Nowoczesne uwierzytelnianie hybrydowe (HMA) dla Exchange w siedzibie firmy

Usługa Dynamics 365 może łączyć się ze skrzynkami pocztowi hostowanych na serwerze Exchange Server (lokalnym), używając nowoczesnych uwierzytelniania hybrydowego (HMA). Synchronizacja na serwerze jest uwierzytelniana w Microsoft Entra za pomocą certyfikatu, który podasz i przechowywany w magazynie kluczy Azure Key Vault. Musisz ustanowić rejestrację aplikacji zabezpieczonej przez klienta w celu umożliwienia usłudze Dynamics 365 uzyskania dostępu do certyfikatu w Key Vault. Po tym jak Dynamics 365 będzie w stanie pobrać certyfikat, zostanie on wykorzystany do uwierzytelnienia się jako określona aplikacja i uzyskania dostępu do zasobu Exchange (lokalnie).

Obsługiwane wersje Exchange

HMA będzie dostępne tylko od Exchange 2013 (CU19+) lub Exchange 2016 (CU8+). Więcej informacji: Ogłaszanie HMA w Exchange lokalnie (blog)

Wymagania wstępne

Aby wdrożyć HMA z Dynamics 365, należy spełnić następujące wymagania:

• HMA musi być włączony w Exchange przy użyciu uwierzytelniania przelotowego Microsoft Entra ID. Więcej informacji:

  • Wdrożenie hybrydowe Exchange Server
  • Kreator konfiguracji hybrydowej
  • Co to jest Microsoft Entra Connect?
  • Microsoft Entra ID Uwierzytelnianie Pass-through: Szybki start
  • Jak skonfigurować lokalny Exchange Server do używania nowoczesnego uwierzytelniania hybrydowego

• Dla tego schematu uwierzytelniania wymagany jest certyfikat. Aby skonfigurować synchronizację po stronie serwera dla HMA, należy podać prawidłowy certyfikat. Może on być wygenerowany bezpośrednio w Azure Key Vault lub poprzez firmowy proces generowania i wgrywania certyfikatu do Key Vault.

• Potrzebna jest lokalizacja Key Vault, w którym certyfikat może być przechowywany w sposób bezpieczny. Konieczne będzie również skonfigurowanie rejestracji aplikacji z AppId i ClientSecret, aby umożliwić Dynamics 365 dostęp do certyfikatu. Więcej informacji: Key Vault

Konfiguracja

Wykonaj poniższe kroki, aby skonfigurować HMA dla Exchange (lokalnie).

Udostępnij certyfikat w Key Vault

1. W portalu Azure otwórz Key Vault i przejdź do sekcji Certyfikaty.

2. Wybierz Generuj/Import.

3. W tym momencie certyfikat może być wygenerowany lub zaimportowany. Wprowadź nazwę, a następnie wybierz pozycję Utwórz.

Nazwa certyfikatu zostanie później użyta w celu odwołania do certyfikatu. W tym przykładzie certyfikat ma nazwę HMA-Cert.

Tworzenie nowej rejestracji aplikacji w celu uzyskania dostępu do Key Vault

Utwórz nową rejestrację aplikacji w portalu Azure w dzierżawie, w której znajduje się Key Vault. W tym przykładzie aplikacja będzie nosiła nazwę KV-App podczas procesu konfiguracji. Więcej informacji: Szybki start: rejestrowanie aplikacji przy użyciu platformy tożsamości firmy Microsoft

Dodaj sekret klienta dla KV-App

Klucz tajny klienta zostanie użyty przez Dynamics 365 do uwierzytelnienia aplikacji i pobrania certyfikatu. Więcej informacji: Dodawanie klucza tajnego klienta

Dodawanie KV-App do Key Vault

1. W portalu Azure otwórz Key Vault i przejdź do sekcji Zasady dostępu.

2. Wybierz opcję Dodaj zasady dostępu.

3. W przypadku opcji Wybierz podmiot główny wybierz podmiot główny. Na potrzeby tego przykładu wybierz pozycję KV-App.

4. Wybierz uprawnienia. Należy dodać Pobierz uprawnienie w obszarze Uprawnienia tajne i uprawnienia certyfikatów. Obie te informacje są wymagane, aby aplikacja KV-App mogła uzyskać dostęp do certyfikatu.

5. Wybierz Dodaj.

Tworzenie nowej rejestracji aplikacji w celu uzyskania dostępu HMA

Tworzymy nową rejestrację aplikacji w portalu Azure w dzierżawie, w której hybrydyzowany jest Exchange.

W tym przykładzie aplikacja będzie nosiła nazwę HMA-App podczas tego procesu konfiguracji i będzie reprezentowała rzeczywistą aplikację, której Dynamics 365 będzie używał do interakcji z zasobami Exchange (lokalnie). Więcej informacji: Szybki start: rejestrowanie aplikacji przy użyciu platformy tożsamości firmy Microsoft

Dodaj certyfikat dla aplikacji HMA-App

Będzie on używany przez Dynamics 365 do uwierzytelniania HMA-App. HMA obsługuje tylko użycie certyfikatu do uwierzytelniania aplikacji, dlatego do tego schematu uwierzytelniania potrzebny jest certyfikat.

Dodaj HMA-Cert uprzednio udostępniony w Key Vault. Więcej informacji: Dodawanie certyfikatu

Dodaj uprawnienie API

Aby umożliwić aplikacji HMA-App dostęp do programu Exchange (lokalnie), należy przyznać uprawnienie API Office 365 Exchange Online.

1. W portalu Azure otwórz Rejestracje aplikacji i wybierz opcję HMA-App.

2. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

3. Wybierz Interfejsy API używane przez organizację.

4. Wprowadź Office 365 Exchange Online i wybierz tę opcję.

5. Wybierz Uprawnienia aplikacji.

6. Zaznacz pole full_access_as_app, aby umożliwić aplikacji pełny dostęp do wszystkich skrzynek pocztowych, a następnie wybierz opcję Dodaj uprawnienia.

   

   Notatka

   Jeżeli nie jest zgodne z wymaganiami biznesowymi aby aplikacja miała pełny dostęp do wszystkich skrzynek, administrator Exchange (lokalnie) może ograniczyć skrzynki do których aplikacja może mieć dostęp poprzez konfigurację roli ApplicationImpersonation na Exchange. Więcej informacji: Konfigurowanie personifikacji

7. Wybierz Udzielanie zgody administratora.

Profil serwera email z typem hybrydowego uwierzytelniania nowoczesnego Exchange (HMA)

Przed utworzeniem profilu serwera poczty e-mail w usłudze Dynamics 365 przy użyciu narzędzia hybrydowego uwierzytelniania nowoczesnego Exchange (DHCPA) musisz zebrać następujące informacje z portalu Azure:

• ADRES URL EWS: Punkt końcowy Exchange Web Services (EWS), w którym znajduje się Exchange (lokalnie), który musi być publicznie dostępny z poziomu Dynamics 365.
• Microsoft Entra Identyfikator zasobu AAD: identyfikator zasobu Azure, do którego aplikacja HMA będzie żądać dostępu. Zazwyczaj jest to część hosta w adresie URL punktu końcowego EWS.
• TenantId: Identyfikator dzierżawy, w której Exchange (lokalny) jest skonfigurowany z uwierzytelnianiem przelotowym Microsoft Entra ID.
• Identyfikator aplikacji HMA: Identyfikator aplikacji dla HMA-App. Można go znaleźć na stronie głównej rejestracji aplikacji HMA-App.
• Uri Key Vault: URI Key Vault używanego do przechowywania certyfikatów.
• Key Vault KeyName: nazwa certyfikatu używana w Key Vault.
• Identyfikator aplikacji KeyVault: Identyfikator aplikacji KV-App używanej przez Dynamics do pobierania certyfikatu z Key Vault.
• Klucz tajny klienta KeyVault: klucz tajny klienta dla KV-App, używany przez usługę Dynamics 365.