Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuración de la API de Microsoft Graph para el envío de correos

Esta guía explica cómo otorgar el consentimiento del administrador de su organización a nuestra aplicación de envío de correos multi-inquilino y restringir su acceso para que solo pueda enviar correos desde un buzón designado (por ejemplo, noreply@yourdomain.com). Incluso si tiene experiencia limitada en TI, las instrucciones paso a paso y los requisitos previos proporcionados aquí le ayudarán a completar la configuración utilizando las herramientas instaladas en su PC.

Nota:
Si necesita asistencia, por favor, cree un ticket de soporte en eniris.io/support.

Tabla de Contenidos

• Descripción general
• Requisitos previos
• Paso 1: Otorgar consentimiento de administrador
• Paso 2: Capturando los detalles de su inquilino
• Paso 3: Configurando restricciones de acceso
• Información adicional y recursos
• Solución de problemas

Descripción general

Nuestra aplicación de envío de correos utiliza la API de Microsoft Graph con permisos de aplicación para enviar correos desde un buzón designado. Para habilitar esta funcionalidad, su administrador debe:

1. Otorgar consentimiento a nivel de inquilino para la aplicación.
2. Proporcionarnos el nombre de su dominio, el ID del inquilino y la dirección de correo electrónico que desea utilizar (por ejemplo, noreply@yourdomain.com).

Estos detalles se pueden encontrar en la descripción general de su inquilino en Microsoft Entra.

Requisitos previos

Antes de comenzar, asegúrese de tener lo siguiente:

• Credenciales de admin: Debe tener derechos de Administrador Global para su inquilino de Microsoft 365.
• Acceso a Microsoft Entra: Necesitará ver los detalles de su inquilino en Microsoft Entra.
• PowerShell en su PC:
  • Windows PowerShell o PowerShell Core.
  • Instale el módulo ExchangeOnlineManagement ejecutando:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Conocimientos básicos: Familiaridad con copiar y pegar comandos en PowerShell. No se preocupe si es un principiante; los pasos a continuación son detallados y sencillos.

Paso 1: Otorgar consentimiento de administrador

1. Construya la URL de consentimiento de administrador:
   Utilice el siguiente formato de URL. Reemplace <YOUR-DOMAIN-NAME> con el nombre de su dominio real (por ejemplo, si su dominio es "contoso.com", use eso):

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visite la URL:
   Haga que su administrador global de Microsoft 365 inicie sesión en su navegador y navegue a la URL. Verán un cuadro de diálogo de consentimiento que enumera los permisos que nuestra aplicación está solicitando (por ejemplo, Mail.Send).

3. Otorgar consentimiento:
   El administrador debe hacer clic en "Aceptar" para otorgar el consentimiento. Esta acción creará un principal de servicio para nuestra aplicación en su inquilino y le permitirá enviar correos.

4. Notifíquenos:
   Después de otorgar el consentimiento, cree un ticket en eniris.io/support con los siguientes detalles:

• Su nombre de dominio.
• Su ID de inquilino (encontrado en Resumen del inquilino de Microsoft Entra).
• La dirección de correo electrónico que desea utilizar para enviar correos (por ejemplo, noreply@yourdomain.com).

Paso 2: Capturando los detalles de su inquilino

Nuestro proceso de incorporación capturará automáticamente su ID de inquilino cuando el administrador otorgue el consentimiento. Sin embargo, si necesita verificar esto manualmente, puede:

• Iniciar sesión en Microsoft Entra.
• Copiar su ID de inquilino de la página de descripción general del inquilino.

Paso 3: Configurando restricciones de acceso

Para las mejores prácticas de seguridad, crearemos un grupo de seguridad dedicado y lo utilizaremos para restringir el acceso de la aplicación solo a su buzón designado. Esto implementa el principio de menor privilegio, asegurando que la aplicación solo pueda acceder a lo que es absolutamente necesario.

Creando el grupo de seguridad necesario para correos

1. Inicie sesión en el Centro de administración de Microsoft 365:
   Vaya a admin.microsoft.com e inicie sesión con su cuenta de administrador.

2. Cree un grupo de seguridad:

• Navegue a "Grupos" > "Grupos activos"
• Haga clic en "Agregar un grupo"
• Seleccione "Seguridad" como el tipo de grupo y haga clic en "Siguiente"
• Ingrese un nombre (por ejemplo, "Acceso solo a Noreply") y una descripción
• Agregue la cuenta noreply@yourdomain.com como miembro
• Haga clic en "Siguiente" y luego en "Crear grupo"

Aplicando restricciones de acceso

1. Abra PowerShell:
   Ejecute PowerShell como administrador en su PC.

2. Conéctese a Exchange Online:
   Instale el módulo ExchangeOnlineManagement (si no está ya instalado) y luego conéctese:

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Por ejemplo: admin@yourdomain.com

3. Cree la política de acceso de la aplicación:
   Ejecute el siguiente comando. Reemplace <YOUR-SECURITY-GROUP-EMAIL> con la dirección de correo electrónico real o el ID de objeto de su grupo de seguridad:

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restringir el acceso de la aplicación solo al buzón noreply"

4. Verifique la política:
   Pruebe que la política funcione ejecutando (reemplace con su dirección de correo noreply real):

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Consideraciones de seguridad

• Aislamiento de datos: El principal de servicio creado en su inquilino asegura que la aplicación solo tenga acceso según lo permitido por la política.
• Menor privilegio: La aplicación solicita solo el permiso Mail.Send y está aún más restringida a un único buzón.
• Auditoría: Recomendamos revisar periódicamente su principal de servicio y la política de acceso de la aplicación.

Información adicional y recursos

Problemas comunes:

Errores de consentimiento:

• Verifique los permisos de la cuenta de administrador en roles de Microsoft Entra
• Revise la guía de solución de problemas de consentimiento
• Asegúrese de que la URL esté construida correctamente

Errores de PowerShell:

• Verifique que el módulo ExchangeOnlineManagement esté instalado y actualizado
• Confirme que sus credenciales de administrador tengan permisos suficientes

Verificación de políticas:

• Use Test-ApplicationAccessPolicy para verificar restricciones de acceso
• Revise la documentación de la política de acceso de la aplicación