> ## Documentation Index
> Fetch the complete documentation index at: https://docs.langdock.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Microsoft-Integrationen: Berechtigungen & Admin-Freigabe

> Verstehe Microsoft-Berechtigungstypen, erteile die Admin-Zustimmung und sieh, welche Berechtigungen Langdock für Microsoft-Integrationen benötigt.

<Warning>
  Bevor die Admin-Freigabe erteilt wurde, kann niemand eine Microsoft-Integration verbinden. Nutzer sehen die Fehlermeldung **"Need admin approval"** oder **"Approval required"**.
</Warning>

Das betrifft folgende Integrationen: **Excel**, **Microsoft Teams**, **OneDrive**, **Outlook Calendar**, **Outlook Email**, **Planner** und **SharePoint**.

## Berechtigungstypen verstehen

Microsoft verwendet zwei Arten von OAuth-Berechtigungen:

| Typ           | Wer handelt                   | Wann verwendet                                                                     |
| ------------- | ----------------------------- | ---------------------------------------------------------------------------------- |
| **Delegiert** | User im eigenen Namen         | User ist angemeldet. Aktionen erfolgen als dieser User mit dessen Zugriffsrechten. |
| **Anwendung** | App im Namen der Organisation | Kein User angemeldet. App hat eigenen Zugriff (z.B. Hintergrundprozesse).          |

<Info>
  **Langdock verwendet delegierte Berechtigungen.** Wenn du eine Microsoft-Integration verbindest, handelt Langdock in deinem Namen mit deinen bestehenden Zugriffsrechten – Langdock kann nicht auf Daten zugreifen, auf die du selbst keinen Zugriff hast.
</Info>

## Admin-Zustimmung erteilen

Ein Microsoft-Admin muss die mandantenweite Zustimmung erteilen, bevor Nutzer Microsoft-Integrationen verbinden können.

<Note>
  **Voraussetzung:** Ein Nutzer oder Admin muss mindestens einmal versucht haben, eine Integration zu verbinden. Dies löst die Erstellung des Langdock Service Principals in deinem Tenant aus.
</Note>

<Steps>
  <Step title="Microsoft Entra öffnen">
    Melde dich im [Microsoft Entra Admin Center](https://entra.microsoft.com/) als Cloud Application Administrator oder Global Administrator an.
  </Step>

  <Step title="Langdock finden">
    Gehe zu **Identität** → **Anwendungen** → **Unternehmensanwendungen** → **Alle Anwendungen** und wähle **Langdock**.
  </Step>

  <Step title="Zustimmung erteilen">
    Wähle unter **Sicherheit** die Option **Berechtigungen** und klicke auf **Administratoreinwilligung für \[Deine Organisation] erteilen**.
  </Step>

  <Step title="In Langdock überprüfen">
    Gehe in Langdock zu **Einstellungen → Integrationen**, klicke auf eine Microsoft-Integration (z.B. Outlook Calendar) und verbinde dein Konto, um zu bestätigen, dass es funktioniert.
  </Step>
</Steps>

Weitere Details findest du in der Microsoft-Dokumentation zum [Erteilen der mandantenweiten Administratoreinwilligung](https://learn.microsoft.com/de-de/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-tenant-wide-admin-consent-in-enterprise-apps-pane).

## Erteilte Berechtigungen überprüfen

Nach der Zustimmung kannst du alle Berechtigungen in Microsoft Entra überprüfen:

1. Gehe zu **Identität** → **Anwendungen** → **Unternehmensanwendungen** → **Langdock**
2. Klicke unter **Sicherheit** auf **Berechtigungen**

<img src="https://mintcdn.com/langdock-34/bLErUnzGNMtd2r4c/images/delegatedPermissions.png?fit=max&auto=format&n=bLErUnzGNMtd2r4c&q=85&s=0380ff1a0be4998eed0d214f80fa2351" alt="Delegierte Berechtigungen in Microsoft Entra" width="1920" height="1080" data-path="images/delegatedPermissions.png" />

Die Spalte **Typ** zeigt "Delegiert" für alle Langdock-Berechtigungen – das bestätigt, dass Langdock nur im Namen angemeldeter User handelt.

## Erforderliche Berechtigungen pro Integration einsehen

Jede Microsoft-Integration benötigt bestimmte Berechtigungen (Scopes). Um zu sehen, was eine bestimmte Integration braucht:

1. Gehe in Langdock zu **Einstellungen → Integrationen**
2. Klicke auf die Microsoft-Integration (z.B. Outlook Calendar)
3. Klicke im OAuth-Dropdown auf **Configure your own**
4. Sieh dir den Bereich **Required Scopes** an

<img src="https://mintcdn.com/langdock-34/JSBOyLaI-2nGZohA/images/byo-oauth-2.png?fit=max&auto=format&n=JSBOyLaI-2nGZohA&q=85&s=419adc9c6430510074203b6d7f9e272d" alt="Ansicht der erforderlichen Scopes" width="1166" height="878" data-path="images/byo-oauth-2.png" />

Diese Scopes entsprechen direkt den [Microsoft Graph-Berechtigungen](https://learn.microsoft.com/de-de/graph/permissions-reference).

### Häufige Berechtigungen

| Berechtigung          | Was sie erlaubt                                 |
| --------------------- | ----------------------------------------------- |
| `Calendars.ReadWrite` | Kalendertermine lesen und erstellen             |
| `Mail.ReadWrite`      | E-Mails lesen und senden                        |
| `Files.ReadWrite.All` | Zugriff auf OneDrive/SharePoint-Dateien         |
| `User.Read`           | Dein Basisprofil lesen                          |
| `offline_access`      | Zugriff ohne erneute Anmeldung aufrechterhalten |

## Berechtigungen anpassen

Wenn deine Organisation andere Scopes als die Langdock-Standards benötigt, kannst du einen eigenen OAuth-Client konfigurieren.

<Card title="Bring Your Own OAuth Client" icon="gear" href="/de/admin/manage-integrations/bring-your-own-oauth">
  Richte deine eigene OAuth-Anwendung ein, um genau zu steuern, welche Scopes angefordert werden.
</Card>
