Configuração de e-mail de entrada do Office 365 usando OAuth2

Você pode utilizar o Microsoft Office 365 para o e-mail de entrada, usando o OAuth2 do Microsoft Graph. Você precisa criar um registro de aplicativo para o Microsoft Graph no Office 365, restringir o acesso à caixa de correio e depois configurar a caixa de correio do Service Desk.

Para detalhes sobre como configurar uma caixa de correio usando IMAP4, consulte Configurando uma caixa de correio para cada mapeamento.

O primeiro estágio é criar um registro de aplicativo de entrada do Ivanti Service Desk no Azure.

Para criar o registro do aplicativo:

  1. Faça login em https://portal.office.com como administrador e abra o atalho Administrador.
  2. No centro de administração do Microsoft 365, abra a conta do Azure Active Directory associada ao seu locatário do Office 365.
  3. Registre um novo aplicativo monolocatário.
    Agora precisamos alterar algumas permissões de API.
  4. Remova a permissão Delegated User Read.
  5. IMPORTANTE: adicione a permissão Aplicativo (para Microsoft Graph) para Mail ReadWrite e conceda-lhe consentimento de administração.
    Isso fornece a este aplicativo, quando ele tiver consentimento do administrador, a permissão de usar a API do Microsoft Graph para ler e gravar e-mails em todas as caixas de correio do seu locatário do Office 365. Você pode restringir isso no próximo estágio.
    Mail.ReadWrite aplicado

Agora que você registrou o aplicativo de entrada do Ivanti Service Desk, é necessário restringir o acesso à caixa de correio, para que somente uma única caixa de correio possa ser acessada pelo aplicativo do Azure.

Para mais informações, consulte Limitando permissões de aplicativos a caixas de correio específicas do Exchange Online no site de documentos da Microsoft (abre em uma nova guia).

Para restringir o acesso à caixa de correio:
  1. Faça login em https://portal.office.com como administrador.
  2. Crie um novo grupo de segurança habilitado para e-mail.
  3. Adicione um membro ao grupo.
    Este é o usuário individual correspondente à caixa de correio de entrada no Service Desk.
    A próxima etapa é vincular esse grupo ao registro do aplicativo no Azure conectando-se ao Exchange Online com uso do PowerShell e chamando o comando New-ApplicationAccessPolicy.
  4. Instale o módulo PowerShell do Exchange Online.
    Consulte Conectar-se ao PowerShell do Exchange Online no site de documentos da Microsoft (abre em uma nova guia).
  5. Conecte-se ao PowerShell do Exchange Online usando o MFA.
  6. Configure ApplicationAccessPolicy para vincular seu grupo ao aplicativo do Azure.
    Se você está usando o comando New-ApplicationAccessPolicy do PowerShell, descrito em Limitando permissões de aplicativos a caixas de correio específicas do Exchange Online no site de documentos da Microsoft (abre em uma nova guia), o parâmetro AppId é o seu ID de Aplicativo do Azure (também conhecido como ID do cliente) e o parâmetro PolicyScopeGroupId é o endereço de e-mail do grupo de segurança habilitado para e-mail que você criou.
  7. Teste a configuração com usuários aos quais o aplicativo deva e não deva ter acesso.
    Por exemplo, se estiver usando o documento da Microsoft acima, poderá usar Test-ApplicationAccessPolicy.
  8. Faça logoff.
    Aguarde cerca de 30 minutos para que a configuração seja concluída. Até lá, as chamadas de API para o Microsoft Graph com uso do seu aplicativo terão acesso às caixas de correio de todos os usuários.

Quando você tiver criado um registro de aplicativo para o Microsoft Graph no Office 365 e restringido o acesso à caixa de correio, poderá configurar a caixa de correio do Service Desk para usar o Office 365 para correio de entrada.

Para configurar a caixa de correio do Service Desk para usar o Office 365 para correio de entrada:

  1. Usando o Centro de Configuração, interrompa o serviço Gerenciador de Correio – Serviço de Entrada.
  2. No componente Correio, na árvore Configuração de E-mail, expanda a pasta E-mail de Entrada e selecione a pasta Caixas de Correio.
  3. Na lista Ações, clique em Nova Caixa de Correio.
    A janela Caixa de Correio é exibida.
  4. Na lista Provedor, selecione Microsoft Graph (OAuth2).
    A caixa de diálogo é atualizada.
  5. Digite um Título e selecione Mapeamento.
  6. Em Detalhes de Login, defina o Nome de Usuário como o Nome Principal do Usuário da sua Caixa de Correio do Office 365.
    Ele parece um endereço de e-mail.
  7. No registro do aplicativo no Azure, crie um segredo usando o atalho Certificados e segredos e use-o no campo Segredo, abaixo de Detalhes do OAuth2, nas configurações da caixa de correio no Service Desk.
  8. Para Id do Cliente e Id do Locatário em Detalhes do OAuth2 nas configurações da caixa de correio, use o ID do Aplicativo (cliente) e o ID do Diretório (locatário), a partir do atalho Visão Geral do seu registro de aplicativo no Azure.
  9. Clique em botão de teste na barra de ferramentas para verificar se a autenticação está correta e a caixa de correio do Office 365 pode ser acessada.
  10. Salve a nova caixa de correio.
  11. Inicie o Gerenciador de Correio – Serviço de Entrada.

Para testar se a caixa de correio foi corretamente restringida, interrompa o serviço de entrada, mude o Nome de Usuário nas configurações da caixa de correio no Service Desk para um que não pertença ao seu grupo de segurança de correio e clique em botão de teste.
A autenticação deve ter êxito, mas o acesso à caixa de entrada deve falhar.
Lembre-se de mudar o usuário de volta para aquele que é membro do grupo de segurança de correio, depois inicie o serviço de entrada.