Présentation du partage fédéré

S'applique à : Exchange Server 2010

Dernière rubrique modifiée : 2010-01-21

Les professionnels de l’information ont souvent besoin de collaborer avec des partenaires, des clients, des fournisseurs ou autres contacts en dehors de l’organisation Exchange. Pour collaborer efficacement, les utilisateurs doivent pouvoir partager les informations sur leurs disponibilités pour planifier des réunions ou, selon la nature des relations, partager des informations de calendrier plus détaillées. De même, les utilisateurs doivent également pouvoir partager leurs contacts avec ces destinataires externes. Dans Microsoft Exchange Server 2010, le partage fédéré permet d’atteindre ces objectifs. 

Souhaitez-vous rechercher les tâches de gestion relatives au partage fédéré ? Voir Gestion du partage fédéré.

Contenu de cette rubrique

Collaboration avant Exchange 2010 et partage fédéré

Partage fédéré

Considérations de pare-feu pour le partage fédéré

Coexistence avec Exchange 2007

Création d’une relation organisationnelle et d’une stratégie de partage

Collaboration avant Exchange 2010 et partage fédéré

Les versions précédentes d’Exchange avaient des capacités de partage limitées et nécessitaient une configuration complexe et une maintenance continue. Par exemple, pour partager les informations de disponibilité avec les utilisateurs d’une autre organisation Exchange, vous devez utiliser l’outil de réplication inter-organisationnelle pour répliquer les dossiers publics entre les organisations Exchange. Ce processus exigeait la création d’approbations Active Directory entre les deux organisations, ainsi qu’une gestion des informations d’identification du compte de service.

Pour que les destinataires apparaissent dans les listes d’adresses Exchange, de nombreuses organisations utilisaient différents outils tels que GALSync pour synchroniser les destinataires d’une organisation avec ceux d’une autre organisation. La configuration des approbations, la gestion des informations d’identification et la réplication avec plusieurs organisations externes constituaient des tâches fastidieuses. La création d’approbations de forêt ou de domaine Active Directory et la gestion des informations d’identification ont également des implications de sécurité. L’ouverture de ports supplémentaires sur les pare-feu entre les deux organisations ou la mise en place d’un réseau privé virtuel (VPN) était également exigée.

Avec l’introduction des services Web Exchange, du service de disponibilité et du rôle serveur d’accès au client dans Exchange Server 2007, la réplication des données de disponibilité des dossiers publics n’était pas nécessaire. Toutefois, la synchronisation des approbations ou des informations d’identification et de la liste d’adresses globale était encore nécessaire pour que les informations de disponibilité soient accessibles aux organisations externes. Pour plus d’informations, consultez la rubrique Procédure de création de domaines acceptés.

Le partage d’un dossier Calendrier ou Contacts impliquait l’attribution d’autorisations pour l’accès au dossier par les utilisateurs d’organisations approuvées. La seule solution consistait à créer des approbations Active Directory entre les deux organisations, ce qui avait une incidence sur la sécurité.

Retour au début

Partage fédéré

À l’aide du partage fédéré d’Exchange 2010, les utilisateurs peuvent partager des informations avec les destinataires d’organisations fédérées externes, en créant des relations organisationnelles entre deux organisations Exchange 2010 ou en utilisant une stratégie de partage pour permettre aux utilisateurs de créer des relations de partage par individu. Le partage fédéré utilise Microsoft Federation Gateway, service en nuage proposé par Microsoft, comme courtier d’approbation entre deux organisations fédérées. Les organisations entre lesquelles vous voulez partager des informations ne doivent établir l’approbation qu’une fois avec Microsoft Federation Gateway. Pour en savoir plus, voir Microsoft Federation Gateway.

Important :
Si vous désactivez l’identificateur d’organisation fédérée pour votre organisation Exchange 2010, toutes les fonctions de fédération sont désactivées pour votre organisation.

Pour en savoir plus sur les approbations de fédération, consultez Présentation de la fédération. Pour plus d’informations sur la création d’une approbation de fédération, consultez la rubrique Créer une approbation de fédération. Pour plus d’informations sur la configuration de l’identificateur d’organisation fédérée, voir Gérer la fédération.

Le partage fédéré offre deux méthodes de partage des informations avec les destinataires des organisations externes : relations organisationnelles et stratégies de partage.

Relations organisationnelles

À l’aide des relations organisationnelles, vous pouvez établir des relations de partage fédéré avec une autre organisation fédérée dans le but de partager des informations de disponibilité ou d’activer la remise fédérée du courrier électronique. Les relations organisationnelles sont des relations un-à-un entre deux organisations. Plutôt que d’exiger une configuration d’approbation de domaine ou de forêt Active Directory complexe entre les deux organisations (qui peut également exiger l’ouverture de plusieurs ports sur les pare-feu des deux organisations ou la mise en place d’un réseau privé virtuel), les organisations ne doivent établir qu’une seule approbation de fédération avec Microsoft Federation Gateway et configurer l’identificateur d’organisation fédérée.

Configuration requise pour les relations organisationnelles

Les éléments suivants sont requis pour les relations organisationnelles :

• Un serveur d’accès au client Exchange 2010 existe dans l’organisation Exchange.
• Une approbation de fédération a été créée.
• L’identificateur d’organisation fédérée a été configuré. Les domaines utilisés pour la création des adresses de messagerie des utilisateurs ont été ajoutés à l’identificateur de l’organisation.
• Une relation organisationnelle existe dans chaque organisation correspondante.
• Les utilisateurs d’Office Outlook 2007 ne peuvent pas spécifier les adresses SMTP des destinataires externes pour afficher les informations de disponibilité. Les destinataires doivent être choisis dans la liste d’adresses globale, ce qui nécessite la synchronisation de cette liste avec l’organisation externe. Les utilisateurs d’Outlook 2007 disposant de boîtes aux lettres sur les serveurs de boîtes aux lettres Exchange 2007 Service Pack 2 (SP2) peuvent utiliser Office Outlook Web Access sur un serveur d’accès au client Exchange 2007 SP2.

Création de relations organisationnelles

Lorsque vous créez une relation organisationnelle avec une organisation externe, les utilisateurs de l’organisation externe peuvent accéder aux informations de disponibilité des utilisateurs. Cela permet aux utilisateurs externes de planifier des réunions avec vos utilisateurs. Aucune information de réplication de la liste d’adresses globale n’est requise. Avec cette configuration, les utilisateurs d’Outlook 2010 et d’Office Outlook Web App peuvent entrer l’adresse SMTP d’un destinataire externe lors de la planification des réunions.

Pour que les utilisateurs de votre organisation aient accès aux informations de disponibilité des utilisateurs externes ou qu’ils soient autorisés à effectuer un partage unidirectionnel de leurs informations de disponibilité avec une organisation externe, l’administrateur de l’organisation externe doit créer une relation organisationnelle avec votre organisation. Toutefois, lors de la création d’une relation organisationnelle, l’administrateur externe peut préciser que les informations de disponibilité de ses utilisateurs ne doivent pas être partagées avec les utilisateurs de votre organisation (par exemple, si la relation doit être utilisée uniquement pour une remise fédérée).

Remarque :

Si les utilisateurs ne veulent pas partager leurs informations de disponibilité avec d’autres utilisateurs, ils peuvent modifier l’entrée d’autorisation par défaut dans Outlook. Pour ce faire, les utilisateurs doivent accéder aux Propriétés du calendrier > onglet Autorisations, sélectionner l’autorisation Par défaut, puis sélectionner Aucun dans la liste Niveau d’autorisation. Leurs informations de disponibilité ne seront pas visibles pour les utilisateurs internes ou externes, même si une relation organisationnelle existe avec une organisation externe. La relation organisationnelle respecte les autorisations définies par l’utilisateur.

Lorsque vous créez une relation organisationnelle avec une organisation externe, vous pouvez désigner les utilisateurs pour lesquels les informations de disponibilité doivent être accessibles à l’organisation externe. Par exemple, si les utilisateurs du service financier doivent collaborer avec ceux de l’organisation externe, vous pouvez sélectionner le groupe de distribution financier. Les informations de disponibilité des utilisateurs membres du groupe de distribution sélectionné seront visibles à tous les utilisateurs de l’organisation externe. De même, l’organisation externe peut créer une relation organisationnelle avec votre organisation et désigner les utilisateurs pour lesquels les informations de disponibilité doivent être accessibles à vos utilisateurs.

Lorsque vous créez une relation organisationnelle, Exchange 2010 se connecte au service Web de découverte automatique publié par l’organisation externe pour obtenir le point final du service de disponibilité. Vous pouvez également indiquer manuellement le point final du service de disponibilité de l’organisation externe lorsque vous créez une relation.

Pour créer une relation organisationnelle avec une organisation externe, vous pouvez utiliser l’assistant Nouvelle relation organisationnelle de la console de gestion Exchange ou la cmdlet New-OrganizationRelationship de l’environnement de ligne de commande Exchange Management Shell.

Pour obtenir la procédure détaillée sur la création d’une relation organisationnelle, voir la rubrique Créer une relation d’organisation.

Stratégies de partage

Les stratégies de partage permettent aux utilisateurs de partager les informations sur le calendrier et les contacts avec les utilisateurs des organisations fédérées externes. Considérez la stratégie de partage comme une stratégie établie par l’utilisateur, de personne à personne. Vos utilisateurs spécifient les destinataires externes avec lesquels collaborer. À l’aide d’Outlook 2010 ou d’Outlook Web App, un utilisateur peut inviter des destinataires externes à partager leur dossier Calendrier ou Contacts. Avec les stratégies de partage, vous pouvez contrôler les domaines avec lesquels vos utilisateurs partagent les informations, notamment la quantité d’informations à partager. Si nécessaire, vous pouvez également désactiver la stratégie de partage d’un utilisateur ou d’un groupe.

Les stratégies de partage sont attribuées aux utilisateurs de boîtes aux lettres. La stratégie de partage par défaut appliquée aux utilisateurs permet le partage des informations de disponibilité avec tous les domaines externes. Après avoir créé une approbation de fédération avec Microsoft Federation Gateway et configuré l’identificateur d’organisation fédérée, les utilisateurs peuvent envoyer des invitations pour partager leurs informations de disponibilité avec les utilisateurs d’une organisation externe.

Important :
Pour participer à un partage fédéré, l’organisation de l’utilisateur externe doit également avoir établi une approbation de fédération avec Microsoft Federation Gateway, et l’identificateur d’organisation fédérée doit être configuré.

Les stratégies de partage contiennent des paires de noms de domaine et les actions de partage autorisées pour les utilisateurs de ce domaine. Comme illustré dans la figure suivante, vous pouvez spécifier les actions suivantes qui s’appliquent au domaine externe spécifié dans une stratégie de partage :

• Partage du calendrier avec les informations de disponibilité uniquement
• Partage du calendrier avec les informations de disponibilité, ainsi que l’objet et l’emplacement
• Partage du calendrier avec les informations de disponibilité, ainsi que l’objet, l’emplacement et le corps
• Partage des contacts
• Partage du calendrier avec les informations de disponibilité uniquement, partage des contacts
• Partage du calendrier avec les informations de disponibilité, ainsi que l’objet et l’emplacement, partage des contacts
• Partage du calendrier avec les informations de disponibilité, ainsi que l’objet, l’emplacement et le corps, partage des contacts

Actions de partage du calendrier

Lorsqu’ils créent une invitation de partage, les utilisateurs peuvent sélectionner les informations qu’ils souhaitent partager, à condition que l’action soit autorisée par la stratégie de partage. Par exemple, imaginons que vous créez une stratégie de partage avec les paramètres suivants :

• Partage du calendrier avec les informations de disponibilité, ainsi que l’objet et l’emplacement pour les utilisateurs externes de Fabrikam.com
• Partage du calendrier avec les informations de disponibilité uniquement pour les utilisateurs externes de tous les autres domaines (représentés par un astérisque [*])

Les utilisateurs auxquels cette stratégie est appliquée peuvent partager uniquement leurs informations de disponibilité ou partager les détails limités s’ils invitent les utilisateurs de Fabrikam.com.

Pour plus d’informations sur la création d’une stratégie de partage, consultez la rubrique Créer une stratégie de partage.

Pour plus d’informations sur l’application d’une stratégie de partage aux utilisateurs, consultez la rubrique Appliquer une stratégie de partage aux boîtes aux lettres.

Conditions requises pour les stratégies de partage

Les éléments suivants sont requis pour les stratégies de partage :

• Un serveur d’accès au client Exchange 2010 existe dans l’organisation Exchange.
• Une approbation de fédération a été créée.
• L’identificateur d’organisation fédérée a été configuré. Les domaines utilisés pour la création des adresses de messagerie des utilisateurs ont été ajoutés à l’identificateur de l’organisation.
• Les boîtes aux lettres des utilisateurs sont sur les serveurs de boîtes aux lettres Exchange 2010.
• Seuls les utilisateurs d’Outlook 2010 et d’Outlook Web App peuvent créer des invitations de partage.

Comparaison des relations organisationnelles et des stratégies de partage

Bien que les relations organisationnelles et les stratégies de partage permettent le partage des informations de disponibilité avec les utilisateurs externes, elles sont destinées à différents scénarios. Les relations organisationnelles sont créées pour collaborer avec des organisations externes et incluent la possibilité d’activer la remise fédérée des messages électroniques entre les deux organisations. Les stratégies de partage désignent les informations que vos utilisateurs peuvent partager avec ceux des organisations externes, y compris les organisations avec lesquelles une relation organisationnelle n’existe pas.

Le tableau suivant illustre les différences entre une relation organisationnelle et une stratégie de partage.

Relation organisationnelle par rapport à la stratégie de partage

Retour au début

Considérations de pare-feu pour le partage fédéré

Les fonctions de partage fédéré exigent que les serveurs d’accès au client dans votre organisation aient un accès sortant à Internet à l’aide d’HTTPS. Vous devez autoriser un accès HTTPS sortant (port 443 pour TCP) à tous les serveurs d’accès au client Exchange 2010 de l’organisation.

Pour qu’une organisation externe puisse accéder aux informations de disponibilité de votre organisation, vous devez publier un serveur d’accès au client sur Internet. Un accès HTTPS entrant depuis Internet vers le serveur d’accès au client est nécessaire. Les serveurs d’accès au client dans les sites Active Directory n’ayant pas de serveur d’accès au client publié sur Internet peuvent utiliser les serveurs d’accès au client dans d’autres sites Active Directory accessibles depuis Internet. Les serveurs d’accès au client qui ne sont pas publiés sur Internet doivent avoir l’URL externe du répertoire virtuel des services Web définie avec l’URL accessible aux organisations externes.

Retour au début

Coexistence avec Exchange 2007

Dans les organisations qui contiennent à la fois les serveurs Exchange 2010 et Exchange 2007, les utilisateurs ayant une boîte aux lettres sur un serveur de boîtes aux lettres Exchange 2007 peuvent utiliser les relations organisationnelles. Le serveur de boîtes aux lettres doit avoir Exchange 2007 SP2 installé ; vous devez également avoir au moins un serveur d’accès au client Exchange 2010 dans l’organisation Exchange. Vous pouvez utiliser les relations organisationnelles en introduisant un seul serveur d’accès au client Exchange 2010 dans l’organisation, proposant ainsi une solution plus robuste que les solutions qui synchronisent les informations de disponibilité et nécessitent une synchronisation de la liste d’adresses globale.

Lorsque vous utilisez Outlook 2010 ou Outlook Web Access pour planifier une réunion sur un serveur Exchange 2007, un utilisateur dont la boîte aux lettres se trouve sur un serveur Exchange 2007 peut accéder aux informations de disponibilité d’un utilisateur de l’organisation externe. Les informations de disponibilité des boîtes aux lettres Exchange 2007 sont accessibles aux destinataires de l’organisation externe.

Les stratégies de partage sont attribuées aux utilisateurs de boîtes aux lettres Exchange 2010. Pour utiliser les stratégies de partage, une boîte aux lettres doit être située sur un serveur de boîtes aux lettres Exchange 2010. Seuls les clients Outlook 2010 et Outlook Web App peuvent être utilisés pour générer ou répondre à des invitations de partage.

Retour au début

Création d’une relation organisationnelle et d’une stratégie de partage

Dans cet exemple, vous êtes l’administrateur de Contoso, Ltd. Votre organisation a signé un accord avec Fabrikam, Inc. pour le développement d’un produit qui sera conjointement commercialisé et vendu par les deux organisations. Pour permettre une collaboration entre les deux organisations, les utilisateurs des services Marketing et Ingénierie des deux organisations doivent pouvoir accéder aux informations de disponibilité des uns et des autres. Cette collaboration doit s’effectuer avec un minimum d’effort de la part des utilisateurs, voire aucun effort.

Contoso collabore également avec Litware, Inc. Cette collaboration est limitée à un petit sous-ensemble d’utilisateurs. Les utilisateurs des deux organisations doivent être en mesure d’établir des relations de partage les uns avec les autres. Le partage des informations sur les contacts et le calendrier doit être autorisé. Aucune information de calendrier supplémentaire ne doit être partagée.

Enfin, le partage doit se produire sans avoir à :

• Créer des approbations de forêt ou de domaine Active Directory ;
• Échanger des informations d’identification entre les organisations ;
• Établir une connexion VPN entre les organisations.

Pour ce faire, vous devez procéder de la façon suivante :

1. Créez une approbation de fédération avec Microsoft Federation Gateway (si ce n’est déjà fait). Cette procédure unique est requise pour utiliser les fonctionnalités de fédération Exchange 2010. Le processus exige qu’un certificat X.509 soit émis par une autorité de certification approuvée par Microsoft Federation Gateway. Pour plus d’informations, voir Créer une approbation de fédération.
2. Configurez l’identificateur d’organisation fédérée (si ce n’est déjà fait). Ce processus requiert l’ajout des domaines acceptés de l’organisation pour lesquels vous souhaitez activer la fédération à l’identificateur d’organisation. Cette procédure unique est requise pour utiliser les fonctionnalités de fédération Exchange 2010. Pour plus d’informations, voir Gérer la fédération.
3. Créez une relation organisationnelle avec Fabrikam, Inc. Pour plus d’informations, consultez la rubrique Créer une relation d’organisation. Procédez comme suit :
   • Pour déterminer si l’organisation Fabrikam a déjà établi une fédération, utilisez la cmdlet Get-FederationInformation.
   • Sélectionnez un groupe de distribution qui inclut les membres des services Marketing et Ingénierie. Les informations de disponibilité pour ces utilisateurs seront visibles par les utilisateurs de Fabrikam.
4. Pour que les utilisateurs des deux organisations puissent accéder mutuellement à leurs informations de disponibilité, l’administrateur de Fabrikam, Inc. doit également créer une relation organisationnelle avec votre organisation.
5. Créez une stratégie de partage pour les utilisateurs qui doivent collaborer avec ceux du domaine Litware.com. Pour plus d’informations, voir Créer une stratégie de partage. Procédez comme suit :
   • Ajoutez le domaine Litware.com à la stratégie de partage.
   • Sélectionnez l’action Partage du calendrier avec les informations de disponibilité uniquement, partage des contacts pour la stratégie.
   • Attribuez la stratégie aux utilisateurs de votre organisation qui doivent collaborer avec les utilisateurs de Litware. Pour plus d’informations, voir Appliquer une stratégie de partage aux boîtes aux lettres.

Une fois que vous avez créé une relation organisationnelle avec Fabrikam, Inc. et une stratégie de partage pour Litware, Inc., la fonctionnalité suivante est disponible :

• Tous les utilisateurs seront en mesure d’accéder aux informations de disponibilité des utilisateurs des services Marketing et Ingénierie de Fabrikam.
• Les utilisateurs de votre organisation auxquels la nouvelle stratégie de partage est appliquée pourront envoyer des invitations de partage aux utilisateurs de Litware, Inc.

Retour au début