Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API 邮件发送设置

本指南解释了如何向我们多租户邮件发送应用程序授予您组织的管理员同意，并限制其访问，以便它仅能从指定邮箱发送邮件（例如，noreply@yourdomain.com）。即使您有有限的IT经验，此处提供的逐步说明和前提条件将帮助您使用在PC上安装的工具完成设置。

注意：
如果您需要帮助，请在 eniris.io/support 创建支持票。

目录

• 概述
• 前提条件
• 步骤 1：授予管理员同意
• 步骤 2：捕获您的租户信息
• 步骤 3：配置访问限制
• 附加信息和资源
• 故障排除

概述

我们的邮件发送应用程序使用 Microsoft Graph API 和应用权限从指定邮箱发送邮件。要启用此功能，您的管理员必须：

1. 向该应用授予租户范围的同意。
2. 向我们提供您的域名、租户 ID 和您希望使用的电子邮件地址（例如，noreply@yourdomain.com）。

这些详细信息可以在 Microsoft Entra 的租户概述中找到。

前提条件

在您开始之前，请确保您具备以下条件：

• 管理员凭证： 您必须拥有 Microsoft 365 租户的全局管理员权限。
• 访问 Microsoft Entra： 您需要在 Microsoft Entra 查看您的租户信息。
• 在您的 PC 上安装 PowerShell：
  • Windows PowerShell 或 PowerShell Core。
  • 通过运行以下命令安装 ExchangeOnlineManagement 模块：

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• 基本知识： 对 PowerShell 中复制和粘贴命令的熟悉。如果您是初学者，不用担心 - 以下步骤详细且简单明了。

步骤 1：授予管理员同意

1. 构建管理员同意 URL：
   使用以下 URL 格式。将 <YOUR-DOMAIN-NAME> 替换为您的实际域名（例如，如果您的域名是 "contoso.com"，请使用该名称）：

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. 访问 URL：
   让您的 Microsoft 365 全局管理员登录他们的浏览器并导航到该 URL。他们将看到一个同意对话框，列出我们应用请求的权限（例如，Mail.Send）。

3. 授予同意：
   管理员应单击 "接受" 以授予同意。此操作将在您的租户中为我们的应用创建一个服务主体，并允许其发送电子邮件。

4. 通知我们：
   在授予同意后，请创建一个票据 eniris.io/support，并提供以下详细信息：

• 您的域名。
• 您的租户 ID（可在 Microsoft Entra 租户概述 中找到）。
• 您希望用于发送邮件的电子邮件地址（例如，noreply@yourdomain.com）。

步骤 2：捕获您的租户信息

我们的入职过程将在管理员授予同意时自动捕获您的租户 ID。然而，如果您需要手动验证，可以：

• 登录 Microsoft Entra。
• 从租户概述页面复制您的 租户 ID。

步骤 3：配置访问限制

出于安全最佳实践，我们将创建一个专用安全组，并使用它来限制应用的访问，仅限于您的指定邮箱。这遵循最小权限原则，确保应用只能访问绝对必要的内容。

创建所需的邮件安全组

1. 登录 Microsoft 365 管理中心：
   前往 admin.microsoft.com，并使用您的管理员账户登录。

2. 创建安全组：

• 导航至 "组" > "活动组"
• 单击 "添加组"
• 选择 "安全" 作为组类型，然后单击 "下一步"
• 输入名称（例如，"仅限Noreply访问"）和描述
• 将 noreply@yourdomain.com 账户添加为成员
• 单击 "下一步" 然后 "创建组"

应用访问限制

1. 打开 PowerShell：
   以管理员身份在您的 PC 上运行 PowerShell。

2. 连接到 Exchange Online：
   安装 ExchangeOnlineManagement 模块（如果尚未安装），然后连接：

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # 例如：admin@yourdomain.com

3. 创建应用访问策略：
   运行以下命令。将 <YOUR-SECURITY-GROUP-EMAIL> 替换为您的安全组的实际电子邮件地址或对象 ID：

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "仅限制应用访问noreply邮箱"

4. 验证政策：
   通过运行以下命令测试政策是否有效（用您的实际 noreply 电子邮件地址替换）：

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

安全考虑

• 数据隔离： 在您的租户中创建的服务主体确保了应用仅按策略允许的方式访问。
• 最小权限： 应用仅请求 Mail.Send 权限，并进一步限制为单个邮箱。
• 审计： 我们建议定期审查您的服务主体和应用访问政策。

附加信息和资源

常见问题：

同意错误：

• 在 Microsoft Entra 角色 中验证管理员账户权限。
• 查看 同意故障排除指南。
• 确保 URL 构造正确。

PowerShell 错误：

• 检查是否安装并更新 ExchangeOnlineManagement 模块。
• 验证您的管理员凭证是否具有足够的权限。

策略验证：

• 使用 Test-ApplicationAccessPolicy 验证访问限制。
• 审阅 应用访问策略文档。