Autentificarea modernă hibridă (HMA) pentru Exchange local

Dynamics 365 se poate conecta la cutii poștale găzduite pe Exchange Server (local) utilizând autentificarea modernă hibridă (HMA). Sincronizarea la nivelul serverului se va autentifica utilizând Microsoft Entra un certificat pe care îl furnizați și stocat în siguranță în Azure Key Vault. Va trebui să stabiliți o înregistrare a aplicației, care să fie securizată de un secret de client, pentru a permite Dynamics 365 să acceseze certificatul din Key Vault. După ce Dynamics 365 poate recupera certificatul, acest certificat va fi utilizat pentru autentificarea ca aplicație specifică și accesarea resursei din Exchange (local).

Versiuni de Exchange acceptate

HMA va fi disponibil doar din Exchange 2013 (CU19+) sau Exchange 2016 (CU8+). Mai multe informații: Anunțarea autentificării moderne hibride pentru Exchange local (blog)

Cerințe preliminare

Pentru a implementa HMA cu Dynamics 365, va trebui să îndepliniți următoarele cerințe:

• HMA trebuie să fie activat pe Exchange utilizând Microsoft Entra autentificarea ID pass-through. Informații suplimentare:

  • Implementări hibride Exchange Server
  • Expertul pentru configurarea hibridă
  • Ce este Microsoft Entra Connect?
  • Microsoft Entra Autentificare ID pass-through: pornire rapidă
  • Cum se configurează serverul Exchange Server la nivel local pentru a utiliza autentificarea modernă hibridă

• Este obligatoriu un certificat pentru această schemă de autentificare. Trebuie să furnizați un certificat valid pentru a configura sincronizarea de la nivelul serverului pentru HMA. Poate fi generat direct în Azure Key Vault sau prin procesul companiei dvs. pentru generarea și încărcarea unui certificat în Key Vault.

• Aveți nevoie de o locație Key Vault unde certificatul să poată fi stocat în siguranță. De asemenea, va trebui să configurați înregistrarea aplicației cu un AppId și ClientSecret pentru a permite accesul Dynamics 365 la certificat. Mai multe informații: Key Vault

Configurație

Urmați pașii de mai jos pentru a configura HMA pentru Exchange (local).

Puneți la dispoziție un certificat în Key Vault

1. În Portalul Azure, deschideți Key Vault și accesați secțiunea Certificate.

2. Selectați Generați/Importați.

   

3. În acest moment, poate fi generat sau importat un certificat. Specificați numele unui certificat, apoi selectați Creare.

Numele certificatului va fi folosit ulterior pentru a face referire la certificat. În acest exemplu, certificatul este denumit HMA-Cert.

Creați o nouă înregistrare a aplicației pentru accesul la Key Vault

Creați o nouă înregistrare a aplicației în portalul Azure din entitatea găzduită în care se află Key Vault. Pentru aceste exemple, aplicația va fi denumită KV-App în timpul procesului de configurare. Mai multe informații: Pornire rapidă: Înregistrați o aplicație pe platforma de identitate Microsoft

Adăugați un secret de client pentru aplicația KV-App

Secretul de client va fi folosit de Dynamics 365 pentru autentificarea aplicației și regăsirea certificatului. Mai multe informații: Adăugați un secret al clientului

Adăugați aplicația KV-App la politicile de acces Key Vault

1. În Portalul Azure, deschideți Key Vault și accesați secțiunea Accesare politici.

2. Selectați Adăugați o politică de acces.

   

3. Pentru Selectați principalul, selectați o aplicație principală. Pentru aceste exemple, vom selecta KV-App.

4. Selectați permisiunile. Asigurați-vă că adăugați Obțineți permisiunea sub Permisiuni secrete și Permisiuni de certificat. Ambele sunt necesare pentru ca aplicația KV-App să poată accesa certificatul.

   

5. Selectați Adăugare.

Creați o nouă înregistrare a aplicației pentru accesul HMA

Creați o nouă înregistrare a aplicației în portalul Azure din entitatea găzduită în care este hibridizat Exchange.

În acest exemplu, aplicația va fi denumită HMA-App în timpul acestui proces de configurare și va reprezenta aplicația reală pe care Dynamics 365 o va folosi pentru a interacționa cu resursele Exchange (local). Mai multe informații: Pornire rapidă: Înregistrați o aplicație pe platforma de identitate Microsoft

Adăugați certificatul pentru HMA-App

Este folosit de Dynamics 365 pentru autentificarea aplicației HMA-App. HMA acceptă doar utilizarea certificatelor pentru autentificarea unei aplicații; de aceea, este obligatoriu un certificat pentru această schemă de autentificare.

Adăugați HMA-Cert furnizat anterior în Key Vault. Mai multe informații: Adăugați un certificat

Adăugați o permisiune pentru un API

Pentru a permite aplicației HMA să aibă acces la Exchange (local), acordați permisiunea API-ului Office 365 Exchange Online.

1. În Portalul Azure, deschideți Înregistrări de aplicații și selectați HMA-App.

2. Selectați Permisiuni API>Adăugați o permisiune.

   

3. Selectați API-uri pe care organizația mea le folosește.

4. Introduceți Office 365 Exchange Online, și selectați-l.

5. Selectați Permisiuni aplicație.

6. Selectați full_access_as_app pentru a permite aplicației să aibă acces complet la toate cutiile poștale, apoi selectați Adăugați permisiuni.

   

   Notă

   Dacă aplicațiile cu acces complet la toate cutiile poștale nu se aliniază la cerințele businessului dvs., administratorul Exchange (local) poate selecta domeniul de aplicare al cutiilor poștale pe care aplicația le poate accesa, utilizând rolul ApplicationImpersonation din Exchange. Pentru mai multe informații: Configurați asumarea personalității

7. Selectați Acordați administratorului consimțământul.

   

Profil server de e-mail cu autentificare de tip Autentificare modernă hibridă Exchange (HMA)

Înainte să creați un profil de server de e-mail în Dynamics 365 utilizând Autentificare modernă hibridă Exchange (HMA), trebuie să colectați următoarele informații din portalul Azure:

• URL EWS: punctul final Exchange Web Services (EWS) unde se află Exchange (local), care trebuie să fie accesibil public din Dynamics 365.

• Microsoft Entra ID resursă: ID-ul resursei Azure la care aplicația HMA va solicita acces. De obicei este acea parte care conține gazda din adresa URL a punctului final EWS.

• TenantId: ID-ul entității găzduite al entității găzduite unde Exchange (local) este configurat cu Microsoft Entra autentificare de trecere ID.

• ID aplicație HMA: ID-ul aplicației HMA. Poate fi găsit în pagina principală pentru înregistrarea aplicației HMA-App.

• URI Key Vault: URI-ul Key Vault utilizat pentru stocarea certificatelor.

• KeyName Key Vault: numele certificatului utilizat în Key Vault.

• ID aplicație KeyVault: ID-ul aplicației KV-App folosit de Dynamics pentru a extrage certificatul din Key Vault.

• Secretul clientului Key Vault: secretul clientului utilizat de Dynamics 365 pentru aplicația KV-App.