Microsoft hat die Authentifizierung geschachtelter Apps (Nested App Authentication, NAA) veröffentlicht. Im Vergleich zu herkömmlichen voll vertrauenswürdigen Authentifizierungsmodellen und dem On-Behalf-of-Flow erleichtert die NAA die Authentifizierung, erhöht die Sicherheit und bietet mehr Flexibilität in der App-Architektur. Daher stellt Microsoft veraltete Exchange Online-Token ab dem 17. Februar 2025 ein. Das bedeutet, dass alle hybriden PABs und PABs für das Microsoft-Menüband, die mit Microsoft 365-Domänen verknüpft sind, ohne Autorisierung von NAA-SSO nicht mehr funktionieren. Alte Exchange Online-Token Alte Exchange Online-Token (Link wird in einem neuen Fenster geöffnet) können bis Juni 2025 erneut aktiviert werden.

Aufgrund dieser Änderungen empfehlen wir, Graph-APIs und NAA-SSO in Ihren Phish Alert-Kontoeinstellungen zu autorisieren. Weitere Informationen finden Sie im Microsoft-Artikel Häufig gestellte Fragen (Link wird in einem neuen Fenster geöffnet) zur Authentifizierung geschachtelter Apps und veralteter Outlook-Token.

Voraussetzungen für NAA-SSO

• Microsoft 365; die Rolle „Globaler Administrator“ ist erforderlich, um Berechtigungen zu akzeptieren.
• Exchange Online; die Rolle „Globaler Administrator“ ist erforderlich, um Berechtigungen zu akzeptieren.
• Monatlicher Enterprise-Kanal, Version 2409 oder neuer. Bei älteren Versionen kommt es zu einer Zeitüberschreitung des PAB für das Microsoft-Menüband.
• Halbjährlicher Enterprise-Kanal, Version 2408 oder neuer. Bei älteren Versionen kommt es zu einer Zeitüberschreitung des PAB für das Microsoft-Menüband.
• Aktueller Enterprise-Kanal, Version 2410 oder neuer.

Zusätzliche Voraussetzungen

Die Verfügbarkeit von NAA-SSO ist abhängig von der verwendeten Microsoft Office- und Microsoft Outlook-Version. Informationen bezüglich der Unterstützung von NAA-SSO in Ihrer Umgebung finden Sie im Microsoft-Artikel Authentifizierungsanforderungssatz für geschachtelte Apps Authentifizierungsanforderungssatz für geschachtelte Apps (Link wird in einem neuen Fenster geöffnet). Zu den kompatiblen Versionen gehören:

• Microsoft Outlook unter Windows (mit unbefristeter Volumenlizenz), Version 2408 (Build 17932.20222) oder später.
• Microsoft Outlook unter Windows (mit unbefristeter Retail-Lizenz), Version 2501 (Build 18429.20132) oder später.

Wichtige Versionshinweise:

• Microsoft Office 2024 (mit unbefristeter Volumenlizenz) unterstützt NAA-SSO.
• Microsoft Office 2021 (mit unbefristeter Volumenlizenz) unterstützt zur Authentifizierung weiterhin SSO-OBO, jedoch nicht NAA-SSO.
• Microsoft Office 2016 und 2019 (mit unbefristeter Volumenlizenz) unterstützen weder die NAA-SSO- noch die SSO-OBO-Authentifizierung. Weitere Informationen zu Microsoft Office 2016 und 2019 finden Sie in der Dokumentation von Microsoft Dokumentation von Microsoft (Link wird in einem neuen Fenster geöffnet).
• Microsoft Outlook unter Windows (mit unbefristeter Retail-Lizenz), Version 2008 (Build 13127.20000) oder später unterstützt die SSO-OBO-Authentifizierung.

Akzeptieren von Berechtigungen für NAA-SSO

Gehen Sie wie folgt vor, um Berechtigungen für NAA-SSO für Microsoft zu akzeptieren.

1. Melden Sie sich bei Ihrem KSAT-Konto an und klicken Sie oben rechts auf der Seite auf Ihre E-Mail-Adresse.
2. Wählen Sie Kontoeinstellungen aus und navigieren Sie zu Kontointegrationen > Phish Alert.
3. Klicken Sie auf das Drop-down-Menü, um Ihre PAB-Einstellungen zu erweitern.

4. Scrollen Sie nach unten und klicken Sie auf NAA-SSO für GRAPH-APIs autorisieren. Sie werden zur Anmeldeseite von Microsoft 365 weitergeleitet.

   Hinweis: Sie müssen auch die Option Microsoft-Berechtigungen zur Autorisierung von GRAPH-APIs für den PAB akzeptieren aktivieren, sofern noch nicht geschehen.

   

5. Melden Sie sich bei Ihrem Microsoft 365-Konto als Administratorin bzw. Administrator an.

6. Nach der Anmeldung wird das Pop-up-Fenster Angeforderte Berechtigungen angezeigt. Lesen Sie die Informationen zu den Berechtigungen und akzeptieren Sie diese.

   Hinweis: Wenn mehrere PAB-Instanzen in verschiedenen Microsoft 365-Mandanten bereitgestellt werden, müssen Sie die Berechtigungen zum Autorisieren von Graph-APIs und NAA-SSO für jede PAB-Instanz in jedem Mandanten akzeptieren.

   

7. Nachdem Sie die Berechtigungen akzeptiert haben, wird das Fenster GRAPH-Autorisierung erfolgreich angezeigt. Wenn Sie die Berechtigungen akzeptiert haben, kann es bis zu 48 Stunden dauern, bis NAA-SSO auf die Profile Ihrer Microsoft Outlook-Nutzerinnen und -Nutzer angewendet wird.

   

Internet Explorer NAA-SSO

Wenn Ihre Organisation Outlook in Microsoft Edge im Internet Explorer-Modus oder in Internet Explorer mit Microsoft 365 verwendet, müssen Sie vor Juni 2025 Berechtigungen für Graph-APIs und NAA-SSO für den PAB gewähren, um Dienstunterbrechungen zu vermeiden. Sobald die Berechtigungen gewährt wurden, können Sie alte Exchange Online-Token deaktivieren alte Exchange Online-Token deaktivieren (Link wird in einem neuen Fenster geöffnet). Testen Sie im Anschluss, ob die Funktion ordnungsgemäß funktioniert, indem Sie eine E-Mail über den PAB melden.

Nutzerbereich

Die folgende Abbildung zeigt den Nutzerbereich für Internet Explorer NAA-SSO:

1. Klicken Sie im Menüband auf den PAB.

   

2. Er wird im Aufgabenbereich geladen und es wird ein Pop-up-Fenster angezeigt.

3. Nutzerinnen und Nutzer müssen sich bei der ersten Meldung über den PAB mit ihrem Microsoft-Konto anmelden.

   

   Hinweis: Wenn sich Nutzerinnen und Nutzer nicht mit NAA-SSO oder SSO-OBO authentifizieren können, wird der Authentifizierungsmechanismus des PAB deaktiviert, und Nutzerinnen und Nutzer, die den PAB erstmalig verwenden, müssen sich bei Microsoft anmelden.

4. Klicken Sie auf den Phish Alert Button, um die E-Mail zu melden.

   

Problembehebung

Frage: Muss ich das Phish Alert Button (PAB)-XML-Manifest nach der NAA-SSO-Autorisierung erneut bereitstellen?

Antwort: Nein. Es reicht aus, die Berechtigungen zu akzeptieren.

Frage: Die folgende Fehlermeldung wird angezeigt: „Ihr E-Mail-Server benötigt ein gültiges Authentifizierungstoken für den Phish Alert Button. Wenn Sie Hilfe bezüglich der E-Mail-Server-Einstellungen benötigen, wenden Sie sich an Ihren Administrator.“ Wie kann ich das Problem lösen?

Antwort: Die Fehlermeldung deutet darauf hin, dass der verwendete PAB versucht, sich mit dem eingestellten veralteten Exchange Online-Token zu identifizieren. Versuchen Sie Folgendes, um den Fehler zu beheben:

1. Führen Sie am besten die Schritte 1 bis 7 in Abschnitt Akzeptieren von Berechtigungen für NAA-SSO weiter oben durch. Wenn das Problem dadurch nicht behoben werden kann, installieren Sie den PAB anhand der Schritte 2 bis 5 weiter unten neu.
2. Deinstallieren Sie den aktuellen PAB in Ihrem Microsoft 365 Admin Center Deinstallieren Sie den aktuellen PAB in Ihrem Microsoft 365 Admin Center (Link wird in einem neuen Fenster geöffnet) (Einstellungen > Integrierte Apps > Add-ins).
3. Suchen Sie in der Liste nach dem PAB-Add-in.
4. Wählen Sie das Add-in aus und klicken Sie auf App entfernen.

5. Installieren Sie die PAB-Manifest-Datei erneut. Weitere Informationen finden Sie in den PAB-Installationsanleitungen.

   Hinweis: Wenn Sie den hybriden PAB verwenden, aktualisieren Sie am besten das PAB-XML-Manifest, bevor Sie diesen entfernen und erneut bereitstellen. Weitere Informationen finden Sie in der Dokumentation Aktualisieren und Deinstallieren des hybriden PAB.

Frage: Die folgende Fehlermeldung wird angezeigt: „Dieses Element kann nicht verarbeitet werden. Versuchen Sie es später erneut.“ Wie kann ich das Problem lösen?

Antwort: Schalten Sie auf das neue Outlook um, um dieses Problem zu beheben.

Frage: Welche Berechtigungsbereiche werden vom Graph-PAB verwendet?

Antwort: Die folgenden Berechtigungsbereiche werden vom Graph-PAB verwendet:

• Mail.Read: Mit dieser Berechtigung kann der PAB die E-Mails von Nutzerinnen und Nutzern lesen und E-Mail-Kopfzeilen, Anhänge und den Inhalt der E-Mail abrufen.
• Mail.Read.Shared: Mit dieser Berechtigung kann der PAB die E-Mails in gemeinsam genutzten Postfächern lesen und E-Mail-Kopfzeilen, Anhänge und den Inhalt der E-Mail abrufen.
• Mail.ReadWrite: Mit dieser Berechtigung kann der PAB die E-Mails von Nutzerinnen und Nutzern lesen und schreiben.
• Mail.ReadWrite.Shared: Mit dieser Berechtigung kann der PAB die E-Mails in gemeinsam genutzten Postfächern lesen und schreiben.
• Mail.Send: Mit dieser Berechtigung kann der PAB die E-Mails von Nutzerinnen und Nutzern senden.
• Mail.Send.Shared: Mit dieser Berechtigung kann der PAB die E-Mails von gemeinsam genutzten Postfächern senden, vorausgesetzt, die Nutzerinnen und Nutzer haben die „Senden als“-Berechtigung für das gemeinsam genutzte Postfach aktiviert.
• openid: Mit dieser Berechtigung kann der PAB grundlegende Informationen über die Nutzerinnen und Nutzer abrufen.
• profile: Mit dieser Berechtigung kann der PAB auf die Profilinformationen der Nutzerinnen und Nutzer zugreifen.

Frage: Muss ich die Authentifizierung geschachtelter Apps über Single Sign-On (NAA-SSO) oder On-Behalf-Of-Flow über Single Sign-On (SSO-OBO) für die verwendeten PABs autorisieren?

Antwort: Die NAA-SSO- und die SSO-OBO-Autorisierung werden auf Basis des Microsoft 365-Mandanten aktiviert. Wenn Sie z. B. NAA-SSO für den hybriden PAB in Ihrem Mandanten aktiviert haben, ist keine Autorisierung für den PAB für das Microsoft-Menüband oder andere PAB-Typen mehr erforderlich. Gleiches gilt für SSO-OBO.

Frage: Wie kann ich die Microsoft Graph-API-Berechtigungen für den PAB überprüfen?

Antwort: Sie können die Microsoft Graph-API-Berechtigungen für den PAB in Ihrem Microsoft Entra-Portal überprüfen:

1. Melden Sie sich beim Microsoft Entra Admin Center an und navigieren Sie zu Anwendungen > Enterprise-Anwendungen.
2. Filtern Sie nach dem PAB, indem Sie im Eingabefeld „Phish Alert“ eingeben.
3. Klicken Sie dann auf den Phish Alert Button-Eintrag und überprüfen Sie die Details zum Phish Alert Button.

Frage: Ich habe NAA-SSO aktiviert, aber der hybride PAB funktioniert in meiner Umgebung nicht. Was soll ich tun?

Antwort: Überprüfen Sie, ob die PAB-Berechtigungen für NAA-SSO und Graph-APIs für den PAB akzeptiert worden sind. Die Berechtigungstabelle sieht in etwa wie folgt aus:

Wenn Sie sichergestellt haben, dass die Berechtigungen vorliegen, und das Problem weiterhin besteht, wenden Sie sich an unser Support-Team Support-Team (Link wird in einem neuen Fenster geöffnet).

Frage: Wie lange dauert es, bis die Berechtigungen nach dem Akzeptieren geändert werden?

Antwort: Berechtigungen werden in den Browser-Versionen und Clients vom neuen Outlook fast sofort aktualisiert. Bei Windows Outlook-Clients kann die Aktualisierung einige Zeit dauern. Wenn Sie einen Windows Outlook-Client verwenden und Ihre Berechtigungen nicht sofort aktualisiert werden, können Sie den WEF- oder Cache-Ordner für Windows Outlook löschen den WEF- oder Cache-Ordner für Windows Outlook löschen (Link wird in einem neuen Fenster geöffnet).

Frage: Bemerken Nutzerinnen und Nutzer einen Unterschied, wenn die NAA-SSO-Autorisierung akzeptiert worden ist?

Antwort: Der einzige Unterschied für Nutzerinnen und Nutzer ist, dass nach dem Klicken auf den PAB zum Melden einer E-Mail möglicherweise oben rechts „Graph“ angezeigt wird.