Saltar al contenido principal
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuración de la API de Microsoft Graph para el Envío de Correo

Esta guía explica cómo otorgar el consentimiento de administrador de su organización a nuestra aplicación de envío de correo multi-inquilino y restringir su acceso para que solo pueda enviar correos electrónicos desde un buzón designado (por ejemplo, noreply@tu dominio.com). Incluso si tienes experiencia limitada en TI, las instrucciones paso a paso y los requisitos previos proporcionados aquí te ayudarán a completar la configuración utilizando herramientas instaladas en tu PC.

Nota:
Si necesitas asistencia, crea un ticket de soporte en eniris.io/support.

Tabla de Contenidos

Descripción general

Nuestra aplicación de envío de correo utiliza la API de Microsoft Graph con permisos de aplicación para enviar correos electrónicos desde un buzón designado. Para habilitar esta funcionalidad, tu administrador debe:

  1. Otorgar consentimiento a nivel de inquilino para la aplicación.
  2. Proporcionarnos el nombre de tu dominio, ID de inquilino y la dirección de correo electrónico que deseas utilizar (por ejemplo, noreply@tu dominio.com).

Estos detalles se pueden encontrar en la vista general de tu inquilino en Microsoft Entra.

Requisitos Previos

Antes de comenzar, asegúrate de tener lo siguiente:

  • Credenciales de Administrador: Debes tener derechos de Administrador Global para tu inquilino de Microsoft 365.
  • Acceso a Microsoft Entra: Necesitarás ver los detalles de tu inquilino en Microsoft Entra.
  • PowerShell en tu PC:
  • Conocimientos Básicos: Familiaridad con copiar y pegar comandos en PowerShell. No te preocupes si eres principiante, los pasos a continuación son detallados y sencillos.

Paso 1: Otorgar Consentimiento de Administrador

  1. Construir la URL de Consentimiento de Administrador:
    Usa el siguiente formato de URL. Reemplaza <NOMBRE-DE-TU-DOMINIO> con tu nombre de dominio real (por ejemplo, si tu dominio es "contoso.com", utilízalo):

    https://login.microsoftonline.com/<NOMBRE-DE-TU-DOMINIO>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visita la URL:
    Haz que tu administrador global de Microsoft 365 inicie sesión en su navegador y navegue a la URL. Verán un diálogo de consentimiento que lista los permisos que nuestra aplicación está solicitando (por ejemplo, Mail.Send).

  3. Otorgar Consentimiento:
    El administrador debe hacer clic en "Aceptar" para otorgar consentimiento. Esta acción creará un principal de servicio para nuestra aplicación en tu inquilino y le permitirá enviar correos electrónicos.

  4. Notificarnos:
    Después de otorgar consentimiento, crea un ticket en eniris.io/support con los siguientes detalles:

  • Tu nombre de dominio.
  • Tu ID de inquilino (encontrado en Microsoft Entra Tenant Overview).
  • La dirección de correo electrónico que deseas usar para enviar correos (por ejemplo, noreply@tu dominio.com).

Paso 2: Capturando los Detalles de tu Inquilino

Nuestro proceso de incorporación capturará automáticamente tu ID de inquilino cuando el administrador otorgue consentimiento. Sin embargo, si necesitas verificar esto manualmente, puedes:

  • Iniciar sesión en Microsoft Entra.
  • Copiar tu ID de Inquilino de la página de Vista General del Inquilino.

Paso 3: Configurando Restricciones de Acceso

Para las mejores prácticas de seguridad, crearemos un grupo de seguridad dedicado y lo utilizaremos para restringir el acceso de la aplicación solo a tu buzón designado. Esto implementa el principio de menor privilegio, garantizando que la aplicación solo pueda acceder a lo que es absolutamente necesario.

Creando el Grupo de Seguridad de Correo Requerido

  1. Iniciar sesión en el Centro de Administración de Microsoft 365:
    Ve a admin.microsoft.com e inicia sesión con tu cuenta de administrador.

  2. Crear un Grupo de Seguridad:

  • Navega a "Grupos" > "Grupos activos"
  • Haz clic en "Agregar un grupo"
  • Selecciona "Seguridad" como el tipo de grupo y haz clic en "Siguiente"
  • Ingresa un nombre (por ejemplo, "Acceso Solo Noreply") y descripción
  • Agrega la cuenta noreply@tu dominio.com como miembro
  • Haz clic en "Siguiente" y luego en "Crear grupo"

Aplicando Restricciones de Acceso

  1. Abrir PowerShell:
    Ejecuta PowerShell como administrador en tu PC.

  2. Conectar a Exchange Online:
    Instala el módulo ExchangeOnlineManagement (si aún no está instalado) y luego conéctate:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<TU-CORREO-ADMIN>"  # Por ejemplo: admin@tu dominio.com

  3. Crear la Política de Acceso de la Aplicación:
    Ejecuta el siguiente comando. Reemplaza <CORREO-DE-GRUPO-SEGURIDAD> con la dirección de correo electrónico real o ID de objeto de tu grupo de seguridad:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<CORREO-DE-GRUPO-SEGURIDAD>" -Description "Restringir el acceso de la aplicación al buzón noreply solamente"

  4. Verificar la Política:
    Prueba que la política funcione ejecutando (reemplaza con tu dirección de correo noreply real):

    Test-ApplicationAccessPolicy -Identity "<TU-CORREO-NOREPLY>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Consideraciones de Seguridad

  • Aislamiento de Datos: El principal de servicio creado en tu inquilino asegura que la aplicación solo tenga acceso según lo permitido por la política.
  • Menor Privilegio: La aplicación solicita solo el permiso Mail.Send y está restringida a un solo buzón.
  • Auditoría: Recomendamos revisiones periódicas de tu principal de servicio y Política de Acceso de Aplicación.

Información y Recursos Adicionales

Problemas Comunes:

Errores de Consentimiento:

Errores de PowerShell:

  • Verifica que el módulo ExchangeOnlineManagement esté instalado y actualizado
  • Asegúrate de que tus credenciales de administrador tengan permisos suficientes

Verificación de la Política: