Outlook 企业邮箱 OAuth2.0 后台发送邮件配置指引
一、适用场景说明
- 我方系统为后台定时任务自动发送邮件,无用户登录、无前端页面交互
- 采用 OAuth2.0 客户端凭证模式(Client Credentials)
- 不需要配置回调地址(重定向 URI)
- 只需注册 1 个应用,支持多个发件邮箱账号
二、配置平台
- 配置地址:Microsoft Entra ID 管理中心
https://entra.microsoft.com/ - 操作账号:必须具备租户管理员权限
三、具体操作步骤
步骤 1:新建应用注册
- 进入「应用注册 」→「新注册」
- 填写信息:
- 名称:可自定义(例如:后台邮件发送服务)
- 支持的帐户类型:选择 仅此组织目录中的帐户
- 重定向 URI:留空不填(本场景不需要)
- 点击「注册」
步骤 2:记录 3 个关键信息(必须提供给我方)
注册成功后,在「概述」页面复制以下信息:
- 目录(租户)ID(Tenant ID)
- 应用程序(客户端)ID(Client ID)
步骤 3:创建客户端密码(Client Secret)
- 进入「证书和密码 」→「客户端密码」
- 点击「新客户端密码」
- 设置:
- 说明:自定义
- 过期时间:建议选择 24 个月(最长有效时间)
- 点击「添加」
- 立即复制「值」列内容(此为 Client Secret,只显示一次,丢失需重新创建)
需要提供给我方:
- Tenant ID
- Client ID
- Client Secret(值)
步骤 4:配置 API 权限(最关键,不能配错)
- 进入「API 权限 」→「添加权限」
- 选择「Microsoft Graph」
- 选择 应用程序权限(⚠️ 严禁选择"委托权限")
- 搜索并勾选:
Mail.Send - 点击「添加权限」
步骤 5:授予管理员同意(必须操作)
- 回到 API 权限页面
- 点击「代表 {你的组织名称} 授予管理员同意」
- 确认同意
完成后,权限状态显示已授权。
四、安全限制建议(可选,推荐配置)
如贵方需要限制应用只能访问指定发件邮箱,可配置「应用访问策略」,官方文档:
https://learn.microsoft.com/zh-cn/graph/auth-limit-mailbox-access
五、我方需要的最终资料清单(请整理后提供)
- 租户 ID(Tenant ID)
- 客户端 ID(Client ID)
- 客户端密码(Client Secret)
- 允许用于发送的企业邮箱账号列表(例如:xxx@company.com)
- 确认已完成:
- 权限类型:应用程序权限
- 权限名称:
Mail.Send - 已授予管理员同意
六、重要说明(给客户看的)
- 无需为每个邮箱单独注册应用,1 个应用即可支持多个发件账号
- 无需回调地址,纯后台服务运行
- 权限仅用于邮件发送,可通过策略限制访问范围
- 客户端密码过期前请提前重新生成并同步我方