Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuration de l'API Microsoft Graph pour l'envoi de mails

Ce guide explique comment accorder le consentement d'administrateur de votre organisation à notre application d'envoi de mails multitenant et restreindre son accès afin qu'elle puisse uniquement envoyer des e-mails depuis une boîte aux lettres désignée (par exemple, noreply@yourdomain.com). Même si vous avez une expérience IT limitée, les instructions étape par étape et les prérequis fournis ici vous aideront à compléter la configuration en utilisant les outils installés sur votre PC.

Remarque :
Si vous avez besoin d'aide, veuillez créer un ticket de support sur eniris.io/support.

Table des matières

• Aperçu
• Pré-requis
• Étape 1 : Accord du consentement d'administrateur
• Étape 2 : Capture des détails de votre locataire
• Étape 3 : Configuration des restrictions d'accès
• Informations complémentaires et ressources
• Dépannage

Aperçu

Notre application d'envoi de mails utilise l'API Microsoft Graph avec des autorisations d'application pour envoyer des e-mails depuis une boîte aux lettres désignée. Pour activer cette fonctionnalité, votre administrateur doit :

1. Accorder le consentement à l'échelle du locataire à l'application.
2. Nous fournir votre nom de domaine, ID de locataire et l'adresse e-mail que vous souhaitez utiliser (par exemple, noreply@yourdomain.com).

Ces détails peuvent être trouvés dans l'aperçu de votre locataire sur Microsoft Entra.

Pré-requis

Avant de commencer, veuillez vous assurer d'avoir les éléments suivants :

• Identifiants administratifs : Vous devez avoir des droits d'administrateur global pour votre locataire Microsoft 365.
• Accès à Microsoft Entra : Vous aurez besoin de voir les détails de votre locataire sur Microsoft Entra.
• PowerShell sur votre PC :
  • Windows PowerShell ou PowerShell Core.
  • Installez le module ExchangeOnlineManagement en exécutant :

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Connaissances de base : Familiarité avec la copie et le collage de commandes dans PowerShell. Ne vous inquiétez pas si vous êtes débutant : les étapes ci-dessous sont détaillées et simples.

Étape 1 : Accord du consentement d'administrateur

1. Construire l'URL de consentement d'administrateur :
   Utilisez le format d'URL suivant. Remplacez <YOUR-DOMAIN-NAME> par votre nom de domaine réel (par exemple, si votre domaine est "contoso.com", utilisez-le) :

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visitez l'URL :
   Demandez à votre administrateur global Microsoft 365 de se connecter dans son navigateur et de naviguer vers l'URL. Il verra une boîte de dialogue de consentement listant les autorisations demandées par notre application (par exemple, Mail.Send).

3. Accorder le consentement :
   L'administrateur doit cliquer sur "Accepter" pour accorder le consentement. Cette action créera un principal de service pour notre application dans votre locataire et lui permettra d'envoyer des e-mails.

4. Veuillez nous informer :
   Après avoir accordé le consentement, veuillez créer un ticket sur eniris.io/support avec les détails suivants :

• Votre nom de domaine.
• Votre ID de locataire (trouvé sur Microsoft Entra Tenant Overview).
• L'adresse e-mail que vous souhaitez utiliser pour l'envoi de mails (par exemple, noreply@yourdomain.com).

Étape 2 : Capture des détails de votre locataire

Notre processus d'intégration capturera automatiquement votre ID de locataire lorsque l'administrateur accordera le consentement. Cependant, si vous devez vérifier cela manuellement, vous pouvez :

• Vous connecter à Microsoft Entra.
• Copier votre ID de locataire à partir de la page d'aperçu du locataire.

Étape 3 : Configuration des restrictions d'accès

Pour des raisons de sécurité, nous allons créer un groupe de sécurité dédié et l'utiliser pour restreindre l'accès de l'application uniquement à votre boîte aux lettres désignée. Cela met en œuvre le principe du moindre privilège, en s'assurant que l'application ne peut accéder qu'à ce qui est absolument nécessaire.

Création du groupe de sécurité de mail requis

1. Connectez-vous au Centre d'administration Microsoft 365 :
   Allez sur admin.microsoft.com et connectez-vous avec votre compte administrateur.

2. Créer un groupe de sécurité :

• Naviguez vers "Groupes" > "Groupes actifs"
• Cliquez sur "Ajouter un groupe"
• Sélectionnez "Sécurité" comme type de groupe et cliquez sur "Suivant"
• Entrez un nom (par exemple, "Accès Noreply uniquement") et une description
• Ajoutez le compte noreply@yourdomain.com en tant que membre
• Cliquez sur "Suivant" puis sur "Créer un groupe"

Application des restrictions d'accès

1. Ouvrir PowerShell :
   Exécutez PowerShell en tant qu'administrateur sur votre PC.

2. Connectez-vous à Exchange Online :
   Installez le module ExchangeOnlineManagement (s'il n'est pas déjà installé) puis connectez-vous :

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Par exemple : admin@yourdomain.com

3. Créer la politique d'accès à l'application :
   Exécutez la commande suivante. Remplacez <YOUR-SECURITY-GROUP-EMAIL> par l'adresse e-mail réelle ou l'ID d'objet de votre groupe de sécurité :

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restreindre l'accès de l'application à la boîte aux lettres noreply uniquement"

4. Vérifier la politique :
   Testez que la politique fonctionne en exécutant (remplacez par votre adresse e-mail noreply réelle) :

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considérations de sécurité

• Isolation des données : Le principal de service créé dans votre locataire garantit que l'application n'a accès qu'aux autorisations accordées par la politique.
• Moindre privilège : L'application ne demande que la permission Mail.Send et est en outre restreinte à une seule boîte aux lettres.
• Audit : Nous recommandons des examens périodiques de votre principal de service et de la politique d'accès à l'application.

Informations complémentaires et ressources

Problèmes courants :

Erreurs de consentement :

• Vérifiez les autorisations de compte administrateur sur les rôles Microsoft Entra
• Consultez le guide de dépannage du consentement
• Assurez-vous que l'URL est correctement construite

Erreurs PowerShell :

• Vérifiez que le module ExchangeOnlineManagement est installé et à jour
• Vérifiez que vos identifiants administratifs ont des permissions suffisantes

Vérification de la politique :

• Utilisez Test-ApplicationAccessPolicy pour vérifier les restrictions d'accès
• Consultez la documentation sur les politiques d'accès à l'application