Passa al contenuto principale
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configurazione dell'API Microsoft Graph per l'invio di email

Questa guida spiega come concedere il consenso da parte dell'amministratore della tua organizzazione alla nostra app per l'invio di email multi-tenant e limitare il suo accesso affinché possa inviare email solo da una casella di posta designata (ad esempio, noreply@yourdomain.com). Anche se hai poca esperienza IT, le istruzioni passo-passo e i prerequisiti forniti qui ti aiuteranno a completare la configurazione utilizzando gli strumenti installati sul tuo PC.

Nota:
Se hai bisogno di assistenza, ti preghiamo di creare un ticket di supporto su eniris.io/support.

Indice

Panoramica

La nostra app per l'invio di email utilizza l'API Microsoft Graph con permessi di applicazione per inviare email da una casella di posta designata. Per abilitare questa funzionalità, il tuo amministratore deve:

  1. Concedere il consenso a livello tenant per l'app.
  2. Fornirci il nome del tuo dominio, l'ID del tenant e l'indirizzo email che desideri utilizzare (ad es., noreply@yourdomain.com).

Questi dettagli possono essere trovati nella panoramica del tuo tenant su Microsoft Entra.

Prerequisiti

Prima di iniziare, assicurati di avere i seguenti requisiti:

  • Credenziali Admin: Devi avere diritti di Amministratore Globale per il tuo tenant Microsoft 365.
  • Accesso a Microsoft Entra: Avrai bisogno di visualizzare i dettagli del tuo tenant su Microsoft Entra.
  • PowerShell sul tuo PC:
  • Conoscenza di Base: Familiarità con il copiare e incollare comandi in PowerShell. Non preoccuparti se sei un principiante: i passi sottostanti sono dettagliati e semplici.

Passo 1: Concessione del consenso dell'amministratore

  1. Costruire l'URL per il consenso dell'amministratore:
    Utilizza il seguente formato URL. Sostituisci <YOUR-DOMAIN-NAME> con il tuo nome di dominio reale (ad esempio, se il tuo dominio è "contoso.com", utilizza quello):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visita l'URL:
    Fai accedere il tuo amministratore globale Microsoft 365 nel loro browser e naviga all'URL. Vedranno una finestra di dialogo di consenso che elenca i permessi richiesti dalla nostra app (ad esempio, Mail.Send).

  3. Concedi il Consenso:
    L'amministratore dovrebbe cliccare su "Accetta" per concedere il consenso. Questa azione creerà un servizio principale per la nostra app nel tuo tenant e le permetterà di inviare email.

  4. Notificalo a Noi:
    Dopo aver concesso il consenso, ti preghiamo di creare un ticket su eniris.io/support con i seguenti dettagli:

  • Il tuo nome di dominio.
  • Il tuo ID tenant (trovato su Microsoft Entra Tenant Overview).
  • L'indirizzo email che desideri utilizzare per inviare email (ad es., noreply@yourdomain.com).

Passo 2: Cattura dei dettagli del tuo tenant

Il nostro processo di onboarding catturerà automaticamente il tuo ID tenant quando l'amministratore concederà il consenso. Tuttavia, se hai bisogno di verificarlo manualmente, puoi:

  • Accedere a Microsoft Entra.
  • Copiare il tuo ID Tenant dalla pagina di panoramica del Tenant.

Passo 3: Configurazione delle restrizioni di accesso

Per le migliori pratiche di sicurezza, creeremo un gruppo di sicurezza dedicato e lo utilizzeremo per limitare l'accesso dell'app solo alla tua casella di posta designata. Questo implementa il principio del minimo privilegio, garantendo che l'app possa accedere solo a ciò che è assolutamente necessario.

Creazione del Gruppo di Sicurezza per le Email Richiesto

  1. Accedi al Microsoft 365 Admin Center:
    Vai su admin.microsoft.com e accedi con il tuo account admin.

  2. Crea un Gruppo di Sicurezza:

  • Naviga su "Gruppi" > "Gruppi attivi"
  • Clicca su "Aggiungi un gruppo"
  • Seleziona "Sicurezza" come tipo di gruppo e clicca su "Avanti"
  • Inserisci un nome (ad es., "Accesso Noreply Solo") e una descrizione
  • Aggiungi l'account noreply@yourdomain.com come membro
  • Clicca su "Avanti" e poi su "Crea gruppo"

Applicazione delle Restrizioni di Accesso

  1. Apri PowerShell:
    Esegui PowerShell come amministratore sul tuo PC.

  2. Connettersi a Exchange Online:
    Installa il modulo ExchangeOnlineManagement (se non è già installato) e poi connettiti:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Ad esempio: admin@yourdomain.com

  3. Crea la Politica di Accesso all'Applicazione:
    Esegui il seguente comando. Sostituisci <YOUR-SECURITY-GROUP-EMAIL> con l'indirizzo email reale o l'ID oggetto del tuo gruppo di sicurezza:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Limita l'accesso dell'app solo alla casella di posta noreply"

  4. Verifica la Politica:
    Controlla che la politica funzioni eseguendo (sostituisci con il tuo reale indirizzo email noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerazioni sulla Sicurezza

  • Isolamento dei Dati: Il servizio principale creato nel tuo tenant assicura che l'app abbia accesso solo come consentito dalla politica.
  • Minimo Privilegio: L'app richiede solo il permesso Mail.Send e è ulteriormente limitata a una singola casella di posta.
  • Audit: Raccomandiamo revisioni periodiche del tuo servizio principale e della Politica di Accesso all'Applicazione.

Ulteriori informazioni e risorse

Problemi Comuni:

Errori di Consenso:

Errori di PowerShell:

  • Controlla se il modulo ExchangeOnlineManagement è installato e aggiornato
  • Verifica che le credenziali dell'amministratore abbiano permessi sufficienti

Verifica della Politica: