配置联合信任

适用于：Exchange Server 2013

联合信任在 Microsoft Exchange 2013 组织和Microsoft Entra身份验证系统之间建立信任关系。 通过配置联合信任，可以配置与其他联合 Exchange 组织的联合共享以便在收件人之间共享日历忙/闲信息。 可以在两个联合 Exchange 2013 组织之间或在联合 Exchange 2013 组织与联合 Exchange 2010 组织之间配置联合共享。 还可以设置与 Microsoft 365 或Office 365组织的共享。

有关与联合身份验证相关的其他管理任务，请参阅 联合过程。

开始前，有必要了解什么？

• 估计完成时间：30 分钟。

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 Exchange 和命令行管理程序基础结构权限主题中的"联合身份验证和证书"权限条目。

• 应当从 Internet 解析用于建立联合身份验证信任的域。 这就要求通过域注册商注册该域，而且该域的域名系统 (DNS) 区域必须驻留在可从 Internet 访问的 DNS 服务器上。 如果组织接收域的 Internet 电子邮件，则表明已符合这些要求。

• 您需要将 TXT 记录添加到公用 DNS 中。 查看向托管公用 DNS 记录的组织添加 TXT 记录的要求。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

• 联合共享关系中的两个 Exchange 组织必须对其联合信任使用相同的Microsoft Entra身份验证系统。 在两个本地 Exchange 组织之间或本地 Exchange 组织与 Microsoft 365 或 Office 365 托管的 Exchange 组织之间配置联合共享时，此要求适用。

• 使用 Exchange 2013 组织的 Microsoft Entra 身份验证系统创建联合身份验证信任时，联合身份验证信任将使用 Microsoft Entra 身份验证系统的业务实例。 但是，具有早期版本 Exchange 和现有联合信任的其他联合 Exchange 组织可能正在使用Microsoft Entra身份验证系统的业务实例或使用者实例。

  默认情况下，以下 Exchange 组织使用Microsoft Entra身份验证系统的业务实例：

  • Exchange 2013 组织使用 启用联合身份验证信任 向导和联合身份验证信任的自签名证书。
  • Exchange 2010 SP1 或更高版本的组织通过使用 “新建联合身份验证信任” 向导和联合身份验证信任的自签名证书。
  • 由 Microsoft 365 和 Office 365 托管的 Exchange 组织。

  默认情况下，以下 Exchange 组织使用Microsoft Entra身份验证系统的使用者实例：

  • 交付厂商版 (RTM) 的 Exchange 2010 组织，通过使用第三方证书颁发机构颁发的证书。

  我们建议所有 Exchange 组织对联合信任使用 Microsoft Entra 身份验证系统的业务实例。 在两个 Exchange 组织之间配置联合共享之前，需要验证每个 Exchange 组织用于任何现有联合信任的Microsoft Entra身份验证系统实例。 若要确定 Exchange 组织用于现有联合身份验证信任的Microsoft Entra身份验证系统实例，请运行以下 Shell 命令。

  Get-FederationInformation -DomainName <hosted Exchange domain namespace>
  

  业务实例返回 TokenIssuerURIs 参数的值<uri:federation:MicrosoftOnline>。

  使用者实例为 TokenIssuerURIs 参数返回 值<uri:WindowsLiveID>。

  若要配置与具有使用Microsoft Entra身份验证系统业务实例的现有联合信任的 Exchange 组织的联合共享，请按照本主题中的步骤进行操作。 这些步骤是创建联合身份验证信任所需的全部步骤，这些信任可用于在两个 Exchange 2013 组织之间或 Exchange 2013 组织与已使用 Microsoft Entra 身份验证系统的业务实例的 Exchange 2010 组织之间启用联合共享。

  若要在 Exchange 2013 组织和具有使用Microsoft Entra身份验证系统的使用者实例的现有联合信任的 Exchange 组织之间配置联合共享，使用使用者实例的 Exchange 组织应安装 Exchange 2010 SP2 或更高版本，或者升级到 Exchange 2013。 如果您决定安装 Exchange 2010 SP2 或更高版本，请使用“新建联合身份验证信任”向导删除并重新创建现有的联合域和联合身份验证信任。 重新创建联合身份验证信任后，将使用Microsoft Entra身份验证系统的业务实例。

使用 EAC 创建和配置联合身份验证信任

1. 在本地组织中的 Exchange 2013 服务器上，导航到 “组织>共享”。

2. 单击“启用”以启动“启用联合身份验证信任”向导。

3. 在向导完成后，单击“关闭”。

4. 在“共享”选项卡的“联合身份验证信任”部分，单击“修改”。

5. 在“启用共享的域”中的“步骤 1”旁边，单击“浏览”。

6. 在“选择接受的域”中，从列表中选择主共享域，然后单击“确定”。

   注意

   您选择的域将用于配置联合身份验证信任的 OrgID。 有关 OrgID 的详细信息，请参阅联合。

7. 记下为主共享域生成的联合域证明。 使用此字符串在公用 DNS 服务器上创建 TXT 记录。

   重要

   联合域证明是字母数字字符的字符串。 为了避免输入错误，建议从 EAC 复制字符串，并将其粘贴到文本编辑器（如记事本）中。 然后，您可以将此字符串从文本编辑器复制到剪贴板上，然后在创建 TXT 记录时将其粘贴到“文本”字段中。 如果 TXT 记录是使用不正确的联合域证明字符串创建的，则Microsoft Entra身份验证系统将无法验证域所有权证明，并且你无法将其添加到联合组织标识符。

8. 在 步骤 2 中，单击“ 添加 将其他域添加到联合信任中，以便组织中需要联合共享功能的用户将使用的电子邮件地址。 例如，如果有用户在电子邮件地址（如 sales.contoso.com）中使用子域，则可以将 sales.contoso.com 域添加到联合信任。

   注意

   将为选择的每个额外域创建一个联合域证明字符串。 必须为每个额外域在公用 DNS 上创建单独的 TXT 记录。

9. 使用为每个域创建的联合域证明字符串，在公用 DNS 服务器上为每个域创建 TXT 记录。 根据公用 DNS 主机的更新计划，DNS 更改的复制可能需要 15 分钟或更久。

10. 在创建并复制 TXT 记录之后，单击“更新”。

使用命令行管理程序创建和配置联合身份验证信任

1. 运行以下命令，为联合信任证书创建唯一的使用者密钥标识符：

   $ski = [System.Guid]::NewGuid().ToString("N")
   

2. 使用以下语法为联合信任创建自签名证书：

   New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
   

   此示例使用 Microsoft Entra 身份验证系统为联合身份验证信任创建自签名证书。 证书使用友好名称值 Exchange Federated Sharing，并且从 USERDNSDOMAIN 环境变量检索域值。

   New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
   

3. 若要创建联合身份验证信任并将在上一步中创建的自签名证书自动部署到组织中的 Exchange 服务器，请使用以下语法：

   Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
   

   此示例创建名为 Microsoft Entra 身份验证的联合身份验证信任，并部署名为 Exchange Federated Sharing 的自签名证书。

   Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
   

4. 使用此语法可返回要为联合信任配置的任何域所需的域所有权 TXT 记录证明。

   Get-FederatedDomainProof -DomainName <domain>
   

   此示例返回主共享域 contoso.com 所需的域所有权 TXT 记录证明。

   Get-FederatedDomainProof -DomainName contoso.com
   

   注意：

   • 为联合信任配置的每个域或子域都需要域所有权 TXT 记录的证明，因此可能需要使用不同的 DomainName 值多次运行此命令。

   • 建议通过在 Shell 中右键单击，选择“ 标记”，选择“ 校对 ”值，然后按 Enter 来复制域证明字符串，以便在创建 TXT 记录时使用它。 如果使用不正确的联合域证明字符串创建 TXT 记录，则Microsoft Entra身份验证系统无法验证你对域的所有权，并且你无法将其添加到联合组织标识符。

5. 使用上一步中的信息，在将包含在联合信任中的每个域中的公共 DNS 服务器上创建 TXT 记录。 根据公用 DNS 主机的更新计划，DNS 更改的复制可能需要 15 分钟或更久。 在验证新的 TXT 记录可用后继续操作。

   重要

   应为每个正在联合/共享的域创建 TXT 记录。 如果这是混合环境，则在 Exchange Online 中验证的所有接受域都应创建 TXT 记录。

6. 运行以下命令，从Microsoft Entra ID 检索元数据和证书：

   Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
   

7. 使用此语法为在步骤 3 中创建的联合信任配置主共享域。 指定的域将用于配置联合信任的组织标识符 (OrgID) 。 有关 OrgID 的详细信息，请参阅 联合组织标识符。

   Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
   

   此示例将接受的域 contoso.com 配置为名为 Microsoft Entra 身份验证的联合信任的主共享域。

   Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
   

8. 若要将其他域添加到联合信任，请使用以下语法：

   Add-FederatedDomain -DomainName <AdditionalDomain>
   

   此示例将子域 sales.contoso.com 添加到联合信任，因为 sales.contoso.com 域中具有电子邮件地址的用户需要联合共享功能。

   Add-FederatedDomain -DomainName sales.contoso.com
   

   请记住，添加到联合身份验证信任的任何域或子域都需要域所有权 TXT 记录证明，

有关详细语法和参数信息，请参阅 New-ExchangeCertificate、 New-FederationTrust、 Get-FederatedDomainProof、 Set-FederationTrust、 Set-FederatedOrganizationIdentifier 和 Add-FederatedDomain。

如何知道操作成功？

成功完成“启用联合身份验证信任”和“启用共享的域”向导初步表示，按预期配置了联合身份验证信任。

为了进一步确认您已经成功创建与配置了联合身份验证信任，请执行以下操作：

1. 运行以下命令行管理程序命令以验证联合身份验证信任信息。

   Get-FederationTrust | Format-List
   

2. 将 PrimarySharedDomain> 替换为<主共享域，并运行以下 Shell 命令，验证是否可以从组织检索联合信息。

   Get-FederationInformation -DomainName <PrimarySharedDomain>
   

有关语法和参数的详细信息，请参阅 Get-FederationTrust 和 Get-FederationInformation。