Exchange 內部部署的混合新式驗證 (HMA)

注意

全新改進的 Power Platform 系統管理中心現已可公開預覽！ 我們設計的新系統管理中心更易於使用，具有面向任務的導覽，可幫助您更快地實現特定結果。 隨著新的 Power Platform 系統管理中心正式發佈，我們將發佈新的和更新的文件。

Dynamics 365 可以使用混合新式驗證 (HMA)，連接至 Exchange Server (內部部署) 上託管的信箱。 伺服器端同步會使用您提供並安全地儲存在 Azure Key Vault 中的憑證，對 Microsoft Entra 進行驗證。 您需要建立由用戶端密碼保護的應用程式註冊，以允許 Dynamics 365 存取 Key Vault 中的憑證。 在 Dynamics 365 能夠擷取憑證後，該憑證將用於作為特定應用程式進行驗證並存取 Exchange (內部部署) 資源。

支援 Exchange 版本

HMA 僅適用於 Exchange 2013 (CU19+) 或 Exchange 2016 (CU8+)。 詳細資訊：宣佈 Exchange 內部部署的混合新式驗證 (部落格)

必要條件

要使用 Dynamics 365 部署 HMA，您需要滿足以下要求：

• 必須使用 Microsoft Entra ID 直通驗證在 Exchange 上啟用 HMA。 其他資訊：

  • Exchange Server 混合部署
  • 混和設定精靈
  • 什麼是 Microsoft Entra 連線？
  • Microsoft Entra ID 直通驗證：快速入門
  • 如何設定 Exchange Server 內部部署以使用混合新式驗證

• 此驗證方案需要憑證。 您必須提供有效憑證，才能為 HMA 設定伺服器端同步處理。 它可以直接在 Azure Key Vault 中產生，也可以透過公司程序產生並將憑證上傳到 Key Vault。

• 您需要可以安全儲存憑證的 Key Vault 位置。 您也需要使用 AppId 和 ClientSecret 設定應用程式註冊，以允許 Dynamics 365 存取憑證。 詳細資訊：Key Vault

組態

請依照以下步驟，為 Exchange (內部部署) 設定 HMA。

在 Key Vault 上提供憑證

1. 在 Azure 入口網站中，開啟 Key Vault ，然後移至憑證區段。

2. 選取產生/匯入。

3. 此時，可以產生或匯入憑證。 指定憑證名稱，然後選取建立。

憑證名稱稍後用於參考該憑證。 在此範例中，憑證的名稱為 HMA-Cert。

為 Key Vault 存取建立新的應用程式註冊

在 Key Vault 所在的租用戶 Azure 入口網站中建立新的應用程式註冊。 對於此範例，應用程式在設定過程中被命名為 KV-App。 詳細資訊：快速入門：使用 Microsoft 身分識別平台註冊應用程式

為 KV-App 新增用戶端密碼

Dynamics 365 使用用戶端密碼來驗證應用程式並擷取憑證。 詳細資訊：新增用戶端密碼

將 KV-App 新增至 Key Vault 存取原則

1. 在 Azure 入口網站中，開啟 Key Vault ，然後移至存取原則區段。

2. 選取新增存取原則。

3. 對於選取主體，選取 [主體]。 對於此範例，選擇 KV-App。

4. 選取權限。 請務必在密碼權限和憑證權限下新增取得權限。 KV-App 需要這兩者才能存取憑證。

5. 選取新增。

為 HMA 存取建立新的應用程式註冊

在 Exchange 混合的租用戶 Azure 入口網站中建立新的應用程式註冊。

在此範例中，應用程式將在此設定程序期間命名為 HMA-App，並將代表 Dynamics 365 將用來與 Exchange (內部部署) 資源進行互動的實際應用程式。 詳細資訊：快速入門：使用 Microsoft 身分識別平台註冊應用程式

新增 HMA-App 的憑證

Dynamics 365 使用它來驗證 HMA-App。 HMA 僅支援使用憑證驗證應用程式; 因此，此驗證配置需要憑證。

新增先前在 Key Vault 中佈建的 HMA-Cert。 詳細資訊：新增憑證

新增 API 權限

若要允許 HMA-App 存取 Exchange (內部部署)，請授與 Office 365 Exchange Online API 權限。

1. 在 Azure 入口網站中，開啟應用程式註冊，並選取HMA-App。

2. 選取 API 權限>新增權限。

3. 選取我組織使用的 API。

4. 輸入 Office 365 Exchange Online，然後選取它。

5. 選取應用程式權限。

6. 選取 full_access_as_app 核取方塊，以允許應用程式擁有所有信箱的完整存取權，然後選取新增權限。

   

   注意

   如果讓應用程式對所有信箱具有完整存取權不符合您的業務要求，Exchange (內部部屬) 管理員可以在 Exchange 上設定 ApplicationImpersonation 角色來決定應用程式可以存取的信箱範圍。 詳細資訊：設定模擬

7. 選取授與管理員同意。

驗證類型為 Exchange 混合現代式驗證 (HMA) 的電子郵件伺服器設定檔

在使用 Exchange 混合現代式驗證 (HMA) 於 Dynamics 365 上 建立電子郵件伺服器設定檔之前，您需要從 Azure 入口網站收集以下資訊：

• EWS URL：Exchange (內部部屬) 所在的 Exchange Web 服務 (EWS) 端點，必須可從 Dynamics 365 公開存取。
• Microsoft Entra 資源 ID：HMA 應用程式要求存取的 Azure 資源 ID。 這通常是 EWS 端點 URL 的主機部分。
• TenantId：使用 Microsoft Entra ID 傳遞驗證設定 Exchange (內部部屬) 之租用戶的租用戶識別碼。
• HMA 應用程式識別碼：HMA-App 的應用程式識別碼。 這可以在 HMA-App 的應用程式註冊主要頁面上找到。
• Key Vault URI：用於儲存憑證之 Key Vault 的 URI。
• Key Vault KeyName：Key Vault 中使用的憑證名稱。
• KeyVault 應用程式 ID：Dynamics 用於從 Key Vault 擷取憑證的 KV-App 的應用程式 ID。
• KeyVault 用戶端密碼：Dynamics 365 使用的 KV-App 用戶端密碼。