使用 OAuth2 进行 Office 365 入站邮件配置
使用 Microsoft Graph OAuth2,可以为入站邮件使用 Microsoft Office 365。需要在 Office 365 中为 Microsoft Graph 创建应用程序注册,限制邮件访问权限,然后配置 Service Desk 邮箱。
有关如何使用 IMAP4 配置邮箱的详细信息,请参阅为每个映射配置邮箱。
在 Office 365 的 Azure 中为 Microsoft Graph 创建应用程序注册
第一阶段是在 Azure 中创建 Ivanti Service Desk 入站应用程序注册。
要创建应用程序注册:
- 以管理员身份登录到 https://portal.office.com 并打开“管理员”快捷方式。
- 在 Microsoft 365 管理员中心中,打开与 Office 365 租户关联的 Azure Active Directory 帐户。
- 注册新的单租户应用程序。
接下来需要更改一些 API 权限。 - 删除“委托用户读取”权限。
- 重要提示:为 Mail ReadWrite 添加应用程序权限(适用于 Microsoft Graph)并向其授予管理员同意。
这样可以在此应用程序具有管理员同意时,向其提供使用 Microsoft Graph API 在 Office 365 租户的所有邮箱中读取和写入电子邮件的权限。此权限可以在下一个阶段中进行限制。
限制 Office 365 中的邮箱访问权限
注册 Ivanti Service Desk 入站应用程序后,需要限制邮箱访问权限,以便 Azure 应用程序仅可访问单个邮箱。
有关更多信息,请参阅 Microsoft 文档站点(在新选项卡中打开)上的将应用程序权限限制为特定 Exchange Online 邮箱。
要限制邮箱访问权限:
- 以管理员身份登录到 https://portal.office.com。
- 创建新的邮件启用安全组。
- 将成员添加到该组。
这是与 Service Desk 中的入站邮箱对应的单个用户。
下一步是将此组链接到 Azure 中的应用程序注册:使用 PowerShell 连接到 Exchange Online,然后调用命令 New-ApplicationAccessPolicy。 - 安装 Exchange Online PowerShell 模块。
请参阅 Microsoft 文档站点(在新选项卡中打开)上的连接到 Exchange Online PowerShell。 - 使用 MFA 连接到 Exchange Online PowerShell。
- 配置 ApplicationAccessPolicy,以便将组链接到 Azure 应用程序。
如果使用的是 Microsoft 文档站点(在新选项卡中打开)上将应用程序权限限制为特定 Exchange Online 邮箱中介绍的 PowerShell 命令 New-ApplicationAccessPolicy,则参数 AppId 应为 Azure 应用程序 ID(也称为客户端 ID),参数 PolicyScopeGroupId 应为创建的邮件启用安全组的组电子邮件地址。 - 使用应用程序应该及不应访问的用户来测试配置。
例如,假设使用的是以上 Microsoft 文档,则可以使用 Test-ApplicationAccessPolicy。 - 注销。
大约需要等待 30 分钟配置才能完成。到那时,使用应用程序对 Microsoft Graph 进行的 API 调用便能访问所有用户的邮箱。
为 Office 365 入站邮件配置 Service Desk 邮箱
在 Office 365 中为 Microsoft Graph 创建应用程序注册并限制邮箱访问权限后,便可以将 Service Desk 邮箱配置为使用 Office 365 接收入站邮件。
要将 Service Desk 邮箱配置为使用 Office 365 接收入站邮件:
- 使用配置中心,停止邮件管理器 – 入站服务。
- 在电子邮件设置树的邮件组件中,展开入站电子邮件文件夹,然后选择邮箱文件夹。
- 在操作列表上,点击新建邮箱。
出现“邮箱”窗口。 - 在提供程序列表中,选择 Microsoft Graph (OAuth2)。
对话框更新。 - 输入标题并选择映射。
- 在登录详细信息下,将用户名设置为 Office 365 邮箱的用户主体名称。
此名称看起来像是电子邮件地址。 - 在 Azure 的应用程序注册中,使用证书和密码快捷方式创建密码,然后在 Service Desk 邮箱设置的 OAuth2 详细信息下的密码字段中使用此密码。
- 对于邮箱设置的 OAuth2 详细信息下的客户端 ID 和租户 ID,请使用 Azure 应用程序注册中“概述”快捷方式的应用程序(客户端)ID 和目录(租户)ID。
- 点击工具栏上的 ,确保身份验证成功并且能够访问 Office 365 邮箱。
- 保存新邮箱。
- 启动邮件管理器 – 入站服务。
要测试是否已正确限制邮箱,请停止入站服务,接着在 Service Desk 的邮箱设置中将用户名更改为不属于邮件安全组的用户的用户名,然后点击 。
身份验证应该会成功,但对收件箱的访问应该会失败。
请记得重新将用户改为属于邮件安全组的用户,然后启动入站服务。