Configurazione di una relazione di trust federativa
Si applica a: Exchange Server 2013
Un trust federativo stabilisce una relazione di trust tra un'organizzazione di Microsoft Exchange 2013 e il sistema di autenticazione Microsoft Entra. Configurando una relazione di trust federativa, è possibile configurare la condivisione federata con altre organizzazioni Exchange per condividere informazioni sulla disponibilità degli utenti tra i destinatari. La condivisione federata può essere configurata tra due organizzazioni Exchange 2013 federate o tra un'organizzazione Exchange 2013 federata e organizzazioni Exchange 2010 federate. È anche possibile configurare la condivisione con un'organizzazione di Microsoft 365 o Office 365.
Nota
La creazione di una relazione di trust federativa è uno dei diversi passaggi della configurazione della condivisione federata nell'organizzazione di Exchange. Per esaminare tutti i passaggi, vedere Configurare la condivisione federata.
Per altre attività di gestione correlate alla federazione, vedere Procedure di federazione.
Importante
Questa funzionalità di Exchange Server 2013 non è completamente compatibile con Office 365 utilizzato da 21Vianet in Cina e potrebbe essere soggetta a limitazioni. Per altre informazioni, vedere Office 365 gestito da 21Vianet.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento: 30 minuti.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Federazione e certificati" per le autorizzazioni nell'argomento Autorizzazioni per l'infrastruttura di Exchange e Shell .
Il dominio utilizzato per stabilire una relazione di trust federativa deve essere risolvibile da Internet. Pertanto, è necessario che il dominio sia registrato con un registrar e che la zona DNS per il dominio sia ospitata su un server DNS accessibile da Internet. Se l'organizzazione riceve un messaggio di posta elettronica da Internet per il dominio, tali requisiti sono già soddisfatti.
Sarà necessario aggiungere un record TXT ai propri DNS pubblici. Rivedere i requisiti per l'aggiunta di un record TXT con l'organizzazione che ospita i record DNS pubblici.
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Entrambe le organizzazioni di Exchange in una relazione di condivisione federata devono usare lo stesso sistema di autenticazione di Microsoft Entra per i trust federativi. Questo requisito si applica quando si configura la condivisione federata tra due organizzazioni di Exchange locali o tra un'organizzazione di Exchange locale e un'organizzazione di Exchange ospitata da Microsoft 365 o Office 365.
Quando si crea un trust federativo con il sistema di autenticazione Microsoft Entra per l'organizzazione di Exchange 2013, il trust federativo userà l'istanza aziendale del sistema di autenticazione Microsoft Entra. Tuttavia, altre organizzazioni federate di Exchange con versioni precedenti di Exchange e trust federativi esistenti potrebbero usare l'istanza aziendale o consumer del sistema di autenticazione Microsoft Entra.
Per impostazione predefinita, le organizzazioni di Exchange seguenti usano l'istanza aziendale del sistema di autenticazione Microsoft Entra:
- Le organizzazioni Exchange 2013 utilizzando la procedura guidata Abilitare trust federativo e certificati autofirmati per una relazione di trust federativa.
- Le organizzazioni Exchange 2010 SP1 o successive utilizzando la procedura guidata Nuovo trust federativot e certificati autofirmati per una relazione di trust federativa.
- Organizzazioni di Exchange ospitate da Microsoft 365 e Office 365.
Le organizzazioni di Exchange seguenti usano l'istanza consumer del sistema di autenticazione Microsoft Entra per impostazione predefinita:
- La versione di produzione (RTM) delle organizzazioni di Exchange 2010 utilizzano i certificati rilasciati da autorità di certificazione di terze parti.
È consigliabile che tutte le organizzazioni di Exchange usino l'istanza aziendale del sistema di autenticazione Microsoft Entra per i trust federativi. Prima di configurare la condivisione federata tra le due organizzazioni di Exchange, è necessario verificare quale istanza del sistema di autenticazione Microsoft Entra viene usata da ogni organizzazione di Exchange per eventuali trust federativi esistenti. Per determinare l'istanza del sistema di autenticazione Microsoft Entra usata da un'organizzazione di Exchange per un trust federativo esistente, eseguire il comando shell seguente.
Get-FederationInformation -DomainName <hosted Exchange domain namespace>
L'istanza di business restituisce un valore di
<uri:federation:MicrosoftOnline>
per il parametro TokenIssuerURIs .L'istanza consumer restituisce un valore di
<uri:WindowsLiveID>
per il parametro TokenIssuerURIs .Per configurare la condivisione federata con un'organizzazione di Exchange con un trust federativo esistente che usa l'istanza aziendale del sistema di autenticazione Microsoft Entra, seguire i passaggi descritti in questo argomento. Questi passaggi sono tutto ciò che è necessario eseguire per creare trust federativi che possono essere usati per abilitare la condivisione federata tra due organizzazioni di Exchange 2013 o tra un'organizzazione di Exchange 2013 e un'organizzazione di Exchange 2010 che usa già l'istanza aziendale del sistema di autenticazione Microsoft Entra.
Per configurare la condivisione federata tra l'organizzazione exchange 2013 e un'organizzazione di Exchange con un trust federativo esistente che usa l'istanza consumer del sistema di autenticazione Microsoft Entra, l'organizzazione di Exchange che usa l'istanza consumer deve installare Exchange 2010 SP2 o versioni successive oppure eseguire l'aggiornamento a Exchange 2013. Se si decide di installare Exchange 2010 SP2 o versione successiva, utilizzare la procedura guidata Nuovo trust federativo per rimuovere e creare di nuovo i domini federati e le relazioni di trust federative. Quando i trust federativi vengono ricreati, verrà usata l'istanza aziendale del sistema di autenticazione Microsoft Entra.
Creazione e configurazione di una relazione di trust federativa tramite interfaccia di amministrazione di Exchange
In un server Exchange 2013 nell'organizzazione locale passare aCondivisioneorganizzazione>.
Fare clic su Abilita per avviare la procedura guidata Abilitare trust federativot.
Una volta completata la procedura guidata, fare clic su Chiudi.
Nella sezione Trust federativo della scheda Condivisione, fare clic su Modifica.
In Domini abilitati alla condivisione, acccanto a Passo 1, fare clic su Sfoglia.
In Seleziona domini accettati, selezionare dall'elenco il dominio condiviso primario e fare clic su OK.
Nota
Il dominio selezionato verrà utilizzato per configurare l'OrgID per la relazione di trust federativa. Per ulteriori informazioni sull'OrgID, vedere Federazione.
Annotare la stringa di prova del dominio che viene generata per il dominio condiviso primario. Questa stringa verrà utilizzata per creare un record TXT sul proprio server DNS pubblico.
Importante
La stringa di prova del dominio federato è costituita da caratteri alfanumerici. Per evitare errori di immissione, si raccomanda di copiare la stringa dall'interfaccia di amministrazione di Exchange e incollarla in un editor di testo come Blocco note. Sarà poi possibile copiare la stringa dall'editor di testo agli Appunti e incollarla nel campo Testo quando si crea il record TXT. Se il record TXT viene creato usando una stringa di prova di dominio federata non corretta, il sistema di autenticazione Microsoft Entra non sarà in grado di verificare la verifica della proprietà del dominio e non sarà possibile aggiungerlo all'identificatore dell'organizzazione federata.
Nel passaggio 2 fare clic su per aggiungere altri domini all'attendibilità federata per gli indirizzi di posta elettronica che verranno usati dagli utenti dell'organizzazione che richiedono funzionalità di condivisione federata. Ad esempio, se sono presenti utenti che utilizzano un sottodominio nei loro indirizzi di posta elettronica quali sales.contoso.com, si aggiungerà il dominio sales.contoso.com alla relazione di trust federativa.
Nota
Una stringa di prova del dominio federato verrà creata per ciascun dominio aggiuntivo selezionato. Sul server DNS pubblico si devono creare record TXT separati per ciascun dominio aggiuntivo.
Utilizzando la stringa di prova del dominio federato creata per ciascun dominio, creare un record TXT sul server DNS pubblico per ciascuno di questi domini aggiuntivi. A seconda del piano di aggiornamenti dell'host DNS pubblico, la replica delle modifiche DNS può richiedere 15 minuti o più.
Dopo avere creato e replicato i record TXT, fare clic su Aggiorna.
Utilizzo di Shell per creare e configurare una relazione di trust federativa
Eseguire questo comando per creare un identificatore della chiave del soggetto univoco per il certificato della relazione di trust federativa:
$ski = [System.Guid]::NewGuid().ToString("N")
Utilizzare questa sintassi per creare un certificato autofirmato per questo tipo di relazione di trust:
New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
In questo esempio viene creato un certificato autofirma per l'attendibilità federativa con il sistema di autenticazione Microsoft Entra. Il certificato utilizza il valore del nome descrittivo di Condivisione federata di Exchange e il valore del dominio è recuperato dalla variabile dell'ambiente di USERDNSDOMAIN.
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
Per creare la relazione di trust federativa e distribuire automaticamente il certificato autofirmato creato nel passaggio precedente ai server Exchange nell'organizzazione, usare questa sintassi:
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
In questo esempio viene creata l'attendibilità federativa denominata autenticazione Microsoft Entra e viene distribuito il certificato autofirmato denominato Condivisione federata di Exchange.
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
Utilizzare questa sintassi per ottenere la prova del record TXT della proprietà del dominio necessaria per qualsiasi dominio che si configura per la relazione di trust federativa.
Get-FederatedDomainProof -DomainName <domain>
In questo esempio viene restituita la prova del record TXT della proprietà del dominio necessaria per il dominio condiviso principale contoso.com.
Get-FederatedDomainProof -DomainName contoso.com
Note:
Ogni dominio o sottodominio configurato per l'attendibilità federativa richiede un record TXT di verifica della proprietà del dominio, quindi potrebbe essere necessario eseguire questo comando più volte usando valori DomainName diversi.
È consigliabile copiare la stringa di prova del dominio facendo clic con il pulsante destro del mouse in Shell, selezionando Contrassegna, quindi il valore Prova e infine premendo Invio per utilizzarla quando si crea il record TXT. Se si crea il record TXT con una stringa di prova di dominio federata non corretta, il sistema di autenticazione Microsoft Entra non può verificare la proprietà del dominio e non sarà possibile aggiungerlo all'identificatore dell'organizzazione federata.
Utilizzando le informazioni fornite nel passaggio precedente, creare record TXT nel server DNS pubblico in ogni dominio che verrà incluso nella relazione di trust federativa. A seconda del piano di aggiornamenti dell'host DNS pubblico, la replica delle modifiche DNS può richiedere 15 minuti o più. Continuare dopo aver verificato che i nuovi record TXT siano disponibili.
Importante
Il record TXT deve essere creato per ogni dominio federato/condiviso. Se si tratta di un ambiente ibrido, tutti i domini accettati convalidati in Exchange Online devono avere record TXT creati.
Eseguire questo comando per recuperare i metadati e il certificato dall'ID Microsoft Entra:
Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
Utilizzare questa sintassi per configurare il dominio condiviso principale per la relazione di trust federativa creata nel passaggio 3. Il dominio specificato verrà utilizzato per configurare l'identificatore dell'organizzazione (OrgID) per la relazione di trust federativa. Per ulteriori informazioni sull'OrgID, vedere Identificatore di organizzazione federata.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
In questo esempio viene configurato il dominio accettato contoso.com come dominio condiviso primario per l'attendibilità federativa denominata Autenticazione di Microsoft Entra.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
Per aggiungere altri domini alla relazione di trust federativa, utilizzare questa sintassi:
Add-FederatedDomain -DomainName <AdditionalDomain>
In questo esempio viene aggiunto il sottodominio sales.contoso.com alla relazione di trust federativa, poiché gli utenti con indirizzi e-mail nel dominio sales.contoso.com richiedono funzionalità di condivisione federata.
Add-FederatedDomain -DomainName sales.contoso.com
Tenere presente che qualsiasi dominio o sottodominio aggiunto alla relazione di trust federativa richiede una prova del record TXT della proprietà del dominio.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier e Add-FederatedDomain.
Come verificare se l'operazione ha avuto esito positivo
Il corretto completamento delle procedure guidate Abilitare trust federativot e Domini abilitati alla condivisione saranno la prima indicazione che la relazione di trust federativa è stata configurata come ci si attendeva.
Per ulteriori verifiche della corretta creazione e configurazione della relazione di trust federativa, fare quanto segue:
Eseguire questo comando Shell per verificare le informazioni di attendibilità del trust federativo.
Get-FederationTrust | Format-List
Sostituire <PrimarySharedDomain> con il dominio condiviso primario ed eseguire il comando shell seguente per verificare che le informazioni sulla federazione possano essere recuperate dall'organizzazione.
Get-FederationInformation -DomainName <PrimarySharedDomain>
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-FederationTrust e Get-FederationInformation.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum in Exchange Server.