Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API-Setup zum Versand von E-Mails

Dieser Leitfaden erklärt, wie Sie die Zustimmung des Administrators Ihrer Organisation zu unserer Multi-Tenant-E-Mail-Versand-App erteilen und den Zugriff so einschränken, dass nur E-Mails von einem bestimmten Postfach (z. B. noreply@yourdomain.com) gesendet werden können. Selbst wenn Sie über begrenzte IT-Erfahrung verfügen, helfen Ihnen die hier bereitgestellten Schritt-für-Schritt-Anleitungen und Voraussetzungen, die Einrichtung mit den auf Ihrem PC installierten Tools abzuschließen.

Hinweis:
Wenn Sie Unterstützung benötigen, erstellen Sie bitte ein Support-Ticket unter eniris.io/support.

Inhaltsverzeichnis

• Übersicht
• Voraussetzungen
• Schritt 1: Erteilung der Administratorzustimmung
• Schritt 2: Erfassen Ihrer Tenant-Details
• Schritt 3: Konfigurieren von Zugriffsrestriktionen
• Weitere Informationen & Ressourcen
• Fehlerbehebung

Übersicht

Unsere E-Mail-Versand-App verwendet die Microsoft Graph API mit Anwendungsberechtigungen, um E-Mails aus einem bestimmten Postfach zu senden. Um diese Funktionalität zu aktivieren, muss Ihr Administrator:

1. Tenant-weite Zustimmung für die App erteilen.
2. Uns mit Ihrem Domainnamen, der Tenant-ID und der E-Mail-Adresse, die Sie verwenden möchten (z. B. noreply@yourdomain.com), versorgen.

Diese Details finden Sie in Ihrer Tenant-Übersicht bei Microsoft Entra.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie Folgendes haben:

• Administratorberechtigungen: Sie müssen über globale Administratorrechte für Ihren Microsoft 365-Tenant verfügen.
• Zugriff auf Microsoft Entra: Sie müssen Ihre Tenant-Details bei Microsoft Entra einsehen können.
• PowerShell auf Ihrem PC:
  • Windows PowerShell oder PowerShell Core.
  • Installieren Sie das ExchangeOnlineManagement-Modul mit folgendem Befehl:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Grundkenntnisse: Vertrautheit mit dem Kopieren und Einfügen von Befehlen in PowerShell. Machen Sie sich keine Sorgen, wenn Sie ein Anfänger sind – die folgenden Schritte sind ausführlich und unkompliziert.

Schritt 1: Erteilung der Administratorzustimmung

1. Konstruktion der Administratorzustimmung-URL:
   Verwenden Sie das folgende URL-Format. Ersetzen Sie <YOUR-DOMAIN-NAME> durch Ihren tatsächlichen Domainnamen (zum Beispiel, wenn Ihre Domain "contoso.com" ist, verwenden Sie diese):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Besuchen Sie die URL:
   Lassen Sie Ihren globalen Microsoft 365-Administrator sich in seinem Browser anmelden und zur URL navigieren. Er wird ein Zustimmungsdialogfeld sehen, in dem die Berechtigungen aufgelistet sind, die unsere App anfordert (z. B. Mail.Send).

3. Zustimmung erteilen:
   Der Administrator sollte auf "Akzeptieren" klicken, um die Zustimmung zu erteilen. Diese Aktion erstellt ein Dienstprinzipal für unsere App in Ihrem Tenant und ermöglicht es ihr, E-Mails zu senden.

4. Benachrichtigen Sie uns:
   Nach der Erteilung der Zustimmung erstellen Sie bitte ein Ticket unter eniris.io/support mit den folgenden Details:

• Ihren Domainnamen.
• Ihre Tenant-ID (zu finden in der Microsoft Entra Tenant-Übersicht).
• Die E-Mail-Adresse, die Sie für den Versand von E-Mails verwenden möchten (z. B. noreply@yourdomain.com).

Schritt 2: Erfassen Ihrer Tenant-Details

Unser Onboarding-Prozess erfasst automatisch Ihre Tenant-ID, wenn der Administrator die Zustimmung erteilt. Wenn Sie dies jedoch manuell überprüfen müssen, können Sie:

• Sich bei Microsoft Entra anmelden.
• Ihre Tenant-ID von der Seite der Tenant-Übersicht kopieren.

Schritt 3: Konfigurieren von Zugriffsrestriktionen

Für die besten Sicherheitspraktiken erstellen wir eine dedizierte Sicherheitsgruppe und verwenden diese, um den Zugriff der App nur auf Ihr bestimmtes Postfach einzuschränken. Dies implementiert das Prinzip der minimalen Berechtigung und stellt sicher, dass die App nur auf das zugreifen kann, was unbedingt erforderlich ist.

Erstellen der erforderlichen Mail-Sicherheitsgruppe

1. Melden Sie sich im Microsoft 365 Admin Center an:
   Gehen Sie zu admin.microsoft.com und melden Sie sich mit Ihrem Administratorkonto an.

2. Erstellen Sie eine Sicherheitsgruppe:

• Navigieren Sie zu "Gruppen" > "Aktive Gruppen"
• Klicken Sie auf "Gruppe hinzufügen"
• Wählen Sie "Sicherheit" als Gruppentyp und klicken Sie auf "Weiter"
• Geben Sie einen Namen ein (z. B. "Nur Noreply-Zugriff") und eine Beschreibung
• Fügen Sie das Konto noreply@yourdomain.com als Mitglied hinzu
• Klicken Sie auf "Weiter" und dann auf "Gruppe erstellen"

Anwenden von Zugriffsrestriktionen

1. Öffnen Sie PowerShell:
   Führen Sie PowerShell als Administrator auf Ihrem PC aus.

2. Verbinden Sie sich mit Exchange Online:
   Installieren Sie das ExchangeOnlineManagement-Modul (falls noch nicht installiert) und verbinden Sie sich dann:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Zum Beispiel: admin@yourdomain.com

3. Erstellen Sie die Anwendungszugriffsrichtlinie:
   Führen Sie den folgenden Befehl aus. Ersetzen Sie <YOUR-SECURITY-GROUP-EMAIL> durch die tatsächliche E-Mail-Adresse oder Objekt-ID Ihrer Sicherheitsgruppe:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Einschränkung des Zugriffs der App auf das Noreply-Postfach"

4. Überprüfen Sie die Richtlinie:
   Testen Sie, ob die Richtlinie funktioniert, indem Sie (ersetzen Sie sie durch Ihre tatsächliche Noreply-E-Mail-Adresse) ausführen:

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Sicherheitsüberlegungen

• Datenisolation: Das Dienstprinzipal, das in Ihrem Tenant erstellt wurde, stellt sicher, dass die App nur auf die durch die Richtlinie erlaubten Zugriffe hat.
• Minimale Berechtigung: Die App fordert nur die Berechtigung Mail.Send an und ist weiter auf ein einzelnes Postfach beschränkt.
• Überwachung: Wir empfehlen regelmäßige Überprüfungen Ihres Dienstprinzipals und der Anwendungszugriffsrichtlinie.

Weitere Informationen & Ressourcen

Häufige Probleme:

Zustimmungsfehler:

• Überprüfen Sie die Berechtigungen des Administratorkontos unter Microsoft Entra-Rollen
• Überprüfen Sie den Leitfaden zur Fehlersuche bei Zustimmungen
• Stellen Sie sicher, dass die URL korrekt konstruiert ist

PowerShell-Fehler:

• Überprüfen Sie, ob das ExchangeOnlineManagement-Modul installiert und auf dem neuesten Stand ist
• Stellen Sie sicher, dass Ihre Administratoranmeldeinformationen über ausreichende Berechtigungen verfügen

Überprüfung der Richtlinie:

• Verwenden Sie Test-ApplicationAccessPolicy, um die Zugriffsrestriktionen zu überprüfen
• Überprüfen Sie die Dokumentation zur Anwendungszugriffsrichtlinie