Exchange 內部部署的混合新式驗證 (HMA)

Dynamics 365 可以使用混合新式驗證 (HMA)，連接至 Exchange Server (內部部署) 上託管的信箱。 伺服器端同步使用你提供並安全地存儲在 Azure Key Vault 中的證書進行身份驗證 Microsoft Entra 。 您需要建立由客戶端密碼保護的應用程式註冊，以使 Dynamics 365 能夠存取 Key Vault 中的證書。 Dynamics 365 能夠檢索證書后，該證書將用於作為特定應用程式進行身份驗證並訪問 Exchange (內部部署) 資源。

支援 Exchange 版本

HMA 僅可從 Exchange 2013 (CU19+) 或 Exchange 2016 (CU8+) 獲得。 詳細資訊：宣佈 Exchange 內部部署的混合新式驗證 (部落格)

先決條件

要使用 Dynamics 365 部署 HMA，您需要滿足以下要求：

• 必須使用 ID 直通身份驗證在 Exchange Microsoft Entra 上啟用 HMA。 其他資訊：

  • Exchange Server 混合部署
  • 混合配置精靈
  • 什麼是 Microsoft Entra 連線？
  • Microsoft Entra ID 直通身份驗證：快速入門
  • 如何配置 Exchange Server 內部部署以使用混合現代身份驗證

• 此身份驗證方案需要證書。 您必須提供有效憑證，才能為 HMA 設定伺服器端同步處理。 它可以直接在 Azure Key Vault 中產生，也可以透過公司程序產生並將憑證上傳到 Key Vault。

• 您需要一個可以安全儲存證書的 Key Vault 位置 。 您也需要使用 AppId 和 ClientSecret 設定應用程式註冊，以允許 Dynamics 365 存取憑證。 詳細資訊：Key Vault

組態

請依照以下步驟，為 Exchange (內部部署) 設定 HMA。

在 Key Vault 上提供憑證

1. 在 Azure 入口網站中，開啟 Key Vault ，然後移至憑證區段。

2. 選取產生/匯入。

3. 此時，可以產生或匯入憑證。 指定憑證名稱，然後選取建立。

證書名稱稍後用於引用證書。 在此範例中，憑證的名稱為 HMA-Cert。

為 Key Vault 存取建立新的應用程式註冊

在 Key Vault 所在的租用戶 Azure 入口網站中建立新的應用程式註冊。 在此範例中，應用程式在配置過程中被命名為 KV-App 。 詳細資訊： 快速入門：向 Microsoft Identity Platform 註冊應用程式

為 KV-App 新增用戶端密碼

Dynamics 365 使用用戶端密鑰對應用程式進行身份驗證並檢索證書。 詳細資訊：新增用戶端密碼

將 KV-App 新增至 Key Vault 存取原則

1. 在 Azure 入口網站中，開啟 Key Vault ，然後移至存取原則區段。

2. 選取新增存取原則。

3. 對於選取主體，選取 [主體]。 對於此示例，請選擇 KV-App。

4. 選取權限。 請務必在密碼權限和憑證權限下新增取得權限。 KV-App 需要這兩者才能存取憑證。

5. 選取新增。

為 HMA 存取建立新的應用程式註冊

在 Exchange 混合的租用戶 Azure 入口網站中建立新的應用程式註冊。

在此範例中，應用程式將在此設定程序期間命名為 HMA-App，並將代表 Dynamics 365 將用來與 Exchange (內部部署) 資源進行互動的實際應用程式。 詳細資訊： 快速入門：向 Microsoft Identity Platform 註冊應用程式

新增 HMA-App 的憑證

Dynamics 365 使用它來驗證 HMA-App。 HMA 僅支援使用憑證驗證應用程式; 因此，此驗證配置需要憑證。

新增先前在 Key Vault 中佈建的 HMA-Cert。 詳細資訊：新增憑證

新增 API 權限

若要允許 HMA-App 存取 Exchange (內部部署)，請授與 Office 365 Exchange Online API 權限。

1. 在 Azure 入口網站中，開啟應用程式註冊，並選取HMA-App。

2. 選取 API 權限> 新增權限。

3. 選取我組織使用的 API。

4. 輸入 Office 365 Exchange Online，然後選取它。

5. 選取應用程式權限。

6. 選取 full_access_as_app 核取方塊，以允許應用程式擁有所有信箱的完整存取權，然後選取新增權限。

   

   注意

   如果讓應用程式對所有信箱具有完整存取權不符合您的業務要求，Exchange (內部部屬) 管理員可以在 Exchange 上設定 ApplicationImpersonation 角色來決定應用程式可以存取的信箱範圍。 詳細資訊：設定模擬

7. 選取授與管理員同意。

驗證類型為 Exchange 混合現代式驗證 (HMA) 的電子郵件伺服器設定檔

在使用 Exchange 混合現代式驗證 (HMA) 於 Dynamics 365 上 建立電子郵件伺服器設定檔之前，您需要從 Azure 入口網站收集以下資訊：

• EWS URL：Exchange (內部部屬) 所在的 Exchange Web 服務 (EWS) 端點，必須可從 Dynamics 365 公開存取。
• Microsoft Entra resource ID：HMA 應用請求訪問的 Azure 資源 ID。 這通常是 EWS 端點 URL 的主機部分。
• TenantId：使用 Microsoft Entra ID 傳遞驗證設定 Exchange (內部部屬) 之租用戶的租用戶識別碼。
• HMA 應用程式識別碼：HMA-App 的應用程式識別碼。 這可以在 HMA-App 的應用程式註冊主要頁面上找到。
• Key Vault URI：用於儲存憑證之 Key Vault 的 URI。
• Key Vault KeyName：Key Vault 中使用的憑證名稱。
• KeyVault 應用程式 ID：Dynamics 用於從 Key Vault 檢索證書的 KV-App 的應用 ID。
• KeyVault 用戶端密碼：Dynamics 365 使用的 KV-App 用戶端密碼。