Hybride moderne verificatie (HMA) voor Exchange on-premises
Dynamics 365 kan verbinding maken met postvakken die worden gehost op Exchange Server (on-premises) met behulp van Hybrid Modern Authentication (HMA). Bij serversynchronisatie wordt authenticatie uitgevoerd met behulp van een certificaat dat u verstrekt en veilig opslaat in Azure Key Vault. Microsoft Entra U moet een toepassingsregistratie instellen die is beveiligd met een clientgeheim, zodat Dynamics 365 toegang heeft tot het certificaat in Key Vault. Nadat Dynamics 365 het certificaat heeft opgehaald, wordt het certificaat gebruikt om te verifiëren als een specifieke app en toegang te krijgen tot de Exchange (on-premises)-resource.
Ondersteunde versies van Exchange
HMA is alleen beschikbaar via Exchange 2013 (CU19+) of Exchange 2016 (CU8+). Meer informatie: Aankondiging van Hybride moderne verificatie voor Exchange on-premises (blog)
Vereisten
Om HMA met Dynamics 365 te implementeren, moet u aan de volgende vereisten voldoen:
HMA moet worden ingeschakeld op Exchange met behulp van ID-pass-through-verificatie Microsoft Entra . Meer informatie:
Voor dit authenticatieschema is een certificaat vereist. U moet een geldig certificaat verstrekken om serversynchronisatie voor HMA te kunnen configureren. Het kan rechtstreeks worden gegenereerd in Azure Key Vault of via het proces van uw bedrijf voor het genereren en uploaden van een certificaat naar Key Vault.
U hebt een Key Vault-locatie nodig waar het certificaat veilig kan worden opgeslagen. U moet ook app-registratie configureren met een AppId en ClientSecret om Dynamics 365 toegang te geven tot het certificaat. Meer informatie: Key Vault
Configuratie
Volg de onderstaande stappen om HMA voor Exchange (on-premises) te configureren.
Een certificaat beschikbaar maken op Key Vault
Open Key Vault in de Azure-portal en ga naar de sectie Certificaten.
Selecteer Genereren/Importeren.
Op dit punt kan een certificaat worden gegenereerd of geïmporteerd. Geef een certificaatnaam op en selecteer vervolgens Maken.
De certificaatnaam wordt later gebruikt om naar het certificaat te verwijzen. In dit voorbeeld heet het certifcaat HMA-Cert.
Een nieuwe app-registratie maken voor toegang tot Key Vault
Maak een nieuwe app-registratie in de Azure-portal in de tenant waar de Key Vault zich bevindt. In dit voorbeeld wordt de app tijdens het configuratieproces KV-App genoemd. Meer informatie: Snelstart: Registreer een applicatie bij het Microsoft identiteitsplatform
Een clientgeheim toevoegen voor KV-App
Het clientgeheim wordt door Dynamics 365 gebruikt om de app te verifiëren en het certificaat op te halen. Meer informatie: Een klantgeheim toevoegen
KV-App toevoegen aan het Key Vault-toegangsbeleid
Open Key Vault in de Azure-portal en ga naar de sectie Toegangsbeleid.
Selecteer Toegangsbeleid toevoegen.
Selecteer een principal bij Principal selecteren. Selecteer voor dit voorbeeld KV-App.
Selecteer machtigingen. Voeg Toestemming krijgen toe onder Geheime machtigingen en Certificaatmachtigingen. Beide zijn nodig om de KV-App toegang tot het certificaat te bieden.
Selecteer Toevoegen.
Een nieuwe app-registratie maken voor toegang tot HMA
Maak een nieuwe app-registratie in de Azure-portal in de tenant waar Exchange als hybride wordt gebruikt.
In dit voorbeeld krijgt de app de naam HMA-App tijdens dit configuratieproces en vertegenwoordigt de daadwerkelijke app die Dynamics 365 zal gebruiken om te communiceren met resources in Exchange (on-premises). Meer informatie: Snelstart: Registreer een applicatie bij het Microsoft identiteitsplatform
Het certificaat voor HMA-App toevoegen
Dit wordt door Dynamics 365 gebruikt om HMA-App te verifiëren. HMA ondersteunt alleen certificaatgebruik om een app te verifiëren; daarom is een certificaat nodig voor dit verificatieschema.
Voeg het HMA-Cert toe dat eerder is ingericht in Key Vault. Meer informatie: Een certificaat toevoegen
API-machtiging toevoegen
Om HMA-App toegang te geven tot Exchange (on-premises), kent u de Office 365 Exchange Online API-machtiging toe.
Open in de Azure-portal de optie App-registraties en selecteer HMA-App.
Selecteer API-machtigingen>Een machtiging toevoegen.
Selecteer API's die mijn organisatie gebruikt.
Ga naar Office 365 Exchange Online en selecteer het.
Selecteer Toepassingstoestemming.
Schakel het selectievakje full_access_as_app in om de app volledige toegang te geven tot alle postvakken en selecteer vervolgens Machtigingen toevoegen.
Notitie
Als het niet overeenkomt met uw zakelijke vereisten om een app te hebben met volledige toegang tot alle postvakken, kan de beheerder van Exchange (on-premises) de postvakken bepalen waartoe de app toegang heeft door de rol ApplicationImpersonation in Exchange te configureren. Meer informatie: Imitatie configureren
Selecteer Beheerderstoestemming verlenen.
E-mailserverprofiel met verificatietype Exchange Hybride moderne verificatie (HMA)
Voordat u een e-mailserverprofiel maakt in Dynamics 365 met behulp van Exchange Hybride moderne verificatie (HMA), moet u de volgende informatie verzamelen van de Azure-portal:
- EWS-URL: het EWS-eindpunt (Exchange Web Services) waar Exchange (on-premises) zich bevindt en dat openbaar toegankelijk moet zijn vanuit Dynamics 365.
- Microsoft Entra resource-id: de Azure-resource-id waartoe de HMA-app toegang vraagt. Dit is meestal het hostgedeelte van de EWS-eindpunt-URL.
- TenantId: de tenant-id van de tenant waar Exchange (on-premises) is geconfigureerd met Microsoft Entra ID-pass-through-verificatie.
- HMA-applicatie-Id: de app-id voor HMA-App. Deze is te vinden op de hoofdpagina voor de app-registratie van HMA-App.
- URI van sleutelkluis: de URI van de sleutelkluis die wordt gebruikt voor certificaatopslag.
- KeyVault-sleutelnaam: de certificaatnaam die wordt gebruikt in Key Vault.
- KeyVault-toepassings-ID: de app-ID van de KV-app die door Dynamics wordt gebruikt om het certificaat uit Key Vault op te halen.
- Clientgeheim voor KeyVault: het clientgeheim voor de KV-App die wordt gebruikt door Dynamics 365.