Passa al contenuto principale
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configurazione dell'API Microsoft Graph per l'invio di email

Questa guida spiega come concedere il consenso dell'amministratore della tua organizzazione alla nostra app di invio email multi-tenant e limitare il suo accesso in modo che possa inviare email solo da una casella di posta designata (ad esempio, noreply@yourdomain.com). Anche se hai un'esperienza IT limitata, le istruzioni passo-passo e i requisiti preliminari forniti qui ti aiuteranno a completare la configurazione utilizzando strumenti installati sul tuo PC.

Nota:
Se hai bisogno di assistenza, ti preghiamo di creare un ticket di supporto su eniris.io/support.

Indice

Panoramica

La nostra app di invio email utilizza l'API Microsoft Graph con autorizzazioni per applicazioni per inviare email da una casella di posta designata. Per abilitare questa funzionalità, il tuo amministratore deve:

  1. Concedere il consenso a livello di tenant all'app.
  2. Fornirci il nome del tuo dominio, l'ID tenant e l'indirizzo email che desideri utilizzare (ad es., noreply@yourdomain.com).

Questi dettagli possono essere trovati nella panoramica del tuo tenant su Microsoft Entra.

Requisiti preliminari

Prima di iniziare, assicurati di avere quanto segue:

  • Credenziali di amministratore: Devi avere diritti di Amministratore Globale per il tuo tenant Microsoft 365.
  • Accesso a Microsoft Entra: Avrai bisogno di visualizzare i dettagli del tuo tenant su Microsoft Entra.
  • PowerShell sul tuo PC:
  • Conoscenze di base: Familiarità con il copiare e incollare comandi in PowerShell. Non preoccuparti se sei un principiante: i passaggi sottoriportati sono dettagliati e chiari.

Passaggio 1: Concedere il consenso dell'amministratore

  1. Costruire l'URL del consenso dell'amministratore:
    Usa il seguente formato di URL. Sostituisci <YOUR-DOMAIN-NAME> con il tuo nome di dominio effettivo (ad esempio, se il tuo dominio è "contoso.com", usalo):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visita l'URL:
    Chiedi al tuo amministratore globale di Microsoft 365 di accedere al proprio browser e navigare all'URL. Vedranno una finestra di dialogo di consenso che elenca le autorizzazioni richieste dalla nostra app (ad esempio, Mail.Send).

  3. Concedi il consenso:
    L'amministratore dovrebbe cliccare su "Accetta" per concedere il consenso. Questa azione creerà un'entità di servizio per la nostra app nel tuo tenant e le permetterà di inviare email.

  4. Notificaci:
    Dopo aver concesso il consenso, ti preghiamo di creare un ticket su eniris.io/support con i seguenti dettagli:

  • Il tuo nome di dominio.
  • Il tuo ID tenant (trovato su Panoramica del Tenant Microsoft Entra).
  • L'indirizzo email che desideri utilizzare per inviare email (ad es., noreply@yourdomain.com).

Passaggio 2: Catturare i dettagli del tuo tenant

Il nostro processo di onboarding catturerà automaticamente il tuo ID tenant quando l'amministratore concede il consenso. Tuttavia, se hai bisogno di verificare manualmente questo, puoi:

  • Accedere a Microsoft Entra.
  • Copiare il tuo ID Tenant dalla pagina di panoramica del tenant.

Passaggio 3: Configurare le restrizioni di accesso

Per le migliori pratiche di sicurezza, creeremo un gruppo di sicurezza dedicato e lo utilizzeremo per limitare l'accesso all'app solo alla tua casella di posta designata. Questo implementa il principio del minimo privilegio, garantendo che l'app possa accedere solo a ciò che è assolutamente necessario.

Creazione del Gruppo di Sicurezza per la Posta Necessario

  1. Accedi al Centro Amministrativo di Microsoft 365:
    Vai su admin.microsoft.com e accedi con il tuo account amministratore.

  2. Crea un Gruppo di Sicurezza:

  • Naviga su "Gruppi" > "Gruppi attivi"
  • Clicca su "Aggiungi un gruppo"
  • Seleziona "Sicurezza" come tipo di gruppo e clicca su "Avanti"
  • Inserisci un nome (ad es., "Accesso Solo Noreply") e una descrizione
  • Aggiungi l'account noreply@yourdomain.com come membro
  • Clicca su "Avanti" e poi su "Crea gruppo"

Applicazione delle Restrizioni di Accesso

  1. Apri PowerShell:
    Esegui PowerShell come amministratore sul tuo PC.

  2. Collegati a Exchange Online:
    Installa il modulo ExchangeOnlineManagement (se non è già installato) e poi collegati:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Ad esempio: admin@yourdomain.com

  3. Crea la Politica di Accesso all'Applicazione:
    Esegui il seguente comando. Sostituisci <YOUR-SECURITY-GROUP-EMAIL> con l'indirizzo email effettivo o l'ID oggetto del tuo gruppo di sicurezza:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Limitare l'accesso dell'app solo alla casella di posta noreply"

  4. Verifica la Politica:
    Testa che la politica funzioni eseguendo (sostituisci con il tuo effettivo indirizzo email noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerazioni sulla Sicurezza

  • Isolamento dei Dati: L'entità di servizio creata nel tuo tenant assicura che l'app abbia accesso solo come consentito dalla politica.
  • Minimo Privilegio: L'app richiede solo l'autorizzazione Mail.Send ed è ulteriormente limitata a una singola casella di posta.
  • Audit: Raccomandiamo revisioni periodiche della tua entità di servizio e della Politica di Accesso all'Applicazione.

Informazioni aggiuntive e risorse

Problemi Comuni:

Errori di Consenso:

Errori di PowerShell:

  • Controlla che il modulo ExchangeOnlineManagement sia installato e aggiornato
  • Verifica che le tue credenziali di amministratore abbiano permessi sufficienti

Verifica della Politica: