Konfiguracja poczty przychodzącej usługi Office 365 z użyciem protokołu OAuth2

Przychodzącą pocztę e-mail można obsługiwać za pomocą programu Microsoft Office 365 z użyciem protokołu OAuth2 środowiska Microsoft Graph. Należy w tym celu utworzyć rejestrację aplikacji w środowisku Microsoft Graph w usłudze Office 365, ograniczyć dostęp do poczty, a następnie skonfigurować skrzynkę pocztową systemu Service Desk.

Szczegółowe informacje na temat konfigurowania skrzynki pocztowej z użyciem protokołu IMAP4 zawiera sekcja Konfigurowanie skrzynki pocztowej dla każdego odwzorowania.

Pierwszym etapem jest utworzenie rejestracji aplikacji przychodzącej Ivanti Service Desk na platformie Azure.

Aby utworzyć rejestrację aplikacji:

  1. Zaloguj się na stronie https://portal.office.com jako administrator i otwórz skrót Administracja.
  2. W Centrum administracyjnym Microsoft 365 otwórz konto Azure Active Directory skojarzone z Twoim dzierżawcą usługi Office 365.
  3. Zarejestruj nową aplikację z jednym dzierżawcą.
    Teraz należy zmienić niektóre uprawnienia do interfejsu API.
  4. Usuń delegowane uprawnienia odczytu użytkownika.
  5. WAŻNE: Dodaj uprawnienie Aplikacja (dotyczące dostępu do danych Microsoft Graph) jako Mail.ReadWrite i wyraź zgodę administratora.
    To powoduje, że aplikacja mająca zgodę administratora uzyskuje uprawnienia do użycia interfejsu Microsoft Graph API w celu odczytu i zapisu wiadomości e-mail we wszystkich skrzynkach pocztowych dzierżawcy usługi Office 365. Zostaną one ograniczone w następnym etapie.
    Zastosowano Mail.ReadWrite

Po zarejestrowaniu aplikacji przychodzącej Ivanti Service Desk należy ograniczyć dostęp do poczty w taki sposób, aby aplikacja Azure mogła korzystać z tylko jednej skrzynki pocztowej.

Więcej informacji można znaleźć w sekcji Ograniczanie uprawnień aplikacji do określonych skrzynek pocztowych usługi Exchange Online w witrynie Microsoft Docs (otwiera się w nowej karcie).

Aby ograniczyć dostęp do skrzynki pocztowej:
  1. Zaloguj się na stronie https://portal.office.com jako administrator.
  2. Utwórz nową grupę zabezpieczeń z włączoną obsługą poczty e-mail.
  3. Dodaj członka do grupy.
    Jest to pojedynczy użytkownik odpowiadający skrzynce poczty przychodzącej w systemie Service Desk.
    Następnym etapem jest powiązanie tej grupy z rejestracją aplikacji na platformie Azure przez połączenie z usługą Exchange Online za pomocą wywołania polecenia New-ApplicationAccessPolicy w programie PowerShell.
  4. Zainstaluj moduł Exchange Online PowerShell.
    Patrz artykuł Łączenie z powłoką PowerShell usługi Exchange Online w witrynie Microsoft Docs (otwiera się w nowej karcie).
  5. Połącz się z modułem Exchange Online PowerShell za pomocą MFA.
  6. Skonfiguruj zasadę ApplicationAccessPolicy w taki sposób, aby łączyła grupę z aplikacją Azure.
    Jeśli używasz polecenia New-ApplicationAccessPolicy powłoki PowerShell, opisanego w artykule Ograniczanie uprawnień aplikacji do określonych skrzynek pocztowych usługi Exchange Online w witrynie Microsoft Docs (otwiera się w nowej karcie), parametr AppId to Twój identyfikator aplikacji Azure (znany również jako ID klienta), a parametr PolicyScopeGroupId to adres e-mail grupy bezpieczeństwa obsługującej pocztę, którą utworzyłeś.
  7. Przetestuj konfigurację na użytkownikach, którzy powinni mieć dostęp do aplikacji i którzy nie powinni mieć do niej dostępu.
    Jeśli na przykład używany jest powyższy dokument Microsoft, można użyć polecenia Test-ApplicationAccessPolicy.
  8. Wyloguj się.
    Zaczekaj 30 minut na zakończenie konfiguracji. Do tego czasu wywołania interfejsu API kierowane do środowiska Microsoft Graph z użyciem aplikacji będą mieć dostęp do skrzynek pocztowych wszystkich użytkowników.

Po utworzeniu rejestracji aplikacji w środowisku Microsoft Graph w usłudze Office 365 i ograniczeniu dostępu do skrzynki pocztowej można skonfigurować skrzynkę pocztową systemu Service Desk pod kątem korzystania z usługi Office 365 na potrzeby poczty przychodzącej.

Aby skonfigurować skrzynkę pocztową systemu Service Desk pod kątem korzystania z usługi Office 365 na potrzeby poczty przychodzącej:

  1. Za pomocą Centrum konfiguracji zatrzymaj usługę Menedżer poczty — obsługa przychodzących.
  2. W komponencie Poczta w drzewie Konfiguracja poczty e-mail rozwiń folder Przychodząca poczta e-mail, a następnie wybierz folder Skrzynki pocztowe.
  3. Na liście Działania kliknij opcję Nowa skrzynka pocztowa.
    Zostanie wyświetlone okno Skrzynka pocztowa.
  4. Z listy Dostawcy wybierz pozycję Microsoft Graph (OAuth2).
    Okno dialogowe zostanie zaktualizowane.
  5. Wprowadź Tytuł i wybierz Odwzorowanie.
  6. W obszarze Szczegóły logowania ustaw wartość Nazwa użytkownika na główną nazwę użytkownika skrzynki pocztowej usługi Office 365.
    Wygląda ona jak adres e-mail.
  7. W rejestracji aplikacji na platformie Azure utwórz wpis tajny przy użyciu skrótu Certyfikaty i wpisy tajne, a następnie użyj go w polu Klucz tajny w sekcji Szczegóły protokołu OAuth2 w ustawieniach skrzynki pocztowej w systemie Service Desk.
  8. W polach Identyfikator klienta i Identyfikator dzierżawcy sekcji Szczegóły protokołu OAuth2 w ustawieniach skrzynki pocztowej wpisz identyfikator aplikacji (klient) i identyfikator katalogu (dzierżawca) ze skrótu Przegląd dostępnego w rejestracji aplikacji na platformie Azure.
  9. Kliknij przycisk przycisk testowania na pasku narzędzi, aby potwierdzić powodzenie uwierzytelniania oraz dostęp do skrzynki pocztowej usługi Office 365.
  10. Zapisz nową skrzynkę pocztową.
  11. Uruchom usługę Menedżer poczty — obsługa przychodzących.

Aby sprawdzić poprawność ograniczenia skrzynki pocztowej, zatrzymaj usługę przychodzącą, zmień ustawienie Nazwa użytkownika w ustawieniach skrzynki pocztowej w systemie Service Desk na użytkownika, który nie należy do grupy zabezpieczeń poczty elektronicznej, a następnie kliknij przycisk przycisk testowania.
Uwierzytelnianie powinno zakończyć się pomyślnie, ale dostęp do skrzynki odbiorczej powinien być niemożliwy.
Należy pamiętać, aby zmienić nazwę użytkownika z powrotem na członka grupy zabezpieczeń poczty, a następnie uruchomić usługę przychodzącą.