Passa al contenuto principale
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configurazione dell'API Microsoft Graph per l'invio di email

Questa guida spiega come concedere il consenso dell'amministratore della tua organizzazione alla nostra app di invio email multi-tenant e come limitare il suo accesso affinché possa inviare email solo da una casella di posta designata (ad esempio, noreply@yourdomain.com). Anche se hai esperienza IT limitata, le istruzioni dettagliate e i requisiti forniti qui ti aiuteranno a completare la configurazione utilizzando strumenti installati sul tuo PC.

Nota:
Se hai bisogno di assistenza, ti preghiamo di creare un ticket di supporto su eniris.io/support.

Indice

Panoramica

La nostra app di invio email utilizza l'API Microsoft Graph con permessi di applicazione per inviare email da una casella di posta designata. Per abilitare questa funzionalità, il tuo amministratore deve:

  1. Concedere il consenso a livello di tenant per l'app.
  2. Fornirci il nome del dominio, l'ID del tenant e l'indirizzo email che desideri utilizzare (ad esempio, noreply@yourdomain.com).

Questi dettagli possono essere trovati nella panoramica del tuo tenant su Microsoft Entra.

Requisiti

Prima di iniziare, assicurati di avere quanto segue:

  • Credenziali di Amministratore: Devi avere diritti di Amministratore Globale per il tuo tenant Microsoft 365.
  • Accesso a Microsoft Entra: Dovrai visualizzare i dettagli del tuo tenant su Microsoft Entra.
  • PowerShell sul Tuo PC:
  • Conoscenza di Base: Familiarità con il copia e incolla di comandi in PowerShell. Non preoccuparti se sei un principiante: i passaggi seguenti sono dettagliati e chiari.

Passo 1: Concessione del consenso dell'amministratore

  1. Costruire l'URL di consenso dell'amministratore:
    Utilizza il seguente formato URL. Sostituisci <YOUR-DOMAIN-NAME> con il nome del tuo dominio reale (ad esempio, se il tuo dominio è "contoso.com", usa quello):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visita l'URL:
    Fai in modo che il tuo amministratore globale di Microsoft 365 acceda al proprio browser e navighi all'URL. Vedrà una finestra di dialogo di consenso che elenca i permessi richiesti dalla nostra app (ad esempio, Mail.Send).

  3. Concedere il consenso:
    L'amministratore dovrebbe cliccare su "Accetta" per concedere il consenso. Questa azione creerà un'entità di servizio per la nostra app nel tuo tenant e permetterà di inviare email.

  4. Informaci:
    Dopo aver concesso il consenso, crea un ticket su eniris.io/support con i seguenti dettagli:

  • Il tuo nome di dominio.
  • Il tuo ID tenant (trovato su Microsoft Entra Tenant Overview).
  • L'indirizzo email che desideri utilizzare per inviare email (ad esempio, noreply@yourdomain.com).

Passo 2: Acquisizione dei dettagli del tenant

Il nostro processo di onboarding acquisirà automaticamente il tuo ID tenant quando l'amministratore concede il consenso. Tuttavia, se hai bisogno di verificare manualmente questo, puoi:

  • Accedere a Microsoft Entra.
  • Copiare il tuo ID Tenant dalla pagina di panoramica del Tenant.

Passo 3: Configurazione delle restrizioni di accesso

Per le migliori pratiche di sicurezza, creeremo un gruppo di sicurezza dedicato e lo utilizzeremo per limitare l'accesso dell'app solo alla tua casella di posta designata. Questo implementa il principio del minor privilegio, garantendo che l'app possa accedere solo a ciò che è assolutamente necessario.

Creazione del gruppo di sicurezza email richiesto

  1. Accedi al Microsoft 365 Admin Center:
    Vai su admin.microsoft.com e accedi con il tuo account amministratore.

  2. Crea un gruppo di sicurezza:

  • Naviga su "Gruppi" > "Gruppi attivi"
  • Clicca su "Aggiungi un gruppo"
  • Seleziona "Sicurezza" come tipo di gruppo e clicca su "Avanti"
  • Inserisci un nome (ad esempio, "Accesso Noreply Solo") e una descrizione
  • Aggiungi l'account noreply@yourdomain.com come membro
  • Clicca su "Avanti" e poi su "Crea gruppo"

Applicazione delle restrizioni di accesso

  1. Apri PowerShell:
    Esegui PowerShell come amministratore sul tuo PC.

  2. Connettiti a Exchange Online:
    Installa il modulo ExchangeOnlineManagement (se non già installato) e poi connettiti:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Ad esempio: admin@yourdomain.com

  3. Crea la Policy di Accesso dell'Applicazione:
    Esegui il seguente comando. Sostituisci <YOUR-SECURITY-GROUP-EMAIL> con l'indirizzo email effettivo o l'ID Oggetto del tuo gruppo di sicurezza:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restrict app access to the noreply mailbox only"

  4. Verifica la Policy:
    Testa che la policy funzioni eseguendo (sostituisci con il tuo indirizzo email noreply reale):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerazioni di Sicurezza

  • Isolamento dei Dati: L'entità di servizio creata nel tuo tenant garantisce che l'app abbia accesso solo come consentito dalla policy.
  • Minimo Privilegio: L'app richiede solo il permesso Mail.Send ed è ulteriormente limitata a una sola casella di posta.
  • Audit: Raccomandiamo revisioni periodiche della tua entità di servizio e della Policy di Accesso dell'Applicazione.

Informazioni aggiuntive e risorse

Problemi Comuni:

Errori di Consenso:

Errori di PowerShell:

  • Verifica che il modulo ExchangeOnlineManagement sia installato e aggiornato
  • Assicurati che le tue credenziali di amministratore abbiano permessi sufficienti

Verifica della Policy: