Nowoczesne uwierzytelnianie hybrydowe (HMA) dla Exchange w siedzibie firmy

Usługa Dynamics 365 może łączyć się ze skrzynkami pocztowi hostowanych na serwerze Exchange Server (lokalnym), używając nowoczesnych uwierzytelniania hybrydowego (HMA). Synchronizacja na serwerze uwierzytelnia się przy Microsoft Entra użyciu certyfikatu dostarczonego i bezpiecznie przechowywanego w usłudze Azure Key Vault. Musisz ustanowić rejestrację aplikacji zabezpieczoną kluczem tajnym klienta, aby umożliwić Dynamics 365 dostęp do certyfikatu w Key Vault. Gdy Dynamics 365 będzie w stanie pobrać certyfikat, certyfikat jest używany do uwierzytelniania jako określona aplikacja i uzyskiwania dostępu do zasobu Exchange (lokalnego).

Obsługiwane wersje Exchange

Karta HMA jest dostępna tylko w programie Exchange 2013 (CU19+) lub Exchange 2016 (CU8+). Więcej informacji: Ogłaszanie HMA w Exchange lokalnie (blog)

Wymagania wstępne

Aby wdrożyć HMA z Dynamics 365, musisz spełnić następujące wymagania:

• Usługa HMA musi być włączona w programie Exchange przy użyciu Microsoft Entra uwierzytelniania przekazywanego identyfikatora. Więcej informacji:

  • Wdrożenia hybrydowe programu Exchange Server
  • Kreator konfiguracji hybrydowej
  • Co to jest Microsoft Entra Connect?
  • Microsoft Entra Uwierzytelnianie za pośrednictwem identyfikatora: Szybki start
  • Jak skonfigurować lokalny program Exchange Server do korzystania z nowoczesnego uwierzytelniania hybrydowego

• Dla tego schematu uwierzytelniania wymagany jest certyfikat. Aby skonfigurować synchronizację po stronie serwera dla HMA, należy podać prawidłowy certyfikat. Może on być wygenerowany bezpośrednio w Azure Key Vault lub poprzez firmowy proces generowania i wgrywania certyfikatu do Key Vault.

• Potrzebna jest lokalizacja Key Vault, w której certyfikat może być bezpiecznie przechowywany. Konieczne będzie również skonfigurowanie rejestracji aplikacji z AppId i ClientSecret, aby umożliwić Dynamics 365 dostęp do certyfikatu. Więcej informacji: Key Vault

Konfiguracja

Wykonaj poniższe kroki, aby skonfigurować HMA dla Exchange (lokalnie).

Udostępnij certyfikat w Key Vault

1. W portalu Azure otwórz Key Vault i przejdź do sekcji Certyfikaty.

2. Wybierz Generuj/Import.

3. W tym momencie certyfikat może być wygenerowany lub zaimportowany. Wprowadź nazwę, a następnie wybierz pozycję Utwórz.

Nazwa certyfikatu jest później używana do odwoływania się do certyfikatu. W tym przykładzie certyfikat ma nazwę HMA-Cert.

Tworzenie nowej rejestracji aplikacji w celu uzyskania dostępu do Key Vault

Utwórz nową rejestrację aplikacji w portalu Azure w dzierżawie, w której znajduje się Key Vault. W tym przykładzie aplikacja nosi nazwę KV-App podczas procesu konfiguracji. Więcej informacji: Szybki start: rejestrowanie aplikacji na Microsoft platformie tożsamości

Dodaj sekret klienta dla KV-App

Klucz tajny klienta jest używany przez Dynamics 365 do uwierzytelniania aplikacji i pobierania certyfikatu. Więcej informacji: Dodawanie klucza tajnego klienta

Dodawanie KV-App do Key Vault

1. W portalu Azure otwórz Key Vault i przejdź do sekcji Zasady dostępu.

2. Wybierz opcję Dodaj zasady dostępu.

3. W przypadku opcji Wybierz podmiot główny wybierz podmiot główny. W tym przykładzie wybierz pozycję KV-App.

4. Wybierz uprawnienia. Należy dodać Pobierz uprawnienie w obszarze Uprawnienia tajne i uprawnienia certyfikatów. Obie te informacje są wymagane, aby aplikacja KV-App mogła uzyskać dostęp do certyfikatu.

5. Wybierz Dodaj.

Tworzenie nowej rejestracji aplikacji w celu uzyskania dostępu HMA

Tworzymy nową rejestrację aplikacji w portalu Azure w dzierżawie, w której hybrydyzowany jest Exchange.

W tym przykładzie aplikacja będzie nosiła nazwę HMA-App podczas tego procesu konfiguracji i będzie reprezentowała rzeczywistą aplikację, której Dynamics 365 będzie używał do interakcji z zasobami Exchange (lokalnie). Więcej informacji: Szybki start: rejestrowanie aplikacji na Microsoft platformie tożsamości

Dodaj certyfikat dla aplikacji HMA-App

Jest to używane przez Dynamics 365 do uwierzytelniania aplikacji HMA. HMA obsługuje tylko użycie certyfikatu do uwierzytelniania aplikacji, dlatego do tego schematu uwierzytelniania potrzebny jest certyfikat.

Dodaj HMA-Cert uprzednio udostępniony w Key Vault. Więcej informacji: Dodawanie certyfikatu

Dodaj uprawnienie API

Aby umożliwić aplikacji HMA-App dostęp do programu Exchange (lokalnie), należy przyznać uprawnienie API Office 365 Exchange Online.

1. W portalu Azure otwórz Rejestracje aplikacji i wybierz opcję HMA-App.

2. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

3. Wybierz Interfejsy API używane przez organizację.

4. Wprowadź Office 365 Exchange Online i wybierz tę opcję.

5. Wybierz Uprawnienia aplikacji.

6. Zaznacz pole full_access_as_app, aby umożliwić aplikacji pełny dostęp do wszystkich skrzynek pocztowych, a następnie wybierz opcję Dodaj uprawnienia.

   

   Uwaga

   Jeżeli nie jest zgodne z wymaganiami biznesowymi aby aplikacja miała pełny dostęp do wszystkich skrzynek, administrator Exchange (lokalnie) może ograniczyć skrzynki do których aplikacja może mieć dostęp poprzez konfigurację roli ApplicationImpersonation na Exchange. Więcej informacji: Konfigurowanie personifikacji

7. Wybierz Udzielanie zgody administratora.

Profil serwera email z typem hybrydowego uwierzytelniania nowoczesnego Exchange (HMA)

Przed utworzeniem profilu serwera poczty e-mail w usłudze Dynamics 365 przy użyciu narzędzia hybrydowego uwierzytelniania nowoczesnego Exchange (DHCPA) musisz zebrać następujące informacje z portalu Azure:

• ADRES URL EWS: Punkt końcowy Exchange Web Services (EWS), w którym znajduje się Exchange (lokalnie), który musi być publicznie dostępny z poziomu Dynamics 365.
• Microsoft Entra Identyfikator zasobu: identyfikator zasobu platformy Azure, do którego aplikacja HMA żąda dostępu. Zazwyczaj jest to część hosta w adresie URL punktu końcowego EWS.
• TenantId: Identyfikator dzierżawy, w której Exchange (lokalny) jest skonfigurowany z uwierzytelnianiem przelotowym Microsoft Entra ID.
• Identyfikator aplikacji HMA: Identyfikator aplikacji dla HMA-App. Można go znaleźć na stronie głównej rejestracji aplikacji HMA-App.
• Uri Key Vault: URI Key Vault używanego do przechowywania certyfikatów.
• Key Vault KeyName: nazwa certyfikatu używana w Key Vault.
• Identyfikator aplikacji KeyVault: identyfikator aplikacji KV używanej przez usługę Dynamics do pobierania certyfikatu z Key Vault.
• Klucz tajny klienta KeyVault: klucz tajny klienta dla KV-App, używany przez usługę Dynamics 365.