Общие сведения о федеративном общем доступе

  • Статья

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-01-21

Сотрудникам, работающим с данными, часто необходимо взаимодействовать с партнерами, клиентами, поставщиками или другими группами, находящимися за пределами организации Exchange. Для эффективного сотрудничества пользователям может потребоваться обмениваться сведениями о доступности (занятости) для планирования собраний или (в зависимости от характера сотрудничества) данными календаря. Также может потребоваться обмен контактами с внешними получателями. В Microsoft Exchange Server 2010 федеративный общий доступ позволяет решить эти задачи. 

Необходимы сведения о задачах управления, связанных с федеративным общим доступом? См. раздел Управление федеративным общим доступом.

Содержание

Сотрудничество до установки Exchange 2010 и федеративный общий доступ

Федеративный общий доступ

Требования к брандмауэру для федеративного общего доступа

Сосуществование с Exchange 2007

Установка организационной связи и политики общего доступа

Сотрудничество до установки Exchange 2010 и федеративный общий доступ

В более ранних версиях Exchange функции общего доступа были ограничены и требовали сложной настройки и обслуживания. Например, чтобы обмениваться сведениями о доступности с пользователями другой организации Exchange, необходимо использовать средство репликации между организациями для репликации общих папок между организациями Exchange. В процессе репликации необходимо создать Active Directory доверие между организациями, а также управлять учетными данными учетной записи службы.

В организациях используются различные средства, позволяющие отображать получателей в списках адресов Exchange, например средство GALSync, выполняющее синхронизацию получателей между двумя организациями. Настройка доверия, управление учетными данными и репликация на несколько внешних организаций представляли сложность. При создании доверия леса или домена Active Directory или управлении учетными данными также необходимо принимать во внимание факторы безопасности. Требовалось также открывать дополнительные порты в брандмауэрах между двумя организациями или устанавливать виртуальную частную сеть (VPN).

Благодаря внедрению веб-служб Exchange, службы доступности и роли сервера клиентского доступа в Exchange Server 2007 репликация сведений о занятости из общих папок не требовалась. Тем не менее, для обеспечения доступа к сведениям о занятости во внешних организациях все еще требовалась репликация сведений о доверии, учетных данных и глобальных списков адресов. Дополнительные сведения см. в статье Инструкции по настройке службы доступности в топологии перекрестного леса.

При установке общего доступа к папкам «Календарь» и «Контакты» необходимо было назначить пользователям в доверенных организациях разрешения на доступ к этим папкам. Для этого требовалось создать доверие Active Directory между двумя организациями, принимающими во внимание факторы безопасности.

В начало

Федеративный общий доступ

Федеративный общий доступ в Exchange 2010 позволяет пользователям обмениваться данными с получателями во внешних федеративных организациях благодаря созданию организационных связей между двумя организациями Exchange 2010 или использованию политики общего доступа, а также создавать отношения общего доступа на индивидуальном уровне. Федеративный общий доступ использует шлюз Microsoft Federation Gateway — службу облака, предоставляемую корпорацией Microsoft, — в качестве брокера доверия между двумя федеративными организациями. В организациях, между которыми необходимо выполнять обмен данными, требуется установить только одно доверие с помощью шлюза Microsoft Federation Gateway. Дополнительные сведения см. в статье Шлюз Microsoft Federation Gateway.

Важно!

При отключении идентификатора федеративной организации для организации Exchange 2010 все функции федерации будут отключены в организации.

Сведения о доверии федерации см. в разделе Общие сведения о федерации. Дополнительные сведения о создании доверия федерации см. в разделе Создание доверия федерации. Дополнительные сведения о настройке идентификатора федеративной организации см. в разделе Управление федерацией.

Федеративный общий доступ предоставляет два способа обмена данными с получателями во внешних организациях: организационные связи и политики общего доступа.

Организационные связи

С помощью организационной связи можно установить отношение федеративного общего доступа с другой федеративной организацией для обмена сведениями о доступности (занятости) или включения федеративной доставки электронной почты. Организационные связи — это двусторонние отношения между организациями. Вместо сложной настройки доверия леса или домена Active Directory между двумя организациями (которая может также требовать открытия нескольких портов в брандмауэрах в обеих организациях или установки виртуальной частной сети) необходимо только установить одно доверие федерации с помощью шлюза Microsoft Federation Gateway и настроить идентификатор федеративной организации.

Требования для организационных связей

Ниже приведены требования для организационных связей.

  • В организации Exchange существует сервер клиентского доступа Exchange 2010.
  • Создано доверие федерации.
  • Настроен идентификатор федеративной организации. Домены, используемые для создания адресов электронной почты пользователей, добавлены в идентификатор организации.
  • В каждой из двух организаций существует организационная связь.
  • Пользователи Office Outlook 2007 не могут указывать SMTP-адреса внешних получателей для отображения сведений о доступности. Пользователей необходимо выбирать в глобальном списке адресов, который требуется синхронизировать с глобальным списком адресов во внешней организации. Пользователи Outlook 2007 с почтовыми ящиками на серверах почтовых ящиков Exchange 2007 с пакетом обновления 2 (SP2) могут использовать Office Outlook Web Access на сервере клиентского доступа Exchange 2007 с пакетом обновления 2 (SP2).

Создание организационных связей

После создания организационной связи с внешней организацией ее пользователи могут получать доступ к сведениям о доступности пользователей вашей организации. Это позволяет внешним пользователям планировать собрания с пользователями вашей организации. Не требуется репликация сведений глобального списка адресов. С помощью этой конфигурации пользователи Outlook 2010 и Office Outlook Web App могут просто вводить SMTP-адрес внешнего получателя при планировании собраний.

Чтобы пользователи определенной организации могли получать сведения о доступности пользователей внешней организации или чтобы включить односторонний обмен сведениями о их доступности с внешней организацией, администратору внешней организации необходимо создать организационную связь с этой организацией. Тем не менее, при создании организационной связи администратор внешней организации может запретить обмен сведениями о доступности пользователей своей организации с пользователями вашей организации (например, при необходимости использовать такую связь только для федеративной доставки).

Dd638083.note(ru-ru,EXCHG.140).gifПримечание.
Чтобы запретить обмен данными о своей занятости с другими пользователями, пользователи могут изменить запись «Разрешение по умолчанию» в приложении Outlook. Для этого необходимо перейти на вкладку Свойства календаря > Разрешения, выбрать разрешение По умолчанию, а затем в списке Уровень разрешений выбрать значение Нет. Сведения о занятости не будут отображаться для внутренних и внешних пользователей даже при существовании организационной связи с внешней организацией. Организационная связь учитывает установленные пользователем разрешения.

После создания организационной связи с внешней организацией можно указать пользователей, сведениями о доступности которых необходимо обмениваться с этой внешней организацией. Например, чтобы обеспечить взаимодействие пользователей финансового отдела вашей организации с пользователями внешней организации, можно выбрать группу рассылки «Финансы». Сведения о доступности пользователей вашей организации, являющихся участниками выбранной группы рассылки, будут отображаться для всех пользователей внешней организации. Внешняя организация также может создать организационную связь с вашей организацией и указать пользователей, сведения о доступности которых будут отображаться для пользователей вашей организации.

При создании организационной связи Exchange 2010 подключается к веб-службе автообнаружения, опубликованной внешней организацией, чтобы получить конечную точку службы доступности. Можно также указать вручную конечную точку службы доступности внешней организации при создании связи.

Чтобы создать организационную связь с внешней организацией, можно использовать мастер создания организационной связи в консоли управления Exchange или командлет New-OrganizationRelationship в командной консоли Exchange.

Дополнительные сведения о создании организационной связи см. в разделе Создание организационного отношения.

Политики общего доступа

Политики общего доступа позволяют пользователям обмениваться данными календаря и контактными данными с пользователями внешних федеративных организаций. Политика общего доступа — это устанавливая пользователем на индивидуальном уровне политика. Пользователи могут указать пользователей внешней организации, с которыми необходимо обеспечить взаимодействие. С помощью Outlook 2010 или Outlook Web App пользователь может пригласить внешних получателей для общего доступа к папкам «Календарь» или «Контакты». С помощью политик общего доступа можно управлять доменами, с которыми обмениваются данными пользователи вашей организации, а также объемом этих данных. При необходимости можно отключить политику общего доступа пользователя или группы.

Политики общего доступа назначаются пользователям почтовых ящиков. Политика общего доступа по умолчанию разрешает обмен сведениями о доступности со всеми внешними доменами. После создания доверия федерации с помощью шлюза Microsoft Federation Gateway и настройки идентификатора федеративной организации пользователи могут отправлять приглашения на обмен сведениями о доступности пользователям любой внешней организации.

Важно!

Чтобы участвовать в федеративном общем доступе, организации внешнего пользователя также необходимо установить доверие федерации с помощью шлюза Microsoft Federation Gateway и настроить идентификатор федеративной организации.

Политики общего доступа содержат пары имен доменов и действия общего доступа, разрешенные для пользователей домена. Можно указать следующие действия, применяемые к внешнему домену, указанному в политике общего доступа (как показано на следующем рисунке).

  • Общий доступ к календарю (только сведения о занятости)
  • Общий доступ к календарю (сведения о занятости, тема и местоположение)
  • Общий доступ к календарю (сведения о занятости, тема, местоположение и текст)
  • Общий доступ к контактам
  • Общий доступ к календарю (только сведения о занятости), общий доступ к контактам
  • Общий доступ к календарю (сведения о занятости, тема и местоположение), общий доступ к контактам
  • Общий доступ к календарю (сведения о занятости, тема, местоположение и текст), общий доступ к контактам

Действия общего доступа к календарю
Создание политики общего доступа

При создании приглашения на общий доступ пользователи могут выбрать сведения, которыми необходимо обмениваться, если это действие разрешено в политике общего доступа пользователя. Например, пользователь создает политику общего доступа со следующими параметрами:

  • Общий доступ к календарю (сведения о занятости, тема и местоположение) для внешних пользователей в домене Fabrikam.com;
  • Общий доступ к календарю (только сведения о занятости) для внешних пользователей во всех других доменах (представленных символом «звездочкой» [*]).

Пользователи, к которым применяется эта политика, могут обмениваться только сведениями о доступности или некоторыми дополнительными сведениями (при приглашении пользователей Fabrikam.com).

Дополнительные сведения о создании политики общего доступа см. в разделе Создание политики общего доступа.

Дополнительные сведения о применении политики общего доступа к пользователям см. в разделе Применение политики общего доступа к почтовым ящикам.

Требования для политик общего доступа

Ниже приведены требования для политик общего доступа.

  • В организации Exchange существует сервер клиентского доступа Exchange 2010.
  • Создано доверие федерации.
  • Настроен идентификатор федеративной организации. Домены, используемые для создания адресов электронной почты пользователей, добавлены в идентификатор организации.
  • Почтовые ящики пользователей расположены на серверах почтовых ящиков Exchange 2010.
  • Только пользователи Outlook 2010 и Outlook Web App могут создавать приглашения на общий доступ.

Сравнение организационных связей и политик общего доступа

Несмотря на то что организационные связи и политики общего доступа позволяют обмениваться сведениями о доступности с внешними пользователями, они используются в различных сценариях. Организационные связи создаются для сотрудничества с внешними организациями и обеспечивают федеративную доставку электронной почты между двумя организациями. Политики общего доступа определяют, какими сведениями пользователи организации могут обмениваться с пользователями внешних организаций, в том числе организаций, с которыми не установлена организационная связь.

В следующей таблице показаны различия между организационной связью и политикой общего доступа.

Сравнение организационной связи и политики общего доступа

Функция Организационная связь Политика общего доступа

Требует доверия федерации для вашей организации

Да

Да

Рекомендуется, чтобы внешний домен был федеративным

Да

Да

Разрешает обмен сведениями о доступности (включая тему и местоположение) с внешними организациями для всех или определенных пользователей

Да

Нет

Разрешает общий доступ к папкам календаря (только сведения о доступности)

Нет

Да

Разрешает общий доступ к папкам календаря (сведения о доступности, тема и текст)

Нет

Да

Разрешает общий доступ к контактам

Нет

Да

Требует отправки пользователями приглашения на общий доступ внешним получателям

Нет

Да

Разрешает федеративную доставку

Да

Нет

Предоставляет способ доступа

Внутренний сервер клиентского доступа подключается к серверу клиентского доступа внешней организации и получает сведения о доступности для внешнего пользователя при запросе.

Внутренний сервер клиентского доступа подключается к серверу клиентского доступа внешней организации и выполняет подписку на данные календаря и контактные данные внешнего пользователя.

Применяется для всех внешних доменов

Нет (двустороннее отношение между организациями Exchange 2010)

Да

Предоставляет пользователям возможность выбора для общего доступа различных внешних пользователей

Нет

Да (на основе применяемой политики общего доступа)

Отключает общий доступ для некоторых пользователей

Да (необходимо указать группу безопасной рассылки для организационной связи)

Да (необходимо отключить применяемую политику общего доступа)

Требует, чтобы почтовый ящик располагался на сервере почтовых ящиков Exchange 2010

Нет

Да

В начало

Требования к брандмауэру для федеративного общего доступа

Чтобы использовать функции федеративного общего доступа, необходимо настроить для серверов клиентского доступа в организации исходящий доступ в Интернет с помощью протокола HTTPS. Необходимо разрешить исходящий доступ по протоколу HTTPS (порт 443 для TCP) для всех серверов клиентского доступа Exchange 2010 в организации.

Чтобы разрешить внешней организации получать доступ к сведениям о доступности пользователей вашей организации, необходимо опубликовать один сервер клиентского доступа в Интернете. Для этого требуется настройка для сервера клиентского доступа исходящего доступа в Интернет с помощью протокола HTTPS. Серверы клиентского доступа на сайтах Active Directory, на которых не опубликован сервер клиентского доступа в Интернете, могут использовать серверы клиентского доступа на других сайтах Active Directory, которые доступны в Интернете. Серверы клиентского доступа, которые не опубликованы в Интернете, должны иметь внешний URL-адрес виртуального каталога веб-служб, настроенного с помощью URL-адреса, отображаемого для внешних организаций.

В начало

Сосуществование с Exchange 2007

В организации, включающей в себя серверы Exchange 2010 и Exchange 2007, пользователи, имеющие почтовые ящики на сервере почтовых ящиков Exchange 2007, могут использовать организационные связи. На сервере почтовых ящиков должна быть установлена система Exchange 2007 с пакетом обновления 2 (SP2), а также требуется существование по крайней мере одного сервера клиентского доступа Exchange 2010 в организации Exchange. Чтобы использовать организационные связи, можно развернуть один сервер клиентского доступа Exchange 2010 в организации. Такое решение будет более отказоустойчивым по сравнению с решениями, требующими синхронизации сведений о доступности и глобальных списков адресов.

При использовании Outlook 2010 или Outlook Web Access для планирования собрания на сервере Exchange 2007 пользователь почтового ящика на сервере Exchange 2007 может просматривать сведения о доступности пользователя внешней организации. Сведения о доступности для почтовых ящиков Exchange 2007 отображаются для получателей во внешней организации.

Политики общего доступа назначаются пользователям почтовых ящиков Exchange 2010. Политики общего доступа можно использовать только для почтового ящика, размещенного на сервере почтовых ящиков Exchange 2010. Только пользователи Outlook 2010 и Outlook Web App могут создавать и принимать приглашения на общий доступ.

В начало

Установка организационной связи и политики общего доступа

В этом примере пользователь является администратором компании Contoso, Ltd. Эта организация заключила соглашение с компанией Fabrikam, Inc. по разработке совместно выпускаемого и реализуемого продукта. В целях сотрудничества этих организаций пользователи в отделах маркетинга и разработки обеих компаний должны обмениваться сведениями о доступности. Такое сотрудничество не должно доставлять затруднения пользователям.

Компания Contoso также сотрудничает с компанией Litware, Inc. В этом сотрудничестве принимает участие только ограниченная небольшая группа пользователей. Пользователям обеих организаций требуется установить между собой организационные связи. Необходимо разрешить общий доступ к сведениям о доступности контактов и календаря. Необходимо запретить общий доступ к другим сведениям календаря.

Для получения общего доступа не требуется:

  • создавать доверие леса или домена Active Directory;
  • обмениваться учетными данными между организациями;
  • устанавливать виртуальную частную сеть между организациями.

В этом сценарии выполните следующие шаги.

  1. Создайте доверие федерации с помощью шлюза Microsoft Federation Gateway (если оно не создано). Эту процедуру необходимо выполнить однократно, чтобы использовать функции федерации Exchange 2010. Чтобы выполнить эту процедуру, необходимо использовать сертификат X.509, выданный центром сертификации, которому доверяет шлюз Microsoft Federation Gateway. Дополнительные сведения см. в разделе Создание доверия федерации.
  2. Настройте идентификатор федеративной организации (если он не настроен). Чтобы выполнить эту процедуру, необходимо добавить обслуживаемые домены организации, для которых необходимо включить функции федерации, в идентификатор организации. Эту процедуру необходимо выполнить однократно, чтобы использовать функции федерации Exchange 2010. Дополнительные сведения см. в разделе Управление федерацией.
  3. Создайте организационную связь с компанией Fabrikam, Inc. Дополнительные сведения см. в разделе Создание организационного отношения. Выполните следующие действия.
    • Чтобы проверить, установлена ли федерация в компании Fabrikam, используйте командлет Get-FederationInformation.
    • Выберите группу рассылки, включающую в себя участников из отделов маркетинга и разработки. Сведения о доступности этих пользователей будут отображаться для пользователей компании Fabrikam.
  4. Чтобы разрешить пользователям обеих организаций просматривать сведения о доступности, администратору компании Fabrikam, Inc. необходимо также создать организационную связь с организацией Contoso.
  5. Создайте политику общего доступа для пользователей, которым необходимо взаимодействовать с пользователями домена Litware.com. Дополнительные сведения см. в разделе Создание политики общего доступа. Выполните следующие действия.
    • Добавьте домен Litware.com в политику общего доступа.
    • Выберите для политики действие Общий доступ к календарю (только сведения о занятости), общий доступ к контактам.
    • Назначьте эту политику пользователям в организации Contoso, которым необходимо взаимодействовать с пользователями компании Litware. Дополнительные сведения см. в разделе Применение политики общего доступа к почтовым ящикам.

После создания организационной связи с компанией Fabrikam, Inc. и политики общего доступа для компании Litware, Inc. будут доступны следующие функции.

  • Все пользователи смогут просматривать сведения о доступности пользователей отделов маркетинга и разработки компании Fabrikam.
  • Пользователи компании Contoso, к которым применена новая политика общего доступа, смогут отправлять приглашения на общий доступ пользователям компании Litware, Inc.

В начало