Passa al contenuto principale
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configurazione dell'API Microsoft Graph per l'invio di email

Questa guida spiega come concedere il consenso dell'amministratore della tua organizzazione alla nostra applicazione di invio email multi-tenant e limitare il suo accesso in modo che possa inviare email solo da una casella di posta designata (ad esempio, noreply@tuodominio.com). Anche se hai esperienza IT limitata, le istruzioni passo-passo e i prerequisiti forniti qui ti aiuteranno a completare la configurazione utilizzando strumenti installati sul tuo PC.

Nota:
Se hai bisogno di assistenza, ti preghiamo di creare un ticket di supporto su eniris.io/support.

Indice

Panoramica

La nostra applicazione di invio email utilizza l'API Microsoft Graph con permessi di applicazione per inviare email da una casella di posta designata. Per abilitare questa funzionalità, il tuo amministratore deve:

  1. Concedere il consenso a livello di tenant all'app.
  2. Fornirci il nome del tuo dominio, l'ID del tenant e l'indirizzo email che desideri utilizzare (ad esempio, noreply@tuodominio.com).

Questi dettagli possono essere trovati nella panoramica del tuo tenant su Microsoft Entra.

Prerequisiti

Prima di iniziare, assicurati di avere quanto segue:

  • Credenziali di Amministratore: Devi avere diritti di Amministratore Globale per il tuo tenant Microsoft 365.
  • Accesso a Microsoft Entra: Dovrai visualizzare i dettagli del tuo tenant su Microsoft Entra.
  • PowerShell sul tuo PC:
  • Conoscenza di Base: Familiarità con la copia e l'incolla dei comandi in PowerShell. Non preoccuparti se sei un principiante: i passaggi qui sotto sono dettagliati e semplici.

Passo 1: Concessione del consenso dell'amministratore

  1. Costruisci l'URL per il consenso dell'amministratore:
    Usa il seguente formato di URL. Sostituisci <YOUR-DOMAIN-NAME> con il tuo reale nome di dominio (ad esempio, se il tuo dominio è "contoso.com", usalo):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visita l'URL:
    Fai in modo che il tuo amministratore globale di Microsoft 365 acceda al suo browser e naviga all'URL. Vedrà una finestra di dialogo per il consenso che elenca i permessi richiesti dalla nostra app (ad esempio, Mail.Send).

  3. Concedi il consenso:
    L'amministratore dovrebbe cliccare "Accetta" per concedere il consenso. Questa azione creerà un service principal per la nostra app nel tuo tenant e le consentirà di inviare email.

  4. Avvisaci:
    Dopo aver concesso il consenso, ti preghiamo di creare un ticket su eniris.io/support con i seguenti dettagli:

Passo 2: Cattura dei dettagli del tuo tenant

Il nostro processo di onboarding catturerà automaticamente il tuo ID tenant quando l'amministratore concede il consenso. Tuttavia, se hai bisogno di verificarlo manualmente, puoi:

  • Accedere a Microsoft Entra.
  • Copiare il tuo ID Tenant dalla pagina di Panoramica del Tenant.

Passo 3: Configurazione delle restrizioni di accesso

Per le migliori pratiche di sicurezza, creeremo un gruppo di sicurezza dedicato e lo utilizzeremo per limitare l'accesso dell'app solo alla tua casella di posta designata. Questo implementa il principio del minimo privilegio, garantendo che l'app possa accedere solo a ciò che è assolutamente necessario.

Creazione del Gruppo di Sicurezza per le Email Necessario

  1. Accedi al Microsoft 365 Admin Center:
    Vai su admin.microsoft.com e accedi con il tuo account amministratore.

  2. Crea un Gruppo di Sicurezza:

  • Naviga su "Gruppi" > "Gruppi attivi"
  • Clicca su "Aggiungi un gruppo"
  • Seleziona "Sicurezza" come tipo di gruppo e clicca su "Avanti"
  • Inserisci un nome (ad esempio, "Accesso Solo Noreply") e una descrizione
  • Aggiungi l'account noreply@tuodominio.com come membro
  • Clicca su "Avanti" e poi su "Crea gruppo"

Applicazione delle Restrizioni di Accesso

  1. Apri PowerShell:
    Esegui PowerShell come amministratore sul tuo PC.

  2. Connettiti a Exchange Online:
    Installa il modulo ExchangeOnlineManagement (se non è già installato) e poi connettiti:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Ad esempio: admin@tuodominio.com

  3. Crea la Politica di Accesso dell'Applicazione:
    Esegui il seguente comando. Sostituisci <YOUR-SECURITY-GROUP-EMAIL> con l'indirizzo email reale o l'ID Oggetto del tuo gruppo di sicurezza:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restrict app access to the noreply mailbox only"

  4. Verifica la Politica:
    Verifica che la politica funzioni eseguendo (sostituisci con il tuo reale indirizzo email noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerazioni sulla Sicurezza

  • Isolamento dei Dati: Il service principal creato nel tuo tenant garantisce che l'app abbia accesso solo come consentito dalla politica.
  • Minimo Privilegio: L'app richiede solo il permesso Mail.Send ed è ulteriormente limitata a una singola casella di posta.
  • Audit: Consigliamo revisioni periodiche del tuo service principal e della Politica di Accesso dell'Applicazione.

Informazioni aggiuntive e risorse

Problemi Comuni:

Errori di Consenso:

Errori di PowerShell:

  • Verifica che il modulo ExchangeOnlineManagement sia installato e aggiornato
  • Verifica che le tue credenziali di amministratore abbiano permessi sufficienti

Verifica della Politica: