E-mail Office365

Napojení Office365

Pokud jako poskytovatele emailu používáte Office365 od Microsoft, bude zapotřebí provést dodatečné nastavení týkající se ověřování uživatele.

Z důvodu vyřazení jednoduchých metod ověřování (tj. uživatel/heslo) pro Office365 a přechodu na OAuth je nutné propojit vašeho Office365/Azure tenanta s naší aplikací: Redque Mail OAuth. Aplikace zajišťuje požadované ověřování pro vámi definované schránky v Alice.

Dva způsoby napojení Office365

Alice nabízí dvě varianty napojení na e-mailové schránky v Office365. Obě vyžadují stejnou instalaci enterprise aplikace popsanou na této stránce, liší se však tím, jakým protokolem komunikují s Microsoftem:

1. Office365 přes IMAP s OAuth2 (typ importu E-mail)

Klasický import přes protokol IMAP, kde místo hesla používá Alice zabezpečené ověření OAuth2. V Alice tento import nakonfigurujete jako běžný E-mailový import - jen jako adresu serveru zadáte outlook.office365.com a místo hesla zvolíte ověření přes Microsoft.

2. Office365 nativní (přes Microsoft Graph API) (typ importu Office365)

Přímá komunikace s Exchange Online přes nativní rozhraní Microsoft. V Alice nakonfigurujete jako separátní typ importu Office365. Hlavní odlišnosti:

• Místo IMAP cest (například INBOX/Processed) zadáváte názvy složek v mailboxu (například Zpracované).
• Pokud zadané složky v mailboxu neexistují, Alice je automaticky vytvoří.
• Komunikace probíhá přímo přes Microsoft Graph API, což je dlouhodobě podporovaný a doporučovaný způsob přístupu Microsoftem.

Kterou variantu zvolit? Doporučujeme variantu Office365 nativní - je modernější a Microsoft ji aktivně rozvíjí. Variantu IMAP s OAuth2 použijte, pokud z nějakého důvodu potřebujete IMAP-specifické chování.

V obou případech však nejprve nainstalujte enterprise aplikaci podle postupu níže.

Instalace aplikace

Admin consent

K instalaci aplikace jsou zapotřebí zvýšená oprávnění Azure administrátora, tzv. Admin consent.

Aplikaci nainstalujete přes následující odkaz, ve kterém tenant_id nahradíte svým Tenant ID nebo Primary domain z hlavní stránky vašeho Microsoft Entra ID (Původně AAD) portálu Azure.

https://login.microsoftonline.com/tenant_id/adminconsent?client_id=a1aabef9-68e4-4530-9002-96288ab66909

Např.:

Výsledný odkaz bude tedy vypadat např. takto:

https://login.microsoftonline.com/05e487ad-2759-8ce7-8167-1204dc99df8/adminconsent?client_id=a1aabef9-68e4-4530-9002-96288ab66909

Po kliknutí na odkaz si aplikace vyžádá přihlášení a následně se zobrazí následující formulář:

Pro bližší popis požadovaných práv můžete rozkliknout jednotlivé dropdowny pomocí šipek, nebo si přečíst informace v sekci Popis oprávnění níže.

Následně pokračujte tlačítkem Accept. Po potvrzení se zobrazí následující text a instalace je dokončena:

Úspěšnou instalaci si pak můžete ověřit v záložce Entra ID: Enterprise applications:

Popis oprávnění

Toto je minimální sada oprávnění, která aplikace potřebuje ke správnému fungování. Dle instalačního formuláře výše:

• Maintain access to data you have given it access to | offline_access
  • Umožňuje aplikaci vidět a aktualizovat data, ke kterým jste jí dali přístup, i pokud uživatel není přihlášený. Toto nepřidává aplikaci žádná další oprávnění.
• Sign in and read user profile | User.Read
  • Umožňuje uživateli přihlásit se do aplikace a aplikaci číst profil přihlášeného uživatele. Též umožňuje aplikaci číst základní informace o organizaci přihlášeného uživatele.
• Read and write access to mailboxes via IMAP | IMAP.AccessAsUser.All
  • Umožňuje aplikaci mít stejný přístup k aplikaci jako přihlášený uživatel přes protokol IMAP.

Dodatečné zabezpečení

Z naší strany může aplikace přistupovat pouze k těm schránkám, jejichž přihlašovací údaje byly definovány v Alice, není se tedy třeba obávat neoprávněného přístupu jinam. Pokud byste však chtěli oprávnění aplikace ještě více omezit v rámci dodatečného zabezpečení, doporučujeme použít postup zde. S jeho pomocí aplikaci úplně znemožníte přistupovat k jiným než vámi definovaným schránkám.