Υβριδικός σύγχρονος έλεγχος ταυτότητας (HMA) για Exchange εσωτερικής εγκατάστασης

Το Dynamics 365 μπορεί να συνδεθεί σε γραμματοκιβώτια που φιλοξενούνται στον Exchange Server (εσωτερικής εγκατάστασης) χρησιμοποιώντας τον υβριδικό σύγχρονο έλεγχο ταυτότητας (HMA). Ο συγχρονισμός από την πλευρά του διακομιστή πραγματοποιεί Microsoft Entra έλεγχο ταυτότητας χρησιμοποιώντας ένα πιστοποιητικό που παρέχετε και αποθηκεύετε με ασφάλεια στο Azure Key Vault. Πρέπει να δημιουργήσετε μια καταχώρηση εφαρμογής που προστατεύεται από έναν μυστικό κωδικό πελάτη για να Dynamics 365 επιτρέψετε να αποκτήσετε πρόσβαση στο πιστοποιητικό στο Key Vault. Αφού Dynamics 365 είναι σε θέση να ανακτήσει το πιστοποιητικό, το πιστοποιητικό χρησιμοποιείται για τον έλεγχο ταυτότητας ως συγκεκριμένη εφαρμογή και την πρόσβαση στον πόρο Exchange (εσωτερικής εγκατάστασης).

Υποστηριζόμενες εκδόσεις του Exchange

Το HMA είναι διαθέσιμο μόνο από το Exchange 2013 (CU19+) ή το Exchange 2016 (CU8+). Περισσότερες πληροφορίες: Αναγγελία Υβριδικού σύγχρονου ελέγχου ταυτότητας για Exchange εσωτερικής εγκατάστασης (ιστολόγιο)

Προϋποθέσεις

Για να αναπτύξεις το HMA με Dynamics 365, πρέπει να πληροίς τις ακόλουθες απαιτήσεις:

• Το HMA πρέπει να ενεργοποιηθεί στο Exchange χρησιμοποιώντας Microsoft Entra έλεγχο ταυτότητας διαβίβασης ταυτότητας. Περισσότερες πληροφορίες:

  • Υβριδικές αναπτύξεις του Exchange Server
  • Οδηγός ρύθμισης παραμέτρων υβριδικής
  • Τι είναι το Microsoft Entra Connect;
  • Microsoft Entra Έλεγχος ταυτότητας διαβίβασης αναγνωριστικού: Οδηγός γρήγορης εκκίνησης
  • Τρόπος ρύθμισης παραμέτρων του Exchange Server εσωτερικής εγκατάστασης για χρήση υβριδικού σύγχρονου ελέγχου ταυτότητας

• Απαιτείται πιστοποιητικό για αυτό το σχήμα ελέγχου ταυτότητας. Πρέπει να παρέχετε ένα έγκυρο πιστοποιητικό για να ρυθμίσετε τις παραμέτρους συγχρονισμού από την πλευρά του διακομιστή για το HMA. Μπορεί να δημιουργηθεί απευθείας στο Azure Key Vault ή μέσω της διεργασίας παραγωγής και αποστολής ενός πιστοποιητικού στο Key Vault της εταιρείας σας.

• Χρειάζεστε μια θέση θυρίδας αποθήκευσης κλειδιών όπου το πιστοποιητικό μπορεί να αποθηκευτεί με ασφάλεια. Θα χρειαστεί επίσης να ρυθμίσετε τις παραμέτρους εγγραφής της εφαρμογής με ένα AppId και ClientSecret ώστε να επιτρέπεται η πρόσβαση στο Dynamics 365 στο πιστοποιητικό. Περισσότερες πληροφορίες: Key Vault

Ρύθμιση παραμέτρων

Ακολουθήστε τα παρακάτω βήματα για να ρυθμίσετε τις παραμέτρους του HMA για το Exchange (εσωτερικής εγκατάστασης).

Διάθεση ενός πιστοποιητικού στο Key Vault

1. Στην πύλη Azure, ανοίξτε το Key Vault και μεταβείτε στην ενότητα Πιστοποιητικά.

2. Επιλέξτε Δημιουργία/Εισαγωγή.

3. Σε αυτό το σημείο, ένα πιστοποιητικό μπορεί να δημιουργηθεί ή να εισαχθεί. Καθορίστε ένα όνομα πιστοποιητικού και, στη συνέχεια, επιλέξτε Δημιουργία.

Το όνομα του πιστοποιητικού χρησιμοποιείται αργότερα για αναφορά στο πιστοποιητικό. Σε αυτό το παράδειγμα, το πιστοποιητικό ονομάζεται HMA-Cert.

Δημιουργία νέας εγγραφής εφαρμογής για πρόσβαση στο Key Vault

Δημιουργήστε μια νέα εγγραφή εφαρμογής στην πύλη Azure στον μισθωτή όπου βρίσκεται το Key Vault. Για αυτό το παράδειγμα, η εφαρμογή ονομάζεται KV-App κατά τη διαδικασία ρύθμισης παραμέτρων. Περισσότερες πληροφορίες: Οδηγός γρήγορης εκκίνησης: Καταχώρηση εφαρμογής στην Microsoft πλατφόρμα ταυτότητας

Προσθήκη ενός μυστικού προγράμματος-πελάτη για το KV-App

Ο μυστικός κωδικός προγράμματος-πελάτη χρησιμοποιείται από Dynamics 365 για τον έλεγχο ταυτότητας της εφαρμογής και την ανάκτηση του πιστοποιητικού. Περισσότερες πληροφορίες: Προσθήκη προγράμματος-πελάτη

Προσθήκη εφαρμογής KV στις πολιτικές πρόσβασης του Key Vault

1. Στην πύλη Azure, ανοίξτε το Key Vault και μεταβείτε στην ενότητα Πολιτικές πρόσβασης.

2. Επιλέξτε Προσθήκη πολιτικής πρόσβασης.

3. Για το στοιχείο Επιλογή κύριας, επιλέξτε μια κύρια. Για αυτό το παράδειγμα, επιλέξτε KV-App.

4. Επιλογή δικαιωμάτων. Βεβαιωθείτε ότι προσθέτετε το στοιχείο Λήψη δικαιώματος στα τμήματα Μυστικά δικαιώματα και Δικαιώματα πιστοποιητικών. Και τα δύο απαιτούνται προκειμένου το KV-App να μπορεί να αποκτήσει πρόσβαση στο πιστοποιητικό.

5. Επιλέξτε Προσθήκη.

Δημιουργία νέας εγγραφής εφαρμογής για πρόσβαση στο HMA

Δημιουργήστε μια νέα εγγραφή εφαρμογής στην πύλη Azure στον μισθωτή όπου υβριδοποιείται το Exchange.

Σε αυτό το παράδειγμα, η εφαρμογή θα ονομάζεται HMA-App κατά τη διάρκεια αυτής της διαδικασίας ρύθμισης παραμέτρων και θα αντιπροσωπεύει την πραγματική εφαρμογή που θα χρησιμοποιήσει το Dynamics 365 για να αλληλεπιδρά με πόρους του Exchange (εσωτερικής εγκατάστασης). Περισσότερες πληροφορίες: Οδηγός γρήγορης εκκίνησης: Καταχώρηση εφαρμογής στην Microsoft πλατφόρμα ταυτότητας

Προσθήκη του πιστοποιητικού για την εφαρμογή HMA-App

Αυτό χρησιμοποιείται από Dynamics 365 για τον έλεγχο ταυτότητας του HMA-App. Το HMA υποστηρίζει μόνο τη χρήση πιστοποιητικών για τον έλεγχο ταυτότητας μιας εφαρμογής. Για αυτόν το λόγο, απαιτείται ένα πιστοποιητικό για αυτό το σχήμα ελέγχου ταυτότητας.

Προσθέστε το HMA-Cert που έχει ήδη παρασχεθεί στο Key Vault. Περισσότερες πληροφορίες: Προσθήκη πιστοποιητικού

Προσθήκη δικαιώματος API

Για να επιτρέπεται στην εφαρμογή HMA-App να έχει πρόσβαση στο Exchange (εσωτερικής εγκατάστασης), εκχωρήστε το δικαίωμα API Office 365 Exchange Online.

1. Στην πύλη Azure, ανοίξτε τις Εγγραφές εφαρμογών και επιλέξτε HMA-App.

2. Επιλέξτε Δικαιώματα API>Προσθήκη ενός δικαιώματος.

3. Επιλέξτε API που χρησιμοποιεί ο οργανισμός μου.

4. Εισαγάγετε Office 365 Exchange Online και επιλέξτε το.

5. Επιλέξτε Δικαιώματα εφαρμογής.

6. Επιλέξτε το πλαίσιο ελέγχου full_access_as_app ώστε η εφαρμογή να έχει πλήρη πρόσβαση σε όλα τα γραμματοκιβώτια και, στη συνέχεια, επιλέξτε Προσθήκη δικαιωμάτων.

   

   Σημείωμα

   Αν δεν είναι ευθυγραμμισμένο με τις επιχειρηματικές σας απαιτήσεις για να έχετε μια εφαρμογή με πλήρη πρόσβαση σε όλα τα γραμματοκιβώτια, ο διαχειριστής του Exchange (εσωτερικής εγκατάστασης) μπορεί να έχει πεδίο στα γραμματοκιβώτια στα οποία μπορεί να αποκτήσει πρόσβαση η εφαρμογή ρυθμίζοντας τις παραμέτρους του ρόλου ApplicationImpersonation στο Exchange. Περισσότερες πληροφορίες: Διαμόρφωση παραμέτρων απομίμησης

7. Επιλέξτε Εκχώρηση συναίνεσης διαχειριστή.

Προφίλ διακομιστή ηλεκτρονικού ταχυδρομείου με τύπο ελέγχου ταυτότητας Exchange Modern Auth (HMA)

Πριν δημιουργήσετε ένα προφίλ διακομιστή ηλεκτρονικού ταχυδρομείου στο Dynamics 365 χρησιμοποιώντας τον Υβριδικό σύγχρονο έλεγχο ταυτότητας του Exchange (HMA), πρέπει να συλλέξετε τις παρακάτω πληροφορίες από την πύλη Azure:

• Διεύθυνση URL EWS: Το τελικό σημείο των Υπηρεσιών Web του Exchange (EWS) όπου βρίσκεται το Exchange (εσωτερικής εγκατάστασης), το οποίο πρέπει να είναι δημόσια προσβάσιμο από το Dynamics 365.
• Microsoft Entra Αναγνωριστικό πόρου: Το αναγνωριστικό πόρου Azure στο οποίο ζητά πρόσβαση η εφαρμογή HMA. Συνήθως είναι το κεντρικό τμήμα του τελικού σημείου EWS διευθύνσεων URL.
• TenantId: Το αναγνωριστικό μισθωτή του μισθωτή στον οποίο το Exchange (εσωτερικής εγκατάστασης) έχει ρυθμιστεί με έλεγχο ταυτότητας διέλευσης του Microsoft Entra ID.
• Αναγνωριστικό εφαρμογής HMA: Το αναγνωριστικό εφαρμογής για την εφαρμογή HMA-App. Μπορείτε να το βρείτε στην κύρια σελίδα για την εγγραφή της εφαρμογής HMA-App.
• Διεύθυνση URI Key Vault: Η διεύθυνση URI του Key Vault που χρησιμοποιείται για αποθήκευση πιστοποιητικών.
• Key Vault KeyName: Το όνομα πιστοποιητικού που χρησιμοποιείται στο Key Vault.
• KeyVault Application Id: Το αναγνωριστικό εφαρμογής της εφαρμογής KV που χρησιμοποιείται από το Dynamics για την ανάκτηση του πιστοποιητικού από το Key Vault.
• Μυστικό πρόγραμμα-πελάτη του KeyVault: Το μυστικό πρόγραμμα-πελάτης για την εφαρμογή KV-App που χρησιμοποιείται από το Dynamics 365.