`

MS Graph - příprava schránky

Obecně

TAS se může napojit na Microsoft Graph API skrze naši integraci. Tato integrace umožňuje stahování a přesouvání e-mailů a příloh v definovaných schránkách, se kterými se dále zachází podle nastavených byznys pravidel.

Aby se TAS úspěšně napojil a manipuloval s obsahem těchto schránek, je třeba udělit integraci dostatečná oprávnění pro dané schránky (ať už vlastní nebo sdílené).

Zajištění oprávnění

Přihlášení pomocí jména a hesla je nadále podporováno pouze pro On-Premise servery. Společnost Microsoft tento způsob již oficiálně nepodporuje. Přečtěte si oficiální článek.
  1. Přihlaste se na https://portal.azure.com/#home.
  2. V menu vyberte Azure Active Directory.
  3. Zvolte možnost Přidat – registrace aplikace pro spuštění registrace aplikace (TASu).
  1. Zadejte Název a ponechte zaškrtnutou volbu Jen účty v tomto adresáři. Dokončete registraci kliknutím na Zaregistrovat.
  1. Pro oprávnění ke čtení e-mailů vyberte v levém menu Oprávnění rozhraní API.
  2. V okně Požádat o oprávnění API klikněte na Přidat oprávnění a v Microsoft APIs zvolte Microsoft Graph.
  3. Následně v Request API permission zvolte Delegovaná oprávnění.
  4. Zde je potřeba přidělit oprávnění aplikaci MS Graph viz obrázek.
  5. Potvrďte kliknutím na Přidat oprávnění.
  6. Vyberte Certifikáty a tajné kódy.
  1. V záložce Tajné kódy klienta (0) zvolte Nový Tajný kód klienta. Zadejte potřebné údaje a přidejte kód tlačítkem Přidat. Upozornění: po vypršení platnosti tohoto kódu je nutné přidat nový, jinak aplikace (TAS) ztratí přístup do schránky.
  1. Schválení oprávnění administrátorem. Po schválení se změní výstražný trojúhelník u Oprávnění rozhraní API.
  1. Omezení přístupu ke konkrétní schránce
    Výše nastavené oprávnění poskytuje aplikaci přístup ke všem schránkám v doméně. Pro omezení přístupu pouze na zamýšlenou schránku je nutné nastavit přístupová pravidla pomocí PowerShellu.
    Connect-ExchangeOnline -UserPrincipalName admin@domain.xyz
    New-ApplicationAccessPolicy -AppId CLIENT_ID -PolicyScopeGroupId email@domain.xyz -AccessRight RestrictAccess -Description "Restrict this app to email@domain.xyz."
    Pokud se jedná o nastavení přístupu ke sdílené schránce, je nutné nejprve vytvořit příslušný Security Principal. Pro tyto potřeby musí být založena Mail-enabled Security Group, a sdílená schránka nastavena jejím členem. Ve výše uvedeném příkladu se následně použije název vytvořené skupiny v PolicyScopeGroupId.
  2. Poté lze v aplikaci (TASu) změnit přihlašovací skript v cronu.
    "auth": {
                "emailAddress": "faktury@firma.cz",
                "tenantId": "123-abc-456-def",
                "clientId": "987-cba-321-ijk",
                "clientSecret": "xxx-yyy-zzz",
                "type": "secret"
            }
    • tenant_id najdete zde:
    • client_id najdete zde:
    • client_secret alias tajný kód:
Vytvoření (tzv. registrace) Azure aplikace s odpovídajícími oprávněními je zcela v režii klienta a jeho administrátorů. Celý postup se provádí na Azure Portalu, případně v Remote Shellu.

Nastavení schránky

Jediná nutnost pro schránku je existence dvou složek:

  • TAS vstup
  • TAS výstup

Názvy těchto složek nejsou podstatné, ale obě složky musí být podsložkou doručené pošty. Doporučujeme také nastavit pravidla v Outlooku, která zajistí třídění došlé pošty do těchto složek (např. podle příjemce).

Zadání konfigurace

Zadání konfigurace cronu pro manipulaci s příchozími emaily je vysvětleno v tomto manuálu.

Frantisek Brych Updated by Frantisek Brych

MS Graph - konfirurace cronu

Contact

Team assistant (opens in a new tab)

Powered by HelpDocs (opens in a new tab)