Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuration de l'API Microsoft Graph pour l'envoi de courriels

Ce guide explique comment accorder le consentement de l'administrateur de votre organisation à notre application d'envoi de courriels multi-tenant et restreindre son accès afin qu'elle puisse uniquement envoyer des courriels depuis une boîte aux lettres désignée (par exemple, noreply@yourdomain.com). Même si vous avez une expérience informatique limitée, les instructions détaillées et les prérequis fournis ici vous aideront à compléter la configuration en utilisant des outils installés sur votre PC.

Note :
Si vous avez besoin d'aide, veuillez créer un ticket de support sur eniris.io/support.

Table des matières

• Aperçu
• Pré-requis
• Étape 1 : Accorder le consentement de l'administrateur
• Étape 2 : Capturer les détails de votre locataire
• Étape 3 : Configurer les restrictions d'accès
• Informations et ressources supplémentaires
• Dépannage

Aperçu

Notre application d'envoi de courriels utilise l'API Microsoft Graph avec des autorisations d'application pour envoyer des courriels depuis une boîte aux lettres désignée. Pour activer cette fonctionnalité, votre administrateur doit :

1. Accorder le consentement à l'application à l'échelle du locataire.
2. Nous fournir votre nom de domaine, l'identifiant du locataire et l'adresse e-mail que vous souhaitez utiliser (par exemple, noreply@yourdomain.com).

Ces détails peuvent être trouvés dans l'aperçu de votre locataire sur Microsoft Entra.

Pré-requis

Avant de commencer, veuillez vous assurer que vous avez les éléments suivants :

• Identifiants d'administrateur : Vous devez avoir des droits d'administrateur global pour votre locataire Microsoft 365.
• Accès à Microsoft Entra : Vous aurez besoin de consulter les détails de votre locataire sur Microsoft Entra.
• PowerShell sur votre PC :
  • Windows PowerShell ou PowerShell Core.
  • Installez le module ExchangeOnlineManagement en exécutant :

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Connaissances de base : Familiarité avec la copie et le collage de commandes dans PowerShell. Ne vous inquiétez pas si vous êtes débutant, les étapes ci-dessous sont détaillées et simples.

Étape 1 : Accorder le consentement de l'administrateur

1. Construire l'URL de consentement de l'administrateur :
   Utilisez le format d'URL suivant. Remplacez <YOUR-DOMAIN-NAME> par votre véritable nom de domaine (par exemple, si votre domaine est "contoso.com", utilisez-le) :

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visitez l'URL :
   Demandez à votre administrateur global Microsoft 365 de se connecter à son navigateur et de naviguer vers l'URL. Il verra une boîte de dialogue de consentement répertoriant les autorisations que notre application demande (par exemple, Mail.Send).

3. Accorder le consentement :
   L'administrateur doit cliquer sur "Accepter" pour accorder le consentement. Cette action créera un principal de service pour notre application dans votre locataire et lui permettra d'envoyer des courriels.

4. Nous informer :
   Après avoir accordé le consentement, veuillez créer un ticket sur eniris.io/support avec les détails suivants :

• Votre nom de domaine.
• Votre identifiant de locataire (trouvé sur Microsoft Entra Tenant Overview).
• L'adresse e-mail que vous souhaitez utiliser pour l'envoi de courriels (par exemple, noreply@yourdomain.com).

Étape 2 : Capturer les détails de votre locataire

Notre processus d'intégration capturera automatiquement votre identifiant de locataire lorsque l'administrateur accordera le consentement. Cependant, si vous devez vérifier cela manuellement, vous pouvez :

• Vous connecter à Microsoft Entra.
• Copier votre Identifiant de locataire depuis la page d'aperçu du locataire.

Étape 3 : Configurer les restrictions d'accès

Pour des pratiques de sécurité optimales, nous allons créer un groupe de sécurité dédié et l'utiliser pour restreindre l'accès de l'application uniquement à votre boîte aux lettres désignée. Cela met en œuvre le principe du moindre privilège, garantissant que l'application ne peut accéder qu'à ce qui est absolument nécessaire.

Création du groupe de sécurité pour les courriels requis

1. Connectez-vous au Centre d'administration Microsoft 365 :
   Accédez à admin.microsoft.com et connectez-vous avec votre compte administrateur.

2. Créer un groupe de sécurité :

• Accédez à "Groupes" > "Groupes actifs"
• Cliquez sur "Ajouter un groupe"
• Sélectionnez "Sécurité" comme type de groupe et cliquez sur "Suivant"
• Entrez un nom (par exemple, "Accès Noreply uniquement") et une description
• Ajoutez le compte noreply@yourdomain.com en tant que membre
• Cliquez sur "Suivant" puis "Créer le groupe"

Application des restrictions d'accès

1. Ouvrir PowerShell :
   Exécutez PowerShell en tant qu'administrateur sur votre PC.

2. Se connecter à Exchange Online :
   Installez le module ExchangeOnlineManagement (si ce n'est pas déjà fait) puis connectez-vous :

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Par exemple : admin@yourdomain.com

3. Créer la politique d'accès de l'application :
   Exécutez la commande suivante. Remplacez <YOUR-SECURITY-GROUP-EMAIL> par l'adresse e-mail ou l'ID d'objet réel de votre groupe de sécurité :

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restreindre l'accès de l'application à la boîte aux lettres noreply uniquement"

4. Vérifiez la politique :
   Testez que la politique fonctionne en exécutant (remplacez par votre véritable adresse e-mail noreply) :

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considérations de sécurité

• Isolation des données : Le principal de service créé dans votre locataire garantit que l'application n'a accès qu'à ce qui est autorisé par la politique.
• Moindre privilège : L'article demande uniquement l'autorisation Mail.Send et est de plus restreint à une seule boîte aux lettres.
• Audit : Nous recommandons des examens périodiques de votre principal de service et de la politique d'accès de l'application.

Informations et ressources supplémentaires

Problèmes courants :

Erreurs de consentement :

• Vérifiez les autorisations du compte administrateur sur Microsoft Entra rôles
• Consultez le guide de dépannage du consentement
• Assurez-vous que l'URL est correctement construite

Erreurs PowerShell :

• Vérifiez que le module ExchangeOnlineManagement est installé et à jour
• Vérifiez que vos identifiants administratifs ont des autorisations suffisantes

Vérification de la politique :

• Utilisez Test-ApplicationAccessPolicy pour vérifier les restrictions d'accès
• Consultez la documentation sur la politique d'accès des applications