Hybridní moderní ověřování (HMA) pro místní server Exchange
Dynamics 365 se může připojit k poštovním schránkám hostovaným na Exchange Serveru (místním) pomocí metody Hybridní moderní ověřování (HMA). Synchronizace na straně serveru se ověřuje proti Microsoft Entra pomocí certifikátu, který poskytnete a je bezpečně uložen v Azure Key Vault. Chcete-li Dynamics 365 umožnit přístup k certifikátu v Key Vault, musíte vytvořit registraci aplikace zabezpečenou tajným klíčem klienta. Poté, co Dynamics 365 dokáže načíst certifikát, je certifikát použit k ověření jako konkrétní aplikace a přístupu ke zdroji Exchange (místní).
Podporované verze aplikací
HMA je k dispozici pouze od Exchange 2013 (CU19+) nebo Exchange 2016 (CU8+). Další informace: Oznámení hybridního moderního ověřování pro místní server Exchange (blog)
Předpoklady
Chcete-li nasadit HMA s Dynamics 365, musíte splnit následující požadavky:
HMA musí být povoleno na serveru Exchange pomocí Microsoft Entra průchozího ověřování ID. Další informace:
Pro toto schéma ověřování je vyžadován certifikát. Pro konfiguraci synchronizace na straně serveru pro HMA musíte poskytnout platný certifikát. Lze jej vygenerovat přímo v Azure Key Vault nebo prostřednictvím procesu vaší společnosti pro generování a nahrání certifikátu do Key Vault.
Potřebujete umístění trezoru klíčů , kde lze certifikát bezpečně uložit. Budete také muset nakonfigurovat registraci aplikace pomocí AppId a ClientSecret, abyste k certifikátu mělo přístup řešení Dynamics 365. Další informace: Key Vault
Konfigurace
Při konfiguraci HMA pro místní server Exchange postupujte podle následujících pokynů.
Zpřístupněte certifikát v Key Vault
V Azure Portal otevřete Key Vault a přejděte do sekce Certifikáty.
Vyberte Generovat/importovat.
V tomto okamžiku lze certifikát vygenerovat nebo importovat. Zadejte název certifikátu a poté vyberte Vytvořit.
Název certifikátu se později použije jako odkaz na certifikát. V tomto příkladu má certifikát název HMA-Cert.
Vytvoření nové registrace aplikace pro přístup ke službě Key Vault
Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde se nachází Key Vault. V tomto příkladu se aplikace během procesu konfigurace jmenuje KV-App . Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft
Přidání tajného kódu klienta pro KV-App
Tajný klíč klienta používá Dynamics 365 k ověření aplikace a načtení certifikátu. Další informace: Přidání tajného kódu klienta
Přidání KV-App do zásad přístupu ke Key Vault
V Azure Portal otevřete Key Vault a přejděte do sekce Zásady přístupu.
Vyberte Přidat zásady přístupu.
Pro Vybrat objekt zabezpečení vyberte objekt zabezpečení. V tomto příkladu vyberte KV-App.
Vyberte oprávnění. Určitě přidejte Získat oprávnění v sekci Tajná oprávnění a Oprávnění k certifikátu. Obojí je vyžadováno, aby aplikace KV-App měla přístup k certifikátu.
Vyberte Přidat.
Vytvoření nové registrace aplikace pro přístup k HMA
Vytvořte novou registraci aplikace v portálu Azure Portal v klientovi, kde je hybridizován Exchange.
V tomto příkladu bude během této konfigurace aplikace pojmenována HMA-App a bude představovat skutečnou aplikaci, kterou Dynamics 365 použije k interakci se zdroji místního serveru Exchange. Další informace: Rychlý start: Registrace aplikace v platformě identity Microsoft
Přidání certifikátu pro HMA-App
Toto používá Dynamics 365 k ověření aplikace HMA. HMA podporuje pouze použití certifikátu k ověření aplikace; proto je pro toto schéma ověřování potřeba certifikát.
Přidejte HMA-Cert dříve zřízený v Key Vault. Další informace: Přidání certifikátu
Přidání oprávnění rozhraní API
Aby měla aplikace HMA-App přístup k místnímu serveru Exchange, udělte oprávnění rozhraní Office 365 Exchange Online API.
V portálu Azure Portál otevřete Registrace aplikací a vyberte HMA-App.
Vyberte Oprávnění rozhraní API>Přidat oprávnění.
Vyberte Rozhraní API, která používá moje organizace.
Zadejte Office 365 Exchange Online a vyberte jej.
Vyberte Oprávnění aplikace.
Zaškrtnutím políčka full_access_as_app povolte aplikaci plný přístup ke všem poštovním schránkám a poté vyberte Přidat oprávnění.
Poznámka:
Pokud aplikace s plným přístupem ve všech poštovních schránkách nevyhovuje vašim obchodním požadavkům, může správce místního serveru Exchange nastavit rozsah poštovních schránek, ke kterým má aplikace přístup, konfigurací role ApplicationImpersonation na serveru Exchange. Další informace: Konfigurace zosobnění
Vyberte Udělit souhlas správce.
Profil e mailového serveru s typem ověřování Exchange Hybrid Modern Auth (HMA)
Před vytvořením profilu e-mailového serveru v Dynamics 365 pomocí Exchange Hybrid Modern Auth (HMA) musíte z Azure Portal shromáždit následující informace:
- Adresa URL pro EWS: Koncový bod webových služeb Exchange (EWS), kde se nachází mstní server Exchange, který musí být veřejně přístupný z Dynamics 365.
- Microsoft Entra ID prostředku: Azure ID prostředku, ke kterému aplikace HMA požaduje přístup. Obvykle je to část hostitele v adrese URL koncového bodu EWS.
- TenantId: ID klienta, kde se pro místní server Exchange nakonfigurováno předávací ověřování Microsoft Entra ID.
- ID aplikace HMA: ID pro aplikaci HMA-App. Lze jej najít na hlavní stránce s registrací aplikace HMA-App.
- Identifikátor URI pro Key Vault: Identifikátor URI pro Key Vault používaný pro uchovávání certifikátů.
- KeyName pro Key Vault: Název certifikátu použitý v Key Vault.
- KeyVault Application Id: ID aplikace KV-App používané Dynamics k načtení certifikátu z Key Vault.
- Tajný kód klienta KeyVault: Tajný kód klienta pro KV-App, kterou používá Dynamics 365.