Pular para o conteúdo principal
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuração da API Microsoft Graph para Envio de Emails

Este guia explica como conceder o consentimento do administrador da sua organização para nosso aplicativo de envio de emails multi-inquilino e restringir seu acesso para que ele possa enviar emails apenas de uma caixa de correio designada (por exemplo, noreply@seudominio.com). Mesmo se você tiver experiência limitada em TI, as instruções passo a passo e os pré-requisitos fornecidos aqui ajudarão você a completar a configuração usando ferramentas instaladas em seu PC.

Nota:
Se precisar de assistência, crie um chamado de suporte em eniris.io/support.

Índice

Visão Geral

Nosso aplicativo de envio de emails utiliza a API Microsoft Graph com permissões de aplicativo para enviar emails de uma caixa de correio designada. Para ativar essa funcionalidade, seu administrador deve:

  1. Conceder consentimento em todo o inquilino para o aplicativo.
  2. Nos fornecer seu nome de domínio, ID do inquilino e o endereço de email que você deseja usar (por exemplo, noreply@seudominio.com).

Esses detalhes podem ser encontrados na visão geral do seu inquilino em Microsoft Entra.

Pré-requisitos

Antes de começar, verifique se você possui o seguinte:

  • Credenciais de Administrador: Você deve ter direitos de Administrador Global para seu inquilino do Microsoft 365.
  • Acesso ao Microsoft Entra: Você precisará visualizar os detalhes do seu inquilino em Microsoft Entra.
  • PowerShell em Seu PC:
  • Conhecimento Básico: Familiaridade com copiar e colar comandos no PowerShell. Não se preocupe se você for iniciante—os passos abaixo são detalhados e diretos.

Passo 1: Concedendo o Consentimento do Administrador

  1. Construa a URL de Consentimento do Administrador:
    Use o seguinte formato de URL. Substitua <YOUR-DOMAIN-NAME> pelo seu nome de domínio real (por exemplo, se seu domínio é "contoso.com", use isso):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visite a URL:
    Faça com que seu administrador global do Microsoft 365 faça login no navegador e navegue até a URL. Eles verão uma caixa de diálogo de consentimento listando as permissões que nosso aplicativo está solicitando (por exemplo, Mail.Send).

  3. Conceda Consentimento:
    O administrador deve clicar em "Aceitar" para conceder consentimento. Essa ação criará um principal de serviço para nosso aplicativo em seu inquilino e permitirá que ele envie emails.

  4. Notifique-nos:
    Após conceder o consentimento, crie um chamado em eniris.io/support com os seguintes detalhes:

Passo 2: Capturando os Detalhes do Seu Inquilino

Nosso processo de integração capturará seu ID do inquilino automaticamente quando o administrador conceder consentimento. No entanto, se você precisar verificar isso manualmente, pode:

  • Fazer login em Microsoft Entra.
  • Copiar seu ID do Inquilino da página de Visão Geral do Inquilino.

Passo 3: Configurando Restrições de Acesso

Para as melhores práticas de segurança, criaremos um grupo de segurança dedicado e usaremos isso para restringir o acesso do aplicativo apenas à sua caixa de correio designada. Isso implementa o princípio do menor privilégio, garantindo que o aplicativo só possa acessar o que é absolutamente necessário.

Criando o Grupo de Segurança de Email Necessário

  1. Faça login no Centro de Admin do Microsoft 365:
    Vá para admin.microsoft.com e faça login com sua conta de administrador.

  2. Crie um Grupo de Segurança:

  • Navegue até "Grupos" > "Grupos ativos"
  • Clique em "Adicionar um grupo"
  • Selecione "Segurança" como o tipo de grupo e clique em "Próximo"
  • Insira um nome (por exemplo, "Acesso Apenas Noreply") e descrição
  • Adicione a conta noreply@seudominio.com como membro
  • Clique em "Próximo" e depois em "Criar grupo"

Aplicando Restrições de Acesso

  1. Abra o PowerShell:
    Execute o PowerShell como administrador em seu PC.

  2. Conecte-se ao Exchange Online:
    Instale o módulo ExchangeOnlineManagement (se não estiver já instalado) e, em seguida, conecte-se:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Por exemplo: admin@seudominio.com

  3. Crie a Política de Acesso do Aplicativo:
    Execute o seguinte comando. Substitua <YOUR-SECURITY-GROUP-EMAIL> pelo endereço de email real ou ID do objeto do seu grupo de segurança:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restringir o acesso do aplicativo apenas à caixa de correio noreply"

  4. Verifique a Política:
    Teste se a política funciona executando (substitua pelo seu endereço de email noreply real):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerações de Segurança

  • Isolamento de Dados: O principal de serviço criado em seu inquilino garante que o aplicativo só tenha acesso conforme permitido pela política.
  • Menor Privilégio: O aplicativo solicita apenas a permissão Mail.Send e está ainda mais restrito a uma única caixa de correio.
  • Auditoria: Recomendamos revisões periódicas do seu principal de serviço e Política de Acesso ao Aplicativo.

Informações Adicionais & Recursos

Problemas Comuns:

Erros de Consentimento:

Erros do PowerShell:

  • Verifique se o módulo ExchangeOnlineManagement está instalado e atualizado
  • Verifique se suas credenciais de administrador têm permissões suficientes

Verificação da Política: