Cenário: Implantação de políticas de catálogo de endereços em Exchange Server
Os cenários neste tópico descrevem as soluções de implantação para ABPs (políticas de catálogo de endereços) em três dos tipos de organização mais comuns em que várias entidades (empresas, agências governamentais, salas de aula escolares etc.) compartilham um ambiente comum do Exchange. Em todos os cenários, um filtro de destinatário divide os destinatários em organizações virtuais separadas, o que define os ABPs aplicados aos usuários nessas organizações virtuais. Para obter mais informações, filtros de destinatário e organizações virtuais, confira a seção Considerações e práticas recomendadas para políticas de catálogo de endereços mais adiante neste tópico.
Para obter mais informações sobre ABPs, consulte Políticas de catálogo de endereços em Exchange Server. Para procedimentos ABP, consulte Procedimentos para políticas de catálogo de endereços em Exchange Server.
Cenário 1: Duas empresas separadas em uma organização do Exchange
Esse cenário se aplica a empresas ou divisões que compartilham o mesmo ambiente do Exchange, mas não têm funcionários ou gerenciamento comuns. Além disso, as divisões não têm preocupações especiais de segurança ou privacidade.
Nesse cenário, a Contoso e a Humongous Insurance são duas empresas separadas que compartilham o mesmo ambiente do Exchange. Um ABP para cada empresa permite que os funcionários em uma empresa vejam apenas membros da mesma empresa na gal (lista de endereços global) no Outlook e Outlook na Web (anteriormente conhecido como Outlook Web App). Todos os grupos de distribuição pertencem a uma empresa ou a outra, e nenhum grupo de distribuição contém membros de ambas as empresas.
A GAL, o OAB (catálogo de endereços offline), a lista de salas e as listas de endereços que são necessárias nas ABPs para esse cenário são descritas nesta tabela:
| Elemento ABP | Contoso | Humongous Insurance |
|---|---|---|
| Global address list | GAL_CON | GAL_HI |
| Offline address book | OAB_CON | OAB_HI |
| Room list | AL_CON_Rooms | AL_HI_Rooms |
| Address Lists | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
Cenário 2: duas empresas compartilhando um CEO em uma organização do Exchange
Esse cenário se aplica a empresas ou divisões que compartilham o ambiente do Exchange e os únicos funcionários em comum estão no gerenciamento superior.
Nesse cenário, a Fabrikam e a Tailspin Toys são empresas separadas no mesmo ambiente do Exchange que compartilham o mesmo CEO, que é a única pessoa em comum entre as duas empresas. Esse cenário usa três ABPs que têm os seguintes requisitos:
Os funcionários de uma empresa só podem ver destinatários em sua empresa quando navegam na GAL, e os funcionários de ambas as empresas podem ver o CEO na GAL e em grupos de distribuição.
O CEO pode ver todos os destinatários em ambas as empresas, é capaz de criar grupos de distribuição que abrangem ambas as empresas e os grupos estão visíveis na GAL de cada empresa. No entanto, os membros do grupo só veem outros membros de sua respectiva empresa (membros do grupo da outra empresa estão ocultos).
Os funcionários que examinarem a associação de grupo do CEO só verão grupos em sua empresa. Eles não verão grupos na outra empresa.
Cada empresa tem um grupo de distribuição chamado Liderança Sênior que inclui o gerenciamento dessa empresa e o CEO.
Os nomes dos três ABPs são: ABP_FAB, ABP_TAIL e ABP_CEO.
As listas de endereços, gal, OAB, lista de salas e que são necessárias nos ABPs para esse cenário são descritas nesta tabela:
| Elemento ABP | Fabrikam | Tailspin Toys | CEO |
|---|---|---|---|
| Nome | ABP_FAB | AB_TAIL | ABP_CEO |
| Global address list | GAL_FAB | GAL_TAIL | Catálogo de endereços global padrão |
| Offline address book | OAB_FAB | OAB_TAIL | Catálogo de endereços offline padrão |
| Room address list | AL_FAB_Rooms | AL_TAIL_Rooms | Todas as Salas |
| Listas de endereços | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
Para obter um passo a passo completo da criação dos elementos necessários para esse cenário, confira as etapas de implantação detalhadas do Cenário 2: duas empresas compartilhando um CEO em uma seção de organização do Exchange no final deste tópico.
Scenario 3: Education
Esse cenário é aplicável a escolas ou universidades em que uma divisão de salas de aula é necessária para garantir a privacidade dos alunos e tem os seguintes requisitos:
Os alunos de cada classe podem ver somente outros alunos de suas turmas, seu professor e o diretor.
Os professores só podem ver os alunos em suas próprias aulas.
Os professores podem ver a entidade e todos os outros professores.
Grupos de distribuição são criados para os pais e professores associados a cada classe.
As listas de endereços, gal, OAB, lista de salas e que são necessárias nos ABPs para esse cenário são descritas nesta tabela:
| Elemento ABP | Students_ClassA | Teachers_ClassA | Principal |
|---|---|---|---|
| Global address list | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
| Offline address book | OAB_StudentsClassA | OAB_TeachersClassA | Catálogo de endereços offline padrão |
| Room address list | AL_BlankRoom | AL_BlankRoom | Todas as Salas |
| Address Lists | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
Considerações e práticas recomendadas para políticas de catálogo de endereços
Essas são as questões importantes a serem consideradas quando você usa ABPs em sua organização:
Você não pode usar catálogos de endereço hierárquicos (HABs) e ABPs simultaneamente. Para saber mais, consulte Understanding Hierarchical Address Books.
Um usuário atribuído a um ABP precisa existir na GAL especificada para o ABP.
Se você criar ABPs em sua organização e não atribuir um ABP a alguns usuários, esses destinatários poderão ver todas as listas de endereços.
Para dividir destinatários em organizações virtuais, recomendamos usar os atributos CustomAttribute1 para CustomAttribute15 em destinatários. Esses atributos funcionam melhor do que os outros atributos condicionais pré-enlatados, como Empresa, Departamento ou StateOrProvince porque:
Nem todos os tipos de destinatário dão suporte aos atributos Company, Department ou StateOrProvince (por exemplo, grupos de distribuição, grupos de distribuição dinâmicos e pastas públicas habilitadas para email).
Os atributos CustomAttribute1 para CustomAttribute15 não são configuráveis pelos usuários em suas próprias caixas de correio e estão totalmente sob o controle dos administradores.
Mesmo os tipos de destinatário que dão suporte aos atributos Company, Department ou StateOrProvince exigem cmdlets diferentes para configurá-los.
Por exemplo, para configurar valores para a Empresa, Departamento ou StateOrProvince em caixas de correio, usuários de email ou contatos de email, você não pode usar os cmdlets Set-Mailbox, Set-MailUser ou Set-MailContact . Em vez disso, você precisa usar os cmdlets Set-User e Set-Contact . Por outro lado, os parâmetros CustomAttribute1 para CustomAttribute15 estão disponíveis nos cmdlets Set-* correspondentes para todos os tipos de destinatário.
Para obter mais informações sobre a filtragem do destinatário, consulte Filtragem de destinatário em servidores de Transporte de Borda.
Os aplicativos cliente que acessam o Active Directory diretamente por meio do LDAP ignorarão a lógica incorporada em ABPs.
No mínimo, a GAL especificada em um ABP deve conter todas as listas de endereços (incluindo a lista de endereços de sala) especificadas no ABP (é OK se o ABP contiver listas de endereços adicionais). Não crie uma GAL que contenha menos destinatários do que as listas de endereços no mesmo ABP.
Recomendamos a criação de grupos de distribuição que cruzem os limites da organização virtual. Grupos que contêm membros de várias organizações virtuais levam a esses problemas:
Um membro do grupo verá os endereços de email de todos os membros do grupo se solicitarem um recibo de entrega ou um recibo de leitura quando enviarem uma mensagem ao grupo de distribuição.
Mensagens criptografadas enviadas para o grupo de distribuição podem causar problemas quando alguns membros do grupo não têm IDs digitais válidas. Por exemplo, suponha que um grupo de distribuição contenha três membros da Agência A e dois membros da Agência B. Além disso, um dos membros da Agência A e dois dos membros da Agência B têm IDs digitais inválidas. Se um membro da Agência A enviar uma mensagem criptografada para o grupo de distribuição, ele receberá um aviso de que há três destinatários sem IDs digitais válidas. No entanto, apenas o endereço de email do membro na Agência A será exibido na mensagem de aviso.
Os ABPs não se aplicam a todos os usuários ou processos que usam o cmdlet Get-Group , portanto, esses usuários verão todos os membros de qualquer grupo ao qual tenham acesso.
Como se esse problema for, recomendamos que você impeça os usuários de gerenciar seus próprios grupos no Outlook ou Outlook na Web. Para fazer isso, remova a atribuição de função RBAC myDistributionGroupMembership dos usuários. Para obter mais informações, consulte Gerenciar políticas de atribuição de função.
Se você permitir que os usuários usem o Outlook ou Outlook na Web para gerenciar grupos, a visibilidade da lista completa de associações de grupo deve estar ok para os proprietários do grupo.
All ABPs must contain a room address list. No entanto, se sua organização não usar listas de endereços de sala, você poderá criar uma lista de endereços de sala vazia.
Observação: a lista de salas necessária para um ABP é uma lista de endereços que especifica salas (contém o filtro
RecipientDisplayType -eq 'ConferenceRoomMailbox'). Não é um grupo de distribuição de localizador de sala que você cria com a opção RoomList nos cmdlets New-DistributionGroup ou Set-DistributionGroup . Para obter mais informações, consulte Criar e gerenciar caixas de correio da sala.Implantar ABP's não impede que os usuários em uma organização vritual enviem email para usuários em outra organização virtual. Se você quiser impedir que os usuários enviem email entre organizações virtuais, recomendamos que você crie uma regra de fluxo de email (também conhecida como regra de transporte) que procure mensagens enviadas entre os destinatários. Por exemplo, para impedir que os usuários da Contoso recebam mensagens de usuários fabrikam e vice-versa, mas ainda permitir que a equipe de liderança sênior da Fabrikam envie mensagens aos usuários da Contoso, você pode criar a seguinte regra de fluxo de email no Shell de Gerenciamento do Exchange:
New-TransportRule -Name "Ethical Wall: Contoso-Fabrikam" -BetweenMemberOf1 "AllFabrikamEmployees" -BetweenMemberOf2 "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.comPara obter mais informações sobre regras de fluxo de email, consulte Regras de fluxo de email em Exchange Server.
Para configurar um recurso semelhante às políticas de catálogo de endereços no Skype for Business ou no cliente lync, você pode definir o atributo msRTCSIP-GroupingID para usuários específicos. Para obter detalhes, consulte PartitionByOU Substituído por msRTCSIP-GroupingID.
Etapas detalhadas de implantação do Cenário 2: duas empresas compartilhando um CEO em uma organização do Exchange
Esta seção orienta você pelas etapas de implantação do Cenário 2: duas empresas compartilhando um CEO em uma organização do Exchange. Se você se lembra, Fabrikam e Tailspin Toys são empresas separadas que compartilham o mesmo CEO.
Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.
Etapa 1: instalar e configurar o agente de roteamento de política de catálogo de endereços
O Agente de Roteamento ABP faz com que os usuários atribuídos a gals diferentes apareçam como destinatários externos uns para os outros. Para obter instruções detalhadas, consulte Usar o Shell de Gerenciamento do Exchange para instalar e configurar o Agente de Roteamento de Política do Catálogo de Endereços.
Etapa 2: Definir suas organizações virtuais
Nesse cenário, o atributo CustomAttribute15 define as organizações virtuais: o valor FAB para destinatários fabrikam, o valor TAIL para destinatários da Tailspin Toys e o valor CEO para o CEO, que é necessário para que os usuários fabrikam e tailspin possam ver o CEO. Se você não incluir o CEO nas organizações virtuais Fabrikam e Tailspin Toys, o CEO poderá ver todos, mas ninguém pode ver o CEO. Para obter mais informações sobre a filtragem do destinatário, consulte Filtragem de destinatário em servidores de Transporte de Borda.
Para definir o valor do atributo CustomAttribute15 para as caixas de correio Fabrikam e Tailspin Toys, grupos de distribuição, grupos de distribuição dinâmicos, contatos de email e usuários de email, use a seguinte sintaxe:
$<VariableName> = Get-<RecipientType> -ResultSize Unlimited | where PrimarySMTPAddress -match <fabrikam.com | tailspintoys.com>
$<VariableName> | foreach {Set-<RecipientType> -Identity ($_.GUID).ToString() -CustomAttribute15 <FAB | TAIL>
Observações:
Usar o valor GUID do destinatário para o parâmetro Identity pode ajudar a evitar colisões se houver nomes de usuário semelhantes em ambas as organizações (por exemplo, julia@fabrikam.com e julia@contoso.com).
Os valores de RecipientType> válidos <para os nomes de cmdlet são Mailbox, DistributionGroup, DynamicDistributionGroup, MailContact e MailUser. Você precisa configurar o valor do atributo CustomAttribute15 para cada tipo de destinatário separadamente.
Este exemplo define o valor FAB do atributo CustomAttribute15 em todas as caixas de correio fabrikam.
$FAB_MBX = Get-Mailbox -ResultSize Unlimited | where PrimarySMTPAddress -match fabrikam.com
$FAB_MBX | foreach {Set-Mailbox -Identity ($_.GUID).ToString() -CustomAttribute15 FAB}
Etapa 3: criar os elementos necessários para as políticas do catálogo de endereços
Criar listas de endereços
Essa organização requer quatro listas de endereços personalizadas:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
Este exemplo cria a lista de endereços chamada AL_FAB_Users_DGs que contém todos os usuários do Fabrikam, grupos de distribuição e grupos de distribuição dinâmicos e o CEO.
New-AddressList -Name "AL_FAB_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'FAB') -or (CustomAttribute15 -eq 'CEO')"
Este exemplo cria a lista de endereços chamada AL_FAB_Contacts que contém todos os contatos de email do Fabrikam.
New-AddressList -Name "AL_FAB_Contacts" -RecipientFilter "(RecipientType -eq 'MailContact') -and (CustomAttribute15 -eq 'FAB')"
Este exemplo cria a lista de endereços chamada AL_TAIL_Users_DGs que contém todos os usuários da Tailspin Toys, grupos de distribuição e grupos de distribuição dinâmicos e o CEO.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL') -or (CustomAttribute15 -eq 'CEO')"
Este exemplo cria a lista de endereços chamada AL_TAIL_Contacts que contém todos os contatos de email da Tailspin Toys.
New-AddressList -Name "AL_TAIL_Contacts" -RecipientFilter "(RecipientType -eq 'MailContact') -and (CustomAttribute15 -eq 'TAIL')"
Para obter mais informações, consulte Criar listas de endereços.
Criar listas de salas
Essa organização requer duas listas de salas personalizadas:
AL_FAB_Rooms
AL_TAIL_Rooms
Este exemplo cria a lista de salas chamada AL_FAB_Rooms para caixas de correio da sala fabrikam.
New-AddressList -Name AL_FAB_Rooms -RecipientFilter "(Alias -ne $null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
Este exemplo cria uma lista de salas chamada AL_TAIL_Rooms para caixas de correio da sala Tailspin Toys.
New-AddressList -Name AL_TAIL_Rooms -RecipientFilter "(Alias -ne $null) -and (CustomAttribute15 -eq 'TAIL') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
Observação: este exemplo cria uma lista de salas em branco chamada AL_BlankRoom se a organização não tiver caixas de correio de sala (um ABP requer uma lista de salas, mesmo que esteja vazia):
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
Para obter mais informações sobre como criar listas de endereços, consulte Criar listas de endereços.
Criar GALs
Essa organização requer dois GALs personalizados:
GAL_FAB
GAL_TAIL
Este exemplo cria a GAL chamada GAL_FAB para Fabrikam que inclui todos os destinatários do Fabrikam e permite que os usuários do Fabrikam vejam o CEO.
New-GlobalAddressList -Name "GAL_FAB" -RecipientFilter "(CustomAttribute15 -eq 'FAB') -or (CustomAttribute15 -eq 'CEO')"
Este exemplo cria a GAL chamada GAL_TAIL para a Tailspin Toys que inclui todos os destinatários da Tailspin Toys e permite que os usuários da Tailspin Toys vejam o CEO.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL') -or (CustomAttribute15 -eq 'CEO')"
Observação: não use uma GAL em um ABP que contenha destinatários ausentes das listas de endereços no ABP. A combinação de todas as listas de endereços deve corresponder aos destinatários no GAL.
Para obter mais informações, confira Usar o Shell de Gerenciamento do Exchange para criar listas de endereços globais.
Criar OABs
Essa organização requer dois GALs personalizados:
OAB_FAB
OAB_TAIL
Este exemplo cria a OAB chamada OAB_FAB para Fabrikam que inclui o Fabrikam GAL.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Este exemplo cria a OAB chamada OAB_TAIL for Tailspin Toys que inclui a GAL da Tailspin Toys.
New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"
Nota: Se você quiser que os usuários vejam todos os destinatários na organização virtual, certifique-se de incluir o GAL na OAB. Caso contrário, você pode reduzir o tamanho do download da OAB especificando uma lista reduzida de listas de endereços incluídas na OAB.
Para obter mais informações, consulte Usar o Shell de Gerenciamento do Exchange para criar livros de endereços offline.
Etapa 4: criar as políticas do catálogo de endereços
Essa organização requer três ABPs:
| Elemento ABP | Fabrikam | Tailspin Toys | CEO |
|---|---|---|---|
| Nome | ABP_FAB | ABP_TAIL | ABP_CEO |
| Global address list | GAL_FAB | GAL_TAIL | Catálogo de endereços global padrão |
| Offline address book | OAB_FAB | OAB_TAIL | Catálogo de endereços offline padrão |
| Room address list | AL_FAB_Rooms | AL_TAIL_Rooms | Todas as Salas |
| Listas de endereços | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
Este exemplo cria o ABP chamado ABP_FAB que contém as listas de endereços e listas de endereços GAL, OAB, room list para Fabrikam.
New-AddressBookPolicy -Name "ABP_FAB" -AddressLists "AL_FAB_Users_DGs","AL_FAB_Contacts" -OfflineAddressBook "\OAB_FAB" -GlobalAddressList "\GAL_FAB" -RoomList "\AL_FAB_Rooms"
Este exemplo cria o ABP chamado ABP_TAIL que contém as listas de endereços e listas de endereços GAL, OAB, room list para Tailspin Toys.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Este exemplo cria o ABP chamado ABP_CEO que contém as listas gal, OAB, lista de salas e endereços para o CEO.
New-AddressBookPolicy -Name "ABP_CEO" -AddressLists "AL_FAB_Users_DGs","AL_FAB_Contacts","AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\Default Offline Address Book" -GlobalAddressList "\Default Global Address List" -RoomList "\All Rooms"
Para obter mais informações, consulte Procedimentos para políticas de catálogo de endereços em Exchange Server.
Etapa 5: Atribuir as políticas do catálogo de endereços às caixas de correio
Este exemplo atribui o ABP chamado ABP_FAB a todas as caixas de correio fabrikam.
$Fab = Get-Mailbox -ResultSize unlimited -Filter "CustomAttribute15 -eq 'FAB'"; $Fab | foreach {Set-Mailbox -Identity $_.Identity -AddressBookPolicy 'ABP_FAB'}
Este exemplo atribui o ABP chamado ABP_TAIL a todas as caixas de correio Tailspin Toys.
$Tail = Get-Mailbox -ResultSize unlimited -Filter "CustomAttribute15 -eq 'TAIL'"; $Tail | foreach {Set-Mailbox -Identity $_.Identity -AddressBookPolicy 'ABP_TAIL'}
Este exemplo atribui o ABP chamado ABP_CEO ao CEO chamado Gabriela Laureano.
Set-Mailbox -Identity "Gabriela Laureano" -AddressBookPolicy "ABP_CEO"
Observação: se o usuário já estiver conectado ao Outlook ou Outlook na Web quando o ABP for aplicado à caixa de correio, ele precisará fechar e reiniciar seu aplicativo cliente antes de poder ver as novas listas de endereços e GAL.
Para obter mais informações, consulte Atribuir políticas de catálogo de endereços a caixas de correio.
Outras considerações
Depois de criar ou modificar uma lista de endereços ou GAL, você precisará atualizar a associação.
Se a lista de endereços contiver um grande número de destinatários (nossa recomendação for superior a 3000), você deverá usar o Shell de Gerenciamento do Exchange para atualizar a lista de endereços (não o centro de administração do Exchange). Para obter mais informações, consulte Atualizar listas de endereços.
Para atualizar uma GAL, você sempre precisa usar o Shell de Gerenciamento do Exchange. Para obter mais informações, consulte Usar o Shell de Gerenciamento do Exchange para atualizar listas de endereços globais.