Hybridní moderní ověřování (HMA) pro místní server Exchange

Dynamics 365 se může připojit k poštovním schránkám hostovaným na Exchange Serveru (místním) pomocí metody Hybridní moderní ověřování (HMA). Synchronizace na straně serveru se ověřuje proti Microsoft Entra pomocí certifikátu, který poskytnete a je bezpečně uložen v Azure Key Vault. Chcete-li Dynamics 365 umožnit přístup k certifikátu v Key Vault, musíte vytvořit registraci aplikace zabezpečenou tajným klíčem klienta. Poté, co Dynamics 365 dokáže načíst certifikát, je certifikát použit k ověření jako konkrétní aplikace a přístupu ke zdroji Exchange (místní).

Podporované verze aplikací

HMA je k dispozici pouze od Exchange 2013 (CU19+) nebo Exchange 2016 (CU8+). Další informace: Oznámení hybridního moderního ověřování pro místní server Exchange (blog)

Předpoklady

Chcete-li nasadit HMA s Dynamics 365, musíte splnit následující požadavky:

• HMA musí být povoleno na serveru Exchange pomocí Microsoft Entra průchozího ověřování ID. Další informace:

  • Exchange Server hybridní nasazení
  • Průvodce hybridní konfigurací
  • Co je Microsoft Entra Připojit?
  • Microsoft Entra ID Pass-through Authentication: Rychlý start
  • Jak nakonfigurovat Exchange Server místní pro použití hybridního moderního ověřování

• Pro toto schéma ověřování je vyžadován certifikát. Pro konfiguraci synchronizace na straně serveru pro HMA musíte poskytnout platný certifikát. Lze jej vygenerovat přímo v Azure Key Vault nebo prostřednictvím procesu vaší společnosti pro generování a nahrání certifikátu do Key Vault.

• Potřebujete umístění trezoru klíčů , kde lze certifikát bezpečně uložit. Budete také muset nakonfigurovat registraci aplikace pomocí AppId a ClientSecret, abyste k certifikátu mělo přístup řešení Dynamics 365. Další informace: Key Vault

Konfigurace

Při konfiguraci HMA pro místní server Exchange postupujte podle následujících pokynů.

Zpřístupněte certifikát v Key Vault

1. V Azure Portal otevřete Key Vault a přejděte do sekce Certifikáty.

2. Vyberte Generovat/importovat.

3. V tomto okamžiku lze certifikát vygenerovat nebo importovat. Zadejte název certifikátu a poté vyberte Vytvořit.

Název certifikátu se později použije jako odkaz na certifikát. V tomto příkladu má certifikát název HMA-Cert.

Vytvoření nové registrace aplikace pro přístup ke službě Key Vault

Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde se nachází Key Vault. V tomto příkladu se aplikace během procesu konfigurace jmenuje KV-App . Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft

Přidání tajného kódu klienta pro KV-App

Tajný klíč klienta používá Dynamics 365 k ověření aplikace a načtení certifikátu. Další informace: Přidání tajného kódu klienta

Přidání KV-App do zásad přístupu ke Key Vault

1. V Azure Portal otevřete Key Vault a přejděte do sekce Zásady přístupu.

2. Vyberte Přidat zásady přístupu.

3. Pro Vybrat objekt zabezpečení vyberte objekt zabezpečení. V tomto příkladu vyberte KV-App.

4. Vyberte oprávnění. Určitě přidejte Získat oprávnění v sekci Tajná oprávnění a Oprávnění k certifikátu. Obojí je vyžadováno, aby aplikace KV-App měla přístup k certifikátu.

5. Vyberte Přidat.

Vytvoření nové registrace aplikace pro přístup k HMA

Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde je hybridizován Exchange.

V tomto příkladu bude během této konfigurace aplikace pojmenována HMA-App a bude představovat skutečnou aplikaci, kterou Dynamics 365 použije k interakci se zdroji místního serveru Exchange. Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft

Přidání certifikátu pro HMA-App

Toto používá Dynamics 365 k ověření aplikace HMA. HMA podporuje pouze použití certifikátu k ověření aplikace; proto je pro toto schéma ověřování potřeba certifikát.

Přidejte HMA-Cert dříve zřízený v Key Vault. Další informace: Přidání certifikátu

Přidání oprávnění rozhraní API

Aby měla aplikace HMA-App přístup k místnímu serveru Exchange, udělte oprávnění rozhraní Office 365 Exchange Online API.

1. V portálu Azure Portál otevřete Registrace aplikací a vyberte HMA-App.

2. Vyberte Oprávnění rozhraní API>Přidat oprávnění.

3. Vyberte Rozhraní API, která používá moje organizace.

4. Zadejte Office 365 Exchange Online a vyberte jej.

5. Vyberte Oprávnění aplikace.

6. Zaškrtnutím políčka full_access_as_app povolte aplikaci plný přístup ke všem poštovním schránkám a poté vyberte Přidat oprávnění.

   

   Poznámka:

   Pokud aplikace s plným přístupem ve všech poštovních schránkách nevyhovuje vašim obchodním požadavkům, může správce místního serveru Exchange nastavit rozsah poštovních schránek, ke kterým má aplikace přístup, konfigurací role ApplicationImpersonation na serveru Exchange. Další informace: Konfigurace zosobnění

7. Vyberte Udělit souhlas správce.

Profil e mailového serveru s typem ověřování Exchange Hybrid Modern Auth (HMA)

Před vytvořením profilu e-mailového serveru v Dynamics 365 pomocí Exchange Hybrid Modern Auth (HMA) musíte z Azure Portal shromáždit následující informace:

• Adresa URL pro EWS: Koncový bod webových služeb Exchange (EWS), kde se nachází mstní server Exchange, který musí být veřejně přístupný z Dynamics 365.
• Microsoft Entra ID prostředku: Azure ID prostředku, ke kterému aplikace HMA požaduje přístup. Obvykle je to část hostitele v adrese URL koncového bodu EWS.
• TenantId: ID klienta, kde se pro místní server Exchange nakonfigurováno předávací ověřování Microsoft Entra ID.
• ID aplikace HMA: ID pro aplikaci HMA-App. Lze jej najít na hlavní stránce s registrací aplikace HMA-App.
• Identifikátor URI pro Key Vault: Identifikátor URI pro Key Vault používaný pro uchovávání certifikátů.
• KeyName pro Key Vault: Název certifikátu použitý v Key Vault.
• KeyVault Application Id: ID aplikace KV-App používané Dynamics k načtení certifikátu z Key Vault.
• Tajný kód klienta KeyVault: Tajný kód klienta pro KV-App, kterou používá Dynamics 365.