Senden von Quickcheck-E-Mails über Exchange Online mit OAuth2
Diese Anleitung beschreibt die Konfiguration von SMTP-Berechtigungen für Ihre Microsoft Entra Anwendung, um auf Exchange Online Postfächer zuzugreifen. Damit können Quickcheck-Emails über die eigene Exchange-Online Infrastruktur per OAuth2-Authentifizierung versendet werden.
Benötigte Berechtigungen
Für den Zugriff auf Exchange Online Postfächer via POP, IMAP oder SMTP benötigen Sie:
- Administratorzugang zum Azure Portal
- Exchange Online PowerShell Berechtigungen
- Mandanten-Administrator Einwilligung
Melden Sie sich im Microsoft Entra Admin Center mindestens als Application Developer an.
Navigieren Sie zu Entra ID > App-Registrierungen und wählen Sie Neue Registrierung.
Geben Sie einen aussagekräftigen Namen für Ihre App ein, zum Beispiel exchange-secauditor-quickcheck-app. App-Benutzer können diesen Namen sehen, und er kann jederzeit geändert werden.
Wählen Sie unter Unterstützte Kontotypen aus, wer die Anwendung verwenden kann. Für die meisten Anwendungen empfehlen wir die Auswahl von Nur Konten in diesem Organisationsverzeichnis.
Es wird keine Weiterleitungs-URI benötigt.
Navigieren Sie im Azure Portal zum API-Berechtigungen-Bereich in der Verwaltungsansicht Ihrer Microsoft Entra Anwendung.
Klicken Sie auf Berechtigung hinzufügen.
Wählen Sie den Tab APIs, die meine Organisation verwendet und suchen Sie nach „Office 365 Exchange Online„.
Klicken Sie auf Anwendungsberechtigungen.
Wählen Sie die entsprechenden Berechtigungen:
- Für SMTP-Zugriff: SMTP.SendAsApp Berechtigung
Nach der Auswahl der gewünschten Berechtigungen klicken Sie auf Berechtigungen hinzufügen.
Um auf Exchange Postfächer zugreifen zu können, muss Ihre Entra Anwendung die Mandanten-Administrator Einwilligung erhalten.
Um das New-ServicePrincipal Cmdlet zu verwenden, installieren Sie ExchangeOnlineManagement und verbinden Sie sich mit Ihrem Mandanten:
Install-Module -Name ExchangeOnlineManagement
Import-module ExchangeOnlineManagement
Connect-ExchangeOnline -Organization <tenantId>
Service Principal Registrierung
Die Registrierung des Service Principals einer Microsoft Entra Anwendung in Exchange wird folgendermaßen durchgeführt:
New-ServicePrincipal -AppId <APPLICATION_ID> -ObjectId <ENTERPISE_APP_OBJECT_ID> [-Organization <ORGANIZATION_ID>]
Der Mandanten-Administrator kann die oben referenzierten Service Principal Identifikatoren in der Enterprise Application Instanz Ihrer Entra Anwendung auf dem Mandanten finden. Die Liste der Enterprise Application Instanzen auf dem Mandanten finden Sie im Unternehmensanwendungen-Bereich in der Microsoft Entra Ansicht im Azure Portal.
Sie können die Kennung Ihres registrierten Service Principals mit dem Get-ServicePrincipal Cmdlet abrufen:
Get-ServicePrincipal | fl
Wichtiger Hinweis: Die OBJECT_ID ist die Objekt-ID von der Übersichtsseite des Unternehmensanwendung-Knotens (Azure Portal) für die Anwendungsregistrierung. Es ist nicht die Objekt-ID von der Übersichtsseite des App-Registrierungen-Knotens. Die Verwendung der falschen Objekt-ID führt zu einem Authentifizierungsfehler.
Im folgenden wird der ServicePrincipal auf das zugehörige Postfach berechtigt.
Add-MailboxPermission -Identity "john.smith@contoso.com" -User <SERVICE_PRINCIPAL_ID> -AccessRights FullAccess
Um E-Mails per SMTP versenden zu dürfen, muss dies vorher aktiviert werden. Verwenden Sie dazu folgenden Befehl:
Set-CASMailbox -Identity <MailboxIdentity> -SmtpClientAuthenticationDisabled $false
Nicht die richtige Antwort gefunden?
Wir helfen gerne weiter! Schreiben Sie uns an support@sec-auditor.com