Autenticação Moderna Híbrida (HMA) para o Exchange no local

O Dynamics 365 pode ligar a caixas de correio alojadas no Exchange Server (no local) utilizando a Autenticação Moderna Híbrida (HMA). A sincronização do lado do servidor é autenticada Microsoft Entra usando um certificado fornecido e armazenado com segurança no Cofre de Chaves do Azure. Você precisa estabelecer um registro de aplicativo protegido por um segredo do cliente para permitir que Dynamics 365 acesse o certificado no Cofre da Chave. Depois que Dynamics 365 consegue recuperar o certificado, o certificado é usado para autenticar como um aplicativo específico e acessar o recurso Exchange (no local).

Versões do Exchange suportadas

O HMA só está disponível no Exchange 2013 (CU19+) ou Exchange 2016 (CU8+). Mais informações: Apresentamos a Autenticação Moderna Híbrida para o Exchange no Local (blogue)

Pré-requisitos

Para implantar o HMA com Dynamics 365, você precisa atender aos seguintes requisitos:

• O HMA deve ser habilitado no Exchange usando Microsoft Entra a autenticação de passagem de ID. Mais informações:

  • Implantações híbridas do Exchange Server
  • Assistente de Configuração Híbrida
  • O que é Microsoft Entra o Connect?
  • Microsoft Entra Autenticação de passagem de ID: Guia de início rápido
  • Como configurar o Exchange Server no local para usar a autenticação moderna híbrida

• É necessário um certificado para este esquema de autenticação. Tem de fornecer um certificado válido para configurar a sincronização do lado do servidor para a HMA. Pode ser gerado diretamente no Azure Key Vault ou através do processo da sua empresa para gerar e carregar um certificado para o Key Vault.

• Você precisa de um local do Cofre da Chave onde o certificado possa ser armazenado com segurança. Também terá de configurar o registo de aplicações com um AppId e ClientSecret para permitir o acesso do Dynamics 365 ao certificado. Mais informações: Key Vault

Configuração

Siga os passos abaixo para configurar a HMA para o Exchange (no local).

Disponibilizar um certificado no Key Vault

1. No portal do Azure, abra o Key Vault e vá à secção Certificados.

2. Selecione Gerar/Importar.

3. Neste momento, um certificado pode ser gerado ou importado. Especifique um nome de certificado e, em seguida, selecione Criar.

O nome do certificado é usado posteriormente para fazer referência ao certificado. Neste exemplo, o certificado chama-se HMA-Cert.

Criar um novo registo de aplicação para acesso ao Key Vault

Crie um novo registo de aplicação no portal do Azure no inquilino onde reside o Key Vault. Neste exemplo, o aplicativo é chamado KV-App durante o processo de configuração. Mais informações: Guia de início rápido: registrar um aplicativo com a plataforma de Microsoft identidade

Adicionar um segredo do cliente à KV-App

O segredo do cliente é usado por Dynamics 365 para autenticar o aplicativo e recuperar o certificado. Mais informações: Adicionar um segredo do cliente

Adicionar a KV-App às políticas de acesso ao Key Vault

1. No portal do Azure, abra o Key Vault e vá à secção Políticas de acesso.

2. Selecione Adicionar Política de Acesso.

3. Para Selecionar principal, selecione um principal. Para este exemplo, selecione KV-App.

4. Selecionar permissões. Certifique-se de que adiciona Obter permissão sob Permissões do segredo e Permissões do certificado. Ambos são necessários para que a KV-App possa aceder ao certificado.

5. Selecione Adicionar.

Criar um novo registo de aplicação para acesso à HMA

Crie um novo registo de aplicação no portal do Azure no inquilino onde o Exchange é híbrido.

Neste exemplo, a aplicação será denominada HMA-App durante este processo de configuração e representará a aplicação real que o Dynamics 365 utilizará para interagir com os recursos do Exchange (no local). Mais informações: Guia de início rápido: registrar um aplicativo com a plataforma de Microsoft identidade

Adicione o certificado para a HMA-App

Isso é usado por Dynamics 365 para autenticar o HMA-App. A HMA só suporta a utilização do certificado para autenticar uma aplicação; por conseguinte, é necessário um certificado para este regime de autenticação.

Adicione a HMA-Cert anteriormente aprovisionada no Key Vault. Mais informações: Adicionar um certificado

Adicionar permissão de API

Para permitir que a HMA-App tenha acesso ao Exchange (no local), conceda a permissão de API Office 365 Exchange Online.

1. No portal do Azure, abra Registos de aplicações e selecione HMA-App.

2. Selecione Permissões de API>Adicionar uma permissão.

3. Selecione APIs que a minha organização utiliza.

4. Introduza Office 365 Exchange Online e selecione-o.

5. Selecione Permissões de aplicação.

6. Selecione a caixa de verificação full_access_as_app para permitir que a aplicação tenha acesso total a todas as caixas de correio e, em seguida, selecione Adicionar permissões.

   

   Nota

   Se não se alinhar com os requisitos do seu negócio ter uma aplicação com acesso total em todas as caixas de correio, o admin do Exchange (no local) pode passar as caixas de correio a que a aplicação pode aceder configurando a função ApplicationImpersonation no Exchange. Mais informações: Configurar representação

7. Selecione Conceder consentimento do administrador.

Perfil de servidor de e-mail com tipo de autenticação Autorização Moderna Híbrida do Exchange (HMA)

Antes de criar um perfil de servidor de e-mail no Dynamics 365 utilizando a Autorização Moderna Híbrida do Exchange (HMA), tem de recolher as seguintes informações no portal do Azure:

• URL do EWS: o ponto final do Exchange Web Services (EWS) onde está localizado o Exchange (no local), que deve ser acessível ao público a partir do Dynamics 365.
• Microsoft Entra ID do recurso: a ID do recurso do Azure à qual o aplicativo HMA solicita acesso. Normalmente, é a parte anfitriã do URL de ponto final do EWS.
• TenantId: o ID de inquilino do inquilino onde o Exchange (no local) está configurado com a autenticação pass-through do ID do Microsoft Entra.
• ID de aplicação HMA: o ID da Aplicação para HMA-App. Pode ser encontrado na página principal para o registo de aplicação da HMA-App.
• URI do Key Vault: o URI do Key Vault usado para armazenamento de certificados.
• KeyName do Key Vault: o nome do certificado usado no Key Vault.
• KeyVault Application Id: O ID do aplicativo KV-App usado pelo Dynamics para recuperar o certificado do Key Vault.
• Segredo do Cliente do KeyVault: o segredo do cliente para a KV-App usada pelo Dynamics 365.