了解联合委派
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
信息工作者经常需要与合作伙伴、客户、供应商或其 Exchange 组织外部的其他联系人进行协作。若要实现有效的跨组织协作,用户可能需要共享其闲/忙(也称为“日历可用性”)信息以便安排会议。根据业务关系的性质,用户可能需要共享更详细的日历信息。同样,用户可能还需要与这些外部收件人共享他们的联系人。在 Microsoft Exchange Server 2010 中,联合委派有助于实现这些目标。
要查找与联合委派相关的管理任务吗?请参阅管理联合字符串。
目录
Exchange 2010 和联合委派之前的协作
联合委派
联合委派的防火墙注意事项
与 Exchange 2007 共存
与 Exchange 2003 共存
建立组织关系和共享策略
Exchange 2010 和联合委派之前的协作
早期版本的 Exchange 具有有限的共享功能,且需要复杂的设置和持续的维护。例如,要与另一个 Exchange 组织中的用户共享可用性信息,您必须在各 Exchange 组织间使用组织间复制工具复制公用文件夹。此过程需要在两个组织之间创建 Active Directory 信任,以及管理服务帐户凭据。
许多组织使用不同的工具(如 GALSync)将某个组织的收件人与其他组织同步,使得 Exchange 地址列表中的收件人可见。建立信任、管理凭据以及复制多个外部组织的操作都十分困难和繁琐。在创建 Active Directory 林或域信任及凭据管理中也存在安全隐患。还需要在两个组织间的防火墙上开放其他端口或建立虚拟专用网络 (VPN)。
引入 Exchange Web 服务、可用性服务以及 Exchange Server 2007 中的客户端访问服务器角色后,便不再需要复制公用文件夹的忙/闲数据。但是,信任或凭据信息以及全局地址列表 (GAL) 同步对于外部组织获取忙/闲信息来说仍是十分必要的。
对“日历”文件夹或“联系人”文件夹的共享也涉及到为受信任的组织中的用户分配访问文件夹的权限。实现此共享的唯一方法是在两个组织间创建 Active Directory 信任,而其中存在其他安全隐患。
有关详细信息,请参阅如何跨林拓扑配置可用性服务。
Exchange 2010 和联合委派之前的协作
联合委派
使用 Exchange 2010 中的联合委派,用户可以通过在 Exchange 2010 组织之间建立联合身份验证信任和创建组织关系,与外部联盟组织中的收件人共享信息。组织还可以使用共享策略来允许用户创建与其他组织中收件人的各种共享关系。联合委派使用 Microsoft 联合身份验证网关(一种基于 Microsoft 云的服务)作为两个联盟组织间的信任代理。若要启用联合委派,要在其间共享信息的组织只需与 Microsoft 联合身份验证网关建立一次性联合身份验证信任,并配置相互之间的组织关系或共享策略。
.gif "重要") 重要说明: |
|---|
| 如果禁用了您所在 Exchange 2010 组织的联盟组织标识符,则您所在组织的所有联合功能都将被禁用。 |
若要了解有关 Microsoft 联合身份验证网关和联合身份验证信任的详细信息,请参阅以下部分:
联合委派为用户提供了两种方式,用于与外部收件人共享日历和联系人信息:组织关系和共享策略。
组织关系
组织关系使您可以实现与其他联盟组织之间的联合委派,以便在两个组织的用户之间共享日历忙/闲信息。组织关系为两个组织之间一对一的关系。两个组织只需要在配置相互之间的组织关系之前,与 Microsoft 联合身份验证网关建立单个联合身份验证信任并配置其联盟组织标识符,而不需要在两者之间进行复杂的 Active Directory 林或域信任配置(该配置可能还需要在两个组织的防火墙上打开多个端口或需要建立一个 VPN)。
对组织关系的要求
组织关系需要满足以下要求:
每个 Exchange 2010 组织中都存在一个 Exchange 客户端访问服务器。
每个 Exchange 组织都与 Microsoft Federation Gateway 网关创建了联合身份验证信任。
每个 Exchange 组织都配置了联盟组织标识符。用于生成用户的电子邮件地址的域已添加到组织标识符中。
每个相应的组织中存在组织关系。
托管用户邮箱的邮箱服务器可以访问 Microsoft 联合网关服务器以及联合的合作伙伴组织 CAS 服务器。
.gif "注释") 注意: |
|---|
| Office Outlook 2007 用户无法指定外部收件人的 SMTP 地址来显示可用性信息。必须从 GAL 中选取收件人,这需要让 GAL 与外部组织同步。拥有 Outlook 2007 Service Pack 2 (SP2) 邮箱服务器上的邮箱的 Exchange 2007 用户可以使用 Office Outlook Web Access SP2 客户端访问服务器上的 Exchange 2007。 |
创建组织关系
与外部组织创建组织关系时,外部组织中的用户可以访问您的用户的忙/闲信息。不需要复制 GAL 信息。有了此配置,Outlook 2010 和 OfficeOutlook Web App 用户在安排会议时,只需输入外部收件人的 SMTP 地址。
创建组织关系时,您可以指定以下三种日历可用性访问级别之一:
无忙/闲访问
仅与时间有关的忙/闲访问
与时间、主题和位置有关的忙/闲访问
外部组织中的管理员必须也与您的组织创建组织关系,以便您所在组织中的用户能够访问外部用户的忙/闲信息或允许与外部组织单向共享其忙/闲信息。但是,外部管理员为其用户指定的访问级别可以与您指定的级别不同。在单向共享示例中,外部管理员会配置其组织关系,使其用户的忙/闲信息不会与您所在组织中的用户共享,但是对于基于您组织关系设置的外部组织中的用户,您的用户的忙/闲信息是可见的。
| 注意: |
|---|
| 如果用户不希望与其他用户共享其忙/闲信息,可修改 Outlook 中的“默认”权限条目。为此,用户应导航到“日历属性”>“权限”选项卡,选择“默认”权限,然后从“权限级别”列表中选择“无”。忙/闲信息对内部或外部用户不可见,即使和外部组织存在组织关系。组织关系接受用户设置的权限。 |
创建组织关系时,Exchange 2010 将连接到外部组织发布的 Autodiscover Web 服务,以获得可用性服务终结点。也可在创建关系时手动指定外部组织的可用性服务终结点。
若要与外部组织创建组织关系,可使用 Exchange 管理控制台 (EMC) 中的新建组织关系向导,或使用 Exchange 命令行管理程序中的 New-OrganizationRelationship cmdlet。
有关如何创建组织关系的详细说明,请参阅创建组织关系。
共享策略
与组织关系不同(通过这种关系只能与其他联盟 Exchange 组织中的收件人共享忙/闲信息),共享策略可使用户建立与不同类型外部用户的日历和联系人信息的人员对人员共享。共享策略允许您的用户与其他外部联盟组织中的收件人共享其忙/闲和联系人信息(包括“日历”和“联系人”文件夹)。对于不在外部联盟组织的收件人或非 Exchange 组织中的收件人,共享策略允许通过使用 Internet 日历发布与匿名用户进行日历信息的人员对人员共享。
借助共享策略,您将无需管理用户的协作关系。而是由他们决定要进行协作的外部收件人。通过使用 Outlook 2010 或 Outlook Web App,用户可以邀请其他联盟域中的外部收件人访问其“日历”或“联系人”文件夹,并请求这些收件人反过来共享他们的“日历”或“联系人”文件夹。用户还可以向具有 Internet 访问权限的任何个人授予对其日历信息的匿名访问权限。借助共享策略,您只需控制他们可以与其共享信息的用户类型以及可以共享的信息量。如有必要,还可禁用用户或组的共享策略。
为邮箱用户分配共享策略。应用于用户的默认共享策略允许与所有的外部联盟域共享可用性信息。与 Microsoft 联合网关创建联合身份验证信任并配置联盟组织标识符后,用户可以邀请任何外部联盟组织中的用户共享其日历和联系人信息。
| 重要说明: |
|---|
| 若要参与联合委派,外部用户所在的组织还必须拥有与 Microsoft 联合身份验证网关建立的联合身份验证信任,同时需配置联盟组织标识符。 |
若要允许非联盟域组织中的收件人(如非 Exchange 组织中的家庭成员、朋友或用户)访问用户的日历,应创建单独的共享策略,以允许使用 Internet 日历发布进行匿名日历访问。有关详细信息,请参阅 启用 Internet 日历发布。
共享策略可以包含多对域名以及允许来自这些域的用户进行的共享操作。如下图所示,可指定以下操作应用于共享策略中指定的外部域:
仅包含忙/闲信息的日历共享
包含忙/闲信息以及主题和位置的日历共享
包含忙/闲信息以及主题、位置和正文的日历共享
联系人共享
仅包含忙/闲信息的日历共享,联系人共享
包含忙/闲信息以及主题和位置的日历共享,联系人共享
包含忙/闲信息以及主题、位置和正文的日历共享,联系人共享
日历共享操作
创建共享邀请时,您的用户可选择想要共享的信息,只要用户的共享策略允许此操作。例如,假设您为 Fabrikam 和其他联盟域组织创建的共享策略具有以下设置:
“包含忙/闲信息以及主题和位置的日历共享”适用于 Fabrikam.com 中的外部用户
“仅包含忙/闲信息的日历共享”适用于其他所有联盟域组织(通过星号 [*] 符号表示)的外部用户
应用了此策略的用户可以与其他联盟域组织共享其日历忙/闲信息,也可以在从 Fabrikam.com 邀请用户时共享其他有限的详细信息。
有关如何创建共享策略的详细信息,请参阅创建共享策略。
有关如何将共享策略应用于用户的详细信息,请参阅将共享策略应用于邮箱。
对联合共享策略的要求
联盟域组织之间的共享策略需要满足以下要求:
每个 Exchange 2010 组织中都存在一个 Exchange 客户端访问服务器。
每个 Exchange 组织都与 Microsoft Federation Gateway 网关创建了联合身份验证信任。
每个 Exchange 组织都配置了联盟组织标识符。用于生成用户的电子邮件地址的域已添加到组织标识符中。
用户邮箱位于每个 Exchange 组织的 Exchange 2010 邮箱服务器上。
仅 Outlook 2010 和 Outlook Web App 用户可创建共享邀请。
对非联合共享策略的要求
与非联盟域组织或单个匿名访问之间的共享策略需要满足以下要求:
共享用户的日历信息的 Exchange 2010 组织中存在 Exchange 客户端访问服务器。
用户邮箱位于共享用户的日历信息的 Exchange 2010 组织的 Exchange 邮箱服务器上。
必须为 Outlook Web App 访问启用客户端访问服务器。
比较组织关系和共享策略
尽管组织关系和共享策略都允许与外部用户共享忙/闲信息,但它们适合于不同的方案。组织关系的创建是为了与外部联盟组织进行协作,仅限于共享忙/闲信息。共享策略控制您的用户可以与外部联盟组织、非联盟 Exchange 组织、非 Exchange 组织中的用户以及匿名用户共享的日历和联系人信息。
下表列出了组织关系与共享策略之间的差异。
组织关系与共享策略
| 功能 | 组织关系 | 共享策略 |
|---|---|---|
您的组织是否需要联合身份验证信任 |
是 |
是(当与其他联盟域组织共享时)。对于 Internet 共享策略不是必需的。 |
是否建议联合外部域 |
是 |
是(当与其他联盟域组织共享时)。对于 Internet 共享策略不是必需的。 |
是否允许为一组多个用户与外部组织共享忙/闲信息(包括主题和位置)。 |
是 |
否 |
是否允许共享包含忙/闲信息的“日历”文件夹 |
否 |
是 |
是否允许共享包含忙/闲信息(包括主题和正文)的“日历”文件夹 |
否 |
是 |
是否允许共享联系人 |
否 |
是(当与其他联盟域组织共享时)。对于 Internet 共享策略不是必需的。 |
是否需要用户向外部收件人发送共享邀请 |
否 |
是 |
是否提供了访问方法 |
您的客户端访问服务器可访问外部组织的客户端访问服务器,并在请求时检索外部用户的忙/闲信息。 |
您的客户端访问服务器可访问外部组织的客户端访问服务器,并为联盟域组织订阅外部用户的“日历”或“联系人”文件夹。对于 Internet 共享策略,外部用户可访问客户端访问服务器上的受限或公用 URL。 |
是否可以应用于所有外部域 |
否(两个 Exchange 2010 组织之间存在的一对一关系) |
是 |
是否为用户提供了与外部收件人之间的多种共享体验 |
否 |
是,这基于应用的共享策略 |
是否对某些用户禁用共享 |
是,通过为组织关系指定安全通讯组禁用共享 |
是,通过禁用应用的共享策略禁用共享 |
是否需要邮箱驻留在 Exchange 2010 邮箱服务器上 |
否 |
是 |
Exchange 2010 和联合委派之前的协作
联合委派的防火墙注意事项
联合委派功能需要您所在组织中的邮箱和客户端访问服务器使用 HTTPS 出站访问 Internet。必须允许出站 HTTPS 访问(TCP 的端口是 443)该组织中的所有 Exchange 2010 邮箱和客户端访问服务器。
为了使外部组织能够访问您所在组织的忙/闲信息,必须将一个客户端访问服务器发布到 Internet 上。这需要在 Internet 上通过入站 HTTPS 访问客户端访问服务器。Active Directory 站点(该站点未将客户端访问服务器发布到 Internet 上)中的客户端访问服务器可使用能够从 Internet 访问的其他 Active Directory 站点中的客户端访问服务器。未发布到 Internet 上的客户端访问服务器必须将 Web 服务虚拟目录的外部 URL 设置为对外部组织可见的 URL。
Exchange 2010 和联合委派之前的协作
与 Exchange 2007 共存
在同时包含 Exchange 2010 和 Exchange 2007 服务器的组织中,拥有 Exchange 2007 邮箱服务器上的邮箱的用户可以使用组织关系与外部联盟域组织中的收件人共享忙/闲信息。该邮箱服务器必须运行 Exchange 2007 SP2 或更高版本,且 Exchange 2010 组织中必须包含至少一个 Exchange 客户端访问服务器。通过在组织中引入单个 Exchange 2010 客户端访问服务器即可使用组织关系,这提供了一个比同步忙/闲信息且需要 GAL 同步的解决方案更强大的解决方案。
当使用 Outlook 2010 或 Outlook Web App 在 Exchange 2007 服务器上安排会议时,拥有 Exchange 2007 服务器上的邮箱的用户可以查看外部组织中的用户的忙/闲信息。Exchange 2007 邮箱的忙/闲信息对外部组织中的收件人是可见的。
为 Exchange 2010 邮箱用户分配共享策略。若要使用共享策略,邮箱必须位于 Exchange 2010 邮箱服务器上。只有 Outlook 2010 和 Outlook Web App 客户端可用于生成或响应共享邀请。
Exchange 2010 和联合委派之前的协作
与 Exchange 2003 共存
在同时包含 Exchange 2010 和 Exchange 2003 服务器的组织中,拥有 Exchange 2003 服务器上的邮箱的用户可以使用组织关系与外部联盟域组织中的收件人共享忙/闲信息。该邮箱服务器必须运行 Exchange Server 2003 SP2 或更高版本,且 Exchange 2010 组织中必须包含至少一个 Exchange 2003 客户端访问和公用文件夹服务器。客户端访问服务器充当所有入站和出站忙/闲请求的代理,并用于配置组织关系属性。公用文件夹服务器包含并管理 Exchange 2003 公用文件夹数据的副本,以供其他联盟 Exchange 2010 组织访问忙/闲信息。
内部和外部 Exchange 邮箱用户可以使用 Exchange 2003、Outlook 2003、Outlook 2007 或 Outlook 2010 查看 Outlook Web App 组织中的忙/闲信息。仅向 Exchange 2010 邮箱用户分配共享策略。若要使用共享策略,邮箱必须位于 Exchange 2010 邮箱服务器上。不能将共享策略应用于 Exchange 2003 服务器上的邮箱。
Exchange 2010 和联合委派之前的协作
建立组织关系和共享策略
在此示例中,您将成为 Contoso, Ltd. 的管理员。您所在的组织已经与 Fabrikam, Inc. 达成了协议,共同开发一项将由两个组织联合营销和销售的产品。若要在两个组织间启用协作,两个组织的营销和工程部门的用户需要互相访问对方的可用性信息。用户只需要很少的努力或无需费力就可以实现这种协作。
Contoso 还与 Litware, Inc. 进行协作。这种协作只限于一小部分用户。来自两个组织的用户应该能够相互建立共享关系。应该允许共享联系人和忙/闲信息。其他日历信息则不应共享。
此外,Contoso 用户需要将其日历信息与家庭成员共享,以帮助协调他们在 Outlook 中管理的外部活动。
最后,应该不必执行以下操作就可以建立共享:
创建任何 Active Directory 林或域信任。
在组织或个人间交换凭据。
在组织或个人间建立 VPN。
若要实现此方案,请采取下列步骤:
若要配置与 Fabrikam 和 Litware 之间的联合委派,请与 Microsoft 联合身份验证网关创建联合身份验证信任(如果尚未创建这种信任)。与 Contoso 用户的家庭成员共享信息不需要此步骤。此一次性过程需要使用 Exchange 2010 联合功能完成。此过程需要由 Microsoft 联合网关信任的证书颁发机构颁发的 X.509 证书。有关详细信息,请参阅 创建联合身份验证信任。
配置联盟组织标识符(如果尚未配置配置此标识符)。此过程需要将该组织要启用联合身份验证的接受域添加到组织标识符。此一次性过程需要使用 Exchange 2010 联合功能完成。有关详细信息,请参阅管理联合身份验证。
与 Fabrikam, Inc. 创建组织关系。有关详细信息,请参阅创建组织关系。请执行以下操作:
使用 Get-FederationInformation cmdlet 确定 Fabrikam 组织是否已建立联合身份验证。
选择包含营销和工程部门的成员的通讯组。这些用户的可用性信息将对 Fabrikam 用户可见。
若要允许两个组织中的用户能够看见对方的可用性信息,Fabrikam, Inc. 的管理员还必须与您所在的组织创建组织关系。
为需要与 Litware.com 域中的用户协作的用户创建共享策略。有关详细信息,请参阅 创建共享策略。使用以下规范创建共享策略:
使用 Get-FederationInformation cmdlet 确定 Litware 组织是否已建立联合身份验证。
将 Litware.com 域添加到共享策略。
为该策略选择“仅包含忙/闲信息的日历共享,联系人共享”操作。
将策略分配给您所在组织中需要与来自 Litware 的用户协作的用户。有关详细信息,请参阅 将共享策略应用于邮箱。
为需要与家庭成员进行协作的 Contoso 用户创建匿名共享策略。有关详细信息,请参阅 创建共享策略。使用以下规范创建共享策略:
设置客户端访问服务器上的发布虚拟目录。有关详细信息,请参阅Set-OwaVirtualDirectory
设置邮箱服务器的 Webproxy URL。为此,需要使用带 InternetWebProxy 参数的 set-ExchangeServer cmdlet。
为匿名发布启用客户端访问服务器虚拟目录。
与 Fabrikam, Inc. 创建组织关系并为 Litware, Inc. 和 Contoso 用户创建共享策略后,将会实现以下功能:
所有用户都将能够看见 Fabrikam 的营销和工程部门中的用户的可用性信息。
您所在组织中已应用新共享策略的用户将能够向来自 Litware, Inc. 的用户发送各个共享邀请。
Contoso 用户可以通过提供已发布日历的链接,来邀请家人朋友查看其日历信息。家庭成员无需特殊凭据即可访问这些信息。
Exchange 2010 和联合委派之前的协作
© 2010 Microsoft Corporation。保留所有权利。