Przejdź do głównej zawartości
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Ustawienia API Microsoft Graph do wysyłania wiadomości e-mail

Niniejszy przewodnik wyjaśnia, jak udzielić zgody administratora Twojej organizacji na naszą aplikację do wysyłania wiadomości e-mail w modelu multi-tenant oraz jak ograniczyć jej dostęp, aby mogła wysyłać e-maile tylko z wyznaczonej skrzynki pocztowej (na przykład noreply@yourdomain.com). Nawet jeśli masz ograniczone doświadczenie w IT, szczegółowe instrukcje i wymagania wstępne przedstawione tutaj pomogą Ci zrealizować konfigurację przy użyciu narzędzi zainstalowanych na Twoim komputerze.

Uwaga:
Jeśli potrzebujesz pomocy, utwórz zgłoszenie wsparcia na stronie eniris.io/support.

Spis treści

Przegląd

Nasza aplikacja do wysyłania wiadomości e-mail korzysta z API Microsoft Graph z uprawnieniami aplikacji do wysyłania e-maili z wyznaczonej skrzynki pocztowej. Aby włączyć tę funkcjonalność, Twój administrator musi:

  1. Udzielić zgody na poziomie dzierżawcy dla aplikacji.
  2. Przekazać nam swoją nazwę domeny, identyfikator dzierżawcy i adres e-mail, którego chcesz użyć (np. noreply@yourdomain.com).

Te szczegóły można znaleźć w podsumowaniu Twojego dzierżawcy w Microsoft Entra.

Wymagania wstępne

Zanim rozpoczniesz, upewnij się, że masz:

  • Uprawnienia administratora: Musisz mieć uprawnienia Global Administrator dla swojego dzierżawcy Microsoft 365.
  • Dostęp do Microsoft Entra: Będziesz potrzebować dostępu do szczegółów swojego dzierżawcy w Microsoft Entra.
  • PowerShell na swoim komputerze:
  • Podstawowa wiedza: Znajomość kopiowania i wklejania poleceń w PowerShell. Nie martw się, jeśli jesteś początkujący — poniższe kroki są szczegółowe i łatwe do wykonania.

Krok 1: Udzielanie zgody administratora

  1. Skonstruuj adres URL zgody administratora:
    Użyj poniższego formatu adresu URL. Zamień <YOUR-DOMAIN-NAME> na swoją rzeczywistą nazwę domeny (na przykład, jeśli Twoja domena to "contoso.com", użyj tej):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Odwiedź adres URL:
    Niech Twój globalny administrator Microsoft 365 zaloguje się w swojej przeglądarce i przejdzie do podanego adresu URL. Zobaczy okno zgody z listą uprawnień, o które prosi nasza aplikacja (na przykład Mail.Send).

  3. Udziel zgody:
    Administrator powinien kliknąć "Zaakceptuj", aby udzielić zgody. Ta akcja utworzy konto usługi dla naszej aplikacji w Twoim dzierżawcy i pozwoli jej wysyłać e-maile.

  4. Powiadom nas:
    Po udzieleniu zgody utwórz zgłoszenie na stronie eniris.io/support z następującymi szczegółami:

  • Twoja nazwa domeny.
  • Twój identyfikator dzierżawcy (znajdujący się w Microsoft Entra Tenant Overview).
  • Adres e-mail, którego chcesz użyć do wysyłania e-maili (np. noreply@yourdomain.com).

Krok 2: Zbieranie szczegółów dotyczących Twojego dzierżawcy

Nasz proces wdrożenia automatycznie zbierze Twój identyfikator dzierżawcy, gdy administrator udzieli zgody. Jeśli jednak musisz to ręcznie zweryfikować, możesz:

  • Zalogować się do Microsoft Entra.
  • Skopiować swój Identifikator dzierżawcy z strony Podsumowanie dzierżawcy.

Krok 3: Konfigurowanie ograniczeń dostępu

Z uwagi na najlepsze praktyki bezpieczeństwa utworzymy dedykowaną grupę bezpieczeństwa i użyjemy jej do ograniczenia dostępu aplikacji tylko do Twojej wyznaczonej skrzynki pocztowej. Wdraża to zasadę najmniejszych uprawnień, zapewniając, że aplikacja może uzyskać dostęp tylko do tego, co jest absolutnie konieczne.

Tworzenie wymaganej grupy zabezpieczeń poczty

  1. Zaloguj się do Centrum administracyjnego Microsoft 365:
    Przejdź do admin.microsoft.com i zaloguj się na swoje konto administratora.

  2. Utwórz grupę zabezpieczeń:

  • Przejdź do "Grupy" > "Aktywne grupy"
  • Kliknij "Dodaj grupę"
  • Wybierz "Bezpieczeństwo" jako typ grupy i kliknij "Dalej"
  • Wprowadź nazwę (np. "Dostęp tylko do Noreply") i opis
  • Dodaj konto noreply@yourdomain.com jako członka
  • Kliknij "Dalej", a następnie "Utwórz grupę"

Zastosowanie ograniczeń dostępu

  1. Otwórz PowerShell:
    Uruchom PowerShell jako administrator na swoim komputerze.

  2. Połącz z Exchange Online:
    Zainstaluj moduł ExchangeOnlineManagement (jeśli nie jest jeszcze zainstalowany), a następnie połącz się:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Na przykład: admin@yourdomain.com

  3. Stwórz politykę dostępu aplikacji:
    Wykonaj następujące polecenie. Zamień <YOUR-SECURITY-GROUP-EMAIL> na rzeczywisty adres e-mail lub identyfikator obiektu Twojej grupy bezpieczeństwa:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Ogranicz dostęp aplikacji tylko do skrzynki noreply"

  4. Zweryfikuj politykę:
    Przetestuj, czy polityka działa, wykonując (zamień na swój rzeczywisty adres e-mail noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Rozważania dotyczące bezpieczeństwa

  • Izolacja danych: Konto usługi utworzone w Twoim dzierżawcy zapewnia, że aplikacja ma dostęp tylko do tego, co jest dozwolone przez politykę.
  • Najmniejsze uprawnienia: Aplikacja żąda tylko uprawnienia Mail.Send i jest dalej ograniczona do jednej skrzynki pocztowej.
  • Audyt: Zalecamy okresowe przeglądy konta usługi i polityki dostępu aplikacji.

Dodatkowe informacje i zasoby

Typowe problemy:

Błędy zgody:

Błędy PowerShell:

  • Sprawdź, czy moduł ExchangeOnlineManagement jest zainstalowany i aktualny
  • Sprawdź, czy Twoje dane logowania administratora mają wystarczające uprawnienia

Weryfikacja polityki: