Hybrid moderne godkendelse (HMA) til Exchange i det lokale miljø

Dynamics 365 kan oprette forbindelse til de postkasser, der hostes på Exchange Server (det lokale miljø), ved hjælp af moderne godkendelse (HMA). Synkronisering på serversiden godkendes ved Microsoft Entra hjælp af et certifikat, du angiver, og som er gemt sikkert i Azure Key Vault. Du skal oprette en programregistrering, der er sikret af en klienthemmelighed, for at gøre det muligt for Dynamics 365 at få adgang til certifikatet i Key Vault. Når Dynamics 365 kan hente certifikatet, bruges certifikatet til at godkende som en bestemt app og få adgang til Exchange-ressourcen (det lokale miljø).

Understøttede versioner af Exchange

HMA er kun tilgængelig fra Exchange 2013 (CU19+) eller Exchange 2016 (CU8+). Flere oplysninger: Annoncerer Hybrid moderne godkendelse til Exchange i det lokale miljø (blog)

Forudsætninger

Hvis du vil installere HMA med Dynamics 365, skal du opfylde følgende krav:

• HMA skal være aktiveret på Exchange ved hjælp af Microsoft Entra id-pass-through-godkendelse. Flere oplysninger:

  • Exchange Server hybride implementeringer
  • Guiden Hybridkonfiguration
  • Hvad er Microsoft Entra Connect?
  • Microsoft Entra Godkendelse af id-gennemgang: Hurtig start
  • Sådan konfigurerer du Exchange Server det lokale miljø til at bruge Hybrid Modern Authentication

• Der kræves et certifikat til denne godkendelsesordning. Du skal levere et gyldigt certifikat for at konfigurere synkronisering på serversiden for HMA. Det kan oprettes direkte i Azure Key Vault eller via din virksomheds proces til oprettelse og overførsel af et certifikat til Key Vault.

• Du skal have en Key Vault-placering , hvor certifikatet kan gemmes sikkert. Du skal også konfigurere appregistrering med et AppId og ClientSecret, så Dynamics 365 kan få adgang til certifikatet. Flere oplysninger: Key Vault

Konfiguration

Følg trinnene nedenfor for at konfigurere HMA til Exchange (det lokale miljø).

Gøre et certifikat tilgængeligt i Key Vault

1. Åbn Key Vault på Azure-portalen, og gå til sektionen Certifikater.

2. Vælg Generér/Importér.

3. På nuværende tidspunkt kan der enten oprettes eller importeres et certifikat. Angiv et certifikatnavn, og vælg derefter Opret.

Certifikatnavnet bruges senere til at referere til certifikatet. I dette eksempel hedder certifikatet HMA-Cert.

Oprette en ny appregistrering for adgang via Key Vault

Opret en ny appregistrering på Azure-portalen i den lejer, hvor Key Vault findes. I dette eksempel hedder appen KV-App under konfigurationsprocessen. Flere oplysninger: Hurtig start: Registrer et program med Microsoft-identitetsplatformen

Tilføje en klienthemmelighed for KV-App

Klienthemmeligheden bruges af Dynamics 365 til at godkende appen og hente certifikatet. Flere oplysninger: Tilføje en klienthemmelighed

Føje KV-app til adgangspolitikkerne for Key Vault

1. Åbn Key Vault på Azure-portalen, og gå til sektionen Adgangspolitikker.

2. Vælg Tilføj adgangspolitik.

3. Vælg en sikkerhedskonto i Vælg sikkerhedskonto. I dette eksempel skal du vælge KV-App.

4. Vælg tilladelser. Sørg for at tilføje Hent tilladelse under Hemmelige tilladelser og Certifikattilladelser. Begge dele kræves, for at KV-App kan få adgang til certifikatet.

5. Vælg Tilføj.

Oprette en ny appregistrering for HMA-adgang

Opret en ny appregistrering på Azure-portalen i den lejer, hvor Exchange er gjort hybrid.

I dette eksempel får appen navnet HMA-App under denne konfigurationsproces og repræsenterer den faktiske app, som Dynamics 365 bruger til at kommunikere med Exchange-ressourcer (i det lokale miljø). Flere oplysninger: Hurtig start: Registrer et program med Microsoft-identitetsplatformen

Tilføje certifikatet for HMA-App

Dette bruges af Dynamics 365 til at godkende HMA-App. HMA understøtter kun brugen af certifikater til godkendelse af en app. Der skal derfor bruges et certifikat til godkendelsesskemaet.

Tilføj det HMA-Cert, der tidligere er klargjort i Key Vault. Flere oplysninger: Tilføje et certifikat

Tilføje API-tilladelse

Hvis HMA-App skal have adgang til Exchange (det lokale miljø), skal du give Office 365 Exchange Online API-tilladelsen.

1. I Azure-portalen skal du åbne Appregistreringer og vælge HMA-App.

2. Vælg API-tilladelser>Tilføj en tilladelse.

3. Vælg API'er, som min organisation bruger.

4. Angiv Office 365 Exchange Online, og vælg det.

5. Vælg Programtilladelser.

6. Markér afkrydsningsfeltet full_access_as_app for at give appen fuld adgang til alle postkasser, og vælg derefter Tilføj tilladelser.

   

   Bemærk

   Hvis det ikke er i overensstemmelse med dine forretningskrav, at en app har fuld adgang til alle postkasser, kan administratoren af Exchange (i det lokale miljø) angive de postkasser, appen kan få adgang til, ved at konfigurere rollen Programrepræsentation på Exchange. Flere oplysninger: Konfigurere repræsentation

7. Vælg Giv administratorsamtykke.

Mailserverprofil med godkendelsestypen Moderne hybrid Exchange-godkendelse (HMA)

Før du opretter en mailserverprofil på Dynamics 365 ved hjælp af Moderne hybrid Exchange-godkendelse (HMA), skal du indsamle følgende oplysninger fra Azure-portalen:

• URL-adresse til EWS: Exchange Web Services-slutpunktet (EWS), hvor Exchange (det lokale miljø) er placeret, og som skal være offentligt tilgængeligt fra Dynamics 365.
• Microsoft Entra ressource-id: Det Azure-ressource-id, som HMA-appen anmoder om adgang til. Det er som regel værtsdelen af URL-adressen til EWS-slutpunktet.
• TenantId: Lejer-id'et for den lejer, hvor Exchange (det lokale miljø) er konfigureret med Microsoft Entra ID-pass-through-godkendelse.
• HMA-program-id: App-id'et til HMA-App. Det findes på hovedsiden for registrering af HMA-App.
• Key Vault-URI: URI'en for Key Vault, der bruges til certifikatlager.
• Key Vault KeyName: Det certifikatnavn, der bruges i Key Vault.
• KeyVault-program-id: App-id'et for den KV-app, der bruges af Dynamics til at hente certifikatet fra Key Vault.
• KeyVault-klienthemmelighed: Den klienthemmelighed for KV-App, der bruges af Dynamics 365.