Przejdź do głównej zawartości
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Ustawienia Microsoft Graph API do wysyłania wiadomości e-mail

Niniejszy przewodnik wyjaśnia, jak przyznać zgodę administratora w Twojej organizacji na naszą aplikację do wysyłania wiadomości e-mail w modelu multi-tenant oraz ograniczyć jej dostęp, aby mogła wysyłać e-maile tylko z wyznaczonej skrzynki pocztowej (na przykład noreply@yourdomain.com). Nawet jeśli masz ograniczone doświadczenie w IT, szczegółowe instrukcje i wymagania wstępne pomogą Ci skonfigurować wszystko, korzystając z narzędzi zainstalowanych na Twoim komputerze.

Uwaga:
Jeśli potrzebujesz pomocy, prosimy o utworzenie zgłoszenia wsparcia na eniris.io/support.

Spis treści

Przegląd

Nasza aplikacja do wysyłania wiadomości e-mail korzysta z Microsoft Graph API z uprawnieniami aplikacji, aby wysyłać e-maile z wyznaczonej skrzynki pocztowej. Aby włączyć tę funkcjonalność, Twój administrator musi:

  1. Przyznać zgodę na poziomie tenantu dla aplikacji.
  2. Podać nam nazwę swojej domeny, identyfikator tenantu i adres e-mail, którego chcesz użyć (np. noreply@yourdomain.com).

Te dane można znaleźć w przeglądzie tenantu w Microsoft Entra.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz:

  • Poświadczenia administratora: Musisz mieć prawa Global Administrator dla swojego tenantu Microsoft 365.
  • Dostęp do Microsoft Entra: Będziesz musiał zobaczyć szczegóły swojego tenantu w Microsoft Entra.
  • PowerShell na swoim komputerze:
  • Podstawowa wiedza: Znajomość kopiowania i wklejania poleceń w PowerShell. Nie martw się, jeśli jesteś początkujący — poniższe kroki są szczegółowe i proste.

Krok 1: Przyznanie zgody administratora

  1. Zbuduj URL zgody administratora:
    Użyj następującego formatu URL. Zamień <YOUR-DOMAIN-NAME> na swoją rzeczywistą nazwę domeny (na przykład, jeśli Twoja domena to "contoso.com", użyj tej):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Odwiedź URL:
    Poproś swojego globalnego administratora Microsoft 365, aby zalogował się w swojej przeglądarce i przeszedł do URL. Zobaczy okno dialogowe zgody z listą uprawnień, o które prosi nasza aplikacja (na przykład Mail.Send).

  3. Przyznaj zgodę:
    Administrator powinien kliknąć "Accept", aby przyznać zgodę. Ta akcja stworzy główny obiekt usługi dla naszej aplikacji w Twoim tenancie i pozwoli jej wysyłać e-maile.

  4. Powiadom nas:
    Po przyznaniu zgody, prosimy o utworzenie zgłoszenia na eniris.io/support z następującymi danymi:

  • Twoja nazwa domeny.
  • Twój identyfikator tenantu (znaleziony w Microsoft Entra Tenant Overview).
  • Adres e-mail, którego chcesz użyć do wysyłania wiadomości (np. noreply@yourdomain.com).

Krok 2: Pozyskanie danych o Twoim tenancie

Nasz proces wdrożenia automatycznie pozyska Twój identyfikator tenantu, gdy administrator przyzna zgodę. Jeśli jednak musisz to ręcznie zweryfikować, możesz:

  • Zalogować się do Microsoft Entra.
  • Skopiować swój Identifikator tenantu z strony przeglądu tenantu.

Krok 3: Konfigurowanie ograniczeń dostępu

W ramach najlepszych praktyk bezpieczeństwa utworzymy dedykowaną grupę bezpieczeństwa i użyjemy jej do ograniczenia dostępu aplikacji tylko do Twojej wyznaczonej skrzynki pocztowej. To wdraża zasadę najmniejszych uprawnień, zapewniając, że aplikacja może uzyskać dostęp tylko do tego, co jest absolutnie niezbędne.

Tworzenie wymaganej grupy zabezpieczeń

  1. Zaloguj się do Centrum administracyjnego Microsoft 365:
    Przejdź do admin.microsoft.com i zaloguj się na swoje konto administratora.

  2. Utwórz grupę zabezpieczeń:

  • Przejdź do "Groups" > "Active groups"
  • Kliknij "Add a group"
  • Wybierz "Security" jako typ grupy i kliknij "Next"
  • Wprowadź nazwę (np. "Noreply Access Only") oraz opis
  • Dodaj konto noreply@yourdomain.com jako członka
  • Kliknij "Next" a następnie "Create group"

Stosowanie ograniczeń dostępu

  1. Otwórz PowerShell:
    Uruchom PowerShell jako administrator na swoim komputerze.

  2. Połącz się z Exchange Online:
    Zainstaluj moduł ExchangeOnlineManagement (jeśli nie jest już zainstalowany), a następnie połącz się:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Na przykład: admin@yourdomain.com

  3. Utwórz politykę dostępu aplikacji:
    Uruchom następujące polecenie. Zamień <YOUR-SECURITY-GROUP-EMAIL> na rzeczywisty adres e-mail lub identyfikator obiektu Twojej grupy zabezpieczeń:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restrict app access to the noreply mailbox only"

  4. Zweryfikuj politykę:
    Przetestuj, czy polityka działa, uruchamiając (zamień na swój rzeczywisty adres e-mail noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Rozważania dotyczące bezpieczeństwa

  • Izolacja danych: Główny obiekt usługi utworzony w Twoim tenancie zapewnia, że aplikacja ma dostęp tylko tak, jak pozwala na to polityka.
  • Najmniejsze uprawnienia: Aplikacja żąda tylko uprawnienia Mail.Send i jest dodatkowo ograniczona do jednej skrzynki pocztowej.
  • Audyt: Zalecamy okresowe przeglądy Twojego głównego obiektu usługi i polityki dostępu aplikacji.

Dodatkowe informacje i zasoby

Częste problemy:

Błędy zgody:

Błędy PowerShell:

  • Sprawdź, czy moduł ExchangeOnlineManagement jest zainstalowany i aktualny
  • Zweryfikuj, czy Twoje poświadczenia administratora mają wystarczające uprawnienia

Weryfikacja polityki: