Moderne hybridgodkjenning (HMA) for Exchange on-premises

Dynamics 365 kan koble til postbokser som driftes på Exchange Server (lokal), ved hjelp av Moderne hybridgodkjenning (HMA). Synkronisering på serversiden godkjennes mot Microsoft Entra ved hjelp av et sertifikat du oppgir og lagres sikkert i Azure Key Vault. Du må opprette en programregistrering som er sikret av en klienthemmelighet, slik at Dynamics 365 får tilgang til sertifikatet i Key Vault. Når Dynamics 365 kan hente sertifikatet, brukes sertifikatet til å godkjenne som en bestemt app og få tilgang til Exchange (lokal)-ressursen.

Støttede Exchange-versjoner

HMA er bare tilgjengelig fra Exchange 2013 (CU19+) eller Exchange 2016 (CU8+). Mer informasjon: Annonsere Moderne hybridgodkjenning for Exchange On-Premises (blogg)

Forutsetning

Hvis du vil distribuere HMA med Dynamics 365, må du oppfylle følgende krav:

• HMA må aktiveres på Exchange ved hjelp av Microsoft Entra ID-direktegodkjenning. Mer informasjon:

  • Hybriddistribusjoner av Exchange Server
  • Veiviser for hybridkonfigurasjon
  • Hva er Microsoft Entra Connect?
  • Microsoft Entra ID-gjennomgangsgodkjenning: Hurtigstart
  • Slik konfigurerer du Exchange Server lokalt til å bruke moderne hybridgodkjenning

• Et sertifikat kreves for denne godkjenningsordningen. Du må angi et gyldig sertifikat for å konfigurere synkronisering på serversiden for HMA. Det kan genereres direkte i Azure Key Vault eller gjennom firmaets prosess for generering og opplasting av et sertifikat til Key Vault.

• Du trenger en Key Vault-plassering der sertifikatet kan lagres sikkert. Du må også konfigurere appregistrering med en AppId og ClientSecret slik at Dynamics 365-tilgang til sertifikatet gis. Mer informasjon: Key Vault

Konfigurasjon

Følg fremgangsmåten nedenfor for å konfigurere HMA for Exchange (on-premises).

Gjøre et sertifikat tilgjengelig på Key Vault

1. Åpne Azure-portalen, og åpne Key Vault, og gå til Sertifikater-delen.

2. Velg Generer/Importer.

3. Nå kan et sertifikat genereres eller importeres. Angi sertifikatnavnet, og velg deretter Opprett.

Sertifikatnavnet brukes senere til å referere til sertifikatet. I dette eksemplet får sertifikatet navnet HMA-Cert.

Opprette en ny appregistrering for Key Vault-tilgang

Opprett en ny appregistrering i Azure-portalen i leieren der Key Vault finnes. I dette eksemplet heter appen KV-App under konfigurasjonsprosessen. Mer informasjon: Hurtiginnføring: Registrere et program med Microsoft identitetsplattformen

Legge til en klienthemmelighet for KV-App

Klienthemmeligheten brukes av Dynamics 365 til å godkjenne appen og hente sertifikatet. Mer informasjon: Legge til en klienthemmelighet

Legge til KV-App i tilgangspolicyene for Key Vault

1. Åpne Azure-portalen, og åpne Key Vault, og gå til Tilgangspolicyer-delen.

2. Velg Legg til tilgangspolicy.

3. Velg en sikkerhetskontohaver for Sikkerhetskontohaver. I dette eksemplet Velg du KV-App.

4. Velg tillatelser. Sørg for at du legger Få tillatelse under Hemmelige tillatelser og Sertifikattillatelser. Begge kreves for at KV-App skal ha tilgang til sertifikatet.

5. Velg Legg til.

Opprette en ny appregistrering for HMA-tilgang

Opprett en ny appregistrering i Azure-portalen i leieren der Exchange er hybridisert.

I dette eksemplet får appen navnet HMA-App under denne konfigurasjonsprosessen, og den representerer den faktiske appen som Dynamics 365 skal bruke til å samhandle med Exchange (on-premises). Mer informasjon: Hurtiginnføring: Registrere et program med Microsoft identitetsplattformen

Legge til sertifikatet for HMA-App

Dette brukes av Dynamics 365 til å godkjenne HMA-App. HMA støtter bare sertifikatbruk for godkjenning av en app. Derfor kreves det et sertifikat for dette godkjenningsskjemaet.

Legg til HMA-Cert som tidligere er klargjort i Key Vault. Mer informasjon: Legge til et sertifikat

Legg til API-tillatelser

For å gi HMA-App tilgang til Exchange (on-premises), må du gi Office 365 Exchange Online-API-tillatelse.

1. Åpne Appregistreringer i Azure-portalen, og velg HMA-App.

2. Velg API-tillatelser>Legg til en tillatelse.

3. Velg API-er organisasjonen bruker.

4. Angi Office 365 Exchange Online, og velg den.

5. Velg Apptillatelser.

6. Merk av for ull_access_as_app for å tillate at appen har full tilgang til alle postboksene, og velg deretter Legg til tillatelser.

   

   Obs!

   Hvis den ikke samsvarer med forretningskravene dine for å ha en app med full tilgang på alle postbokser, kan Exchange-administratoren (lokal) begrense postboksene som appen har tilgang til, ved å konfigurere ApplicationImpersonation-rollen i Exchange. Mer informasjon: Konfigurere representasjon

7. Velg Gi administratortillatelse.

E-postserverprofil med godkjenningstypen Exchange moderne hybridautentisering (HMA)

Før du oppretter en e-postserverprofil på Dynamics 365 ved hjelp av Exchange moderne hybridautentisering (HMA), må du samle inn følgende informasjon fra Azure Portal:

• URL-adresse for sluttpunkt for Exchange-webtjenester (EWS) der Exchange (on-premises) er plassert, som må være offentlig tilgjengelig fra Dynamics 365.
• Microsoft Entra ressurs-ID: Azure-ressurs-ID-en som HMA-appen ber om tilgang til. Det er vanligvis vertsdelen av URL-adressen for EWS-endepunktet.
• TenantId: Leier-ID-en for leieren der Exchange (on-premises) er konfigurert med Microsoft Entra ID-videreføring av godkjenning.
• ID for HMA-program: app-IDen for HMA-appen. Du finner den på hovedsiden for appregistreringen av HMA-App.
• URI for Key Vault: URI-en for Key Vault som brukes til sertifikatlagring.
• Nøkkelnavn for KeyVault: Sertifikatnavnet som brukes i Key Vault.
• KeyVault-program-ID: App-ID-en til KV-appen som brukes av Dynamics til å hente sertifikatet fra Key Vault.
• Klienthemmelighet for KeyVault: klienthemmeligheten for KV-App som brukes av Dynamics 365.