Grundlegendes zu Berechtigungen bei Outlook-Add-Ins

Outlook-Add-Ins geben die erforderliche Berechtigungsstufe in ihrem Manifest an. Es stehen vier Ebenen zur Verfügung.

Kanonischer Name der Berechtigungsstufe	Nur Add-In-Manifestname	Einheitliches Manifest für Microsoft 365-Name	Zusammenfassungsbeschreibung
eingeschränkt	Restricted	MailboxItem.Restricted.User	Ermöglicht den Zugriff auf Eigenschaften und Methoden, die sich nicht auf bestimmte Informationen zum Benutzer oder E-Mail-Element beziehen.
Element lesen	ReadItem	MailboxItem.Read.User	Zusätzlich zu dem, was in restricted zulässig ist, ist Folgendes möglich: Reguläre Ausdrücke Lesezugriff auf Outlook-Add-in-API Abrufen der Elementeigenschaften und des Rückruftokens Schreiben benutzerdefinierter Eigenschaften
Element lesen/schreiben	ReadWriteItem	MailboxItem.ReadWrite.User	Zusätzlich zu dem, was in einem Leseelement zulässig ist, ist Folgendes möglich: voller Zugriff auf Outlook-Add-In-API mit Ausnahme von makeEwsRequestAsync Festlegen der Elementeigenschaften
Lese-/Schreibpostfach	ReadWriteMailbox	Mailbox.ReadWrite.User	Zusätzlich zu dem, was im Lese-/Schreibzugriff zulässig ist, ist Folgendes möglich: Erstellen, Lesen und Schreiben von Elementen und Ordnern Senden von Elementen Aufrufen von makeEwsRequestAsync

Berechtigungen werden im Manifest deklariert. Das Markup variiert je nach Art des Manifests.

• Nur Add-In-Manifest: Verwenden Sie das <Permissions-Element> .
• Einheitliches Manifest für Microsoft 365: Verwenden Sie die Eigenschaft "name" eines Objekts im Array "authorization.permissions.resourceSpecific".

Hinweis

• Für Add-Ins, die das Feature "Append-on-Send" verwenden, ist eine zusätzliche Berechtigung erforderlich. Geben Sie mit dem reinen Add-In-Manifest die Berechtigung im ExtendedPermissions-Element an. Weitere Informationen finden Sie unter Implementieren von "Append-on-Send" in Ihrem Outlook-Add-In. Geben Sie mit dem einheitlichen Manifest diese Berechtigung mit dem Namen Mailbox.AppendOnSend.User in einem zusätzlichen Objekt im Array "authorization.permissions.resourceSpecific" an.
• Für Add-Ins, die freigegebene Ordner verwenden, ist eine zusätzliche Berechtigung erforderlich. Geben Sie mit dem reinen Add-In-Manifest die Berechtigung an, indem Sie das SupportsSharedFolders-Element auf truefestlegen. Weitere Informationen finden Sie unter Implementieren von Szenarien für freigegebene Ordner und freigegebene Postfächer in einem Outlook-Add-In. Geben Sie mit dem einheitlichen Manifest diese Berechtigung mit dem Namen Mailbox.SharedFolder in einem zusätzlichen Objekt im Array "authorization.permissions.resourceSpecific" an.

Die vier Berechtigungsstufen sind kumulativ: Die Berechtigung Postfach lesen/schreiben schließt die Berechtigungen Element lesen/schreiben, Element lesen und Eingeschränkt ein, Element lesen/schreiben schließt Element lesen und Eingeschränkt ein, und die Berechtigung Element lesen schließt Eingeschränkt ein.

Sie können die von einem Mail-Add-In angeforderten Berechtigungen sehen, bevor Sie es aus AppSource installieren. Die für installierte Add-Ins erforderlichen Berechtigungen können Sie auch im Exchange Admin Center anzeigen.

Tipp

Um sicherzustellen, dass Ihr Outlook-Add-In die richtige Berechtigungsstufe angibt, überprüfen Sie die Mindestberechtigungsstufe, die für jede API erforderlich ist, die von Ihrem Add-In implementiert wird. Informationen zu mindesten Berechtigungsstufen finden Sie in der Outlook-API-Referenz.

Eingeschränkte Berechtigung

Die eingeschränkte Berechtigung ist die grundlegendste Berechtigungsstufe. Outlook weist diese Berechtigung standardmäßig einem Mail-Add-In zu, wenn das Add-In keine bestimmte Berechtigung im Manifest anweist.

Möglich

Auf Eigenschaften und Methoden zugreifen, die nicht auf bestimmte Informationen über den Benutzer oder das Element zugreifen (Im nächsten Abschnitt finden Sie eine Liste der Elemente, die dies tun).

Nicht möglich

• Verwenden der ItemHasAttachment- oder ItemHasRegularExpressionMatch-Regel.

• Zugriff auf Elemente in der folgenden Liste, die für die Informationen über den Benutzer oder das Element gelten. Beim Versuch des Zugriffs auf Elemente in dieser Liste werden null und die Fehlermeldung zurückgegeben, dass Outlook für das Mail-Add-In erhöhte Berechtigungen anfordert.

  • item.addFileAttachmentAsync
  • item.addItemAttachmentAsync
  • item.attachments
  • item.bcc
  • item.body
  • item.cc
  • item.from
  • item.getRegExMatches
  • item.getRegExMatchesByName
  • item.optionalAttendees
  • item.organizer
  • item.removeAttachmentAsync
  • item.requiredAttendees
  • item.sender
  • item.to
  • mailbox.getCallbackTokenAsync
  • mailbox.getUserIdentityTokenAsync
  • mailbox.makeEwsRequestAsync
  • mailbox.userProfile
  • Body und alle untergeordneten Elemente
  • Location und alle untergeordneten Member
  • Recipients und alle untergeordneten Member
  • Subject und alle untergeordneten Member
  • Time und alle untergeordneten Member

Berechtigung zum Lesen von Elementen

Die Berechtigung zum Lesen von Elementen ist die nächste Berechtigungsebene im Berechtigungsmodell.

Möglich

• Liest alle Eigenschaften des aktuellen Elements in einem Lese- oder Verfassenformular. Beispielsweise item.to in einem Leseformular und item.to.getAsync in einem Verfassenformular.

• Rufen Sie in lokalen Exchange-Umgebungen ein Rückruftoken ab, um das vollständige E-Mail-Element mit Exchange-Webdiensten (EWS) abzurufen.

  Wichtig

  Legacy-Exchange-Token sind veraltet. Ab Februar 2025 werden wir ältere Exchange-Benutzeridentitäts- und Rückruftoken für Exchange Online Mandanten deaktivieren. Die Zeitleiste und Details finden Sie auf unserer Faq-Seite. Dies ist Teil der Secure Future Initiative von Microsoft, die Organisationen die Tools zur Verfügung stellt, die sie benötigen, um auf die aktuelle Bedrohungslandschaft zu reagieren. Exchange-Benutzeridentitätstoken funktionieren weiterhin für lokale Exchange-Instanzen. Die Authentifizierung geschachtelter Apps ist der empfohlene Ansatz für token in Zukunft.

• Schreiben von benutzerdefinierten Eigenschaften, die von dem Add-In für das Element festgelegt wurden.

• Verwenden Sie reguläre Ausdrücke in einem Kontext-Add-In.

Nicht möglich

• Verwenden Sie das von mailbox.getCallbackTokenAsync bereitgestellte Token für Folgendes:

  • Zum Aktualisieren oder Löschen des aktuellen Elements mithilfe der Outlook-REST-API oder zum Zugreifen auf andere Elemente im Postfach des Benutzers.
  • Abrufen des aktuellen Kalenderereigniselements mithilfe der Outlook-REST-API.

• Verwenden Sie eine der folgenden APIs.

  • mailbox.makeEwsRequestAsync
  • item.addFileAttachmentAsync
  • item.addItemAttachmentAsync
  • item.bcc.addAsync
  • item.bcc.setAsync
  • item.body.prependAsync
  • item.body.setAsync
  • item.body.setSelectedDataAsync
  • item.cc.addAsync
  • item.cc.setAsync
  • item.end.setAsync
  • item.location.setAsync
  • item.optionalAttendees.addAsync
  • item.optionalAttendees.setAsync
  • item.removeAttachmentAsync
  • item.requiredAttendees.addAsync
  • item.requiredAttendees.setAsync
  • item.start.setAsync
  • item.subject.setAsync
  • item.to.addAsync
  • item.to.setAsync

Lese-/Schreibberechtigung für Elemente

Geben Sie die Berechtigung zum Lesen/Schreiben von Elementen im Manifest an, um diese Berechtigung anzufordern. In Erstellformularen aktivierte Mail-Add-ins, die Schreibmethoden (Message.to.addAsync oder Message.to.setAsync) verwenden, benötigen mindestens diese Berechtigungsstufe.

Möglich

• Lesen und Schreiben aller Elementebeneneigenschaften des Elements, das in Outlook angezeigt oder verfasst wird.

• Hinzufügen oder Entfernen von Anlagen des Elements.

• Verwenden Sie alle anderen Elemente der Office JavaScript-API, die für Mail-Add-Ins gelten, mit Ausnahme von Mailbox.makeEWSRequestAsync.

Nicht möglich

• Verwenden Sie das von mailbox.getCallbackTokenAsync bereitgestellte Token für Folgendes:

  • Zum Aktualisieren oder Löschen des aktuellen Elements mithilfe der Outlook-REST-API oder zum Zugreifen auf andere Elemente im Postfach des Benutzers.
  • Abrufen des aktuellen Kalenderereigniselements mithilfe der Outlook-REST-API.

• Verwenden der mailbox.makeEWSRequestAsync-Methode.

Lese-/Schreibberechtigung für Postfächer

Die Postfachberechtigung für Lese-/Schreibzugriff ist die höchste Berechtigungsstufe.

In lokalen Exchange-Umgebungen bietet das von mailbox.getCallbackTokenAsync bereitgestellte Token Zugriff auf die Verwendung von EwS-Vorgängen (Exchange-Webdienste) oder Outlook-REST-APIs für folgende Aktionen:

• Lesen und Schreiben aller Eigenschaften eines beliebigen Elements im Postfach des Benutzers.
• Erstellen, lesen und schreiben eines beliebigen Ordners oder Elements in dem Postfach.
• Senden Sie ein Element aus diesem Postfach.

Über mailbox.makeEwsRequestAsync können Sie auf die folgenden EWS-Vorgänge zugreifen.

• CopyItem
• CreateFolder
• CreateItem
• FindConversation
• FindFolder
• FindItem
• GetConversationItems
• GetFolder
• GetItem
• MarkAsJunk
• MoveItem
• SendItem
• UpdateFolder
• UpdateItem

Der Versuch, einen nicht unterstützten Vorgang auszuführen, führt zu einer Fehlermeldung.

Wichtig

Legacy-Exchange-Token sind veraltet. Ab Februar 2025 werden wir ältere Exchange-Benutzeridentitäts- und Rückruftoken für Exchange Online Mandanten deaktivieren. Die Zeitleiste und Details finden Sie auf unserer Faq-Seite. Dies ist Teil der Secure Future Initiative von Microsoft, die Organisationen die Tools zur Verfügung stellt, die sie benötigen, um auf die aktuelle Bedrohungslandschaft zu reagieren. Exchange-Benutzeridentitätstoken funktionieren weiterhin für lokale Exchange-Instanzen. Die Authentifizierung geschachtelter Apps ist der empfohlene Ansatz für token in Zukunft.

Siehe auch

• Datenschutz, Berechtigungen und Sicherheit für Outlook-Add-Ins