Przejdź do głównej zawartości
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Ustawienia Microsoft Graph API do wysyłania wiadomości e-mail

Ten przewodnik wyjaśnia, jak przyznać zgodę administratora Twojej organizacji na naszą aplikację do wysyłania wiadomości e-mail w modelu wielo-tenantowym oraz ograniczyć jej dostęp, aby mogła wysyłać e-maile tylko z wyznaczonej skrzynki pocztowej (na przykład noreply@yourdomain.com). Nawet jeśli masz ograniczone doświadczenie IT, krok po kroku instrukcje i wymagania wstępne podane tutaj pomogą Ci ukończyć konfigurację za pomocą narzędzi zainstalowanych na Twoim komputerze.

Uwaga:
Jeśli potrzebujesz pomocy, utwórz zgłoszenie serwisowe na stronie eniris.io/support.

Spis treści

Przegląd

Nasza aplikacja do wysyłania wiadomości e-mail korzysta z Microsoft Graph API z uprawnieniami aplikacji, aby wysyłać e-maile z wyznaczonej skrzynki pocztowej. Aby umożliwić tę funkcjonalność, Twój administrator musi:

  1. Przyznać zgodę dla całego tenant na aplikację.
  2. Podać nam nazwę domeny, identyfikator tenant oraz adres e-mail, którego chcesz używać (np. noreply@yourdomain.com).

Te szczegóły można znaleźć w przeglądzie swojego tenant w Microsoft Entra.

Wymagania wstępne

Zanim zaczniesz, upewnij się, że masz:

  • Uprawnienia administratora: Musisz mieć prawa Global Administrator dla swojego tenant Microsoft 365.
  • Dostęp do Microsoft Entra: Będziesz musiał zobaczyć szczegóły swojego tenant w Microsoft Entra.
  • PowerShell na swoim komputerze:
  • Podstawowa wiedza: Znajomość kopiowania i wklejania poleceń w PowerShell. Nie martw się, jeśli jesteś początkującym — poniższe kroki są szczegółowe i zrozumiałe.

Krok 1: Przyznawanie zgody administratora

  1. Skonstruuj URL zgody administratora:
    Użyj następującego formatu URL. Zastąp <YOUR-DOMAIN-NAME> swoją faktyczną nazwą domeny (na przykład, jeśli Twoja domena to "contoso.com", użyj tej):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Odwiedź URL:
    Poproś swojego globalnego administratora Microsoft 365, aby zalogował się w przeglądarce i przeszedł do URL. Zobaczy okno dialogowe zgody z listą uprawnień, o które prosi nasza aplikacja (na przykład Mail.Send).

  3. Przyznaj zgodę:
    Administrator powinien kliknąć "Akceptuj", aby przyznać zgodę. Ta akcja stworzy principal usługi dla naszej aplikacji w Twoim tenant i pozwoli jej wysyłać e-maile.

  4. Powiadom nas:
    Po przyznaniu zgody utwórz zgłoszenie eniris.io/support z następującymi szczegółami:

  • Twoja nazwa domeny.
  • Twój identyfikator tenant (znaleziony w Microsoft Entra Tenant Overview).
  • Adres e-mail, który chcesz używać do wysyłania wiadomości (np. noreply@yourdomain.com).

Krok 2: Zbieranie szczegółów dotyczących Twojego tenant

Nasz proces wprowadzania zbierze identyfikator Twojego tenant automatycznie, gdy administrator przyzna zgodę. Jednak jeśli musisz to zweryfikować ręcznie, możesz:

  • Zalogować się do Microsoft Entra.
  • Skopiować swój Identyfikator Tenant z strony Przegląd Tenant.

Krok 3: Konfigurowanie ograniczeń dostępu

Dla najlepszych praktyk bezpieczeństwa stworzymy dedykowaną grupę zabezpieczeń i użyjemy jej do ograniczenia dostępu aplikacji tylko do Twojej wyznaczonej skrzynki pocztowej. Wprowadza to zasadę najmniejszych uprawnień, zapewniając, że aplikacja ma dostęp tylko do tego, co jest absolutnie konieczne.

Tworzenie wymaganej grupy zabezpieczeń poczty

  1. Zaloguj się do centrum administracyjnego Microsoft 365:
    Przejdź do admin.microsoft.com i zaloguj się na swoje konto administratora.

  2. Stwórz grupę zabezpieczeń:

  • Przejdź do "Grupy" > "Aktywne grupy"
  • Kliknij "Dodaj grupę"
  • Wybierz "Zabezpieczenia" jako typ grupy i kliknij "Dalej"
  • Wprowadź nazwę (np. "Noreply Access Only") i opis
  • Dodaj konto noreply@yourdomain.com jako członka
  • Kliknij "Dalej", a następnie "Utwórz grupę"

Stosowanie ograniczeń dostępu

  1. Otwórz PowerShell:
    Uruchom PowerShell jako administrator na swoim komputerze.

  2. Połącz się z Exchange Online:
    Zainstaluj moduł ExchangeOnlineManagement (jeśli nie jest jeszcze zainstalowany), a następnie połącz się:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Na przykład: admin@yourdomain.com

  3. Utwórz politykę dostępu aplikacji:
    Uruchom następujące polecenie. Zastąp <YOUR-SECURITY-GROUP-EMAIL> faktycznym adresem e-mail lub identyfikatorem obiektu Twojej grupy zabezpieczeń:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Ogranicz dostęp aplikacji tylko do skrzynki noreply"

  4. Zweryfikuj politykę:
    Sprawdź, czy polityka działa, uruchamiając (zastępując rzeczywistym adresem e-mail noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Rozważania dotyczące bezpieczeństwa

  • Izolacja danych: Principal usługi utworzony w Twoim tenant zapewnia, że aplikacja ma dostęp tylko w zakresie dozwolonym przez politykę.
  • Najmniejsze uprawnienia: Aplikacja prosi tylko o uprawnienie Mail.Send i jest dodatkowo ograniczona do jednej skrzynki pocztowej.
  • Audyt: Zalecamy okresowe przeglądy swojego principal usługi i polityki dostępu aplikacji.

Dodatkowe informacje i zasoby

Typowe problemy:

Błędy zgody:

Błędy PowerShell:

  • Sprawdź, czy moduł ExchangeOnlineManagement jest zainstalowany i zaktualizowany
  • Zweryfikuj, czy Twoje dane uwierzytelniające jako administrator mają wystarczające uprawnienia

Weryfikacja polityki: