MCP-Server für Microsoft 365

Was ist ein MCP-Server für Microsoft 365?

In vielen Mittelstands-Tenants liegt das gesamte operative Arbeitsleben in Microsoft 365 — Hunderte Mails pro Tag in Outlook, verstreute Entscheidungen in Teams-Threads, Vertragsstände tief in SharePoint-Bibliotheken. Wer diese Inhalte einer KI zugänglich machen will, steht vor dem Governance-Problem: zu weit gefasste Rechte sind ein Risiko, zu enge machen den Assistenten nutzlos. Genau hier setzt ein MCP-Server für Microsoft 365 an. Er verbindet KI-Agenten (Claude, GPT, Gemini, Copilot) über das offene Model Context Protocol mit Ihrem Tenant — der Datenzugriff läuft dabei nicht über ein Dutzend Einzel-APIs, sondern gebündelt über die Microsoft Graph API, die einheitliche REST-Schnittstelle zu Outlook, Teams, SharePoint, OneDrive, Kalender und Entra ID. Der MCP-Server übersetzt diese Endpunkte in saubere, abgesicherte Werkzeuge, die ein Agent natürlichsprachig aufrufen kann.

Der praktische Reiz: Microsoft 365 ist im DACH-Mittelstand quasi Standard. Wer Mails, Termine, Chats und Dokumente bereits dort liegen hat, muss nichts migrieren — der MCP-Server setzt einfach obendrauf. Statt für jede KI-Idee eigene Skripte oder Power-Automate-Flows zu bauen, definieren Sie einmal die Tools und tauschen das Modell beliebig aus. Mehr zur grundsätzlichen Abgrenzung lesen Sie unter MCP vs. API & Function Calling.

Wichtig ist die Abgrenzung zu Microsofts eigenen Bausteinen: Copilot und das neuere Work IQ liefern fertige Assistenz innerhalb der Microsoft-Welt — bequem, aber an Microsofts Modell, Logik und Datenpfade gebunden. Ein selbst gehosteter MCP-Server (etwa auf Basis der Open-Source-Variante ms-365-mcp von Softeria) gibt Ihnen dagegen freie Modellwahl, eigene Tool-Definitionen, eigene Logging-Hoheit und volle Kontrolle über Berechtigungen sowie Datenresidenz. Für viele Mittelständler ist genau das der Unterschied zwischen einem Spielzeug und einem prüfbaren Produktivsystem.

Use Cases: Was kann ein Microsoft-365-MCP-Server konkret?

1. Posteingangs-Triagierung in Outlook Der Agent liest neue Mails, klassifiziert nach Dringlichkeit, Kunde und Thema, schlägt Antwortentwürfe vor und setzt Kategorien oder Flags. Reine Newsletter wandern automatisch in Ordner — das Wichtige bleibt oben. Versand bleibt standardmäßig ein bestätigter Schritt.
2. Termin-Koordination über den Kalender „Finde mit dem Team einen 60-Minuten-Slot nächste Woche." Der Agent prüft Verfügbarkeiten über die Calendar-Endpunkte, schlägt Zeitfenster vor und legt nach Freigabe einen Termin samt Teams-Link an — inklusive Agenda-Entwurf aus dem Mailverlauf.
3. Meeting-Zusammenfassungen aus Teams Aus einem Kanal- oder Chat-Verlauf erstellt der Agent eine strukturierte Zusammenfassung mit Entscheidungen, offenen Punkten und Verantwortlichkeiten — und postet sie als Nachricht zurück oder legt sie als Notiz ab.
4. Dokumentensuche über SharePoint & OneDrive „Wo liegt die aktuelle Version des Rahmenvertrags mit Lieferant X?" Der Agent durchsucht freigegebene SharePoint-Bibliotheken und OneDrive-Ordner, findet das richtige Dokument, fasst es an und nennt die genaue Fundstelle — statt minutenlangem Klicken.
5. Onboarding- und Aufgaben-Routinen Bei einem neuen Projekt legt der Agent die Teams-Struktur, die SharePoint-Ablage und die ersten Aufgaben (über Planner/To Do) an — eine wiederholbare, geführte Routine statt manueller Klickarbeit für jede Mitarbeiterin und jeden Mitarbeiter.
6. Wissensbasis-Recherche für andere Agenten Der Microsoft-365-Agent dient als Recherche-Werkzeug für vorgelagerte Prozesse: Ein Vertriebs-Agent fragt z. B. den letzten Mailverlauf mit einem Kunden ab, bevor er in einem Salesforce-MCP-Server oder Dynamics-365-MCP-Server einen Datensatz aktualisiert.

So funktioniert die Integration

Architektur-Bild für Microsoft 365:

KI-Agent ↔ MCP-Server (Ihr EU-Host) ↔ Microsoft Graph API (OAuth 2.0 über Entra ID, REST/JSON)

Konkrete technische Schritte:

• OAuth-Setup über Entra ID: Wir registrieren eine App-Registration in Ihrem Tenant. Je nach Use-Case mit delegierten Rechten (Agent handelt im Namen eines Nutzers) oder Application-Rechten (Hintergrund-Dienst). Tokens werden verschlüsselt auf dem EU-Host abgelegt, mit Rotation.
• Tool-Mapping auf Graph: Wir definieren MCP-Tools wie list_messages, send_mail_draft, find_meeting_times, create_event, search_drive_items, summarize_chat — jedes mit JSON-Schema, validierten Eingaben und klaren Fehlermeldungen.
• Scoped Permissions: Statt Mail.Read auf alle Postfächer arbeiten wir mit Sites.Selected und Application Access Policies, damit der Agent ausschließlich freigegebene Postfächer, Kanäle und Bibliotheken sieht.
• Read vs. Write Trennung: Standardmäßig erzeugt der Agent nur Entwürfe (Mail-Drafts, Termin-Vorschläge). Versand, Veröffentlichen oder Löschen erfordert eine menschliche Freigabe — konfigurierbar pro Tool.
• Logging & Audit: Jede Graph-Aktion wird mit Zeitstempel, handelndem Nutzer und Diff protokolliert — so bleibt nachvollziehbar, was der Agent wann angefasst hat.

Ob dafür eine fertige Open-Source-Basis (z. B. ms-365-mcp) genügt oder eine maßgeschneiderte Lösung sinnvoller ist, klären wir im Audit — siehe auch MCP-Server entwickeln lassen.

DSGVO, Hosting & Sicherheit

Gerade bei Microsoft 365 ist Governance der kritische Punkt: Die Graph API ist mächtig, ein zu weit gefasster Scope wäre ein echtes Risiko. Damit das Gesamtsystem DSGVO-konform bleibt, achten wir bei jedem MCP-Server für Microsoft 365 auf:

• EU-Datengrenze (EU Data Boundary): Microsoft 365 lässt sich so konfigurieren, dass Mail-, Teams- und SharePoint-Inhalte in den EU-Rechenzentren von Microsoft verbleiben; der MCP-Server läuft daneben auf einem eigenen EU-Host (Hetzner oder Azure Germany), ohne US-Edge.
• Entra-ID-Tokens verschlüsselt & rotiert: Die OAuth-2.0-Tokens, mit denen der Server gegen die Graph API authentifiziert, werden verschlüsselt abgelegt — mit definierter Rotations- und Revoke-Strategie, sodass ein einzelnes kompromittiertes Token sich sofort entziehen lässt.
• AVV mit dem KI-Anbieter in EU-Datenresidenz: z. B. Claude über AWS Bedrock (EU-Region Frankfurt) oder Google Vertex AI (EU), OpenAI Enterprise mit EU-Data-Residency oder Azure OpenAI in Deutschland — so verlassen die Mail- und Dokumenteninhalte die EU nicht.
• Postfach- und Site-genaue Datenminimierung: Über Sites.Selected und Application Access Policies sieht der Agent nur die freigegebenen Postfächer, Kanäle und SharePoint-Bibliotheken samt der dafür nötigen Felder — keine Tenant-weite Generalfreigabe auf alle Graph-Daten.
• Rollen- und Mandanten-Trennung im Tenant: Graph-Berechtigungen werden pro Abteilung oder Mandant getrennt, damit kein Agent über seinen Auftrag hinaus in fremde Outlook- oder SharePoint-Bereiche liest. Tiefer dazu in MCP-Server Sicherheit & DSGVO.

Was kostet das?

Der Aufwand hängt stark davon ab, wie viele Graph-Bereiche (nur Outlook? auch Teams und SharePoint?) und wie viele Schreib-Use-Cases eingebunden werden. Konkret heißt das:

• Time-to-Value: Ein erster lesender Use-Case — etwa Posteingangs-Triage oder SharePoint-Suche — ist meist zügig produktiv, weil die Graph-Endpunkte sauber dokumentiert sind. Schreibende Use-Cases mit Freigabe-Logik folgen danach.
• Festpreis pro Use Case, kein Stundenroulette. Skalierung danach in klar abgegrenzten Inkrementen.

Die konkrete Zahl nennen wir in der Erstberatung — abhängig von Tenant-Größe, eingebundenen Graph-Bereichen und gewünschtem Governance-Niveau. Wenn Sie den Service-Rahmen abstecken wollen, hilft die Money-Page MCP-Integration Agentur weiter.

Häufige Fragen

Über welche Schnittstelle greift ein MCP-Server auf Microsoft 365 zu?

Über die Microsoft Graph API — die einheitliche REST-Schnittstelle zu Outlook, Teams, SharePoint, OneDrive und Kalender. Die Authentifizierung läuft über Microsoft Entra ID (OAuth 2.0). Statt vieler Einzel-APIs spricht der MCP-Server also einen zentralen Endpunkt an.

Brauche ich Microsoft Copilot oder reicht ein eigener MCP-Server?

Beides ist möglich. Copilot bzw. Work IQ deckt Standardfälle innerhalb des Microsoft-Ökosystems komfortabel ab. Ein selbst gehosteter MCP-Server gibt Ihnen dagegen freie Modellwahl, eigene Tool-Definitionen und volle Kontrolle über Berechtigungen, Logging und Datenresidenz — relevant, sobald Compliance und prüfbare Prozesse zählen.

Sieht der KI-Agent dann alle E-Mails und Dokumente?

Nein. Über App-Berechtigungen, Sites.Selected und Application Access Policies grenzen wir den Zugriff exakt auf benötigte Postfächer, Teams-Kanäle und SharePoint-Bibliotheken ein — nach dem Prinzip der minimalen Rechte. Der Agent bekommt keine Tenant-weite Generalfreigabe.

Kann der Agent eigenständig Mails verschicken oder Termine anlegen?

Technisch ja. In der Praxis empfehlen wir, schreibende Aktionen wie Mailversand oder Terminbuchung zunächst als Entwurf bzw. Vorschlag auszuführen und kurz freizugeben. Lesende Aktionen laufen voll automatisch, schreibende mit Bestätigungsschritt — konfigurierbar pro Tool.

Ist Microsoft 365 mit MCP DSGVO-konform nutzbar?

Ja, wenn die Bausteine sauber gewählt sind: Microsoft 365 mit EU-Datengrenze, MCP-Server auf EU-Host und ein KI-Anbieter mit EU-Datenresidenz und AVV. So bleibt die gesamte Verarbeitungskette in Europa.

Welche KI-Modelle funktionieren?

Grundsätzlich jedes Modell, das das Model Context Protocol unterstützt — in der Praxis also Claude, GPT, Gemini ebenso wie Microsoft Copilot. Da die Graph-Tools einmal definiert sind und unverändert bleiben, tauschen Sie das dahinterliegende Modell aus, ohne die Integration neu bauen zu müssen. So bleiben Sie unabhängig von einem einzelnen Anbieter.