Modern hybridautentisering (HMA) för Exchange lokal

Dynamics 365 kan ansluta till postlådor som är värd för Exchange Server (lokal) med hjälp av Autentisera modern autentisering (HMA). Serversynkronisering autentiseras mot Microsoft Entra med hjälp av ett certifikat som du anger och som lagras på ett säkert sätt i Azure Key Vault. Du måste upprätta en programregistrering som skyddas av en klienthemlighet för att Dynamics 365 ska kunna komma åt certifikatet i Key Vault. När Dynamics 365 kan hämta certifikatet används certifikatet för att autentisera som en specifik app och få åtkomst till Exchange-resursen (lokalt).

Exchange-versioner som stöds

HMA är endast tillgängligt från Exchange 2013 (CU19+) eller Exchange 2016 (CU8+). Mer information: Meddelande om Modern hybridautentisering för Exchange lokal (blogg)

Förutsättningar

Om du vill distribuera HMA med Dynamics 365 måste du uppfylla följande krav:

• HMA måste aktiveras på Exchange med hjälp Microsoft Entra av ID-direktautentisering. Mer information:

  • Exchange Server hybriddistributioner
  • Guiden Hybridkonfiguration
  • Vad är Microsoft Entra Connect?
  • Microsoft Entra ID-direktautentisering: Snabbstart
  • Så här konfigurerar du Exchange Server lokalt för att använda modern hybridautentisering

• Ett certifikat krävs för det här autentiseringsschemat. Du måste tillhandahålla ett giltigt certifikat för att konfigurera serversynkronisering för HMA. Det kan genereras direkt i Azure Key Vault eller genom ditt företags process för att skapa och överföra ett certifikat till Key Vault.

• Du behöver en 密钥保管库 plats där certifikatet kan lagras på ett säkert sätt. Du måste också konfigurera programregistreringen med ett AppId och ClientSecret den så att Dynamics 365 kan komma åt certifikatet. Mer information: Key Vault

Konfiguration

Konfigurera HMA för Exchange (lokal) genom att följa anvisningarna nedan.

Göra ett certifikat tillgängligt i Key Vault

1. I Azure-portalen, öppna Key Vault och gå till avsnittet Certifikat.

2. Välj Generera/Importera.

3. Nu kan ett certifikat antingen skapas eller importeras. Ange ett certifikatnamn och välj sedan Skapa.

Certifikatnamnet används senare för att referera till certifikatet. I det här exemplet heter certifikatet HMA-Cert.

Skapa en ny programregistrering för åtkomst till Key Vault

Skapa en ny programregistrering i Azure-portalen i klientorganisationen där Key Vault finns. I det här exemplet heter appen KV-App under konfigurationsprocessen. Mer information: Snabbstart: Registrera ett program med Microsoft identitetsplattformen

Lägg till en klienthemlighet för KV-program

Klienthemligheten används av Dynamics 365 för att autentisera appen och hämta certifikatet. Mer information: Lägga till en klienthemlighet

Lägg till KV-program i Key Vault-åtkomstprinciper

1. I Azure-portalen, öppna Key Vault och gå till avsnittet åtkomstprinciper.

2. Välj Lägg till åtkomstprincip.

3. För Välj huvudkonto väljer du ett huvudkonto. I det här exemplet väljKV-App .

4. Välj behörigheter. Se till att lägga till Skaffa behörigheter under Hemliga behörigheter och Certifikatbehörigheter. Båda krävs för att KV-program ska kunna komma åt certifikatet.

5. Markera Lägga till.

Skapa en ny programregistrering för åtkomst till HMA

Skapa en ny programregistrering i Azure-portalen i klientorganisationen där Exchange Vault hybridiseras.

I det här exemplet namnges programmet HMA-program under den här konfigurationsprocessen och representerar det faktiska program som Dynamics 365 använder för att interagera med Exchange-resurser (lokal). Mer information: Snabbstart: Registrera ett program med Microsoft identitetsplattformen

Lägg till certifikatet för HMA-program

Detta används av Dynamics 365 för att autentisera HMA-App. HMA har endast stöd för certifikatanvändning för autentisering av ett program. Därför behövs ett certifikat för det här autentiseringsschemat.

Lägg till HMA-Cert som tidigare etablerades i Key Vault. Mer information: Lägga till ett certifikat

Lägg till API-behörigheter

Om du vill tillåta att HMA-program har åtkomst till Exchange (lokalt) ger du Office 365 Exchange Online API-behörighet.

1. I Azure-portalen, öppna Appregistreringar och välj HMA-program.

2. Välj API-behörigheter>Lägg till en behörighet.

3. Välj API:er som min organisation använder.

4. Ange Office 365 Exchange Online och markera den.

5. Välj Programbehörigheter.

6. Markera kryssrutan full_access_as_app för att ge appen fullständig åtkomst till alla postlådor och välj sedan Lägg till behörigheter.

   

   Kommentar

   Om den inte överensstämmer med dina affärskrav för att ha ett program med fullständig åtkomst på alla postlådor kan Exchange-administratören (lokal) omfattningen av postlådorna som programmet kan komma åt genom att konfigurera rollen ApplicationImpersonation på Exchange. Mer information finns i: Konfigurera personifiering

7. Välj Bevilja administratörsmedgivande.

E-postserverprofil med autentiseringstyp Exchange modern hybridautentisering (HMA)

Innan du skapar en e-postserverprofil i Dynamics 365 med hjälp av Exchange modern hybridautentisering (HMA), måste du samla in följande information från Azure-portalen:

• EWS-URL: Exchange-webbtjänsterna (EWS) slutpunkt där Exchange (lokal) finns, som måste vara allmänt tillgängliga från Dynamics 365.
• Microsoft Entra resurs-ID: Det Azure-resurs-ID som HMA-appen begär åtkomst till. Det är vanligtvis värddelen av EWS-slutpunkt-URL.
• TenantId: Klientorganisations-ID för den klientorganisation där Exchange (lokal) har konfigurerats med Microsoft Entra ID direktautentisering.
• HMA-program-ID: Program-ID för HMA-program. Den finns på huvudsidan för programregistrering av HMA-program.
• Key Vault Uri: URI för Key Vault som används för certifikatlagring.
• Key Vault KeyName: Certifikatnamnet som används i Key Vault.
• KeyVault-program-ID: App-ID:t för KV-appen som används av Dynamics för att hämta certifikatet från Key Vault.
• KeyVault klienthemlighet: klienthemlighet för KV-program som används av Dynamics 365.