Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API-konfiguration för e-postsändning

Denna guide förklarar hur du ger ditt organizations administratörs samtycke till vår multi-tenant e-postsändningsapp och begränsar dess åtkomst så att den endast kan skicka e-post från en angiven brevlåda (till exempel noreply@yourdomain.com). Även om du har begränsad IT-erfarenhet kommer de steg-för-steg-instruktioner och förutsättningar som anges här att hjälpa dig att slutföra installationen med hjälp av verktyg som är installerade på din PC.

Observera:
Om du behöver hjälp, vänligen skapa en supportbiljett på eniris.io/support.

Innehållsförteckning

• Översikt
• Förutsättningar
• Steg 1: Ge administratörsamtycke
• Steg 2: Fånga dina tenantdetails
• Steg 3: Konfigurera åtkomstbegränsningar
• Ytterligare information och resurser
• Felsökning

Översikt

Vår e-postsändningsapp använder Microsoft Graph API med applikationsbehörigheter för att skicka e-post från en angiven brevlåda. För att aktivera denna funktionalitet måste din administratör:

1. Ge samtycke på tenant-nivå till appen.
2. Ge oss ditt domännamn, tenant-ID och e-postadress som du vill använda (t.ex. noreply@yourdomain.com).

Dessa detaljer kan hittas i din tenantöversikt på Microsoft Entra.

Förutsättningar

Innan du börjar, se till att du har följande:

• Administratörsbehörigheter: Du måste ha Global Administrator-rättigheter för din Microsoft 365-tenant.
• Åtkomst till Microsoft Entra: Du behöver kunna se dina tenantdetaljer på Microsoft Entra.
• PowerShell på din PC:
  • Windows PowerShell eller PowerShell Core.
  • Installera ExchangeOnlineManagement-modulen genom att köra:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Grundläggande kunskaper: Bekantskap med att kopiera och klistra in kommandon i PowerShell. Oroa dig inte om du är nybörjare - stegen nedan är detaljerade och enkla.

Steg 1: Ge administratörsamtycke

1. Konstruera Administratörsamtycke-URL:
   Använd följande URL-format. Ersätt <YOUR-DOMAIN-NAME> med ditt faktiska domännamn (till exempel, om din domän är "contoso.com", använd det):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Besök URL:
   Låt din Microsoft 365 global administratör logga in i sin webbläsare och navigera till URL:en. De kommer att se en samtyckedialog som listar de behörigheter vår app begär (till exempel, Mail.Send).

3. Ge samtycke:
   Administratören bör klicka på "Acceptera" för att ge samtycke. Denna åtgärd kommer att skapa en tjänsteprincipal för vår app i din tenant och tillåta den att skicka e-post.

4. Meddela oss:
   Efter att ha gett samtycke, vänligen skapa en biljett på eniris.io/support med följande detaljer:

• Ditt domännamn.
• Ditt tenant-ID (finns på Microsoft Entra Tenant Overview).
• Den e-postadress du vill använda för att skicka e-post (t.ex. noreply@yourdomain.com).

Steg 2: Fånga dina tenantdetails

Vår onboardingprocess kommer att fånga ditt tenant-ID automatiskt när administratören ger samtycke. Men om du behöver verifiera detta manuellt kan du:

• Logga in på Microsoft Entra.
• Kopiera ditt Tenant-ID från sidan för tenantöversikten.

Steg 3: Konfigurera åtkomstbegränsningar

För säkerhetsbästa praxis kommer vi att skapa en dedikerad säkerhetsgrupp och använda den för att begränsa appens åtkomst till endast din angivna brevlåda. Detta implementerar principen om minimiåtgärd, vilket säkerställer att appen endast kan få åtkomst till det som är absolut nödvändigt.

Skapa den erforderliga e-postsäkerhetsgruppen

1. Logga in på Microsoft 365 Admin Center:
   Gå till admin.microsoft.com och logga in med ditt administratörskonto.

2. Skapa en säkerhetsgrupp:

• Navigera till "Grupper" > "Aktiva grupper"
• Klicka på "Lägg till en grupp"
• Välj "Säkerhet" som grupptyp och klicka på "Nästa"
• Ange ett namn (t.ex. "Noreply Access Only") och beskrivning
• Lägg till noreply@yourdomain.com-kontot som medlem
• Klicka på "Nästa" och sedan "Skapa grupp"

Tillämpa åtkomstbegränsningar

1. Öppna PowerShell:
   Kör PowerShell som administratör på din PC.

2. Anslut till Exchange Online:
   Installera ExchangeOnlineManagement-modulen (om den inte redan är installerad) och anslut sedan:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Till exempel: admin@yourdomain.com

3. Skapa applikationsåtkomstpolicyn:
   Kör följande kommando. Ersätt <YOUR-SECURITY-GROUP-EMAIL> med den faktiska e-postadressen eller objekt-ID för din säkerhetsgrupp:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Begränsa appens åtkomst till noreply-brevlådan endast"

4. Verifiera policyn:
   Testa att policyn fungerar genom att köra (ersätt med din faktiska noreply-e-postadress):

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Säkerhetsöverväganden

• Dataseparation: Den tjänsteprincipal som skapats i din tenant säkerställer att appen endast har åtkomst som tillåts av policyn.
• Minimiåtgärd: Appen begär endast Mail.Send-behörigheten och är ytterligare begränsad till en enda brevlåda.
• Revision: Vi rekommenderar periodiska granskningar av din tjänsteprincipal och applikationsåtkomstpolicy.

Ytterligare information och resurser

Vanliga problem:

Samtyckesfel:

• Verifiera administratörskontots behörigheter på Microsoft Entra roller
• Kontrollera samtyckesfelsökningsguiden
• Se till att URL:en är korrekt konstruerad

PowerShell-fel:

• Kontrollera att ExchangeOnlineManagement-modulen är installerad och uppdaterad
• Verifiera att dina administratörsreferenser har tillräckliga behörigheter

Policyns verifiering:

• Använd Test-ApplicationAccessPolicy för att verifiera åtkomstbegränsningar
• Granska dokumentationen för applikationsåtkomstpolicy