Outlook Graph MCP

Serveur MCP qui pilote votre boîte Outlook via Microsoft Graph, en écriture, avec des permissions déléguées (tout se passe sur votre propre boîte /me). Il expose chaque action du tableau ci-dessous comme un outil appelable par Claude.

Contrairement au connecteur Outlook « lecture seule » (recherche d'e-mails), celui-ci crée, modifie et envoie : dossiers, catégories, règles de tri, messages, réponses automatiques, etc.

Couverture (votre tableau → outils MCP)

Bonus : delete_mail_folder lève la limite « suppression de dossier impossible » mentionnée précédemment. C'est une action destructive — Claude vous demandera confirmation.

Related MCP server: MCP Outlook Server

Prérequis

• Windows + Python ≥ 3.10 et uv (déjà installés sur votre poste).

• Un compte Microsoft 365 professionnel (ex. …@relationdigitale.com).

• Les droits de créer une inscription d'application dans Azure (ou un admin qui consent — voir étape A).

Étape A — Inscrire l'application Azure AD (≈ 10 min, une seule fois)

1. Ouvrez le portail Azure → Microsoft Entra ID → Inscriptions d'applications → Nouvelle inscription.

2. Nom : Outlook MCP (libre). Types de comptes pris en charge : Comptes dans cet annuaire d'organisation uniquement (mono-tenant). URI de redirection : laissez vide. → S'inscrire.

3. Sur la page Vue d'ensemble, copiez :

   • ID d'application (client) → OUTLOOK_MCP_CLIENT_ID

   • ID de l'annuaire (locataire) → OUTLOOK_MCP_TENANT_ID

4. Authentification → Paramètres avancés → Autoriser les flux de client public → Oui → Enregistrer. (Indispensable pour la connexion device-code.)

5. Autorisations d'API → Ajouter une autorisation → Microsoft Graph → Autorisations déléguées, puis ajoutez :

   • Mail.ReadWrite

   • Mail.Send

   • MailboxSettings.ReadWrite (User.Read est déjà présent.)

6. Si votre locataire l'exige, cliquez Accorder un consentement administrateur pour …. Sinon, le consentement se fera à votre première connexion.

💡 Vous pouvez aussi me demander de vous guider en direct dans le navigateur pour cette étape.

Étape B — Installer le serveur

cd D:\Audits\outlook-graph-mcp
uv sync

uv crée un environnement isolé et installe les dépendances (mcp, msal, msal-extensions, httpx).

Étape C — Se connecter (une fois)

Renseignez vos identifiants Azure puis lancez la connexion device-code :

$env:OUTLOOK_MCP_CLIENT_ID = "VOTRE_CLIENT_ID"
$env:OUTLOOK_MCP_TENANT_ID = "VOTRE_TENANT_ID"
uv run --directory D:\Audits\outlook-graph-mcp outlook-graph-mcp login

Le terminal affiche un message du type : « To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code XXXX-YYYY. » → ouvrez la page, saisissez le code, validez avec votre compte Microsoft 365. À la fin :

Connecté : Ludovic Perrot <ludovic.perrot@relationdigitale.com>

Le jeton est mis en cache et chiffré (DPAPI Windows) dans %USERPROFILE%\.outlook-graph-mcp. Le serveur le rafraîchit ensuite tout seul — vous n'avez plus à vous reconnecter.

(Variante navigateur : … outlook-graph-mcp login --interactive. Elle nécessite d'ajouter, à l'étape A, un URI de redirection http://localhost sous « Mobile et applications de bureau ».)

Étape D — Brancher dans Claude

Claude Code (CLI)

Soit via la commande :

claude mcp add outlook-graph --env OUTLOOK_MCP_CLIENT_ID=VOTRE_CLIENT_ID --env OUTLOOK_MCP_TENANT_ID=VOTRE_TENANT_ID -- uv run --directory D:\Audits\outlook-graph-mcp outlook-graph-mcp

Soit en copiant .mcp.json.example vers .mcp.json (ou dans votre config utilisateur) et en y mettant vos IDs.

Claude Desktop

Éditez claude_desktop_config.json (%APPDATA%\Claude\claude_desktop_config.json) et ajoutez le bloc de .mcp.json.example (la clé racine est mcpServers). Redémarrez Claude Desktop.

Une fois branché, demandez par exemple :

« Liste mes dossiers Outlook », « Crée une règle qui classe les e-mails de @client.com dans le dossier test », « Active mon absence du bureau du 1er au 15 août ».

🚀 Déploiement sur Azure (serveur MCP distant)

Héberge le serveur sur Azure Container Apps (scale-to-zero), derrière une URL HTTPS publique protégée par clé d'API. Le jeton délégué est conservé chiffré dans Azure Key Vault ; l'app y accède via une identité managée. Modèle d'auth Graph inchangé (/me, délégué) — vous restez le seul propriétaire de l'accès, sans consentement admin.

Tout est décrit par azure.yaml + infra/*.bicep et déployé par azd.

Prérequis

• azd installé (Azure Developer CLI) ✅

• Une app Azure AD (étape A ci-dessus) → Client ID + Tenant ID

• Un abonnement Azure où vous pouvez créer des ressources

1. Connecter azd à votre abonnement

azd auth login

2. Configurer l'environnement

cd D:\Audits\outlook-graph-mcp
azd env new outlook-mcp
azd env set AZURE_LOCATION       francecentral
azd env set OUTLOOK_MCP_CLIENT_ID  VOTRE_CLIENT_ID
azd env set OUTLOOK_MCP_TENANT_ID  VOTRE_TENANT_ID
azd env set OUTLOOK_MCP_API_KEY    VOTRE_CLE_API

3. Provisionner + déployer

azd up

Crée le groupe de ressources, le registre, l'environnement Container Apps, le Key Vault et l'app, puis construit l'image (dans le cloud) et la déploie. En sortie, notez :

• MCP_ENDPOINT → l'URL à brancher dans Claude (https://….azurecontainerapps.io/mcp)

• OUTLOOK_MCP_KEYVAULT_URL → pour l'amorçage du jeton (étape 4)

4. Amorcer le jeton (une seule fois)

Connecte votre compte M365 et écrit le refresh token dans le Key Vault (vous y avez le rôle Secrets Officer, accordé par le déploiement) :

$env:OUTLOOK_MCP_CLIENT_ID   = "VOTRE_CLIENT_ID"
$env:OUTLOOK_MCP_TENANT_ID   = "VOTRE_TENANT_ID"
$env:OUTLOOK_MCP_CACHE_BACKEND = "keyvault"
$env:OUTLOOK_MCP_KEYVAULT_URL  = "https://kv-….vault.azure.net/"
uv run --directory D:\Audits\outlook-graph-mcp outlook-graph-mcp login

(En cas d'erreur 403 sur le Key Vault juste après azd up, attendez ~1 min — propagation RBAC — puis réessayez.)

5. Brancher dans Claude (connecteur MCP distant)

Ajoutez un serveur MCP HTTP pointant sur MCP_ENDPOINT, avec l'en-tête d'authentification :

x-api-key: VOTRE_CLE_API

La clé est aussi acceptée via ?key=VOTRE_CLE_API ou Authorization: Bearer VOTRE_CLE_API.

Exploitation

Coûts : Container Apps scale-to-zero (≈ 0 € au repos), + Log Analytics / ACR Basic / Key Vault = quelques € / mois. Cold start : la 1ʳᵉ requête après inactivité prend quelques secondes (l'app se réveille).

Durcissement (optionnel) : remplacer la clé d'API par EasyAuth / Entra ID (App Service Authentication sur Container Apps) ou API Management, et isoler le réseau (VNet) si besoin.

Permissions & portée

• Permissions déléguées uniquement : Mail.ReadWrite, Mail.Send, MailboxSettings.ReadWrite (+ User.Read).

• Toutes les actions ciblent votre boîte (/me). Aucune action sur d'autres boîtes.

• Aucun secret client n'est stocké (client public + device-code). Seul un refresh token chiffré est conservé localement.

Sécurité

• Cache de jeton chiffré au repos via msal-extensions (DPAPI sous Windows).

• uv run … logout efface le cache. Révocation côté Azure : Mes connexions / portail Entra.

Limites connues

• Pièces jointes ≤ 3 Mo par appel direct (au-delà, une upload session serait nécessaire — non implémentée).

• $search (recherche plein texte) ne se combine pas avec $filter/$orderby (limite Graph).

• Pas d'accès aux boîtes partagées/d'autres utilisateurs (périmètre /me volontaire).

Dépannage

Commandes utiles

# Tester la connexion
uv run --directory D:\Audits\outlook-graph-mcp outlook-graph-mcp whoami
# Se déconnecter (vider le cache)
uv run --directory D:\Audits\outlook-graph-mcp outlook-graph-mcp logout