Exchange のハイブリッド モダン認証 (HMA)

Dynamics 365 は、Hybrid Modern Authentication (HMA) を使用して、Exchange Server (オンプレミス) でホストされているメールボックスに接続できます。 サーバー側同期は、ユーザーが提供し、Azure Key Vaultに安全に保存されている証明書を使用して、 Microsoft Entra に対して認証を行います。 Dynamics 365がKey Vault内の証明書にアクセスできるようにするには、クライアント シークレットによって保護されたアプリケーション登録を確立する必要があります。 Dynamics 365が証明書を取得できるようになると、その証明書は特定のアプリとして認証され、Exchange (オンプレミスの) リソースにアクセスするために使用されます。

サポートされている Exchange のバージョン

HMAは、Exchange 2013 (CU19+) またはExchange 2016 (CU8+) でのみ利用できます。 詳細情報: Exchange オンプレミスのハイブリッドモダン認証の発表 (ブログ)

前提条件

Dynamics 365でHMAを展開するには、次の要件を満たす必要があります。

• HMA は、Microsoft Entra ID パス スルー認証を使用して Exchange で有効にする必要があります。 詳細情報:

  • Exchange Server ハイブリッドのデプロイ
  • ハイブリッド構成ウィザード
  • Microsoft Entra Connect とは何ですか?
  • Microsoft Entra ID パス スルー認証: クイック スタート
  • ハイブリッド モダン認証を使用するように Exchange Server オンプレミスを構成する方法

• この認証スキームには証明書が必要です。 HMA のサーバー側同期を構成するには、有効な証明書を提供する必要があります。 これは、Azure Key Vault で直接生成することも、証明書を生成して Key Vault にアップロードするための会社のプロセスを通じて生成することもできます。

• 証明書を安全に保管できる Key Vault の場所が必要です。 また、Dynamics 365 が証明書にアクセスできるようにするには、AppId と ClientSecret を使用してアプリの登録を構成する必要があります。 詳細情報: Key Vault

構成

以下の手順に従って、Exchange の HMA (オンプレミス) を構成します。

Key Vault で証明書を利用できるようにする

1. Azure ポータル で Key Vault を開き、証明書 セクションに移動します。

2. 生成 / インポート を選択します。

   

3. この時点で、証明書を生成またはインポートできます。 証明書の名前を指定して、作成 を選択します。

証明書名は、後で証明書を参照するために使用されます。 この例では、証明書は HMA-Cert という名前がついています。

Key Vault アクセス用の新しいアプリ登録を作成する

Key Vault が存在するテナントの Azure ポータルで新しいアプリ登録を作成します。 この例では、構成プロセス中にアプリの名前が KV-App になります。 詳細情報: クイックスタート: アプリケーションを Microsoft ID プラットフォームに登録する

KV-アプリにクライアント シークレットを追加する

クライアント シークレットは、Dynamics 365によってアプリの認証と証明書の取得に使用されます。 詳細情報: クライアント シークレットを追加する

KV-App を Key Vault アクセスポリシーに追加します

1. Azure ポータル で Key Vault を開き、アクセス ポリシー セクションに移動します。

2. アクセス ポリシーの追加 を選択します。

3. プリンシパルを選択 には、プリンシパルを選択します。 この例では、選択 KV-Appです。

4. アクセス許可を選択します。 必ず 秘密の許可 と 証明書のアクセス許可 で、許可を得る を追加してください。 KV-App が証明書にアクセスできるようにするには、両方とも必要です。

5. 追加を選びます。

HMA アクセス用の新しいアプリ登録を作成する

Exchange がハイブリッドされているテナントの Azure ポータルで新しいアプリ登録を作成します。

この例では、アプリの名前は校正プロセス中に HMA-App という名前が付き、Dynamics 365 が Exchange (オンプレミス) リソースと対話するために使用する実際のアプリを表します。 詳細情報: クイックスタート: アプリケーションを Microsoft ID プラットフォームに登録する

HMA-App の証明書を追加する

これは、Dynamics 365によってHMAアプリの認証に使用されます。 HMA は、アプリを認証するための証明書の使用のみをサポートします。したがって、この認証スキームには証明書が必要です。

Key Vault で以前にプロビジョニングされた HMA-Cert を追加します。 詳細情報: 証明書の追加

API アクセス許可を追加する

HMA-App が Exchange (オンプレミス) にアクセスできるようにするには、Office 365 Exchange Online API 権限を許可します。

1. Azure ポータル で、アプリ登録 を開いて HMA-App を選択します。

2. API アクセス許可>アクセス許可の追加を選択します。

   

3. 自分の組織が使用している API を選択します。

4. Office 365 Exchange Online を入力して、それを選択します。

5. アプリケーションのアクセス許可 を選択します。

6. full_access_as_app チェックボックスを選択して、アプリがすべてのメールボックスにフルアクセスできるように許可し、権限を追加する を選択します。

   

   Note

   すべてのメールボックスにフルアクセスできるアプリを用意することがビジネス要件に合わない場合は、Exchange (オンプレミス) 管理者は、アプリケーション アクセス ポリシーを使用するか、Exchange で ApplicationImpersonation ロールを構成することにより、アプリがアクセスできるメールボックスのスコープを設定できます。 詳細情報: 偽装の構成

7. 管理者の同意を許可する を選択します。

認証タイプが Exchange ハイブリッド モダン認証 (HMA) のメールサーバー プロファイル

Dynamics 365 で Exchange ハイブリッドモダン認証 (HMA) を使用して メールサーバー プロファイルを作成する 前に、Azure ポータルから次の情報を収集する必要があります。

• EWS URL: Exchange (オンプレミス) が配置されている Exchange Web サービス (EWS) エンドポイント。これは、Dynamics 365 からパブリックにアクセスできる必要があります。
• Microsoft Entra リソースID: HMAアプリがアクセスを要求するAzureリソースID。 これは通常、EWS エンドポイント URL のホスト部分です。
• TenantId: Exchange (オンプレミス) が Microsoft Entra ID パス スルー認証で構成されているテナントのテナント ID。
• HMA アプリケーション ID: HMA-App のアプリ ID。 これは、HMA-App のアプリ登録のメインページにあります。
• Key Vault Uri: 証明書の保存に使用される Key Vault の URI。
• Key Vault KeyName: Key Vault で使用される証明書名。
• KeyVaultアプリケーションID: DynamicsがKey Vaultから証明書を取得するために使用するKVアプリのアプリID。
• クライアント シークレット: Dynamics 365 によって使用される KV-App のクライアント シークレット。