Disclaimer

The mentioned functionalities may be restricted depending on the purchased software license.

Configuration de l'API Microsoft Graph pour l'envoi d'e-mails

Ce guide explique comment accorder le consentement de l'administrateur de votre organisation à notre application d'envoi d'e-mails multi-tenant et restreindre son accès afin qu'elle ne puisse envoyer des e-mails qu'à partir d'une boîte aux lettres désignée (par exemple, noreply@yourdomain.com). Même si vous avez une expérience informatique limitée, les instructions détaillées et les prérequis fournis ici vous aideront à compléter la configuration en utilisant des outils installés sur votre PC.

Note :
Si vous avez besoin d'assistance, veuillez créer un ticket de support à eniris.io/support.

Table des matières

• Aperçu
• Pré-requis
• Étape 1 : Accorder le consentement de l'administrateur
• Étape 2 : Capturer les détails de votre locataire
• Étape 3 : Configurer les restrictions d'accès
• Informations et ressources supplémentaires
• Dépannage

Aperçu

Notre application d'envoi d'e-mails utilise l'API Microsoft Graph avec des autorisations d'application pour envoyer des e-mails à partir d'une boîte aux lettres désignée. Pour activer cette fonctionnalité, votre administrateur doit :

1. Accorder le consentement au niveau du locataire à l'application.
2. Nous fournir le nom de votre domaine, l'ID de locataire et l'adresse e-mail que vous souhaitez utiliser (par exemple, noreply@yourdomain.com).

Ces détails peuvent être trouvés dans l'aperçu de votre locataire à Microsoft Entra.

Pré-requis

Avant de commencer, veuillez vous assurer d'avoir ce qui suit :

• Identifiants Admin : Vous devez avoir des droits d'administrateur global pour votre locataire Microsoft 365.
• Accès à Microsoft Entra : Vous aurez besoin de consulter les détails de votre locataire à Microsoft Entra.
• PowerShell sur votre PC :
  • Windows PowerShell ou PowerShell Core.
  • Installez le module ExchangeOnlineManagement en exécutant :

    Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

• Connaissances de base : Familiarité avec la copie et le collage de commandes dans PowerShell. Ne vous inquiétez pas si vous êtes débutant, les étapes ci-dessous sont détaillées et simples.

Étape 1 : Accorder le consentement de l'administrateur

1. Construire l'URL de consentement de l'administrateur :
   Utilisez le format d'URL suivant. Remplacez <YOUR-DOMAIN-NAME> par votre véritable nom de domaine (par exemple, si votre domaine est "contoso.com", utilisez cela) :

   https://login.microsoftonline.com/<YOUR-DOMAIN-NAME>/adminconsent?client_id=03126c25-5828-4b2e-aa6d-d97380cb1cb5&redirect_uri=https://eniris.io

2. Visitez l'URL :
   Demandez à votre administrateur global Microsoft 365 de se connecter à son navigateur et de naviguer vers l'URL. Il verra un dialogue de consentement listant les autorisations que notre application demande (par exemple, Mail.Send).

3. Accorder le consentement :
   L'administrateur doit cliquer sur "Accepter" pour accorder le consentement. Cette action créera un principal de service pour notre application dans votre locataire et lui permettra d'envoyer des e-mails.

4. Nous notifier :
   Après avoir accordé le consentement, veuillez créer un ticket à eniris.io/support avec les détails suivants :

• Votre nom de domaine.
• Votre ID de locataire (trouvé à Microsoft Entra Tenant Overview).
• L'adresse e-mail que vous souhaitez utiliser pour l'envoi des mails (par exemple, noreply@yourdomain.com).

Étape 2 : Capturer les détails de votre locataire

Notre processus d'onboarding capturera automatiquement votre ID de locataire lorsque l'administrateur accordera le consentement. Cependant, si vous devez vérifier cela manuellement, vous pouvez :

• Vous connecter à Microsoft Entra.
• Copier votre ID de locataire à partir de la page d'aperçu du locataire.

Étape 3 : Configurer les restrictions d'accès

Pour des pratiques de sécurité optimales, nous allons créer un groupe de sécurité dédié et l'utiliser pour restreindre l'accès de l'application uniquement à votre boîte aux lettres désignée. Cela met en œuvre le principe du moindre privilège, garantissant que l'application ne peut accéder qu'à ce qui est absolument nécessaire.

Création du groupe de sécurité nécessaire

1. Se connecter au Centre d'administration Microsoft 365 :
   Allez sur admin.microsoft.com et connectez-vous avec votre compte administrateur.

2. Créer un groupe de sécurité :

• Accédez à "Groupes" > "Groupes actifs"
• Cliquez sur "Ajouter un groupe"
• Sélectionnez "Sécurité" comme type de groupe et cliquez sur "Suivant"
• Entrez un nom (par exemple, "Accès Noreply seulement") et une description
• Ajoutez le compte noreply@yourdomain.com en tant que membre
• Cliquez sur "Suivant" puis "Créer le groupe"

Application des restrictions d'accès

1. Ouvrir PowerShell :
   Exécutez PowerShell en tant qu'administrateur sur votre PC.

2. Connectez-vous à Exchange Online :
   Installez le module ExchangeOnlineManagement (s'il n'est pas déjà installé) puis connectez-vous :

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
   Connect-ExchangeOnline -UserPrincipalName "<YOUR-ADMIN-EMAIL>"  # Par exemple : admin@yourdomain.com

3. Créer la politique d'accès à l'application :
   Exécutez la commande suivante. Remplacez <YOUR-SECURITY-GROUP-EMAIL> par l'adresse e-mail réelle ou l'ID d'objet de votre groupe de sécurité :

   New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5" -PolicyScopeGroupId "<YOUR-SECURITY-GROUP-EMAIL>" -Description "Restreindre l'accès de l'application à la boîte aux lettres noreply uniquement"

4. Vérifier la politique :
   Testez que la politique fonctionne en exécutant (remplacez par votre adresse e-mail noreply réelle) :

   Test-ApplicationAccessPolicy -Identity "<YOUR-NOREPLY-EMAIL>" -AppId "03126c25-5828-4b2e-aa6d-d97380cb1cb5"

Considérations de sécurité

• Isolation des données : Le principal de service créé dans votre locataire garantit que l'application n'a accès qu'auquel elle a droit selon la politique.
• Moins de privilèges : L'application demande uniquement l'autorisation Mail.Send et est de plus restreinte à une seule boîte aux lettres.
• Audit : Nous recommandons des examens périodiques de votre principal de service et de la politique d'accès à l'application.

Informations et ressources supplémentaires

Problèmes courants :

Erreurs de consentement :

• Vérifiez les autorisations du compte administrateur sur les rôles Microsoft Entra
• Consultez le guide de dépannage de consentement
• Assurez-vous que l'URL est correctement construite

Erreurs PowerShell :

• Vérifiez que le module ExchangeOnlineManagement est installé et à jour
• Vérifiez que vos identifiants administratifs ont les autorisations suffisantes

Vérification de la politique :

• Utilisez Test-ApplicationAccessPolicy pour vérifier les restrictions d'accès
• Consultez la documentation de la politique d'accès à l'application