A partire dalla versione 2021.08+10 è possibile configurare l’invio della posta utilizzando Microsoft 365 (ex Office365) con autenticazione OAuth 2.0, evitando così l’utilizzo dell’SMTP con la cosiddetta “Autenticazione di base”, che è stata disabilitata da Microsoft su tutti i tenant.
La configurazione richiede una preventiva configurazione effettuata sul tenant tramite il portale EntraID, per ottenere 3 parametri fondamentali che saranno poi inseriti nella configurazione di QualiWare:
- Tenant ID
- Application ID
- Client Secret
Di seguito si riporta la procedura da seguire per ottenerli.
1) Entrare nel portale Azure: https://entra.microsoft.com/
2) Scegliere “Applicazioni” nel menu a sinistra
3) Cliccare “Registrazioni app” e poi “Nuova registrazione”.
4) Registrare una nuova applicazione, scegliendo “Account solo in questa directory dell’organizzazione” nell’opzione “Tipi di account supportati”, e premendo poi “Registra”.
5) Cliccare sull’applicazione creata e annotare il valore dei campi “ID applicazione (client)” e “ID, che andranno inseriti nella configurazione di QualiWare (vedere p.to 11)
6) Cliccare poi sul link a fianco di “Credenziali client”
7) Cliccare su “Segreti client” e poi su “Nuovo segreto client”, per creare un nuovo segreto client, che è caratterizzato da un valore e da un ID segreto. Scegliere la scadenza che si ritiene più opportuna.
ATTENZIONE: quando viene creato il segreto client, solamente la prima volta è visibile il “valore”, che è necessario annotare perché andrà poi inserito nella configurazione di QualiWare (vedere p.to 11).
8) Scegliere “Autorizzazioni API”, poi “API usate dall’organizzazione” e, nella casella di ricerca, inserire “Office 365” e cliccare poi “Office 365 Exchange Online”
9) Scegliere poi “Autorizzazioni applicazione” e spuntare “full_access_as_app”
10) Infine, premere “Concedi consenso amministratore” per fornire il consenso all’autorizzazione appena aggiunta.
11) Nella configurazione di QualiWare Web Server, al passo 3 scegliere “Office365” e inserire nei campi “Tenant ID” e “App ID” rispettivamente i campi “I“ID applicazione (client)” annotati al passo 5, e nel campo “Client secret” il valore annotato al passo 7. Opzionalmente, è possibile inserire un indirizzo di posta che risulterà come mittente per tutti i messaggi inviati da QualiWare.
Nota
Il Client secret è un servizio a scadenza, di conseguenza quando la validità è scaduta tutte le funzioni di QualiWare legate al servizio email cessano di funzionare. In questi casi, l’utente deve creare una nuova chiave Client secret con una nuova scadenza tramite il portale Entra. Successivamente, bisogna procedere all’aggiornamento in Configurazione di QualiWare Web Server nel campo dedicato al Passo 3 – Configurazione del file server.
Come limitare l’invio della posta a determinati utenti
La configurazione sopra riportata, consente l’accesso a tutte le caselle di posta del tenant. E’ possibile restringere l’accesso ad un gruppo di utenti predefinito, tramite la definizione di una Application Policy seguendo i passi descritti di seguito.
- Nell’interfaccia di amministrazione di Exchange, definire un gruppo di tipo “Sicurezza abilitata alla posta elettronica” inserendovi, come membri, gli utenti abilitati all’invio della posta e le caselle che, eventualmente, dovranno essere oggetto di importazione documenti.
- Avviare PowerShell come amministratore
- Installare il modulo di gestione Exchange Online tramite il seguente comando:
Install-Module -Name ExchangeOnlineManagement - Attivare il modulo con il seguente comando:
Import-Module ExchangeOnlineManagement - Connettersi ad Exchange Online con il seguente comando:
Connect-ExchangeOnline -UserPrincipalName <nome utente amministratore> - Eseguire il seguente comando:
New-ApplicationAccessPolicy -AppId <appID> -PolicyScopeGroupId <indirizzomailgruppo> -AccessRight RestrictAccess -Description “Restringe l’accesso dell’app QualiWare”
dove <appID> è l’ID dell’app definita come sopra descritto, e <indirizzomailgruppo> è l’indirizzo attribuito al gruppo definito al punto 1.
E’ possibile aggiungere o rimuovere in ogni momento gli utenti abilitati semplicemente modificando i membri del gruppo creato al p.to 1.