Zum Hauptinhalt springen

Microsoft Outlook Calendar-Integration: Einrichtung und Sicherheitsübersicht

Technischer Leitfaden für IT- und Sicherheitsteams zur Outlook Calendar-Integration von Bliro: Authentifizierungsmodell, OAuth-Scopes mit Begründungen und Berechtigungen auf Tool-Ebene.

Verfasst von Laura Fuchs

Dieser Leitfaden richtet sich an IT- und Sicherheitsteams, die Bliros Integration mit Microsoft Outlook Calendar evaluieren. Er behandelt das Authentifizierungsmodell, die Berechtigungen, die Bliro bei der Zustimmung anfordert und wie Bliro Berechtigungen auf Tool-Ebene über seine KI-Agenten durchsetzt.

Überblick

Bliro verbindet sich mit Outlook Calendar über benutzerdelegiertes OAuth 2.0 gegen Microsoft Graph. Bliro handelt im Namen des angemeldeten Benutzers und kann keine Kalenderaktion ausführen, die der Benutzer selbst nicht ausführen dürfte. Die Integration wird über Bliros registrierte Microsoft Enterprise Application bereitgestellt - dieselbe Anwendung, die auch für Bliros andere Microsoft 365-Integrationen verwendet wird.

  • Anwendungsname: Bliro

  • Herausgeber: bliro GmbH (von Microsoft verifizierter Herausgeber)

So funktioniert die Integration

Wenn ein Benutzer Outlook Calendar in Bliro verbindet, passiert Folgendes:

  1. Bliro initiiert eine OAuth-2.0-Autorisierungsanfrage an login.microsoftonline.com.

  2. Der Benutzer meldet sich mit seinem Microsoft-Geschäftskonto an und stimmt den angeforderten Scopes zu.

  3. Microsoft Entra ID stellt einen Access Token und einen Refresh Token aus, die an den angemeldeten Benutzer gebunden sind.

  4. Bliro verwendet den Access Token, um die Microsoft Graph API im Namen des Benutzers aufzurufen, beschränkt auf das Postfach und die Kalenderberechtigungen des Benutzers.

  5. Wenn der Access Token abläuft, erneuert Bliro es automatisch über den Refresh Token, bis der Benutzer die Verbindung trennt oder ein Administrator die Zustimmung widerruft.

Alle Anfragen sind auf die eigene Identität des Benutzers beschränkt. Bliro besitzt niemals ein Anwendungs-Credential (Daemon) für deinen Microsoft 365-Tenant.

Voraussetzungen

  • Der Benutzer hat eine gültige Microsoft 365-Lizenz mit Postfach und Kalender.

  • Dein Microsoft Entra ID-Tenant erlaubt es Benutzern, der Bliro Enterprise Application benutzerdelegierte Berechtigungen zu erteilen. Falls die Benutzerzustimmung in deinem Tenant eingeschränkt ist, muss ein Microsoft Entra-Administrator entweder vorab im Namen der Organisation zustimmen oder dem betroffenen Benutzer die Möglichkeit zur Zustimmung gewähren.

  • Der Benutzer ist bei Bliro angemeldet.

Einrichtung: Bliro mit Outlook Calendar verbinden

  1. Öffne in Bliro die Integrationen und wähle Outlook Calendar aus.

  2. Klicke auf Verbinden. Bliro leitet dich zur Microsoft-Anmeldeseite (login.microsoftonline.com) weiter.

  3. Wähle das Microsoft-Geschäftskonto aus, dessen Kalender du verbinden möchtest.

  4. Prüfe den Bildschirm „Angeforderte Berechtigungen" und klicke auf Akzeptieren. Die angeforderten Berechtigungen sind im nächsten Abschnitt detailliert aufgeführt.

  5. Bliro leitet dich zurück zur Integrationsseite.

  6. Konfiguriere die Tools & Berechtigungen, die Bliro in deinem Namen verwenden darf.

Angeforderte Berechtigungen (OAuth-Scopes)

Bei der Zustimmung fordert Bliro genau die folgenden zehn Scopes für die Outlook Calendar-Integration an. Jeder ist unten mit seinem Zweck und seiner Begründung aufgeführt.

Scope

Begründung

openid

Standard-OpenID-Connect-Scope. Erforderlich zur Identifizierung des Benutzers und zur Verknüpfung des Microsoft 365-Kontos mit dem richtigen Bliro-Konto.

offline_access

Ermöglicht Bliro den Erhalt eines Refresh Tokens, um das kurzlebige Microsoft Graph Access Token automatisch zu erneuern. Ohne offline_access müsste sich der Benutzer jedes Mal neu authentifizieren, wenn das Access Token abläuft (in der Regel stündlich) - auch für Aktionen nach dem Meeting, die ausgeführt werden, nachdem der Benutzer die App geschlossen hat. Gewährt allein keinen zusätzlichen Datenzugriff.

email

Standard-OpenID-Connect-Scope, der die primäre E-Mail-Adresse des Benutzers bereitstellt, die als eindeutiger Identifikator zur Verknüpfung des Microsoft 365-Kontos mit dem Bliro-Benutzerkonto verwendet wird.

profile

Standard-OpenID-Connect-Scope, der den Namen und grundlegende Profilinformationen des Benutzers bereitstellt, die in der Bliro-Oberfläche zur Personalisierung verwendet werden.

User.Read

Liest das grundlegende Profil des angemeldeten Benutzers: Anzeigename, E-Mail-Adresse, Zeitzone und bevorzugte Sprache. Wird zur Identifizierung des Benutzers in Audit-Logs, CRM-Zuordnungen und zur Terminplanung in der lokalen Zeitzone des Benutzers verwendet.

Contacts.Read

Liest die gespeicherten Kundenkontakte des Benutzers, damit Bliro in Sprachbefehlen erwähnte Namen der richtigen E-Mail-Adresse zuordnen kann. Nur Lesezugriff - Bliro erstellt oder ändert keine Kontakte.

People.Read

Zeigt Personen an, mit denen der Benutzer häufig kommuniziert. Ermöglicht es, natürlichsprachliche Verweise der richtigen Person zuzuordnen, auch wenn der Benutzer sie nicht explizit als Kontakt gespeichert hat. Nur Lesezugriff.

User.ReadBasic.All

Liest grundlegende Profilinformationen (Name, E-Mail, Berufsbezeichnung) anderer Benutzer in der eigenen Organisation. Erforderlich, wenn der Benutzer ein internes Übergabemeeting planen oder einen Kollegen in CC setzen möchte. Der Zugriff ist auf grundlegende Verzeichnisinformationen beschränkt und umfasst keine Kalenderinhalte von Kollegen.

Calendars.ReadWrite

Liest anstehende Meetings, damit Bliro den Benutzer vor einem Termin informieren kann, und erstellt, aktualisiert oder storniert Kalendereinträge, wenn der Benutzer Follow-ups per Sprache oder Chat plant. Schreibzugriff ist erforderlich, da das Erstellen eines Follow-up-Meetings nach einem Kundenbesuch einer der Kern-Workflows ist, die Bliro automatisiert. Ohne Schreibzugriff müsste der Benutzer jede geplante Aktion manuell von Bliro nach Outlook übertragen.

Calendars.Read.Shared

Erforderlich, um nach verfügbaren Terminslots zu suchen, die freigegebene Kalender des Benutzers berücksichtigen (zum Beispiel einen gemeinsamen Teamkalender oder den Kalender eines Kollegen, für den der Benutzer Sichtbarkeit erhalten hat). Stellt sicher, dass vorgeschlagene Meetingzeiten nicht mit Verpflichtungen aus freigegebenen Kalendern kollidieren. Bliro liest nur die Verfügbarkeit aus freigegebenen Kalendern und ändert diese nicht.


Tools und Berechtigungen

Auch wenn die Microsoft Graph-Scopes gewährt wurden, führt Bliro standardmäßig keine Outlook Calendar-Operation aus. Jede einzelne Aktion, die Bliro ausführen kann, ist als Tool mit einer eigenen Berechtigungsstufe modelliert (Immer erlauben, Um Erlaubnis fragen oder Verweigern), die von einem Organisationsadministrator konfiguriert wird.

Bliro liefert derzeit einen festen Satz vordefinierter Tools für Outlook Calendar, die Terminsuche, Terminerstellung und Kontaktsuche abdecken. Die Erstellung benutzerdefinierter Tools ist für Kalender-Integrationen noch nicht verfügbar; es können nur die mit der Integration ausgelieferten vordefinierten Tools aktiviert oder deaktiviert werden.

Eine vollständige Erklärung des Tool-Modells, der Berechtigungsstufen, des „Um Erlaubnis fragen"-Flows und wie Bliro verweigerte Tools durchsetzt, findest du unter KI-Tools und Berechtigungen.

Sicherheitsaspekte

  • Ausschließlich benutzerdelegiert. Bliro besitzt niemals ein Anwendungs-Credential für deinen Microsoft 365-Tenant. Jeder API-Aufruf wird als der Benutzer authentifiziert, und Microsoft Graph wendet die Postfach-, Kalender- und Verzeichnisberechtigungen des Benutzers bei jeder Anfrage an.

  • Token-Speicherung. Refresh Tokens werden verschlüsselt im Ruhezustand gespeichert. Access Tokens sind kurzlebig und werden nur für die Dauer eines Vorgangs gehalten.

  • Nachvollziehbarkeit in Microsoft 365. Da Bliro als der Benutzer agiert, wird jeder Lese- und Schreibvorgang dem jeweiligen Benutzer in den Microsoft 365-Audit-Logs zugeordnet (Microsoft Purview / Unified Audit Log), sodass Aktivitäten über native Microsoft-Werkzeuge überprüfbar sind.

  • Conditional Access. Alle Conditional-Access-Richtlinien, die dein Tenant auf Microsoft Graph anwendet (MFA, konformes Gerät, benannte Standorte usw.), gelten gleichermaßen für Bliros Aufrufe.

Verbindung trennen und Zugriff widerrufen

Benutzer können Outlook Calendar jederzeit über den Integrationsbildschirm in Bliro trennen, indem sie auf Trennen klicken. Dadurch wird das Refresh Token auf Bliros Seite gelöscht und Bliros Möglichkeit, Outlook im Namen des Benutzers aufzurufen, beendet.

Zusätzlich können Administratoren Bliros benutzerdelegierte Berechtigungen tenantweit jederzeit über das Microsoft Entra-Portal widerrufen unter Enterprise Applications → Bliro → Berechtigungen, oder pro Benutzer über https://myapps.microsoft.com.

IT-Sicherheitsmaterial

Für Bliros allgemeinen Ansatz zu Sicherheit und Datenschutz besuche bitte unser Trust Center.

Kontakt und Hilfe

Fragen zur Outlook Calendar-Integration, zu Scope-Begründungen oder zur zentralen Administration? Kontaktiere [email protected].

Verwandte Artikel
Microsoft Dynamics 365-Integration: Einrichtung und Sicherheitsübersicht
Salesforce-Integration: Einrichtung und Sicherheitsübersicht
HubSpot-Integration: Einrichtung und Sicherheitsübersicht
Google Calendar-Integration: Einrichtung und Sicherheitsübersicht
Hat dies deine Frage beantwortet?