Pular para o conteúdo principal
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuração da API do Microsoft Graph para Envio de E-mails

Este guia explica como conceder o consentimento do administrador da sua organização para nosso aplicativo multitenant de envio de e-mails e restringir seu acesso para que ele possa enviar e-mails apenas de uma caixa de correio designada (por exemplo, noreply@seudominio.com). Mesmo que você tenha experiência limitada em TI, as instruções passo a passo e os pré-requisitos fornecidos aqui ajudarão você a concluir a configuração usando ferramentas instaladas em seu PC.

Nota:
Se você precisar de assistência, crie um ticket de suporte em eniris.io/support.

Índice

Visão Geral

Nosso aplicativo de envio de e-mails usa a API do Microsoft Graph com permissões de aplicativo para enviar e-mails de uma caixa de correio designada. Para habilitar essa funcionalidade, seu administrador deve:

  1. Conceder consentimento em todo o inquilino ao aplicativo.
  2. Nos fornecer seu nome de domínio, ID do inquilino e o endereço de e-mail que você deseja usar (por exemplo, noreply@seudominio.com).

Esses detalhes podem ser encontrados na visão geral do seu inquilino em Microsoft Entra.

Pré-requisitos

Antes de começar, certifique-se de que você tenha o seguinte:

  • Credenciais de Administrador: Você deve ter direitos de Administrador Global para seu inquilino do Microsoft 365.
  • Acesso ao Microsoft Entra: Você precisará visualizar os detalhes do seu inquilino em Microsoft Entra.
  • PowerShell em Seu PC:
  • Conhecimento Básico: Familiaridade com copiar e colar comandos no PowerShell. Não se preocupe se você é um iniciante—os passos abaixo são detalhados e diretos.

Passo 1: Concedendo o Consentimento do Administrador

  1. Construa a URL de Consentimento do Administrador:
    Use o seguinte formato de URL. Substitua <NOME-DO-SEU-DOMÍNIO> pelo seu nome de domínio real (por exemplo, se seu domínio for "contoso.com", use esse):

    https://login.microsoftonline.com/<NOME-DO-SEU-DOMÍNIO>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visite a URL:
    Peça ao seu administrador global do Microsoft 365 que faça login em seu navegador e navegue até a URL. Ele verá uma caixa de diálogo de consentimento listando as permissões que nosso aplicativo está solicitando (por exemplo, Mail.Send).

  3. Conceder Consentimento:
    O administrador deve clicar em "Aceitar" para conceder consentimento. Essa ação criará um principiante de serviço para nosso aplicativo em seu inquilino e permitirá que ele envie e-mails.

  4. Notifique-nos:
    Após conceder o consentimento, crie um ticket em eniris.io/support com os seguintes detalhes:

Passo 2: Capturando os Detalhes do Seu Inquilino

Nosso processo de integração capturará automaticamente seu ID de inquilino quando o administrador conceder consentimento. No entanto, se você precisar verificar isso manualmente, pode:

  • Fazer login em Microsoft Entra.
  • Copiar seu ID do Inquilino da página de Visão Geral do Inquilino.

Passo 3: Configurando Restrições de Acesso

Para boas práticas de segurança, criaremos um grupo de segurança dedicado e o usaremos para restringir o acesso do aplicativo apenas à sua caixa de correio designada. Isso implementa o princípio do menor privilégio, garantindo que o aplicativo possa acessar apenas o que é absolutamente necessário.

Criando o Grupo de Segurança de E-mail Necessário

  1. Faça login no Centro de Administração do Microsoft 365:
    Acesse admin.microsoft.com e faça login com sua conta de administrador.

  2. Crie um Grupo de Segurança:

  • Navegue até "Grupos" > "Grupos ativos"
  • Clique em "Adicionar um grupo"
  • Selecione "Segurança" como o tipo de grupo e clique em "Próximo"
  • Insira um nome (por exemplo, "Acesso Apenas Noreply") e a descrição
  • Adicione a conta noreply@seudominio.com como membro
  • Clique em "Próximo" e em seguida "Criar grupo"

Aplicando Restrições de Acesso

  1. Abra o PowerShell:
    Execute o PowerShell como administrador em seu PC.

  2. Conecte-se ao Exchange Online:
    Instale o módulo ExchangeOnlineManagement (se ainda não estiver instalado) e então conecte-se:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<SEU-EMAIL-ADMIN>"  # Por exemplo: admin@seudominio.com

  3. Crie a Política de Acesso ao Aplicativo:
    Execute o seguinte comando. Substitua <EMAIL-DO-GRUPO-DE-SEGURANÇA> pelo endereço de e-mail ou ID de Objeto real do seu grupo de segurança:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<EMAIL-DO-GRUPO-DE-SEGURANÇA>" -Description "Restringir o acesso do aplicativo à caixa de correio noreply apenas"

  4. Verifique a Política:
    Teste se a política funciona executando (substitua pelo seu endereço de e-mail noreply real):

    Test-ApplicationAccessPolicy -Identity "<SEU-EMAIL-NOREPLY>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerações de Segurança

  • Isolamento de Dados: O principiante de serviço criado em seu inquilino garante que o aplicativo tenha acesso apenas ao permitido pela política.
  • Menor Privilégio: O aplicativo solicita apenas a permissão Mail.Send e é ainda mais restrito a uma única caixa de correio.
  • Auditoria: Recomendamos revisões periódicas de seu principiante de serviço e Política de Acesso ao Aplicativo.

Informações Adicionais & Recursos

Problemas Comuns:

Erros de Consentimento:

Erros de PowerShell:

  • Verifique se o módulo ExchangeOnlineManagement está instalado e atualizado
  • Verifique se suas credenciais de administrador têm permissões suficientes

Verificação da Política: