Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API 设置用于邮件发送

本指南解释如何授予贵组织的管理员对我们多租户邮件发送应用程序的管理员同意，并限制其访问，使其只能从指定的邮箱发送电子邮件（例如，noreply@yourdomain.com）。即使您没有太多IT经验，这里提供的逐步说明和前提条件也将帮助您使用安装在PC上的工具完成设置。

注意：
如果您需要帮助，请在 eniris.io/support 创建支持票。

目录

• 概述
• 前提条件
• 步骤 1：授予管理员同意
• 步骤 2：获取租户详细信息
• 步骤 3：配置访问限制
• 附加信息和资源
• 故障排除

概述

我们的邮件发送应用程序使用具有应用程序权限的 Microsoft Graph API 从指定的邮箱发送电子邮件。为了启用此功能，您的管理员必须：

1. 对该应用程序授予租户范围的同意。
2. 提供您的域名、租户 ID 以及您希望使用的电子邮件地址（例如，noreply@yourdomain.com）。

这些详细信息可以在 Microsoft Entra 的租户概览中找到。

前提条件

在您开始之前，请确保您具备以下条件：

• 管理员凭据： 您必须拥有 Microsoft 365 租户的全局管理员权限。
• 访问 Microsoft Entra： 您需要查看 Microsoft Entra 中的租户详细信息。
• PC上的PowerShell：
  • Windows PowerShell 或 PowerShell Core。
  • 通过运行以下命令安装 ExchangeOnlineManagement 模块：

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• 基本知识： 熟悉在 PowerShell 中复制和粘贴命令。如果您是初学者，也无需担心—下面的步骤详细且简单明了。

步骤 1：授予管理员同意

1. 构建管理员同意 URL：
   使用以下 URL 格式。将 <YOUR-DOMAIN-NAME> 替换为您的实际域名（例如，如果您的域名是 "contoso.com"，请使用该名称）：

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. 访问 URL：
   让您的 Microsoft 365 全局管理员登录其浏览器并导航到该 URL。他们会看到一个同意对话框，列出我们的应用程序请求的权限（例如，Mail.Send）。

3. 授予同意：
   管理员应点击 "接受" 以授予同意。此操作将在您的租户中为我们的应用创建一个服务主体，并允许其发送电子邮件。

4. 通知我们：
   授予同意后，请在 eniris.io/support 创建一张票，包含以下详细信息：

• 您的域名。
• 您的租户 ID（在 Microsoft Entra 租户概览 中找到）。
• 您希望用于发送邮件的电子邮件地址（例如，noreply@yourdomain.com）。

步骤 2：获取租户详细信息

我们的入职过程将在管理员授予同意时自动捕获您的租户 ID。但是，如果您需要手动验证，可以：

• 登录 Microsoft Entra。
• 从租户概览页面复制您的 租户 ID。

步骤 3：配置访问限制

为了安全最佳实践，我们将创建一个专用的安全组，并使用它来限制该应用的访问，仅限于您的指定邮箱。这实施了最低权限原则，确保该应用只能访问绝对必要的内容。

创建所需的邮件安全组

1. 登录 Microsoft 365 管理中心：
   转到 admin.microsoft.com 并使用管理员帐户登录。

2. 创建安全组：

• 导航到 "组" > "活动组"
• 单击 "添加组"
• 选择 "安全" 作为组类型并单击 "下一步"
• 输入一个名称（例如，"仅限Noreply访问"）和描述
• 将 noreply@yourdomain.com 帐户添加为成员
• 单击 "下一步" 然后 "创建组"

应用访问限制

1. 打开 PowerShell：
   以管理员身份在您的 PC 上运行 PowerShell。

2. 连接到 Exchange Online：
   安装 ExchangeOnlineManagement 模块（如果尚未安装），然后连接：

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # 例如：admin@yourdomain.com

3. 创建应用访问策略：
   运行以下命令。将 <YOUR-SECURITY-GROUP-EMAIL> 替换为您的安全组的实际电子邮件地址或对象 ID：

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "仅限noreply邮箱的应用访问"

4. 验证策略：
   通过运行以下命令测试策略是否有效（用您的实际noreply电子邮件地址替换）：

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

安全考虑

• 数据隔离： 在您的租户中创建的服务主体确保应用仅在政策允许的情况下访问。
• 最低权限： 该应用仅请求 Mail.Send 权限，并进一步限制为单个邮箱。
• 审计： 我们建议定期审核您的服务主体和应用访问政策。

附加信息和资源

常见问题：

同意错误：

• 验证管理员帐户权限，请访问 Microsoft Entra 角色
• 检查 同意故障排除指南
• 确保 URL 构建正确

PowerShell 错误：

• 检查 ExchangeOnlineManagement 模块是否已安装并且是最新的
• 验证您的管理员凭据是否具有足够的权限

策略验证：

• 使用 Test-ApplicationAccessPolicy 验证访问限制
• 查看 应用访问政策文档