Configuration d'une connexion SMTP à Office 365

Cet article décrit la procédure de configuration de Therefore™ Server pour envoyer des e-mails via Office 365.

Création d'une application Sendmail inscrite dans Microsoft Entra ID

Dans ce didacticiel, vous allez inscrire une application dans Microsoft Entra ID et vous lui accorderez les permissions requises pour accéder à certaines API. Vous définirez en particulier les permissions API requises pour accéder à Exchange afin de permettre à Therefore™ d'envoyer des e-mails.

Une fois l'application inscrite, vous disposerez d'un ID pour l'identifier, ainsi que d'autres paramètres. Ces paramètres sont requis dans votre application et seront utilisés pour vérifier si elle est autorisée à envoyer des e-mails.

Conditions préalables :

  • Votre locataire doit pouvoir accéder au portail Microsoft Azure.

  • Vous devez disposer d'un compte doté des permissions appropriées pour modifier les paramètres dans votre locataire (privilèges Administrateur global).

Configuration d'Azure

  1. Ouvrez un navigateur Web, accédez au portail Microsoft Azure (https://portal.azure.com/) et connectez-vous.

  2. Sur le côté gauche, accédez à « Applications d'entreprise » et cliquez sur « Nouvelle application ».

  3. Assignez un nom à votre application, sélectionnez le type hors galerie et cliquez sur « Créer ».

  4. Prenez note de l'ID de votre application.

  5. Cliquez sur l'onglet « Autorisations » sous « Sécurité », puis cliquez sur le lien « Inscriptions d'applications » pour accéder à la page Autorisations de l'API.

  6. Cliquez sur « Ajouter une autorisation » et sélectionnez « Microsoft Graph ».

  7. Sélectionnez « Autorisations de l’application », entrez « Mail.Send » et ajoutez la permission.

    Remarque :

    Votre application est ainsi autorisée à envoyer du courrier en tant que n'importe quelle boîte aux lettres dans votre locataire. Dans le didacticiel ci-dessous, vous apprendrez à limiter ce droit à un groupe spécifique d'utilisateurs.

  8. Cliquez sur « Certificats et secrets », ajoutez un nouveau secret client et copiez-le dans la colonne « Valeur ». Vous aurez besoin de cette valeur tout à l'heure, placez-la donc dans un endroit sûr.

Restriction des permissions de l’application

La meilleure façon de restreindre les permissions de l'application Mail.send consiste à configurer une stratégie d'accès aux applications. Le rôle de cette stratégie est le suivant :

  • Il permet de « refuser » ou d'« autoriser » l'accès.

  • Il s'applique à une ou plusieurs applications « Microsoft Entra ID ».

  • Il s'applique aux appels API émanant des services Web Exchange et de Microsoft Graph et destinés aux boîtes aux lettres des membres d'un groupe de sécurité à extension messagerie ou d'utilisateurs individuels.

Une fois cette stratégie configurée, nous vous recommandons de l'appliquer à un groupe de sécurité à extension messagerie et de contrôler l'accès des utilisateurs en les ajoutant ou en les supprimant du groupe.

  1. Créez votre groupe de sécurité à extension messagerie. Ce processus varie selon votre environnement.

  2. Ajoutez les boîtes aux lettres appropriées au nouveau groupe de sécurité créé. L'application « Sendmail » pourra envoyer du courrier en tant que n'importe quelle boîte aux lettres du groupe.

  3. Connectez-vous à Exchange Online PowerShell. À cet effet, vous devez disposer du module Exchange Online PowerShell. Pour plus d'informations sur ce module, cliquez sur le lien ci-dessous :
    Learn Microsoft - About the Exchange Online PowerShell module

    Copier 
    Connect-ExchangeOnline -UserPrincipalName exchangeadmin@onmicrosoft.yourdomain.com

  4. Vous devez ensuite ajouter votre stratégie d'accès aux applications.

    Copier 
    New-ApplicationAccessPolicy -AppId XXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX -PolicyScopeGroupId SendMailPowershell@tictactech.net -AccessRight RestrictAccess -Description "Restrict access to app allowed to send e-mail using the Graph SendMail API"

    Cette stratégie s'applique uniquement à « AppId » (extrait de l'onglet « Vue d'ensemble » sous les applications d'entreprise). Elle permet d'accéder uniquement aux boîtes aux lettres des membres du groupe de sécurité « SendMailPowershell ». Si vous tentez d'envoyer du courrier en tant que n'importe quelle autre boîte aux lettres, l'API de « SendMail » renvoie une erreur 403.

  5. Testez la stratégie d'accès aux applications à l'aide de la commande suivante :

    Copier 
    Test-ApplicationAccessPolicy -Identity user1@tictactech.net -AppId XXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Configuration de Therefore™

  1. Accédez à la boîte de dialogue Paramètres généraux. Pour ce faire, cliquez avec le bouton droit de la souris sur le nœud Therefore™ principal dans Therefore™ Solution Designer et sélectionnez « Paramètres ».

  2. Définissez la valeur de « Locataire ». Vous trouverez le nom de locataire d'un domaine Entra ID à l'aide du portail Azure Portal ou de PowerShell.
    Utilisation du portail Azure :

    1. Connectez-vous au portail Azure avec votre compte administrateur.

    2. Accédez à Microsoft Entra ID.

    3. Recherchez les informations relatives à votre locataire sur la page « Vue d'ensemble ». Elle contient votre ID de locataire et le domaine principal. Le nom du locataire correspond au nom de domaine utilisé dans votre Microsoft Entra ID.

    Utilisation de PowerShell :

    1. Installez le module Microsoft Entra ID et connectez-vous à ce dernier en exécutant les commandes suivantes :

      Copier 
      Install-Module AzureAD
      Connect-AzureAD

    2. Une fois connecté(e), récupérez le nom du locataire en exécutant la commande suivante :

      Copier 
      Get-AzureADTenantDetail

    La sortie comprend le nom de domaine du locataire.

  3. Définissez la valeur d'« Utilisateur/adresse e-mail » : entrez l'adresse e-mail d'un utilisateur issu du domaine Microsoft Entra ID qui est autorisé à envoyer des e-mails.

  4. Définissez la valeur d'« ID du client » : il s'agit de l'ID d'application généré dans le cadre de l'étape 4 de la section Configuration d'Azure de ce didacticiel.

  5. Définissez la valeur de « Secret du client » : il s'agit de la valeur dont vous avez pris note dans le cadre de l'étape 8 de la section Configuration d'Azure de ce didacticiel).