Hybridní moderní ověřování (HMA) pro místní server Exchange
Poznámka:
Nové a vylepšené centrum pro správu Power Platform je teď ve verzi Public Preview! Nové centrum pro správu jsme navrhli tak, aby se snadněji používalo, s navigací orientovanou na úkoly, která vám pomůže rychleji dosáhnout konkrétních výsledků. Novou a aktualizovanou dokumentaci budeme publikovat, jakmile se nové centrum pro správu Power Platform přesune do fáze obecné dostupnosti.
Dynamics 365 se může připojit k poštovním schránkám hostovaným na Exchange Serveru (místním) pomocí metody Hybridní moderní ověřování (HMA). Synchronizace na straně serveru je ověřována prostřednictvím Microsoft Entra pomocí certifikátu, který poskytnete a bezpečně uložíte v Azure Key Vault. Aby měla aplikace Dynamics 365 přístup k certifikátu v Key Vault, muíte vytvořit registraci aplikace zabezpečenou tajným kódem klienta. Jakmile Dynamics 365 dokáže načíst certifikát, tento certifikát se použije k ověření jako konkrétní aplikace a přistoupí ke zdroji místního serveru Exchange.
Podporované verze aplikací
HMA je k dispozici pouze od Exchange 2013 (CU19+) nebo Exchange 2016 (CU8+). Další informace: Oznámení hybridního moderního ověřování pro místní server Exchange (blog)
Předpoklady
Pro nasazení HMA do Dynamics 365 budete muset splnit následující požadavky:
HMA musí být na serveru Exchange povoleno pomocí předávacího ověřování Microsoft Entra ID. Další informace:
Pro toto schéma ověřování je vyžadován certifikát. Pro konfiguraci synchronizace na straně serveru pro HMA musíte poskytnout platný certifikát. Lze jej vygenerovat přímo v Azure Key Vault nebo prostřednictvím procesu vaší společnosti pro generování a nahrání certifikátu do Key Vault.
Potřebujete umístění Key Vault, kde lze certifikát bezpečně uložit. Budete také muset nakonfigurovat registraci aplikace pomocí AppId a ClientSecret, abyste k certifikátu mělo přístup řešení Dynamics 365. Další informace: Key Vault
Konfigurace
Při konfiguraci HMA pro místní server Exchange postupujte podle následujících pokynů.
Zpřístupněte certifikát v Key Vault
V Azure Portal otevřete Key Vault a přejděte do sekce Certifikáty.
Vyberte Generovat/importovat.
V tomto okamžiku lze certifikát vygenerovat nebo importovat. Zadejte název certifikátu a poté vyberte Vytvořit.
Název certifikátu později odkazuje na certifikát. V tomto příkladu má certifikát název HMA-Cert.
Vytvoření nové registrace aplikace pro přístup ke službě Key Vault
Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde se nachází Key Vault. V tomto příkladu je během procesu konfigurace aplikace pojmenována KV-App. Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft
Přidání tajného kódu klienta pro KV-App
Tajný kód klienta použije Dynamics 365 k ověření aplikace a načtení certifikátu. Další informace: Přidání tajného kódu klienta
Přidání KV-App do zásad přístupu ke Key Vault
V Azure Portal otevřete Key Vault a přejděte do sekce Zásady přístupu.
Vyberte Přidat zásady přístupu.
Pro Vybrat objekt zabezpečení vyberte objekt zabezpečení. V tomto příkladu vyberte položku KV-App.
Vyberte oprávnění. Určitě přidejte Získat oprávnění v sekci Tajná oprávnění a Oprávnění k certifikátu. Obojí je vyžadováno, aby aplikace KV-App měla přístup k certifikátu.
Vyberte Přidat.
Vytvoření nové registrace aplikace pro přístup k HMA
Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde je hybridizován Exchange.
V tomto příkladu bude během této konfigurace aplikace pojmenována HMA-App a bude představovat skutečnou aplikaci, kterou Dynamics 365 použije k interakci se zdroji místního serveru Exchange. Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft
Přidání certifikátu pro HMA-App
Tento certifikát použije řešení Dynamics 365 k ověřování HMA-App. HMA podporuje pouze použití certifikátu k ověření aplikace; proto je pro toto schéma ověřování potřeba certifikát.
Přidejte HMA-Cert dříve zřízený v Key Vault. Další informace: Přidání certifikátu
Přidání oprávnění rozhraní API
Aby měla aplikace HMA-App přístup k místnímu serveru Exchange, udělte oprávnění rozhraní Office 365 Exchange Online API.
V portálu Azure Portál otevřete Registrace aplikací a vyberte HMA-App.
Vyberte Oprávnění rozhraní API>Přidat oprávnění.
Vyberte Rozhraní API, která používá moje organizace.
Zadejte Office 365 Exchange Online a vyberte jej.
Vyberte Oprávnění aplikace.
Zaškrtnutím políčka full_access_as_app povolte aplikaci plný přístup ke všem poštovním schránkám a poté vyberte Přidat oprávnění.
Poznámka:
Pokud aplikace s plným přístupem ve všech poštovních schránkách nevyhovuje vašim obchodním požadavkům, může správce místního serveru Exchange nastavit rozsah poštovních schránek, ke kterým má aplikace přístup, konfigurací role ApplicationImpersonation na serveru Exchange. Další informace: Konfigurace zosobnění
Vyberte Udělit souhlas správce.
Profil e mailového serveru s typem ověřování Exchange Hybrid Modern Auth (HMA)
Před vytvořením profilu e-mailového serveru v Dynamics 365 pomocí Exchange Hybrid Modern Auth (HMA) musíte z Azure Portal shromáždit následující informace:
- Adresa URL pro EWS: Koncový bod webových služeb Exchange (EWS), kde se nachází mstní server Exchange, který musí být veřejně přístupný z Dynamics 365.
- ID prostředku Microsoft Entra: ID prostředku Azure, ke kterému aplikace HMA požaduje přístup. Obvykle je to část hostitele v adrese URL koncového bodu EWS.
- TenantId: ID klienta, kde se pro místní server Exchange nakonfigurováno předávací ověřování Microsoft Entra ID.
- ID aplikace HMA: ID pro aplikaci HMA-App. Lze jej najít na hlavní stránce s registrací aplikace HMA-App.
- Identifikátor URI pro Key Vault: Identifikátor URI pro Key Vault používaný pro uchovávání certifikátů.
- KeyName pro Key Vault: Název certifikátu použitý v Key Vault.
- ID aplikace KeyVault: ID aplikace KV-App používané řešením Dynamics k získání certifikátu z Key Vault.
- Tajný kód klienta KeyVault: Tajný kód klienta pro KV-App, kterou používá Dynamics 365.