使用 OAuth2 进行 Office 365 入站邮件配置

第一阶段是在 Azure 中创建 Ivanti Service Desk 入站应用程序注册。

要创建应用程序注册：

以管理员身份登录到 https://portal.office.com 并打开“管理员”快捷方式。
在 Microsoft 365 管理员中心中，打开与 Office 365 租户关联的 Azure Active Directory 帐户。
注册新的单租户应用程序。
接下来需要更改一些 API 权限。
删除“委托用户读取”权限。
重要提示：为 Mail ReadWrite 添加应用程序权限（适用于 Microsoft Graph）并向其授予管理员同意。
这样可以在此应用程序具有管理员同意时，向其提供使用 Microsoft Graph API 在 Office 365 租户的所有邮箱中读取和写入电子邮件的权限。此权限可以在下一个阶段中进行限制。

限制 Office 365 中的邮箱访问权限

注册 Ivanti Service Desk 入站应用程序后，需要限制邮箱访问权限，以便 Azure 应用程序仅可访问单个邮箱。

有关更多信息，请参阅 Microsoft 文档站点（在新选项卡中打开）上的将应用程序权限限制为特定 Exchange Online 邮箱。

以管理员身份登录到 https://portal.office.com。
创建新的邮件启用安全组。
将成员添加到该组。
这是与 Service Desk 中的入站邮箱对应的单个用户。
下一步是将此组链接到 Azure 中的应用程序注册：使用 PowerShell 连接到 Exchange Online，然后调用命令 New-ApplicationAccessPolicy。
安装 Exchange Online PowerShell 模块。
请参阅 Microsoft 文档站点（在新选项卡中打开）上的连接到 Exchange Online PowerShell。
使用 MFA 连接到 Exchange Online PowerShell。
配置 ApplicationAccessPolicy，以便将组链接到 Azure 应用程序。
如果使用的是 Microsoft 文档站点（在新选项卡中打开）上将应用程序权限限制为特定 Exchange Online 邮箱中介绍的 PowerShell 命令 New-ApplicationAccessPolicy，则参数 AppId 应为 Azure 应用程序 ID（也称为客户端 ID），参数 PolicyScopeGroupId 应为创建的邮件启用安全组的组电子邮件地址。
使用应用程序应该及不应访问的用户来测试配置。
例如，假设使用的是以上 Microsoft 文档，则可以使用 Test-ApplicationAccessPolicy。
注销。
大约需要等待 30 分钟配置才能完成。到那时，使用应用程序对 Microsoft Graph 进行的 API 调用便能访问所有用户的邮箱。

在 Office 365 中为 Microsoft Graph 创建应用程序注册并限制邮箱访问权限后，便可以将 Service Desk 邮箱配置为使用 Office 365 接收入站邮件。

要将 Service Desk 邮箱配置为使用 Office 365 接收入站邮件：

使用配置中心，停止邮件管理器 – 入站服务。
在电子邮件设置树的邮件组件中，展开入站电子邮件文件夹，然后选择邮箱文件夹。
在操作列表上，点击新建邮箱。
出现“邮箱”窗口。
在提供程序列表中，选择 Microsoft Graph (OAuth2)。
对话框更新。
输入标题并选择映射。
在登录详细信息下，将用户名设置为 Office 365 邮箱的用户主体名称。
此名称看起来像是电子邮件地址。
在 Azure 的应用程序注册中，使用证书和密码快捷方式创建密码，然后在 Service Desk 邮箱设置的 OAuth2 详细信息下的密码字段中使用此密码。
对于邮箱设置的 OAuth2 详细信息下的客户端 ID 和租户 ID，请使用 Azure 应用程序注册中“概述”快捷方式的应用程序（客户端）ID 和目录（租户）ID。
点击工具栏上的，确保身份验证成功并且能够访问 Office 365 邮箱。
保存新邮箱。
启动邮件管理器 – 入站服务。

要测试是否已正确限制邮箱，请停止入站服务，接着在 Service Desk 的邮箱设置中将用户名更改为不属于邮件安全组的用户的用户名，然后点击测试按钮。
身份验证应该会成功，但对收件箱的访问应该会失败。
请记得重新将用户改为属于邮件安全组的用户，然后启动入站服务。