使用 EAC 管理同盟共用
英文原文已於 2012 年 10 月 31 日星期三發佈
Exchange Server 2013 提供的最大優點之一是,可以在不同組織的不同人員之間共用個人資訊。電子郵件可讓人員輕鬆地分享想法、影像及附件,本身就是極佳的共用範例。不過,使用 Exchange 2013 中的「同盟共用」功能,就不再局限於共用電子郵件。同盟共用功能可讓您的使用者與不同 Exchange 組織內的人員,共用行事曆空閒/忙碌資訊以及其他行事曆/連絡人資訊。
本文涵蓋使用 Exchange 系統管理中心 (EAC) 為內部部署 Exchange 2013 或 Office 365 Exchange Online 組織設定同盟共用的基本步驟。若要深入了解同盟共用,請參閱<了解同盟共用>。
雖然在 Exchange 2013 中引進 EAC,大幅改變系統管理經驗,但設定同盟共用功能的基本程序自 Exchange 2010 起並無太多改變。已熟悉如何在 Exchange 2010 中設定同盟共用功能的那些人員,以下簡短摘要 Exchange 2013 的一般設定步驟:
設定同盟共用:對於內部部署 Exchange 2013 組織,您必須設定「同盟共用」搭配使用 Microsoft Federation Gateway (MFG)。MFG 是 Microsoft 提供的一種免費雲端服務,做為內部部署 Exchange 2013 組織與其他同盟 Exchange 2010 和 Exchange 2013 組織之間的「信任代理人」。若要深入了解同盟信任,請參閱<了解同盟>。
如果您在針對做為 Office 365 租用戶的純 Exchange Online 組織設定同盟共用,就不需要設定同盟信任。註冊 Office 365 服務時,便會以 Microsoft Federation Gateway 自動設定同盟信任,並利用您新增至 Office 365 租用戶的任何自訂網域來自動更新。
設定組織關係:「組織關係」允許不同 Exchange 組織內的使用者彼此共用行事曆空閒/忙碌資訊。組織關係是兩個 Exchange 組織之間的一對一關係,而不是 Exchange 組織中個別使用者之間的關係。若要深入了解組織關係,請參閱<了解同盟共用>。
設定共用原則:「共用原則」可讓使用者建立的行事曆與連絡人資訊能和不同類型的外部使用者共用。若要深入了解共用原則,請參閱<了解同盟共用>。
如果您曾管理 Exchange 2010 組織的同盟共用功能,您可能已十分熟悉 Exchange 管理主控台 (EMC)。在 EMC 中,您可以使用 [組織設定]節點,來建立和管理內部部署 Exchange 組織的同盟信任與組織關係。請見下面的圖 1,每個區域在 [組織設定] 節點內都有自己的子節點,可讓您啟動設定精靈和修改組態設定。如需共用原則,管理員可以瀏覽到 [信箱]子節點,然後使用 [共用原則]索引標籤 (在結果窗格中) 與 [新增共用原則]精靈 (在動作窗格中)。
雖然 EMC 中的同盟共用管理經驗既有效又直接,但設定同盟共用所需執行的基本步驟,順序上並不直覺,而增加設定錯誤的機會。
圖 1:在 EMC 中管理同盟信任與組織關係
在 Exchange 2013 中,EAC 可為設定和管理同盟共用功能,提供更多功能且更集中化的方法。在 EAC 中,管理同盟共用 (只適用於內部部署組織)、組織關係及共用原則 (內部部署與 Exchange Online 組織兩者都適用) 的控制項,全部都放在 [組織] 功能區域的 [共用] 索引標籤上。EAC 也會在您初次存取 [共用] 索引標籤 ( 請參閱圖 2) 時,明確要求您以 MFG 啟用和設定同盟信任,逐步引導您進行同盟共用設定程序。
圖 2:EAC 同盟共用進入點
如圖 2 所示,在內部部署 Exchange 組織啟用同盟共用功能時,第一個步驟是建立同盟信任。當您按一下 [啟用] 按鈕,EAC 會建立同盟信任物件,並逐步引導您進行設定同盟信任的程序。
重要:在為純 Exchange Online 組織設定同盟共用時,會略過建立和設定同盟信任。註冊 Office 365 服務時,便會以 Microsoft Federation Gateway 自動設定同盟信任,並利用您新增至 Office 365 租用戶的任何自訂網域來自動更新。
當您按一下 [啟用]時,EAC 會:
- 建立同盟信任的自我簽署憑證。
- 使用 New-FederationTrust Cmdlet 建立使用此自我簽署憑證的同盟信任。
按一下 [啟用]之後,您將看見一個顯示同盟信任建立程序狀態的進度列。完成時,確認視窗將通知您已成功啟用同盟信任。
在建立同盟信任物件之後,EAC 將在 [共用] 索引標籤上,顯示 [組織共用] 與 [個別共用] 管理區段,如圖 4 所示。因為大部分同盟共用功能都需要同盟信任,所以 EAC 總是會在開始設定程序時,啟用和建立同盟信任物件。不過,在完成同盟信任之前,仍必須先完成一些同盟信任設定項目。在完全啟用同盟信任之前,如果您想要設定組織關係,您必須使用 Exchange 管理命令介面來完成該程序。不過,若要在組織中啟用所有同盟共用功能,強烈建議您先完全啟用和設定同盟信任之後,再設定設定組織關係與共用原則。
圖 3:EAC 中的 [組織共用] 與 [個人共用] 區段
在 [共用]索引標籤的 [同盟信任] 區段中,按一下 [修改] 按鈕以開啟 [啟用共用的網域]頁面,逐步引導您進行設定同盟網域提供同盟信任的步驟。
圖 4:[啟用共用的網域] 頁面
EAC 同盟共用管理經驗所提供的最佳改善功能之一是,協助您識別每個動作的正確順序。如您在圖 5 所見,其列出兩個步驟:
- 選取公認的網域:首先,您必須新增公認的網域,用來做為同盟信任的主要共用網域。「主要共用網域」一詞是在 EAC 全新引進,可協助您更加了解設定同盟信任的正確順序。主要共用網域是做為同盟信任的組織識別碼 (OrgID) 使用的獨特帳戶命名空間,並將會預先定義的字串 FYDIBOHF25SPDLT 附加到主要共用網域,做為「帳戶命名空間」。例如,如果您將公認的網域 contoso.com 指定為同盟信任的主要共用網域,就會自動將 FYDIBOHF25SPDLT.contoso.com 帳戶命名空間建立為 Exchange 組織中同盟信任的 OrgID。
- 新增您要啟用共用功能的其他網域:使用此區段,將其他公認的網域新增為同盟信任的同盟網域。
按一下 [瀏覽]以選取公認的網域,做為您想要啟用共用功能的主要網域。一般而言,這是組織的主要 SMTP 網域。接下來,您必須在公用 DNS 伺服器上新增主要共用網域的 TXT 記錄 ,證明您對此網域的擁有權。EAC 會在您為主要共用網域選取一個公認的網域之後,自動產生 TXT 記錄的驗證字串。
圖 5:您必須用以建立 TXT 記錄以證明網域擁有權的字串
在公用 DNS 傳播 TXT 記錄之後,按一下 [更新]以將要求提交至 Microsoft Federation Gateway,將此網域新增為主要共用網域。當您按一下 [更新] 時,EAC 會使用 Set-FederatedOrganizationIdentifier Cmdlet,建立同盟信任的帳戶命名空間。完整命令如下:
Set-FederatedOrganizationIdentifier –AccountNamespace <您選取的主要共用網域>
重要:在 Exchange 2013 以及在 Exchange 2010 SP2 中,您不需要將以 exchangedelegation 開頭的網域指定為帳戶命名空間。您可以使用任何公認的網域做為主要共用網域,不需要擔心帳戶命名空間的基本詳細資料。
再次開啟 [啟用共用的網域] 頁面時,您將注意到主要共用網域與帳戶命名空間都已經正確設定。
圖 6:帳戶命名空間與主要共用網域已經就緒。
若有需要,下一個步驟是將其他網域新增為同盟信任的「同盟網域」。如果您營運的是小型公司 (且對於使用者電子郵件地址,只需使用單一網域),您可能只需要啟用主要共用網域的共用功能。不過,對於較大型的企業則非如此,組織中可能會有多個部門,而需要啟用不同子網域的的共用功能。
如果您需要新增其他網域以提供共用功能,請按一下 + 按鈕,以開啟 [選取公認的網域] 頁面,然後選取您要同盟的一或多個網域。接下來,您需要證明您對所選取網域的網域擁有權,以及在您的公用 DNS 為每一個額外網域新增一筆 TXT 記錄。如上面的步驟 1 所述,Exchange 會為其他網域自動產生驗證字串,並顯示在右窗格中的其他網域清單旁邊。
圖 7:EAC 顯示您必須用來為其他的每個同盟網域建立一筆 TXT 記錄的字串
在公用 DNS 傳播 TXT 記錄之後,按一下 [更新]以將要求提交至 Microsoft Federation Gateway,將網域新增為其他同盟網域。當您按一下 [更新] 時,EAC 會使用 Add-FederatedDomain Cmdlet 與其他網域來更新同盟信任。完整命令如下:
Add-FederatedDomain –DomainName <您的其他共用網域>
在空閒/忙碌共用與行事曆/連絡人共用方面,這些其他網域的行為會和主要共用網域完全相同。
再次開啟 [啟用共用的網域]頁面時,您將看到這些其他共用網域已成功新增至同盟信任。
圖 8:已成功新增其他同盟網域
您現在已成功設定同盟信任!如果您想要啟用行事曆空閒/忙碌與其他行事曆/連絡人的共用功能,您還需要在組織中設定「組織關係」與「共用原則」。
透過建立和設定組織關係,您將能夠在組織與其他 Exchange 同盟組織之間,啟用組織層級的空閒/忙碌共用功能。根據組織關係設定,兩個組織中的使用者將可看見和彼此共用行事曆空閒/忙碌資訊。若要建立和設定組織關係,請在 EAC 的 [Enterprise] 或 [Office 365] 區域中,瀏覽到 [組織] > [共用] > [組織共用]。
圖 9:Enterprise 版 EAC 的 [組織共用]
若要建立和設定組織關係,請按一下 + 按鈕以開啟 [組織關係] 頁面,然後輸入下列設定:
- 關係名稱:組織關係的易記名稱。
- 與之共用的網域:您要在組織中啟用共用功能的外部同盟 Exchange 組織的網域。
- 行事曆空閒/忙碌共用層級:您想要允許外部 Exchange 組織的使用者看見貴組織使用者的行事曆空閒/忙碌共用層級。
- 可以共用行事曆空閒/忙碌資訊者:組織中將與外部 Exchange 組織共用行事曆空閒/忙碌資訊的使用者或群組。
圖 10:建立組織關係
如果您需要設定組織關係的其他設定,例如啟用或停用 寄件提醒 或信箱移動,您將需要在命令介面中使用 OrganizationRelationship Cmdlet。
「共用原則」可以和不同類型的外部使用者共用使用者建立、人員對人員的行事曆與連絡人資訊。共用原則可指派給使用者信箱,且允許使用者自行管理其空閒/忙碌與連絡人資訊 (包括 [行事曆] 與 [連絡人] 資料夾) 並與其他外部同盟組織的收件者共用。對於身為外部同盟組織或身為非 Exchange 組織的收件者,共用原則也允許人員對人員共用,透過使用網際網路行事曆發佈功能,與匿名使用者共用行事曆資訊。
若要建立和設定共用原則,請在 EAC 的 [Enterprise] 或 [Office 365] 區域中,瀏覽到 [組織] > [共用] > [個人共用]。
圖 11:Enterprise 版 EAC 的 [個人共用]
若要建立和設定共用原則,請按一下 + 按鈕以開啟 [共用原則] 頁面。您將需要定義下列設定:
- 原則名稱:共用原則的易記名稱。
- 定義此原則的共用規則:此共用原則套用的規則,包括您要與之共用的網域、行事曆資訊的共用層級,以及您是否要共用 [連絡人] 資料夾。
- 預設共用原則:此原則是否為組織的預設共用原則。
圖 12:EAC 中的 [新增共用原則] 頁面
若要建立和設定共用原則的共用規則,請按一下 + 以開啟 [共用規則] 頁面。您將需要定義下列設定:
- 與誰共用行事曆/連絡人資訊
- 您要共用哪些資訊
- 是否要共用 [連絡人] 資料夾
圖 13:EAC 中的 [共用規則] 頁面
原則中定義的每個規則將對應至個人對個人的共用關係。在共用原則的控制下,使用者可以與不同的個人啟動多重共用關係。例如,您在共用原則中建立下列兩個規則:
- 與 contoso.com 共用行事曆空閒/忙碌
- 與 fabrikam.com 共用行事曆空閒/忙碌 + 主旨 + 位置 + [連絡人] 資料夾
如果您將此共用原則指派給使用者 Jim,Jim 便可與 contoso.com 和 fabrikam.com 組織以不同方式共用他的行事曆與連絡人資訊。
希望您和我們一樣,對於 Exchange 2013 與 EAC 的新同盟共用經驗感到興奮!如果您希望深入了解詳細資訊,請參閱<同盟共用>。
Elber Ren 及 Robert Mazzoli
這是翻譯後的部落格文章。英文原文請參閱 Managing Federated Sharing with the EAC