Compartilhar via

Configurar uma confiança de federação

  • Artigo

Aplica-se a: Exchange Server 2013

Uma confiança de federação estabelece uma relação de confiança entre uma organização do Microsoft Exchange 2013 e o sistema de autenticação Microsoft Entra. Configurando uma confiança de federação, você pode definir o compartilhamento federado com outras organizações federadas do Exchange para compartilhar informações de disponibilidade e de contato entre os destinatários. A partilha federada pode ser configurada entre duas organizações federadas do Exchange 2013 ou entre uma organização federada do Exchange 2013 e organizações federadas do Exchange 2010. Também pode configurar a partilha com uma organização do Microsoft 365 ou do Office 365.

Observação

Criar uma confiança de federação é uma das várias etapas da configuração do compartilhamento federado em sua organização do Exchange. Para examinar todas as etapas, consulte Configure federated sharing.

Para tarefas de gestão adicionais relacionadas com a federação, veja Procedimentos de federação.

Importante

Esse recurso do Exchange Server 2013 não é totalmente compatível com o Office 365 operado pelo 21Vianet na China e pode haver algumas limitações de recurso. Para obter mais informações, consulte Office 365 operado pela 21Vianet.

Do que você precisa saber para começar?

  • Tempo estimado para conclusão: 30 minutos.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, veja a entrada de permissões "Federação e certificados" no tópico permissões de infraestrutura do Exchange e shell .

  • O domínio utilizado para estabelecer uma confiança de federação deve ser determinado a partir da Internet. Isso requer que o domínio seja registrado em um registrador de domínios e que a zona DNS do domínio seja hospedada em um servidor DNS acessível pela Internet. Se a organização recebe emails da Internet no domínio, você já possui os requisitos necessários.

  • Você precisará adicionar um registro em TXT para seu DNS público. Reveja os requisitos para adicionar um registro TXT com a organização que hospeda seus registros DNS públicos.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

  • Ambas as organizações do Exchange numa relação de partilha federada têm de utilizar o mesmo sistema de autenticação Microsoft Entra para as respetivas confianças de federação. Este requisito aplica-se ao configurar a partilha federada entre duas organizações do Exchange no local ou entre uma organização do Exchange no local e uma organização do Exchange alojada pelo Microsoft 365 ou o Office 365.

  • Quando cria uma confiança de federação com o sistema de autenticação Microsoft Entra para a sua organização do Exchange 2013, a confiança de federação utilizará a instância empresarial do sistema de autenticação Microsoft Entra. No entanto, outras organizações federadas do Exchange com versões anteriores do Exchange e fidedignidades de federação existentes podem estar a utilizar a instância empresarial ou de consumidor do sistema de autenticação Microsoft Entra.

    As seguintes organizações do Exchange utilizam a instância empresarial do sistema de autenticação Microsoft Entra por predefinição:

    • organizações do Exchange 2013, usando o assistente para Habilitar a confiança de federação e certificados autoassinados para uma confiança de federação.
    • Exchange 2010 SP1 ou organizações posteriores através do assistente Nova Confiança de Federação e certificados autoassinados para uma confiança de federação.
    • Organizações do Exchange alojadas pelo Microsoft 365 e pelo Office 365.

    As seguintes organizações do Exchange utilizam a instância de consumidor do sistema de autenticação Microsoft Entra por predefinição:

    • Lançamento para a versão de fabrico (RTM) de organizações do Exchange 2010 com certificados emitidos por autoridades de certificação de terceiros.

    Recomendamos que todas as organizações do Exchange utilizem a instância empresarial do sistema de autenticação Microsoft Entra para confianças de federação. Antes de configurar a partilha federada entre as duas organizações do Exchange, tem de verificar qual a instância do sistema de autenticação do Microsoft Entra que cada organização do Exchange está a utilizar para quaisquer fidedignidades de federação existentes. Para determinar que instância do sistema de autenticação do Microsoft Entra uma organização do Exchange está a utilizar para uma fidedignidade de federação existente, execute o seguinte comando shell.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>

    A instância de negócio devolve um valor de <uri:federation:MicrosoftOnline> para o parâmetro TokenIssuerURIs .

    A instância de consumidor devolve um valor de <uri:WindowsLiveID> para o parâmetro TokenIssuerURIs .

    Para configurar a partilha federada com uma organização do Exchange que tenha uma confiança de federação existente que esteja a utilizar a instância de negócio do sistema de autenticação Microsoft Entra, siga os passos neste tópico. Estes passos são tudo o que precisa de executar para criar confianças de federação que podem ser utilizadas para ativar a partilha federada entre duas organizações do Exchange 2013 ou entre uma organização do Exchange 2013 e uma organização do Exchange 2010 que já está a utilizar a instância de negócio do sistema de autenticação Microsoft Entra.

    Para configurar a partilha federada entre a sua organização do Exchange 2013 e uma organização do Exchange que tenha uma confiança de federação existente que esteja a utilizar a instância de consumidor do sistema de autenticação Microsoft Entra, a organização do Exchange que utiliza a instância de consumidor deve instalar o Exchange 2010 SP2 ou posterior ou atualizar para o Exchange 2013. Se você decidir instalar o Exchange 2010 SP2 ou posterior, use o assistente para Nova Confiança de Federação, para remover e recriar os domínios federados e confianças de federação existentes. Quando as confianças de federação forem recriadas, será utilizada a instância de negócio do sistema de autenticação Microsoft Entra.

Usar o EMC para criar e configurar uma confiança de federação

  1. Num servidor do Exchange 2013 na sua organização no local, navegue paraPartilha da Organização>.

  2. Clique em Permitir, para iniciar o assistente para Habilitar a confiança de federação.

  3. Depois que o assistente for concluído, clique em Fechar.

  4. Na seção Confiança de Federação da guia Compartilhamento, clique em Modificar.

  5. Em Domínios Habilitados para Compartilhamento, próximo a Passo 1, clique em Procurar.

  6. Em Selecionar Domínios Aceitos, selecione o domínio compartilhado principal da lista e clique em OK.

    Observação

    O domínio que você selecionar será usado para configurar a OrgID para a confiança de federação. Para mais informações sobre a OrgID, consulte Federação.

  7. Faça uma nota da prova do domínio federado que é gerado para o domínio compartilhado principal. Você irá usar essa cadeia de caracteres para criar um registro TXT no seu servidor de DNS público.

    Importante

    A prova de domínio federado é uma cadeia de caracteres alfanuméricos. Para evitar erros de entrada, recomendamos que copie a cadeia do EAC e cole-a num editor de texto, como o Bloco de Notas. Depois, você poderá copiá-la do editor de texto para a Área de Transferência e colá-la no campo Texto, quando criar o registro TXT. Se o registo TXT for criado com uma cadeia de prova de domínio federada incorreta, o sistema de autenticação Microsoft Entra não poderá verificar a prova de propriedade do domínio e não poderá adicioná-lo ao identificador da organização federada.

  8. No Passo 2, clique em Adicionar Ícone. para adicionar domínios adicionais à confiança federada para endereços de e-mail que serão utilizados pelos utilizadores na sua organização que necessitam de funcionalidades de partilha federadas. Por exemplo, se tiver utilizadores que utilizam um subdomínio no respetivo endereço de e-mail, como sales.contoso.com, adicionaria o domínio sales.contoso.com à confiança de federação.

    Observação

    Uma cadeia de caracteres de prova de domínio federado será criada para cada domínio adicional selecionado. Você deverá criar registros TXT separados no seu DNS público para cada domínio adicional.

  9. Usando as cadeias de caracteres de prova de domínio federado para cada domínio, crie registros TXT para cada um desses domínios no seu servidor de DNS público. Dependendo do agendamento de atualização do seu host DNS público, a replicação de alterações de DNS podem levar 15 minutos ou mais.

  10. Depois que os registros TXT forem criados e replicados, clique em Atualizar.

Usar o Shell para criar e configurar uma confiança de federação

  1. Execute este comando para criar um identificador de chave de assunto exclusivo para o certificado de fidedignidade de federação:

    $ski = [System.Guid]::NewGuid().ToString("N")

  2. Utilize esta sintaxe para criar um certificado autoassinado para a confiança de federação:

    New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

    Este exemplo cria um certificado autoassinado para a confiança de federação com o sistema de autenticação Microsoft Entra. O certificado utiliza o valor de nome amigável Partilha Federada do Exchange e o valor de domínio é obtido a partir da variável de ambiente USERDNSDOMAIN .

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

  3. Para criar a confiança de federação e implementar automaticamente o certificado autoassinado que criou no passo anterior para os servidores Exchange na sua organização, utilize esta sintaxe:

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"

    Este exemplo cria a confiança de federação com o nome Microsoft Entra authentication e implementa o certificado autoassinado denominado Partilha Federada do Exchange.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"

  4. Utilize esta sintaxe para devolver o registo TXT de prova de propriedade do domínio necessário para qualquer domínio que configure para a confiança de federação.

    Get-FederatedDomainProof -DomainName <domain>

    Este exemplo devolve a prova de propriedade do domínio registo TXT necessário para o domínio partilhado primário contoso.com.

    Get-FederatedDomainProof -DomainName contoso.com

    Observações:

    • Cada domínio ou subdomínio configurado para a confiança de federação requer um registo TXT de prova de propriedade do domínio, pelo que poderá ter de executar este comando várias vezes com valores domainName diferentes.

    • Recomendamos que copie a cadeia de prova de domínio ao clicar com o botão direito do rato na Shell, selecionar Marcar, selecionar o valor Prova e, em seguida, premir Enter para que possa utilizá-lo quando criar o registo TXT. Se criar o registo TXT com uma cadeia de prova de domínio federada incorreta, o sistema de autenticação Microsoft Entra não poderá verificar a propriedade do domínio e não poderá adicioná-lo ao identificador da organização federada.

  5. Com as informações do passo anterior, crie registos TXT no servidor DNS público em todos os domínios que serão incluídos na confiança de federação. Dependendo do agendamento de atualização do seu host DNS público, a replicação de alterações de DNS podem levar 15 minutos ou mais. Continue depois de verificar que os novos registos TXT estão disponíveis.

    Importante

    O registo TXT deve ser criado para todos os domínios que estão a ser federados/partilhados. Se este for um ambiente híbrido, todos os domínios aceites que são validados no Exchange Online devem ter registos TXT criados.

  6. Execute este comando para obter os metadados e o certificado do ID do Microsoft Entra:

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"

  7. Utilize esta sintaxe para configurar o domínio partilhado principal para a confiança de federação que criou no Passo 3. O domínio que especificar será utilizado para configurar o identificador da organização (OrgID) para a confiança de federação. Para obter mais informações sobre o OrgID, veja Federated organization identifier (Identificador da organização federada).

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true

    Este exemplo configura o domínio aceite contoso.com como o domínio partilhado principal para a confiança de federação denominada autenticação Microsoft Entra.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true

  8. Para adicionar outros domínios à confiança de federação, utilize esta sintaxe:

    Add-FederatedDomain -DomainName <AdditionalDomain>

    Estes exemplos adicionam o subdomínio sales.contoso.com à confiança federada, uma vez que os utilizadores com endereços de e-mail no domínio sales.contoso.com necessitam de funcionalidades de partilha federadas.

    Add-FederatedDomain -DomainName sales.contoso.com

    Lembre-se de que qualquer domínio ou subdomínio que adicionar à confiança de federação requer um registo TXT de prova de propriedade do domínio,

Para obter informações detalhadas sobre a sintaxe e os parâmetros, consulte New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier e Add-FederatedDomain.

Como saber se funcionou?

A conclusão com êxito dos assistentes Habilitar confiança de federação e Domínios Habilitados para Compartilhamento será sua primeira indicação que a confiança de federação foi configurada como o esperado.

Para verificar com mais profundidade se você criou e configurou a confiança de federação com êxito, faça o seguinte:

  1. Execute o seguinte comando do Shell para verificar as informações de confiança de federação.

    Get-FederationTrust | Format-List

  2. Substitua <PrimarySharedDomain> pelo seu domínio partilhado principal e execute o seguinte comando shell para verificar se as informações de federação podem ser obtidas da sua organização.

    Get-FederationInformation -DomainName <PrimarySharedDomain>

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Get-FederationTrust e Get-FederationInformation.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.