Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API Setup für den Versand von E-Mails

Diese Anleitung erklärt, wie Sie die Zustimmung des Administrators Ihrer Organisation für unsere Multi-Tenant-App zum Versand von E-Mails gewähren und den Zugriff so einschränken, dass nur von einem bestimmten Postfach (zum Beispiel noreply@yourdomain.com) E-Mails gesendet werden können. Selbst wenn Sie nur begrenzte IT-Erfahrung haben, helfen Ihnen die hier bereitgestellten Schritt-für-Schritt-Anleitungen und Voraussetzungen, die Einrichtung mit auf Ihrem PC installierten Tools abzuschließen.

Hinweis:
Wenn Sie Unterstützung benötigen, erstellen Sie bitte ein Support-Ticket unter eniris.io/support.

Inhaltsverzeichnis

• Übersicht
• Voraussetzungen
• Schritt 1: Gewährung der Administratorzustimmung
• Schritt 2: Erfassung Ihrer Mandantendetails
• Schritt 3: Konfiguration der Zugriffsbeschränkungen
• Zusätzliche Informationen & Ressourcen
• Fehlerbehebung

Übersicht

Unsere E-Mail-Versand-App verwendet die Microsoft Graph API mit Anwendungsberechtigungen, um E-Mails von einem bestimmten Postfach zu senden. Um diese Funktionalität zu aktivieren, muss Ihr Administrator:

1. Mandantenweite Zustimmung zur App gewähren.
2. Uns Ihren Domänennamen, Ihre Mandanten-ID und die E-Mail-Adresse, die Sie verwenden möchten (z. B. noreply@yourdomain.com), zur Verfügung stellen.

Diese Details finden Sie in Ihrer Mandantenübersicht bei Microsoft Entra.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie Folgendes haben:

• Administrator-Anmeldeinformationen: Sie müssen über globale Administratorrechte für Ihren Microsoft 365-Mandanten verfügen.
• Zugriff auf Microsoft Entra: Sie müssen Ihre Mandantendetails bei Microsoft Entra anzeigen.
• PowerShell auf Ihrem PC:
  • Windows PowerShell oder PowerShell Core.
  • Installieren Sie das ExchangeOnlineManagement-Modul mit folgendem Befehl:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Grundkenntnisse: Vertrautheit mit dem Kopieren und Einfügen von Befehlen in PowerShell. Keine Sorge, wenn Sie ein Anfänger sind – die folgenden Schritte sind detailliert und unkompliziert.

Schritt 1: Gewährung der Administratorzustimmung

1. Konstruktion der Administrator-Zustimmungs-URL:
   Verwenden Sie das folgende URL-Format. Ersetzen Sie <YOUR-DOMAIN-NAME> durch Ihren tatsächlichen Domänennamen (zum Beispiel, wenn Ihre Domain "contoso.com" ist, verwenden Sie das):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Besuchen Sie die URL:
   Lassen Sie Ihren Microsoft 365 globalen Administrator in seinem Browser anmelden und zur URL navigieren. Er wird ein Zustimmungsdialogfeld sehen, das die Berechtigungen auflistet, die unsere App anfordert (zum Beispiel Mail.Send).

3. Zustimmung gewähren:
   Der Administrator sollte auf "Akzeptieren" klicken, um die Zustimmung zu gewähren. Diese Aktion erstellt eine Diensthauptversion für unsere App in Ihrem Mandanten und ermöglicht es ihr, E-Mails zu senden.

4. Benachrichtigen Sie uns:
   Bitte erstellen Sie nach der Gewährung der Zustimmung ein Ticket unter eniris.io/support mit den folgenden Details:

• Ihren Domänennamen.
• Ihre Mandanten-ID (zu finden unter Microsoft Entra Mandantenübersicht).
• Die E-Mail-Adresse, die Sie für den Versand von E-Mails verwenden möchten (z. B. noreply@yourdomain.com).

Schritt 2: Erfassung Ihrer Mandantendetails

Unser Onboarding-Prozess erfasst automatisch Ihre Mandanten-ID, wenn der Administrator die Zustimmung gewährt. Wenn Sie dies manuell überprüfen müssen, können Sie:

• Sich bei Microsoft Entra anmelden.
• Ihre Mandanten-ID von der Seite der Mandantenübersicht kopieren.

Schritt 3: Konfiguration der Zugriffsbeschränkungen

Für bewährte Sicherheitspraktiken erstellen wir eine dedizierte Sicherheitsgruppe und verwenden diese, um den Zugriff der App nur auf Ihr festgelegtes Postfach einzuschränken. Dies implementiert das Prinzip der minimalen Berechtigung, wodurch sichergestellt wird, dass die App nur auf das zugreifen kann, was unbedingt notwendig ist.

Erstellung der erforderlichen Mail-Sicherheitsgruppe

1. Melden Sie sich beim Microsoft 365 Admin Center an:
   Gehen Sie zu admin.microsoft.com und melden Sie sich mit Ihrem Administratorkonto an.

2. Erstellen Sie eine Sicherheitsgruppe:

• Navigieren Sie zu "Gruppen" > "Aktive Gruppen"
• Klicken Sie auf "Gruppe hinzufügen"
• Wählen Sie "Sicherheit" alsGruppentyp und klicken Sie auf "Weiter"
• Geben Sie einen Namen ein (z. B. "Noreply Zugang nur") und eine Beschreibung
• Fügen Sie das Konto noreply@yourdomain.com als Mitglied hinzu
• Klicken Sie auf "Weiter" und dann auf "Gruppe erstellen"

Anwenden von Zugriffsbeschränkungen

1. Öffnen Sie PowerShell:
   Führen Sie PowerShell als Administrator auf Ihrem PC aus.

2. Verbinden Sie sich mit Exchange Online:
   Installieren Sie das ExchangeOnlineManagement-Modul (falls noch nicht installiert) und verbinden Sie sich dann:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Zum Beispiel: admin@yourdomain.com

3. Erstellen Sie die Anwendungszugriffsrichtlinie:
   Führen Sie den folgenden Befehl aus. Ersetzen Sie <YOUR-SECURITY-GROUP-EMAIL> durch die tatsächliche E-Mail-Adresse oder Objekt-ID Ihrer Sicherheitsgruppe:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Zugriff der App auf das Noreply-Postfach nur einschränken"

4. Überprüfen Sie die Richtlinie:
   Testen Sie, ob die Richtlinie funktioniert, indem Sie (ersetzen Sie durch Ihre tatsächliche Noreply-E-Mail-Adresse) ausführen:

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Sicherheitsüberlegungen

• Datenisolation: Die in Ihrem Mandanten erstellte Diensthauptversion stellt sicher, dass die App nur Zugriff hat, wie es die Richtlinie erlaubt.
• Minimale Berechtigung: Die App fordert nur die Berechtigung Mail.Send an und ist weiter auf ein einziges Postfach eingeschränkt.
• Überwachung: Wir empfehlen regelmäßige Überprüfungen Ihrer Diensthauptversion und der Anwendungszugriffsrichtlinie.

Zusätzliche Informationen & Ressourcen

Häufige Probleme:

Zustimmung Fehler:

• Überprüfen Sie die Berechtigungen des Administratorkontos unter Microsoft Entra Rollen
• Überprüfen Sie den Zustimmungsfehlersuche-Leitfaden
• Stellen Sie sicher, dass die URL korrekt konstruiert ist

PowerShell-Fehler:

• Überprüfen Sie, ob das ExchangeOnlineManagement-Modul installiert und auf dem neuesten Stand ist
• Vergewissern Sie sich, dass Ihre Administratoranmeldeinformationen über ausreichende Berechtigungen verfügen

Richtlinienüberprüfung:

• Verwenden Sie Test-ApplicationAccessPolicy, um Zugangsbeschränkungen zu überprüfen
• Überprüfen Sie die Dokumentation zur Anwendungszugriffsrichtlinie