Moderne Hybrid-Authentifizierung (HMA) für Exchange lokal

Dynamics 365 kann sich mit Hilfe von Hybrid Modern Authentication (HMA) mit Postfächern verbinden, die auf Exchange Server (lokal) gehostet werden. Die serverseitige Synchronisierung erfolgt mittels eines von Ihnen bereitgestellten und sicher im Azure Key Vault gespeicherten Zertifikats Microsoft Entra . Sie müssen eine durch einen geheimen Clientschlüssel gesicherte Anwendungsregistrierung einrichten, um Dynamics 365 den Zugriff auf das Zertifikat im Key Vault zu ermöglichen. Nachdem Dynamics 365 das Zertifikat abrufen kann, wird es zur Authentifizierung als bestimmte App und zum Zugriff auf die Exchange-Ressource (lokal) verwendet.

Unterstützte Versionen von Exchange

HMA ist nur ab Exchange 2013 (CU19+) oder Exchange 2016 (CU8+) verfügbar. Mehr Informationen: Ankündigung der hybriden modernen Authentifizierung für Exchange lokal (Blog)

Anforderungen

Um HMA mit Dynamics 365 bereitzustellen, müssen Sie die folgenden Anforderungen erfüllen:

• HMA muss auf Exchange mithilfe der Microsoft Entra ID-Pass-Through-Authentifizierung aktiviert werden. Weitere Informationen:

  • Hybridbereitstellungen für Exchange Server
  • Assistent für die Hybridkonfiguration
  • Was ist Microsoft Entra Verbinden?
  • Microsoft Entra ID Pass-Through-Authentifizierung: Schnellstart
  • So konfigurieren Sie Exchange Server lokal zur Verwendung der hybriden modernen Authentifizierung

• Für dieses Authentifizierungsschema ist ein Zertifikat erforderlich. Sie müssen ein gültiges Zertifikat bereitstellen, um die serverseitige Synchronisierung für HMA zu konfigurieren. Es kann direkt in Azure Key Vault oder durch den Prozess Ihres Unternehmens zum Generieren und Hochladen eines Zertifikats in Key Vault generiert werden.

• Sie benötigen einen Key Vault-Speicherort, an dem das Zertifikat sicher gespeichert werden kann. Sie müssen auch die App-Registrierung mit einer AppId und ClientSecret konfigurieren, um Dynamics 365 den Zugriff auf das Zertifikat zu ermöglichen. Mehr Informationen: Key Vault

Konfiguration

Führen Sie die folgenden Schritte aus, um HMA für Exchange zu konfigurieren (lokal).

Ein Zertifikat in Key Vault verfügbar machen

1. In dem Azure-Portal, öffnen Sie Key Vault und gehen Sie zum Abschnitt Zertifikate.

2. Wählen Sie Erstellen / Import.

3. An dieser Stelle kann ein Zertifikat entweder generiert oder importiert werden. Definieren Sie einen Zertifikatsname und wählen Sie Erstellen.

Der Zertifikatsname dient später zur Referenzierung des Zertifikates. In diesem Beispiel heißt das Zertifikat HMA-Cert.

Erstellen Sie eine neue App-Registrierung für den Key Vault-Zugriff

Erstellen Sie eine neue App-Registrierung im Azure-Portal in dem Mandanten, in dem sich der Key Vault befindet. Für dieses Beispiel wird die App während des Konfigurationsprozesses KV-App genannt. Weitere Informationen: Schnellstart: Eine Anwendung bei der Microsoft Identitätsplattform registrieren

Einen gehmeinen Clientschlüssel für die KV-App hinzufügen

Das Clientgeheimnis wird von Dynamics 365 verwendet, um die App zu authentifizieren und das Zertifikat abzurufen. Mehr Informationen: Geheimer Clientschlüssel hinzufügen

KV-App zu den Key Vault-Zugriffsrichtlinien hinzufügen

1. In dem Azure-Portal, öffnen Sie Key Vault und gehen Sie zum Abschnitt Zugriffsrichtlinie.

2. Zugriffsrichtlinie hinzufügen auswählen.

3. Zum Prinzipal auswählen wählen Sie einen Prinzipal aus. Für dieses Beispiel: Auswählen KV-App.

4. Berechtigungen auswählen. Sicherstellen, dass Erlaubnis erhalten unter Geheime Berechtigungen und ertifikatsberechtigungen hinzugefügt wurde. Beides wird benötigt, damit die KV-App auf das Zertifikat zugreifen kann.

5. Wählen Sie Hinzufügen.

Erstellen Sie eine neue App-Registrierung für den HAM-Zugriff

Erstellen Sie eine neue App-Registrierung im Azure-Portal in dem Mandanten, in dem Exchange hybrisiert wird.

In diesem Beispiel wird die App während dieses Konfigurationsprozesses HMA-App benannt und stellt die tatsächliche App dar, die Dynamics 365 verwendet, um mit Exchange-Ressourcen (lokal) zu interagieren. Weitere Informationen: Schnellstart: Eine Anwendung bei der Microsoft Identitätsplattform registrieren

Zertifikat für HMA-App hinzufügen

Dies wird von Dynamics 365 zur Authentifizierung der HMA-App verwendet. HMA unterstützt nur die Verwendung von Zertifikaten zur Authentifizierung einer App; daher wird für dieses Authentifizierungsschema ein Zertifikat benötigt.

Fügen Sie das zuvor in Key Vault bereitgestellte HMA-Zertifikat hinzu. Mehr Informationen: Ein Zertifikat hinzufügen

API Berechtigung hinzufügen

Um der HMA-App Zugriff auf Exchange (lokal) zu gewähren, gewähren Sie die Office 365 Exchange Online API-Berechtigung.

1. Wechseln Sie in Ihrem Azure-Portal zu App-Registrierungen und wählen Sie HMA-Appaus.

2. Wählen Sie API-Berechtigungen>Berechtigung hinzufügen aus.

3. Auswählen von APIs, die meine Organisation verwendet.

4. Office 365 Exchange Online eingeben und auswählen.

5. Anwendungsberechtigungen auswählen.

6. Wählen Sie das Kontrollkästchen full_access_as_app, um der App vollen Zugriff auf alle Postfächer zu gewähren, und wählen Sie dann Berechtigungen hinzufügen.

   

   Notiz

   Wenn es nicht Ihren Geschäftsanforderungen entspricht, über eine App mit vollem Zugriff auf alle Postfächer zu verfügen, kann der Exchange-Administrator (lokal) die Postfächer, auf die die App zugreifen kann, durch Konfigurieren der ApplicationImpersonation-Rolle in Exchange festlegen. Weitere Informationen: Konfigurieren von Identitätswechseln

7. Wählen Sie Administratorzustimmung erteilen aus.

E-Mail-Serverprofil mit Authentifizierungstyp Exchange Hybrid Modern Auth (HMA)

Vor dem Erstellen eines E-Mail-Serverprofils in Dynamics 365 mithilfe von Exchange Hybrid Modern Auth (HMA) müssen Sie die folgenden Informationen aus dem Azure-Portal sammeln:

• EWS-URL: Die Exchange-Webdienste (EWS) Endpunkt, in denen sich Exchange (lokal) befindet, die von Dynamics 365 aus öffentlich zugänglich sein müssen.
• Microsoft Entra Ressourcen-ID: Die Azure-Ressourcen-ID, auf die die HMA-App Zugriff anfordert. Es ist normalerweise der Hostteil der EWS Endpunkt URL.
• TenantId: Die Mandant-ID des Mandanten, mit dem Exchange (lokal) mit Microsoft Entra ID Pass-Through-Authentifizierung konfiguriert ist.
• HMA-Anwendungs-ID: Die App-ID für die HMA-App. Diese finden Sie auf der Hauptseite zur App-Registrierung von HMA-App.
• Key Vault-URI: Die URI des Key Vault, die für die Zertifikatspeicherung verwendet wird.
• Key Vault KeyName: Der in Key Vault verwendete Zertifikatsname.
• KeyVault-Anwendungs-ID: Die App-ID der KV-App, die von Dynamics zum Abrufen des Zertifikats aus Key Vault verwendet wird.
• KeyVault geheimer Clientschlüssel: Der geheime Clientschlüssel für die KV-App, die von Dynamics 365 verwendet wird.