Freigeben über


Grundlegendes zu Berechtigungen bei Outlook-Add-Ins

Outlook-Add-Ins geben die erforderliche Berechtigungsstufe in ihrem Manifest an. Es stehen vier Ebenen zur Verfügung.

Kanonischer Name der Berechtigungsstufe
Nur Add-In-Manifestname Einheitliches Manifest für Microsoft 365-Name Zusammenfassungsbeschreibung
eingeschränkt Restricted MailboxItem.Restricted.User Ermöglicht den Zugriff auf Eigenschaften und Methoden, die sich nicht auf bestimmte Informationen zum Benutzer oder E-Mail-Element beziehen.
Element lesen ReadItem MailboxItem.Read.User Zusätzlich zu dem, was in restricted zulässig ist, ist Folgendes möglich:
  • Reguläre Ausdrücke
  • Lesezugriff auf Outlook-Add-in-API
  • Abrufen der Elementeigenschaften und des Rückruftokens
  • Schreiben benutzerdefinierter Eigenschaften
Element lesen/schreiben ReadWriteItem MailboxItem.ReadWrite.User Zusätzlich zu dem, was in einem Leseelement zulässig ist, ist Folgendes möglich:
  • voller Zugriff auf Outlook-Add-In-API mit Ausnahme von makeEwsRequestAsync
  • Festlegen der Elementeigenschaften
Lese-/Schreibpostfach ReadWriteMailbox Mailbox.ReadWrite.User Zusätzlich zu dem, was im Lese-/Schreibzugriff zulässig ist, ist Folgendes möglich:
  • Erstellen, Lesen und Schreiben von Elementen und Ordnern
  • Senden von Elementen
  • Aufrufen von makeEwsRequestAsync

Berechtigungen werden im Manifest deklariert. Das Markup variiert je nach Art des Manifests.

  • Nur Add-In-Manifest: Verwenden Sie das <Permissions-Element> .
  • Einheitliches Manifest für Microsoft 365: Verwenden Sie die Eigenschaft "name" eines Objekts im Array "authorization.permissions.resourceSpecific".

Hinweis

Die vier Berechtigungsstufen sind kumulativ: Die Berechtigung Postfach lesen/schreiben schließt die Berechtigungen Element lesen/schreiben, Element lesen und Eingeschränkt ein, Element lesen/schreiben schließt Element lesen und Eingeschränkt ein, und die Berechtigung Element lesen schließt Eingeschränkt ein.

Sie können die von einem Mail-Add-In angeforderten Berechtigungen sehen, bevor Sie es aus AppSource installieren. Die für installierte Add-Ins erforderlichen Berechtigungen können Sie auch im Exchange Admin Center anzeigen.

Tipp

Um sicherzustellen, dass Ihr Outlook-Add-In die richtige Berechtigungsstufe angibt, überprüfen Sie die Mindestberechtigungsstufe, die für jede API erforderlich ist, die von Ihrem Add-In implementiert wird. Informationen zu mindesten Berechtigungsstufen finden Sie in der Outlook-API-Referenz.

Eingeschränkte Berechtigung

Die eingeschränkte Berechtigung ist die grundlegendste Berechtigungsstufe. Outlook weist diese Berechtigung standardmäßig einem Mail-Add-In zu, wenn das Add-In keine bestimmte Berechtigung im Manifest anweist.

Möglich

Auf Eigenschaften und Methoden zugreifen, die nicht auf bestimmte Informationen über den Benutzer oder das Element zugreifen (Im nächsten Abschnitt finden Sie eine Liste der Elemente, die dies tun).

Nicht möglich

Berechtigung zum Lesen von Elementen

Die Berechtigung zum Lesen von Elementen ist die nächste Berechtigungsebene im Berechtigungsmodell.

Möglich

  • Liest alle Eigenschaften des aktuellen Elements in einem Lese- oder Verfassenformular. Beispielsweise item.to in einem Leseformular und item.to.getAsync in einem Verfassenformular.

  • Rufen Sie in lokalen Exchange-Umgebungen ein Rückruftoken ab, um das vollständige E-Mail-Element mit Exchange-Webdiensten (EWS) abzurufen.

    Wichtig

    Legacy-Exchange-Token sind veraltet. Ab Februar 2025 werden wir ältere Exchange-Benutzeridentitäts- und Rückruftoken für Exchange Online Mandanten deaktivieren. Die Zeitleiste und Details finden Sie auf unserer Faq-Seite. Dies ist Teil der Secure Future Initiative von Microsoft, die Organisationen die Tools zur Verfügung stellt, die sie benötigen, um auf die aktuelle Bedrohungslandschaft zu reagieren. Exchange-Benutzeridentitätstoken funktionieren weiterhin für lokale Exchange-Instanzen. Die Authentifizierung geschachtelter Apps ist der empfohlene Ansatz für token in Zukunft.

  • Schreiben von benutzerdefinierten Eigenschaften, die von dem Add-In für das Element festgelegt wurden.

  • Verwenden Sie reguläre Ausdrücke in einem Kontext-Add-In.

Nicht möglich

Lese-/Schreibberechtigung für Elemente

Geben Sie die Berechtigung zum Lesen/Schreiben von Elementen im Manifest an, um diese Berechtigung anzufordern. In Erstellformularen aktivierte Mail-Add-ins, die Schreibmethoden (Message.to.addAsync oder Message.to.setAsync) verwenden, benötigen mindestens diese Berechtigungsstufe.

Möglich

  • Lesen und Schreiben aller Elementebeneneigenschaften des Elements, das in Outlook angezeigt oder verfasst wird.

  • Hinzufügen oder Entfernen von Anlagen des Elements.

  • Verwenden Sie alle anderen Elemente der Office JavaScript-API, die für Mail-Add-Ins gelten, mit Ausnahme von Mailbox.makeEWSRequestAsync.

Nicht möglich

  • Verwenden Sie das von mailbox.getCallbackTokenAsync bereitgestellte Token für Folgendes:

    • Zum Aktualisieren oder Löschen des aktuellen Elements mithilfe der Outlook-REST-API oder zum Zugreifen auf andere Elemente im Postfach des Benutzers.
    • Abrufen des aktuellen Kalenderereigniselements mithilfe der Outlook-REST-API.
  • Verwenden der mailbox.makeEWSRequestAsync-Methode.

Lese-/Schreibberechtigung für Postfächer

Die Postfachberechtigung für Lese-/Schreibzugriff ist die höchste Berechtigungsstufe.

In lokalen Exchange-Umgebungen bietet das von mailbox.getCallbackTokenAsync bereitgestellte Token Zugriff auf die Verwendung von EwS-Vorgängen (Exchange-Webdienste) oder Outlook-REST-APIs für folgende Aktionen:

  • Lesen und Schreiben aller Eigenschaften eines beliebigen Elements im Postfach des Benutzers.
  • Erstellen, lesen und schreiben eines beliebigen Ordners oder Elements in dem Postfach.
  • Senden Sie ein Element aus diesem Postfach.

Über mailbox.makeEwsRequestAsync können Sie auf die folgenden EWS-Vorgänge zugreifen.

Der Versuch, einen nicht unterstützten Vorgang auszuführen, führt zu einer Fehlermeldung.

Wichtig

Legacy-Exchange-Token sind veraltet. Ab Februar 2025 werden wir ältere Exchange-Benutzeridentitäts- und Rückruftoken für Exchange Online Mandanten deaktivieren. Die Zeitleiste und Details finden Sie auf unserer Faq-Seite. Dies ist Teil der Secure Future Initiative von Microsoft, die Organisationen die Tools zur Verfügung stellt, die sie benötigen, um auf die aktuelle Bedrohungslandschaft zu reagieren. Exchange-Benutzeridentitätstoken funktionieren weiterhin für lokale Exchange-Instanzen. Die Authentifizierung geschachtelter Apps ist der empfohlene Ansatz für token in Zukunft.

Siehe auch