Przejdź do głównej zawartości
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Konfiguracja interfejsu API Microsoft Graph do wysyłania maili

Ten przewodnik wyjaśnia, jak uzyskać zgodę administratora swojej organizacji na naszą aplikację wysyłania maili w modelu wielo-tenantowym oraz jak ograniczyć jej dostęp, aby mogła wysyłać e-maile tylko z wyznaczonej skrzynki pocztowej (na przykład noreply@twojadomena.com). Nawet jeśli masz ograniczone doświadczenie w IT, instrukcje krok po kroku oraz wymagania wstępne przedstawione tutaj pomogą Ci zakończyć konfigurację przy użyciu narzędzi zainstalowanych na Twoim komputerze.

Uwaga:
Jeśli potrzebujesz pomocy, utwórz zgłoszenie wsparcia na stronie eniris.io/support.

Spis treści

Przegląd

Nasza aplikacja do wysyłania maili korzysta z interfejsu API Microsoft Graph z uprawnieniami aplikacji do wysyłania e-maili z wyznaczonej skrzynki pocztowej. Aby włączyć tę funkcję, Twój administrator musi:

  1. Udzielić zgody na poziomie całego tenant.
  2. Podać nam nazwę swojej domeny, identyfikator tenant oraz adres e-mail, którego chcesz użyć (np. noreply@twojadomena.com).

Te szczegóły można znaleźć w przeglądzie swojego tenant w Microsoft Entra.

Wymagania wstępne

Zanim zaczniesz, upewnij się, że masz:

  • Uprawnienia administratora: Musisz mieć prawa Global Administrator dla swojego tenant Microsoft 365.
  • Dostęp do Microsoft Entra: Będziesz potrzebować dostępu do szczegółów swojego tenant w Microsoft Entra.
  • PowerShell na swoim komputerze:
  • Podstawowa wiedza: Znajomość kopiowania i wklejania poleceń w PowerShell. Nie martw się, jeśli jesteś początkujący – poniższe kroki są szczegółowe i łatwe do wykonania.

Krok 1: Uzyskanie zgody administratora

  1. Zbuduj adres URL zgody administratora:
    Użyj następującego formatu adresu URL. Zastąp <YOUR-DOMAIN-NAME> swoją rzeczywistą nazwą domeny (na przykład, jeśli Twoja domena to "contoso.com", użyj jej):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Odwiedź ten adres URL:
    Poproś swojego globalnego administratora Microsoft 365 o zalogowanie się w przeglądarce i przejście do tego adresu URL. Zobaczy okno zgody, które wyświetli uprawnienia, o które prosi nasza aplikacja (na przykład, Mail.Send).

  3. Udziel zgody:
    Administrator powinien kliknąć "Akceptuj", aby udzielić zgody. Ta akcja utworzy główny obiekt usługi dla naszej aplikacji w Twoim tenant i umożliwi jej wysyłanie e-maili.

  4. Powiadom nas:
    Po udzieleniu zgody utwórz zgłoszenie eniris.io/support z następującymi szczegółami:

  • Twoja nazwa domeny.
  • Twój identyfikator tenant (znaleziony na stronie Microsoft Entra Tenant Overview).
  • Adres e-mail, którego chcesz użyć do wysyłania maili (np. noreply@twojadomena.com).

Krok 2: Zebranie informacji o swoim tenant

Nasz proces wdrożeniowy automatycznie zbierze Twój identyfikator tenant, gdy administrator udzieli zgody. Jednak jeśli musisz to sprawdzić ręcznie, możesz:

  • Zalogować się do Microsoft Entra.
  • Skopiować swój Identyfikator Tenant ze strony przeglądu tenant.

Krok 3: Konfiguracja ograniczeń dostępu

W celu zapewnienia najlepszych praktyk bezpieczeństwa utworzymy dedykowaną grupę bezpieczeństwa i użyjemy jej do ograniczenia dostępu aplikacji tylko do Twojej wyznaczonej skrzynki pocztowej. Wprowadza to zasadę najmniejszych uprawnień, zapewniając, że aplikacja ma dostęp tylko do tego, co jest absolutnie konieczne.

Tworzenie wymaganej grupy zabezpieczeń poczty

  1. Zaloguj się do Centrum administracyjnego Microsoft 365:
    Przejdź do admin.microsoft.com i zaloguj się swoim kontem administratora.

  2. Utwórz grupę zabezpieczeń:

  • Przejdź do "Grupy" > "Aktywne grupy"
  • Kliknij "Dodaj grupę"
  • Wybierz "Bezpieczeństwo" jako typ grupy i kliknij "Dalej"
  • Wprowadź nazwę (np. "Tylko dostęp do Noreply") i opis
  • Dodaj konto noreply@twojadomena.com jako członka
  • Kliknij "Dalej", a następnie "Utwórz grupę"

Zastosowanie ograniczeń dostępu

  1. Otwórz PowerShell:
    Uruchom PowerShell jako administrator na swoim komputerze.

  2. Połącz się z Exchange Online:
    Zainstaluj moduł ExchangeOnlineManagement (jeśli nie został już zainstalowany) i połącz się:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Na przykład: admin@twojadomena.com

  3. Utwórz politykę dostępu aplikacji:
    Uruchom następujące polecenie. Zastąp <YOUR-SECURITY-GROUP-EMAIL> rzeczywistym adresem e-mail lub identyfikatorem obiektu Twojej grupy zabezpieczeń:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Ogranicz dostęp aplikacji tylko do skrzynki mailowej noreply"

  4. Zweryfikuj politykę:
    Przetestuj, czy polityka działa, uruchamiając (zastąp prawdziwym adresem e-mail noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Rozważania dotyczące bezpieczeństwa

  • Izolacja danych: Utworzony w Twoim tenant obiekt usługi zapewnia, że aplikacja ma dostęp tylko zgodnie z zasadami.
  • Najmniejsze uprawnienia: Aplikacja żąda tylko uprawnienia Mail.Send i jest dalej ograniczona do jednej skrzynki pocztowej.
  • Audyt: Zalecamy okresowe przeglądy swojego obiektu usługi oraz polityki dostępu aplikacji.

Dodatkowe informacje i zasoby

Typowe problemy:

Błędy zgody:

Błędy PowerShell:

  • Sprawdź, czy moduł ExchangeOnlineManagement jest zainstalowany i aktualny
  • Zweryfikuj, czy Twoje dane logowania administratora mają wystarczające uprawnienia

Weryfikacja polityki: