Hybridní moderní ověřování (HMA) pro místní server Exchange

Dynamics 365 se může připojit k poštovním schránkám hostovaným na Exchange Serveru (místním) pomocí metody Hybridní moderní ověřování (HMA). Synchronizace na straně serveru je ověřována prostřednictvím Microsoft Entra pomocí certifikátu, který poskytnete a bezpečně uložíte v Azure Key Vault. Aby měla aplikace Dynamics 365 přístup k certifikátu v Key Vault, muíte vytvořit registraci aplikace zabezpečenou tajným kódem klienta. Jakmile Dynamics 365 dokáže načíst certifikát, tento certifikát se použije k ověření jako konkrétní aplikace a přistoupí ke zdroji místního serveru Exchange.

Podporované verze aplikací

HMA bude k dispozici pouze od Exchange 2013 (CU19+) nebo Exchange 2016 (CU8+). Další informace: Oznámení hybridního moderního ověřování pro místní server Exchange (blog)

Požadavky

Pro nasazení HMA do Dynamics 365 budete muset splnit následující požadavky:

• HMA musí být na serveru Exchange povoleno pomocí předávacího ověřování Microsoft Entra ID. Další informace:

  • Hybridní nasazení serveru Exchange Server
  • Průvodce hybridní konfigurací
  • Co je Microsoft Entra Connect?
  • Předávací ověřování Microsoft Entra ID: rychlý start
  • Jak konfigurovat místní Exchange Server, aby používal hybridní moderní ověřování

• Pro toto schéma ověřování je vyžadován certifikát. Pro konfiguraci synchronizace na straně serveru pro HMA musíte poskytnout platný certifikát. Lze jej vygenerovat přímo v Azure Key Vault nebo prostřednictvím procesu vaší společnosti pro generování a nahrání certifikátu do Key Vault.

• Potřebujete umístění Key Vault, kde lze certifikát bezpečně uložit. Budete také muset nakonfigurovat registraci aplikace pomocí AppId a ClientSecret, abyste k certifikátu mělo přístup řešení Dynamics 365. Další informace: Key Vault

Konfigurace

Při konfiguraci HMA pro místní server Exchange postupujte podle následujících pokynů.

Zpřístupněte certifikát v Key Vault

1. V Azure Portal otevřete Key Vault a přejděte do sekce Certifikáty.

2. Vyberte Generovat/importovat.

   

3. V tomto okamžiku lze certifikát vygenerovat nebo importovat. Zadejte název certifikátu a poté vyberte Vytvořit.

Název certifikátu bude později odkazovat na certifikát. V tomto příkladu má certifikát název HMA-Cert.

Vytvoření nové registrace aplikace pro přístup ke službě Key Vault

Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde se nachází Key Vault. V těchto případech bude během procesu konfigurace aplikace pojmenována KV-App. Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft

Přidání tajného kódu klienta pro KV-App

Tajný kód klienta použije Dynamics 365 k ověření aplikace a načtení certifikátu. Další informace: Přidání tajného kódu klienta

Přidání KV-App do zásad přístupu ke Key Vault

1. V Azure Portal otevřete Key Vault a přejděte do sekce Zásady přístupu.

2. Vyberte Přidat zásady přístupu.

   

3. Pro Vybrat objekt zabezpečení vyberte objekt zabezpečení. V těchto případech vybereme KV-App.

4. Vyberte oprávnění. Určitě přidejte Získat oprávnění v sekci Tajná oprávnění a Oprávnění k certifikátu. Obojí je vyžadováno, aby aplikace KV-App měla přístup k certifikátu.

   

5. Vyberte Přidat.

Vytvoření nové registrace aplikace pro přístup k HMA

Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde je hybridizován Exchange.

V tomto příkladu bude během této konfigurace aplikace pojmenována HMA-App a bude představovat skutečnou aplikaci, kterou Dynamics 365 použije k interakci se zdroji místního serveru Exchange. Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft

Přidání certifikátu pro HMA-App

Tento certifikát použije řešení Dynamics 365 k ověřování HMA-App. HMA podporuje pouze použití certifikátu k ověření aplikace; proto je pro toto schéma ověřování potřeba certifikát.

Přidejte HMA-Cert dříve zřízený v Key Vault. Další informace: Přidání certifikátu

Přidání oprávnění rozhraní API

Aby měla aplikace HMA-App přístup k místnímu serveru Exchange, udělte oprávnění rozhraní Office 365 Exchange Online API.

1. V portálu Azure Portál otevřete Registrace aplikací a vyberte HMA-App.

2. Vyberte Oprávnění rozhraní API>Přidat oprávnění.

   

3. Vyberte Rozhraní API, která používá moje organizace.

4. Zadejte Office 365 Exchange Online a vyberte jej.

5. Vyberte Oprávnění aplikace.

6. Zaškrtnutím políčka full_access_as_app povolte aplikaci plný přístup ke všem poštovním schránkám a poté vyberte Přidat oprávnění.

   

   Poznámka:

   Pokud aplikace s plným přístupem ve všech poštovních schránkách nevyhovuje vašim obchodním požadavkům, může správce místního serveru Exchange nastavit rozsah poštovních schránek, ke kterým má aplikace přístup, konfigurací role ApplicationImpersonation na serveru Exchange. Další informace: Konfigurace zosobnění

7. Vyberte Udělit souhlas správce.

   

Profil e mailového serveru s typem ověřování Exchange Hybrid Modern Auth (HMA)

Před vytvořením profilu e-mailového serveru v Dynamics 365 pomocí Exchange Hybrid Modern Auth (HMA) musíte z Azure Portal shromáždit následující informace:

• Adresa URL pro EWS: Koncový bod webových služeb Exchange (EWS), kde se nachází mstní server Exchange, který musí být veřejně přístupný z Dynamics 365.

• ID prostředku Microsoft Entra: ID prostředku Azure, ke kterému bude aplikace HMA požadovat přístup. Obvykle je to část hostitele v adrese URL koncového bodu EWS.

• TenantId: ID klienta, kde se pro místní server Exchange nakonfigurováno předávací ověřování Microsoft Entra ID.

• ID aplikace HMA: ID pro aplikaci HMA-App. Lze jej najít na hlavní stránce s registrací aplikace HMA-App.

• Identifikátor URI pro Key Vault: Identifikátor URI pro Key Vault používaný pro uchovávání certifikátů.

• KeyName pro Key Vault: Název certifikátu použitý v Key Vault.

• ID aplikace KeyVault: ID aplikace KV-App používané řešením Dynamics k získání certifikátu z Key Vault.

• Tajný kód klienta KeyVault: Tajný kód klienta pro KV-App, kterou používá Dynamics 365.