Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuration de l'API Microsoft Graph pour l'envoi de mails

Ce guide explique comment accorder le consentement de l'administrateur de votre organisation à notre application d'envoi de mails multi-locataire et restreindre son accès afin qu'elle ne puisse envoyer des e-mails que depuis une boîte aux lettres désignée (par exemple, noreply@yourdomain.com). Même si vous avez une expérience informatique limitée, les instructions étape par étape et les prérequis fournis ici vous aideront à compléter la configuration à l'aide des outils installés sur votre PC.

Remarque :
Si vous avez besoin d'assistance, veuillez créer un ticket de support sur eniris.io/support.

Table des matières

• Aperçu
• Prérequis
• Étape 1 : Accorder le consentement de l'administrateur
• Étape 2 : Capture des détails de votre locataire
• Étape 3 : Configuration des restrictions d'accès
• Informations et ressources supplémentaires
• Dépannage

Aperçu

Notre application d'envoi de mails utilise l'API Microsoft Graph avec des autorisations d'application pour envoyer des e-mails depuis une boîte aux lettres désignée. Pour activer cette fonctionnalité, votre administrateur doit :

1. Accorder le consentement à l'échelle du locataire pour l'application.
2. Nous fournir votre nom de domaine, l'ID de locataire et l'adresse e-mail que vous souhaitez utiliser (par exemple, noreply@yourdomain.com).

Ces détails peuvent être trouvés dans l’aperçu de votre locataire sur Microsoft Entra.

Prérequis

Avant de commencer, veuillez vous assurer que vous avez ce qui suit :

• Identifiants Administratifs : Vous devez avoir des droits d'Administrateur Global pour votre locataire Microsoft 365.
• Accès à Microsoft Entra : Vous devrez visualiser les détails de votre locataire sur Microsoft Entra.
• PowerShell sur votre PC :
  • Windows PowerShell ou PowerShell Core.
  • Installez le module ExchangeOnlineManagement en exécutant :

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Connaissances de base : Familiarité avec le copier-coller de commandes dans PowerShell. Ne vous inquiétez pas si vous êtes débutant - les étapes ci-dessous sont détaillées et simples.

Étape 1 : Accorder le consentement de l'administrateur

1. Construire l'URL de consentement de l'administrateur :
   Utilisez le format d'URL suivant. Remplacez <YOUR-DOMAIN-NAME> par votre véritable nom de domaine (par exemple, si votre domaine est "contoso.com", utilisez-le) :

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visiter l'URL :
   Demandez à votre administrateur global de Microsoft 365 de se connecter à son navigateur et de naviguer vers l'URL. Il verra une boîte de dialogue de consentement listant les autorisations demandées par notre application (par exemple, Mail.Send).

3. Accorder le consentement :
   L'administrateur doit cliquer sur "Accepter" pour accorder le consentement. Cette action créera un principal de service pour notre application dans votre locataire et permettra l'envoi d'e-mails.

4. Nous notifier :
   Après avoir accordé le consentement, veuillez créer un ticket eniris.io/support avec les détails suivants :

• Votre nom de domaine.
• L'ID de votre locataire (trouvé sur Microsoft Entra Tenant Overview).
• L'adresse e-mail que vous souhaitez utiliser pour envoyer des mails (par exemple, noreply@yourdomain.com).

Étape 2 : Capture des détails de votre locataire

Notre processus d'intégration capturera automatiquement votre ID de locataire lorsque l'administrateur accordera le consentement. Cependant, si vous devez le vérifier manuellement, vous pouvez :

• Vous connecter à Microsoft Entra.
• Copier votre ID de locataire depuis la page d'aperçu du locataire.

Étape 3 : Configuration des restrictions d'accès

Pour des pratiques de sécurité optimales, nous créerons un groupe de sécurité dédié et l'utiliserons pour restreindre l'accès de l'application uniquement à votre boîte aux lettres désignée. Cela applique le principe du moindre privilège, garantissant que l'application ne peut accéder qu'à ce qui est absolument nécessaire.

Création du groupe de sécurité requis pour les mails

1. Connectez-vous au Centre d'administration Microsoft 365 :
   Allez sur admin.microsoft.com et connectez-vous avec votre compte administrateur.

2. Créer un groupe de sécurité :

• Naviguez vers "Groupes" > "Groupes actifs"
• Cliquez sur "Ajouter un groupe"
• Sélectionnez "Sécurité" comme type de groupe et cliquez sur "Suivant"
• Entrez un nom (par exemple, "Accès Noreply uniquement") et une description
• Ajoutez le compte noreply@yourdomain.com en tant que membre
• Cliquez sur "Suivant" puis sur "Créer le groupe"

Application des restrictions d'accès

1. Ouvrez PowerShell :
   Exécutez PowerShell en tant qu'administrateur sur votre PC.

2. Connectez-vous à Exchange Online :
   Installez le module ExchangeOnlineManagement (si non déjà installé) puis connectez-vous :

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Par exemple : admin@yourdomain.com

3. Créez la politique d'accès à l'application :
   Exécutez la commande suivante. Remplacez <YOUR-SECURITY-GROUP-EMAIL> par l'adresse e-mail réelle ou l'ID de l'objet de votre groupe de sécurité :

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restreindre l'accès de l'application à la boîte aux lettres noreply uniquement"

4. Vérifiez la politique :
   Testez que la politique fonctionne en exécutant (remplacez par votre véritable adresse e-mail noreply) :

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considérations de sécurité

• Isolation des données : Le principal de service créé dans votre locataire garantit que l'application n'a accès qu'aux droits accordés par la politique.
• Moins de privilège : L'application ne demande que l'autorisation Mail.Send et est en outre restreinte à une seule boîte aux lettres.
• Audit : Nous recommandons des examens périodiques de votre principal de service et de la politique d'accès de l'application.

Informations et ressources supplémentaires

Problèmes courants :

Erreurs de consentement :

• Vérifiez les autorisations du compte administrateur sur Rôles Microsoft Entra
• Consultez le guide de dépannage des consentements
• Assurez-vous que l'URL est correctement construite

Erreurs PowerShell :

• Vérifiez que le module ExchangeOnlineManagement est installé et à jour
• Vérifiez que vos identifiants administratifs disposent des autorisations suffisantes

Vérification de la politique :

• Utilisez Test-ApplicationAccessPolicy pour vérifier les restrictions d'accès
• Consultez la documentation sur les politiques d'accès de l'application