Настройка доверия федерации
Применимо к: Exchange Server 2013
Доверие федерации устанавливает отношения доверия между организацией Microsoft Exchange 2013 и системой проверки подлинности Microsoft Entra. Настроив доверие федерации, вы можете внедрить федеративный общий доступ с другими федеративными организациями Exchange, чтобы совместно использовать сведения о доступности в календаре между получателями. Федеративный общий доступ можно настроить между двумя федеративными организациями Exchange 2013 или между федеративной организацией Exchange 2013 и несколькими федеративными организациями Exchange 2010. Вы также можете настроить общий доступ с организацией Microsoft 365 или Office 365.
Примечание.
Создание доверия федерации — один из этапов настройки федеративного делегирования в организации Exchange. Анализ всех шагов см. в разделе Configure federated sharing.
Дополнительные задачи управления, связанные с федерацией, см. в разделе Процедуры федерации.
Важно!
Эта функция Exchange Server 2013 не полностью совместима с Office 365, предоставляемой компанией 21Vianet в Китае, и могут применяться некоторые ограничения. Дополнительные сведения см. в статье Office 365, управляемый 21Vianet.
Что нужно знать перед началом работы
Осталось времени до завершения: 30 минут.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Разрешения федерации и сертификатов" в разделе Разрешения инфраструктуры Exchange и оболочки .
К домену, используемому для установки доверия федерации, должен быть доступ из Интернета. Это необходимо для того, чтобы зарегистрировать домен с помощью регистратора доменов и разместить зону DNS для этого домена на DNS-сервере, доступном из Интернета. Если организация получает электронную почту Интернета для данного домена, эти требования уже выполнены.
Вам будет нужно добавить запись TXT для публичной системы DNS. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Обе организации Exchange с федеративной связью общего доступа должны использовать одну и ту же систему проверки подлинности Microsoft Entra для доверия федерации. Это требование применяется при настройке федеративного общего доступа между двумя локальными организациями Exchange или между локальной организацией Exchange и организацией Exchange, размещенной в Microsoft 365 или Office 365.
При создании доверия федерации с системой проверки подлинности Microsoft Entra для организации Exchange 2013 она будет использовать бизнес-экземпляр системы проверки подлинности Microsoft Entra. Однако другие федеративные организации Exchange с предыдущими версиями Exchange и существующими отношениями доверия федерации могут использовать корпоративный или потребительский экземпляр системы проверки подлинности Microsoft Entra.
Следующие организации Exchange по умолчанию используют бизнес-экземпляр системы проверки подлинности Microsoft Entra:
- Организации Exchange 2013 с помощью мастера включения доверия федерации и самозаверяющих сертификатов для доверия федерации.
- Организации Exchange 2010 с пакетом обновления 1 (SP1) или последующих версий с использованием мастера создания доверия федерации и самозаверяющих сертификатов для доверия федерации.
- Организации Exchange, размещенные в Microsoft 365 и Office 365.
Следующие организации Exchange по умолчанию используют экземпляр-получатель системы проверки подлинности Microsoft Entra:
- Организации RTM-версии Exchange 2010, использующие сертификаты, выданные сторонними центрами сертификации.
Мы рекомендуем всем организациям Exchange использовать бизнес-экземпляр системы проверки подлинности Microsoft Entra для доверия федерации. Перед настройкой федеративного общего доступа между двумя организациями Exchange необходимо проверить, какой экземпляр системы проверки подлинности Microsoft Entra используется каждой организацией Exchange для существующих отношений доверия федерации. Чтобы определить, какой экземпляр системы проверки подлинности Microsoft Entra используется организацией Exchange для существующего доверия федерации, выполните следующую команду оболочки.
Get-FederationInformation -DomainName <hosted Exchange domain namespace>
Бизнес-экземпляр возвращает значение
<uri:federation:MicrosoftOnline>
для параметра TokenIssuerURIs .Экземпляр-получатель возвращает значение
<uri:WindowsLiveID>
для параметра TokenIssuerURIs .Чтобы настроить федеративный общий доступ с организацией Exchange с существующим доверием федерации, использующим бизнес-экземпляр системы проверки подлинности Microsoft Entra, выполните действия, описанные в этом разделе. Эти действия необходимы для создания доверия федерации, с помощью которых можно включить федеративный общий доступ между двумя организациями Exchange 2013 или между организацией Exchange 2013 и организацией Exchange 2010, которая уже использует бизнес-экземпляр системы проверки подлинности Microsoft Entra.
Чтобы настроить федеративный общий доступ между организацией Exchange 2013 и организацией Exchange с существующим доверием федерации, использующим экземпляр-получатель системы проверки подлинности Microsoft Entra, организация Exchange, используюющая экземпляр потребителя, должна установить Exchange 2010 с пакетом обновления 2 (SP2) или более поздней версии или обновиться до Exchange 2013. Если решено установить Exchange 2010 SP2 или более поздней версии, используйте мастер создания доверия федерации, чтобы удалить и создать заново существующие федеративные домены и доверия федерации. При повторном создании доверия федерации будет использоваться бизнес-экземпляр системы проверки подлинности Microsoft Entra.
Использование EAC для создания и настройки доверия федерации
На сервере Exchange 2013 в локальной организации перейдите в разделОбщий доступ к организации>.
Щелкните Включить для запуска мастера включения доверия федерации.
После успешного завершения работы с мастером нажмите кнопку Закрыть.
В разделе Доверие федерации вкладки Общий доступ щелкните Изменить.
В разделе Домены с включенным общим доступом рядом с пунктом Шаг 1 щелкните Обзор.
В разделе Выберите обслуживаемые домены выберите основной общий домен в списке, а затем нажмите кнопку ОК.
Примечание.
Домен, который вы выберете, используется для настройки OrgID доверия федерации. Дополнительные сведения о OrgID см. в разделе Федерация.
Запишите подтверждение федеративного домена, созданное для основного общего домена. Эта строка используется, чтобы создать запись TXT для общего сервера DNS.
Важно!
Подтверждение права собственности на федеративный домен это строка алфавитно-цифровых символов. Чтобы избежать ошибок ввода, рекомендуется скопировать строку из EAC и вставить ее в текстовый редактор, например Блокнот. Вы можете скопировать ее из текстового редактора в буфер обмена, а затем вставить ее в поле Текст при создании записи TXT. Если запись TXT создается с помощью неправильной строки подтверждения федеративного домена, система проверки подлинности Microsoft Entra не сможет проверить право владения доменом, и вы не сможете добавить его в идентификатор федеративной организации.
На шаге 2 щелкните Добавить для добавления дополнительных доменов в федеративное доверие для адресов электронной почты, которые будут использоваться пользователями в вашей организации, которым требуются функции федеративного общего доступа. Например, если у вас есть пользователи, использующие поддомен в своем адресе электронной почты, например sales.contoso.com, вы добавите домен sales.contoso.com в доверие федерации.
Примечание.
Строка подтверждения федеративного домена будет создана для всех дополнительных доменов, которые вы выберете. Нужно создать отдельные записи TXT в общедоступной системе DNS для каждого дополнительного домена.
Используя строки подтверждений федеративных доменов, созданные для каждого домена, создайте записи TXT для этих доменов на общем сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.
После того, как записи TXT создаются и реплицируются, нажмите Обновить.
Использование командной консоли для создания и настройки доверия федерации
Выполните следующую команду, чтобы создать уникальный идентификатор ключа субъекта для сертификата доверия федерации:
$ski = [System.Guid]::NewGuid().ToString("N")
Используйте следующий синтаксис для создания самозаверяющего сертификата для доверия федерации:
New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
В этом примере создается самозаверяющий сертификат для доверия федерации с системой проверки подлинности Microsoft Entra. Сертификат использует понятное значение имени Exchange Federated Sharing, а значение домена извлекается из переменной среды USERDNSDOMAIN .
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
Чтобы создать доверие федерации и автоматически развернуть самозаверяющий сертификат, созданный на предыдущем шаге, на серверах Exchange в организации, используйте следующий синтаксис:
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
В этом примере создается доверие федерации с именем Microsoft Entra authentication и развертывается самозаверяющий сертификат с именем Федеративный общий доступ Exchange.
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
Используйте этот синтаксис для возврата записи TXT подтверждения владения доменом, необходимой для любого домена, который будет настроен для доверия федерации.
Get-FederatedDomainProof -DomainName <domain>
В этом примере возвращается запись TXT для подтверждения владения доменом, необходимая для основного общего домена contoso.com.
Get-FederatedDomainProof -DomainName contoso.com
Примечания.
Для каждого домена или поддомена, настроенного для доверия федерации, требуется запись TXT с подтверждением владения доменом, поэтому эту команду может потребоваться выполнить несколько раз с разными значениями DomainName .
Рекомендуется скопировать строку подтверждения домена, щелкнув правой кнопкой мыши в оболочке, выбрав Пометить, выбрав значение Proof и нажав клавишу ВВОД, чтобы использовать ее при создании записи TXT. Если создать запись TXT с неправильной строкой подтверждения федеративного домена, система проверки подлинности Microsoft Entra не сможет подтвердить владение доменом, и вы не сможете добавить ее в идентификатор федеративной организации.
Используя сведения из предыдущего шага, создайте записи TXT на общедоступном DNS-сервере в каждом домене, который будет включен в доверие федерации. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более. Продолжайте работу после проверки доступности новых записей TXT.
Важно!
Запись TXT должна быть создана для каждого домена, который является федеративной или совместно используемой. Если это гибридная среда, то все обслуживаемые домены, проверенные в Exchange Online, должны иметь записи TXT.
Выполните следующую команду, чтобы получить метаданные и сертификат из Идентификатора Microsoft Entra:
Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
Используйте этот синтаксис, чтобы настроить основной общий домен для доверия федерации, созданного на шаге 3. Указанный домен будет использоваться для настройки идентификатора организации (OrgID) для доверия федерации. Дополнительные сведения о OrgID см. в разделе Идентификатор федеративной организации.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
В этом примере используется настройка принятого домена contoso.com в качестве основного общего домена для доверия федерации с именем проверки подлинности Microsoft Entra.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
Чтобы добавить другие домены в доверие федерации, используйте следующий синтаксис:
Add-FederatedDomain -DomainName <AdditionalDomain>
В этих примерах sales.contoso.com поддомена добавляется в федеративное доверие, так как пользователям с адресами электронной почты в домене sales.contoso.com требуются функции федеративного общего доступа.
Add-FederatedDomain -DomainName sales.contoso.com
Помните, что для любого домена или поддомена, добавляемого к доверию федерации, требуется запись TXT для подтверждения владения доменом.
Подробные сведения о синтаксисе и параметрах см. в разделах New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier и Add-FederatedDomain.
Как проверить, все ли получилось?
Успешное завершение мастеров включения доверия федерации и доменов с включенным общим доступом является первым указанием на то, что доверие федерации настроено должным образом.
Для дополнительной проверки того, что вы успешно создали и настроили доверие федерации, выполните следующие действия:
Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.
Get-FederationTrust | Format-List
Замените <PrimarySharedDomain> основным общим доменом и выполните следующую команду оболочки, чтобы убедиться, что сведения о федерации можно получить из вашей организации.
Get-FederationInformation -DomainName <PrimarySharedDomain>
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-FederationTrust и Get-FederationInformation.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы в Exchange Server.