Ga naar hoofdinhoud
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API Setup voor E-mailverzending

Deze gids legt uit hoe u de beheerdersgoedkeuring van uw organisatie kunt verlenen voor onze multi-tenant e-mailverzendapp en de toegang kunt beperken zodat deze alleen e-mails kan verzenden vanuit een aangewezen postvak (bijvoorbeeld, noreply@yourdomain.com). Zelfs als u beperkte IT-ervaring heeft, zullen de stapsgewijze instructies en vereisten die hier worden gegeven, u helpen de setup te voltooien met behulp van tools die op uw pc zijn geïnstalleerd.

Opmerking:
Als u hulp nodig heeft, maak dan een ondersteuningsticket aan op eniris.io/support.

Inhoudsopgave

Overzicht

Onze e-mailverzendapp gebruikt de Microsoft Graph API met applicatierechten om e-mails te verzenden vanuit een aangewezen postvak. Om deze functionaliteit mogelijk te maken, moet uw beheerder:

  1. Tenant-brede toestemming geven voor de app.
  2. Ons uw domeinnaam, tenant-ID en het e-mailadres dat u wilt gebruiken (bijvoorbeeld, noreply@yourdomain.com) verstrekken.

Deze gegevens zijn te vinden in uw tenantoverzicht op Microsoft Entra.

Vereisten

Voordat u begint, zorg ervoor dat u het volgende heeft:

  • Beheerdersgegevens: U moet Global Administrator-rechten hebben voor uw Microsoft 365-tenant.
  • Toegang tot Microsoft Entra: U moet uw tenantgegevens kunnen bekijken op Microsoft Entra.
  • PowerShell op uw pc:
  • Basiskennis: Bekendheid met het kopiëren en plakken van commando's in PowerShell. Maak u geen zorgen als u een beginner bent; de onderstaande stappen zijn gedetailleerd en eenvoudig.

Stap 1: Beheerdersgoedkeuring verlenen

  1. Construeer de Admin Consent URL:
    Gebruik het volgende URL-formaat. Vervang <YOUR-DOMAIN-NAME> door uw werkelijke domeinnaam (bijvoorbeeld, als uw domein "contoso.com" is, gebruik dat):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Bezoek de URL:
    Laat uw Microsoft 365 global admin inloggen in hun browser en naar de URL navigeren. Ze zullen een toestemmingsdialoog zien met de permissies die onze app aanvraagt (bijvoorbeeld, Mail.Send).

  3. Verleen Toestemming:
    De beheerder moet op "Accepteren" klikken om toestemming te verlenen. Deze actie creëert een service principal voor onze app in uw tenant en stelt deze in staat om e-mails te verzenden.

  4. Stel ons op de hoogte:
    Na het verlenen van toestemming, maak een ticket aan op eniris.io/support met de volgende gegevens:

  • Uw domeinnaam.
  • Uw tenant-ID (gevonden op Microsoft Entra Tenant Overview).
  • Het e-mailadres dat u wilt gebruiken voor het verzenden van e-mails (bijvoorbeeld, noreply@yourdomain.com).

Stap 2: Uw Tenantgegevens vastleggen

Ons onboardingproces legt automatisch uw tenant-ID vast wanneer de beheerder toestemming verleent. Als u dit handmatig wilt verifiëren, kunt u:

  • Inloggen op Microsoft Entra.
  • Uw Tenant-ID kopiëren vanaf de pagina Tenant Overview.

Stap 3: Toegangsbeperkingen configureren

Voor de beste beveiligingspraktijken creëren we een speciale beveiligingsgroep en gebruiken deze om de toegang van de app te beperken tot alleen uw aangewezen postvak. Dit implementeert het principe van minimaal recht, wat ervoor zorgt dat de app alleen toegang heeft tot wat absoluut noodzakelijk is.

Creëren van de Vereiste E-mailbeveiligingsgroep

  1. Log in op het Microsoft 365 Admin Center:
    Ga naar admin.microsoft.com en log in met uw beheeraccount.

  2. Creëer een Beveiligingsgroep:

  • Navigeer naar "Groepen" > "Actieve groepen"
  • Klik op "Groep toevoegen"
  • Selecteer "Beveiliging" als het groeps type en klik op "Volgende"
  • Voer een naam in (bijvoorbeeld "Noreply Toegang Alleen") en een beschrijving
  • Voeg het account noreply@yourdomain.com toe als lid
  • Klik op "Volgende" en vervolgens op "Groep maken"

Toegangsbeperkingen Toepassen

  1. Open PowerShell:
    Voer PowerShell uit als beheerder op uw pc.

  2. Verbind met Exchange Online:
    Installeer de ExchangeOnlineManagement-module (als deze nog niet is geïnstalleerd) en verbind vervolgens:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Bijv.: admin@yourdomain.com

  3. Creëer het Toegangsbewakingsbeleid:
    Voer het volgende commando uit. Vervang <YOUR-SECURITY-GROUP-EMAIL> door het werkelijke e-mailadres of Object ID van uw beveiligingsgroep:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Beperk de toegang van de app tot het noreply postvak alleen"

  4. Verifieer het Beleid:
    Controleer of het beleid werkt door het volgende uit te voeren (vervang met uw daadwerkelijke noreply-e-mailadres):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Beveiligingsoverwegingen

  • Gegevensisolatie: De service principal die in uw tenant is gemaakt, zorgt ervoor dat de app alleen toegang heeft zoals toegestaan door het beleid.
  • Minimaal recht: De app vraagt alleen om de Mail.Send-permissie en is verder beperkt tot een enkel postvak.
  • Auditing: We raden periodieke beoordelingen aan van uw service principal en Application Access Policy.

Aanvullende informatie & bronnen

Veelvoorkomende Problemen:

Toestemmingsfouten:

PowerShell-fouten:

  • Controleer of de ExchangeOnlineManagement-module is geïnstalleerd en up-to-date is
  • Verifieer of uw beheerdersgegevens voldoende machtigingen hebben

Beleid Verificatie: