Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuration de l'API Microsoft Graph pour l'envoi de mails

Ce guide explique comment accorder le consentement de l'administrateur de votre organisation à notre application d'envoi de mails multi-locataires et restreindre son accès afin qu'elle puisse uniquement envoyer des e-mails depuis une boîte aux lettres désignée (par exemple, noreply@yourdomain.com). Même si vous avez une expérience informatique limitée, les instructions étape par étape et les prérequis fournis ici vous aideront à compléter la configuration à l'aide des outils installés sur votre PC.

Note :
Si vous avez besoin d'assistance, veuillez créer un ticket de support à eniris.io/support.

Table des matières

• Aperçu
• Prérequis
• Étape 1 : Accorder le consentement de l'administrateur
• Étape 2 : Capturer les détails de votre locataire
• Étape 3 : Configurer les restrictions d'accès
• Informations et ressources supplémentaires
• Dépannage

Aperçu

Notre application d'envoi de mails utilise l'API Microsoft Graph avec des autorisations d'application pour envoyer des e-mails depuis une boîte aux lettres désignée. Pour activer cette fonctionnalité, votre administrateur doit :

1. Accorder le consentement à l'échelle du locataire à l'application.
2. Nous fournir votre nom de domaine, votre identifiant de locataire et l'adresse e-mail que vous souhaitez utiliser (par exemple, noreply@yourdomain.com).

Ces détails peuvent être trouvés dans votre aperçu de locataire sur Microsoft Entra.

Prérequis

Avant de commencer, veuillez vous assurer que vous avez ce qui suit :

• Identifiants d'administrateur : Vous devez avoir des droits d'administrateur global pour votre locataire Microsoft 365.
• Accès à Microsoft Entra : Vous aurez besoin de consulter les détails de votre locataire sur Microsoft Entra.
• PowerShell sur votre PC :
  • Windows PowerShell ou PowerShell Core.
  • Installez le module ExchangeOnlineManagement en exécutant :

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Connaissances de base : Familiarité avec le copier-coller de commandes dans PowerShell. Ne vous inquiétez pas si vous êtes débutant — les étapes ci-dessous sont détaillées et simples.

Étape 1 : Accorder le consentement de l'administrateur

1. Construire l'URL de consentement de l'administrateur :
   Utilisez le format d'URL suivant. Remplacez <YOUR-DOMAIN-NAME> par votre véritable nom de domaine (par exemple, si votre domaine est "contoso.com", utilisez celui-ci) :

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visiter l'URL :
   Demandez à votre administrateur global Microsoft 365 de se connecter à son navigateur et de naviguer vers l'URL. Il verra une boîte de dialogue de consentement listant les autorisations que notre application demande (par exemple, Mail.Send).

3. Accorder le consentement :
   L'administrateur doit cliquer sur "Accepter" pour accorder le consentement. Cette action créera un principal de service pour notre application dans votre locataire et lui permettra d'envoyer des e-mails.

4. Nous informer :
   Après avoir accordé le consentement, veuillez créer un ticket eniris.io/support avec les informations suivantes :

• Votre nom de domaine.
• Votre identifiant de locataire (trouvé dans l'aperçu du locataire Microsoft Entra).
• L'adresse e-mail que vous souhaitez utiliser pour l'envoi de mails (par exemple, noreply@yourdomain.com).

Étape 2 : Capturer les détails de votre locataire

Notre processus d'intégration capturera automatiquement votre identifiant de locataire lorsque l'administrateur accordera le consentement. Cependant, si vous devez vérifier cela manuellement, vous pouvez :

• Vous connecter à Microsoft Entra.
• Copier votre Identifiant de locataire depuis la page d'aperçu du locataire.

Étape 3 : Configurer les restrictions d'accès

Pour des raisons de sécurité, nous créerons un groupe de sécurité dédié et l'utiliserons pour restreindre l'accès de l'application uniquement à votre boîte aux lettres désignée. Cela met en œuvre le principe du moindre privilège, garantissant que l'application ne peut accéder qu'à ce qui est absolument nécessaire.

Création du groupe de sécurité pour les mails requis

1. Connectez-vous au Centre d'administration Microsoft 365 :
   Allez sur admin.microsoft.com et connectez-vous avec votre compte administrateur.

2. Créer un groupe de sécurité :

• Accédez à "Groupes" > "Groupes actifs"
• Cliquez sur "Ajouter un groupe"
• Sélectionnez "Sécurité" comme type de groupe et cliquez sur "Suivant"
• Entrez un nom (par exemple, "Accès Noreply uniquement") et une description
• Ajoutez le compte noreply@yourdomain.com en tant que membre
• Cliquez sur "Suivant" puis "Créer le groupe"

Application des restrictions d'accès

1. Ouvrir PowerShell :
   Exécutez PowerShell en tant qu'administrateur sur votre PC.

2. Se connecter à Exchange Online :
   Installez le module ExchangeOnlineManagement (si ce n'est pas déjà fait) et connectez-vous :

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Par exemple : admin@yourdomain.com

3. Créer la politique d'accès de l'application :
   Exécutez la commande suivante. Remplacez <YOUR-SECURITY-GROUP-EMAIL> par l'adresse e-mail ou l'ID d'objet réel de votre groupe de sécurité :

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restreindre l'accès de l'application à la boîte aux lettres noreply uniquement"

4. Vérifier la politique :
   Testez que la politique fonctionne en exécutant (remplacez par votre véritable adresse e-mail noreply) :

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considérations de sécurité

• Isolation des données : Le principal de service créé dans votre locataire veille à ce que l'application n'ait accès qu'aux autorisations accordées par la politique.
• Moindre privilège : L'application ne demande que la permission Mail.Send et est de plus restreinte à une seule boîte aux lettres.
• Audit: Nous recommandons des revues périodiques de votre principal de service et de votre politique d'accès d'application.

Informations et ressources supplémentaires

Problèmes courants :

Erreurs de consentement :

• Vérifiez les autorisations du compte administrateur sur les rôles Microsoft Entra
• Consultez le guide de dépannage du consentement
• Assurez-vous que l'URL est construite correctement

Erreurs PowerShell :

• Vérifiez que le module ExchangeOnlineManagement est installé et à jour
• Vérifiez que vos identifiants d'administrateur ont les permissions suffisantes

Vérification de la politique :

• Utilisez Test-ApplicationAccessPolicy pour vérifier les restrictions d'accès
• Consultez la documentation sur la politique d'accès d'application