Конфигурация входящей почты Office 365 с использованием OAuth2

Вы можете использовать Microsoft Office 365 для получения входящей почты с помощью Microsoft Graph OAuth2. Вы должны создать регистрацию приложения для Microsoft Graph в Office 365, ограничить доступ к почтовому ящику, а затем сконфигурировать почтовый ящик Service Desk.

Для получения дополнительной информации о конфигурации почтового ящика с использованием IMAP4 см. раздел Конфигурация почтового ящика для каждого назначения.

Первым этапом является создание регистрации приложения входящей почты Ivanti Service Desk в Azure.

Для создания регистрации приложения:

  1. Выполните вход на сайте https://portal.office.com в качестве администратора и откройте ярлык Admin.
  2. В центре администрирования Microsoft 365 откройте учетную запись Azure Active Directory, связанную с вашим Tenant для Office 365.
  3. Зарегистрируйте новое приложение для одного Tenant.
    Теперь необходимо изменить некоторые разрешения прикладного программного интерфейса.
  4. Удалите разрешение "Delegated User Read".
  5. ВАЖНО! Добавьте разрешение приложения (для Microsoft Graph) или разрешения чтения-записи почты и дайте для этого согласие администратора.
    Это обеспечивает поддержку данного приложения, когда оно получит согласие администратора на использование Microsoft Graph API для чтения и записи сообщений электронной почты во всех почтовых ящиках вашего Tenant для Office 365. На следующем этапе для него нужно будет создать ограничения.
    Используется право Mail.ReadWrite

Теперь, когда вы зарегистрировали приложение входящей почты Ivanti Service Desk, вам нужно ограничить доступ к почтовому ящику, чтобы приложение Azure могло получить доступ только к одному почтовому ящику.

Для получения дополнительной информации см. раздел Ограничение разрешений приложений для определенных почтовых ящиков Exchange Online на сайте документации Microsoft (будет открыт в новой вкладке).

Для ограничения доступа к почтовому ящику:
  1. Выполите вход на сайте https://portal.office.com в качестве администратора.
  2. Создайте новую группу безопасности с включенной поддержкой почты.
  3. Добавьте члена группы.
    Это единственный пользователь, соответствующий ящику входящей почты в Service Desk.
    Следующим действием является привязка этой группы к регистрации приложения в Azure посредством подключения к Exchange Online с помощью PowerShell и вызова команды New-ApplicationAccessPolicy.
  4. Установите модуль Exchange Online PowerShell.
    Для получения дополнительной информации см. раздел Подключить для сценариев PowerShell почты Exchange Online на сайте документации Microsoft (будет открыт в новой вкладке).
  5. Подключитесь к Exchange Online PowerShell с помощью MFA.
  6. Сконфигурируйте команду ApplicationAccessPolicy для привязки вашей группы к приложению Azure.
    Если вы используете команду PowerShell, New-ApplicationAccessPolicy, описание которой находится на странице Ограничение разрешений приложений для определенных почтовых ящиков Exchange Online на сайте документации Microsoft (будет открыт в новой вкладке), параметр "AppId" - это идентификатор вашего приложения Azure (также называется идентификатором клиента), а параметр PolicyScopeGroupId - это адрес электронной почты созданной вами группы безопасности.
  7. Протестируйте конфигурацию с пользователями, которые должны и не должны иметь доступ к приложению.
    Например, если вы используете представленный выше документ Microsoft, вы можете применить команду Test-ApplicationAccessPolicy.
  8. Выполните выход.
    Подождите около 30 минут для завершения конфигурации. До этого вызовы прикладного программного интерфейса Microsoft Graph с помощью вашего приложения будут иметь доступ ко всем почтовым ящикам пользователей.

После создания регистрации приложения Microsoft Graph в Office 365 и ограничения доступа к почтовому ящику вы можете сконфигурировать ваш почтовый ящик Service Desk для использования Office 365 для входящей почты.

Для конфигурации почтового ящика Service Desk и использования Office 365 для входящей почты:

  1. С помощью Центра конфигурации остановите службу Диспетчер почты - Служба входящей почты (Mail Manager – Inbound Service).
  2. В компоненте Почта в дереве Настройка электронной почты, разверните папку Входящая электронная почта, а затем выберите папку Почтовые ящики.
  3. В списке Действия нажмите Новый почтовый ящик.
    Появится окно "Почтовый ящик".
  4. В списке Поставщик выберите Microsoft Graph (OAuth2).
    Содержимое диалога будет обновлено.
  5. Введите название и выберите Назначение.
  6. В диалоге Информация входа установите значение Имя пользователя для имени принципала вашего почтового ящика Office 365.
    Оно соответствует адресу электронной почты.
  7. В диалоге Azure для регистрации приложения создайте секрет с помощью ярлыка Certificates & secrets (Сертификаты и секреты) и используйте его в поле Секрет в диалоге информации OAuth2 в настройках почтового ящика в Service Desk.
  8. Для значений ИД клиента и ИД Tenant в диалоге Информация OAuth2 в настройках почтового ящика используйте ИД приложения (клиент) и ИД каталога (Tenant) из диалога ярлыка "Обзор" вашей регистрации приложения в Azure.
  9. Нажмите Кнопка тестирования на инструментальной панели для обеспечения успешной аутентификации и доступа к почтовому ящику Office 365.
  10. Сохраните новый почтовый ящик.
  11. Запустите Диспетчер почты – Служба входящей почты.

Для проверки правильности настройки ограничений почтового ящика остановите службу входящей почты, измените значение Имя пользователя в настройках почтового ящика в Service Desk для того, чтобы пользователь более не входил в вашу группу безопасности почты и нажмите Кнопка тестирования.
Аутентификация должна быть успешной, но с ошибкой доступа к папке входящих сообщений.
Не забудьте вернуть пользователя в группу безопасности почты, а затем запустите входящую службу.