Pular para o conteúdo principal
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuração da API Microsoft Graph para Envio de E-mails

Este guia explica como conceder o consentimento do administrador da sua organização para nosso aplicativo de envio de e-mails multi-inquilino e restringir seu acesso para que ele só possa enviar e-mails de uma caixa de entrada designada (por exemplo, noreply@yourdomain.com). Mesmo que você tenha experiência limitada em TI, as instruções passo a passo e os pré-requisitos fornecidos aqui o ajudarão a completar a configuração usando ferramentas instaladas em seu PC.

Nota:
Se você precisar de assistência, por favor, crie um ticket de suporte em eniris.io/support.

Índice

Visão Geral

Nosso aplicativo de envio de e-mails utiliza a API Microsoft Graph com permissões de aplicativo para enviar e-mails de uma caixa de entrada designada. Para habilitar essa funcionalidade, seu administrador deve:

  1. Conceder consentimento para todo o inquilino ao aplicativo.
  2. Nos fornecer seu nome de domínio, ID do inquilino e o endereço de e-mail que você deseja usar (por exemplo, noreply@yourdomain.com).

Esses detalhes podem ser encontrados na visão geral do seu inquilino em Microsoft Entra.

Pré-requisitos

Antes de começar, certifique-se de que você tem o seguinte:

  • Credenciais de Administrador: Você deve ter direitos de Administrador Global para seu inquilino do Microsoft 365.
  • Acesso ao Microsoft Entra: Você precisará visualizar os detalhes do seu inquilino em Microsoft Entra.
  • PowerShell no Seu PC:
  • Conhecimento Básico: Familiaridade com copiar e colar comandos no PowerShell. Não se preocupe se você é iniciante—os passos abaixo são detalhados e diretos.

Passo 1: Concedendo o Consentimento do Administrador

  1. Construa a URL de Consentimento do Administrador:
    Use o seguinte formato de URL. Substitua <YOUR-DOMAIN-NAME> pelo seu nome de domínio real (por exemplo, se seu domínio é "contoso.com", use isso):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visite a URL:
    Peça ao seu administrador global do Microsoft 365 para fazer login em seu navegador e navegar até a URL. Eles verão uma caixa de diálogo de consentimento listando as permissões que nosso aplicativo está solicitando (por exemplo, Mail.Send).

  3. Conceda o Consentimento:
    O administrador deve clicar em "Aceitar" para conceder o consentimento. Esta ação criará um principal de serviço para nosso aplicativo em seu inquilino e permitirá que ele envie e-mails.

  4. Notifique-nos:
    Após conceder o consentimento, crie um ticket em eniris.io/support com os seguintes detalhes:

Passo 2: Capturando os Detalhes do Seu Inquilino

Nosso processo de integração capturará automaticamente o ID do seu inquilino quando o administrador conceder consentimento. No entanto, se você precisar verificar isso manualmente, você pode:

  • Fazer login em Microsoft Entra.
  • Copiar seu ID de Inquilino da página de Visão Geral do Inquilino.

Passo 3: Configurando Restrições de Acesso

Para melhores práticas de segurança, criaremos um grupo de segurança dedicado e usaremos isso para restringir o acesso do aplicativo apenas à sua caixa de entrada designada. Isso implementa o princípio do menor privilégio, garantindo que o aplicativo só possa acessar o que é absolutamente necessário.

Criando o Grupo de Segurança de E-mail Necessário

  1. Faça login no Centro de Administração do Microsoft 365:
    Acesse admin.microsoft.com e faça login com sua conta de administrador.

  2. Crie um Grupo de Segurança:

  • Navegue até "Grupos" > "Grupos ativos"
  • Clique em "Adicionar um grupo"
  • Selecione "Segurança" como o tipo de grupo e clique em "Próximo"
  • Insira um nome (por exemplo, "Acesso Apenas para Noreply") e uma descrição
  • Adicione a conta noreply@yourdomain.com como membro
  • Clique em "Próximo" e depois em "Criar grupo"

Aplicando Restrições de Acesso

  1. Abra o PowerShell:
    Execute o PowerShell como administrador em seu PC.

  2. Conecte-se ao Exchange Online:
    Instale o módulo ExchangeOnlineManagement (se ainda não estiver instalado) e então conecte-se:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Por exemplo: admin@yourdomain.com

  3. Crie a Política de Acesso do Aplicativo:
    Execute o seguinte comando. Substitua <YOUR-SECURITY-GROUP-EMAIL> pelo endereço de e-mail ou ID do objeto real do seu grupo de segurança:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restringir o acesso do aplicativo apenas à caixa de correio noreply"

  4. Verifique a Política:
    Teste se a política funciona executando (substitua pelo seu endereço de e-mail noreply real):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerações de Segurança

  • Isolamento de Dados: O principal de serviço criado em seu inquilino garante que o aplicativo só tenha acesso conforme permitido pela política.
  • Menor Privilégio: O aplicativo solicita apenas a permissão Mail.Send e é ainda mais restrito a uma única caixa de correio.
  • Auditoria: Recomendamos revisões periódicas de seu principal de serviço e Política de Acesso do Aplicativo.

Informações e Recursos Adicionais

Problemas Comuns:

Erros de Consentimento:

Erros de PowerShell:

  • Verifique se o módulo ExchangeOnlineManagement está instalado e atualizado
  • Verifique se suas credenciais de administrador têm permissões suficientes

Verificação da Política: