Autenticação Moderna Híbrida (HMA) para o Exchange no local

O Dynamics 365 pode ligar a caixas de correio alojadas no Exchange Server (no local) utilizando a Autenticação Moderna Híbrida (HMA). A sincronização do lado do servidor autentica-se contra o Microsoft Entra utilizando um certificado que fornece e armazenado de forma segura no Azure Key Vault. Terá de estabelecer um registo de aplicação protegido por um segredo do cliente para permitir que o Dynamics 365 aceda ao certificado no Key Vault. Depois de o Dynamics 365 ser capaz de obter o certificado, o certificado será utilizado para autenticar como uma aplicação específica e aceder ao recurso Exchange (no local).

Versões do Exchange suportadas

A HMA só estará disponível a partir do Exchange 2013 (CU19+) ou do Exchange 2016 (CU8+). Mais informações: Apresentamos a Autenticação Moderna Híbrida para o Exchange no Local (blogue)

Pré-requisitos

Para implementar a HMA com o Dynamics 365, terá de cumprir os seguintes requisitos:

• A HMA deve ser ativada no Exchange utilizando a autenticação pass-through do ID do Microsoft Entra. Mais informações:

  • Implementações híbridas do Exchange Server
  • Assistente de Configuração Híbrida
  • O que é o Microsoft Entra Connect?
  • Autenticação Pass-through do ID do Microsoft Entra: Início Rápido
  • Como configurar o Exchange Server no local para utilizar a Autenticação Moderna Híbrida

• É necessário um certificado para este esquema de autenticação. Tem de fornecer um certificado válido para configurar a sincronização do lado do servidor para a HMA. Pode ser gerado diretamente no Azure Key Vault ou através do processo da sua empresa para gerar e carregar um certificado para o Key Vault.

• Precisa de uma localização do Key Vault onde o certificado possa ser armazenado de forma segura. Também terá de configurar o registo de aplicações com um AppId e ClientSecret para permitir o acesso do Dynamics 365 ao certificado. Mais informações: Key Vault

Configuração

Siga os passos abaixo para configurar a HMA para o Exchange (no local).

Disponibilizar um certificado no Key Vault

1. No portal do Azure, abra o Key Vault e vá à secção Certificados.

2. Selecione Gerar/Importar.

   

3. Neste momento, um certificado pode ser gerado ou importado. Especifique um nome de certificado e, em seguida, selecione Criar.

O nome do certificado será usado mais tarde para fazer referência ao certificado. Neste exemplo, o certificado chama-se HMA-Cert.

Criar um novo registo de aplicação para acesso ao Key Vault

Crie um novo registo de aplicação no portal do Azure no inquilino onde reside o Key Vault. Para este exemplo, a aplicação será denominada KV-App durante o processo de configuração. Mais informações: Início Rápido: Registar uma aplicação com a plataforma de identidade da Microsoft

Adicionar um segredo do cliente à KV-App

O segredo do cliente será usado pelo Dynamics 365 para autenticar a aplicação e obter o certificado. Mais informações: Adicionar um segredo do cliente

Adicionar a KV-App às políticas de acesso ao Key Vault

1. No portal do Azure, abra o Key Vault e vá à secção Políticas de acesso.

2. Selecione Adicionar Política de Acesso.

   

3. Para Selecionar principal, selecione um principal. Para estes exemplos, vamos selecionar KV-App.

4. Selecionar permissões. Certifique-se de que adiciona Obter permissão sob Permissões do segredo e Permissões do certificado. Ambos são necessários para que a KV-App possa aceder ao certificado.

   

5. Selecione Adicionar.

Criar um novo registo de aplicação para acesso à HMA

Crie um novo registo de aplicação no portal do Azure no inquilino onde o Exchange é híbrido.

Neste exemplo, a aplicação será denominada HMA-App durante este processo de configuração e representará a aplicação real que o Dynamics 365 utilizará para interagir com os recursos do Exchange (no local). Mais informações: Início Rápido: Registar uma aplicação com a plataforma de identidade da Microsoft

Adicione o certificado para a HMA-App

Isto será usado pelo Dynamics 365 para autenticar a HMA-App. A HMA só suporta a utilização do certificado para autenticar uma aplicação; por conseguinte, é necessário um certificado para este regime de autenticação.

Adicione a HMA-Cert anteriormente aprovisionada no Key Vault. Mais informações: Adicionar um certificado

Adicionar permissão de API

Para permitir que a HMA-App tenha acesso ao Exchange (no local), conceda a permissão de API Office 365 Exchange Online.

1. No portal do Azure, abra Registos de aplicações e selecione HMA-App.

2. Selecione Permissões de API>Adicionar uma permissão.

   

3. Selecione APIs que a minha organização utiliza.

4. Introduza Office 365 Exchange Online e selecione-o.

5. Selecione Permissões de aplicação.

6. Selecione a caixa de verificação full_access_as_app para permitir que a aplicação tenha acesso total a todas as caixas de correio e, em seguida, selecione Adicionar permissões.

   

   Nota

   Se não se alinhar com os requisitos do seu negócio ter uma aplicação com acesso total em todas as caixas de correio, o admin do Exchange (no local) pode passar as caixas de correio a que a aplicação pode aceder configurando a função ApplicationImpersonation no Exchange. Mais informações: Configurar representação

7. Selecione Conceder consentimento do administrador.

   

Perfil de servidor de e-mail com tipo de autenticação Autorização Moderna Híbrida do Exchange (HMA)

Antes de criar um perfil de servidor de e-mail no Dynamics 365 utilizando a Autorização Moderna Híbrida do Exchange (HMA), tem de recolher as seguintes informações no portal do Azure:

• URL do EWS: o ponto final do Exchange Web Services (EWS) onde está localizado o Exchange (no local), que deve ser acessível ao público a partir do Dynamics 365.

• ID de recurso do Microsoft Entra: o ID de recurso do Azure ao qual a aplicação HMA pedirá acesso. Normalmente, é a parte anfitriã do URL de ponto final do EWS.

• TenantId: o ID de inquilino do inquilino onde o Exchange (no local) está configurado com a autenticação pass-through do ID do Microsoft Entra.

• ID de aplicação HMA: o ID da Aplicação para HMA-App. Pode ser encontrado na página principal para o registo de aplicação da HMA-App.

• URI do Key Vault: o URI do Key Vault usado para armazenamento de certificados.

• KeyName do Key Vault: o nome do certificado usado no Key Vault.

• ID da Aplicação KeyVault: o ID da aplicação da KV-App usada pelo Dynamics para obter o certificado do Key Vault.

• Segredo do Cliente do KeyVault: o segredo do cliente para a KV-App usada pelo Dynamics 365.