Гібридна сучасна автентифікація (HMA) для локальної версії Exchange

Dynamics 365 може підключатися до поштових скриньок, розміщених у локальній версії Exchange Server за допомогою гібридної сучасної автентифікації (HMA). Синхронізація на сервері забезпечує Microsoft Entra автентифікацію за допомогою сертифіката, який ви надаєте та надійно зберігаєте в Azure Key Vault. Вам потрібно встановити реєстрацію програми, захищену секретом клієнта, щоб Dynamics 365 могла отримати доступ до сертифіката в Key Vault. Після того, як Dynamics 365 зможе отримати сертифікат, сертифікат використовується для автентифікації як певної програми та доступу до ресурсу Exchange (локальний).

Підтримувані версії Exchange

HMA доступний лише з Exchange 2013 (CU19+) або Exchange 2016 (CU8+). Додаткові відомості: Оголошування гібридної сучасної автентифікації для локальної версії Exchange (блоґ)

вимоги

Щоб розгорнути HMA з Dynamics 365, потрібно відповідати таким вимогам:

• HMA має бути ввімкнено на Exchange за допомогою Microsoft Entra наскрізної автентифікації за допомогою ідентифікатора. Додаткові відомості:

  • Гібридне розгортання сервера Exchange Server
  • Майстер гібридної конфігурації
  • Що таке Microsoft Entra Connect?
  • Microsoft Entra Наскрізна автентифікація за ідентифікатором: швидкий старт
  • Настроювання локального сервера Exchange для використання гібридної сучасної автентифікації

• Для цієї схеми автентифікації потрібен сертифікат. Для настроювання синхронізації на сервері для HMA потрібно надати дійсний сертифікат. Його можна згенерувати безпосередньо у сховищі ключів Azure або за допомогою процесу створення та завантаження сертифіката у сховище ключів.

• Вам потрібне місце сховища ключів, де можна надійно зберігати сертифікат. Також необхідно настроїти реєстрацію програми за допомогою AppId і ClientSecret, щоб програма Dynamics 365 мала змогу отримувати доступ до сертифіката. Додаткові відомості: Сховище ключів

Конфігурація

Виконайте наведені нижче кроки, щоб настроїти HMA для Exchange (локальна версія).

Створіть сертифікат, доступний у сховищі ключів

1. На порталі Azure відкрийте сховище ключів і перейдіть до розділу Сертифікати.

2. Виберіть Створити/імпортувати.

3. На цьому етапі сертифікат можна згенерувати або імпортувати. Введіть ім’я сертифікату та натисніть кнопку Створити.

Ім’я сертифіката використовується пізніше для посилання на сертифікат. У цьому прикладі сертифікат має назву HMA-Cert.

Створення нової реєстрації програми для доступу до сховища ключів

Створіть нову реєстрацію програми на порталі Azure у клієнті, де розташоване сховище ключів. У цьому прикладі програма називається KV-App під час процесу налаштування. Більше інформації: Швидкий старт: Зареєструйте заявку на платформі Microsoft ідентифікації

Додавання секретного ключа клієнта для вашої програми KV-App.

Секрет клієнта використовується Dynamics 365 для автентифікації програми та отримання сертифіката. Додаткові відомості: Додавання секретного ключа клієнта

Додавання KV-App до політик доступу до сховища ключів

1. На порталі Azure відкрийте сховище ключів і перейдіть до розділу Політики доступу.

2. Виберіть «Додати політику доступу».

3. Для параметра Вибір принципала виберіть принципала. Для цього прикладу виберіть KV-App.

4. Виберіть дозволи. Не забудьте додати пункт Отримати дозвіл у розділі Дозволи на секретний ключ і Дозволи на сертифікат. Для доступу до сертифіката потрібні обидва типи, необхідні KV-App.

5. Виберіть Додати.

Створення нової реєстрації програми для доступу до HMA

Створіть нову реєстрацію програми на порталі Azure у клієнті, де гібритизовано Exchange.

У цьому прикладі під час настроювання програма матиме назву HMA-App і представлятиме фактичну програму, яку Dynamics 365 використовуватиме для взаємодії з ресурсами локальної версії Exchange. Більше інформації: Швидкий старт: Зареєструйте заявку на платформі Microsoft ідентифікації

Додавання сертифіката для HMA-App

Це використовується Dynamics 365 для автентифікації HMA-App. HMA підтримує лише використання сертифіката для автентифікації програми; тому для цієї схеми автентифікації потрібен сертифікат.

Додавання попередньо підготовленої HMA-Cert у сховищі ключів. Додаткові відомості: Додавання сертифіката

Додавання дозволу API

Щоб дозволити програмі HMA-App мати доступ до локальної версії Exchange, надайте дозвіл API Office 365 Exchange Online.

1. На порталі Azure відкрийте пункт Реєстрації програм і натисніть HMA-App.

2. Виберіть Дозволи API>Додати дозвіл.

3. Виберіть API, які використовує моя організація.

4. Введіть Office 365 Exchange Online і виберіть його.

5. натисніть Дозволи програми.

6. Установіть прапорець full_access_as_app, щоб програма мала повний доступ до всіх поштових скриньок, а потім натисніть Додати дозволи.

   

   Нотатка

   Якщо програма з повним доступом до всіх поштових скриньок не відповідає вашим бізнес-вимогам, адміністратор локальної версії Exchange може вказати поштові скриньки, до яких програма має доступ за допомогою ролі ApplicationImpersonation у Exchange. Для отримання додаткових відомостей див. розділ Налаштування уособлення

7. Виберіть Надати згоду адміністратора.

Профіль сервера електронної пошти з типом автентифікації «Гібридна сучасна автентифікація Exchange (HMA)»

Перш ніж створювати профіль сервера електронної пошти в Dynamics 365 за допомогою гібридної сучасної автентифікації Exchange (HMA), потрібно зібрати наведені нижче відомості з порталу Azure.

• URL-адреса EWS: кінцева точка веб-служб Exchange (EWS), де розташована Exchange (локальна версія), яка має бути загальнодоступна з Dynamics 365.
• Microsoft Entra Ідентифікатор ресурсу – ідентифікатор ресурсу Azure, до якого програма HMA запитує доступ. Зазвичай це частина URL-адреси кінцевої точки EWS.
• TenantId: ідентифікатор клієнта клієнта, для якого налаштовано Exchange (локальний) із Microsoft Entra прохідною автентифікацією ідентифікатора.
• Ідентифікатор програми HMA: ідентифікатор програми для програми HMA. Його можна знайти на головній сторінці реєстрації програми HMA-App.
• Uri сховища ключів: URI сховища ключів, який використовується для зберігання сертифікатів.
• Ім'я ключа сховища ключів: ім'я сертифіката, що використовується у сховищі ключів.
• Ідентифікатор програми KeyVault: ідентифікатор програми KV-App, який використовується Dynamics для отримання сертифіката зі Key Vault.
• Секретний ключ клієнта KeyVault: секретний ключ клієнта, який використовується Dynamics 365 в програмі KV-App.