Planifier les fiducies et les certificats de fédération
Les organisations qui implémentent le partage fédéré doivent d’abord configurer une approbation de fédération avec le système d’authentification Microsoft Entra. Cette conception est le point central pour les approbations de fédération.
Toutefois, avant de configurer la fédération entre les deux organisations Exchange Server, vous devez vérifier quel système d’authentification Microsoft Entra instance chaque organization Exchange utilise. Cela vous permet de déterminer si une approbation de fédération existe déjà entre les deux organisations.
Si une approbation de fédération pour le système d’authentification Microsoft Entra existe déjà pour les deux organisations Exchange, vous n’avez pas besoin de modifier l’approbation de fédération. Au lieu de cela, il vous suffit de configurer une relation d’organisation ou une stratégie de partage.
Pour vérifier l’approbation de fédération, vous devez exécuter la commande PowerShell suivante pour déterminer la valeur d’uri:federation:MicrosoftOnline pour le paramètre TokenIssuerURIs :
Get-FederationInformation -DomainName <hosted Exchange domain namespace>
Pour établir une approbation de fédération avec le système d’authentification Microsoft Entra, vous pouvez utiliser un certificat auto-signé ou un certificat X.509 signé par une autorité de certification. Vérifiez que ce certificat est créé et installé sur le Exchange Server que vous avez utilisé pour créer l’approbation.
Remarque
Il est recommandé d’utiliser le certificat auto-signé qui a été automatiquement créé et installé lors de l’exécution de l’Assistant Approbation de fédération. Lorsque le certificat est généré par l’Assistant Approbation de fédération, il est automatiquement déployé sur tous les serveurs Exchange de votre organisation.
Vous pouvez également générer un certificat à l’aide de l’applet de commande New-ExchangeCertificate . L’exemple suivant crée un certificat pour le partage fédéré, puis le déploie sur vos serveurs Exchange en tant que certificat d’approbation de fédération :
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
Microsoft Entra ID utilise ce certificat pour signer et chiffrer des jetons de délégation pour le partage fédéré. Il ne l’utilise pas pour identifier votre organisation. Par conséquent, le nom dans le certificat n’est pas pertinent.
En guise d’alternative à l’utilisation de certificats auto-signés générés via l’Assistant Approbation fédérée ou en exécutant l’applet de commande New-ExchangeCertificate , vous pouvez également utiliser un certificat x.509 externe pour la fédération. Pour utiliser un certificat x.509, vous devez vous assurer que les noms d’autres sujets appropriés (SAN) dans le certificat sont disponibles.
Conseil
L’inconvénient de l’utilisation d’un certificat x.509 externe est que le processus de création d’un certificat est beaucoup plus complexe que la création d’un certificat auto-signé dans Exchange.