OAuth2 E-Mail Admin-Setup (Einrichtung Microsoft / Gmail)

Gen. 24

Ab Build 7210

---

Überblick für Administratoren

Mit der OAuth2-Integration können E-Mails in microtech ERP über moderne, tokenbasierte Authentifizierung versendet werden. Unterstützt werden Microsoft 365 (OAuth2) und Google Mail (OAuth2).

Technisch gesehen handelt es sich weiterhin um das bekannte SMTP-Protokoll – OAuth2 ist lediglich die neue, sicherere Authentifizierungsmethode (statt Benutzername und Passwort).

Info

Die klassische Basisauthentifizierung (mit Benutzername und Passwort) für SMTP bei Microsoft wird schrittweise eingestellt. Aus diesem Grund setzen immer mehr Anbieter auf OAuth2 als zukunftssicheren Weg für den E-Mail-Versand.

Beachten Sie

Der E-Mail-Versand über Microsoft Graph API oder Google Workspace API ist nicht Bestandteil dieser Integration.

Schrittweise Umstellung von MAPI auf OAuth2 möglich

Die Migration von MAPI auf OAuth2 kann schrittweise erfolgen – so gehen Sie als Administrator vor:

1. OAuth2-Zugangsdaten für die gewünschten Konten anlegen und authentifizieren (PARAMETER - SONSTIGE - ZUGANGSDATEN).
2. Benutzer informieren – es können vorübergehend mehrere Konten in der Absenderauswahl erscheinen (OAuth2 und MAPI parallel).
3. Alte MAPI-Anbindungen nach und nach entfernen.

Info

Solange die bisherigen MAPI-Anbindungen aktiv sind, bleiben beide Konten dauerhaft in der Auswahl sichtbar. Gruppenkonten können dabei vorübergehend parallel betrieben werden, bis die alten Anbindungen vollständig abgelöst sind.

Wird für E-Mails mittels OAuth2 weiterhin eine E-Mail-Anbindung benötigt?

Nein – sofern für den angemeldeten Benutzer ein OAuth-Konto (Microsoft 365 oder Google Mail) eingerichtet ist, steht der E-Mail-Versand auch ohne klassische E-Mail-Anbindung (SMTP/MAPI) vollständig zur Verfügung.

Nur wenn weder eine klassische E-Mail-Anbindung noch ein OAuth-Konto vorhanden ist, wird als Fallback auf das Ausgabeverzeichnis zurückgegriffen.

In welchen Bereichen der Software wird die E-Mail mittels OAuth2 unterstützt?

Unterstützt werden:

• Vorgangs-Druck und manueller Versand
• Automatische E-Mails aus Datensatzänderungen (Kalender-Einladungen, Status-Mails der Automatisierungsaufgaben, Regeln-Mails)

Beachten Sie

E-Mails, die als Monitoring für Automatisierungsdienste auf dem DB-Server ausgeführt werden, unterstützen systembedingt weiterhin ausschließlich SMTP, kein OAuth.

Systemprofil "(microtech Server)" für SMTP E-Mail-Versand vorbereiten

Wie kann ich prüfen, über welchen Weg die E-Mail versendet wurde?

Im Posteingang/Server-Log ist verzeichnet, welche Adresse als Absender genutzt wurde.

Info

Nach der Autorisierung ist das OAuth-Konto direkt am Client aktiv, an dem es eingerichtet wurde. Netzwerk-Clients müssen zunächst neu gestartet werden, damit die Änderung verfügbar ist.

Das gleiche Verhalten gilt auch beim Zurücksetzen eines OAuth-Kontos am Client – das Token wird am Client direkt widerrufen und kann nicht mehr genutzt werden. Für Netzwerk-Clients muss ebenfalls ein Neustart erfolgen.

---

Voraussetzung: Sicherheitsmerkmale beim E-Mail-Dienst konfigurieren

Zielgruppe: Administratoren (Konfiguration E-Mail-Dienst des Anbieters)

Bevor Sie die Zugangsdaten in microtech ERP eintragen können, müssen Sie die OAuth2-App beim jeweiligen Anbieter registrieren und die erforderlichen Zugangsdaten dort abrufen.

Warum Authentifizierung?Microsoft 365 über OAuth2Google Mail über OAuth2

OAuth2 ist ein offenes Standardprotokoll, das eine sichere, tokenbasierte Anmeldung ermöglicht – ohne dass Benutzername und Passwort direkt übertragen werden. Stattdessen erhält microtech ERP nach einer einmaligen Anmeldung am Anbieter-Portal ein verschlüsseltes Token, das für den E-Mail-Versand genutzt wird.

Warum muss ich eine App registrieren? Microsoft und Google erlauben nur verifizierten Anwendungen den Zugriff auf ihre E-Mail-Dienste über OAuth2. Durch die App-Registrierung erhält microtech ERP die Zugangsdaten (Client-ID, Client-Secret bzw. Mandanten-ID), die beim Verbindungsaufbau als Identitätsnachweis dienen.

Was ändert sich gegenüber SMTP mit Passwort? Statt eines festen Passworts werden kurzlebige Zugriffstoken genutzt, die automatisch erneuert werden. Das erhöht die Sicherheit erheblich – ein gestohlenes Token ist schnell ungültig, ein gestohlenes Passwort nicht.

Die App-Registrierung erfolgt im Microsoft Entra Admin Center (externer Link).

Schritte:

1. Melden Sie sich mit einem Administratorenkonto an.
2. Navigieren Sie zu App-Registrierungen → Neue Registrierung.
3. Vergeben Sie einen Namen, z. B. „microtech", und wählen Sie den passenden Kontotyp.
4. Legen Sie unter Authentifizierung → Mobile and desktop applications die Umleitungs-URI fest.

Empfohlen wir die portlose Variante:

http://localhost

Microsoft Entra akzeptiert damit jeden vom Betriebssystem zur Laufzeit vergebenen Port – Port-Kollisionen durch parallele microtech ERP-Instanzen oder andere lokale Dienste werden so vermieden.

1. Nach der Registrierung finden Sie unter Übersicht die benötigten Werte:
   • Client-ID (Anwendungs-ID)
   • Mandanten-ID (Verzeichnis-ID)
2. Unter Zertifikate & Geheimnisse können Sie bei Bedarf ein Client-Secret anlegen.

Beachten Sie

Wichtig ist außerdem, dass der SMTP-Zugang für die genutzten Konten in Microsoft 365 explizit erlaubt wird – andernfalls schlägt der Versand trotz erfolgreicher OAuth-Anmeldung fehl.

Weiterführende Dokumentation (externer Link): Microsoft Learn – IMAP/POP/SMTP mit OAuth authentifizieren

Abruf der Informationen: 09.06.2026

Die Einrichtung erfolgt in der Google Cloud Console (externer Link).

Schritte:

1. Melden Sie sich mit einem Google-Administratorenkonto an.
2. Navigieren Sie zu APIs & Dienste → Bibliothek und aktivieren Sie die Gmail API.
3. Gehen Sie zu APIs & Dienste → OAuth-Zustimmungsbildschirm und konfigurieren Sie App-Name, Support-E-Mail und Datenschutzseite.
4. Navigieren Sie zu APIs & Dienste → Anmeldedaten → OAuth 2.0-Client-ID erstellen.
5. Wählen Sie als Anwendungstyp: Desktop-App.

Bei Anwendungstyp Desktop-App ist keine Redirect-URI einzutragen – Google akzeptiert alle lokalen Loopback-Adressen mit beliebigem Port automatisch. Wird trotzdem eine URI hinterlegt, empfiehlt sich: http://127.0.0.1 (robuster als localhost, da manche Windows-Firewalls die localhost-Auflösung blockieren können.)

Optional kann zusätzlich die IPv6-Loopback-Adresse http://[::1] eingetragen werden. Dies ist in der Praxis selten erforderlich und für die meisten Installationen nicht relevant.

1. Nach der Erstellung erhalten Sie:
   • Client-ID
   • Client-Secret

Beachten Sie

Google prüft OAuth-Apps vor der öffentlichen Freigabe. Während der Testphase können Sie Testnutzer hinzufügen, die die Verbindung bereits nutzen dürfen.

Weiterführende Dokumentation (externe Links):

• Google – OAuth 2.0 für mobile & Desktop-Apps
• Google – XOAUTH2-Protokoll für IMAP/SMTP

Abruf der Informationen: 09.06.2026

---

Hilfe zu Fehlermeldungen bei der App-Registrierung

Fehlermeldung / Symptom	Ursache	Behebung
AADSTS50011: redirect_uri_mismatch	URI in microtech ERP und Azure-App-Registrierung stimmen nicht überein (Port oder Pfad weicht ab)	Beide Stellen abgleichen; portlose Variante http://localhost bevorzugen
Error 400: redirect_uri_mismatch (Google)	URI nicht im OAuth-Client hinterlegt oder falscher Client-Typ (z. B. Web statt Desktop)	Client-Typ „Desktop-App“ verwenden – dann ist keine URI nötig
„Der Standard-Browser konnte nicht gestartet werden.“	Kein Standard-Browser in Windows eingerichtet	Standard-Browser in den Windows-Einstellungen festlegen
ERP-Wartedialog bleibt nach fehlgeschlagener Anmeldung offen	Lokaler Listener erhält keinen Callback – z. B. weil der eingetragene Host beim Identity Provider nicht registriert ist	Dialog manuell schließen (Abbrechen) – ein neuer Versuch ist danach sofort möglich

---

1) Einrichtung: Persönliches Konto anlegen

Zielgruppe: Administratoren (ERP-Supervisor)

Neue OAuth2-Zugangsdaten werden unter PARAMETER - SONSTIGE - ZUGANGSDATEN angelegt.

Art der Zugangsdaten

Wählen Sie für persönliche Konten: E-Mail OAuth Provider.

Umgebung

Bei Auswahl „E-Mail OAuth Provider" wählen Sie Ihren Anbieter aus der Liste und füllen die Pflichtfelder aus. Das Feld Umleitungs-URI ist für beide Anbieter optional.

Anbieter	Pflichtfelder
Google Mail (OAuth2)	Client-ID, Client-Secret
Microsoft 365 Mail (OAuth2)	Client-ID, Mandanten-ID

Beachten Sie

• Füllen Sie die Pflichtfelder bitte sorgfältig aus, da an dieser Stelle keine Prüfung stattfindet. Erst mit der Authentifizierung der Nutzer im Self-Service (Selbsteinrichtung) erfolgt ein Dialog mit dem jeweiligen Anbieter. Prüfen Sie aus diesem Grund nach dem Einpflegen der Zugangsdaten den Authentifizierungsprozess an einem ersten ERP-Benutzer. Kann dieser sich erfolgreich authentifizieren, sind die hinterlegten Zugangsdaten korrekt gespeichert.
• Aktiv-Kennzeichen: Nachdem Sie die Zugangsdaten eingegeben haben, aktivieren Sie das Kennzeichen: AKTIV. Speichern & schließen Sie nun die Maske. Mit diesem finalen Schritt in den Parametern sind die Sicherheitsmerkmale zentral hinterlegt. Die Authentifizierung selbst folgt im Anschluss durch die jeweiligen Benutzer im Self-Service.

---

2) Persönliche Konten: Einrichtung durch Supervisor

Zielgruppe: Administratoren (ERP-Supervisor)

In diesem Schritt hinterlegen Sie den zuvor in den Parametern konfigurierten Anbieter für die jeweiligen Benutzer der microtech ERP. Ziel ist es, den Benutzer-Datensatz vorzubereiten, sodass einzelne Mitarbeitende direkt im Self-Service die Authentifizierung durchführen können.

Navigieren Sie als Supervisor in der Software zu: DATEI - INFORMATIONEN - BENUTZER - BENUTZER VERWALTEN.

Markieren Sie den zu konfigurierenden Benutzer und wählen Sie ÄNDERN.

Benutzer-Datensatz: Anbieter sowie E-Mail (von extern) und E-Mail-Name konfigurieren

Im Benutzer-Datensatz wechseln Sie auf das Register: FIRMEN POSITION / KOMMUNIKATION. Füllen Sie in der Gruppe „Kommunikation (Firma)" alle relevanten Felder. Folgende Felder sollten in jedem Fall gefüllt werden:

• E-Mail (von extern)
• E-Mail-Name
• Anbieter: Wählen Sie den Anbieter aus, den Sie zuvor in den Parametern konfiguriert haben.

Speichern & schließen Sie im Anschluss das Fenster. Wiederholen Sie diese Konfiguration für alle Benutzer, welche über das OAuth2-Verfahren mit E-Mails arbeiten.

Berechtigungsstruktur für Benutzer prüfen

Öffnen Sie über die Registerkarte: DATEI - INFORMATIONEN - EINSTELLUNGEN - BERECHTIGUNGEN.

Prüfen Sie in den Berechtigungsstrukturen Ihrer Mitarbeiter, ob diese die Berechtigung „Kommunikation E-Mail bereitstellen (über Standard E-Mail Client)" besitzen. Diese befindet sich in den Berechtigungsstrukturen unter: GLOBAL - LISTEN (DRUCKEN).

So authentifizieren sich Benutzer per Self-Service (Selbsteinrichtung)

Nachdem Sie als Administrator im Benutzer-Datensatz auf dem Register: FIRMEN POSITION / KOMMUNIKATION den Anbieter hinterlegt haben, können sich die Benutzer im Self-Service mit ihrer E-Mail authentifizieren. Eine Dokumentation für Anwender befindet sich ebenfalls in diesem Kapitel: OAuth2 E-Mail-Authentifizierung (Anwender).

---

3) Einrichtung: Gruppenpostfächer anlegen

Zielgruppe: Administratoren (ERP-Supervisor)

In diesem Abschnitt erklären wir Ihnen die beiden Optionen, mit der Sie über OAuth2 ein Gruppenpostfach in der Software nutzen können.

Tipp

Welcher der beiden Wege für Ihr Unternehmen der beste ist, hängt von Ihrer IT-Struktur ab – bitte prüfen Sie beide Optionen vor der Anbindung.

InfoOption A: Gruppenpostfach über ERP-Nutzer konfigurierenOption B: Gruppenpostfach über Anbieter konfigurieren

Es gibt zwei Wege zur Verwaltung von Gruppenpostfächern:

Option A – Verwaltung in microtech ERP: Gruppenpostfach über einen Benutzer in microtech ERP anlegen und steuern. Voraussetzung: Dieser Benutzer muss wie in Punkt 2 dieser Dokumentation bereits durch den Supervisor eingerichtet sein – und sich selbst anhand der Anleitung OAuth2 E-Mail-Authentifizierung (Anwender) authentifiziert haben. Der Nutzer teilt für das Gruppenpostfach seinen OAuth-Zugang.

Option B – Verwaltung beim Anbieter: Bei dieser Option werden Zugriffsrechte direkt in Microsoft 365 oder Google Workspace vergeben. Jeder berechtigte Benutzer nutzt dann sein eigenes Token (Kennzeichen setzen).

Option A: Das Gruppenpostfach soll über die Software geteilt werden

Navigieren Sie in den Bereich: DATEI - BENUTZER - BENUTZER VERWALTEN. Öffnen Sie mit ÄNDERN den zu verwendenden Benutzer-Datensatz, über welchen das Gruppenpostfach genutzt werden soll. Wechseln Sie auf das Register: FIRMEN POSITION / KOMMUNIKATION.

Im Benutzer-Datensatz legen Sie den Account-Inhaber fest, welcher Zugriff auf das Gruppenpostfach hat. Aktivieren Sie hierzu das Kennzeichen: „Als Account-Inhaber für E-Mail Gruppenpostfach in Zugangsdaten verwendbar".

Info

Über die Authentifizierung dieses microtech ERP-Benutzers können berechtigte Nutzer das Gruppenpostfach mitnutzen, nachdem es im Bereich der Zugangsdaten eingerichtet wurde. Dies zeigen wir Ihnen im nächsten Schritt.

Navigieren Sie nun in den Bereich: PARAMETER - SONSTIGE - ZUGANGSDATEN. Über die Schaltfläche NEU legen Sie einen Datensatz mit der Art „E-Mail für Gruppenpostfach" an.

• Geben Sie die E-Mail des Gruppenpostfachs an sowie einen Namen für das Gruppenpostfach.
• Wählen Sie den authentifizierten Benutzer im Feld „Account Inhaber (Nutzer)", der das Gruppenpostfach über das Kennzeichen im Benutzer-Datensatz „(...) Gruppenpostfach in Zugangsdaten verwendbar" teilt.
• Deaktiviertes Kennzeichen für „Alle Benutzer mit Berechtigung haben eigene Zugangsdaten".
• Schränken Sie den Zugang ggf. über eine Berechtigungsgruppe ein – so wird das Gruppenpostfach nur mit berechtigten Personen geteilt.

Beachten Sie: Gruppenpostfach nutzt Authentifizierung des Nutzers

Im Nutzer-Datensatz muss das Kennzeichen „(...) Gruppenpostfach in Zugangsdaten verwendbar" aktiviert sein.

Ist das Kennzeichen im Nutzer-Datensatz deaktiviert, kann das Gruppenpostfach nicht genutzt werden. Prüfen Sie in diesem Fall den Benutzer-Datensatz.

Beachten Sie

Wenn Sie die Gruppen direkt über die Software konfigurieren, erfolgt dies über eine Berechtigungsgruppe unter: DATEI - INFORMATIONEN - EINSTELLUNGEN - BERECHTIGUNGSGRUPPEN - GLOBAL - BERECHTIGUNGEN FÜR DIE NUTZUNG VON ZUGANGSDATEN

Zuordnung eines Benutzers zu einer Gruppe: DATEI - BENUTZER - BENUTZER VERWALTEN - Register: FIRMENVORGABEN

Option B: Das Gruppenpostfach wird direkt über den Anbieter (Microsoft bzw. Google) konfiguriert

Bei dieser Option werden die Zugriffsrechte für das Gruppenpostfach direkt in Microsoft 365 oder Google Workspace vergeben. Jeder berechtigte Benutzer nutzt in diesem Fall das eigene Token („Alle Benutzer mit Berechtigung haben eigene Zugangsdaten").

Navigieren Sie in den Bereich: PARAMETER - SONSTIGE - ZUGANGSDATEN. Über die Schaltfläche NEU legen Sie einen Datensatz mit der Art „E-Mail für Gruppenpostfach" an.

• Geben Sie die E-Mail des Gruppenpostfachs an sowie einen Namen für das Gruppenpostfach.
• Das Feld „Account Inhaber (Benutzer)" bleibt leer.
• Aktivieren Sie das Kennzeichen „Alle Benutzer mit Berechtigung haben eigene Zugangsdaten".
• Schränken Sie den Zugang ggf. über eine Berechtigungsgruppe ein – so wird das Gruppenpostfach nur mit berechtigten Personen geteilt.

---

Sicherheit & Anmeldedaten

Zielgruppe: Administratoren (ERP-Supervisor)

• Anmeldedaten werden verschlüsselt in microtech ERP gespeichert.
• Datensicherungen enthalten keine gespeicherten Anmeldedaten und stellen diese auch nicht wieder her.
• Wird ein Benutzer oder ein Zugangsdaten-Datensatz gelöscht, entfernt microtech ERP die zugehörigen Anmeldedaten automatisch.
• Wird eine neue Authentifizierung durchgeführt, werden die bisherigen Anmeldedaten automatisch ungültig gesetzt.

Hinweis zur Anmeldedauer

Die Authentifizierung läuft in der Regel nicht ab. Bei aktiver Nutzung wird sie automatisch verlängert. Bei längerer Inaktivität – Microsoft und Google verwenden hierfür ein gleitendes Zeitfenster von bis zu 180 Tagen – kann eine erneute Anmeldung erforderlich werden.

Für Administratoren

Unternehmensweite Richtlinien auf Anbieterseite können das Standardverhalten überschreiben. Ist beispielsweise eine MFA-Richtlinie mit kürzeren Intervallen konfiguriert (z. B. erneute Anmeldung alle 14 Tage), sind Benutzer regelmäßig aufgefordert, ihre Authentifizierung eigenständig zu erneuern. In diesem Fall sollten Benutzer über den Self-Service-Prozess informiert sein.

Nach Wiederherstellung aus Datensicherung

Nach einer Wiederherstellung muss die Authentifizierung für alle betroffenen Konten erneut durchgeführt werden.

---

Fehlerkategorien bei abgelaufenem Token

OAuth-Anbieter unterscheiden verschiedene Fehlerarten – microtech ERP behandelt diese unterschiedlich:

Fehler-Art	Reaktion	Beispiele
Anmeldung erforderlich	Browser öffnet sich automatisch zur Neu-Anmeldung	Token abgelaufen, Passwort geändert, MFA verlangt, Zustimmung widerrufen
Administrator-Aktion erforderlich	Meldung mit Hinweis auf IT-Administrator	Bedingter Zugriff blockiert, Anwendung deaktiviert, Berechtigung verweigert
Konfigurationsfehler	Meldung mit Hinweis, OAuth-Zugangsdaten zu prüfen	Client-ID ungültig, Client-Secret abgelaufen
Andere / unbekannte Fehler	Technische Meldung mit Fehlercode	—

---

Weitere Themen

• E-Mail-Versand: Absenderauswahl
• Verhalten bei Versandlimits (Sendedrosselung)