Saltar al contenido principal
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuración de la API de Microsoft Graph para el envío de correos

Esta guía explica cómo otorgar el consentimiento del administrador de su organización a nuestra aplicación de envío de correos multiinquilino y restringir su acceso para que solo pueda enviar correos electrónicos desde un buzón designado (por ejemplo, noreply@yourdomain.com). Incluso si tiene experiencia limitada en TI, las instrucciones paso a paso y los requisitos previos que se proporcionan aquí le ayudarán a completar la configuración utilizando herramientas instaladas en su PC.

Nota:
Si necesita asistencia, por favor cree un ticket de soporte en eniris.io/support.

Tabla de Contenidos

Descripción general

Nuestra aplicación de envío de correos utiliza la API de Microsoft Graph con permisos de aplicación para enviar correos electrónicos desde un buzón designado. Para habilitar esta funcionalidad, su administrador debe:

  1. Otorgar consentimiento a nivel de inquilino para la aplicación.
  2. Proporcionarnos su nombre de dominio, ID de inquilino y la dirección de correo electrónico que desea utilizar (por ejemplo, noreply@yourdomain.com).

Estos detalles se pueden encontrar en su resumen de inquilino en Microsoft Entra.

Requisitos previos

Antes de comenzar, asegúrese de tener lo siguiente:

  • Credenciales de administrador: Debe tener derechos de Administrador Global para su inquilino de Microsoft 365.
  • Acceso a Microsoft Entra: Necesitará ver los detalles de su inquilino en Microsoft Entra.
  • PowerShell en su PC:
  • Conocimientos básicos: Familiaridad con copiar y pegar comandos en PowerShell. No se preocupe si es principiante; los pasos a continuación son detallados y sencillos.

Paso 1: Otorgar consentimiento de administrador

  1. Construir la URL de consentimiento de administrador:
    Utilice el siguiente formato de URL. Reemplace <YOUR-DOMAIN-NAME> por su nombre de dominio real (por ejemplo, si su dominio es "contoso.com", utilice eso):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visitar la URL:
    Haga que su administrador global de Microsoft 365 inicie sesión en su navegador y navegue hasta la URL. Verán un cuadro de diálogo de consentimiento que enumera los permisos que nuestra aplicación está solicitando (por ejemplo, Mail.Send).

  3. Otorgar consentimiento:
    El administrador debe hacer clic en "Aceptar" para otorgar el consentimiento. Esta acción creará un principal de servicio para nuestra aplicación en su inquilino y le permitirá enviar correos electrónicos.

  4. Notifíquenos:
    Después de otorgar el consentimiento, cree un ticket en eniris.io/support con los siguientes detalles:

  • Su nombre de dominio.
  • Su ID de inquilino (encontrado en Microsoft Entra Tenant Overview).
  • La dirección de correo electrónico que desea utilizar para enviar correos (por ejemplo, noreply@yourdomain.com).

Paso 2: Capturar los detalles de su inquilino

Nuestro proceso de incorporación capturará automáticamente su ID de inquilino cuando el administrador otorgue el consentimiento. Sin embargo, si necesita verificar esto manualmente, puede:

  • Iniciar sesión en Microsoft Entra.
  • Copiar su ID de inquilino desde la página de resumen del inquilino.

Paso 3: Configurar restricciones de acceso

Para las mejores prácticas de seguridad, crearemos un grupo de seguridad dedicado y lo utilizaremos para restringir el acceso de la aplicación únicamente a su buzón designado. Esto implementa el principio de menor privilegio, asegurando que la aplicación solo pueda acceder a lo que sea absolutamente necesario.

Creación del grupo de seguridad de correo requerido

  1. Iniciar sesión en el Centro de administración de Microsoft 365:
    Vaya a admin.microsoft.com e inicie sesión con su cuenta de administrador.

  2. Crear un grupo de seguridad:

  • Navegue a "Grupos" > "Grupos activos"
  • Haga clic en "Agregar un grupo"
  • Seleccione "Seguridad" como tipo de grupo y haga clic en "Siguiente"
  • Ingrese un nombre (por ejemplo, "Acceso solo a Noreply") y descripción
  • Agregue la cuenta noreply@yourdomain.com como miembro
  • Haga clic en "Siguiente" y luego en "Crear grupo"

Aplicar restricciones de acceso

  1. Abrir PowerShell:
    Ejecute PowerShell como administrador en su PC.

  2. Conectarse a Exchange Online:
    Instale el módulo ExchangeOnlineManagement (si aún no está instalado) y luego conéctese:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Por ejemplo: admin@yourdomain.com

  3. Crear la política de acceso de la aplicación:
    Ejecute el siguiente comando. Reemplace <YOUR-SECURITY-GROUP-EMAIL> con la dirección de correo electrónico u ID de objeto real de su grupo de seguridad:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restringir el acceso de la aplicación solo al buzón noreply"

  4. Verificar la política:
    Pruebe que la política funciona ejecutando (reemplace con su dirección de correo noreply real):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Consideraciones de seguridad

  • Aislamiento de datos: El principal de servicio creado en su inquilino asegura que la aplicación solo tenga acceso según lo permitido por la política.
  • Menor privilegio: La aplicación solicita solo el permiso Mail.Send y además está restringida a un solo buzón.
  • Auditoría: Recomendamos revisiones periódicas de su principal de servicio y política de acceso de aplicación.

Información adicional y recursos

Problemas comunes:

Errores de consentimiento:

Errores de PowerShell:

  • Verifique que el módulo ExchangeOnlineManagement esté instalado y actualizado
  • Verifique que sus credenciales de administrador tengan permisos suficientes

Verificación de políticas: