Вам понадобится приложение Azure AD, зарегистрированное с разрешениями Mail.Read. Надстройка будет входить как пользователь. Затем попросите надстройку подписаться на почтовый ящик пользователя от имени пользователя. Подписка будет включать URL-адрес внутреннего веб-API, который будет вызывать служба подписки Microsoft Graph.
Вам необходимо зарегистрировать новое приложение Azure AD (если оно еще не создано) для бэкэнд веб API. Тогда вы захотите предоставить ему правильные области разрешений. Для вашего сценария вы должны требовать, чтобы каждый арендатор дал согласие администратора на это приложение, поскольку вам потребуется доступ к сообщениям во многих почтовых ящиках пользователей с использованием разрешения приложения Mail.Read. Причина этого заключается в том, что webhook не вызывает ваш веб-интерфейс с каким-либо токеном пользователя, который вы могли бы использовать для фактической загрузки сведений о сообщении.
Дополнительная информация об уведомлениях об изменениях (webhooks) находится здесь https://docs.microsoft.com/en-us/graph/webhooks