Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuración de la API de Microsoft Graph para el envío de correos

Esta guía explica cómo otorgar el consentimiento del administrador de su organización a nuestra aplicación de envío de correos multitenant y restringir su acceso para que solo pueda enviar correos desde un buzón designado (por ejemplo, noreply@yourdomain.com). Incluso si tiene experiencia limitada en TI, las instrucciones paso a paso y los requisitos previos proporcionados aquí le ayudarán a completar la configuración utilizando herramientas instaladas en su PC.

Nota:
Si necesita asistencia, por favor, cree un ticket de soporte en eniris.io/support.

Tabla de Contenidos

• Descripción general
• Requisitos previos
• Paso 1: Otorgar consentimiento del administrador
• Paso 2: Capturar los detalles de su inquilino
• Paso 3: Configurar restricciones de acceso
• Información y recursos adicionales
• Solución de problemas

Descripción general

Nuestra aplicación de envío de correos utiliza la API de Microsoft Graph con permisos de aplicación para enviar correos desde un buzón designado. Para habilitar esta funcionalidad, su administrador debe:

1. Otorgar consentimiento a nivel de inquilino para la aplicación.
2. Proporcionarnos el nombre de su dominio, ID de inquilino y la dirección de correo electrónico que desea usar (por ejemplo, noreply@yourdomain.com).

Estos detalles se pueden encontrar en la vista general de su inquilino en Microsoft Entra.

Requisitos previos

Antes de comenzar, asegúrese de tener lo siguiente:

• Credenciales de administrador: Debe tener derechos de Administrador Global para su inquilino de Microsoft 365.
• Acceso a Microsoft Entra: Necesitará ver los detalles de su inquilino en Microsoft Entra.
• PowerShell en su PC:
  • Windows PowerShell o PowerShell Core.
  • Instale el módulo ExchangeOnlineManagement ejecutando:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Conocimientos básicos: Familiaridad con copiar y pegar comandos en PowerShell. No se preocupe si es principiante, los pasos a continuación son detallados y sencillos.

Paso 1: Otorgar consentimiento del administrador

1. Construir la URL de consentimiento del administrador:
   Use el siguiente formato de URL. Reemplace <YOUR-DOMAIN-NAME> con su nombre de dominio real (por ejemplo, si su dominio es "contoso.com", utilice eso):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visite la URL:
   Haga que su administrador global de Microsoft 365 inicie sesión en su navegador y navegue a la URL. Verán un cuadro de diálogo de consentimiento que enumera los permisos que nuestra aplicación está solicitando (por ejemplo, Mail.Send).

3. Otorgar consentimiento:
   El administrador debe hacer clic en "Aceptar" para otorgar consentimiento. Esta acción creará un principal de servicio para nuestra aplicación en su inquilino y le permitirá enviar correos.

4. Notifíquenos:
   Después de otorgar consentimiento, por favor, cree un ticket en eniris.io/support con los siguientes detalles:

• Su nombre de dominio.
• Su ID de inquilino (encontrado en Microsoft Entra Tenant Overview).
• La dirección de correo electrónico que desea usar para enviar correos (por ejemplo, noreply@yourdomain.com).

Paso 2: Capturar los detalles de su inquilino

Nuestro proceso de incorporación capturará automáticamente su ID de inquilino cuando el administrador otorgue consentimiento. Sin embargo, si necesita verificar esto manualmente, puede:

• Iniciar sesión en Microsoft Entra.
• Copiar su ID de inquilino de la página de vista general del inquilino.

Paso 3: Configurar restricciones de acceso

Para las mejores prácticas de seguridad, crearemos un grupo de seguridad dedicado y lo utilizaremos para restringir el acceso de la aplicación a su buzón designado. Esto implementa el principio de menor privilegio, asegurando que la aplicación solo pueda acceder a lo que es absolutamente necesario.

Creando el grupo de seguridad de correo requerido

1. Inicie sesión en el Centro de administración de Microsoft 365:
   Vaya a admin.microsoft.com y inicie sesión con su cuenta de administrador.

2. Crear un grupo de seguridad:

• Navegue a "Grupos" > "Grupos activos"
• Haga clic en "Agregar un grupo"
• Seleccione "Seguridad" como tipo de grupo y haga clic en "Siguiente"
• Ingrese un nombre (por ejemplo, "Acceso solo Noreply") y una descripción
• Agregue la cuenta noreply@yourdomain.com como miembro
• Haga clic en "Siguiente" y luego en "Crear grupo"

Aplicando restricciones de acceso

1. Abra PowerShell:
   Ejecute PowerShell como administrador en su PC.

2. Conéctese a Exchange Online:
   Instale el módulo ExchangeOnlineManagement (si aún no está instalado) y luego conéctese:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Por ejemplo: admin@yourdomain.com

3. Crear la política de acceso de la aplicación:
   Ejecute el siguiente comando. Reemplace <YOUR-SECURITY-GROUP-EMAIL> con la dirección de correo electrónico real o el ID de objeto de su grupo de seguridad:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restringir el acceso de la aplicación solo al buzón noreply"

4. Verificar la política:
   Pruebe que la política funcione ejecutando (reemplácelo con su dirección de correo electrónico noreply real):

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Consideraciones de seguridad

• Aislamiento de datos: El principal de servicio creado en su inquilino asegura que la aplicación solo tenga acceso según lo permitido por la política.
• Menor privilegio: La aplicación solicita solo el permiso Mail.Send y está restringida aún más a un solo buzón.
• Auditoría: Recomendamos revisiones periódicas de su principal de servicio y política de acceso de aplicación.

Información y recursos adicionales

Problemas comunes:

Errores de consentimiento:

• Verifique los permisos de la cuenta de administrador en Microsoft Entra roles
• Consulte la guía de solución de problemas de consentimiento
• Asegúrese de que la URL esté construida correctamente

Errores de PowerShell:

• Verifique que el módulo ExchangeOnlineManagement esté instalado y actualizado
• Verifique que sus credenciales de administrador tengan permisos suficientes

Verificación de políticas:

• Utilice Test-ApplicationAccessPolicy para verificar las restricciones de acceso
• Revise la documentación de la política de acceso de aplicación