Hybride moderne verificatie (HMA) voor Exchange on-premises

Dynamics 365 kan verbinding maken met postvakken die worden gehost op Exchange Server (on-premises) met behulp van Hybrid Modern Authentication (HMA). Serversynchronisatie wordt geverifieerd met Microsoft Entra door een certificaat te gebruiken dat u opgeeft en veilig opslaat in Azure Key Vault. U moet een toepassingsregistratie instellen die is beveiligd met een clientgeheim om Dynamics 365 toegang te geven tot het certificaat in Key Vault. Nadat Dynamics 365 het certificaat heeft kunnen ophalen, wordt het certificaat gebruikt voor verificatie als een specifieke app en voor toegang tot de resource van Exchange (on-premises).

Ondersteunde versies van Exchange

HMA is alleen beschikbaar vanaf Exchange 2013 (CU19+) of Exchange 2016 (CU8+). Meer informatie: Aankondiging van Hybride moderne verificatie voor Exchange on-premises (blog)

Voorwaarden

Als u HMA met Dynamics 365 wilt implementeren, moet u aan de volgende vereisten voldoen:

Configuratie

Volg de onderstaande stappen om HMA voor Exchange (on-premises) te configureren.

Een certificaat beschikbaar maken op Key Vault

  1. Open Key Vault in de Azure-portal en ga naar de sectie Certificaten.

  2. Selecteer Genereren/Importeren.

  3. Op dit punt kan een certificaat worden gegenereerd of geïmporteerd. Geef een certificaatnaam op en selecteer vervolgens Maken.

De certificaatnaam wordt later gebruikt om naar het certificaat te verwijzen. In dit voorbeeld heet het certifcaat HMA-Cert.

Een nieuwe app-registratie maken voor toegang tot Key Vault

Maak een nieuwe app-registratie in de Azure-portal in de tenant waar de Key Vault zich bevindt. Voor dit voorbeeld krijgt de app de naam KV-app tijdens het configuratieproces. Meer informatie: Snelstartgids: een toepassing registreren bij het Microsoft-identiteitsplatform

Een clientgeheim toevoegen voor KV-App

Het clientgeheim wordt door Dynamics 365 gebruikt om de app te verifiëren en het certificaat op te halen. Meer informatie: Een klantgeheim toevoegen

KV-App toevoegen aan het Key Vault-toegangsbeleid

  1. Open Key Vault in de Azure-portal en ga naar de sectie Toegangsbeleid.

  2. Selecteer Toegangsbeleid toevoegen.

  3. Selecteer een principal bij Principal selecteren. Selecteer voor dit voorbeeld KV-App.

  4. Selecteer machtigingen. Voeg Toestemming krijgen toe onder Geheime machtigingen en Certificaatmachtigingen. Beide zijn nodig om de KV-App toegang tot het certificaat te bieden.

  5. Selecteer Toevoegen.

Een nieuwe app-registratie maken voor toegang tot HMA

Maak een nieuwe app-registratie in de Azure-portal in de tenant waar Exchange als hybride wordt gebruikt.

In dit voorbeeld krijgt de app de naam HMA-App tijdens dit configuratieproces en vertegenwoordigt de daadwerkelijke app die Dynamics 365 zal gebruiken om te communiceren met resources in Exchange (on-premises). Meer informatie: Snelstartgids: een toepassing registreren bij het Microsoft-identiteitsplatform

Het certificaat voor HMA-App toevoegen

Dit wordt door Dynamics 365 gebruikt om HMA-App te verifiëren. HMA ondersteunt alleen certificaatgebruik om een app te verifiëren; daarom is een certificaat nodig voor dit verificatieschema.

Voeg het HMA-Cert toe dat eerder is ingericht in Key Vault. Meer informatie: Een certificaat toevoegen

API-machtiging toevoegen

Om HMA-App toegang te geven tot Exchange (on-premises), kent u de Office 365 Exchange Online API-machtiging toe.

  1. Open in de Azure-portal de optie App-registraties en selecteer HMA-App.

  2. Selecteer API-machtigingen>Een machtiging toevoegen.

  3. Selecteer API's die mijn organisatie gebruikt.

  4. Ga naar Office 365 Exchange Online en selecteer het.

  5. Selecteer Toepassingstoestemming.

  6. Schakel het selectievakje full_access_as_app in om de app volledige toegang te geven tot alle postvakken en selecteer vervolgens Machtigingen toevoegen.

    Schermopname van het toewijzen van API-machtigingen voor volledige toegang aan de app.

    Notitie

    Als het niet overeenkomt met uw zakelijke vereisten om een app te hebben met volledige toegang tot alle postvakken, kan de beheerder van Exchange (on-premises) de postvakken bepalen waartoe de app toegang heeft door de rol ApplicationImpersonation in Exchange te configureren. Meer informatie: Imitatie configureren

  7. Selecteer Beheerderstoestemming verlenen.

E-mailserverprofiel met verificatietype Exchange Hybride moderne verificatie (HMA)

Voordat u een e-mailserverprofiel maakt in Dynamics 365 met behulp van Exchange Hybride moderne verificatie (HMA), moet u de volgende informatie verzamelen van de Azure-portal:

  • EWS-URL: het EWS-eindpunt (Exchange Web Services) waar Exchange (on-premises) zich bevindt en dat openbaar toegankelijk moet zijn vanuit Dynamics 365.
  • Microsoft Entra-resource-id: de Azure-resource-id waartoe de HMA-app toegang vraagt. Dit is meestal het hostgedeelte van de EWS-eindpunt-URL.
  • TenantId: de tenant-id van de tenant waar Exchange (on-premises) is geconfigureerd met Microsoft Entra ID-pass-through-verificatie.
  • HMA-applicatie-Id: de app-id voor HMA-App. Deze is te vinden op de hoofdpagina voor de app-registratie van HMA-App.
  • URI van sleutelkluis: de URI van de sleutelkluis die wordt gebruikt voor certificaatopslag.
  • KeyVault-sleutelnaam: de certificaatnaam die wordt gebruikt in Key Vault.
  • KeyVault-toepassings-id: de app-id van de KV-App die door Dynamics wordt gebruikt om het certificaat uit Key Vault op te halen.
  • Clientgeheim voor KeyVault: het clientgeheim voor de KV-App die wordt gebruikt door Dynamics 365.
  • Last updated on