S SignatureHub

← Blog

Microsoft 365 Signaturen zentral verwalten — mit dem OneClick-Installer

15. Mai 2026

OneClick-Installer richtet Outbound-/Inbound-Connector und Transport-Rule in unter fünf Minuten ein. Plus optionaler Entra-ID-Sync und manueller PowerShell-Pfad für Custom-Setups.

Microsoft 365 hat keine zentrale Signaturverwaltung von Hause aus. Bei SignatureHub erledigt das mittlerweile der OneClick-Installer in unter fünf Minuten — der ganze PowerShell-Krempel passiert im Hintergrund.

Architektur in einem Satz

Exchange Online sendet ausgehende Mail über einen Outbound-Connector an SignatureHub. SignatureHub identifiziert den Tenant, wendet Regeln an, fügt die Signatur ein und routet die Mail über einen Inbound-Connector zurück. Eine Transport-Rule entscheidet, welche Mails den Weg nehmen. Ein Marker-Header verhindert Loops.

Der schnelle Weg: OneClick-Installer (empfohlen)

Im SignatureHub-Admin-UI unter „Connectors" einen neuen Microsoft-365-Connector anlegen. Der Setup-Guide öffnet sich mit dem OneClick-Installer als empfohlenem Pfad. Drei Klicks:

  1. „Mit M365 verbinden": Microsoft-Popup öffnet sich. Als Global Admin einloggen, Consent für Exchange-Online-Verwaltung geben. Token kurzlebig, kein Dauer-Zugriff.
  2. „Setup jetzt ausführen": SignatureHub legt über die Exchange-REST-API automatisch an: Outbound-Connector mit smtp.signaturehub.de, Inbound-Connector mit Zertifikat auf *.signaturehub.de, Transport-Rule mit Loop-Exception über den X-SignatureHub-Processed-Header.
  3. Bestätigung: UI zeigt die drei angelegten Artefakte. Status-Badge auf „✓ Live". Fertig.

Reine Click-Zeit: ca. 1 Minute. Mit Microsoft-Login und Consent-Page insgesamt unter 5 Minuten — statt 30–60 Minuten mit PowerShell.

Entra-ID-Sync aktivieren (optional, stark empfohlen)

Im gleichen Connector-Setup gibt es einen zweiten OneClick-Schritt für den Entra-ID-Sync. Wieder Microsoft-Consent geben — danach synchronisiert SignatureHub im Hintergrund Mitarbeiter-Stammdaten (Name, Position, Telefon, Mobil), Mitarbeiter-Fotos (per CID in jede Mail eingebettet), proxyAddresses als Aliase und Gruppen-Zugehörigkeiten für regelbasierte Signaturen.

Test & Live-Schaltung

Im Policy Tester einen Beispiel-Sender und einen externen Empfänger eingeben — das System zeigt die matchende Regel und die finale Signatur. Optional: Transport-Rule auf eine Test-Mailbox einschränken, 20–30 Test-Mails verschicken, dann Scope ausweiten.

Der manuelle Weg (für Custom-Setups)

Falls Compliance-Restriktionen den OneClick-Consent nicht zulassen, geht der klassische PowerShell-Weg weiter. Die drei Befehle, die der Installer im Hintergrund auch absetzt:

New-OutboundConnector -Name "SignatureHub Outbound" -ConnectorType Partner -SmartHosts smtp.signaturehub.de -TlsSettings EncryptionOnly -CloudServicesMailEnabled $true -UseMXRecord $false
New-InboundConnector -Name "SignatureHub Inbound" -ConnectorType Partner -SenderDomains * -RequireTls $true -TlsSenderCertificateName "*.signaturehub.de"
New-TransportRule -Name "Route to SignatureHub" -FromScope InOrganization -SentToScope NotInOrganization -ExceptIfHeaderMatchesMessageHeader "X-SignatureHub-Processed" -ExceptIfHeaderMatchesPatterns ".+" -RouteMessageOutboundConnector "SignatureHub Outbound"

Häufige Fehler

  • Global-Admin-Rechte fehlen → OneClick-Consent schlägt fehl.
  • Conditional-Access blockt das Login-Popup → vorab Ausnahme für app.signaturehub.de setzen.
  • Transport-Rule ohne Loop-Exception (nur manueller Weg) → Endlosschleife.
  • Graph-Permissions zu eng → User.Read.All notwendig für Foto-Sync.

Fertig

Mit dem OneClick-Installer ist M365-Setup heute eine 5-Minuten-Sache. Bei Hybrid-Setups (Exchange On-Premises) lohnt sich ein Onboarding-Workshop mit uns.