Skip to main content
Mit der Microsoft 365 Integration können Sie direkt aus dem Agentic Chat heraus auf Ihr Microsoft-Ökosystem zugreifen. Der Agent kann Mail-Entwürfe in Outlook erstellen, Kalender-Einträge abrufen und SharePoint-Dateien durchsuchen und analysieren. Die Integration basiert auf dem Open-Source MCP Server @softeria/ms-365-mcp-server (MIT-Lizenz) und nutzt die Microsoft Graph API.
Die Integration verwendet ausschließlich Delegated Permissions. Jeder User authentifiziert sich selbst über den Device Code Flow und greift nur auf seine eigenen Daten zu. Datenisolation ist by design garantiert – es ist technisch nicht möglich, auf Daten anderer User zuzugreifen.
Für die meisten Anwendungsfälle sind die nativen Konnektoren der empfohlene Standard-Weg: SharePoint, Outlook und Microsoft Teams richten Sie geführt über Org-Einstellungen → Zugangsdaten ein. Diese MCP-Server-Variante ist der fortgeschrittene Alternativweg über einen selbst konfigurierten Tool-Server.

Voraussetzungen

Bevor Sie starten, stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:
  • Microsoft 365 Tenant mit Entra ID (Azure AD)
  • Admin-Zugang zum Azure Portal für die App Registration und Admin Consent
  • Mindestens Space Administrator für die Tool Server Konfiguration

Azure Einrichtung

1

Sicherheitsgruppe erstellen

Navigieren Sie in Entra ID zu Gruppen → Neue Gruppe und erstellen Sie eine Sicherheitsgruppe:
FeldWert
GruppentypSicherheit
Gruppennamez.b M365 Localmind
GruppenbeschreibungUser mit Zugriff auf die Localmind M365 Integration
Fügen Sie unter Mitglieder alle User hinzu, die die Integration nutzen sollen.
Diese Gruppe steuert, wer die App nutzen darf. Nur Mitglieder können sich über den Device Code Flow authentifizieren. Nicht-Mitglieder erhalten beim Login eine Fehlermeldung.
2

App Registration anlegen

Navigieren Sie zu Entra ID → App-Registrierungen → Neue Registrierung und tragen Sie folgende Werte ein:
FeldWert
NameLocalmind M365 Connector
Unterstützte KontotypenNur Konten in diesem Organisationsverzeichnis (Einzelner Mandant)
Umleitungs-URILeer lassen
Klicken Sie auf Registrieren.
Notieren Sie sich nach der Registrierung die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID) von der Übersichtsseite. Sie brauchen beide Werte für die Localmind Konfiguration.
3

API-Berechtigungen vergeben

Navigieren Sie zu API-Berechtigungen → Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen und fügen Sie folgende Berechtigungen hinzu:
BerechtigungZweck
User.ReadBasis-Profil des angemeldeten Users
Calendars.ReadKalender-Einträge abrufen
Mail.ReadWriteMail-Entwürfe erstellen und lesen
Files.Read.AllOneDrive- und SharePoint-Dateien lesen
Sites.Read.AllSharePoint Sites durchsuchen
Klicken Sie anschließend auf Administratoreinwilligung erteilen für [Ihr Tenant] und bestätigen Sie.
Verwenden Sie ausschließlich Delegierte Berechtigungen (Delegated Permissions), keine Anwendungsberechtigungen (Application Permissions). Delegierte Berechtigungen stellen sicher, dass jeder User nur auf seine eigenen Daten zugreift. Application Permissions würden der App eigenständigen Zugriff auf alle Mailboxen im Tenant geben.
4

Öffentliche Client-Flows aktivieren

Navigieren Sie zu Authentifizierung → Erweiterte Einstellungen und setzen Sie:
EinstellungWert
Öffentliche Clientflows zulassenJa
Klicken Sie auf Speichern.Dies ermöglicht den Device Code Flow, über den sich User im Agentic Chat authentifizieren. Bei diesem Flow wird kein Client Secret benötigt.
Die App-Instanzeigenschaftssperre kann auf den Standardeinstellungen belassen werden (alle Optionen angehakt).
5

Zugriff auf Sicherheitsgruppe einschränken

Wechseln Sie zu Unternehmensanwendungen (Enterprise Applications) – das ist ein separater Menüpunkt in Entra ID, nicht innerhalb der App-Registrierungen.Suchen Sie Ihre App (Localmind M365 Connector) und navigieren Sie zu Eigenschaften:
EinstellungWert
Zuweisung erforderlich?Ja
Speichern Sie, navigieren Sie dann zu Benutzer und Gruppen → Benutzer/Gruppe hinzufügen und weisen Sie die in Schritt 1 erstellte Sicherheitsgruppe (Localmind M365 Users) zu.
Nur Mitglieder der zugewiesenen Gruppe können die Integration nutzen. Wenn ein User, der nicht in der Gruppe ist, versucht sich einzuloggen, erhält er die Fehlermeldung AADSTS50105.

Localmind Konfiguration

1

Tool Server anlegen

Navigieren Sie in Localmind zu Einstellungen → Tool Server → Neuen Tool Server erstellen und tragen Sie folgende Werte ein:
FeldWert
NameMicrosoft 365
BeschreibungMail-Entwürfe, Kalender, SharePoint via Microsoft Graph
VerbindungstypNPX-Paket
Paket@softeria/ms-365-mcp-server
Args--org-mode
2

Konfigurationsvariablen eintragen

Fügen Sie unter Konfiguration folgende Schlüssel-Wert-Paare hinzu:
SchlüsselWertSicher
MS365_MCP_TENANT_IDIhre Verzeichnis-ID (Mandanten-ID) aus Schritt 2Nein
MS365_MCP_CLIENT_IDIhre Anwendungs-ID (Client-ID) aus Schritt 2Nein
ENABLED_TOOLSmail|calendar|login|verify|sharepointNein
Der MCP Server stellt im Vollmodus über 119 Tools bereit. Diese werden alle als Tool-Beschreibungen in den System-Prompt des Agenten injiziert und können das Token-Limit sprengen – der Agent antwortet dann gar nicht mehr, auch nicht auf einfache Nachrichten. Die Variable ENABLED_TOOLS ist daher zwingend erforderlich.
ENABLED_TOOLS ist ein Regex-Pattern. Mehrere Kategorien werden mit | (Pipe) getrennt. Die Tools login und verify sollten immer enthalten sein, da sie für die Authentifizierung benötigt werden. Beispiele:
  • mail|calendar|login|verify — nur Mail und Kalender
  • mail|calendar|login|verify|sharepoint — zusätzlich SharePoint
  • mail|calendar|login|verify|drive|file|folder — zusätzlich OneDrive
  • mail|calendar|login|verify|excel — zusätzlich Excel-Operationen
Tenant ID und Client ID sind keine Geheimnisse – sie sind öffentliche Identifier. Ohne den Device Code Login eines berechtigten Users sind sie wertlos. Ein Client Secret wird bei diesem Flow nicht benötigt.
3

Speichern und Verbindung testen

Klicken Sie auf Verbindung testen, um zu prüfen, ob der MCP Server korrekt startet und die Tools geladen werden. Nach erfolgreichem Test klicken Sie auf Speichern.
Microsoft 365 MCP Server Verbindungstest

Erster Login & Nutzung

1

Agentic Chat öffnen

Öffnen Sie einen Agentic Chat in Ihrem Private Space und schreiben Sie z.B.:
Zeig mir meine Kalender-Einträge für heute
2

Device Code Login durchführen

Der Agent erkennt, dass noch kein Token vorhanden ist und startet den Device Code Flow. Sie erhalten eine Nachricht mit einer URL und einem Code.
Device Code Flow Login im Agentic Chat
  1. Öffnen Sie https://microsoft.com/devicelogin in einem Browser
  2. Geben Sie den angezeigten Code ein
  3. Loggen Sie sich mit Ihrem Microsoft 365 Account ein (muss Mitglied der Sicherheitsgruppe sein)
  4. Bestätigen Sie die angeforderten Berechtigungen
3

Loslegen

Nach erfolgreichem Login hat der Agent Zugriff auf Ihre Microsoft 365 Daten. Das Token wird gecacht – Sie müssen sich nicht bei jedem Chat neu einloggen.

Use Cases

Beispiel-Prompt:
Erstelle einen Mail-Entwurf an max@firma.de mit dem Betreff “Angebot Projektstart” und fasse unsere bisherige Diskussion als Inhalt zusammen.
Ergebnis: Der Entwurf erscheint in Outlook unter Entwürfe. Sie können ihn dort prüfen, bearbeiten und versenden.
Beispiel-Prompt:
Was steht morgen in meinem Kalender? Bereite mir eine Zusammenfassung mit Notizen vor.
Ergebnis: Der Agent listet Ihre Termine auf und kann Kontext aus dem Chat hinzufügen – z.B. offene Punkte aus einem vorherigen Gespräch als Vorbereitung für ein Meeting.
Beispiel-Prompt:
Suche in unserem SharePoint nach dem letzten Quartalsbericht und fasse die wichtigsten Kennzahlen zusammen.
Ergebnis: Der Agent findet die Datei über die SharePoint-Suche, liest den Inhalt und liefert eine strukturierte Zusammenfassung.

Sicherheit & Datenschutz

Datenisolation: Jeder User authentifiziert sich selbst über den Device Code Flow. Der API-Zugriff läuft über /me/-Endpunkte und ist auf die eigenen Daten beschränkt. Es ist technisch nicht möglich, auf Daten anderer User zuzugreifen.
Token-Speicherung: Access Tokens werden lokal in der MCP Server Instanz gecacht und laufen automatisch ab. Refresh Tokens erneuern die Session ohne erneuten Login.
GDPR / Datenschutz: Keine Daten verlassen den Microsoft-/Localmind-Kontext. Die Kommunikation läuft direkt zwischen der Localmind-Instanz und der Microsoft Graph API.