Exchange 內部部署的混合新式驗證 (HMA)

Dynamics 365 可以使用混合新式驗證 (HMA)，連接至 Exchange Server (內部部署) 上託管的信箱。 伺服器端同步處理將使用您提供並安全儲存在 Azure Key Vault 中的憑證對 Microsoft Entra 進行驗證。 您需要建立由用戶端密碼保護的應用程式註冊，以便 Dynamics 365 能夠存取 Key Vault 中的憑證。 在 Dynamics 365 能擷取憑證後，該憑證將用於作為特定應用程式進行驗證並存取 Exchange (內部部署) 資源。

支援 Exchange 版本

HMA 只能從 Exchange 2013 (CU19 +) 或 Exchange 2016 (CU8 +) 取得。 詳細資訊：宣佈 Exchange 內部部署的混合新式驗證 (部落格)

先決條件

若要使用 Dynamics 365 部署 HMA，您必須滿足以下要求：

• 必須使用 Microsoft Entra ID 傳遞驗證在 Exchange 上啟用 HMA。 其他資訊：

  • Exchange Server 混合部署
  • 混和設定精靈
  • 什麼是 Microsoft Entra Connect？
  • Microsoft Entra ID 傳遞驗證：快速入門
  • 如何設定 Exchange Server 內部部署以使用混合新式驗證

• 此驗證方案需要憑證。 您必須提供有效憑證，才能為 HMA 設定伺服器端同步處理。 它可以直接在 Azure Key Vault 中產生，也可以透過公司程序產生並將憑證上傳到 Key Vault。

• 您需要可以安全儲存憑證的 Key Vault 位置。 您也需要使用 AppId 和 ClientSecret 設定應用程式註冊，以允許 Dynamics 365 存取憑證。 詳細資訊：Key Vault

組態

請依照以下步驟，為 Exchange (內部部署) 設定 HMA。

在 Key Vault 上提供憑證

1. 在 Azure 入口網站中，開啟 Key Vault ，然後移至憑證區段。

2. 選取產生/匯入。

   

3. 此時，可以產生或匯入憑證。 指定憑證名稱，然後選取建立。

稍後將使用憑證名稱來參考憑證。 在此範例中，憑證的名稱為 HMA-Cert。

為 Key Vault 存取建立新的應用程式註冊

在 Key Vault 所在的租用戶 Azure 入口網站中建立新的應用程式註冊。 對於這些範例，應用程式將在設定程序中命名為 KV-App。 詳細資訊：快速入門：使用 Microsoft 身分識別平台註冊應用程式

為 KV-App 新增用戶端密碼

Dynamics 365 將使用用戶端密碼來驗證應用程式並擷取憑證。 詳細資訊：新增用戶端密碼

將 KV-App 新增至 Key Vault 存取原則

1. 在 Azure 入口網站中，開啟 Key Vault ，然後移至存取原則區段。

2. 選取新增存取原則。

   

3. 對於選取主體，選取 [主體]。 對於這些範例，我們選取 KV-App。

4. 選取權限。 請務必在密碼權限和憑證權限下新增取得權限。 KV-App 需要這兩者才能存取憑證。

   

5. 選取新增。

為 HMA 存取建立新的應用程式註冊

在 Exchange 混合的租用戶 Azure 入口網站中建立新的應用程式註冊。

在此範例中，應用程式將在此設定程序期間命名為 HMA-App，並將代表 Dynamics 365 將用來與 Exchange (內部部署) 資源進行互動的實際應用程式。 詳細資訊：快速入門：使用 Microsoft 身分識別平台註冊應用程式

新增 HMA-App 的憑證

Dynamics 365 將使用這來驗證 HMA-App。 HMA 僅支援使用憑證驗證應用程式; 因此，此驗證配置需要憑證。

新增先前在 Key Vault 中佈建的 HMA-Cert。 詳細資訊：新增憑證

新增 API 權限

若要允許 HMA-App 存取 Exchange (內部部署)，請授與 Office 365 Exchange Online API 權限。

1. 在 Azure 入口網站中，開啟應用程式註冊，並選取HMA-App。

2. 選取 API 權限>新增權限。

   

3. 選取我組織使用的 API。

4. 輸入 Office 365 Exchange Online，然後選取它。

5. 選取應用程式權限。

6. 選取 full_access_as_app 核取方塊，以允許應用程式擁有所有信箱的完整存取權，然後選取新增權限。

   

   注意

   如果讓應用程式對所有信箱具有完整存取權不符合您的業務要求，Exchange (內部部屬) 管理員可以在 Exchange 上設定 ApplicationImpersonation 角色來決定應用程式可以存取的信箱範圍。 詳細資訊：設定模擬

7. 選取授與管理員同意。

   

驗證類型為 Exchange 混合現代式驗證 (HMA) 的電子郵件伺服器設定檔

在使用 Exchange 混合現代式驗證 (HMA) 於 Dynamics 365 上 建立電子郵件伺服器設定檔之前，您需要從 Azure 入口網站收集以下資訊：

• EWS URL：Exchange (內部部屬) 所在的 Exchange Web 服務 (EWS) 端點，必須可從 Dynamics 365 公開存取。

• Microsoft Entra 資源識別碼：HMA 應用程式將要求存取的 Azure 資源識別碼。 這通常是 EWS 端點 URL 的主機部分。

• TenantId：使用 Microsoft Entra ID 傳遞驗證設定 Exchange (內部部屬) 之租用戶的租用戶識別碼。

• HMA 應用程式識別碼：HMA-App 的應用程式識別碼。 這可以在 HMA-App 的應用程式註冊主要頁面上找到。

• Key Vault URI：用於儲存憑證之 Key Vault 的 URI。

• Key Vault KeyName：Key Vault 中使用的憑證名稱。

• KeyVault 應用程式識別碼：Dynamics 用來從 Key Vault 擷取憑證之 KV-App 的應用程式識別碼。

• KeyVault 用戶端密碼：Dynamics 365 使用的 KV-App 用戶端密碼。