Die SMTP-Verbindung zu Office 365 konfigurieren

Dieses Thema enthält Anweisungen dazu, wie Sie den Therefore™-Server so konfigurieren können, dass er Office365 zum Senden von E-Mails verwendet.

Eine registrierte Sendmail-App in Microsoft Entra ID erstellen

In dieser Anleitung registrieren Sie eine App in Microsoft Entra ID und gewähren ihr Berechtigungen für den Zugriff auf bestimmte APIs. Spezifisch sind dies API-Berechtigungen für den Zugriff auf Exchange, die Therefore™ gestatten, E-Mails zu senden.

Nach der Registrierung Ihrer App erhalten Sie zusammen mit anderen Einstellungen eine ID zur Identifikation Ihrer App. Diese Einstellungen werden in Ihrer App benötigt und sie dienen dazu, die Berechtigung zum Senden von E-Mails zu prüfen.

Voraussetzungen:

  • Zugriff auf das Microsoft Azure Portal für Ihren Mandanten.

  • Ein Konto mit Berechtigungen zum Ändern von Einstellungen in Ihrem Mandanten (globale Administratorrechte).

Azure-Konfiguration

  1. Öffnen Sie einen Webbrowser, navigieren Sie zum Microsoft Azure Portal (https://portal.azure.com/) und melden Sie sich an.

  2. Navigieren Sie auf der linken Seite zu "Enterprise Applications" und klicken Sie auf "New Application".

  3. Geben Sie Ihrer Anwendung einen Namen, wählen Sie "Non-Gallery" als Typ aus und klicken Sie auf "Create".

  4. Notieren Sie sich die "Application-ID" für Ihre Anwendung.

  5. Klicken Sie unter "Security" auf die Registerkarte "Permissions" und dann auf den Link "App Registrations", um zur API-Berechtigungsseite zu gelangen.

  6. Klicken Sie auf "Add permission" und wählen Sie "Microsoft Graph".

  7. Wählen Sie "Application Permissions" und geben Sie "Mail.Send" ein, um die Berechtigung hinzuzufügen.

    Hinweis:

    Dadurch kann die Anwendung E-Mails als eine beliebige Mailbox auf Ihrem Mandanten senden. Nach dieser Anleitung finden Sie Schritte, um dies auf eine bestimmte Gruppe zu beschränken.

  8. Klicken Sie auf "Certificates and Secrets", fügen Sie einen neuen Client-Geheimschlüssel hinzu und kopieren Sie den Inhalt in der Spalte "Value". Bewahren Sie diesen Wert sicher auf – Sie werden ihn später benötigen.

Anwendungsberechtigungen beschränken

Die beste Methode, um die Berechtigungen der Mail.Send-Anwendung einzuschränken, ist, eine Anwendungszugriffsrichtlinie zu konfigurieren. Diese Richtlinie tut Folgendes:

  • Definiert das Gewähren oder Verweigern des Zugriffs

  • Deckt eine oder mehrere Microsoft Entra ID-Anwendungen ab

  • Gilt für Exchange-Webdienste und Microsoft Graph API-Aufrufe an Mailboxen für Mitglieder einer E-Mail-fähigen Sicherheitsgruppe oder an einzelne Benutzer

Nachdem diese Richtlinie konfiguriert wurde, empfehlen wir, sie auf eine E-Mail-fähige Sicherheitsgruppe anzuwenden und den Benutzerzugriff zu beschränken, indem Sie Benutzer zu dieser Gruppe hinzufügen bzw. aus ihr entfernen.

  1. Erstellen Sie Ihre E-Mail-fähige Sicherheitsgruppe. Dieser Prozess kann je nach Ihrer Umgebung unterschiedlich sein.

  2. Fügen Sie die gewünschten Mailboxen zu der neu erstellten Sicherheitsgruppe hinzu. Die Sendmail-Anwendung kann E-Mails als als eine beliebige Mailbox in dieser Gruppe senden.

  3. Richten Sie eine Verbindung zu Exchange Online PowerShell ein. Dazu wird das Exchange Online PowerShell-Modul benötigt. Nähere Informationen zum diesem Modul finden Sie über den folgenden Link:
    Learn Microsoft - About the Exchange Online PowerShell module

    Kopieren 
    Connect-ExchangeOnline -UserPrincipalName exchangeadmin@onmicrosoft.yourdomain.com

  4. Als Nächstes müssen Sie Ihre Anwendungszugriffsrichtlinie hinzufügen.

    Kopieren 
    New-ApplicationAccessPolicy -AppId XXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX -PolicyScopeGroupId SendMailPowershell@tictactech.net -AccessRight RestrictAccess -Description "Restrict access to app allowed to send e-mail using the Graph SendMail API"

    Diese Richtlinie gilt nur für "AppId" (abgerufen aus der Registerkarte "Overview" unter "Enterprise Applications"). Sie gewährt Zugriff nur auf Mailboxen, die Mitglieder der SendMailPowershell-Sicherheitsgruppe sind. Wenn Sie versuchen, als eine andere Mailbox zu senden, liefert die Sendmail-API einen Fehler 403 zurück.

  5. Testen Sie die Anwendungszugriffsrichtlinie mit dem folgenden Befehl:

    Kopieren 
    Test-ApplicationAccessPolicy -Identity user1@tictactech.net -AppId XXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Therefore™-Konfiguration

  1. Rufen Sie das Dialogfeld "Allgemeine Einstellungen" auf, indem Sie im Therefore™ Solution Designer auf den Therefore™-Hauptknoten klicken und "Einstellungen" wählen.

  2. Richten Sie den Wert für "Mandant" ein. Sie können den Mandantennamen einer Entra-ID-Domäne entweder über das Azure Portal oder über PowerShell finden.
    Das Azure-Portal verwenden:

    1. Melden Sie sich mit Ihrem Administratorkonto beim Azure-Portal an.

    2. Navigieren Sie zu Microsoft Entra ID.

    3. Suchen Sie Ihre Mandanteninformationen auf der Seite "Overview". Auf dieser Seite sehen Sie Ihre "Tenant ID" (Mandanten-ID) und Ihre "Primary Domain" (Primärdomäne). Der Mandantenname ist der Domänenname, der in Ihrer Microsoft Entra-ID verwendet wird.

    PowerShell verwenden:

    1. Installieren Sie das Microsoft Entra ID-Modul und richten Sie eine Verbindung zu diesem ein, indem Sie die folgenden Befehle ausführen:

      Kopieren 
      Install-Module AzureAD
      Connect-AzureAD

    2. Rufen Sie den Mandantennamen ab, indem Sie den folgenden Befehl ausführen, nachdem die Verbindung eingerichtet wurde:

      Kopieren 
      Get-AzureADTenantDetail

    Die Ausgabe enthält den Namen der Mandantendomäne.

  3. Richten Sie den Wert für "User/E-mail" ein. Verwenden Sie die E-Mail-Adresse eines Benutzers aus der Microsoft Entra ID-Domäne, der zum Senden von E-Mails berechtigt ist.

  4. Richten Sie den Wert für "Client ID" ein. Dies ist die Anwendungs-ID aus Schritt 4 des Abschnitts zur Azure-Konfiguration in dieser Anleitung.

  5. Richten Sie den Wert für "Client Secret" ein. Dies ist der Wert, den Sie in Schritt 8 des Abschnitts zur Azure-Konfiguration in dieser Anleitung notiert haben.