Ga naar hoofdinhoud
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API Configuratie voor E-mail Verzending

Deze gids legt uit hoe je de admin-toestemming van je organisatie kunt verlenen aan onze multi-tenant e-mail verzendapp en de toegang kunt beperken zodat deze alleen e-mails kan verzenden vanuit een aangewezen mailbox (bijvoorbeeld, noreply@yourdomain.com). Zelfs als je beperkte IT-ervaring hebt, zullen de stapsgewijze instructies en vereisten die hier worden gegeven je helpen om de configuratie te voltooien met behulp van tools die op je pc zijn geïnstalleerd.

Opmerking:
Als je hulp nodig hebt, maak dan een ondersteuningsverzoek aan op eniris.io/support.

Inhoudsopgave

Overzicht

Onze e-mail verzendapp maakt gebruik van de Microsoft Graph API met applicatierechten om e-mails te verzenden vanuit een aangewezen mailbox. Om deze functionaliteit in te schakelen, moet je admin:

  1. Tenant-brede toestemming voor de app verlenen.
  2. Ons voorzien van je domeinnaam, tenant-ID en het e-mailadres dat je wilt gebruiken (bijv. noreply@yourdomain.com).

Deze gegevens zijn te vinden in je tenant-overzicht op Microsoft Entra.

Vereisten

Voordat je begint, zorg ervoor dat je het volgende hebt:

  • Beheerdersreferenties: Je moet Global Administrator-rechten hebben voor je Microsoft 365-tenant.
  • Toegang tot Microsoft Entra: Je moet je tenant-gegevens bekijken op Microsoft Entra.
  • PowerShell op je PC:
  • Basis Kennis: Bekendheid met het kopiëren en plakken van opdrachten in PowerShell. Maak je geen zorgen als je een beginner bent; de onderstaande stappen zijn gedetailleerd en eenvoudig.

Stap 1: Admin-toestemming verlenen

  1. Construeer de Admin-toestemming URL:
    Gebruik het volgende URL-formaat. Vervang <YOUR-DOMAIN-NAME> door je werkelijke domeinnaam (bijvoorbeeld, als je domein "contoso.com" is, gebruik dat):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Bezoek de URL:
    Laat je Microsoft 365 global admin inloggen in hun browser en naar de URL navigeren. Ze zullen een toestemmingsdialoog zien met de machtigingen die onze app aanvraagt (bijvoorbeeld, Mail.Send).

  3. Verleen Toestemming:
    De admin moet op "Accepteren" klikken om toestemming te verlenen. Deze actie creëert een serviceprincipal voor onze app in je tenant en stelt deze in staat om e-mails te verzenden.

  4. Laat het ons weten:
    Na het verlenen van de toestemming, maak een ticket aan op eniris.io/support met de volgende gegevens:

  • Je domeinnaam.
  • Je tenant-ID (gevonden op Microsoft Entra Tenant Overzicht).
  • Het e-mailadres dat je wilt gebruiken voor het verzenden van e-mails (bijv. noreply@yourdomain.com).

Stap 2: Vastleggen van je Tenant-gegevens

Ons aanmeldproces zal automatisch je tenant-ID vastleggen wanneer de admin toestemming verleent. Als je echter deze handmatig moet verifiëren, kun je:

  • Inloggen op Microsoft Entra.
  • Je Tenant-ID kopiëren van de Tenant Overzicht pagina.

Stap 3: Configureren van Toegangsbeperkingen

Voor beveiligingsbest practices zullen we een speciale beveiligingsgroep creëren en deze gebruiken om de toegang van de app te beperken tot alleen je aangewezen mailbox. Dit implementeert het principe van de minimaal noodzakelijke rechten, zodat de app alleen toegang heeft tot wat absoluut noodzakelijk is.

Creëren van de Vereiste Mailbeveiligingsgroep

  1. Log in op het Microsoft 365 Admin Center:
    Ga naar admin.microsoft.com en log in met je beheerdersaccount.

  2. Creëer een Beveiligingsgroep:

  • Navigeer naar "Groepen" > "Actieve groepen"
  • Klik op "Voeg een groep toe"
  • Selecteer "Beveiliging" als het groeps type en klik op "Volgende"
  • Voer een naam in (bijv. "Noreply Toegang Enkel") en een beschrijving
  • Voeg het noreply@yourdomain.com account toe als lid
  • Klik op "Volgende" en vervolgens op "Creëer groep"

Toepassen van Toegangsbeperkingen

  1. Open PowerShell:
    Voer PowerShell uit als administrator op je PC.

  2. Verbind met Exchange Online:
    Installeer de ExchangeOnlineManagement-module (als deze nog niet is geïnstalleerd) en verbind dan:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Bijvoorbeeld: admin@yourdomain.com

  3. Creëer het Applicatie-Toegangsbeleid:
    Voer het volgende commando uit. Vervang <YOUR-SECURITY-GROUP-EMAIL> door het werkelijke e-mailadres of Object ID van je beveiligingsgroep:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Beperk de toegang van de app tot alleen de noreply mailbox"

  4. Verifieer het Beleid:
    Test of het beleid werkt door het volgende uit te voeren (vervang door je werkelijke noreply e-mailadres):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Beveiligingsoverwegingen

  • Gegevensisolatie: De serviceprincipal die in je tenant is aangemaakt, zorgt ervoor dat de app alleen toegang heeft zoals toegestaan door het beleid.
  • Minimaal Noodzakelijk: De app vraagt alleen om de Mail.Send toestemming en is verder beperkt tot een enkele mailbox.
  • Auditing: We raden aan om periodieke controles van je serviceprincipal en het Application Access Policy uit te voeren.

Aanvullende Informatie & Bronnen

Veelvoorkomende Problemen:

Toestemmingsfouten:

PowerShell-fouten:

  • Controleer of de ExchangeOnlineManagement-module geïnstalleerd en up-to-date is
  • Verifieer dat je beheerdersreferenties voldoende machtigingen hebben

Beleid Verificatie: