管理联合信任

适用于： Exchange Server 2013

联合信任在 Microsoft Exchange 2013 组织和 Microsoft Entra 身份验证系统之间建立信任关系，并支持与其他联合 Exchange 组织进行联合共享。 创建联合身份验证信任之后，通常不必对其进行管理或修改。 但是，在某些情况下可能需要添加或删除联盟域，或是重置用于为联合身份验证信任配置组织标识符 (OrgID) 的域。

注意

修改现有的联合信任，尤其是用于定义 OrgID 的主共享域，可能会中断联合 Exchange 组织之间的联合共享，或者对于具有 Microsoft 365 或 Office 365 组织的混合部署。

有关与联合身份验证相关的其他管理任务，请参阅 联合过程。

重要

Exchange Server 2013 的此项功能与由世纪互联在中国运营的 Office 365 不完全兼容，可能需要遵循一些功能限制。 有关详细信息，请参阅了解由世纪互联运营的 Office 365。

开始前，有必要了解什么？

• 估计完成时间：30 分钟。

• 你必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 Exchange 和 Shell 基础结构权限主题中的联合身份验证和证书权限条目。

• 需要针对添加到联合身份验证信任的每个新联盟域，将一条 TXT 记录添加到公用 DNS。 查看向托管公用 DNS 记录的组织添加 TXT 记录的要求。

• 针对本主题的用途，使用以下设置配置了一个现有联合身份验证信任：

  • Contoso.com 是联合信任的主要共享域。 (此域不会更改。)

  • 联盟域“service.contoso.com”和“sales.contoso.com”包含在现有联合身份验证信任中。

  • “Marketing.contoso.com”是 Exchange 组织中的接受域。

• 本主题还涉及其他联合身份验证管理任务，如查看和管理用于联合身份验证信任的证书，以及在命令行管理程序中查看联合身份验证信任参数信息。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

使用 EAC 管理联合身份验证信任

1. 在本地组织中的 Exchange 2013 服务器上，导航到 “组织>共享”。

2. 在“联合身份验证信任”部分中，单击“修改”。

3. 在 “已启用共享的域”中，跳过 步骤 1 ，因为主共享域未更改。

4. 在 步骤 2 中，选择 service.contoso.com 域，然后单击“ 删除 若要从联合信任中删除域，则为 。

5. 在 步骤 2 中，单击“ 添加。

6. 在“选择接受域”中，从接受域列表中选择“marketing.contoso.com”，然后单击“确定”以将该域添加到联合身份验证信任中。

   重要

   系统将为“marketing.contoso.com”域创建一个联盟域证明字符串。 必须为此域在公用 DNS 上创建单独的 TXT 记录。

7. 通过使用为“marketing.contoso.com”域创建的联盟域证明字符串，在公用 DNS 服务器上创建一个 TXT 记录。 根据公用 DNS 主机的更新计划，DNS 更改的复制可能需要 15 分钟或更久。

8. 在创建并复制该 TXT 记录之后，单击“更新”。

使用命令行管理程序管理联合身份验证信任

1. 本示例从联合身份验证信任中删除 service.contoso.com 域。

   Remove-FederatedDomain -DomainName service.contoso.com
   

2. 本示例将 marketing.contoso.com 域添加到联合身份验证信任。

   Add-FederatedDomain -DomainName marketing.contoso.com
   

有关语法和参数的详细信息，请参阅 Remove-FederatedDomain 和 Add-FederatedDomain。

运行以下命令行管理程序命令以管理联合身份验证信任的其他方面：

1. 查看联盟 OrgID 和联盟域

   本示例将显示 Exchange 组织的联盟 OrgID 和相关信息，包括联盟域和状态。

   Get-FederatedOrganizationIdentifier
   

2. 查看联合身份验证信任证书

   此示例显示联合身份验证信任“Microsoft Entra 身份验证”使用的上一个证书、当前证书和下一个证书。

   Get-FederationTrust "Azure AD authentication" | Select Org*certificate
   

3. 检查联合身份验证证书状态

   本示例将显示组织中所有邮箱和客户端访问服务器上的联合身份验证证书的状态。

   Test-FederationTrustCertificate
   

4. 配置联合身份验证信任以使用某证书作为下一个证书

   此示例配置联合身份验证信任“Microsoft Entra 身份验证”，以将证书与提供的指纹一起使用作为下一个证书。 将证书部署到组织中所有 Exchange 服务器上之后，可以使用 PublishCertificate 开关配置联合身份验证信任，以将此证书用作当前证书。

   Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
   

5. 配置联合身份验证信任，以将下一个证书用作当前证书

   本示例将联合身份验证信任Microsoft Entra 身份验证配置为使用下一个证书作为当前证书，并将其发布到 Microsoft Entra 身份验证系统。

   Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
   

   警告

   在将联合身份验证信任配置为将下一个证书用作当前联合身份验证证书之前，请确保已在组织中的所有 Exchange 服务器上部署了该证书。 使用 Test-FederationTrustCertificate cmdlet 可检查此证书的部署状态。

6. 从 Microsoft Entra 身份验证系统刷新联合元数据和证书

   此示例刷新 Microsoft Entra 身份验证系统的联合元数据和证书，以使用联合身份验证信任Microsoft Entra 身份验证。

   Set-FederationTrust "Azure AD authentication" -RefreshMetadata
   

有关语法和参数的详细信息，请参阅下列主题：

• Get-FederatedOrganizationIdentifier

• Get-FederationTrust

• Test-FederationTrustCertificate

• Set-FederationTrust

注意

如果租户托管在 Office 365 美国政府 GCC High 或 DoD 环境中，还有其他注意事项。 在这些环境中，必须使用不同的 MetadataUrl 参数值在本地 Exchange 环境中运行 Set-FederationTrust cmdlet。 有关详细信息 ，请参阅 Set-FederationTrust 。

如何知道操作成功？

成功完成“启用共享的域”向导初步表示，按预期配置了联合身份验证信任。

若要进一步验证是否成功，请执行下列操作：

1. 运行以下命令行管理程序命令以验证联合身份验证信任信息。

   Get-FederationTrust | format-list
   

2. 运行以下命令行管理程序命令以验证是否可以从组织检索联合身份验证信息。 例如，验证 domainNames 参数中是否返回了 sales.contoso.com 和 marketing.contoso.com 域。

   Get-FederationInformation -DomainName <your primary sharing domain>
   

提示

是否有任何疑问？ 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 上的论坛。