Exchange on-premises 的混合式现代化身份验证 (HMA)

Dynamics 365 可以使用混合式现代化身份验证 (HMA) 连接到 Exchange Server (on-premises) 上托管的邮箱。 服务器端同步将使用您提供并安全存储在 Azure Key Vault 中的证书对 Microsoft Entra 进行身份验证。 您需要建立由客户端密码保护的应用程序注册，以支持 Dynamics 365 访问 Key Vault 中的证书。 在 Dynamics 365 能够检索证书后，证书将用于作为特定应用进行身份验证和访问 Exchange (on-premises) 资源。

支持的 Exchange 版本

HMA 只能从 Exchange 2013 (CU19+) 或 Exchange 2016 (CU8+) 使用。 详细信息：公布 Exchange On-Premises 的混合式现代化身份验证（博客）

先决条件

要使用 Dynamics 365 部署 HMA，您需要满足以下要求：

• 必须使用 Microsoft Entra ID 直通身份验证在 Exchange 上启用 HMA。 详细信息：

  • Exchange Server 混合部署
  • 混合配置向导
  • 什么是 Microsoft Entra Connect？
  • Microsoft Entra ID 直通身份验证：快速入门
  • 如何配置 Exchange Server on-premises 以使用混合式现代化身份验证

• 此身份验证方案需要证书。 您必须提供有效证书才能为 HMA 配置服务器端同步。 它可以直接在 Azure Key Vault 中生成，也可以通过您的公司用于生成证书并将其上载到 Key Vault 的流程生成。

• 您需要一个 Key Vault 位置，可以安全地存储证书。 您还需要使用 AppId 和 ClientSecret 配置应用注册，以允许 Dynamics 365 访问证书。 详细信息：Key Vault

配置

请按照以下步骤配置 Exchange (on-premises) 的 HMA。

在 Key Vault 上提供证书

1. 在 Azure 门户中，打开 Key Vault，转到证书部分。

2. 选择生成/导入。

   

3. 此时，可以生成或导入证书。 指定证书名称，然后选择创建。

稍后将使用证书名称来引用证书。 在此示例中，证书被命名为 HMA-Cert。

为 Key Vault 访问创建新的应用注册

在 Key Vault 所在租户的 Azure 门户中创建新的应用注册。 对于此示例，应用将在配置流程中命名为 KV-App。 详细信息：快速入门：使用 Microsoft 标识平台注册应用程序

为 KV-App 添加客户端密码

Dynamics 365 将使用此客户端密码对应用进行身份验证并检索证书。 详细信息：添加客户端密码

将 KV-App 添加到 Key Vault 访问策略

1. 在 Azure 门户中，打开 Key Vault，转到访问策略部分。

2. 选择添加访问策略。

   

3. 对于选择主体，选择一个主体。 对于此示例，我们将选择 KV-App。

4. 选择权限。 务必在密码权限和证书权限下添加获取权限。 两者都是 KV-App 能够访问证书所必需的。

   

5. 选择添加。

为 HMA 访问创建新的应用注册

在 Exchange 混合的租户中的 Azure 门户中创建新的应用注册。

在此示例中，应用将在此配置流程中被命名为 HMA-App，表示 Dynamics 365 将用于与 Exchange (on-premises) 资源交互的实际应用。 详细信息：快速入门：使用 Microsoft 标识平台注册应用程序

为 HMA-App 添加证书

此证书将由 Dynamics 365 用于对 HMA-App 进行身份验证。 HMA 仅支持使用证书对应用进行身份验证；因此，此身份验证方案需要证书。

添加之前在 Key Vault 中预配的 HMA-Cert。 详细信息：添加证书

添加 API 权限

要允许 HMA-App 访问 Exchange (on-premises)，请授予 Office 365 Exchange Online API 权限。

1. 在 Azure 门户中，打开应用注册，选择 HMA-App。

2. 选择 API 权限>添加权限。

   

3. 选择我的组织使用的 API。

4. 输入 Office 365 Exchange Online，然后选择它。

5. 选择应用程序权限。

6. 选中 full_access_as_app 复选框以允许应用具有对所有邮箱的完全访问权限，然后选择添加权限。

   

   备注

   如果让应用具有对所有邮箱的完全访问权限不符合您的业务要求，Exchange (on-premises) 管理员可以通过在 Exchange 上配置应用程序模拟角色来确定应用可以访问的邮箱范围。 详细信息：配置模拟

7. 选择授予管理员同意。

   

身份验证类型为 Exchange 混合式现代化身份验证 (HMA) 的电子邮件服务器配置文件

在使用 Exchange 混合式现代化身份验证 (HMA) 在 Dynamics 365 上创建电子邮件服务器配置文件之前，您需要从 Azure 门户收集以下信息：

• EWS URL：Exchange (on-premises) 所在的 Exchange Web 服务 (EWS) 终结点，必须可从 Dynamics 365 公开访问。

• Microsoft Entra 资源 ID：HMA 应用将请求访问的 Azure 资源 ID。 通常是 EWS 终结点 URL 的主机部分。

• TenantId：使用 Microsoft Entra ID 直通身份验证配置 Exchange（本地）的租户的租户 ID。

• HMA 应用程序 ID：HMA-App 的应用程序 ID。 可以在 HMA-App 的应用注册主页上找到。

• Key Vault Uri：用于证书存储的 Key Vault 的 URI。

• Key Vault KeyName：Key Vault 中使用的证书名称。

• KeyVault 应用程序 ID：Dynamics 用于从 Key Vault 检索证书的 KV-App 的应用程序 ID。

• KeyVault 客户端密码：Dynamics 365 使用的 KV-App 的客户端密码。