配置联合身份验证信任

Exchange 2013
 

适用于:Exchange Server 2013

上一次修改主题:2017-07-26

联合身份验证信任在 Microsoft Exchange 2013 组织和 Azure Active Directory 身份验证系统之间建立信任关系。通过配置联合信任,可以配置与其他联合 Exchange 组织的联合共享以便在收件人之间共享日历忙/闲信息。可以在两个联合 Exchange 2013 组织之间或在联合 Exchange 2013 组织与联合 Exchange 2010 组织之间配置联合共享。您还可以设置与 Office 365 组织的共享。

注意注意:
创建联合身份验证信任是在 Exchange 组织中设置联合共享的若干步骤之一。若要查看所有步骤,请参阅配置联合共享

有关与联合身份验证相关的更多管理任务,请参阅联合程序

重要说明重要说明:
Exchange Server 2013 的此项功能与由世纪互联在中国运营的 Office 365 不完全兼容,可能需要遵循一些功能限制。有关详细信息,请参阅了解由世纪互联运营的 Office 365

  • 估计完成时间:30 分钟。

  • 您必须先获得权限,然后才能执行此过程或多个过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“联合身份验证和证书”权限条目。

  • 应当从 Internet 解析用于建立联合身份验证信任的域。这就要求通过域注册商注册该域,而且该域的域名系统 (DNS) 区域必须驻留在可从 Internet 访问的 DNS 服务器上。如果组织接收域的 Internet 电子邮件,则表明已符合这些要求。

  • 您需要将 TXT 记录添加到公用 DNS 中。查看向托管公用 DNS 记录的组织添加 TXT 记录的要求。

  • 若要了解可能适用于此主题中过程的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

  • 具有联合共享关系的两个 Exchange 组织必须对其联合身份验证信任使用相同的 Azure AD 身份验证系统。此要求适用于在两个本地 Exchange 组织之间或在本地 Exchange 组织与由 Office 365 托管的 Exchange 组织之间配置联合共享的情况。

  • 在为您的 Exchange 2013 组织创建与 Azure AD 身份验证系统的联合身份验证信任时,该联合身份验证信任将使用 Azure AD 身份验证系统的业务实例。但是,其他具有早期 Exchange 版本和现有联合身份验证信任的联合 Exchange 组织可能会使用 Azure AD 身份验证系统的业务实例或消费者实例。

    默认情况下,以下 Exchange 组织会使用 Azure AD 身份验证系统的业务实例:

    • 对联合身份验证信任使用“启用联合身份验证信任”向导和自签名证书的 Exchange 2013 组织。

    • Exchange 2010 SP1 或更高版本组织,通过使用“新建联盟信任”向导和联盟信任的自签名证书。

    • 由 Office 365 托管的 Exchange 组织,例如 Exchange Online。

    默认情况下,以下 Exchange 组织会使用 Azure AD 身份验证系统的消费者实例:

    • 交付厂商版 (RTM) 的 Exchange 2010 组织,通过使用第三方证书颁发机构颁发的证书。

    我们建议所有 Exchange 组织都对联合身份验证信任使用 Azure AD 身份验证系统的业务实例。在两个 Exchange 组织之间配置联合共享之前,需要验证每个 Exchange 组织用于任何现有联合身份验证信任的 Azure AD 身份验证系统实例。若要确定 Exchange 组织对现有联合身份验证信任使用哪种 Azure AD 身份验证系统实例,请运行以下命令行管理程序命令。

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    业务实例的 TokenIssuerURIs 参数将返回值 <uri:federation:MicrosoftOnline>

    消费者实例的 TokenIssuerURIs 参数将返回值 <uri:WindowsLiveID>

    要对具有使用 Azure AD 身份验证系统业务实例的现有联合身份验证信任的 Exchange 组织配置联合共享,请按照本主题中的步骤执行。这些是您创建联盟信任时需要执行的所有步骤,创建的联盟信任可用于在两个 Exchange 2013 组织之间或在一个 Exchange 2013 组织和一个已使用 Azure AD 身份验证系统业务实例的 Exchange 2010 组织之间启用联合共享。

    要在您的 Exchange 2013 组织和一个具有使用 Azure AD 身份验证系统消费者实例的现有联合身份验证信任的 Exchange 组织之间配置联合共享,使用消费者实例的 Exchange 组织应安装 Exchange 2010 SP2 或更高版本或升级到 Exchange 2013。如果您决定安装 Exchange 2010 SP2 或更高版本,请使用“新建联合身份验证信任”向导删除并重新创建现有的联合域和联合身份验证信任。重新创建联合身份验证信任时,将使用 Azure AD 身份验证系统的业务实例。

  1. 在内部部署组织中的 Exchange 2013 服务器上,导航到“组织”>“共享”。

  2. 单击“启用”以启动“启用联合身份验证信任”向导。

  3. 在向导完成后,单击“关闭”。

  4. 在“共享”选项卡的“联合身份验证信任”部分,单击“修改”。

  5. 在“启用共享的域”中的“步骤 1”旁边,单击“浏览”。

  6. 在“选择接受的域”中,从列表中选择主共享域,然后单击“确定”。

    注意注意:
    您选择的域将用于配置联合身份验证信任的 OrgID。有关 OrgID 的详细信息,请参阅联盟
  7. 记下为主共享域生成的联合域证明。使用此字符串在公用 DNS 服务器上创建 TXT 记录。

    重要说明重要说明:
    联合域证明是字母数字字符的字符串。为避免输入错误,建议您从 EAC 中复制此字符串,将其粘贴到诸如记事本之类的文本编辑器中。然后,您可以将此字符串从文本编辑器复制到剪贴板上,然后在创建 TXT 记录时将其粘贴到“文本”字段中。如果 TXT 记录是通过使用错误的联合域证明字符串创建的,则 Azure AD 身份验证系统将无法验证域所有权的证明,并且您将无法将该记录添加到联合组织标识符中。
  8. 在“步骤 2”中,单击“添加”添加图标 将额外域添加到电子邮件地址的联合身份验证信任中,组织中需要联合共享功能的用户将使用这些域。例如,如果您的用户在其电子邮件地址中使用诸如 sales.contoso.com 这样的子域,则您可将 sales.contoso.com 域添加到联合身份验证信任中。

    注意注意:
    将为选择的每个额外域创建一个联合域证明字符串。必须为每个额外域在公用 DNS 上创建单独的 TXT 记录。
  9. 使用为每个域创建的联合域证明字符串,在公用 DNS 服务器上为每个域创建 TXT 记录。根据公用 DNS 主机的更新计划,DNS 更改的复制可能需要 15 分钟或更久。

  10. 在创建并复制 TXT 记录之后,单击“更新”。

  1. 本示例创建与证书一起使用的唯一主题密钥标识符。

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. 本示例为与 Azure AD 身份验证系统之间的联合身份验证信任创建自签名证书。

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. 本示例检索自签名证书并创建联合信任“Azure AD 身份验证”。这会自动将自签名证书部署到组织中的 Exchange 服务器。

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD authentication"
    

有关语法和参数的详细信息,请参阅 New-ExchangeCertificateNew-FederationTrust

成功完成“启用联合身份验证信任”和“启用共享的域”向导初步表示,按预期配置了联合身份验证信任。

为了进一步确认您已经成功创建与配置了联合身份验证信任,请执行以下操作:

  1. 运行以下命令行管理程序命令以验证联合身份验证信任信息。

    Get-FederationTrust | format-list
    
  2. 运行以下命令行管理程序命令以验证是否可以从组织检索联合身份验证信息。

    Get-FederationInformation -DomainName <your primary sharing domain>
    

有关语法和参数的详细信息,请参阅 Get-FederationTrustGet-FederationInformation

提示提示:
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection
 
显示: