OneDrive ist ein unverzichtbarer Cloud-Speicherdienst für Millionen von Nutzern weltweit, sei es für private Dateien, berufliche Dokumente oder als integraler Bestandteil von Microsoft 365. Während die direkte Nutzung über den Browser oder die Desktop-App einfach ist, möchten fortgeschrittene Anwender oder Entwickler oft tiefergehende Integrationen realisieren. Ob es darum geht, OneDrive als Netzlaufwerk zu mounten, Skripte zur Automatisierung zu erstellen oder Drittanbieteranwendungen anzubinden, oft stolpert man über den Begriff „Client-ID” (CID).
Die Client-ID ist ein entscheidender Baustein für jede Art von programmatischem Zugriff auf OneDrive. Sie dient als eindeutiger Identifikator Ihrer Anwendung gegenüber Microsofts Authentifizierungssystemen. Ohne sie kann Ihre Anwendung nicht die notwendige Berechtigung erhalten, um mit Ihrem OneDrive-Konto zu interagieren. In diesem umfassenden Leitfaden erfahren Sie Schritt für Schritt, wie Sie Ihre eigene Client-ID erhalten, welche weiteren Schritte notwendig sind und wie Sie Ihre Integrationen sicher gestalten können.
Was ist eine Client-ID (CID) und warum benötigen Sie sie für OneDrive?
Die Client-ID, oft auch als Anwendungs-ID (Application ID) bezeichnet, ist eine eindeutige Zeichenfolge, die von Microsoft zugewiesen wird, wenn Sie eine Anwendung in deren Identitätsplattform (Azure Active Directory) registrieren. Sie ist vergleichbar mit dem Benutzernamen für Ihre Anwendung und ist öffentlich bekannt. In Verbindung mit anderen Parametern wie dem geheimen Clientschlüssel (Client Secret) oder einem Umleitungs-URI ermöglicht die Client-ID den sicheren und autorisierten Zugriff auf geschützte Ressourcen – in unserem Fall Ihr OneDrive.
Der Hauptgrund, warum Sie eine Client-ID benötigen, liegt im OAuth 2.0-Protokoll, das Microsoft für die Authentifizierung und Autorisierung verwendet. Dieses Protokoll stellt sicher, dass Ihre Anwendung nicht direkt Ihre Anmeldedaten erhält, sondern stattdessen ein Zugriffstoken, das die Berechtigung zur Durchführung bestimmter Aktionen erteilt. Die Client-ID ist der erste Schritt in diesem Autorisierungsfluss.
Typische Szenarien, in denen eine Client-ID für OneDrive unerlässlich ist:
- Integrationen mit Drittanbieter-Tools: Programme wie rclone, die es Ihnen ermöglichen, Cloud-Speicher über die Befehlszeile zu verwalten oder als Netzlaufwerk einzuhängen, benötigen oft eine Client-ID, um sich mit OneDrive zu authentifizieren.
- Benutzerdefinierte Skripte: Wenn Sie eigene Skripte (z.B. in PowerShell, Python oder JavaScript) schreiben, um Dateien hoch- oder herunterzuladen, zu synchronisieren oder Metadaten zu verwalten, ist eine Client-ID für den Zugriff auf die Microsoft Graph API unerlässlich.
- Eigene Anwendungen und Dienste: Entwickler, die eigene Web-, Mobil- oder Desktop-Anwendungen erstellen, die mit OneDrive interagieren sollen, müssen ihre Anwendung bei Microsoft registrieren und erhalten dabei eine Client-ID.
- Erstellen eines „virtuellen” Netzlaufwerks: Manche fortgeschrittenen Lösungen oder spezifische Software erlauben es Ihnen, Ihren OneDrive-Speicherplatz direkt in Ihrem Dateisystem als Netzlaufwerk zu integrieren, wofür ebenfalls die Authentifizierung über eine Client-ID erfolgen kann.
Vorbereitung: Was Sie brauchen, bevor Sie beginnen
Bevor wir uns in die detaillierte Anleitung stürzen, stellen Sie sicher, dass Sie Folgendes zur Hand haben:
- Ein Microsoft-Konto: Dies kann ein persönliches Konto (Outlook.com, Hotmail.com etc.) oder ein Geschäfts-, Schul- oder Unikonto sein, das mit OneDrive verbunden ist.
- Zugang zum Azure-Portal: Das ist das Verwaltungsportal für Microsoft Azure-Dienste, zu dem auch Azure Active Directory (Azure AD) gehört. Die Registrierung einer Anwendung erfolgt dort. Der Zugang ist in der Regel mit Ihrem Microsoft-Konto möglich.
Schritt-für-Schritt-Anleitung: Die CID für OneDrive finden
Der Prozess zur Beschaffung der Client-ID beinhaltet die Registrierung einer neuen Anwendung im Azure-Portal. Folgen Sie diesen Schritten sorgfältig:
Schritt 1: Anmelden beim Azure-Portal
Öffnen Sie Ihren Webbrowser und navigieren Sie zum Azure-Portal: https://portal.azure.com/. Melden Sie sich mit dem Microsoft-Konto an, das Sie für Ihr OneDrive verwenden möchten oder das die erforderlichen Berechtigungen besitzt, um Anwendungen zu registrieren (z.B. Ihr Microsoft 365 Admin-Konto).
Schritt 2: Navigieren zu Azure Active Directory
Nach der Anmeldung sehen Sie das Dashboard des Azure-Portals. Suchen Sie in der Suchleiste am oberen Rand nach „Azure Active Directory” oder klicken Sie im linken Navigationsbereich auf „Azure Active Directory”. Falls es nicht direkt sichtbar ist, klicken Sie auf „Alle Dienste” und suchen Sie dort danach.
Klicken Sie auf den Eintrag für Azure Active Directory, um dessen Übersichtsseite zu öffnen.
Schritt 3: Registrierung einer neuen Anwendung
Im Azure Active Directory-Menü (auf der linken Seite) finden Sie den Eintrag „App-Registrierungen”. Klicken Sie darauf. Hier sehen Sie eine Liste aller Anwendungen, die Sie oder Ihre Organisation bereits registriert haben. Um eine neue Anwendung zu registrieren, klicken Sie auf „Neue Registrierung” (meist oben links).
Schritt 4: Anwendungsdetails eingeben
Nun werden Sie aufgefordert, Details für Ihre neue Anwendung einzugeben:
- Name: Geben Sie einen aussagekräftigen Namen für Ihre Anwendung ein. Dieser Name wird Benutzern angezeigt, wenn sie aufgefordert werden, der Anwendung Berechtigungen zu erteilen. Wählen Sie etwas Beschreibendes, z.B. „OneDrive Integration für rclone”, „Mein OneDrive Skript” oder „Meine benutzerdefinierte OneDrive App”.
- Unterstützte Kontotypen: Dies ist eine wichtige Einstellung, die bestimmt, wer Ihre Anwendung nutzen kann. Wählen Sie sorgfältig aus:
- Nur Konten in diesem Organisationsverzeichnis (Standardverzeichnis) – Einzelner Mandant: Wenn Sie die Anwendung nur für Ihr eigenes Unternehmenskonto oder ein spezifisches Azure AD-Verzeichnis nutzen möchten.
- Konten in einem beliebigen Organisationsverzeichnis (beliebiges Azure AD-Verzeichnis – Mehrmandantenfähig) und persönliche Microsoft-Konten (z. B. Skype, Xbox): Dies ist oft die beste Wahl für persönliche OneDrive-Konten oder wenn Sie möchten, dass Ihre Anwendung von Nutzern verschiedener Azure AD-Organisationen und persönlichen Microsoft-Konten verwendet werden kann. Dies ist der typische Fall, wenn Sie OneDrive mit Tools wie rclone oder für private Skripte nutzen wollen.
- Nur persönliche Microsoft-Konten: Wenn Ihre Anwendung ausschließlich für persönliche OneDrive-Konten gedacht ist und keine Azure AD-Konten unterstützen soll.
Für die meisten persönlichen OneDrive-Integrationen ist die zweite Option („Konten in einem beliebigen Organisationsverzeichnis und persönliche Microsoft-Konten”) die flexibelste Wahl.
Schritt 5: Umleitungs-URI (Redirect URI) festlegen
Der Umleitungs-URI ist ein kritischer Bestandteil des OAuth 2.0-Protokolls. Er gibt an, wohin Microsoft den Benutzer nach erfolgreicher Authentifizierung umleiten soll, zusammen mit dem Autorisierungscode oder Token. Ohne einen korrekten Umleitungs-URI funktioniert der Authentifizierungsfluss nicht.
- Plattform auswählen: Klicken Sie unter „Umleitungs-URI (optional)” auf „Plattform hinzufügen”.
- Typ auswählen:
- Für Webanwendungen, die über einen Browser aufgerufen werden, wählen Sie „Web”. Hier geben Sie die URL ein, an die Ihr Server nach der Authentifizierung umleiten soll (z.B.
https://localhost:8080oderhttps://meine-app.com/auth-callback). - Für Desktop- oder mobile Anwendungen (einschließlich Tools wie rclone, die über die Kommandozeile laufen und einen lokalen Webserver für die Authentifizierung nutzen), wählen Sie „Mobile- und Desktopanwendungen”. Eine gängige und oft empfohlene Umleitungs-URI ist hier
http://localhostoderhttp://localhost:53682/(spezifisch für rclone) oderhttps://login.microsoftonline.com/common/oauth2/nativeclient. Stellen Sie sicher, dass Sie den spezifischen Umleitungs-URI verwenden, den Ihre Anwendung oder Ihr Tool erwartet. Für rclone isthttp://localhost:53682/ein guter Startpunkt, oft kann aber auch einfachhttp://localhostausreichen, da rclone selbst den Port variieren kann.
- Für Webanwendungen, die über einen Browser aufgerufen werden, wählen Sie „Web”. Hier geben Sie die URL ein, an die Ihr Server nach der Authentifizierung umleiten soll (z.B.
Wenn Sie unsicher sind, wählen Sie für die meisten CLI-Tools wie rclone „Mobile- und Desktopanwendungen” und fügen Sie http://localhost hinzu. Sie können später weitere Umleitungs-URIs hinzufügen, falls dies notwendig wird.
Schritt 6: Anwendung registrieren
Nachdem Sie alle Details eingegeben haben, klicken Sie auf die Schaltfläche „Registrieren” am unteren Rand. Ihre Anwendung wird erstellt, und Sie werden automatisch auf die Übersichtsseite Ihrer neu registrierten Anwendung weitergeleitet.
Schritt 7: Die Client-ID (Anwendungs-ID) finden
Herzlichen Glückwunsch! Auf der Übersichtsseite Ihrer Anwendung finden Sie alle wichtigen Informationen. Die Client-ID, die Sie suchen, wird als „Anwendungs-ID (Client-ID)” prominent angezeigt. Es handelt sich um eine lange Zeichenfolge (eine GUID – Globally Unique Identifier).
Kopieren Sie diese ID sorgfältig. Dies ist die CID, die Sie für Ihre OneDrive-Integrationen benötigen!
Wichtige nachfolgende Schritte (nachdem Sie die CID haben)
Die Client-ID allein reicht in den meisten Fällen nicht aus. Sie müssen Ihrer Anwendung auch mitteilen, welche Art von Zugriff sie auf OneDrive haben soll, und manchmal einen weiteren geheimen Schlüssel erstellen.
1. API-Berechtigungen konfigurieren
Ihre Anwendung muss explizit Berechtigungen anfordern, um auf OneDrive zugreifen zu können. Diese Berechtigungen werden über die Microsoft Graph API gesteuert.
- Navigieren Sie im Menü Ihrer Anwendungsregistrierung zu „API-Berechtigungen”.
- Klicken Sie auf „Berechtigung hinzufügen”.
- Wählen Sie „Microsoft Graph”. Dies ist die Schnittstelle, über die Sie auf OneDrive zugreifen werden.
- Wählen Sie die Art der Berechtigungen:
- Delegierte Berechtigungen: Die Anwendung handelt im Namen des angemeldeten Benutzers. Dies ist der häufigste Fall für die meisten OneDrive-Integrationen.
- Anwendungsberechtigungen: Die Anwendung handelt eigenständig, ohne dass ein Benutzer angemeldet sein muss (typisch für Hintergrunddienste, erfordert aber Admin-Zustimmung).
Für die meisten persönlichen Zwecke und Tools wie rclone wählen Sie „Delegierte Berechtigungen”.
- Suchen Sie nach den erforderlichen OneDrive-Berechtigungen. Gängige Berechtigungen für OneDrive sind:
Files.Read(Dateien lesen)Files.ReadWrite(Dateien lesen und schreiben)Files.Read.All(Alle Dateien lesen, einschließlich geteilter Dateien)Files.ReadWrite.All(Alle Dateien lesen und schreiben, einschließlich geteilter Dateien)User.Read(Profil des angemeldeten Benutzers lesen, oft eine Standardberechtigung)offline_access(ermöglicht der Anwendung, Aktualisierungstoken zu verwenden, um auch nach Ablauf des Zugriffstokens neue Zugriffstoken zu erhalten – wichtig für langfristigen Zugriff ohne Neuanmeldung).
Wählen Sie die Berechtigungen aus, die Ihre Anwendung wirklich benötigt. Beschränken Sie die Berechtigungen immer auf das Minimum, um die Sicherheit zu erhöhen. Für die meisten rclone- oder Skript-Zwecke, die Dateien manipulieren sollen, sind
Files.ReadWrite.Allundoffline_accessüblich. - Klicken Sie auf „Berechtigungen hinzufügen”.
- Wichtig: Für einige Berechtigungen (insbesondere Anwendungsberechtigungen oder sehr weitreichende delegierte Berechtigungen) müssen Sie oder ein Administrator die „Administratorzustimmung erteilen”. Klicken Sie auf die Schaltfläche, falls diese verfügbar ist und nötig ist.
2. Geheimer Clientschlüssel (Client Secret) erstellen (optional, aber oft notwendig)
Manche Anwendungen benötigen zusätzlich zur Client-ID einen geheimen Clientschlüssel (Client Secret) für die Authentifizierung, insbesondere bei Webanwendungen, die nicht auf einem Gerät des Benutzers laufen, oder wenn die Umleitungs-URI nicht öffentlich zugänglich ist. Dieser geheime Schlüssel ist vergleichbar mit einem Passwort für Ihre Anwendung und muss streng geheim gehalten werden.
Für Tools wie rclone oder Skripte, die auf einem lokalen Rechner laufen, ist der geheime Clientschlüssel oft nicht zwingend erforderlich, da sie meist den „Public Client” oder „Native Application”-Fluss nutzen, bei dem die Umleitung zu einem lokalen Port erfolgt. Wenn Ihr Tool jedoch einen geheimen Clientschlüssel explizit anfordert, gehen Sie wie folgt vor:
- Navigieren Sie im Menü Ihrer Anwendungsregistrierung zu „Zertifikate und Geheimnisse”.
- Klicken Sie unter „Geheime Clientschlüssel” auf „Neuer geheimer Clientschlüssel”.
- Geben Sie eine Beschreibung (z.B. „rclone key”) und eine Ablaufzeit ein (wählen Sie die maximale Dauer, wenn Sie langfristigen Zugriff wünschen).
- Klicken Sie auf „Hinzufügen”.
- Wichtig: Der generierte Schlüssel wird nur einmal angezeigt! Kopieren Sie den „Wert” des geheimen Clientschlüssels sofort und speichern Sie ihn an einem sicheren Ort. Nachdem Sie die Seite verlassen haben, können Sie ihn nicht mehr einsehen. Sie müssten einen neuen Schlüssel generieren, wenn Sie ihn verlieren.
Anwendungsbeispiele für die Verwendung der CID
Nachdem Sie die Client-ID (und ggf. den geheimen Clientschlüssel) erhalten haben, können Sie diese in Ihren bevorzugten Tools und Skripten verwenden:
- rclone: Wenn Sie rclone einrichten, werden Sie aufgefordert, eine Client-ID und einen geheimen Clientschlüssel einzugeben. Sie können entweder die von rclone bereitgestellten Standardwerte verwenden (die von rclone-Entwicklern registrierte IDs sind) oder Ihre eigene, soeben generierte Client-ID eintragen. Die Verwendung Ihrer eigenen CID gibt Ihnen mehr Kontrolle und vermeidet mögliche Ratenbeschränkungen, die für gemeinsame IDs gelten könnten.
- Benutzerdefinierte Skripte: In Ihren Python-, PowerShell- oder anderen Skripten würden Sie die Client-ID in Verbindung mit einer Authentifizierungsbibliothek (z.B. MSAL für Python/C#, ADAL für ältere .NET-Projekte) verwenden, um ein Zugriffstoken von Microsoft zu erhalten. Mit diesem Token können Sie dann HTTP-Anfragen an die Microsoft Graph API senden, um mit Ihrem OneDrive zu interagieren.
- OneDrive als Netzlaufwerk mounten: Einige Spezial-Tools oder Community-Projekte ermöglichen es, OneDrive als Netzlaufwerk unter Windows, Linux oder macOS einzubinden. Diese Tools fragen in der Regel nach der Client-ID (und manchmal dem Secret) für die OAuth-Authentifizierung.
Sicherheitsüberlegungen und Best Practices
Der Umgang mit Client-IDs und geheimen Clientschlüsseln erfordert Sorgfalt. Beachten Sie folgende Sicherheitshinweise:
- Schützen Sie Ihren geheimen Clientschlüssel: Behandeln Sie den geheimen Clientschlüssel wie ein Passwort. Speichern Sie ihn niemals direkt im Code oder in öffentlichen Repositorys. Verwenden Sie Umgebungsvariablen, sichere Konfigurationsdateien oder Schlüsseltresor-Dienste.
- Beschränken Sie Berechtigungen auf das Notwendigste: Geben Sie Ihrer Anwendung nur die Berechtigungen, die sie unbedingt benötigt (Prinzip der geringsten Rechte). Wenn Ihre Anwendung nur Dateien lesen soll, geben Sie ihr nicht
Files.ReadWrite.All. - Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Berechtigungen und Registrierungen Ihrer Anwendungen im Azure-Portal. Entfernen Sie alte oder nicht mehr benötigte Registrierungen.
- Ablaufzeiten für geheime Schlüssel: Wählen Sie eine angemessene Ablaufzeit für Ihre geheimen Clientschlüssel. Erneuern Sie sie vor Ablauf und rotieren Sie sie regelmäßig.
- Umleitungs-URIs absichern: Stellen Sie sicher, dass Ihre Umleitungs-URIs korrekt konfiguriert und so sicher wie möglich sind (z.B. HTTPS für Webanwendungen).
- Verstehen Sie die Benutzerzustimmung: Wenn ein Benutzer Ihrer Anwendung Berechtigungen erteilt, weiß er genau, auf welche Daten die Anwendung zugreifen kann. Transparenz ist hier wichtig.
Häufig gestellte Fragen (FAQs)
F: Kann ich eine CID für mehrere OneDrive-Konten verwenden?
A: Ja, die Client-ID identifiziert Ihre Anwendung, nicht ein spezifisches OneDrive-Konto. Wenn Ihre Anwendung für „Konten in einem beliebigen Organisationsverzeichnis und persönliche Microsoft-Konten” registriert ist, kann jeder Benutzer, der sich mit seinem Microsoft-Konto anmeldet, die Anwendung autorisieren und ihr Zugriff auf sein eigenes OneDrive gewähren. Sie benötigen dafür jedoch für jedes Konto eine separate Authentifizierung (Zustimmung und Token-Generierung).
F: Was tun, wenn ich die CID nicht finde oder vergessen habe?
A: Die Client-ID (Anwendungs-ID) ist immer auf der Übersichtsseite Ihrer registrierten Anwendung im Azure-Portal sichtbar. Wenn Sie den geheimen Clientschlüssel vergessen haben, müssen Sie unter „Zertifikate und Geheimnisse” einen neuen generieren, da der alte nicht wiederhergestellt werden kann.
F: Ist es sicher, meine eigene CID zu verwenden?
A: Ja, es ist in der Regel sicherer, eine eigene CID zu verwenden als eine generische, die von einem Tool wie rclone bereitgestellt wird, da Sie die volle Kontrolle über die Berechtigungen und die Konfiguration haben. Achten Sie jedoch auf die oben genannten Sicherheitsbest Practices, insbesondere den Umgang mit dem geheimen Clientschlüssel.
F: Warum brauche ich „offline_access”?
A: Die Berechtigung offline_access ermöglicht es Ihrer Anwendung, ein „Refresh Token” zu erhalten. Dieses Refresh Token kann verwendet werden, um neue „Access Tokens” zu erhalten, auch wenn der Benutzer nicht aktiv angemeldet ist. Dies ist entscheidend für langfristige Integrationen und Skripte, die im Hintergrund laufen, da Access Tokens typischerweise nur eine Stunde gültig sind. Ohne offline_access müssten Sie sich jedes Mal neu authentifizieren, wenn das Access Token abläuft.
Fazit
Die Client-ID ist der Schlüssel zur Entfaltung des vollen Potenzials von OneDrive jenseits der Standardbenutzeroberflächen. Ob Sie Daten synchronisieren, automatisieren oder eigene Anwendungen entwickeln möchten, die Fähigkeit, Ihre Anwendung sicher mit Microsofts Identitätsplattform zu verbinden, ist eine grundlegende Fähigkeit. Durch die sorgfältige Befolgung dieser Anleitung können Sie Ihre eigene Client-ID erfolgreich finden, die erforderlichen Berechtigungen konfigurieren und Ihre OneDrive-Integrationen auf eine sichere und effiziente Weise realisieren. Denken Sie immer daran, Sicherheit an erste Stelle zu setzen und Ihre Schlüsselinformationen sorgfältig zu verwalten.