同盟

適用於:Exchange Server 2013

資訊工作者常常需要與外部收件者、廠商、合作夥伴與客戶合作,並共用其空閒/忙碌 (也就是所謂的行事曆可用性) 資訊。 Microsoft Exchange Server 2013 中的同盟有助於這些合作。 「同盟」是指支援「同盟共用」的基礎信任基礎結構,對使用者而言,這是與其他外部同盟組織中的收件者共用行事曆資訊的簡易方法。 若要深入了解同盟共用,請參閱共享

重要事項

此 Exchange Server 2013 功能與中國的 21Vianet 所運作的 Office 365 不完全相容,部分功能可能受限。 如需詳細資訊,請參閱 Office 365 21Vianet 運作

重要詞彙

下列清單會定義與 Exchange 2013 中同盟相關聯的核心元件。

  • 應用程式識別碼 (AppID) :Microsoft Entra驗證系統所產生的唯一數位,用來識別 Exchange 組織。 當您與Microsoft Entra驗證系統建立同盟信任時,就會自動產生 AppID。

  • 委派權杖:安全性判斷提示標記語言 (SAML) 權杖,由Microsoft Entra驗證系統發出,可讓某個同盟組織的使用者受到另一個同盟組織的信任。 委派 Token 包含使用者的電子郵件地址、不可變識別碼,以及與針對行動核發 Token 之提供相關聯的資訊。

  • 外部同盟組織:已與Microsoft Entra驗證系統建立同盟信任的外部 Exchange 組織。

  • 同盟共用:一組 Exchange 功能,利用同盟信任與Microsoft Entra驗證系統來跨 Exchange 組織運作,包括跨單位 Exchange 部署。 這些功能一起用來代表跨多個 Exchange 組織的使用者,在伺服器之間提出驗證要求。

  • 同盟網域:已接受的授權網域,已新增至 Exchange 組織的組織識別碼 (OrgID) 。

  • 網域證明加密字串:Exchange 組織用來提供證明的密碼編譯安全字串,可證明組織擁有與Microsoft Entra驗證系統搭配使用的網域。 字串會在使用 [ 啟用同盟信任 精靈] 時自動產生,或是使用 Get-FederatedDomainProof Cmdlet 產生。

  • 同盟共用原則:組織層級原則,可啟用和控制使用者建立的人員對人共用行事曆資訊。

  • 同盟:兩個 Exchange 組織之間以信任為基礎的協定,以達成共同目的。 使用同盟時,兩個組織都希望一個組織的驗證判斷能由另一個組織所辨識。

  • 同盟信任:與Microsoft Entra驗證系統的關係,可為您的 Exchange 組織定義下列元件:

    • 帳戶命名空間

    • 應用程式識別碼 (AppID)

    • 組織識別碼 (OrgID)

    • 同盟網域

    若要設定與其他同盟 Exchange 組織的同盟共用,必須使用Microsoft Entra驗證系統來建立同盟信任。

  • 非同盟組織:未與Microsoft Entra驗證系統建立同盟信任的組織。

  • 組織識別碼 (OrgID) :定義在組織中設定的哪些授權接受網域已啟用同盟。 只有具有在 OrgID 中設定同盟網域的電子郵件地址的收件者,才會由Microsoft Entra驗證系統辨識,而且能夠使用同盟共用功能。 OrgID 是預先定義字串與 [啟動同盟信任] 精靈中第一個選取的同盟公認網域的組合。 例如,如果您將同盟網域 contoso.com 指定為您組織的主要 SMTP 網域,則會自動建立 FYDIBOHF25SPDLT.contoso.com 帳戶命名空間做為同盟信任的 OrgID。

  • 組織關聯性:兩個同盟 Exchange 組織之間的一對一關聯性,可讓收件者共用免費/忙碌 (行事曆可用性) 資訊。 組織關係需要與Microsoft Entra驗證系統建立同盟信任,並取代在 Exchange 組織之間使用 Active Directory 樹系或網域信任的需求。

  • Microsoft Entra驗證系統:免費的雲端式身分識別服務,可作為同盟 Microsoft Exchange 組織之間的信任代理人。 它負責將委派 Token 發給向其他同盟 Exchange 組織中收件者要求資訊的 Exchange 收件者。 若要深入瞭解,請參閱Microsoft Entra識別碼

Microsoft Entra驗證系統

Microsoft Entra驗證系統是 Microsoft 提供的免費雲端式服務,可作為內部部署 Exchange 2013 組織與其他同盟 Exchange 2010 與 Exchange 2013 組織之間的信任代理人。 如果您想要在 Exchange 組織中設定同盟,您必須與Microsoft Entra驗證系統建立一次性同盟信任,使其成為與貴組織的同盟夥伴。 有了此信任,由 Active Directory (稱為識別提供者) 驗證的使用者會由Microsoft Entra驗證系統發出安全性判斷提示標記語言 (SAML) 委派權杖。 這些委派 Token 可讓某個同盟 Exchange 組織的使用者受到其他同盟 Exchange 組織的信任。 使用Microsoft Entra驗證系統作為信任代理人,組織就不需要與其他組織建立多個個別信任關係,而且使用者可以使用單一登入 (SSO) 體驗來存取外部資源。 如需詳細資訊,請參閱Microsoft Entra識別碼

同盟信任

若要使用 Exchange 2013 同盟共用功能,您必須建立 Exchange 2013 組織與 Microsoft Entra 驗證系統之間的同盟信任。 與Microsoft Entra驗證系統建立同盟信任會與Microsoft Entra驗證系統交換您組織的數位安全性憑證,並擷取Microsoft Entra驗證系統憑證和同盟中繼資料。 您可以使用 Exchange 系統管理中心的 [ 啟用同盟信任 精靈] (EAC) 或 Exchange 管理命令介面中的 New-FederationTrust Cmdlet 來建立同盟信任。 自我簽署憑證會由 [啟用同盟信任精靈] 自動建立,並用於簽署和加密來自Microsoft Entra驗證系統的委派權杖,讓外部同盟組織能夠信任使用者。 如需憑證需求的詳細資訊,請參閱本主題稍後的同盟憑證需求。

當您使用 Microsoft Entra 驗證系統建立同盟信任時,會自動為您的 Exchange 組織產生應用程式識別碼 (AppID) ,並在Get-FederationTrust Cmdlet 的輸出中提供。 Microsoft Entra驗證系統會使用 AppID 來唯一識別您的 Exchange 組織。 Exchange 組織也會使用它來提供證明,證明您的組織擁有網域以搭配Microsoft Entra驗證系統使用。 這可藉由在公用網域名稱系統中建立文字 (TXT) 記錄, (每個同盟網域的 DNS) 區域來完成。

同盟組織識別碼

同盟組織識別碼 (OrgID) 會定義要為同盟啟用哪一個在組織中設定的授權公認網域。 只有具有 OrgID 中已設定已接受網域的電子郵件地址的收件者,才會由Microsoft Entra驗證系統辨識,而且能夠使用同盟共用功能。 當您建立新的同盟信任時,系統會使用Microsoft Entra驗證系統自動建立 OrgID。 此 OrgID 是預先定義字串與精靈中選取的主要共用網域的組合。 例如,在 [編輯 Sharing-Enabled 網域精靈] 中,如果您將同盟網域 contoso.com 指定為組織中的主要共用網域,系統會自動建立 FYDIBOHF25SPDLT.contoso.com 帳戶命名空間,作為 Exchange 組織同盟信任的 OrgID。

雖然一般來說是 Exchange 組織的主要 SMTP 網域,此網域不必是 Exchange 組織中可接受的網域,也不需要網域名稱系統 (DNS) 的擁有權證明 TXT 記錄。 唯一的需求是選取為同盟的公認網域最多只能有 32 個字元。 此子域的唯一用途是作為Microsoft Entra驗證系統的同盟命名空間,為要求 SAML 委派權杖的收件者維護唯一識別碼。 如需 SAML Token 的詳細資訊,請參閱 SAML Token 和聲明

可隨時從同盟信任中新增或移除接受的網域。 如果您要啟用或停用組織中的所有同盟共用功能,只要啟用或停用同盟信任的 OrgID 即可。

重要事項

如果您變更 OrgID、公認的網域或用於同盟信任的 AppID,組織中的所有同盟共用功能都會受到影響。 這也會影響所有的外部同盟 Exchange 組織,包括 Exchange Online 以及混合部署組態。 建議您通知所有外部同盟夥伴關於這些同盟信任組態設定的所有變更。

同盟範例

Contoso、 Ltd. 和 Fabrikam, Inc.這兩個 Exchange 組織希望其使用者能夠彼此共用行事曆空閒/忙碌資訊。 每個組織都會與Microsoft Entra驗證系統建立同盟信任,並將其帳戶命名空間設定為包含使用者電子郵件地址網域所使用的網域。

Contoso 員工會使用下列其中一個電子郵件地址網域:contoso.com、contoso.co.uk 或 contoso.ca。 Fabrikam 員工會使用下列其中一個電子郵件地址網域:fabrikam.com、fabrikam.org 或 fabrikam.net。 這兩個組織都確定所有接受的電子郵件網域都包含在帳戶命名空間中,以便與Microsoft Entra驗證系統建立同盟信任。 兩個組織都會設定彼此之間的組織關係以啟用行事曆空閒/忙碌共用,而不需要複雜的 Active Directory 樹系或網域信任組態。

下圖說明 Contoso, Ltd. 和 Fabrikam, Inc. 之間的同盟組態。

同盟共用範例

同盟信任和同盟共用。

同盟的憑證需求

若要與Microsoft Entra驗證系統建立同盟信任,必須在用來建立信任的 Exchange 2013 伺服器上建立和安裝由憑證授權單位單位 (CA) 所簽署的自我簽署憑證或 X.509 憑證。 強烈建議使用自我簽署憑證,該憑證會使用 EAC 中的 [啟用同盟信任 精靈] 自動建立和安裝。 此憑證僅用於簽署和加密用於同盟共用的委派權杖,而且同盟信任只需要一個憑證。 Exchange 2013 會自動將憑證散發給組織中的所有其他 Exchange 2013 伺服器。

如果您要使用外部 CA 所簽署的 X.509 憑證,該憑證必須符合下列需求:

  • 信任的 CA:如果可能,應該從 Windows Live 信任的 CA 發出 X.509 安全通訊端層 (SSL) 憑證。 不過,您能使用目前尚未獲 Microsoft 認證的 CA 所發出之憑證。 如欲瞭解目前的受信任 CA 清單,請參閱 同盟信任之信任的根憑證授權

  • 主體金鑰識別碼:憑證必須有主體金鑰識別碼欄位。 由商業 CA 發出的大多數 X.509 憑證都有這個識別碼。

  • CryptoAPI 密碼編譯服務提供者 (CSP) :憑證必須使用 CryptoAPI CSP。 使用密碼編譯 API 的憑證:新一代 (CNG) 提供者不支援同盟。 如果您使用 Exchange 建立憑證要求,則會使用 CryptoAPI 提供者。 如需詳細資訊,請參閱 密碼編譯 API:新一代

  • RSA 簽章演算法:憑證必須使用 RSA 作為簽章演算法。

  • 可匯出的私密金鑰:用來產生憑證的私密金鑰必須是可匯出的。 當您使用 EAC 中的 [新增 Exchange 憑證 精靈] 或 Shell 中的 New-ExchangeCertificate Cmdlet 建立憑證要求時,可以指定要匯出私密金鑰。

  • 目前的憑證:憑證必須是最新憑證。 您無法使用過期或撤銷的憑證建立同盟信任。

  • 增強金鑰使用方式:憑證必須包含增強金鑰使用 (EKU) 類型 用戶端驗證 (1.3.6.1.5.5.7.3.2) 。 此使用方法類型用來向遠端電腦證明您的身分識別。 如果您使用 EAC 或命令介面產生憑證要求,則預設會包含此使用方法類型。

注意事項

因為憑證未用於驗證,所以沒有任何的主體名稱或主體別名需求。 您可以使用其主體名稱與主機名稱、網域名稱或其他任何名稱相同的憑證。

轉換為新憑證

用於建立同盟信任的憑證可指定為目前憑證。 不過,您可能需要定期為同盟信任安裝並使用新的憑證。 例如,如果目前的憑證到期,您可能需要使用新的憑證,或者,您可能需要符合新的商務或安全性需求。 為了確保能夠無縫轉換成新的憑證,您必須在您的 Exchange 2013 伺服器上安裝新的憑證,並設定同盟信任將新憑證指定為新憑證。 Exchange 2013 會自動將新憑證散佈至組織中的其他 Exchange 2013 伺服器。 散佈憑證可能需要一些時間,時間長短則取決於您的 Active Directory 拓撲。 您可以使用命令介面中的 Test-FederationTrustCertificate 指令程式來驗證憑證狀態。

在驗證憑證的散佈狀態後,您可以設定信任使用新憑證。 切換憑證後,系統會將目前的憑證指定成上一個憑證,並將新憑證指定為目前憑證。 新的憑證會發佈至Microsoft Entra驗證系統,與Microsoft Entra驗證系統交換的所有新權杖都會使用新憑證進行加密。

注意事項

此憑證轉換程序僅由同盟使用。 如果您為其他需要憑證的 Exchange 2013 功能使用相同的憑證,則當規劃取得、安裝或轉換成新憑證時,您必須將該功能需求納入考量。

同盟的防火牆考量

同盟功能需要您組織中的 Mailbox 和 Client Access Server 必須可使用 HTTPS 向外存取網際網路。 您必須允許組織中的所有 Exchange 2013 Mailbox 和 Client Access Server 可透過 HTTPS 向外存取 (連接埠 443 供 TCP 使用)。

為了讓外部組織存取您組織的空閒/忙碌資訊,您必須將一個 Client Access Server 發行至網際網路。 這需要 HTTPS 從網際網路向內存取 Client Access Server。 Active Directory 站台若未將 Client Access Server 發行至網際網路,則站台中的 Client Access Server 可以使用其他可從網際網路存取的 Active Directory 站台中的 Client Access Server。 尚未發行至網際網路的 Client Access Server 必須有 Web 服務虛擬目錄的外部 URL,該虛擬目錄已設定外部組織看得到的 URL。