Nowoczesne uwierzytelnianie hybrydowe (HMA) dla Exchange w siedzibie firmy

Notatka

Nowe i ulepszone Power Platform centrum administracyjne jest teraz dostępne w publicznej wersji zapoznawczej! Zaprojektowaliśmy nowe centrum administracyjne tak, aby było łatwiejsze w użyciu i wyposażone w nawigację zorientowaną na zadania, która pomaga szybciej osiągać określone wyniki. Będziemy publikować nową i zaktualizowaną dokumentację, gdy nowe Power Platform centrum administracyjne stanie się ogólnie dostępne.

Usługa Dynamics 365 może łączyć się ze skrzynkami pocztowi hostowanych na serwerze Exchange Server (lokalnym), używając nowoczesnych uwierzytelniania hybrydowego (HMA). Synchronizacja na serwerze jest uwierzytelniana w Microsoft Entra za pomocą certyfikatu, który podasz i przechowywany w magazynie kluczy Azure Key Vault. Musisz ustanowić rejestrację aplikacji zabezpieczonej przez klienta w celu umożliwienia usłudze Dynamics 365 uzyskania dostępu do certyfikatu w Key Vault. Po tym jak Dynamics 365 będzie w stanie pobrać certyfikat, zostanie on wykorzystany do uwierzytelnienia się jako określona aplikacja i uzyskania dostępu do zasobu Exchange (lokalnie).

Obsługiwane wersje Exchange

HMA będzie dostępne tylko od Exchange 2013 (CU19+) lub Exchange 2016 (CU8+). Więcej informacji: Ogłaszanie HMA w Exchange lokalnie (blog)

Wymagania wstępne

Aby wdrożyć HMA z Dynamics 365, należy spełnić następujące wymagania:

• HMA musi być włączony w Exchange przy użyciu uwierzytelniania przelotowego Microsoft Entra ID. Więcej informacji:

  • Wdrożenie hybrydowe Exchange Server
  • Kreator konfiguracji hybrydowej
  • Co to jest Microsoft Entra Connect?
  • Microsoft Entra ID Uwierzytelnianie Pass-through: Szybki start
  • Jak skonfigurować lokalny Exchange Server do używania nowoczesnego uwierzytelniania hybrydowego

• Dla tego schematu uwierzytelniania wymagany jest certyfikat. Aby skonfigurować synchronizację po stronie serwera dla HMA, należy podać prawidłowy certyfikat. Może on być wygenerowany bezpośrednio w Azure Key Vault lub poprzez firmowy proces generowania i wgrywania certyfikatu do Key Vault.

• Potrzebna jest lokalizacja Key Vault, w którym certyfikat może być przechowywany w sposób bezpieczny. Konieczne będzie również skonfigurowanie rejestracji aplikacji z AppId i ClientSecret, aby umożliwić Dynamics 365 dostęp do certyfikatu. Więcej informacji: Key Vault

Konfiguracja

Wykonaj poniższe kroki, aby skonfigurować HMA dla Exchange (lokalnie).

Udostępnij certyfikat w Key Vault

1. W portalu Azure otwórz Key Vault i przejdź do sekcji Certyfikaty.

2. Wybierz Generuj/Import.

3. W tym momencie certyfikat może być wygenerowany lub zaimportowany. Wprowadź nazwę, a następnie wybierz pozycję Utwórz.

Nazwa certyfikatu zostanie później użyta w celu odwołania do certyfikatu. W tym przykładzie certyfikat ma nazwę HMA-Cert.

Tworzenie nowej rejestracji aplikacji w celu uzyskania dostępu do Key Vault

Utwórz nową rejestrację aplikacji w portalu Azure w dzierżawie, w której znajduje się Key Vault. W tym przykładzie aplikacja będzie nosiła nazwę KV-App podczas procesu konfiguracji. Więcej informacji: Szybki start: rejestrowanie aplikacji przy użyciu platformy tożsamości firmy Microsoft

Dodaj sekret klienta dla KV-App

Klucz tajny klienta zostanie użyty przez Dynamics 365 do uwierzytelnienia aplikacji i pobrania certyfikatu. Więcej informacji: Dodawanie klucza tajnego klienta

Dodawanie KV-App do Key Vault

1. W portalu Azure otwórz Key Vault i przejdź do sekcji Zasady dostępu.

2. Wybierz opcję Dodaj zasady dostępu.

3. W przypadku opcji Wybierz podmiot główny wybierz podmiot główny. Na potrzeby tego przykładu wybierz pozycję KV-App.

4. Wybierz uprawnienia. Należy dodać Pobierz uprawnienie w obszarze Uprawnienia tajne i uprawnienia certyfikatów. Obie te informacje są wymagane, aby aplikacja KV-App mogła uzyskać dostęp do certyfikatu.

5. Wybierz Dodaj.

Tworzenie nowej rejestracji aplikacji w celu uzyskania dostępu HMA

Tworzymy nową rejestrację aplikacji w portalu Azure w dzierżawie, w której hybrydyzowany jest Exchange.

W tym przykładzie aplikacja będzie nosiła nazwę HMA-App podczas tego procesu konfiguracji i będzie reprezentowała rzeczywistą aplikację, której Dynamics 365 będzie używał do interakcji z zasobami Exchange (lokalnie). Więcej informacji: Szybki start: rejestrowanie aplikacji przy użyciu platformy tożsamości firmy Microsoft

Dodaj certyfikat dla aplikacji HMA-App

Będzie on używany przez Dynamics 365 do uwierzytelniania HMA-App. HMA obsługuje tylko użycie certyfikatu do uwierzytelniania aplikacji, dlatego do tego schematu uwierzytelniania potrzebny jest certyfikat.

Dodaj HMA-Cert uprzednio udostępniony w Key Vault. Więcej informacji: Dodawanie certyfikatu

Dodaj uprawnienie API

Aby umożliwić aplikacji HMA-App dostęp do programu Exchange (lokalnie), należy przyznać uprawnienie API Office 365 Exchange Online.

1. W portalu Azure otwórz Rejestracje aplikacji i wybierz opcję HMA-App.

2. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

3. Wybierz Interfejsy API używane przez organizację.

4. Wprowadź Office 365 Exchange Online i wybierz tę opcję.

5. Wybierz Uprawnienia aplikacji.

6. Zaznacz pole full_access_as_app, aby umożliwić aplikacji pełny dostęp do wszystkich skrzynek pocztowych, a następnie wybierz opcję Dodaj uprawnienia.

   

   Uwaga

   Jeżeli nie jest zgodne z wymaganiami biznesowymi aby aplikacja miała pełny dostęp do wszystkich skrzynek, administrator Exchange (lokalnie) może ograniczyć skrzynki do których aplikacja może mieć dostęp poprzez konfigurację roli ApplicationImpersonation na Exchange. Więcej informacji: Konfigurowanie personifikacji

7. Wybierz Udzielanie zgody administratora.

Profil serwera email z typem hybrydowego uwierzytelniania nowoczesnego Exchange (HMA)

Przed utworzeniem profilu serwera poczty e-mail w usłudze Dynamics 365 przy użyciu narzędzia hybrydowego uwierzytelniania nowoczesnego Exchange (DHCPA) musisz zebrać następujące informacje z portalu Azure:

• ADRES URL EWS: Punkt końcowy Exchange Web Services (EWS), w którym znajduje się Exchange (lokalnie), który musi być publicznie dostępny z poziomu Dynamics 365.
• Microsoft Entra Identyfikator zasobu AAD: identyfikator zasobu Azure, do którego aplikacja HMA będzie żądać dostępu. Zazwyczaj jest to część hosta w adresie URL punktu końcowego EWS.
• TenantId: Identyfikator dzierżawy, w której Exchange (lokalny) jest skonfigurowany z uwierzytelnianiem przelotowym Microsoft Entra ID.
• Identyfikator aplikacji HMA: Identyfikator aplikacji dla HMA-App. Można go znaleźć na stronie głównej rejestracji aplikacji HMA-App.
• Uri Key Vault: URI Key Vault używanego do przechowywania certyfikatów.
• Key Vault KeyName: nazwa certyfikatu używana w Key Vault.
• Identyfikator aplikacji KeyVault: Identyfikator aplikacji KV-App używanej przez Dynamics do pobierania certyfikatu z Key Vault.
• Klucz tajny klienta KeyVault: klucz tajny klienta dla KV-App, używany przez usługę Dynamics 365.