Passa al contenuto principale
Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configurazione dell'API Microsoft Graph per l'invio di posta

Questa guida spiega come concedere il consenso dell'amministratore della tua organizzazione alla nostra app di invio e-mail multi-tenant e come limitare il suo accesso in modo che possa inviare e-mail solo da un casella di posta designata (ad esempio, noreply@yourdomain.com). Anche se hai esperienza limitata in IT, le istruzioni passo-passo e i prerequisiti forniti qui ti aiuteranno a completare la configurazione utilizzando strumenti installati sul tuo PC.

Nota:
Se hai bisogno di assistenza, ti preghiamo di creare un ticket di supporto su eniris.io/support.

Indice

Panoramica

La nostra app di invio e-mail utilizza l'API Microsoft Graph con autorizzazioni dell'app per inviare e-mail da una casella di posta designata. Per abilitare questa funzionalità, il tuo amministratore deve:

  1. Concedere il consenso a livello di tenant all'app.
  2. Fornirci il nome del tuo dominio, l'ID del tenant e l'indirizzo e-mail che desideri utilizzare (ad esempio, noreply@yourdomain.com).

Questi dettagli possono essere trovati nella panoramica del tuo tenant su Microsoft Entra.

Prerequisiti

Prima di iniziare, assicurati di avere quanto segue:

  • Credenziali di amministratore: Devi avere diritti di Amministratore Globale per il tuo tenant Microsoft 365.
  • Accesso a Microsoft Entra: Avrai bisogno di visualizzare i dettagli del tuo tenant su Microsoft Entra.
  • PowerShell sul tuo PC:
  • Conoscenze di base: Familiarità con la copia e l'incolla di comandi in PowerShell. Non preoccuparti se sei un principiante: i passaggi seguenti sono dettagliati e chiari.

Passo 1: Concessione del consenso dell'amministratore

  1. Costruisci l'URL per il consenso dell'amministratore:
    Usa il seguente formato URL. Sostituisci <YOUR-DOMAIN-NAME> con il tuo vero nome di dominio (ad esempio, se il tuo dominio è "contoso.com", usa quello):

    https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

  2. Visita l'URL:
    Fai accedere l'amministratore globale di Microsoft 365 nel proprio browser e naviga all'URL. Vedrà una finestra di consenso che elenca le autorizzazioni richieste dalla nostra app (ad esempio, Mail.Send).

  3. Concedi il consenso:
    L'amministratore dovrebbe fare clic su "Accetta" per concedere il consenso. Questa azione creerà un principal di servizio per la nostra app nel tuo tenant e le permetterà di inviare e-mail.

  4. Notificaci:
    Dopo aver concesso il consenso, ti preghiamo di creare un ticket su eniris.io/support con i seguenti dettagli:

  • Il nome del tuo dominio.
  • Il tuo ID del tenant (trovato su Microsoft Entra Tenant Overview).
  • L'indirizzo e-mail che desideri utilizzare per inviare le e-mail (ad esempio, noreply@yourdomain.com).

Passo 2: Acquisizione dei dettagli del tuo tenant

Il nostro processo di onboarding acquisirà automaticamente il tuo ID tenant quando l'amministratore concede il consenso. Tuttavia, se hai bisogno di verificare manualmente questo, puoi:

  • Accedere a Microsoft Entra.
  • Copia il tuo ID Tenant dalla pagina di panoramica del Tenant.

Passo 3: Configurazione delle restrizioni di accesso

Per le migliori pratiche di sicurezza, creeremo un gruppo di sicurezza dedicato e lo utilizzeremo per limitare l'accesso dell'app solo alla tua casella di posta designata. Questo implementa il principio del minor privilegio, garantendo che l'app possa accedere solo a ciò che è assolutamente necessario.

Creazione del Gruppo di Sicurezza per la Posta Necessario

  1. Accedi al Centro Amministrativo di Microsoft 365:
    Vai su admin.microsoft.com e accedi con il tuo account amministratore.

  2. Crea un Gruppo di Sicurezza:

  • Naviga su "Gruppi" > "Gruppi attivi"
  • Fai clic su "Aggiungi un gruppo"
  • Seleziona "Sicurezza" come tipo di gruppo e fai clic su "Avanti"
  • Inserisci un nome (ad esempio, "Accesso Solo Noreply") e una descrizione
  • Aggiungi l'account noreply@yourdomain.com come membro
  • Fai clic su "Avanti" e poi su "Crea gruppo"

Applicazione delle Restrizioni di Accesso

  1. Apri PowerShell:
    Esegui PowerShell come amministratore sul tuo PC.

  2. Collegati a Exchange Online:
    Installa il modulo ExchangeOnlineManagement (se non è già installato) e poi collegati:

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
    Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Ad esempio: admin@yourdomain.com

  3. Crea la Policy di Accesso all'App:
    Esegui il seguente comando. Sostituisci <YOUR-SECURITY-GROUP-EMAIL> con l'indirizzo e-mail reale o l'ID Oggetto del tuo gruppo di sicurezza:

    New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restrict app access to the noreply mailbox only"

  4. Verifica la Policy:
    Testa che la policy funzioni eseguendo (sostituisci con il tuo vero indirizzo e-mail noreply):

    Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considerazioni di Sicurezza

  • Isolamento dei Dati: Il principal di servizio creato nel tuo tenant assicura che l'app abbia accesso solo come consentito dalla policy.
  • Minor Privilegio: L'app richiede solo l'autorizzazione Mail.Send ed è ulteriormente limitata a una singola casella di posta.
  • Auditing: Raccomandiamo revisioni periodiche del tuo principal di servizio e della Policy di Accesso all'Applicazione.

Informazioni aggiuntive e risorse

Problemi Comuni:

Errori di Consenso:

Errori di PowerShell:

  • Controlla che il modulo ExchangeOnlineManagement sia installato e aggiornato
  • Verifica che le tue credenziali di amministratore abbiano autorizzazioni sufficienti

Verifica della Policy: