Dela via


Modern hybridautentisering (HMA) för Exchange lokal

Obs

Det nya och förbättrade administratörscentret för Power Platform finns nu i en allmänt tillgänglig förhandsversion! Vi har utformat det nya administrationscentret så att det är enklare att använda, med uppgiftsorienterad navigering som hjälper dig att uppnå specifika resultat snabbare. Vi kommer att publicera ny och uppdaterad dokumentation när det nya administratörscentret för Power Platform blir allmänt tillgängligt.

Dynamics 365 kan ansluta till postlådor som är värd för Exchange Server (lokal) med hjälp av Autentisera modern autentisering (HMA). Serversynkronisering autentiseras mot Microsoft Entra med hjälp av ett certifikat som du tillhandahåller och som lagras säkert i Azure Key Vault. Du måste upprätta en programregistrering som skyddas av en klienthemlighet för att Dynamics 365 ska få åtkomst till certifikatet i Key Vault. När Dynamics 365 har hämtat certifikatet används certifikatet för att autentisera som ett specifikt program och få åtkomst till Exchange-resursen (lokal).

Exchange-versioner som stöds

HMA är endast tillgängligt från Exchange 2013 (CU19+) eller Exchange 2016 (CU8+). Mer information: Meddelande om Modern hybridautentisering för Exchange lokal (blogg)

Förutsättningar

Om du vill distribuera HMA med Dynamics 365 måste du uppfylla följande krav:

Konfiguration

Konfigurera HMA för Exchange (lokal) genom att följa anvisningarna nedan.

Göra ett certifikat tillgängligt i Key Vault

  1. I Azure-portalen, öppna Key Vault och gå till avsnittet Certifikat.

  2. Välj Generera/Importera.

  3. Nu kan ett certifikat antingen skapas eller importeras. Ange ett certifikatnamn och välj sedan Skapa.

Certifikatnamnet används senare för att referera till certifikatet. I det här exemplet heter certifikatet HMA-Cert.

Skapa en ny programregistrering för åtkomst till Key Vault

Skapa en ny programregistrering i Azure-portalen i klientorganisationen där Key Vault finns. I det här exemplet får programmet namnet KV-program under konfigurationsprocessen. Mer information: snabbstart: registrera ett program med Microsoft Identity Platform

Lägg till en klienthemlighet för KV-program

Klienthemligheten används av Dynamics 365 för att autentisera programmet och hämta certifikatet. Mer information: Lägga till en klienthemlighet

Lägg till KV-program i Key Vault-åtkomstprinciper

  1. I Azure-portalen, öppna Key Vault och gå till avsnittet åtkomstprinciper.

  2. Välj Lägg till åtkomstprincip.

  3. För Välj huvudkonto väljer du ett huvudkonto. För det här exemplet väljer du KV-program.

  4. Välj behörigheter. Se till att lägga till Skaffa behörigheter under Hemliga behörigheter och Certifikatbehörigheter. Båda krävs för att KV-program ska kunna komma åt certifikatet.

  5. Markera Lägga till.

Skapa en ny programregistrering för åtkomst till HMA

Skapa en ny programregistrering i Azure-portalen i klientorganisationen där Exchange Vault hybridiseras.

I det här exemplet namnges programmet HMA-program under den här konfigurationsprocessen och representerar det faktiska program som Dynamics 365 använder för att interagera med Exchange-resurser (lokal). Mer information: snabbstart: registrera ett program med Microsoft Identity Platform

Lägg till certifikatet för HMA-program

Detta används av Dynamics 365 för autentisering av HMA-program. HMA har endast stöd för certifikatanvändning för autentisering av ett program. Därför behövs ett certifikat för det här autentiseringsschemat.

Lägg till HMA-Cert som tidigare etablerades i Key Vault. Mer information: Lägga till ett certifikat

Lägg till API-behörigheter

Om du vill tillåta att HMA-program har åtkomst till Exchange (lokalt) ger du Office 365 Exchange Online API-behörighet.

  1. I Azure-portalen, öppna Appregistreringar och välj HMA-program.

  2. Välj API-behörigheter>Lägg till en behörighet.

  3. Välj API:er som min organisation använder.

  4. Ange Office 365 Exchange Online och markera den.

  5. Välj Programbehörigheter.

  6. Markera kryssrutan full_access_as_app för att ge appen fullständig åtkomst till alla postlådor och välj sedan Lägg till behörigheter.

    Bild på hur du tilldelar appen fullständig API-behörighet.

    Kommentar

    Om den inte överensstämmer med dina affärskrav för att ha ett program med fullständig åtkomst på alla postlådor kan Exchange-administratören (lokal) omfattningen av postlådorna som programmet kan komma åt genom att konfigurera rollen ApplicationImpersonation på Exchange. Mer information finns i: Konfigurera personifiering

  7. Välj Bevilja administratörsmedgivande.

E-postserverprofil med autentiseringstyp Exchange modern hybridautentisering (HMA)

Innan du skapar en e-postserverprofil i Dynamics 365 med hjälp av Exchange modern hybridautentisering (HMA), måste du samla in följande information från Azure-portalen:

  • EWS-URL: Exchange-webbtjänsterna (EWS) slutpunkt där Exchange (lokal) finns, som måste vara allmänt tillgängliga från Dynamics 365.
  • Microsoft Entra-resurs-ID: Det Azure-resurs-ID som HMA-programmet begär åtkomst till. Det är vanligtvis värddelen av EWS-slutpunkt-URL.
  • TenantId: Klientorganisations-ID för den klientorganisation där Exchange (lokal) har konfigurerats med Microsoft Entra ID direktautentisering.
  • HMA-program-ID: Program-ID för HMA-program. Den finns på huvudsidan för programregistrering av HMA-program.
  • Key Vault Uri: URI för Key Vault som används för certifikatlagring.
  • Key Vault KeyName: Certifikatnamnet som används i Key Vault.
  • KeyVault-program-ID: Program-ID:t för det KV-program som Dynamics använder för att hämta certifikatet från Key Vault.
  • KeyVault klienthemlighet: klienthemlighet för KV-program som används av Dynamics 365.