Prerequisiti per la distribuzione ibrida
Riepilogo: requisiti dell'ambiente Exchange necessari per la configurazione di una distribuzione ibrida.
Affinché sia possibile creare e configurare una distribuzione ibrida utilizzando la procedura guidata di configurazione ibrida, è necessario che l'organizzazione locale di Exchange esistente soddisfi determinati requisiti. In caso contrario, non sarà possibile completare i passaggi della procedura guidata di configurazione ibrida e configurare una distribuzione ibrida che include l'organizzazione di Exchange locale ed Exchange Online.
Prerequisiti per la distribuzione ibrida
Per configurare una distribuzione ibrida sono necessari i seguenti requisiti:
- Organizzazione di Exchange locale: la versione di Exchange installata nell'organizzazione locale determina la versione di distribuzione ibrida che è possibile installare. È in genere consigliabile configurare la versione di distribuzione ibrida più recente supportata nell'organizzazione, come descritto nella tabella seguente:
| Ambiente locale | Distribuzione ibrida basata su Exchange 2019 | Distribuzione ibrida basata su Exchange 2016 | Distribuzione ibrida basata su Exchange 2013 | Distribuzione ibrida basata su Exchange 2010 |
|---|---|---|---|---|
| Exchange 2019 | Supportato | Non supportato | Non supportato | Non supportato |
| Exchange 2016 | Supportato | Supportato | Non supportato | Non supportato |
| Exchange 2013 | Supportato | Supportato | Supportato | Non supportato |
| Exchange 2010 | Non supportato | Supportato | Supportato | Supportato |
Versioni di Exchange Server: le distribuzioni ibride richiedono l'aggiornamento cumulativo (CU) o l'aggiornamento cumulativo più recente disponibile per la versione di Exchange. Se non è possibile installare l'aggiornamento più recente, è supportata anche la versione immediatamente precedente.
Le unità CU di Exchange vengono rilasciate ogni trimestre, quindi mantenere aggiornati i server Exchange offre un'ulteriore flessibilità se periodicamente è necessario più tempo per completare gli aggiornamenti.
Ruoli del server Exchange: i ruoli del server che è necessario installare nell'organizzazione locale dipendono dalla versione di Exchange installata.
Exchange 2016 e versioni successive: almeno un server Cassette postali.
Exchange 2013: almeno un'istanza dei ruoli del server Cassette postali e Accesso client installata (separatamente o in un server; è consigliabile usare un server).
Exchange 2010: almeno un'istanza dei ruoli del server Cassette postali, Trasporto hub e Accesso client installata (separatamente o in un server; è consigliabile usare un server).
Le distribuzioni ibride supportano inoltre server di Exchange che eseguono il ruolo del server Trasporto Edge. I server Trasporto Edge devono anche essere aggiornati alla versione più recente di CU o UR. Si consiglia vivamente di distribuire i server Trasporto Edge in una rete perimetrale. Non è possibile distribuire server Cassette postali o Accesso client in una rete perimetrale.
Nota
Se è già stato avviato un processo di migrazione con gli endpoint ibridi di Exchange 2010 e non si prevede di mantenere le cassette postali locali, continuare la migrazione così come è. Se si prevede di mantenere alcune cassette postali in locale, è consigliabile introdurre gli endpoint ibridi di Exchange 2016 (perché Exchange 2010 ha raggiunto la fine del ciclo di vita del supporto). Continuare la migrazione delle cassette postali di Exchange 2010 a Office 365 e quindi spostare le cassette postali che rimarranno locali nei server Exchange 2016. Dopo aver rimosso tutti i server Exchange 2010, è possibile introdurre i server Exchange 2019 come nuovi endpoint ibridi e spostare anche le cassette postali locali rimanenti nei server Exchange 2019.
Microsoft 365 o Office 365: le distribuzioni ibride sono supportate in tutti i piani di Microsoft 365 e Office 365 che supportano la sincronizzazione Microsoft Entra. Tutti i piani Microsoft 365 Business Standard, Business Basic, Enterprise, Government, Academic e Midsize supportano le distribuzioni ibride. Microsoft 365 Apps for business e i piani Home non supportano le distribuzioni ibride.
Per altre informazioni, vedere Microsoft 365.
Domini personalizzati: registrare tutti i domini personalizzati da usare nella distribuzione ibrida con Microsoft 365 o Office 365. A tale scopo, è possibile usare il portale di Microsoft 365 o, facoltativamente, configurare Active Directory Federation Services (AD FS) nell'organizzazione locale.
Per altre informazioni, vedere Aggiungere il dominio a Microsoft 365 o Office 365.
Sincronizzazione di Active Directory: distribuire lo strumento di sincronizzazione Microsoft Entra Connect o cloud per abilitare la sincronizzazione di Active Directory con l'organizzazione locale.
Per altre informazioni, vedere Microsoft Entra Connect User Sign-On options e What is Microsoft Entra Cloud Sync?.
Record DNS di individuazione automatica: configurare il record di individuazione automatica per i domini SMTP esistenti nel DNS pubblico in modo che punti ai server Exchange locali (un server Accesso client di Exchange 2010/2013 o un server cassette postali di Exchange 2016/2019).
Certificati: assegnare i servizi di Exchange a un certificato digitale valido acquistato da un'autorità di certificazione pubblica (CA) attendibile. Anche se è consigliabile usare certificati autofirmati per l'attendibilità federativa locale con il Microsoft Federation Gateway, non è possibile usare certificati autofirmati per i servizi di Exchange in una distribuzione ibrida.
L'istanza di Internet Information Services (IIS) nei server Exchange configurati nella distribuzione ibrida richiede un certificato digitale valido acquistato da una CA attendibile.
L'URL esterno EWS e l'endpoint di individuazione automatica specificati nel DNS pubblico devono essere elencati nel campo Nome alternativo soggetto (SAN) del certificato. I certificati installati nei server Exchange per il flusso di posta nella distribuzione ibrida devono essere rilasciati dalla stessa autorità di certificazione e avere lo stesso oggetto.
Per ulteriori informazioni, vedere Requisiti dei certificati per le distribuzioni ibride.
EdgeSync: se sono stati distribuiti server Trasporto Edge nell'organizzazione locale e si vuole configurare i server Trasporto Edge per il trasporto di posta sicura ibrido, è necessario configurare EdgeSync prima di usare la configurazione guidata ibrida. È anche necessario eseguire EdgeSync ogni volta che si applica una nuova CU a un server Trasporto Edge.
Importante
Sebbene EdgeSync sia un requisito nelle distribuzioni con i server Trasporto Edge, sono necessarie impostazioni di configurazione aggiuntive quando si configurano i server Trasporto Edge per il trasporto di posta protetto ibrido.
Per ulteriori informazioni, vedere Server Trasporto Edge con distribuzioni ibride.
Microsoft .NET Framework: per verificare le versioni che possono essere usate con la versione specifica di Exchange, vedere Exchange Server matrice di supporto - Microsoft .NET Framework.
Cassette postali abilitate per la messaggistica unificata: se si dispone di cassette postali abilitate per la messaggistica unificata e si desidera spostarle in Microsoft 365 o Office 365, è necessario soddisfare i requisiti seguenti prima di spostarle:
Lync Server 2010, Lync Server 2013 o Skype for Business Server 2015 o versioni successive integrate con il sistema di telefonia locale.
oppure
Skype for Business Online integrato con il sistema di telefonia locale.
oppure
Una soluzione PBX o IP-PBX locale tradizionale.
Per altre informazioni, vedere Integrazione del sistema telefonico con la messaggistica unificata in Exchange Online, Pianificare la migrazione Skype for Business Server e Exchange Server e Configurare Cloud Voicemail.
Protocolli, porte ed endpoint per la distribuzione ibrida
È necessario configurare i protocolli, le porte e gli endpoint di connessione seguenti nel firewall che protegge l'organizzazione locale, come descritto nella tabella seguente.
Importante
Gli endpoint di Microsoft 365 e Office 365 correlati sono vasti, in continua evoluzione e non sono elencati qui. Vedere invece le sezioni Exchange Online e Microsoft 365 Common e Office Online in Microsoft 365 e Office 365 URL e intervalli di indirizzi IP per identificare gli endpoint per ogni porta elencata qui.
Nota
Le porte necessarie per il flusso di posta e la connettività client nell'organizzazione di Exchange locale non correlate alla configurazione ibrida sono descritte in Porte di rete per client e flusso di posta in Exchange.
| Origine | Protocollo/porta | Destinazione | Commenti |
|---|---|---|---|
| endpoint Exchange Online | TCP/25 (SMTP/TLS) | Cassetta postale/Edge di Exchange 2019/2016 Exchange 2013 CAS/Edge Exchange 2010 Hub/Edge |
Server Exchange locali configurati per ospitare i connettori di ricezione per il trasporto sicuro della posta con Exchange Online nella configurazione guidata ibrida |
| Cassetta postale/Edge di Exchange 2019/2016 Exchange 2013 CAS/Edge Exchange 2010 Hub/Edge |
TCP/25 (SMTP/TLS) | endpoint Exchange Online | Server Exchange locali configurati per ospitare connettori di invio per il trasporto sicuro della posta con Exchange Online nella configurazione guidata ibrida |
| endpoint Exchange Online | TCP/443 (HTTPS) | Cassetta postale di Exchange 2019/2016 Exchange 2013/2010 CAS |
Server Exchange locali usati per pubblicare servizi Web Exchange e individuazione automatica in Internet |
| Cassetta postale di Exchange 2019/2016 Exchange 2013/2010 CAS |
TCP/443 (HTTPS) | endpoint Exchange Online | Server Exchange locali usati per pubblicare servizi Web Exchange e individuazione automatica in Internet |
| Cassetta postale/Edge di Exchange 2019/2016 Exchange 2013 CAS/Edge Exchange 2010 Hub/Edge |
80 | ctldl.windowsupdate.com/* | Per le funzionalità ibride, Exchange Server richiede la connettività in uscita a vari endpoint CRL (Certificate Revocation List) indicati qui. È consigliabile consentire a Windows di mantenere l'elenco di attendibilità dei certificati (CTL) nel computer. In caso contrario, questo deve essere gestito manualmente a intervalli regolari. Per consentire a Windows di mantenere l'elenco CTL, l'URL deve essere raggiungibile dal computer in cui è installato Exchange Server. |
Nella tabella seguente vengono fornite informazioni più dettagliate sugli endpoint locali coinvolti:
| Descrizione | Porta e protocollo | Endpoint locale | Provider di autenticazione | Metodo di autorizzazione | Autorizzazione preventiva supportata? |
|---|---|---|---|---|---|
| Flusso di posta SMTP tra Microsoft 365 o Office 365 ed Exchange locale | TCP 25 (SMTP/TLS) | Cassetta postale/Edge di Exchange 2019/2016 Exchange 2013 CAS/Edge Exchange 2010 Hub/Edge |
N/D | Basato su certificato | No |
| Individuazione automatica | TCP 443 (HTTPS) | Server cassette postali di Exchange 2019/2016: /autodiscover/autodiscover.svc/wssecurity Cas di Exchange 2013/2010: /autodiscover/autodiscover.svc |
Microsoft Entra sistema di autenticazione | Autenticazione WS-Security | No |
| Disponibilità, suggerimenti messaggio e rilevamento dei messaggi (EWS) | TCP 443 (HTTPS) | Cassetta postale di Exchange 2019/2016 oppure Cas di Exchange 2013/2010: /ews/exchange.asmx/wssecurity |
Microsoft Entra sistema di autenticazione | Autenticazione WS-Security | No |
| Ricerca in più cassette postali (EWS) | TCP 443 (HTTPS) | Cassetta postale di Exchange 2019/2016 oppure Cas di Exchange 2013/2010: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Server di autenticazione | Autenticazione WS-Security | No |
| Migrazioni delle cassette postali (EWS) | TCP 443 (HTTPS) | Cassetta postale di Exchange 2019/2016 oppure Cas di Exchange 2013/2010: /ews/mrsproxy.svc |
NTLM | Basic | No |
| OAuth (individuazione automatica ed EWS) | TCP 443 (HTTPS) | Cassetta postale di Exchange 2019/2016 oppure Cas di Exchange 2013/2010: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Server di autenticazione | Autenticazione WS-Security | No |
| AD FS (Windows Server) | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server: /adfs/* | Microsoft Entra sistema di autenticazione | Varia in base alla configurazione | Due fattori |
| Microsoft Entra Connect | TCP 443 (HTTPS) | Server Windows 2012 R2/2016 (AD FS): /adfs/* | Microsoft Entra sistema di autenticazione | Varia in base alla configurazione | Due fattori |
Per altre informazioni su queste informazioni, vedere Deep Dive: How Hybrid Authentication Really Works, Demystifying and troubleshooting hybrid mail flow: when is a message internal?, Transport routing in Exchange hybrid deployments, Configure mail flow using connectors e Manage mail flow with mailbox in multiple locations (Exchange Online and on-premises).
Servizi e strumenti consigliati
Gli strumenti e i servizi seguenti sono utili quando si configurano distribuzioni ibride con la configurazione guidata ibrida:
Mail Migration Advisor: offre indicazioni dettagliate per configurare una distribuzione ibrida tra l'organizzazione locale e Microsoft 365 o Office 365 oppure eseguire la migrazione completa a Microsoft 365 o Office 365.
Per altre informazioni, vedere Usare Mail Migration Advisor.
Strumento Analizzatore connettività remota: lo strumento Microsoft Remote Connectivity Analyzer controlla la connettività esterna dell'organizzazione di Exchange locale e si assicura di essere pronti per configurare la distribuzione ibrida. È consigliabile controllare l'organizzazione locale con lo strumento Remote Connectivity Analyzer prima di configurare la distribuzione ibrida con la procedura guidata apposita.
Ulteriori informazioni su Analizzatore connettività remota di Microsoft.
Single Sign-On: l'accesso Single Sign-On consente agli utenti di accedere alle organizzazioni locali e Exchange Online con un singolo nome utente e password. Offre agli utenti un'esperienza di accesso familiare e consente agli amministratori di controllare facilmente i criteri di account per le cassette postali dell'organizzazione di Exchange Online utilizzando gli strumenti di gestione di Active Directory locali.
Sono disponibili due opzioni per la distribuzione di Single Sign-On: sincronizzazione password e Active Directory Federation Services. Entrambe le opzioni vengono fornite da Microsoft Entra Connect. La sincronizzazione della password consente a quasi tutte le organizzazione, indipendentemente dalle loro dimensioni, di implementare Single Sign-On senza particolari problemi. Per questo motivo, e poiché l'esperienza utente in una distribuzione ibrida è notevolmente migliore con l'accesso Single Sign-On abilitato, è consigliabile implementarlo. Per le organizzazioni di grandi dimensioni, come quelle con più foreste di Active Directory che necessitano della distribuzione ibrida, è richiesto Active Directory Federation Services.
Per ulteriori informazioni, vedere: Accesso Single Sign-On con distribuzioni ibride