Pré-requisitos de implantação híbrida
Resumo: Do que o seu ambiente do Exchange precisa antes de você poder configurar uma implantação híbrida.
Antes de você criar e configurar uma implantação híbrida usando o assistente de Configuração Híbrida, sua organização local do Exchange existente precisa atender a determinados requisitos. Se você não atender a estes requisitos, não será capaz de concluir as etapas do assistente de Configuração Híbrida e não conseguirá configurar uma implantação híbrida entre a organização local do Exchange e o Exchange Online.
Pré-requisitos da implantação híbrida
Os pré-requisitos a seguir são necessários para configurar uma implantação híbrida:
- Organização local do Exchange: a versão do Exchange instalada em sua organização local determina a versão de implantação híbrida que você pode instalar. Normalmente, você deve configurar a versão de implantação híbrida mais recente com suporte em sua organização, conforme descrito na tabela a seguir:
| Ambiente no local | Implantação híbrida baseada no Exchange 2019 | Implantação híbrida com base no Exchange 2016 | Implantação híbrida com base no Exchange 2013 | Implantação híbrida com base no Exchange 2010 |
|---|---|---|---|---|
| Exchange 2019 | Com suporte | Sem suporte | Sem suporte | Sem suporte |
| Exchange 2016 | Com suporte | Com suporte | Sem suporte | Sem suporte |
| Exchange 2013 | Com suporte | Com suporte | Com suporte | Sem suporte |
| Exchange 2010 | Sem suporte | Com suporte | Com suporte | Com suporte |
Versões do servidor do Exchange: as implantações híbridas exigem a CU (Atualização Cumulativa) mais recente ou a RU (Atualização) disponível para sua versão do Exchange. Se você não puder instalar a atualização mais recente, a versão imediatamente anterior também terá suporte.
As CUs do Exchange são lançadas trimestralmente, portanto, manter os servidores do Exchange atualizados oferece alguma flexibilidade adicional se você precisar de tempo extra para concluir atualizações periodicamente.
Funções do servidor do Exchange: as funções de servidor que você precisa instalar em sua organização local dependem da versão do Exchange instalada.
Exchange 2016 e mais recente: pelo menos um servidor de caixa de correio.
Exchange 2013: pelo menos uma instância de funções de servidor de Acesso ao Cliente e caixa de correio instaladas (separadamente ou em um servidor; recomendamos fortemente em um servidor).
Exchange 2010: pelo menos uma instância das funções de servidor Mailbox, Hub Transport e Client Access instaladas (separadamente ou em um servidor; recomendamos fortemente em um servidor).
As implantações híbridas também oferecem suporte aos servidores do Exchange que executam a função de servidor de Transporte de Borda. Os servidores de Transporte de Borda também precisam ser atualizados para a CU ou RU mais recente. É altamente recomendável implantar servidores de Transporte de Borda em uma rede de perímetro. Você não pode implantar servidores de Caixa de Correio ou Acesso ao Cliente em uma rede de perímetro.
Observação
Se você já iniciou um processo de migração com pontos de extremidade híbridos do Exchange 2010 e não planeja manter as caixas de correio locais, continue sua migração como está. Se você planeja manter algumas caixas de correio locais, recomendamos que você introduza pontos de extremidade híbridos do Exchange 2016 (porque o Exchange 2010 atingiu seu ciclo de vida de fim de suporte). Continue a migração das caixas de correio do Exchange 2010 para Office 365 e, em seguida, mova as caixas de correio que permanecerão locais para servidores do Exchange 2016. Depois de remover todos os servidores do Exchange 2010, você poderá introduzir servidores do Exchange 2019 como seus novos pontos de extremidade híbridos e também mover suas caixas de correio locais restantes para servidores do Exchange 2019.
Microsoft 365 ou Office 365: implantações híbridas têm suporte em todos os planos do Microsoft 365 e Office 365 que dão suporte à sincronização Microsoft Entra. Todos os planos Microsoft 365 Business Standard, Business Basic, Enterprise, Government, Academic e Midsize dão suporte a implantações híbridas. os planos Microsoft 365 Apps para Pequenos e Médios negócios e Home não dão suporte a implantações híbridas.
Saiba mais no Microsoft 365.
Domínios personalizados: registre todos os domínios personalizados que você deseja usar em sua implantação híbrida com o Microsoft 365 ou Office 365. Você pode fazer isso usando o portal do Microsoft 365 ou configurando opcionalmente Serviços de Federação do Active Directory (AD FS) (AD FS) em sua organização local.
Saiba mais em Adicionar seu domínio ao Microsoft 365 ou Office 365.
Sincronização do Active Directory: implante a ferramenta Microsoft Entra Connect ou sincronização de nuvem para habilitar a sincronização do Active Directory com sua organização local.
Saiba mais em Microsoft Entra Conectar opções de logon do usuário e O que é Microsoft Entra Cloud Sync?.
Registros DNS de descoberta automática: configure o registro de descoberta automática para seus domínios SMTP existentes em seu DNS público para apontar para seus servidores locais do Exchange (um servidor de Acesso ao Cliente do Exchange 2010/2013 ou um Servidor de Caixa de Correio do Exchange 2016/2019).
Certificados: atribuir serviços do Exchange a um certificado digital válido que você comprou de uma autoridade de certificado público confiável (AC). Embora você deva usar certificados autoassinados para a confiança de federação local com o Microsoft Federation Gateway, você não pode usar certificados autoassinados para serviços do Exchange em uma implantação híbrida.
A instância dos Serviços de Informações da Internet (IIS) nos servidores do Exchange configurados na implantação híbrida exige um certificado digital válido comprado de uma AC confiável.
A URL externa do EWS e o ponto de extremidade de descoberta automática que você especificou em seu DNS público devem ser listados no campo SAN (Nome Alternativo do Assunto) do certificado. Os certificados instalados nos servidores do Exchange para fluxo de email na implantação híbrida devem ser emitidos pela mesma autoridade de certificado e têm o mesmo assunto.
Saiba mais em Requisitos de certificado para implantações híbridas.
EdgeSync: se você implantou servidores do Edge Transport em sua organização local e deseja configurar os servidores de Transporte de Borda para transporte de email seguro híbrido, você precisará configurar o EdgeSync antes de usar o assistente de Configuração Híbrida. Você também precisa executar o EdgeSync sempre que aplicar uma NOVA CU a um servidor do Edge Transport.
Importante
Embora o EdgeSync seja um requisito em implantações com servidores do Edge Transport, configurações adicionais são necessárias quando você configura servidores do Edge Transport para transporte de email seguro híbrido.
Saiba mais em Servidores de transporte de borda com implantações híbridas.
Microsoft .NET Framework: para verificar as versões que podem ser usadas com sua versão específica do Exchange, consulte Exchange Server matriz de suporte – Microsoft .NET Framework.
Caixas de correio um (um) habilitadas para mensagens unificadas: se você tiver caixas de correio habilitadas para UM e quiser movê-las para o Microsoft 365 ou Office 365, você precisará atender aos seguintes requisitos antes de movê-las:
Lync Server 2010, Lync Server 2013 ou Skype for Business Server 2015 ou posterior integrado ao seu sistema de telefonia local.
ou
Skype for Business Online integrado ao sistema de telefonia local.
ou
Uma solução de PBX ou IP-PBX local tradicional.
Para obter mais informações, marcar integração do sistema telefônico ao UM no Exchange Online, Planejar Skype for Business Server e Exchange Server migração e Configurar Caixa postal na Nuvem.
Protocolos, portas e pontos de extremidade da implantação híbrida
Você precisa configurar os seguintes protocolos, portas e pontos de extremidade de conexão no firewall que protege sua organização local, conforme descrito na tabela a seguir.
Importante
Os pontos de extremidade relacionados do Microsoft 365 e Office 365 são vastos, em constante mudança e não estão listados aqui. Em vez disso, consulte as seções Exchange Online e Microsoft 365 Common e Office Online no Microsoft 365 e Office 365 URLs e intervalos de endereços IP para identificar os pontos de extremidade de cada porta listada aqui.
Observação
As portas necessárias para o fluxo de email e a conectividade do cliente em sua organização local do Exchange não relacionadas à configuração híbrida são descritas em portas de rede para clientes e fluxo de email no Exchange.
| Origem | Protocolo/Porta | Target | Comments |
|---|---|---|---|
| Exchange Online pontos de extremidade | TCP/25 (SMTP/TLS) | Exchange 2019/2016 Caixa de Correio/Borda CAS/Edge do Exchange 2013 Exchange 2010 Hub/Edge |
Exchange Servers locais configurados para hospedar conectores de recebimento para transporte de email seguro com Exchange Online no assistente de Configuração Híbrida |
| Exchange 2019/2016 Caixa de Correio/Borda CAS/Edge do Exchange 2013 Exchange 2010 Hub/Edge |
TCP/25 (SMTP/TLS) | Exchange Online pontos de extremidade | Exchange Servers locais configurados para hospedar conectores de envio para transporte de email seguro com Exchange Online no assistente de Configuração Híbrida |
| Exchange Online pontos de extremidade | TCP/443 (HTTPS) | Caixa de correio do Exchange 2019/2016 CAS do Exchange 2013/2010 |
Exchange Servers locais usados para publicar Serviços Web do Exchange e Autodiscover na Internet |
| Caixa de correio do Exchange 2019/2016 CAS do Exchange 2013/2010 |
TCP/443 (HTTPS) | Exchange Online pontos de extremidade | Exchange Servers locais usados para publicar Serviços Web do Exchange e Autodiscover na Internet |
| Exchange 2019/2016 Caixa de Correio/Borda CAS/Edge do Exchange 2013 Exchange 2010 Hub/Edge |
80 | ctldl.windowsupdate.com/* | Para funcionalidade híbrida, o Exchange Servers precisa de conectividade de saída para vários pontos de extremidade crl (Lista de Revogação de Certificado) mencionados aqui. Recomendamos fortemente permitir que o Windows mantenha a CTL (Lista de Confiança de Certificado) em seu computador. Caso contrário, isso deve ser mantido manualmente regularmente. Para permitir que o Windows mantenha a CTL, a URL deve ser acessível do computador no qual Exchange Server está instalada. |
A tabela a seguir fornece informações mais detalhadas sobre os pontos de extremidade locais envolvidos:
| Descrição | Porta e protocolo | Ponto de extremidade local | Provedor de autenticação | Método de autorização | Suporte para pré-autenticação? |
|---|---|---|---|---|---|
| Fluxo de email SMTP entre o Microsoft 365 ou Office 365 e o Exchange local | TCP 25 (SMTP/TLS) | Exchange 2019/2016 Caixa de Correio/Borda CAS/Edge do Exchange 2013 Exchange 2010 Hub/Edge |
N/D | Baseado em certificado | Não |
| Descoberta automática | TCP 443 (HTTPS) | Servidor caixa de correio do Exchange 2019/2016: /autodiscover/autodiscover.svc/wssecurity Exchange 2013/2010 CAS: /autodiscover/autodiscover.svc |
Microsoft Entra sistema de autenticação | Autenticação de segurança WS | Não |
| Free/busy, MailTips e eWS (rastreamento de mensagens) | TCP 443 (HTTPS) | Caixa de correio do Exchange 2019/2016 ou Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity |
Microsoft Entra sistema de autenticação | Autenticação de segurança WS | Não |
| Pesquisa de várias caixas de correio (EWS) | TCP 443 (HTTPS) | Caixa de correio do Exchange 2019/2016 ou Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Servidor de autenticação | Autenticação de segurança WS | Não |
| Migrações de caixa de correio (EWS) | TCP 443 (HTTPS) | Caixa de correio do Exchange 2019/2016 ou Exchange 2013/2010 CAS: /ews/mrsproxy.svc |
NTLM | Básica | Não |
| OAuth (Autodiscover e EWS) | TCP 443 (HTTPS) | Caixa de correio do Exchange 2019/2016 ou Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Servidor de autenticação | Autenticação de segurança WS | Não |
| AD FS (Windows Server) | TCP 443 (HTTPS) | Servidor Windows 2012 R2/2016: /adfs/* | Microsoft Entra sistema de autenticação | Varia por configuração | Dois fatores |
| Microsoft Entra Connect | TCP 443 (HTTPS) | Servidor Windows 2012 R2/2016 (AD FS): /adfs/* | Microsoft Entra sistema de autenticação | Varia por configuração | Dois fatores |
Para obter ainda mais detalhes sobre essas informações, consulte Deep Dive: How Hybrid Authentication Really Works, Desmystifying and troubleshooting hybrid mail flow: when is a message internal?, Transport routing in Exchange hybrid deployments, Configure mail flow using connectors e Manage mail flow with mailboxes in multiple locations (Exchange Online and on-premises).
Ferramentas e serviços recomendados
As seguintes ferramentas e serviços são benéficos quando você está configurando implantações híbridas com o assistente de Configuração Híbrida:
Orientador de migração por email: fornece diretrizes passo a passo para configurar uma implantação híbrida entre sua organização local e o Microsoft 365 ou Office 365 ou migrar completamente para o Microsoft 365 ou Office 365.
Saiba mais em Usar o orientador de migração de email.
Ferramenta Analisador de Conectividade Remota: a ferramenta Analisador de Conectividade Remota da Microsoft verifica a conectividade externa da sua organização local do Exchange e garante que você esteja pronto para configurar sua implantação híbrida. É altamente aconselhável que você verifique sua organização local com a ferramenta Analisador de Conectividade Remota antes de configurar sua implantação híbrida com o assistente de Configuração Híbrida.
Saiba mais em Analisador de Conectividade Remota da Microsoft.
Logon único: o logon único permite que os usuários acessem as organizações locais e Exchange Online com um único nome de usuário e senha. Ele fornece aos usuários uma experiência de logon conhecida e permite que os administradores controlem facilmente as políticas da conta das caixas de correio da organização do Exchange Online usando as ferramentas de gerenciamento locais do Active Directory .
Você tem duas opções ao implantar o logon único: sincronização de senha e Serviços de Federação do Active Directory. Ambas as opções são fornecidas pelo Microsoft Entra Connect. A sincronização de senha permite que praticamente qualquer organização, independentemente do tamanho, implemente facilmente o logon único. Por esse motivo, e como a experiência do usuário em uma implantação híbrida é significativamente melhor com o logon único habilitado, é altamente recomendável implementá-lo. Para organizações muito grandes, por exemplo, com várias florestas do Active Directory que precisam ingressar na implantação híbrida, os Serviços de Federação do Active Directory são obrigatórios.
Saiba mais em Logon único com implantações híbridas.