Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API Einrichtung für das Versenden von E-Mails

Dieser Leitfaden erklärt, wie Sie die Zustimmung des Administrators Ihrer Organisation für unsere mehrmandantenfähige E-Mail-Versand-App erteilen und den Zugriff so einschränken, dass sie nur E-Mails von einem bestimmten Postfach senden kann (zum Beispiel noreply@yourdomain.com). Auch wenn Sie nur über begrenzte IT-Erfahrung verfügen, werden Ihnen die Schritt-für-Schritt-Anleitungen und Voraussetzungen hier helfen, die Einrichtung mit den auf Ihrem PC installierten Tools abzuschließen.

Hinweis:
Wenn Sie Hilfe benötigen, erstellen Sie bitte ein Support-Ticket unter eniris.io/support.

Inhaltsverzeichnis

• Überblick
• Voraussetzungen
• Schritt 1: Erteilung der Administratorzustimmung
• Schritt 2: Erfassung Ihrer Mandantendetails
• Schritt 3: Konfiguration von Zugriffsbeschränkungen
• Zusätzliche Informationen & Ressourcen
• Fehlerbehebung

Überblick

Unsere E-Mail-Versand-App verwendet die Microsoft Graph API mit Anwendungsberechtigungen, um E-Mails aus einem bestimmten Postfach zu senden. Um diese Funktionalität zu aktivieren, muss Ihr Administrator:

1. Mandantenweite Zustimmung für die App erteilen.
2. Uns Ihren Domainnamen, die Mandanten-ID und die E-Mail-Adresse, die Sie verwenden möchten (z. B. noreply@yourdomain.com), zur Verfügung stellen.

Diese Details finden Sie in Ihrer Mandantenübersicht bei Microsoft Entra.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie Folgendes haben:

• Administratorkennwörter: Sie müssen über globale Administratorrechte für Ihren Microsoft 365-Mandanten verfügen.
• Zugriff auf Microsoft Entra: Sie müssen Ihre Mandantendetails bei Microsoft Entra einsehen.
• PowerShell auf Ihrem PC:
  • Windows PowerShell oder PowerShell Core.
  • Installieren Sie das ExchangeOnlineManagement-Modul mit dem Befehl:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Grundkenntnisse: Vertrautheit mit dem Kopieren und Einfügen von Befehlen in PowerShell. Machen Sie sich keine Sorgen, wenn Sie ein Anfänger sind – die folgenden Schritte sind detailliert und unkompliziert.

Schritt 1: Erteilung der Administratorzustimmung

1. Erstellen Sie die URL für die Administratorzustimmung:
   Verwenden Sie das folgende URL-Format. Ersetzen Sie <YOUR-DOMAIN-NAME> durch Ihren tatsächlichen Domainnamen (zum Beispiel, wenn Ihre Domain "contoso.com" ist, verwenden Sie diesen):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Besuchen Sie die URL:
   Lassen Sie Ihren Microsoft 365 globalen Administrator in seinem Browser anmelden und zur URL navigieren. Er wird einen Zustimmungsdialog sehen, der die Berechtigungen auflistet, die unsere App anfordert (zum Beispiel Mail.Send).

3. Zustimmung erteilen:
   Der Administrator sollte auf "Akzeptieren" klicken, um die Zustimmung zu erteilen. Diese Aktion erstellt einen Dienstprinzipal für unsere App in Ihrem Mandanten und ermöglicht es ihr, E-Mails zu senden.

4. Benachrichtigen Sie uns:
   Nachdem die Zustimmung erteilt wurde, erstellen Sie bitte ein Ticket unter eniris.io/support mit folgenden Angaben:

• Ihren Domainnamen.
• Ihre Mandanten-ID (zu finden bei Microsoft Entra Mandantenübersicht).
• Die E-Mail-Adresse, die Sie zum Versenden von E-Mails verwenden möchten (z. B. noreply@yourdomain.com).

Schritt 2: Erfassung Ihrer Mandantendetails

Unser Onboarding-Prozess erfasst Ihre Mandanten-ID automatisch, wenn der Administrator die Zustimmung erteilt. Wenn Sie dies jedoch manuell überprüfen müssen, können Sie:

• Sich bei Microsoft Entra anmelden.
• Ihre Mandanten-ID von der Mandantenübersichtsseite kopieren.

Schritt 3: Konfiguration von Zugriffsbeschränkungen

Zur Einhaltung von Sicherheitsbest Practices werden wir eine dedizierte Sicherheitsgruppe erstellen und diese verwenden, um den Zugriff der App nur auf Ihr bestimmtes Postfach zu beschränken. Dies implementiert das Prinzip "Minimalrechte", um sicherzustellen, dass die App nur auf das zugreifen kann, was unbedingt notwendig ist.

Erstellen der erforderlichen E-Mail-Sicherheitsgruppe

1. Melden Sie sich im Microsoft 365 Admin Center an:
   Gehen Sie zu admin.microsoft.com und melden Sie sich mit Ihrem Administratorkonto an.

2. Erstellen Sie eine Sicherheitsgruppe:

• Navigieren Sie zu "Gruppen" > "Aktive Gruppen"
• Klicken Sie auf "Gruppe hinzufügen"
• Wählen Sie "Sicherheit" als Gruppentyp und klicken Sie auf "Weiter"
• Geben Sie einen Namen (z. B. "Noreply Zugriff nur") und eine Beschreibung ein
• Fügen Sie das Konto noreply@yourdomain.com als Mitglied hinzu
• Klicken Sie auf "Weiter" und dann auf "Gruppe erstellen"

Anwenden von Zugriffsbeschränkungen

1. Öffnen Sie PowerShell:
   Führen Sie PowerShell als Administrator auf Ihrem PC aus.

2. Stellen Sie eine Verbindung mit Exchange Online her:
   Installieren Sie das ExchangeOnlineManagement-Modul (wenn es noch nicht installiert ist) und verbinden Sie sich dann:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Zum Beispiel: admin@yourdomain.com

3. Erstellen Sie die Anwendungszugriffsrichtlinie:
   Führen Sie den folgenden Befehl aus. Ersetzen Sie <YOUR-SECURITY-GROUP-EMAIL> durch die tatsächliche E-Mail-Adresse oder Objekt-ID Ihrer Sicherheitsgruppe:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Zugriff der App auf das Noreply-Postfach einschränken"

4. Überprüfen Sie die Richtlinie:
   Testen Sie, ob die Richtlinie funktioniert, indem Sie Folgendes ausführen (ersetzen Sie es durch Ihre tatsächliche Noreply-E-Mail-Adresse):

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Sicherheitsüberlegungen

• Datenisolierung: Der Dienstprinzipal, der in Ihrem Mandanten erstellt wird, stellt sicher, dass die App nur den Zugriff hat, der durch die Richtlinie gestattet ist.
• Minimalrechte: Die App fordert nur die Berechtigung Mail.Send an und ist weiter auf ein einzelnes Postfach beschränkt.
• Überwachung: Wir empfehlen regelmäßige Überprüfungen Ihres Dienstprinzipals und der Anwendungszugriffsrichtlinie.

Zusätzliche Informationen & Ressourcen

Häufige Probleme:

Zustimmungsfehler:

• Überprüfen Sie die Berechtigungen des Administratorkontos bei Microsoft Entra-Rollen
• Überprüfen Sie den Leitfaden zur Fehlerbehebung bei Zustimmungen
• Stellen Sie sicher, dass die URL korrekt erstellt wurde

PowerShell-Fehler:

• Überprüfen Sie, ob das ExchangeOnlineManagement-Modul installiert und auf dem neuesten Stand ist
• Vergewissern Sie sich, dass Ihre Administratorkennwörter über ausreichende Berechtigungen verfügen

Überprüfung der Richtlinie:

• Verwenden Sie Test-ApplicationAccessPolicy, um die Zugriffsrestriktionen zu überprüfen
• Überprüfen Sie die Dokumentation zur Anwendungszugriffsrichtlinie