การรับรองความถูกต้องสมัยใหม่แบบไฮบริด (HMA) สำหรับ Exchange ในสถานที่

Dynamics 365 สามารถเชื่อมต่อกับกล่องจดหมายที่โฮสต์บน Exchange Server (ในสถานที่) โดยใช้ Hybrid Modern Authentication (HMA) การซิงโครไนซ์ฝั่งเซิร์ฟเวอร์จะตรวจสอบความถูกต้อง Microsoft Entra ด้วยการใช้ใบรับรองที่คุณให้และจัดเก็บอย่างปลอดภัยใน Azure Key Vault คุณต้องสร้างการลงทะเบียนแอปพลิเคชันที่ได้รับการรักษาความปลอดภัยด้วยความลับของไคลเอนต์เพื่อให้ Dynamics 365 สามารถเข้าถึงใบรับรองใน Key Vault ได้ หลังจากที่ Dynamics 365 สามารถดึงใบรับรองได้แล้ว ใบรับรองดังกล่าวจะถูกใช้เพื่อพิสูจน์ตัวตนในฐานะแอปที่ระบุ และเข้าถึงทรัพยากร Exchange (ในสถานที่)

เวอร์ชันของ Exchange ที่ได้รับการสนับสนุน

HMA มีให้บริการเฉพาะจาก Exchange 2013 (CU19+) หรือ Exchange 2016 (CU8+) เท่านั้น ข้อมูลเพิ่มเติม: การประกาศการรับรองความถูกต้องสมัยใหม่แบบไฮบริดสำหรับ Exchange ในสถานที่ (บล็อก)

ข้อกำหนดเบื้องต้น

หากต้องการใช้งาน HMA กับ Dynamics 365 คุณจะต้องปฏิบัติตามข้อกำหนดต่อไปนี้:

• จะต้องเปิดใช้งาน HMA บน Exchange โดยใช้การตรวจสอบสิทธิ์ผ่าน ID Microsoft Entra ข้อมูลเพิ่มเติม:

  • การปรับใช้ไฮบริดของ Exchange Server
  • ตัวช่วยสร้างการกำหนดค่าไฮบริด
  • Connect คืออะไร? Microsoft Entra
  • Microsoft Entra การยืนยันตัวตนแบบผ่าน ID: เริ่มต้นอย่างรวดเร็ว
  • วิธีการกำหนดค่า Exchange Server ในสถานที่ ให้ใช้การตรวจสอบความถูกต้องแบบไฮบริดสมัยใหม่

• ต้องมีใบรับรองสำหรับโครงการการตรวจสอบสิทธิ์นี้ คุณต้องระบุใบรับรองที่ถูกต้องเพื่อตั้งค่าคอนฟิกการซิงค์ฝั่งเซิร์ฟเวอร์สำหรับ HMA ซึ่งสามารถสร้างได้โดยตรงใน Azure Key Vault หรือผ่านกระบวนการของบริษัทของคุณสำหรับการสร้างและการอัปโหลดใบรับรองไปยัง Key Vault

• คุณต้องมีตำแหน่ง Key Vault ที่สามารถเก็บใบรับรองได้อย่างปลอดภัย นอกจากนี้ คุณจะต้องตั้งค่าคอนฟิกการลงทะเบียนแอปด้วย AppId และ ClientSecret เพื่ออนุญาตให้ Dynamics 365 เข้าถึงใบรับรองได้ ข้อมูลเพิ่มเติม: Key Vault

การตั้งค่าคอนฟิก

ทำตามขั้นตอนด้านล่างเพื่อตั้งค่าคอนฟิก HMA สำหรับ Exchange (ในสถานที่)

ทำให้ใบรับรองพร้อมใช้งานบน Key Vault

1. ใน พอร์ทัล Azure เปิด Key Vault และไปที่ส่วน ใบรับรอง

2. เลือก สร้าง/นำเข้า

3. ณ จุดนี้ ใบรับรองสามารถถูกสร้างหรือถูกนำเข้าได้ ระบุชื่อใบรับรอง และจากนั้น เลือก สร้าง

ชื่อใบรับรองจะใช้เพื่ออ้างอิงใบรับรองในภายหลัง ในตัวอย่างนี้ ใบรับรองมีชื่อว่า HMA-Cert

สร้างการลงทะเบียนแอปใหม่สำหรับการเข้าถึง Key Vault

สร้างการลงทะเบียนแอปใหม่ในพอร์ทัล Azure ในผู้เช่าที่มี Key Vault อยู่ สำหรับตัวอย่างนี้ แอปจะมีชื่อ KV-App ในระหว่างกระบวนการกำหนดค่า ข้อมูลเพิ่มเติม: การเริ่มต้นอย่างรวดเร็ว: ลงทะเบียนแอปพลิเคชันด้วย Microsoft แพลตฟอร์มการระบุตัวตน

เพิ่มข้อมูลลับของไคลเอ็นต์สำหรับ KV-App

Dynamics 365 ใช้ความลับของไคลเอนต์เพื่อตรวจสอบสิทธิ์แอปและดึงใบรับรอง ข้อมูลเพิ่มเติม: เพิ่มข้อมูลลับของลูกค้า

เพิ่ม KV-App ไปยังนโยบายการเข้าถึง Key Vault

1. ใน พอร์ทัล Azure เปิด Key Vault และไปที่ส่วน นโยบายการเข้าถึง

2. เลือก เพิ่มนโยบายการเข้าถึง

3. สำหรับ เลือกรายการหลัก เลือกรายการหลัก สำหรับตัวอย่างนี้ ให้เลือก KV-App

4. เลือกสิทธิ์ อย่าลืมเพิ่ม รับสิทธิ์ ภายใต้ สิทธิ์ของข้อมูลลับ และ สิทธิ์ของใบรับรอง ต้องใช้ทั้งสองรายการเพื่อให้ KV-App สามารถเข้าถึงใบรับรองได้

5. เลือก เพิ่ม

สร้างการลงทะเบียนแอปใหม่สำหรับการเข้าถึง HMA

สร้างการลงทะเบียนแอปใหม่ในพอร์ทัล Azure ในผู้เช่าที่ซึ่ง Exchange ถูกทำให้เป็นแบบไฮบริด

ในตัวอย่างนี้ จะตั้งชื่อแอปว่า HMA-App ในระหว่างขั้นตอนการตั้งค่าคอนฟิกนี้ และจะแสดงแอปจริงที่ Dynamics 365 จะใช้เพื่อโต้ตอบกับทรัพยากร Exchange (ในสถานที่) ข้อมูลเพิ่มเติม: การเริ่มต้นอย่างรวดเร็ว: ลงทะเบียนแอปพลิเคชันด้วย Microsoft แพลตฟอร์มการระบุตัวตน

เพิ่มใบรับรองสำหรับ HMA-App

สิ่งนี้ใช้โดย Dynamics 365 เพื่อตรวจสอบความถูกต้องของ HMA-App HMA รองรับเฉพาะการใช้ใบรับรองเพื่อรับรองความถูกต้องแอป ดังนั้น จึงจำเป็นต้องมีใบรับรองสำหรับแบบแผนการรับรองความถูกต้องนี้

เพิ่ม HMA-Cert ที่จัดเตรียมไว้ก่อนหน้านี้ใน Key Vault ข้อมูลเพิ่มเติม: เพิ่มใบรับรอง

เพิ่มสิทธิ์ API

เพื่อให้ HMA-App สามารถเข้าถึง Exchange (ในสถานที่) ให้สิทธิ์ API ของ Office 365 Exchange Online

1. ใน พอร์ทัล Azure เปิด การลงทะเบียนแอป และเลือก HMA-App

2. เลือก สิทธิ์ API>เพิ่มสิทธิ์

3. เลือก API ที่องค์กรของฉันใช้

4. ป้อน Office 365 Exchange Online และเลือก

5. เลือก สิทธิ์ของแอปพลิเคชัน

6. เลือกกล่องกาเครื่องหมาย full_access_as_app เพื่อให้แอปสามารถเข้าถึงกล่องจดหมายทั้งหมดได้อย่างสมบูรณ์ และจากนั้น เลือก เพิ่มสิทธิ์

   

   หมายเหตุ

   หากไม่สอดคล้องกับความต้องการทางธุรกิจของคุณที่จะมีแอปที่มีสิทธิ์เข้าถึงแบบเต็มในกล่องจดหมายทั้งหมด ผู้ดูแลระบบ Exchange (ในสถานที่) สามารถกำหนดขอบเขตกล่องจดหมายที่แอปสามารถเข้าถึงได้โดยการตั้งค่าคอนฟิกบทบาท ApplicationImpersonation บน Exchange ข้อมูลเพิ่มเติม: ตั้งค่าคอนฟิกการเลียนแบบ

7. เลือก ให้ความยินยอมของผู้ดูแลระบบ

โปรไฟล์เซิร์ฟเวอร์อีเมลที่มีชนิดการรับรองความถูกต้องสมัยใหม่แบบไฮบริด (HMA) ของ Exchange

ก่อนที่คุณจะ สร้างโปรไฟล์เซิร์ฟเวอร์อีเมล บน Dynamics 365 โดยใช้การรับรองความถูกต้องสมัยใหม่แบบไฮบริด (HMA) ของ Exchange คุณจำเป็นต้องรวบรวมข้อมูลต่อไปนี้จากพอร์ทัล Azure:

• EWS URL: จุดสิ้นสุด Exchange Web Services (EWS) ที่ซึ่งเป็นที่ตั้งของ Exchange (ในสถานที่) ซึ่งต้องเข้าถึงได้แบบสาธารณะจาก Dynamics 365
• Microsoft Entra รหัสทรัพยากร: รหัสทรัพยากร Azure ที่แอป HMA ร้องขอการเข้าถึง โดยปกติแล้วจะเป็นส่วนโฮสต์ของ URL ของจุดสิ้นสุด EWS
• TenantId: รหัสผู้เช่าของผู้เช่าที่มีการตั้งค่าคอนฟิก Exchange (ในสถานที่) ด้วยการรับรองความถูกต้องแบบพาส-ทรูของ Microsoft Entra ID
• รหัสแอปพลิเคชัน HMA: รหัสแอปสำหรับ HMA-App สามารถพบได้ในหน้าหลักสำหรับการลงทะเบียนแอปของ HMA-App
• Key Vault Uri: URI ของ Key Vault ที่ใช้สำหรับการจัดเก็บใบรับรอง
• Key Vault KeyName: ชื่อใบรับรองที่ใช้ใน Key Vault
• รหัสแอปพลิเคชัน KeyVault: รหัสแอปของ KV-App ที่ใช้โดย Dynamics เพื่อดึงใบรับรองจาก Key Vault
• ข้อมูลลับไคลเอ็นต์ของ KeyVault: ข้อมูลลับไคลเอ็นต์สำหรับ KV-App ที่ใช้โดย Dynamics 365