Zeeg verwendet für alle Microsoft 365-Integrationen delegierten Zugriff (pro Benutzer) — der Zugriff ist an die Person gebunden, die sich anmeldet, und wird nicht standardmäßig organisationsweit erteilt.
Zeeg greift ausschließlich auf die Daten zu, die zur Bereitstellung des Dienstes erforderlich sind. Passwörter werden nie gespeichert, nicht verwaltete E-Mails und Kalendereinträge werden nie verändert, und persönliche Daten werden nicht an Dritte weitergegeben.
Die Microsoft 365-Kalenderintegration ist in allen kostenpflichtigen Tarifen verfügbar (Professional, Business, Scale und Enterprise).
Die drei Microsoft-Apps
Zeeg verwendet drei separate Microsoft OAuth-Apps. Benutzer verbinden nur die Apps, die sie tatsächlich benötigen — jede App erfordert eine separate OAuth-Zustimmung, sodass nur die wirklich genutzten Berechtigungen erteilt werden.
Microsoft-App | Client-ID |
Outlook-Kalender | 73bf7273-1a54-4842-a713-7eba8d5cf92c |
Microsoft Teams | 63572884-7805-4914-bff4-2815cdfa0999 |
Outlook Mail | 1115f5f2-1192-4934-8edf-42d71d651743 |
1. Outlook-Kalender
Client-ID: 73bf7273-1a54-4842-a713-7eba8d5cf92c
Scope:Calendars.ReadWrite (+ openid, profile, offline_access, User.Read)
Diese App wird für die Terminplanung verwendet. Sie liest den Kalender des Benutzers aus, um belegte Zeiten zu erkennen, damit Zeeg nur freie Zeitfenster anzeigt. Gebuchte Termine werden als Ereignisse in den Kalender eingetragen und bei Änderungen oder Stornierungen entsprechend aktualisiert.
Integrierte Teams-Unterstützung: Wenn der Benutzer während der Kalenderverbindung die Berechtigung für Videomeetings erteilt, kann Zeeg automatisch Teams-Meetinglinks in Kalendereinträge einfügen — ohne dass eine separate Teams-App erforderlich ist. Dies ist die gängigste Konfiguration.
2. Microsoft Teams (eigenständig)
Client-ID: 63572884-7805-4914-bff4-2815cdfa0999
Scope: OnlineMeetings.ReadWrite (+ Basisbereiche)
Diese App erstellt Teams-Meetinglinks für Buchungen, wenn der Kalender des Benutzers auf einer anderen Plattform liegt (z. B. Google Kalender) oder wenn kein Kalenderzugriff gewährt werden soll. Sie wird nur benötigt, wenn keine Kalenderintegration verwendet wird — andernfalls deckt die Outlook-Kalender-App die Teams-Meetinglinks bereits ab.
3. Outlook Mail
Client-ID: 1115f5f2-1192-4934-8edf-42d71d651743
Scope: Mail.ReadWrite, Mail.Send, Mail.ReadWrite.Shared, Mail.Send.Shared (+ Basisbereiche)
Diese App sendet Buchungsbestätigungen, Erinnerungen, Umbuchungen und Stornierungen über die eigene Outlook-Adresse des Benutzers anstelle von Zeegs Standardabsender. Sie unterstützt auch gemeinsam genutzte Postfächer (z. B. buchungen@unternehmen.de), sofern der Benutzer darauf Zugriff hat. Diese Integration ist vollständig optional — ohne Verbindung versendet Zeeg diese E-Mails über seinen eigenen Maildienst.
Übersicht: Die Apps und ihre Funktionen
Verbundene Apps | Verfügbare Funktionen |
Nur Kalender | Verfügbarkeitsprüfung + Terminerstellung |
Kalender + Videoberechtigung | Wie oben, und automatisch generierte Teams-Links |
Nur Teams | Teams-Meetinglinks ohne Kalenderzugriff |
Kalender (oder Teams) + Outlook Mail | Buchungs-E-Mails werden über das eigene Postfach des Benutzers versendet |
Einwilligungsmodell
Der Zugriff ist pro Benutzer delegiert — Zeeg handelt ausschließlich im Namen des angemeldeten Benutzers und greift nur auf dessen eigenen Kalender, sein Postfach oder seine Teams-Meetings zu. Die Zustimmung kann auf vier Wegen erfolgen:
1. Regulärer Benutzer verbindet sich (Zustimmung nur für sich selbst)
Ein Benutzer ohne Administratorrechte sieht den Standard-Microsoft-Zustimmungsbildschirm und erteilt den Zugriff für sein eigenes Konto. Die Zugriffstoken sind an diese Person gebunden.
2. Administrator verbindet sich über Zeeg
Wenn ein Globaler Administrator, Cloud-Anwendungsadministrator, Anwendungsadministrator oder Administrator für privilegierte Rollen denselben Zeeg-OAuth-Flow durchläuft, zeigt Microsoft automatisch eine zusätzliche Checkbox an: „Im Namen Ihrer Organisation zustimmen" (Consent on behalf of your organization).
Aktiviert → Die App wird mandantenweit vorab genehmigt. Alle anderen Benutzer in der Organisation überspringen den Zustimmungsbildschirm, wenn sie sich später verbinden.
Deaktiviert → Die Zustimmung gilt nur für das Konto des Administrators.
Um diesen Vorgang auszulösen, reicht es, die Verbindung in Zeeg zu starten — ein vollständig eingerichtetes Zeeg-Konto ist dafür nicht erforderlich. Der Zustimmungsbildschirm selbst wird ausschließlich zwischen dem Administrator und Microsoft abgewickelt. Die Administratorzustimmung muss für jede App separat erteilt werden (Outlook-Kalender, Teams und Outlook Mail sind voneinander unabhängig).
3. Administrator genehmigt vorab, ohne Zeeg zu verwenden
Ein Administrator kann die mandantenweite Zustimmung direkt über die Microsoft-Admin-Zustimmungs-URL erteilen, ohne sich bei Zeeg anzumelden:
{client_id} ist durch die Client-ID der jeweiligen Zeeg-App zu ersetzen. Nach der Genehmigung erscheint Zeeg unter Unternehmensanwendungen (Enterprise Applications) im Microsoft Entra Admin Center, und Benutzer im gesamten Mandanten können sich ohne individuelle Zustimmungsaufforderung verbinden.
4. Benutzer ohne Administratorrechte beantragt Zustimmung beim Administrator
Dies ist eine integrierte Microsoft-Funktion namens Workflow für die Administratorzustimmung (Admin Consent Workflow). Wenn im Mandanten die Option „Benutzer können Apps zustimmen" deaktiviert ist und der Workflow aktiviert ist, sieht ein Benutzer ohne Administratorrechte beim Verbindungsversuch einen Bildschirm „Genehmigung erforderlich" (Approval required) anstelle einer Fehlermeldung. Der Benutzer kann eine Begründung eingeben, woraufhin Microsoft die Anfrage automatisch per E-Mail an die zuständigen Administrator-Prüfer sendet. Nach der Genehmigung wird der Benutzer benachrichtigt und kann die Verbindung abschließen.
Ist der Workflow für die Administratorzustimmung nicht aktiviert, erscheint die Fehlermeldung „Administratorgenehmigung erforderlich" (Need admin approval) und der Benutzer muss den Administrator direkt kontaktieren.
Gruppenbasierte und selektive Zustimmung
Eine reine Gruppeneinschränkung ohne mandantenweite Zustimmung ist in der Microsoft-Oberfläche nicht direkt verfügbar, lässt sich aber über das Microsoft Entra-Portal umsetzen:
Mandantenweite Administratorzustimmung erteilen, anschließend den Zugriff über „Zuweisung erforderlich" (Assignment required) und Gruppenzuweisungen unter Unternehmensanwendungen (Enterprise Applications) einschränken. So können nur Mitglieder bestimmter Gruppen eine Verbindung herstellen.
Alternativ kann über die Microsoft Graph-API eine delegierte Zustimmung für bestimmte Benutzer erteilt werden.
Wichtig: Auch bei mandantenweiter Administratorzustimmung bleiben die Berechtigungen delegiert. Die Administratorzustimmung entfernt lediglich die individuelle Zustimmungsaufforderung — Zeeg erhält dadurch keinen organisationsweiten Datenzugriff.
FAQ
Greift Zeeg auf Daten anderer Benutzer in der Organisation zu, wenn ein Benutzer seinen Kalender verbindet?
Nein. Der Zugriff ist vollständig an den angemeldeten Benutzer delegiert. Zeeg kann ausschließlich auf den Kalender, das Postfach und die Teams-Meetings dieser Person zugreifen — nicht auf die anderer Benutzer in der Organisation.
Müssen alle drei Apps verbunden werden?
Nein. Benutzer verbinden nur die Apps, die für ihren Anwendungsfall relevant sind. Für die meisten Benutzer reicht die Verbindung mit dem Outlook-Kalender aus. Die Teams-App wird nur benötigt, wenn ein Kalender auf einer anderen Plattform verwendet wird. Outlook Mail ist optional und nur erforderlich, wenn Buchungs-E-Mails über das eigene Postfach des Benutzers versendet werden sollen.
Kann ein IT-Administrator Zeeg für die gesamte Organisation vorab genehmigen?
Ja. Ein Administrator kann die mandantenweite Zustimmung über die Admin-Zustimmungs-URL oder über das Microsoft Entra Admin Center erteilen, sodass einzelne Benutzer den Zugriff nicht selbst genehmigen müssen. Weitere Informationen dazu im Abschnitt Zustimmungsmodell weiter oben.
Was passiert, wenn in der Organisation keine Administratorzustimmung erteilt wurde?
Benutzer ohne Administratorrechte erhalten beim Verbindungsversuch die Fehlermeldung „Administratorgenehmigung erforderlich". Ist der Workflow für die Administratorzustimmung aktiviert, können Benutzer direkt über diesen Bildschirm eine Anfrage an den Administrator stellen.