Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Microsoft Graph API Setup für den Versand von E-Mails

Diese Anleitung erklärt, wie Sie die Zustimmung Ihres Organisationsadministrators für unsere multifunktionale E-Mail-Versand-App gewähren und deren Zugriff so einschränken, dass sie nur E-Mails von einem bestimmten Postfach (zum Beispiel noreply@yourdomain.com) senden kann. Auch wenn Sie nur über eingeschränkte IT-Erfahrung verfügen, helfen Ihnen die Schritt-für-Schritt-Anleitungen und Voraussetzungen, die hier bereitgestellt werden, die Einrichtung mithilfe der auf Ihrem PC installierten Tools durchzuführen.

Hinweis:
Wenn Sie Unterstützung benötigen, erstellen Sie bitte ein Support-Ticket unter eniris.io/support.

Inhaltsverzeichnis

• Übersicht
• Voraussetzungen
• Schritt 1: Gewährung der Admin-Zustimmung
• Schritt 2: Erfassen Ihrer Mandantendetails
• Schritt 3: Konfigurieren der Zugriffsbeschränkungen
• Zusätzliche Informationen & Ressourcen
• Fehlerbehebung

Übersicht

Unsere E-Mail-Versand-App verwendet die Microsoft Graph API mit Anwendungsberechtigungen, um E-Mails von einem bestimmten Postfach zu senden. Um diese Funktionalität zu aktivieren, muss Ihr Administrator:

1. Die mandantenweite Zustimmung für die App gewähren.
2. Uns Ihren Domainnamen, Ihre Mandanten-ID und die E-Mail-Adresse, die Sie verwenden möchten (z. B. noreply@yourdomain.com), bereitstellen.

Diese Details finden Sie in Ihrer Mandantenübersicht bei Microsoft Entra.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie Folgendes haben:

• Admin-Anmeldeinformationen: Sie müssen über globale Administratorrechte für Ihren Microsoft 365-Mandanten verfügen.
• Zugriff auf Microsoft Entra: Sie müssen Ihre Mandantendetails bei Microsoft Entra einsehen können.
• PowerShell auf Ihrem PC:
  • Windows PowerShell oder PowerShell Core.
  • Installieren Sie das ExchangeOnlineManagement-Modul mit dem folgenden Befehl:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Grundkenntnisse: Vertrautheit mit dem Kopieren und Einfügen von Befehlen in PowerShell. Keine Sorge, wenn Sie ein Anfänger sind – die folgenden Schritte sind detailliert und unkompliziert.

Schritt 1: Gewährung der Admin-Zustimmung

1. Konstruktion der Admin-Zustimmungs-URL:
   Verwenden Sie das folgende URL-Format. Ersetzen Sie <YOUR-DOMAIN-NAME> durch Ihren tatsächlichen Domainnamen (zum Beispiel, wenn Ihre Domain "contoso.com" ist, verwenden Sie das):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Besuchen Sie die URL:
   Lassen Sie Ihren globalen Microsoft 365-Administrator in seinem Browser anmelden und zur URL navigieren. Er wird ein Zustimmungsdialogfeld sehen, das die Berechtigungen auflistet, die unsere App anfordert (zum Beispiel Mail.Send).

3. Zustimmung gewähren:
   Der Administrator sollte auf "Akzeptieren" klicken, um die Zustimmung zu gewähren. Diese Aktion erstellt einen Dienstprinzipal für unsere App in Ihrem Mandanten und ermöglicht es ihr, E-Mails zu senden.

4. Benachrichtigen Sie uns:
   Nach der Gewährung der Zustimmung erstellen Sie bitte ein Ticket unter eniris.io/support mit den folgenden Details:

• Ihren Domainnamen.
• Ihre Mandanten-ID (zu finden bei Microsoft Entra Mandantenübersicht).
• Die E-Mail-Adresse, die Sie zum Versenden von E-Mails verwenden möchten (z. B. noreply@yourdomain.com).

Schritt 2: Erfassen Ihrer Mandantendetails

Unser Onboarding-Prozess erfasst automatisch Ihre Mandanten-ID, wenn der Administrator die Zustimmung gewährt. Wenn Sie dies jedoch manuell überprüfen müssen, können Sie:

• Sich bei Microsoft Entra anmelden.
• Ihre Mandanten-ID von der Mandantenübersichtsseite kopieren.

Schritt 3: Konfigurieren der Zugriffsbeschränkungen

Um bewährte Sicherheitspraktiken zu gewährleisten, werden wir eine dedizierte Sicherheitsgruppe erstellen und sie verwenden, um den Zugriff der App nur auf Ihr bestimmtes Postfach einzuschränken. Dies implementiert das Prinzip der minimalen Berechtigungen, sodass die App nur auf das zugreifen kann, was absolut notwendig ist.

Erstellung der erforderlichen Mail-Sicherheitsgruppe

1. Melden Sie sich im Microsoft 365 Admin Center an:
   Gehen Sie zu admin.microsoft.com und melden Sie sich mit Ihrem Administratorkonto an.

2. Erstellen Sie eine Sicherheitsgruppe:

• Navigieren Sie zu "Gruppen" > "Aktive Gruppen"
• Klicken Sie auf "Gruppe hinzufügen"
• Wählen Sie "Sicherheit" als Gruppentyp aus und klicken Sie auf "Weiter"
• Geben Sie einen Namen (z. B. "Nur Noreply-Zugriff") und eine Beschreibung ein
• Fügen Sie das Konto noreply@yourdomain.com als Mitglied hinzu
• Klicken Sie auf "Weiter" und dann auf "Gruppe erstellen"

Anwenden von Zugriffsbeschränkungen

1. Öffnen Sie PowerShell:
   Führen Sie PowerShell als Administrator auf Ihrem PC aus.

2. Verbinden Sie sich mit Exchange Online:
   Installieren Sie das ExchangeOnlineManagement-Modul (falls noch nicht installiert) und verbinden Sie sich dann:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Zum Beispiel: admin@yourdomain.com

3. Erstellen Sie die Anwendungszugriffsrichtlinie:
   Führen Sie den folgenden Befehl aus. Ersetzen Sie <YOUR-SECURITY-GROUP-EMAIL> durch die tatsächliche E-Mail-Adresse oder Objekt-ID Ihrer Sicherheitsgruppe:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Zugriff der App nur auf das Noreply-Postfach einschränken"

4. Überprüfen Sie die Richtlinie:
   Testen Sie, ob die Richtlinie funktioniert, indem Sie Folgendes ausführen (ersetzen Sie durch Ihre tatsächliche Noreply-E-Mail-Adresse):

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Sicherheitsüberlegungen

• Datenisolierung: Der in Ihrem Mandanten erstellte Dienstprinzipal stellt sicher, dass die App nur Zugang hat, wie es die Richtlinie erlaubt.
• Minimale Berechtigungen: Die App verlangt nur die Berechtigung Mail.Send und ist weiter auf ein einzelnes Postfach eingeschränkt.
• Überwachung: Wir empfehlen regelmäßige Überprüfungen Ihres Dienstprinzipals und der Anwendungszugriffsrichtlinie.

Zusätzliche Informationen & Ressourcen

Häufige Probleme:

Zustimmungsfehler:

• Überprüfen Sie die Berechtigungen des Administratorkontos unter Microsoft Entra-Rollen
• Überprüfen Sie den Fehlerbehebungsleitfaden zur Zustimmung
• Stellen Sie sicher, dass die URL korrekt konstruiert ist

PowerShell-Fehler:

• Überprüfen Sie, ob das ExchangeOnlineManagement-Modul installiert und auf dem neuesten Stand ist.
• Stellen Sie sicher, dass Ihre Administratorkenntnisse ausreichende Berechtigungen haben.

Richtlinienüberprüfung:

• Verwenden Sie Test-ApplicationAccessPolicy, um die Zugriffsbeschränkungen zu überprüfen
• Überprüfen Sie die Dokumentation zur Anwendungszugriffsrichtlinie