Pular para o conteúdo principal
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuração da API Microsoft Graph para Envio de E-mails

Este guia explica como conceder o consentimento do administrador da sua organização ao nosso aplicativo de envio de e-mails multi-tenant e restringir seu acesso para que ele possa enviar e-mails apenas de uma caixa de entrada designada (por exemplo, noreply@seudominio.com). Mesmo se você tiver experiência limitada em TI, as instruções passo a passo e os pré-requisitos aqui fornecidos ajudarão você a concluir a configuração usando ferramentas instaladas em seu PC.

Nota:
Se você precisar de assistência, crie um ticket de suporte em eniris.io/support.

Índice

Visão Geral

Nosso aplicativo de envio de e-mails usa a API Microsoft Graph com permissões de aplicativo para enviar e-mails de uma caixa de entrada designada. Para habilitar essa funcionalidade, seu administrador deve:

  1. Conceder consentimento a nível de tenant para o aplicativo.
  2. Nos fornecer o nome do seu domínio, ID do tenant e o endereço de e-mail que você deseja usar (por exemplo, noreply@seudominio.com).

Esses detalhes podem ser encontrados na visão geral do seu tenant em Microsoft Entra.

Pré-requisitos

Antes de começar, certifique-se de que você tenha o seguinte:

  • Credenciais de Administrador: Você deve ter direitos de Administrador Global para o seu tenant do Microsoft 365.
  • Acesso ao Microsoft Entra: Você precisará visualizar os detalhes do seu tenant em Microsoft Entra.
  • PowerShell em Seu PC:
  • Conhecimento Básico: Familiaridade com copiar e colar comandos no PowerShell. Não se preocupe se você é um iniciante — os passos abaixo são detalhados e diretos.

Passo 1: Concedendo o Consentimento do Administrador

  1. Construa a URL de Consentimento do Administrador:
    Use o seguinte formato de URL. Substitua <SEU-NOME-DE-DOMÍNIO> pelo seu nome de domínio real (por exemplo, se seu domínio for "contoso.com", use esse nome):

    https://login.microsoftonline.com/<SEU-NOME-DE-DOMÍNIO>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visite a URL:
    Faça com que seu administrador global do Microsoft 365 faça login em seu navegador e navegue até a URL. Ele verá uma caixa de diálogo de consentimento listando as permissões que nosso aplicativo está solicitando (por exemplo, Mail.Send).

  3. Conceda o Consentimento:
    O administrador deve clicar em "Aceitar" para conceder o consentimento. Essa ação criará um principal de serviço para nosso aplicativo em seu tenant e permitirá que ele envie e-mails.

  4. Notifique-nos:
    Após conceder o consentimento, crie um ticket em eniris.io/support com os seguintes detalhes:

Passo 2: Capturando os Detalhes do Seu Tenant

Nosso processo de integração capturará automaticamente seu ID do tenant quando o administrador conceder o consentimento. No entanto, se você precisar verificar isso manualmente, você pode:

  • Fazer login no Microsoft Entra.
  • Copiar seu ID do Tenant na página de Visão Geral do Tenant.

Passo 3: Configurando Restrições de Acesso

Para as melhores práticas de segurança, criaremos um grupo de segurança dedicado e o usaremos para restringir o acesso do aplicativo apenas à sua caixa de entrada designada. Isso implementa o princípio do menor privilégio, garantindo que o aplicativo só possa acessar o que for absolutamente necessário.

Criando o Grupo de Segurança de E-mail Necessário

  1. Faça login no Centro de Administração do Microsoft 365:
    Acesse admin.microsoft.com e faça login com sua conta de administrador.

  2. Crie um Grupo de Segurança:

  • Navegue até "Grupos" > "Grupos ativos"
  • Clique em "Adicionar um grupo"
  • Selecione "Segurança" como tipo de grupo e clique em "Próximo"
  • Digite um nome (por exemplo, "Acesso Apenas Noreply") e uma descrição
  • Adicione a conta noreply@seudominio.com como membro
  • Clique em "Próximo" e depois em "Criar grupo"

Aplicando Restrições de Acesso

  1. Abra o PowerShell:
    Execute o PowerShell como administrador em seu PC.

  2. Conecte-se ao Exchange Online:
    Instale o módulo ExchangeOnlineManagement (se ainda não estiver instalado) e, em seguida, conecte-se:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<SEU-EMAIL-ADMIN>"  # Por exemplo: admin@seudominio.com

  3. Crie a Política de Acesso do Aplicativo:
    Execute o seguinte comando. Substitua <EMAIL-DO-GRUPO-DE-SEGURANÇA> pelo endereço de e-mail ou ID do objeto do seu grupo de segurança:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<EMAIL-DO-GRUPO-DE-SEGURANÇA>" -Description "Restringir o acesso do aplicativo à caixa de entrada noreply apenas"

  4. Verifique a Política:
    Teste se a política funciona executando (substitua pelo seu endereço de e-mail noreply real):

    Test-ApplicationAccessPolicy -Identity "<SEU-EMAIL-NOREPLY>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerações de Segurança

  • Isolamento de Dados: O principal de serviço criado em seu tenant garante que o aplicativo tenha acesso apenas conforme permitido pela política.
  • Menor Privilégio: O aplicativo solicita apenas a permissão Mail.Send e é ainda mais restrito a uma única caixa de correio.
  • Auditoria: Recomendamos revisões periódicas do seu principal de serviço e da Política de Acesso do Aplicativo.

Informações e Recursos Adicionais

Problemas Comuns:

Erros de Consentimento:

Erros de PowerShell:

  • Verifique se o módulo ExchangeOnlineManagement está instalado e atualizado
  • Verifique se suas credenciais de administrador têm permissões suficientes

Verificação de Política: