Examiner les composants de partage de fédération Exchange
Pour configurer avec succès le partage fédéré d'Exchange, vous devez d'abord vous familiariser avec les composants impliqués. Les composants utilisés dans le partage fédéré comprennent :
- Approbation de fédération avec le système d’authentification Microsoft Entra. Utilisé comme un courtier en confiance.
- Appid. Numéro unique généré par le système d’authentification Microsoft Entra pour identifier les organisations Exchange.
- OrgID. Identifie les domaines acceptés de référence configurés dans une organisation qui sont activés pour la fédération.
- Certificat auto-signé. Signer et crypter les jetons de délégation.
- Enregistrement de ressources TXT dans le DNS. Valide la propriété du domaine.
Approbation de fédération avec le système d’authentification Microsoft Entra
Le composant le plus important du partage fédéré est l’approbation de fédération avec le système d’authentification Microsoft Entra. Le système d’authentification Microsoft Entra est le nouveau nom de ce qui était précédemment appelé Microsoft Federation Gateway.
Le système d’authentification Microsoft Entra est un service basé sur Azure, qui est une offre Microsoft gratuite qui joue le rôle de répartiteur d’approbation entre deux organisations Exchange Server fédérées. Au lieu d’établir une approbation directe comme avec les approbations de forêt dans services de domaine Active Directory (AD DS), vous établissez une approbation entre votre environnement de serveur Exchange et le système d’authentification Microsoft Entra. D’autres organisations doivent établir la même relation d’approbation fédérée avec un système d’authentification Microsoft Entra avant de pouvoir commencer à partager des informations avec elles. Lorsque vous disposez d’un système d’authentification Microsoft Entra agissant en tant que répartiteur d’approbation pour votre organization, vous n’avez pas besoin d’établir des relations d’approbation multiples ou individuelles avec d’autres organisations.
Après avoir configuré une approbation avec le système d’authentification Microsoft Entra, le service système d’authentification Microsoft Entra émet un jeton de délégation SAML (Security Assertion Markup Language) pour chaque utilisateur que les contrôleurs de domaine Active Directory local authentifient. Ce jeton permet à l'utilisateur authentifié d'accéder aux ressources partagées au sein des organisations Exchange Server fédérées.
Si vous établissez une approbation avec le système d’authentification Microsoft Entra, votre organization échange des certificats numériques avec le certificat du système d’authentification Microsoft Entra, y compris les métadonnées de fédération.
Certificats auto-signés
L’exécution de l’Assistant Approbation fédérée crée l’approbation avec le système d’authentification Microsoft Entra. Vous pouvez utiliser soit le centre d'administration Exchange (EAC), soit le shell de gestion Exchange (EMS) pour exécuter l'assistant. Si vous utilisez l' EMS, vous devez exécuter la cmdlet New-FederationTrust.
L'assistant de confiance fédérée crée un certificat auto-signé pour la fédération. Il réplique ensuite ce certificat à tous les serveurs Exchange. Le certificat est ensuite utilisé pour signer et chiffrer les jetons de délégation à partir du système d’authentification Microsoft Entra. Ce processus permet aux organisations fédérées externes de faire confiance aux utilisateurs finaux.
Enregistrements de ressources AppID et TXT
Lorsque vous créez une approbation de fédération avec le système d’authentification Microsoft Entra, Microsoft Entra ID crée un objet appelé identificateur d’application (AppID). Vous pouvez accéder à cet objet en exécutant le cmdlet de l'outil de gestion d' Exchange Get-FederationTrust. AppID identifie de manière unique votre Exchange Server organization côté système d’authentification Microsoft Entra lors de l’établissement de relations avec un autre Exchange Server organization. AppID fournit également une preuve valable qu'une organisation est le propriétaire du domaine qu'elle utilise pour la fédération. Cette preuve de propriété est réalisée en créant une ressource texte (TXT) avec l' AppID dans la zone DNS publique pour chaque domaine fédéré. Pour obtenir le contenu de l'enregistrement TXT, vous devez exécuter la commande suivante :
Get-FederatedDomainProof –domainname <NameOfDomain>
Cette cmdlet Get-FederatedDomainProof renvoie la valeur de l'enregistrement de ressources TXT que vous placez dans le champ DnsRecord du DNS. Vous pouvez ensuite utiliser le gestionnaire DNS pour créer un enregistrement de ressources TXT dans votre DNS public qui contient le contenu de la preuve de domaine.
OrgID
Lorsque vous configurez la fédération, vous devez définir quels sont les domaines acceptés faisant autorité dans votre organisation à utiliser et à activer pour la fédération. Ce domaine est ensuite stocké dans un identifiant d'organisation fédérée (OrgID).
Importante
Ce paramètre doit être défini parce que seuls les utilisateurs qui ont des adresses e-mail pour le domaine qui est configuré dans l' OrgID peuvent utiliser les fonctionnalités de fédération d' Exchange Server.
OrgID est une combinaison d'une chaîne prédéfinie et d'un domaine accepté. Le domaine qui se trouve dans OrgID est le domaine que vous sélectionnez comme domaine partagé primaire dans l'Assistant de confiance fédérée lorsque vous créez une confiance fédérée.
Par exemple, supposons que vous spécifiez le domaine fédéré adatum.com comme domaine partagé primaire dans votre organisation. En conséquence, l'espace de nom de compte FYDIBOHF25SPDLT.adatum.com est automatiquement créé comme OrgID pour la fédération de confiance de votre organisation Exchange Server. Vous pouvez définir OrgID en exécutant la commande suivante :
Set-FederatedOrganizationIdentifier –Enabled $true
Importante
Pour activer ou désactiver toutes les fonctions de partage de la fédération dans votre organisation, vous devez activer ou désactiver l' OrgID pour le trust de la fédération.
Le partage fédéré utilise Autodiscover pour vérifier votre domaine. En tant que tel, Autodiscover doit être mis en œuvre, et il doit fonctionner depuis l'Internet.
Conseil
Vous pouvez utiliser la fonction d'analyse de la connectivité à distance pour vérifier le statut Autodiscover de votre organisation Exchange.
Vérification des connaissances
Choisissez la meilleure réponse pour la question suivante. Sélectionnez ensuite Vérifier vos réponses.