Moderne Hybrid-Authentifizierung (HMA) für Exchange lokal

Artikel
31.08.2024

Dynamics 365 kann sich mit Hilfe von Hybrid Modern Authentication (HMA) mit Postfächern verbinden, die auf Exchange Server (lokal) gehostet werden. Die serverseitige Synchronisierung erfolgt mittels eines von Ihnen bereitgestellten und sicher im Key Vault von Azure gespeicherten Zertifikats Microsoft Entra . Sie müssen eine durch ein Clientgeheimnis gesicherte Anwendungsregistrierung einrichten, um Dynamics 365 den Zugriff auf das Zertifikat im Key Vault zu ermöglichen. Nachdem Dynamics 365 das Zertifikat abrufen konnte, wird das Zertifikat zur Authentifizierung als bestimmte App und zum Zugriff auf die Exchange-Ressource (lokal) verwendet.

Unterstützte Versionen von Exchange

HMA ist nur ab Exchange 2013 (CU19+) oder Exchange 2016 (CU8+) verfügbar. Mehr Informationen: Ankündigung der hybriden modernen Authentifizierung für Exchange lokal (Blog)

Anforderungen

Um HMA mit Dynamics 365 bereitzustellen, müssen Sie die folgenden Anforderungen erfüllen:

HMA muss auf Exchange mithilfe der Microsoft Entra ID-Pass-Through-Authentifizierung aktiviert werden. Weitere Informationen:
Für dieses Authentifizierungsschema ist ein Zertifikat erforderlich. Sie müssen ein gültiges Zertifikat bereitstellen, um die serverseitige Synchronisierung für HMA zu konfigurieren. Es kann direkt in Azure Key Vault oder durch den Prozess Ihres Unternehmens zum Generieren und Hochladen eines Zertifikats in Key Vault generiert werden.
Sie benötigen einen Key Vault-Speicherort, an dem das Zertifikat sicher gespeichert werden kann. Sie müssen auch die App-Registrierung mit einer AppId und ClientSecret konfigurieren, um Dynamics 365 den Zugriff auf das Zertifikat zu ermöglichen. Mehr Informationen: Key Vault

Konfiguration

Führen Sie die folgenden Schritte aus, um HMA für Exchange zu konfigurieren (lokal).

Ein Zertifikat in Key Vault verfügbar machen

In dem Azure-Portal, öffnen Sie Key Vault und gehen Sie zum Abschnitt Zertifikate.
Wählen Sie Erstellen / Import.
An dieser Stelle kann ein Zertifikat entweder generiert oder importiert werden. Definieren Sie einen Zertifikatsname und wählen Sie Erstellen.

Der Zertifikatsname dient später zur Referenzierung des Zertifikates. In diesem Beispiel heißt das Zertifikat HMA-Cert.

Erstellen Sie eine neue App-Registrierung für den Key Vault-Zugriff

Erstellen Sie eine neue App-Registrierung im Azure-Portal in dem Mandanten, in dem sich der Key Vault befindet. Für dieses Beispiel wird die App während des Konfigurationsprozesses KV-App genannt. Mehr Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identitätsplattform

Einen gehmeinen Clientschlüssel für die KV-App hinzufügen

Das Client-Geheimnis wird von Dynamics 365 verwendet, um die App zu authentifizieren und das Zertifikat abzurufen. Mehr Informationen: Geheimer Clientschlüssel hinzufügen

KV-App zu den Key Vault-Zugriffsrichtlinien hinzufügen

In dem Azure-Portal, öffnen Sie Key Vault und gehen Sie zum Abschnitt Zugriffsrichtlinie.
Zugriffsrichtlinie hinzufügen auswählen.
Zum Prinzipal auswählen wählen Sie einen Prinzipal aus. Für dieses Beispiel: Auswählen KV-App.
Berechtigungen auswählen. Sicherstellen, dass Erlaubnis erhalten unter Geheime Berechtigungen und ertifikatsberechtigungen hinzugefügt wurde. Beides wird benötigt, damit die KV-App auf das Zertifikat zugreifen kann.
Wählen Sie Hinzufügen.

Erstellen Sie eine neue App-Registrierung für den HAM-Zugriff

Erstellen Sie eine neue App-Registrierung im Azure-Portal in dem Mandanten, in dem Exchange hybrisiert wird.

In diesem Beispiel wird die App während dieses Konfigurationsprozesses HMA-App benannt und stellt die tatsächliche App dar, die Dynamics 365 verwendet, um mit Exchange-Ressourcen (lokal) zu interagieren. Mehr Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identitätsplattform

Zertifikat für HMA-App hinzufügen

Dies wird von Dynamics 365 zur Authentifizierung der HMA-App verwendet. HMA unterstützt nur die Verwendung von Zertifikaten zur Authentifizierung einer App; daher wird für dieses Authentifizierungsschema ein Zertifikat benötigt.

Fügen Sie das zuvor in Key Vault bereitgestellte HMA-Zertifikat hinzu. Mehr Informationen: Ein Zertifikat hinzufügen

API Berechtigung hinzufügen

Um der HMA-App Zugriff auf Exchange (lokal) zu gewähren, gewähren Sie die Office 365 Exchange Online API-Berechtigung.

Wechseln Sie in Ihrem Azure-Portal zu App-Registrierungen und wählen Sie HMA-Appaus.
Wählen Sie API-Berechtigungen>Berechtigung hinzufügen aus.
Auswählen von APIs, die meine Organisation verwendet.
Office 365 Exchange Online eingeben und auswählen.
Anwendungsberechtigungen auswählen.
Wählen Sie das Kontrollkästchen full_access_as_app, um der App vollen Zugriff auf alle Postfächer zu gewähren, und wählen Sie dann Berechtigungen hinzufügen.

Hinweis

Wenn es nicht Ihren Geschäftsanforderungen entspricht, über eine App mit vollem Zugriff auf alle Postfächer zu verfügen, kann der Exchange-Administrator (lokal) die Postfächer, auf die die App zugreifen kann, durch Konfigurieren der ApplicationImpersonation-Rolle in Exchange festlegen. Weitere Informationen: Konfigurieren von Identitätswechseln
Wählen Sie Administratorzustimmung erteilen aus.

E-Mail-Serverprofil mit Authentifizierungstyp Exchange Hybrid Modern Auth (HMA)

Vor dem Erstellen eines E-Mail-Serverprofils in Dynamics 365 mithilfe von Exchange Hybrid Modern Auth (HMA) müssen Sie die folgenden Informationen aus dem Azure-Portal sammeln:

EWS-URL: Die Exchange-Webdienste (EWS) Endpunkt, in denen sich Exchange (lokal) befindet, die von Dynamics 365 aus öffentlich zugänglich sein müssen.
Microsoft Entra Ressourcen-ID: Die Ressourcen-ID Azure, auf die die HMA-App Zugriff anfordert. Es ist normalerweise der Hostteil der EWS Endpunkt URL.
TenantId: Die Mandant-ID des Mandanten, mit dem Exchange (lokal) mit Microsoft Entra ID Pass-Through-Authentifizierung konfiguriert ist.
HMA-Anwendungs-ID: Die App-ID für die HMA-App. Diese finden Sie auf der Hauptseite zur App-Registrierung von HMA-App.
Key Vault-URI: Die URI des Key Vault, die für die Zertifikatspeicherung verwendet wird.
Key Vault KeyName: Der in Key Vault verwendete Zertifikatsname.
KeyVault-Anwendungs-ID: Die App-ID der KV-App, die von Dynamics zum Abrufen des Zertifikats aus Key Vault verwendet wird.
KeyVault geheimer Clientschlüssel: Der geheime Clientschlüssel für die KV-App, die von Dynamics 365 verwendet wird.

Zusätzliche Ressourcen

Dokumentation

Konfigurieren Exchange Server für die Verwendung der modernen Hybridauthentifizierung - Microsoft 365 Enterprise

Erfahren Sie, wie Sie eine Exchange Server lokal für die Verwendung der modernen Hybridauthentifizierung (Hybrid Modern Authentication, HMA) konfigurieren, die Ihnen eine sicherere Benutzerauthentifizierung und Autorisierung bietet.
Moderne Hybridauthentifizierung, Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern - Microsoft 365 Enterprise

In diesem Artikel erfahren Sie mehr über die moderne Hybridauthentifizierung und die Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern.
Testverbindung zum Exchange Server (lokal) - Power Platform

Lernen Sie, wie Sie Ihre App-Verbindung zu Exchange Server (lokal) testen können
Verbindung zu Exchange Server (lokal) - Power Platform

Mit Exchange Server (lokal) verbinden

Training

Modul

Implementieren und Verwalten einer Hybrididentität - Training

Das Erstellen einer Hybrididentitätslösung zur Verwendung Ihrer lokalen Active Directory-Instanz kann eine Herausforderung darstellen. Hier erfahren Sie, wie Sie eine sichere Hybrididentitätslösung implementieren.

Zertifizierung

Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications

Als Windows Server-Hybridadministrator*in integrieren Sie Windows Server-Umgebungen mit Azure-Diensten und verwalten Windows Server in lokalen Netzwerken.

Freigeben über