Moderne Hybrid-Authentifizierung (HMA) für Exchange lokal

Anmerkung

Das neue und verbesserte Power Platform Admin Center befindet sich jetzt in der öffentlichen Vorschauversion! Wir haben das neue Admin Center so gestaltet, dass es benutzerfreundlicher ist und eine aufgabenorientierte Navigation bietet, mit der Sie bestimmte Ergebnisse schneller erzielen können. Wir werden neue und aktualisierte Dokumentationen veröffentlichen, sobald das neue Power Platform Admin Center in die allgemeine Verfügbarkeit übergeht.

Dynamics 365 kann sich mit Hilfe von Hybrid Modern Authentication (HMA) mit Postfächern verbinden, die auf Exchange Server (lokal) gehostet werden. Die serverseitige Synchronisierung authentifiziert sich gegen Microsoft Entra mithilfe eines von Ihnen bereitgestellten und sicher in Azure Key Vault gespeicherten Zertifikats. Sie müssen eine durch ein Clientgeheimnis gesicherte Anwendungsregistrierung einrichten, damit Dynamics 365 auf das Zertifikat in Key Vault zugreifen kann. Nachdem Dynamics 365 das Zertifikat abrufen kann, wird das Zertifikat verwendet, um sich als bestimmte App zu authentifizieren und auf die Exchange-Ressource (lokal) zuzugreifen.

Unterstützte Versionen von Exchange

HMA wird erst ab Exchange 2013 (CU19+) oder Exchange 2016 (CU8+) verfügbar sein. Mehr Informationen: Ankündigung der hybriden modernen Authentifizierung für Exchange lokal (Blog)

Anforderungen

Um HMA mit Dynamics 365 bereitzustellen, müssen Sie die folgenden Anforderungen erfüllen:

• HMA muss auf Exchange aktiviert werden, indem Microsoft Entra ID Pass-Through-Authentifizierung verwendet wird. Weitere Informationen:

  • Exchange Server hybride Bereitstellungen
  • Hybrider Konfigurations-Assistent
  • Was ist Microsoft Entra Connect?
  • Microsoft Entra ID Passthrough-Authentifizierung: Schnellstart
  • So konfigurieren Sie Exchange Server lokal für die Verwendung der hybriden modernen Authentifizierung

• Für dieses Authentifizierungsschema ist ein Zertifikat erforderlich. Sie müssen ein gültiges Zertifikat bereitstellen, um die serverseitige Synchronisierung für HMA zu konfigurieren. Es kann direkt in Azure Key Vault oder durch den Prozess Ihres Unternehmens zum Generieren und Hochladen eines Zertifikats in Key Vault generiert werden.

• Sie benötigen einen Key Vault-Standort wo das Zertifikat sicher gespeichert werden kann. Sie müssen auch die App-Registrierung mit einer AppId und ClientSecret konfigurieren, um Dynamics 365 den Zugriff auf das Zertifikat zu ermöglichen. Mehr Informationen: Key Vault

Konfiguration

Führen Sie die folgenden Schritte aus, um HMA für Exchange zu konfigurieren (lokal).

Ein Zertifikat in Key Vault verfügbar machen

1. In dem Azure-Portal, öffnen Sie Key Vault und gehen Sie zum Abschnitt Zertifikate.

2. Wählen Sie Erstellen / Import.

3. An dieser Stelle kann ein Zertifikat entweder generiert oder importiert werden. Definieren Sie einen Zertifikatsname und wählen Sie Erstellen.

Der Zertifikatsname wird später verwendet, um auf das Zertifikat zu verweisen. In diesem Beispiel heißt das Zertifikat HMA-Cert.

Erstellen Sie eine neue App-Registrierung für den Key Vault-Zugriff

Erstellen Sie eine neue App-Registrierung im Azure-Portal in dem Mandanten, in dem sich der Key Vault befindet. In diesem Beispiel wird die App während des Konfigurationsprozesses KV-App genannt. Mehr Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identitätsplattform

Einen gehmeinen Clientschlüssel für die KV-App hinzufügen

Der geheime Clientschlüssel wird von Dynamics 365 verwendet, um die App zu authentifizieren und das Zertifikat abzurufen. Mehr Informationen: Geheimer Clientschlüssel hinzufügen

KV-App zu den Key Vault-Zugriffsrichtlinien hinzufügen

1. In dem Azure-Portal, öffnen Sie Key Vault und gehen Sie zum Abschnitt Zugriffsrichtlinie.

2. Zugriffsrichtlinie hinzufügen auswählen.

3. Zum Prinzipal auswählen wählen Sie einen Prinzipal aus. Wählen Sie für dieses Beispiel KV-App.

4. Berechtigungen auswählen. Sicherstellen, dass Erlaubnis erhalten unter Geheime Berechtigungen und ertifikatsberechtigungen hinzugefügt wurde. Beides wird benötigt, damit die KV-App auf das Zertifikat zugreifen kann.

5. Wählen Sie Hinzufügen.

Erstellen Sie eine neue App-Registrierung für den HAM-Zugriff

Erstellen Sie eine neue App-Registrierung im Azure-Portal in dem Mandanten, in dem Exchange hybrisiert wird.

In diesem Beispiel wird die App während dieses Konfigurationsprozesses HMA-App benannt und stellt die tatsächliche App dar, die Dynamics 365 verwendet, um mit Exchange-Ressourcen (lokal) zu interagieren. Mehr Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identitätsplattform

Zertifikat für HMA-App hinzufügen

Dies wird von Dynamics 365 verwendet, um die HMA-App zu authentifizieren. HMA unterstützt nur die Verwendung von Zertifikaten zur Authentifizierung einer App; daher wird für dieses Authentifizierungsschema ein Zertifikat benötigt.

Fügen Sie das zuvor in Key Vault bereitgestellte HMA-Zertifikat hinzu. Mehr Informationen: Ein Zertifikat hinzufügen

API Berechtigung hinzufügen

Um der HMA-App Zugriff auf Exchange (lokal) zu gewähren, gewähren Sie die Office 365 Exchange Online API-Berechtigung.

1. Wechseln Sie in Ihrem Azure-Portal zu App-Registrierungen und wählen Sie HMA-Appaus.

2. Wählen Sie API-Berechtigungen>Berechtigung hinzufügen aus.

3. Auswählen von APIs, die meine Organisation verwendet.

4. Office 365 Exchange Online eingeben und auswählen.

5. Anwendungsberechtigungen auswählen.

6. Wählen Sie das Kontrollkästchen full_access_as_app, um der App vollen Zugriff auf alle Postfächer zu gewähren, und wählen Sie dann Berechtigungen hinzufügen.

   

   Notiz

   Wenn es nicht Ihren Geschäftsanforderungen entspricht, über eine App mit vollem Zugriff auf alle Postfächer zu verfügen, kann der Exchange-Administrator (lokal) die Postfächer, auf die die App zugreifen kann, durch Konfigurieren der ApplicationImpersonation-Rolle in Exchange festlegen. Weitere Informationen: Konfigurieren von Identitätswechseln

7. Wählen Sie Administratorzustimmung erteilen aus.

E-Mail-Serverprofil mit Authentifizierungstyp Exchange Hybrid Modern Auth (HMA)

Vor dem Erstellen eines E-Mail-Serverprofils in Dynamics 365 mithilfe von Exchange Hybrid Modern Auth (HMA) müssen Sie die folgenden Informationen aus dem Azure-Portal sammeln:

• EWS-URL: Die Exchange-Webdienste (EWS) Endpunkt, in denen sich Exchange (lokal) befindet, die von Dynamics 365 aus öffentlich zugänglich sein müssen.
• Microsoft Entra-Ressourcen-ID: Die Azure-Ressourcen-ID, auf die die HMA-App Zugriff anfordert. Es ist normalerweise der Hostteil der EWS Endpunkt URL.
• TenantId: Die Mandant-ID des Mandanten, mit dem Exchange (lokal) mit Microsoft Entra ID Pass-Through-Authentifizierung konfiguriert ist.
• HMA-Anwendungs-ID: Die App-ID für die HMA-App. Diese finden Sie auf der Hauptseite zur App-Registrierung von HMA-App.
• Key Vault-URI: Die URI des Key Vault, die für die Zertifikatspeicherung verwendet wird.
• Key Vault KeyName: Der in Key Vault verwendete Zertifikatsname.
• KeyVault-Anwendungs-ID: Die App-ID der KV-App, die von Dynamics verwendet wird, um das Zertifikat von Key Vault abzurufen.
• KeyVault geheimer Clientschlüssel: Der geheime Clientschlüssel für die KV-App, die von Dynamics 365 verwendet wird.