Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API Einrichtung für den E-Mail-Versand

Dieser Leitfaden erklärt, wie Sie die Zustimmung des Administrators Ihrer Organisation für unsere mehrmandantenfähige E-Mail-Versand-App erteilen und ihren Zugriff so einschränken, dass sie nur E-Mails von einem festgelegten Postfach (zum Beispiel noreply@yourdomain.com) senden kann. Selbst wenn Sie über eingeschränkte IT-Erfahrungen verfügen, helfen Ihnen die hier bereitgestellten Schritt-für-Schritt-Anleitungen und Voraussetzungen, die Einrichtung mit den auf Ihrem PC installierten Tools abzuschließen.

Hinweis:
Wenn Sie Unterstützung benötigen, erstellen Sie bitte ein Support-Ticket unter eniris.io/support.

Inhaltsverzeichnis

• Überblick
• Voraussetzungen
• Schritt 1: Zustimmung des Administrators erteilen
• Schritt 2: Erfassen Ihrer Mandantendaten
• Schritt 3: Konfigurieren von Zugriffsrestriktionen
• Zusätzliche Informationen & Ressourcen
• Fehlerbehebung

Überblick

Unsere E-Mail-Versand-App nutzt die Microsoft Graph API mit Anwendungsberechtigungen, um E-Mails aus einem festgelegten Postfach zu senden. Um diese Funktionalität zu aktivieren, muss Ihr Administrator:

1. Die Zustimmung für die gesamte Mandantenorganisation zur App erteilen.
2. Uns Ihren Domänennamen, Ihre Mandanten-ID und die E-Mail-Adresse, die Sie verwenden möchten (z.B. noreply@yourdomain.com), zur Verfügung stellen.

Diese Informationen finden Sie in Ihrer Mandantenübersicht bei Microsoft Entra.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie Folgendes haben:

• Administrator-Anmeldeinformationen: Sie müssen über globale Administratorrechte für Ihren Microsoft 365-Mandanten verfügen.
• Zugriff auf Microsoft Entra: Sie müssen Ihre Mandantendaten bei Microsoft Entra aufrufen können.
• PowerShell auf Ihrem PC:
  • Windows PowerShell oder PowerShell Core.
  • Installieren Sie das ExchangeOnlineManagement-Modul indem Sie folgendes ausführen:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Grundkenntnisse: Vertrautheit mit dem Kopieren und Einfügen von Befehlen in PowerShell. Machen Sie sich keine Sorgen, wenn Sie ein Anfänger sind – die folgenden Schritte sind detailliert und unkompliziert.

Schritt 1: Zustimmung des Administrators erteilen

1. Konstruktion der Administrator-Zustimmung-URL:
   Verwenden Sie das folgende URL-Format. Ersetzen Sie <YOUR-DOMAIN-NAME> durch Ihren tatsächlichen Domänennamen (zum Beispiel, wenn Ihre Domäne "contoso.com" ist, verwenden Sie diesen):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Besuchen Sie die URL:
   Lassen Sie Ihren Microsoft 365-Globaladministrator sich in seinem Browser anmelden und die URL aufrufen. Er wird ein Zustimmungspopup sehen, in dem die Berechtigungen aufgelistet sind, die unsere App anfordert (zum Beispiel Mail.Send).

3. Zustimmung erteilen:
   Der Administrator sollte auf "Akzeptieren" klicken, um die Zustimmung zu erteilen. Diese Aktion wird ein Dienstprinzipal für unsere App in Ihrem Mandanten erstellen und es ihr ermöglichen, E-Mails zu senden.

4. Benachrichtigen Sie uns:
   Nachdem die Zustimmung erteilt wurde, erstellen Sie bitte ein Ticket unter eniris.io/support mit den folgenden Informationen:

• Ihren Domänennamen.
• Ihre Mandanten-ID (zu finden bei Microsoft Entra Mandantenübersicht).
• Die E-Mail-Adresse, die Sie für den Versand von E-Mails verwenden möchten (z.B. noreply@yourdomain.com).

Schritt 2: Erfassen Ihrer Mandantendaten

Unser Onboarding-Prozess wird Ihre Mandanten-ID automatisch erfassen, wenn der Administrator die Zustimmung erteilt. Wenn Sie dies jedoch manuell überprüfen müssen, können Sie:

• Sich bei Microsoft Entra anmelden.
• Ihre Mandanten-ID von der Mandantenübersichtsseite kopieren.

Schritt 3: Konfigurieren von Zugriffsrestriktionen

Für bewährte Sicherheitspraktiken erstellen wir eine dedizierte Sicherheitsgruppe und verwenden sie, um den Zugriff der App nur auf Ihr festgelegtes Postfach einzuschränken. Dies implementiert das Prinzip der minimalen Berechtigung, sodass die App nur auf das zugreifen kann, was absolut notwendig ist.

Erstellen der erforderlichen E-Mail-Sicherheitsgruppe

1. Anmelden im Microsoft 365 Admin Center:
   Gehen Sie zu admin.microsoft.com und melden Sie sich mit Ihrem Administratorkonto an.

2. Erstellen einer Sicherheitsgruppe:

• Navigieren Sie zu "Gruppen" > "Aktive Gruppen"
• Klicken Sie auf "Gruppe hinzufügen"
• Wählen Sie "Sicherheit" als Gruppentyp und klicken Sie auf "Weiter"
• Geben Sie einen Namen (z.B. "Noreply Zugriff Nur") und eine Beschreibung ein
• Fügen Sie das noreply@yourdomain.com-Konto als Mitglied hinzu
• Klicken Sie auf "Weiter" und dann auf "Gruppe erstellen"

Anwenden von Zugriffsrestriktionen

1. Öffnen Sie PowerShell:
   Führen Sie PowerShell als Administrator auf Ihrem PC aus.

2. Mit Exchange Online verbinden:
   Installieren Sie das ExchangeOnlineManagement-Modul (falls noch nicht installiert) und verbinden Sie sich dann:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Zum Beispiel: admin@yourdomain.com

3. Erstellen der Anwendung Zugriffsrichtlinie:
   Führen Sie den folgenden Befehl aus. Ersetzen Sie <YOUR-SECURITY-GROUP-EMAIL> durch die tatsächliche E-Mail-Adresse oder Objekt-ID Ihrer Sicherheitsgruppe:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Einschränkungen des App-Zugriffs nur auf das Noreply-Postfach"

4. Überprüfen der Richtlinie:
   Testen Sie, ob die Richtlinie funktioniert, indem Sie Folgendes ausführen (ersetzen Sie durch Ihre tatsächliche Noreply-E-Mail-Adresse):

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Sicherheitsüberlegungen

• Datenisolierung: Der Dienstprinzipal, der in Ihrem Mandanten erstellt wurde, stellt sicher, dass die App nur mit den durch die Richtlinie erlaubten Berechtigungen auf Daten zugreifen kann.
• Minimale Berechtigung: Die App fordert nur die Berechtigung Mail.Send an und ist darüber hinaus auf ein einziges Postfach eingeschränkt.
• Auditing: Wir empfehlen regelmäßige Überprüfungen Ihres Dienstprinzipals und der Anwendung Zugriffsrichtlinie.

Zusätzliche Informationen & Ressourcen

Häufige Probleme:

Zustimmung Fehler:

• Überprüfen Sie die Berechtigungen des Administratorkontos bei Microsoft Entra Rollen
• Überprüfen Sie den Leitfaden zur Fehlersuche bei der Zustimmung
• Stellen Sie sicher, dass die URL korrekt konstruiert wurde

PowerShell-Fehler:

• Überprüfen Sie, ob das ExchangeOnlineManagement-Modul installiert und auf dem neuesten Stand ist
• Stellen Sie sicher, dass Ihre Administratoranmeldeinformationen über ausreichende Berechtigungen verfügen

Überprüfung der Richtlinie:

• Verwenden Sie Test-ApplicationAccessPolicy, um die Zugriffsrestriktionen zu überprüfen
• Überprüfen Sie die Dokumentation zur Anwendung Zugriffsrichtlinie