Autenticazione moderna ibrida per Exchange locale

Dynamics 365 può connettersi alle cassette postali ospitate su Exchange Server (locale) utilizzando l'autenticazione moderna ibrida (HMA). La sincronizzazione lato server verrà autenticata con Microsoft Entra usando un certificato fornito e archiviato in modo sicuro in Azure Key Vault. Dovrai stabilire una registrazione dell'applicazione protetta da un segreto client per consentire a Dynamics 365 di accedere al certificato in Key Vault. Dopo che Dynamics 365 è in grado di recuperare il certificato, il certificato verrà utilizzato per eseguire l'autenticazione come app specifica e accedere alla risorsa Exchange (locale).

Versioni di Exchange supportate

Autenticazione moderna ibrida è disponibile solo da Exchange 2013 (CU19+) o Exchange 2016 (CU8+). Maggiori informazioni: Annuncio dell'Autenticazione moderna ibrida per Exchange locale (blog)

Prerequisiti

Per distribuire Autenticazione moderna ibrida con Dynamics 365, dovrai soddisfare i seguenti requisiti:

• Autenticazione moderna ibrida deve essere abilitata in Exchange tramite l'autenticazione pass-through di Microsoft Entra ID. Ulteriori informazioni:

  • Distribuzioni ibride di Exchange Server
  • Configurazione guidata ibrida
  • Cos'è Microsoft Entra Connect?
  • Autenticazione pass-through di Microsoft Entra ID: avvio rapido
  • Come configurare Exchange Server locale per utilizzare l'Autenticazione moderna ibrida

• È richiesto un certificato per questo schema di autenticazione. È necessario fornire un certificato valido per configurare la sincronizzazione lato server per Autenticazione moderna ibrida. Può essere generato direttamente in Azure Key Vault o tramite il processo aziendale per la generazione e il caricamento di un certificato in Key Vault.

• Dovrai stabilire un percorso Key Vault in cui il certificato può essere archiviato in modo sicuro. Dovrai anche configurare la registrazione dell'app con un AppId e ClientSecret per consentire a Dynamics 365 di accedere al certificato. Maggiori informazioni: Key Vault

Configurazione

Segui i passaggi seguenti per configurare Autenticazione moderna ibrida per Exchange (locale).

Rendere disponibile un certificato su Key Vault

1. Nel Portale di Azure, apri Key Vault e vai alla sezione Certificati.

2. Seleziona Genera/Importa.

   

3. A questo punto è possibile generare o importare un certificato. Immetti un nome per il certificato e quindi seleziona Crea.

Il nome del certificato verrà utilizzato in seguito per fare riferimento al certificato. In questo esempio, il certificato è denominato HMA-Cert.

Creare una nuova registrazione dell'app per l'accesso a Key Vault

Crea una nuova registrazione dell'app nel portale di Azure nel tenant in cui risiede Key Vault. Per questi esempi, l'app sarà denominata KV-App durante il processo di configurazione. Maggiori informazioni: Avvio rapido: registrare un'applicazione con la piattaforma di identità Microsoft

Aggiungere un segreto client per KV-App

Il segreto client verrà utilizzato da Dynamics 365 per autenticare l'app e recuperare il certificato. Maggiori informazioni: Aggiungere un segreto cliente

Aggiungere KV-App ai criteri di accesso di Key Vault

1. Nel Portale di Azure, apri Key Vault e vai alla sezione Criteri di accesso.

2. Seleziona Aggiungi criteri di accesso.

   

3. Per Seleziona entità di sicurezza, seleziona un'entità di sicurezza. Per questi esempi, selezioneremo KV-App.

4. Seleziona le autorizzazioni. Assicurati di aggiungere Ottieni autorizzazione sotto Autorizzazioni del segreto e Autorizzazioni del certificato. Entrambe sono necessarie affinché KV-App possa accedere al certificato.

   

5. Selezionare Aggiungi.

Creare una nuova registrazione dell'app per l'accesso ad Autenticazione moderna ibrida

Crea una nuova registrazione dell'app nel portale di Azure nel tenant in cui Exchange è ibrido.

In questo esempio, l'app sarà denominata HMA-App durante questo processo di configurazione e rappresenterà l'app effettiva che Dynamics 365 utilizzerà per interagire con le risorse di Exchange (locale). Maggiori informazioni: Avvio rapido: registrare un'applicazione con la piattaforma di identità Microsoft

Aggiungere il certificato per HMA-App

Verrà utilizzato da Dynamics 365 per autenticare HMA-App. Autenticazione moderna ibrida supporta solo l'utilizzo del certificato per autenticare un'app, pertanto è necessario un certificato per questo schema di autenticazione.

Aggiungi HMA-Cert precedentemente sottoposto a provisioning in Key Vault. Ulteriori informazioni: Aggiungere un certificato

Aggiungere l'autorizzazione API

Per consentire a HMA-App di avere accesso a Exchange (locale), concedi l'autorizzazione API Office 365 Exchange Online.

1. Nel Portale di Azure, apri Registrazioni app e seleziona HMA-App.

2. Seleziona Autorizzazioni API>Aggiungi un'autorizzazione.

   

3. Seleziona API utilizzate dall'organizzazione.

4. Immetti Office 365 Exchange Online e selezionalo.

5. Seleziona Autorizzazioni applicazione.

6. Seleziona la casella di controllo full_access_as_app per consentire all'app di avere pieno accesso a tutte le caselle di posta, quindi seleziona Aggiungi autorizzazioni.

   

   Nota

   Se non è in linea con i requisiti aziendali per avere un'app con accesso completo a tutte le cassette postali, l'amministratore di Exchange (locale) può definire l'ambito delle cassette postali a cui l'app può accedere configurando il ruolo ApplicationImpersonation su Exchange. Altre informazioni: Configurare la rappresentazione

7. Seleziona Concedi consenso amministratore.

   

Profilo del server e-mail con tipo di autenticazione Autenticazione moderna ibrida di Exchange

Prima di creare un profilo del server e-mail in Dynamics 365 utilizzando Autenticazione moderna ibrida di Exchange, devi raccogliere le seguenti informazioni dal portale di Azure:

• URL EWS: l'endpoint dei Servizi Web Exchange (EWS) in cui si trova Exchange (locale), che deve essere accessibile pubblicamente da Dynamics 365.

• ID risorsa di Microsoft Entra: ID risorsa di Azure a cui l'app Autenticazione moderna ibrida richiederà l'accesso. Di solito è la parte host dell'URL dell'endpoint EWS.

• TenantId: l'ID tenant del tenant in cui Exchange (locale) è configurato con autenticazione pass-through di Microsoft Entra ID.

• ID applicazione Autenticazione moderna ibrida: l'ID app per l'app Autenticazione moderna ibrida. Può essere trovato nella pagina principale per la registrazione dell'app di HMA-App.

• URI Key Vault: l'URI del Key Vault utilizzato per l'archiviazione dei certificati.

• KeyName Key Vault: il nome del certificato utilizzato in Key Vault.

• ID applicazione KeyVault: l'ID app di KV-App utilizzata da Dynamics per recuperare il certificato da Key Vault.

• Segreto client KeyVault: il segreto client per KV-App utilizzata da Dynamics 365.