersicht. Es ist nicht die ObjectId aus der App-Registrierung! Die falsche ID führt zu einem Authentifizierungsfehler.

Schritt 5: Postfachberechtigung vergeben

Das Absender-Postfach muss explizit freigegeben werden:

# Service Principal ID ermitteln
Get-ServicePrincipal | Format-List

# Berechtigung für das Absenderpostfach vergeben
Add-MailboxPermission -Identity 'absender@firma.de' \
    -User <ServicePrincipal-Identity> -AccessRights FullAccess

ℹ Hinweis: Ersetzen Sie absender@firma.de durch die E-Mail-Adresse, von der TIME4 E-Mails versenden soll. Diese Adresse muss später auch in TIME4 als Absender-E-Mail eingetragen werden.

Schritt 6: TIME4 konfigurieren

Öffnen Sie TIME4 und navigieren Sie zu Firma → Reiter „Monteurberichte" → Abschnitt „SMTP-Parameter für den E-Mail-Versand":

Feld	Wert
Server	`smtp.office365.com`
Port	`587`
SSL	aktiviert (Häkchen setzen)
Authentifizierungstyp	`OAuth`
Tenant ID	Verzeichnis-ID aus Schritt 1
Client ID	Anwendungs-ID aus Schritt 1
Client Secret	Wert aus Schritt 2

Im Abschnitt „Einstellungen Monteurberichte" tragen Sie die Absenderadresse ein:

Feld	Wert
Absender E-Mail	`absender@firma.de` (muss dem Postfach aus Schritt 5 entsprechen)

ℹ Hinweis: Speichern Sie die Einstellungen und prüfen Sie anschließend mit der Schaltfläche „Test E-Mail senden", ob der Versand korrekt funktioniert.

Häufige Fehler und Lösungen

Fehlermeldung	Mögliche Ursache / Lösung
`535 5.7.3 Authentication unsuccessful`	Dienstprinzipal nicht in Exchange registriert → Schritt 4 wiederholen.
`535 5.7.139 Authentication unsuccessful`	SMTP AUTH für den Tenant deaktiviert. Im Exchange Admin Center unter Einstellungen → E-Mail-Fluss aktivieren oder per PowerShell: `Set-TransportConfig -SmtpClientAuthenticationDisabled $false`
`Token-Fehler / Unauthorized`	Falsche ObjectId beim `New-ServicePrincipal` verwendet. Muss aus „Unternehmensanwendungen" stammen, nicht aus „App-Registrierungen".
`Test-Mail schlägt fehl`	Absenderadresse in TIME4 entspricht nicht dem Postfach aus Schritt 5. Adressen müssen identisch sein.
`Client Secret abgelaufen`	Neues Secret in Azure anlegen (Schritt 2), alten Wert in TIME4 ersetzen und speichern.

Haftungsausschluss

Diese Anleitung wurde auf Basis der offiziellen Dokumentation von Microsoft erstellt (Microsoft Learn – „Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth"). Sie dient ausschließlich als praxisorientierte Orientierungshilfe und erhebt keinen Anspruch auf Vollständigkeit oder Aktualität.

Da sich Benutzeroberflächen, Bezeichnungen und Verhaltensweisen von Microsoft Azure, Microsoft Entra ID und Exchange Online jederzeit ohne Vorankündigung ändern können, kann nicht garantiert werden, dass alle beschriebenen Schritte in unveränderter Form zutreffen. Insbesondere die Benennung von Menüpunkten, Berechtigungen und PowerShell-Cmdlets kann von der hier dargestellten Darstellung abweichen.

Sie sind selbst dafür verantwortlich, die Konfiguration in Ihrer Umgebung zu überprüfen und die Eignung der beschriebenen Vorgehensweise zu beurteilen. Wir übernehmen keine Haftung für Schäden, Datenverluste oder Betriebsunterbrechungen, die durch die Umsetzung dieser Anleitung entstehen.

Bei Fragen zur Azure-Konfiguration, zu Microsoft-365-Berechtigungen oder zur Exchange-Online-Verwaltung wenden Sie sich bitte an Ihre interne IT-Abteilung oder direkt an den Microsoft-Support unter support.microsoft.com.

Quelle: Microsoft Docs – OAuth für IMAP/POP/SMTP

Verknüpfung mit