Краткое руководство. Создание учетных данных проверки подлинности для отправки сообщений электронной почты с помощью SMTP

  • Статья

В этом кратком руководстве вы узнаете, как использовать приложение Entra для создания учетных данных проверки подлинности для использования SMTP для отправки сообщения электронной почты с помощью Службы коммуникации Azure.

Необходимые компоненты

Использование приложения Microsoft Entra с доступом к ресурсу Службы коммуникации Azure для SMTP

Разработчики приложений, создающие приложения, отправляющие электронную почту с помощью протокола SMTP, должны реализовать безопасную современную проверку подлинности. Службы коммуникации Azure это делает, используя субъекты-службы приложений Microsoft Entra. Объединение сведений о Службы коммуникации Azure ресурсе и субъекте-службе приложений Microsoft Entra службы SMTP выполняет проверку подлинности с помощью Microsoft Entra от имени пользователя, чтобы обеспечить безопасную и удобную передачу электронной почты.

Создание настраиваемой роли электронной почты для приложения Microsoft Entra

Приложению Microsoft Entra необходимо назначить роль с разрешениями Microsoft.Communication/CommunicationServices/Read, Microsoft.Communication/CommunicationServices/Write и Microsoft.CommunicationServices/EmailServices/ write в ресурсе Службы коммуникации Azure. Это можно сделать либо с помощью роли участника , либо путем создания пользовательской роли. Выполните следующие действия, чтобы создать пользовательскую роль, клонируя существующую роль.

  1. На портале можно создать настраиваемую роль, сначала перейдя к подписке, группе ресурсов или ресурсу Службы коммуникации Azure, где необходимо назначить настраиваемую роль, а затем открыть управление доступом (IAM). Снимок экрана: управление доступом.
  2. Чтобы просмотреть список всех встроенных и пользовательских ролей, щелкните вкладку Роли.
  3. Найдите роль, которую вы хотите клонировать, например роль читателя.
  4. В конце строки щелкните многоточие (...) и нажмите кнопку "Клонировать". Снимок экрана: клонирование роли.
  5. Щелкните вкладку "Основные сведения" и присвойте ей имя новой роли. Снимок экрана: создание имени для новой настраиваемой роли.
  6. Перейдите на вкладку "Разрешения" и нажмите кнопку "Добавить разрешения". Найдите Microsoft.Communication и выберите Службы коммуникации AzureСнимок экрана: добавление разрешений для новой пользовательской роли.
  7. Выберите разрешения на запись Microsoft.Communication/CommunicationServices Read, Microsoft.Communication/CommunicationServices Write и Microsoft.CommunicationServices. Нажмите кнопку Добавить. Снимок экрана: добавление разрешений Службы коммуникации Azure.
  8. Просмотрите разрешения для новой роли. Нажмите кнопку "Рецензирование" и "Создать" на следующей странице. Снимок экрана: просмотр новой настраиваемой роли.

При назначении приложения Microsoft Entra роль для ресурса Службы коммуникации Azure будет доступна новая пользовательская роль. Дополнительные сведения о создании настраиваемых ролей см. в статье "Создание или обновление пользовательских ролей Azure с помощью портал Azure

Назначение пользовательской роли электронной почты приложению Microsoft Entra

  1. На портале перейдите к подписке, группе ресурсов или ресурсу Службы коммуникации Azure, где необходимо назначить настраиваемую роль, а затем откройте управление доступом (IAM). Снимок экрана: управление доступом.
  2. Нажмите +Добавить, затем выберите Добавить назначение ролей. Снимок экрана, на котором показано, как выбрать добавление назначения ролей.
  3. На вкладке "Роль" выберите пользовательскую роль, созданную для отправки сообщений электронной почты с помощью SMTP, и нажмите кнопку "Далее". Снимок экрана: выбор настраиваемой роли.
  4. На вкладке "Участники" выберите "Пользователь", "Группа" или "Субъект-служба ", а затем нажмите кнопку +Выбрать участников. Снимок экрана: выбор элементов.
  5. Используйте поле поиска, чтобы найти приложение Microsoft Entra , которое будет использоваться для проверки подлинности, и выберите его. Затем щелкните Выбрать. Снимок экрана: выбор приложения Microsoft Entra.
  6. После подтверждения выделения нажмите кнопку "Далее". Снимок экрана: просмотр назначения.
  7. После подтверждения области и членов нажмите кнопку "Проверить и назначить". Снимок экрана: назначение настраиваемой роли.

Создание учетных данных SMTP из сведений о приложении Microsoft Entra.

Имя пользователя проверки подлинности SMTP

Службы коммуникации Azure позволяет использовать учетные данные для приложения Microsoft Entra в качестве имени пользователя и пароля SMTP. Имя пользователя состоит из следующих трех частей и может быть каналом или разделителем точек.

  1. Имя ресурса службы коммуникации Azure. Снимок экрана: поиск имени ресурса.
  2. Идентификатор приложения Microsoft Entra. Снимок экрана: поиск идентификатора приложения Microsoft Entra.
  3. Идентификатор клиента Microsoft Entra. Снимок экрана: поиск идентификатора клиента Microsoft Entra.

Формат с разделителями точками:

username: <Azure Communication Services Resource name>.<Microsoft Entra Application ID>.<Microsoft Entra Tenant ID>

Формат с разделителями канала:

username: <Azure Communication Services Resource name>|<Microsoft Entra Application ID>|<Microsoft Entra Tenant ID>

Пароль проверки подлинности SMTP

Пароль является одним из секретов клиента приложения Microsoft Entra. Снимок экрана: поиск секрета клиента Microsoft Entra.

Требования к отправке клиента SMTP AUTH

  • Проверка подлинности: проверка подлинности имени пользователя и пароля поддерживается с помощью сведений о приложении Microsoft Entra в качестве учетных данных. Служба SMTP Службы коммуникации Azure будет использовать сведения о приложении Microsoft Entra, чтобы получить маркер доступа от имени пользователя и использовать его для отправки сообщения электронной почты. Так как маркер Microsoft Entra не кэширован, доступ можно отменить немедленно, изменив секрет клиента приложения Microsoft Entra или изменив элементы управления доступом для ресурса Службы коммуникации Azure.
  • Служба коммуникации Azure: требуется ресурс Службы коммуникации Azure с подключенным ресурсом электронной почты Azure и доменом связи Azure.
  • Транспортная безопасность (TLS): устройство должно иметь возможность использовать TLS версии 1.2 и выше.
  • Порт: требуется порт 587 и должен быть разблокирован в сети. Некоторые сетевые брандмауэры или поставщики сетей блокируют порты, так как это порт, используемый серверами электронной почты для отправки почты.
  • DNS: используйте DNS-имя smtp.azurecomm.net. Не используйте IP-адрес для сервера Microsoft 365 или Office 365, так как IP-адреса не поддерживаются.

Настройка отправки клиента SMTP AUTH

Введите следующие параметры непосредственно на устройстве или в приложении в качестве инструкций по их руководству (она может использовать другую терминологию, отличную от этой статьи). Если сценарий соответствует предварительным требованиям для отправки клиента SMTP AUTH, эти параметры позволяют отправлять сообщения электронной почты с устройства или приложения с помощью команд SMTP.

Параметр устройства или приложения Значение
Сервер или интеллектуальный узел smtp.azurecomm.net
Порт Порт 587
TLS/ StartTLS Включен
Имя пользователя и пароль Введите учетные данные приложения Microsoft Entra из приложения с доступом к ресурсу Службы коммуникации Azure