分享方式:


Exchange 內部部署的混合新式驗證 (HMA)

Dynamics 365 可以使用混合新式驗證 (HMA),連接至 Exchange Server (內部部署) 上託管的信箱。 伺服器端同步使用你提供並安全地存儲在 Azure Key Vault 中的證書進行身份驗證 Microsoft Entra 。 您需要建立由客戶端密碼保護的應用程式註冊,以使 Dynamics 365 能夠存取 Key Vault 中的證書。 Dynamics 365 能夠檢索證書后,該證書將用於作為特定應用程式進行身份驗證並訪問 Exchange (內部部署) 資源。

支援 Exchange 版本

HMA 僅可從 Exchange 2013 (CU19+) 或 Exchange 2016 (CU8+) 獲得。 詳細資訊:宣佈 Exchange 內部部署的混合新式驗證 (部落格)

先決條件

要使用 Dynamics 365 部署 HMA,您需要滿足以下要求:

組態

請依照以下步驟,為 Exchange (內部部署) 設定 HMA。

在 Key Vault 上提供憑證

  1. Azure 入口網站中,開啟 Key Vault ,然後移至憑證區段。

  2. 選取產生/匯入

  3. 此時,可以產生或匯入憑證。 指定憑證名稱,然後選取建立

證書名稱稍後用於引用證書。 在此範例中,憑證的名稱為 HMA-Cert

為 Key Vault 存取建立新的應用程式註冊

在 Key Vault 所在的租用戶 Azure 入口網站中建立新的應用程式註冊。 在此範例中,應用程式在配置過程中被命名為 KV-App 。 詳細資訊: 快速入門:向 Microsoft Identity Platform 註冊應用程式

為 KV-App 新增用戶端密碼

Dynamics 365 使用用戶端密鑰對應用程式進行身份驗證並檢索證書。 詳細資訊:新增用戶端密碼

將 KV-App 新增至 Key Vault 存取原則

  1. Azure 入口網站中,開啟 Key Vault ,然後移至存取原則區段。

  2. 選取新增存取原則

  3. 對於選取主體,選取 [主體]。 對於此示例,請選擇 KV-App

  4. 選取權限。 請務必在密碼權限憑證權限下新增取得權限。 KV-App 需要這兩者才能存取憑證。

  5. 選取新增

為 HMA 存取建立新的應用程式註冊

在 Exchange 混合的租用戶 Azure 入口網站中建立新的應用程式註冊。

在此範例中,應用程式將在此設定程序期間命名為 HMA-App,並將代表 Dynamics 365 將用來與 Exchange (內部部署) 資源進行互動的實際應用程式。 詳細資訊: 快速入門:向 Microsoft Identity Platform 註冊應用程式

新增 HMA-App 的憑證

Dynamics 365 使用它來驗證 HMA-App。 HMA 僅支援使用憑證驗證應用程式; 因此,此驗證配置需要憑證。

新增先前在 Key Vault 中佈建的 HMA-Cert。 詳細資訊:新增憑證

新增 API 權限

若要允許 HMA-App 存取 Exchange (內部部署),請授與 Office 365 Exchange Online API 權限。

  1. Azure 入口網站中,開啟應用程式註冊,並選取HMA-App

  2. 選取 API 權限> 新增權限

  3. 選取我組織使用的 API

  4. 輸入 Office 365 Exchange Online,然後選取它。

  5. 選取應用程式權限

  6. 選取 full_access_as_app 核取方塊,以允許應用程式擁有所有信箱的完整存取權,然後選取新增權限

    將完整存取 API 權限指派給應用程式的螢幕擷取畫面。

    注意

    如果讓應用程式對所有信箱具有完整存取權不符合您的業務要求,Exchange (內部部屬) 管理員可以在 Exchange 上設定 ApplicationImpersonation 角色來決定應用程式可以存取的信箱範圍。 詳細資訊:設定模擬

  7. 選取授與管理員同意

驗證類型為 Exchange 混合現代式驗證 (HMA) 的電子郵件伺服器設定檔

在使用 Exchange 混合現代式驗證 (HMA) 於 Dynamics 365 上 建立電子郵件伺服器設定檔之前,您需要從 Azure 入口網站收集以下資訊:

  • EWS URL:Exchange (內部部屬) 所在的 Exchange Web 服務 (EWS) 端點,必須可從 Dynamics 365 公開存取。
  • Microsoft Entra resource ID:HMA 應用請求訪問的 Azure 資源 ID。 這通常是 EWS 端點 URL 的主機部分。
  • TenantId:使用 Microsoft Entra ID 傳遞驗證設定 Exchange (內部部屬) 之租用戶的租用戶識別碼。
  • HMA 應用程式識別碼:HMA-App 的應用程式識別碼。 這可以在 HMA-App 的應用程式註冊主要頁面上找到。
  • Key Vault URI:用於儲存憑證之 Key Vault 的 URI。
  • Key Vault KeyName:Key Vault 中使用的憑證名稱。
  • KeyVault 應用程式 ID:Dynamics 用於從 Key Vault 檢索證書的 KV-App 的應用 ID。
  • KeyVault 用戶端密碼:Dynamics 365 使用的 KV-App 用戶端密碼。