Exchange 內部部署的混合新式驗證 (HMA)
Dynamics 365 可以使用混合新式驗證 (HMA),連接至 Exchange Server (內部部署) 上託管的信箱。 伺服器端同步處理將使用您提供並安全儲存在 Azure Key Vault 中的憑證對 Microsoft Entra 進行驗證。 您需要建立由用戶端密碼保護的應用程式註冊,以便 Dynamics 365 能夠存取 Key Vault 中的憑證。 在 Dynamics 365 能擷取憑證後,該憑證將用於作為特定應用程式進行驗證並存取 Exchange (內部部署) 資源。
支援 Exchange 版本
HMA 只能從 Exchange 2013 (CU19 +) 或 Exchange 2016 (CU8 +) 取得。 詳細資訊:宣佈 Exchange 內部部署的混合新式驗證 (部落格)
先決條件
若要使用 Dynamics 365 部署 HMA,您必須滿足以下要求:
必須使用 Microsoft Entra ID 傳遞驗證在 Exchange 上啟用 HMA。 其他資訊:
此驗證方案需要憑證。 您必須提供有效憑證,才能為 HMA 設定伺服器端同步處理。 它可以直接在 Azure Key Vault 中產生,也可以透過公司程序產生並將憑證上傳到 Key Vault。
您需要可以安全儲存憑證的 Key Vault 位置。 您也需要使用 AppId 和 ClientSecret 設定應用程式註冊,以允許 Dynamics 365 存取憑證。 詳細資訊:Key Vault
組態
請依照以下步驟,為 Exchange (內部部署) 設定 HMA。
在 Key Vault 上提供憑證
在 Azure 入口網站中,開啟 Key Vault ,然後移至憑證區段。
選取產生/匯入。
此時,可以產生或匯入憑證。 指定憑證名稱,然後選取建立。
稍後將使用憑證名稱來參考憑證。 在此範例中,憑證的名稱為 HMA-Cert。
為 Key Vault 存取建立新的應用程式註冊
在 Key Vault 所在的租用戶 Azure 入口網站中建立新的應用程式註冊。 對於這些範例,應用程式將在設定程序中命名為 KV-App。 詳細資訊:快速入門:使用 Microsoft 身分識別平台註冊應用程式
為 KV-App 新增用戶端密碼
Dynamics 365 將使用用戶端密碼來驗證應用程式並擷取憑證。 詳細資訊:新增用戶端密碼
將 KV-App 新增至 Key Vault 存取原則
在 Azure 入口網站中,開啟 Key Vault ,然後移至存取原則區段。
選取新增存取原則。
對於選取主體,選取 [主體]。 對於這些範例,我們選取 KV-App。
選取權限。 請務必在密碼權限和憑證權限下新增取得權限。 KV-App 需要這兩者才能存取憑證。
選取新增。
為 HMA 存取建立新的應用程式註冊
在 Exchange 混合的租用戶 Azure 入口網站中建立新的應用程式註冊。
在此範例中,應用程式將在此設定程序期間命名為 HMA-App,並將代表 Dynamics 365 將用來與 Exchange (內部部署) 資源進行互動的實際應用程式。 詳細資訊:快速入門:使用 Microsoft 身分識別平台註冊應用程式
新增 HMA-App 的憑證
Dynamics 365 將使用這來驗證 HMA-App。 HMA 僅支援使用憑證驗證應用程式; 因此,此驗證配置需要憑證。
新增先前在 Key Vault 中佈建的 HMA-Cert。 詳細資訊:新增憑證
新增 API 權限
若要允許 HMA-App 存取 Exchange (內部部署),請授與 Office 365 Exchange Online API 權限。
在 Azure 入口網站中,開啟應用程式註冊,並選取HMA-App。
選取 API 權限>新增權限。
選取我組織使用的 API。
輸入 Office 365 Exchange Online,然後選取它。
選取應用程式權限。
選取 full_access_as_app 核取方塊,以允許應用程式擁有所有信箱的完整存取權,然後選取新增權限。
注意
如果讓應用程式對所有信箱具有完整存取權不符合您的業務要求,Exchange (內部部屬) 管理員可以在 Exchange 上設定 ApplicationImpersonation 角色來決定應用程式可以存取的信箱範圍。 詳細資訊:設定模擬
選取授與管理員同意。
驗證類型為 Exchange 混合現代式驗證 (HMA) 的電子郵件伺服器設定檔
在使用 Exchange 混合現代式驗證 (HMA) 於 Dynamics 365 上 建立電子郵件伺服器設定檔之前,您需要從 Azure 入口網站收集以下資訊:
EWS URL:Exchange (內部部屬) 所在的 Exchange Web 服務 (EWS) 端點,必須可從 Dynamics 365 公開存取。
Microsoft Entra 資源識別碼:HMA 應用程式將要求存取的 Azure 資源識別碼。 這通常是 EWS 端點 URL 的主機部分。
TenantId:使用 Microsoft Entra ID 傳遞驗證設定 Exchange (內部部屬) 之租用戶的租用戶識別碼。
HMA 應用程式識別碼:HMA-App 的應用程式識別碼。 這可以在 HMA-App 的應用程式註冊主要頁面上找到。
Key Vault URI:用於儲存憑證之 Key Vault 的 URI。
Key Vault KeyName:Key Vault 中使用的憑證名稱。
KeyVault 應用程式識別碼:Dynamics 用來從 Key Vault 擷取憑證之 KV-App 的應用程式識別碼。
KeyVault 用戶端密碼:Dynamics 365 使用的 KV-App 用戶端密碼。