Przejdź do głównej zawartości
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Konfiguracja interfejsu API Microsoft Graph do wysyłania wiadomości e-mail

Ten przewodnik wyjaśnia, jak uzyskać zgodę administratora swojej organizacji na naszą aplikację do wysyłania wiadomości e-mail w modelu wielodostępnym oraz jak ograniczyć jej dostęp, aby mogła wysyłać e-maile tylko z wyznaczonej skrzynki pocztowej (na przykład noreply@yourdomain.com). Nawet jeśli masz ograniczone doświadczenie w IT, szczegółowe instrukcje i wymagania przedstawione tutaj pomogą ci ukończyć konfigurację przy użyciu narzędzi zainstalowanych na twoim komputerze.

Uwaga:
Jeśli potrzebujesz pomocy, utwórz zgłoszenie wsparcia na stronie eniris.io/support.

Spis treści

Przegląd

Nasza aplikacja do wysyłania wiadomości e-mail korzysta z interfejsu API Microsoft Graph z uprawnieniami aplikacji do wysyłania wiadomości e-mail z wyznaczonej skrzynki pocztowej. Aby włączyć tę funkcjonalność, twój administrator musi:

  1. Udzielić zgody w skali całego dzierżawcy na aplikację.
  2. Przekazać nam nazwę swojej domeny, identyfikator dzierżawcy i adres e-mail, którego chcesz używać (np. noreply@yourdomain.com).

Te szczegóły można znaleźć w przeglądzie dzierżawcy w Microsoft Entra.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz:

  • Uprawnienia administratora: Musisz mieć prawa Global Administrator dla swojego dzierżawcy Microsoft 365.
  • Dostęp do Microsoft Entra: Będziesz musiał zobaczyć szczegóły swojego dzierżawcy w Microsoft Entra.
  • PowerShell na swoim komputerze:
  • Podstawowa wiedza: Znajomość kopiowania i wklejania poleceń w PowerShell. Nie martw się, jeśli jesteś nowicjuszem – poniższe kroki są szczegółowe i łatwe.

Krok 1: Uzyskiwanie zgody administratora

  1. Zbuduj URL zgody administratora:
    Użyj następującego formatu URL. Zastąp <YOUR-DOMAIN-NAME> swoją rzeczywistą nazwą domeny (na przykład, jeśli twoja domena to "contoso.com", użyj tej):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Odwiedź URL:
    Niech twój globalny administrator Microsoft 365 zaloguje się do swojej przeglądarki i przejdzie do tego URL. Zobaczą okno zgody z listą uprawnień, o które prosi nasza aplikacja (na przykład Mail.Send).

  3. Udziel zgody:
    Administrator powinien kliknąć "Akceptuj" aby udzielić zgody. Ta akcja utworzy principal usługi dla naszej aplikacji w twoim dzierżawcy i pozwoli jej wysyłać wiadomości e-mail.

  4. Powiadom nas:
    Po udzieleniu zgody prosimy o utworzenie zgłoszenia na stronie eniris.io/support z następującymi danymi:

  • Twoja nazwa domeny.
  • Twój identyfikator dzierżawcy (znaleziony w Microsoft Entra Tenant Overview).
  • Adres e-mail, którego chcesz użyć do wysyłania wiadomości (np. noreply@yourdomain.com).

Krok 2: Zbieranie szczegółów dotyczących Twojego dzierżawcy

Nasz proces onboardingowy automatycznie zbierze Twój identyfikator dzierżawcy, gdy administrator udzieli zgody. Jeśli jednak chcesz to zweryfikować ręcznie, możesz:

  • Zalogować się do Microsoft Entra.
  • Skopiować swój Identifikator dzierżawcy z strony przeglądu dzierżawcy.

Krok 3: Konfigurowanie ograniczeń dostępu

Z uwagi na najlepsze praktyki w zakresie bezpieczeństwa utworzymy dedykowaną grupę zabezpieczeń i użyjemy jej do ograniczenia dostępu aplikacji tylko do twojej wyznaczonej skrzynki pocztowej. Wdraża to zasadę minimalnych uprawnień, zapewniając, że aplikacja może uzyskać dostęp tylko do tego, co jest absolutnie konieczne.

Tworzenie wymaganej grupy zabezpieczeń dla maili

  1. Zaloguj się do Microsoft 365 Admin Center:
    Przejdź do admin.microsoft.com i zaloguj się swoim kontem administratora.

  2. Utwórz grupę zabezpieczeń:

  • Przejdź do "Grupy" > "Aktywne grupy"
  • Kliknij "Dodaj grupę"
  • Wybierz "Zabezpieczenie" jako typ grupy i kliknij "Dalej"
  • Wprowadź nazwę (np. "Noreply Access Only") i opis
  • Dodaj konto noreply@yourdomain.com jako członka
  • Kliknij "Dalej" a następnie "Utwórz grupę"

Wdrażanie ograniczeń dostępu

  1. Otwórz PowerShell:
    Uruchom PowerShell jako administrator na swoim komputerze.

  2. Połącz się z Exchange Online:
    Zainstaluj moduł ExchangeOnlineManagement (jeśli nie jest jeszcze zainstalowany) i następnie połącz się:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Na przykład: admin@yourdomain.com

  3. Utwórz politykę dostępu aplikacji:
    Uruchom następujące polecenie. Zastąp <YOUR-SECURITY-GROUP-EMAIL> rzeczywistym adresem e-mail lub identyfikatorem obiektu swojej grupy zabezpieczeń:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Ogranicz dostęp aplikacji tylko do skrzynki noreply"

  4. Zweryfikuj politykę:
    Przetestuj, czy polityka działa, uruchamiając (zastąp swoim rzeczywistym adresem e-mail noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Rozważania dotyczące bezpieczeństwa

  • Izolacja danych: Principal usługi utworzony w twoim dzierżawcy zapewnia, że aplikacja ma dostęp tylko do tego, co jest dozwolone przez politykę.
  • Minimalne uprawnienia: Aplikacja żąda tylko uprawnień Mail.Send i jest dalej ograniczona do jednej skrzynki pocztowej.
  • Audyt: Zalecamy okresowe przeglądy swojego principalu usługi i Polityki dostępu aplikacji.

Dodatkowe informacje i zasoby

Częste problemy:

Błędy zgody:

Błędy PowerShell:

  • Sprawdź, czy moduł ExchangeOnlineManagement jest zainstalowany i aktualny
  • Zweryfikuj, czy Twoje dane logowania administratora mają wystarczające uprawnienia

Weryfikacja polityki: