了解同盟委派
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
資訊工作者常常需要與合作夥伴、客戶、廠商或其 Exchange 組織以外的其他連絡人合作。若要能夠跨組織有效地共同作業,您的使用者可能必須共用其空閒/忙碌 (也稱為行事曆空檔) 資訊,以便進行會議排程。根據業務關係的本質,使用者可能需要共用更詳細的行事曆資訊。同樣的,使用者可能也需要將其連絡資訊與這些外部收件者共用。在 Microsoft Exchange Server 2010 中,同盟委派有助於達成這些目標。
要尋找與同盟委派相關的管理工作嗎?請參閱 管理同盟共用。
目錄
Exchange 2010 與同盟委派之前的共同作業
同盟委派
同盟委派的防火牆考慮事項
與 Exchange 2007 共存
與 Exchange 2003 共存
建立組織關係與共用原則
Exchange 2010 與同盟委派之前的共同作業
舊版的 Exchange 對於共用的能力有所限制,而且需要複雜的設定程序,並要持續的進行維護。例如,若要與其他 Exchange 組織的使用者共用可用性資訊,您必須使用組織間複寫工具來複寫 Exchange 組織之間的公用資料夾。在此程序中您必須在兩個組織之間建立 Active Directory 信任關係,並管理服務帳戶認證。
為了讓收件者能在 Exchange 通訊清單中顯示,許多組織使用如 GALSync 等不同的工具,將不同組織之間的收件者進行同步處理。對於多個外部組織,設定信任關係、管理認證和進行複寫,都是困難且麻煩的工作。建立 Active Directory 樹系,或進行網域信任與認證管理,也牽涉到安全上的問題。此外也需要開放兩個組織之間防火牆的其他連接埠,或建立虛擬私人網路 (VPN)。
在 Exchange Server 2007 中引進了 Exchange Web 服務、可用性服務與 Client Access Server 角色後,再也不需要複寫公用資料夾的空閒/忙碌資料。但是,仍需要信任或認證資訊,以及進行全域通訊清單 (GAL) 同步處理工作,讓空閒/忙碌資訊可供外部組織使用。
共用 [行事曆] 或 [連絡人] 資料夾時,也需將存取資料夾的權限指派給受信任組織中的使用者。唯一的完成方法就是建立兩個組織之間的 Active Directory 信任關係,這意味著有其他安全考量。
如需詳細資訊,請參閱如何為跨樹系拓撲設定可用性服務。
Exchange 2010 與同盟委派之前的共同作業
同盟委派
在 Exchange 2010 中使用同盟委派時,使用者可透過建立同盟信任,以及建立 Exchange 2010 組織之間的組織關係,與外部同盟組織中的收件者共用資訊。組織也可使用共用原則,讓使用者與其他組織中的收件者建立個別共用關係。同盟委派使用 Microsoft 同盟閘道 (Microsoft 雲端式服務) 作為兩個同盟組織之間的信任代理人。若要啟用同盟委派,您要在其之間共用資訊的組織只需要與 Microsoft 同盟閘道 建立單次同盟信任,並設定彼此之間的組織關係或共用原則。
.gif "重要事項") 重要事項: |
|---|
| 如果您將 Exchange 2010 組織的同盟組織識別碼停用,則您組織所有的同盟功能均將停用。 |
若要深入了解 Microsoft 同盟閘道 和同盟信任,請參閱下列主題:
同盟委派提供兩種方式,讓使用者與外部收件者共用行事曆和連絡人資訊:組織關係與共用原則。
組織關係
組織關係可讓您啟用與其他同盟組織的同盟委派,以達到在兩個組織的使用者之間共用行事曆空閒/忙碌資訊的目的。組織關係是兩個組織之間一對一的關係。不需要複雜的 Active Directory 樹系或是在兩個組織之間設定網域信任 (這也需要開放兩個組織之間防火牆上的多個連接埠,或是建立 VPN),兩個組織只需要與 Microsoft 同盟閘道 建立一個同盟信任,並在設定彼此的組織關係之前設定其同盟組織識別碼即可。
組織關係需求
以下是組織關係需求:
每個 Exchange 2010 組織中都有一個 Exchange Client Access Server。
每個 Exchange 組織都與 Microsoft 同盟閘道 建立同盟信任。
每個 Exchange 組織都已設定同盟組織識別碼。用於產生使用者電子郵件地址的網域已新增至組織識別碼。
每個相對應的組織中需有組織關係。
代管使用者信箱的信箱伺服器可以連繫 Microsoft 同盟閘道 伺服器與同盟合作夥伴組織 CAS 伺服器。
.gif "注意事項") 附註: |
|---|
| Office Outlook 2007 使用者無法指定外部收件者的 SMTP 位址,以顯示可用性資訊。您必須從 GAL 中挑選收件者,這需要與外部組織進行 GAL 同步處理。在 Outlook 2007 Service Pack 2 (SP2) 信箱伺服器上有信箱的 Exchange 2007 使用者,可以使用 Office Outlook Web Access SP2 Client Access Server 的 Exchange 2007。 |
建立組織關係
在您與外部組織建立組織關係後,外部組織中的使用者便可存取您使用者的空閒/忙碌資訊。不需複寫 GAL 資訊。在適當的指定此設定後,Outlook 2010 與 Office Outlook Web App 使用者在排程會議時只需輸入外部收件者的 SMTP 位址即可。
建立組織關係時,您可以指定下列三個行事曆可用性存取層級的其中一個:
沒有空閒/忙碌存取
僅在空閒/忙碌時存取
空閒/忙碌存取的時間,再加上主旨與位置
若要讓您組織的使用者存取外部使用者的空閒/忙碌資訊,或允許與外部組織單向共用其空閒/忙碌資訊,外部組織的系統管理員也必須與您的組織建立組織關係。不過,外部系統管理員可為其使用者指定與您所指定層級不同的存取層級。在單向共用範例中,外部系統管理員會設定其組織關係,以便其使用者的空閒/忙碌資訊不會與您組織中的使用者共用,但是根據您的組織關係設定,您使用者的空閒/忙碌資訊會讓外部組織的使用者看見。
| 附註: |
|---|
| 如果使用者不要將其空閒/忙碌資訊與他人分享,他們可修改 Outlook 的預設權限項目。若要執行此動作,使用者可瀏覽至 [行事曆內容] > [權限] 索引標籤,選取 [預設] 權限,然後選取 [權限層級] 清單中的 [無]。內部或外部使用者將看不見其空閒/忙碌資訊,即使是與外部組織之間存在有組織關係,也無法看見。組織關係接受使用者所設定的權限。 |
在您建立組織關係時,Exchange 2010 會連線到由外部組織發行的自動探索 Web 服務,以取得可用性服務端點。在建立關係時,您也可以手動指定外部組織的可用性服務端點。
若要與外部組織建立組織關係,您可以使用 Exchange 管理主控台 (EMC) 中的「新增組織關係」精靈,或是 Exchange 管理命令介面中的 New-OrganizationRelationship 指令程式。
如需如何建立組織關係的詳細指示,請參閱建立組織關聯性。
共用原則
不像組織關係只允許與其他同盟 Exchange 組織中的收件者共用空閒/忙碌資訊,共用原則可允許與不同類型的外部使用者針對行事曆和連絡人資訊進行使用者建立、人員對人員的共用。共用原則可讓您的使用者與其他外部同盟組織中的收件者共用空閒/忙碌和連絡人資訊 (包括 [行事曆] 與 [連絡人] 資料夾)。對於不在外部同盟組織中或不在非 Exchange 組織中的收件者,共用原則可允許透過使用網際網路行事曆發佈,與匿名使用者對其行事曆資訊進行人員對人員共用。
使用共用原則時,您不需要管理使用者的共同作業關係。反之,他們可以決定要與哪些外部收件者合作。使用 Outlook 2010 或 Outlook Web App 時,使用者可以邀請其他同盟網域中的外部收件者存取其 [行事曆] 或 [連絡人] 資料夾,此外也要求外部收件者共用其相同資訊。使用者還可對任何可以連上網際網路的個人,授與匿名存取其行事曆資訊的權限。使用共用原則時,您只需控制他們能與哪些類型的使用者共用資訊,以及可以共用多少資訊。您也可以視需要停用使用者或群組的共用原則。
共用原則會指派給信箱使用者。套用到使用者的預設共用原則可允許可用性資訊與所有外部同盟網域共用。在您與 Microsoft 同盟閘道 建立同盟信任並設定同盟組織識別碼後,使用者便能邀請任何外部同盟組織中的使用者共用其行事曆與連絡人資訊。
| 重要事項: |
|---|
| 若要參與同盟委派,外部使用者的組織也必須與 Microsoft 同盟閘道 建立同盟信任,同盟組織識別碼也必須設定完成。 |
若要讓使用者的行事曆由非同盟網域組織中的收件者存取,例如家庭成員、朋友或非 Exchange 組織中的使用者,應該建立不同的共用原則,以便允許透過使用網際網路行事曆發佈進行匿名行事曆存取。如需詳細資訊,請參閱啟用網際網路行事曆發佈。
共用原則可包含許多成對的網域名稱和共用動作,以讓這些網域的使用者運用。如下圖所示,您可以指定下列動作,這些動作會套用至在共用原則中指定的外部網域上:
僅共用空閒/忙碌資訊的行事曆
共用空閒/忙碌資訊,外加主旨與位置的行事曆
共用空閒/忙碌資訊,外加主旨、位置與內文的行事曆
共用連絡人
僅共用空閒/忙碌資訊的行事曆,共用連絡人
共用空閒/忙碌資訊,外加主旨與位置的行事曆,共用連絡人
共用空閒/忙碌資訊,外加主旨、位置與內文的行事曆,共用連絡人
共用動作的行事曆
建立共用邀請時,您的使用者可以選取要共用的資訊 (如果使用者的共用原則允許此動作的話)。例如,假設您使用下列設定為 Fabrikam 及其他同盟網域組織建立共用原則:
共用空閒/忙碌資訊,外加主旨與位置的行事曆,適用 Fabrikam.com 的外部使用者
僅共用空閒/忙碌資訊的行事曆,適用於所有其他同盟網域組織的外部使用者 (以星號 [*] 表示)
已套用此原則的使用者能與其他同盟網域組織共用其行事曆空閒/忙碌資訊,或者也能共用其他有限詳細資料,如果他們邀請來自 Fabrikam.com 的使用者的話。
如需如何建立共用原則的詳細資訊,請參閱建立共用原則。
如需如何將共用原則套用至使用者的詳細資訊,請參閱將共用原則套用至信箱。
同盟共用原則需求
以下是在同盟網域組織之間共用原則的需求:
每個 Exchange 2010 組織中都有一個 Exchange Client Access Server。
每個 Exchange 組織都與 Microsoft 同盟閘道 建立同盟信任。
每個 Exchange 組織都已設定同盟組織識別碼。用於產生使用者電子郵件地址的網域已新增至組織識別碼。
使用者信箱位於每個 Exchange 2010 組織的 Exchange 信箱伺服器上。
只有 Outlook 2010 和 Outlook Web App 使用者可以建立共用邀請。
非同盟共用原則需求
以下是與非同盟網域組織共用原則或個別匿名存取的需求:
Exchange 2010 Client Access Server 需在共用使用者行事曆資訊的 Exchange 組織中。
使用者信箱位於共用使用者行事曆資訊之 Exchange 組織的 Exchange 2010 信箱伺服器上。
必須啟用 Client Access Server 以存取 Outlook Web App。
比較組織關係與共用原則
雖然組織關係與共用原則允許與外部使用者共用空閒/忙碌資訊,但它們是預期用於不同情況。組織關係的建立目的是要與外部同盟組織合作,且僅限於共用空閒/忙碌資訊。共用原則管理您的使用者能與外部同盟組織、非同盟 Exchange 組織和非 Exchange 組織中的使用者及匿名使用者共用哪些行事曆和連絡人資訊。
下表列出組織關係與共用原則之間的差異。
組織關係與共用原則的比較
| 功能 | 組織關係 | 共用原則 |
|---|---|---|
需要您組織的同盟信任 |
是 |
是,如果與其他同盟網域組織共用的話。不是網際網路共用原則所必需。 |
建議外部網域加入同盟 |
是 |
是,如果與其他同盟網域組織共用的話。不是網際網路共用原則所必需。 |
允許與外部組織共用一組使用者的空閒/忙碌資訊 (包括主旨與位置)。 |
是 |
否 |
允許共用含空閒/忙碌資訊的行事曆資料夾 |
否 |
是 |
允許共用含空閒/忙碌資訊 (包括主旨及內文) 的行事曆資料夾 |
否 |
是 |
允許共用連絡人 |
否 |
是,如果與其他同盟網域組織共用的話。不是網際網路共用原則所必需。 |
需要使用者將共用邀請寄給外部收件者 |
否 |
是 |
提供存取方法 |
您的 Client Access Server 會存取外部組織的 Client Access Server,並在要求時擷取外部使用者的空閒/忙碌資訊。 |
您的 Client Access Server 會存取外部組織的 Client Access Server,並為同盟網域組織訂閱外部使用者的 [行事曆] 或 [連絡人] 資料夾。針對網際網路共用原則,外部使用者可存取 Client Access Server 上的受限或公開 URL。 |
可套用至所有外部網域 |
否 (兩個 Exchange 2010 組織之間一對一的關係) |
是 |
提供使用者與外部收件者共用的不同經驗 |
否 |
是,根據套用的共用原則 |
停用某些使用者的共用 |
是,藉由為組織關係指定安全性通訊群組 |
是,藉由停用套用的共用原則 |
需要信箱位於 Exchange 2010 信箱伺服器上 |
否 |
是 |
Exchange 2010 與同盟委派之前的共同作業
同盟委派的防火牆考慮事項
同盟委派功能需要您組織中的 Mailbox server 和 Client Access Server 可使用 HTTPS 向外存取網際網路。您必須允許 HTTPS 向外存取 (連接埠 443 供 TCP 使用) 組織中所有的 Exchange 2010 Mailbox Server 和 Client Access Server。
為了讓外部組織存取您組織的空閒/忙碌資訊,您必須將一個 Client Access Server 發行至網際網路。這需要 HTTPS 從網際網路向內存取 Client Access Server。Active Directory 站台若未將 Client Access Server 發行至網際網路,則站台中的 Client Access Server 可以使用其他可從網際網路存取的 Active Directory 站台中的 Client Access Server。尚未發行至網際網路的 Client Access Server 必須有 Web 服務虛擬目錄的外部 URL,該虛擬目錄已設定外部組織看得到的 URL。
Exchange 2010 與同盟委派之前的共同作業
與 Exchange 2007 共存
在同時包含 Exchange 2010 和 Exchange 2007 伺服器的組織中,在 Exchange 2007 信箱伺服器上有信箱的使用者可以使用組織關係,與外部同盟網域組織中的收件者共用空閒/忙碌資訊。信箱伺服器必須執行 Exchange 2007 SP2 或更新版本,且您在 Exchange 2010 組織中必須至少有一個 Exchange Client Access Server。您可以透過在組織中引入單一 Exchange 2010 Client Access Server 來使用組織關係,以提供比同步化空閒/忙碌資訊且需要 GAL 同步處理的解決方案更健全的解決方案。
使用 Outlook 2010 或 Outlook Web App 在 Exchange 2007 伺服器上排程會議時,在 Exchange 2007 伺服器上有信箱的使用者可以看到外部組織中使用者的空閒/忙碌資訊。外部組織中的收件者可看見 Exchange 2007 信箱的空閒/忙碌資訊。
共用原則會指派給 Exchange 2010 信箱使用者。若要使用共用原則,信箱必須位在 Exchange 2010 信箱伺服器上。只有 Outlook 2010 與 Outlook Web App 用戶端可用於產生或回應共用邀請。
Exchange 2010 與同盟委派之前的共同作業
與 Exchange 2003 共存
在同時包含 Exchange 2010 和 Exchange 2003 伺服器的組織中,在 Exchange 2003 伺服器上有信箱的使用者可以使用組織關係,與外部同盟網域組織中的收件者共用空閒/忙碌資訊。信箱伺服器必須執行 Exchange Server 2003 SP2 或更新版本,且您在 Exchange 2010 組織中必須至少有一個 Exchange 2003 Client Access Server 和公用資料夾伺服器。Client Access Server 是用來作為所有輸入與輸出空閒/忙碌要求的 Proxy,並設定組織關係內容。公用資料夾伺服器包含並管理 Exchange 2003 公用資料夾資料的複本,以讓其他同盟 Exchange 2010 組織用於存取空閒/忙碌資訊。
內部及外部 Exchange 信箱使用者可以使用 Exchange 2003、Outlook 2003、Outlook 2007 或 Outlook 2010,檢視 Outlook Web App 組織中的空閒/忙碌資訊。共用原則只會指派給 Exchange 2010 信箱使用者。若要使用共用原則,信箱必須位在 Exchange 2010 信箱伺服器上。您無法將共用原則套用至 Exchange 2003 伺服器上的信箱。
Exchange 2010 與同盟委派之前的共同作業
建立組織關係與共用原則
在此範例中,您是 Contoso, Ltd 公司的系統管理員,您公司已與 Fabrikam, Inc. 訂立協議,以開發由兩家公司共同行銷與銷售的產品。為了讓兩家公司之間能夠合作,兩家公司行銷與工程部門的使用者必須存取彼此的可用性資訊。這項合作讓使用者的費力最小,甚至毫不費力。
Contoso 也與 Litware, Inc. 合作,這項合作僅限於一小組的使用者。兩家公司的使用者應能夠建立彼此之間的共用關係,且應允許共用連絡人和空閒/忙碌資訊,其他的行事曆資訊則不應共用。
此外,Contoso 使用者希望能與家庭成員共用其行事曆資訊,以協助協調他們在 Outlook 中管理的外部活動。
最後一點,進行共用時不必:
建立任何 Active Directory 樹系或網域信任。
在組織或個人之間交換認證。
在組織或個人之間建立 VPN。
若要完成此案例,請採取下列步驟:
若要設定與 Fabrikam 和 Litware 的同盟委派,請與 Microsoft 同盟閘道 建立同盟信任 (若尚未建立的話)。這不是與 Contoso 使用者的家庭成員共用資訊所必需。此為一次性程序,必須執行此程序才能使用 Exchange 2010 同盟功能。此程序需要 Microsoft 同盟閘道 信任憑證授權單位發行 X.509 憑證。如需詳細資訊,請參閱建立同盟信任。
設定同盟組織識別碼 (若尚未設定的話)。此程序需要您將公司中欲啟用同盟功能的公認網域新增至組織識別碼。此為一次性程序,必須執行此程序才能使用 Exchange 2010 同盟功能。如需詳細資訊,請參閱管理同盟。
與 Fabrikam, Inc. 建立組織關係。如需詳細資訊,請參閱建立組織關聯性。請執行下列動作:
若要判定 Fabrikam 公司是否已建立同盟,請使用 Get-FederationInformation 指令程式。
選取包含行銷與工程部門成員的通訊群組。Fabrikam 使用者將可看見這些使用者的可用性資訊。
若要讓兩家公司的使用者都能看見彼此的可用性資訊,Fabrikam, Inc. 的系統管理員也必須與您公司建立組織關係。
為必須與 Litware.com 網域中的使用者合作的使用者建立共用原則。如需詳細資訊,請參閱建立共用原則。使用下列規格建立共用原則:
若要判定 Litware 組織是否已建立同盟,請使用 Get-FederationInformation Cmdlet。
將 Litware.com 網域新增至共用原則。
為此原則選取 [僅共用空閒/忙碌資訊的行事曆,共用連絡人] 動作。
將此原則指派給您公司中需要與 Litware 使用者合作的使用者。如需詳細資訊,請參閱將共用原則套用至信箱。
為需要與其家庭成員合作的 Contoso 使用者建立匿名共用原則。如需詳細資訊,請參閱建立共用原則。使用下列規格建立共用原則:
在 Client Access Server 上設定發佈虛擬目錄。如需詳細資訊,請參閱Set-OwaVirtualDirectory
設定信箱伺服器的 Webproxy URL。執行方式是使用具有 InternetWebProxy 參數的 set-ExchangeServer Cmdlet。
啟用 Client Access Server 虛擬目錄以進行匿名發佈。
在與 Fabrikam, Inc. 建立組織關係,以及與 Litware, Inc. 和 Contoso 使用者建立共用原則後,便可使用下列功能:
所有的使用者都能檢視 Fabrikam 公司行銷與工程部門使用者的可用性資訊。
您組織中已套用新共用原則的使用者能夠將個別共用邀請寄給 Litware, Inc. 的使用者。
Contoso 使用者只要提供指向其發佈的行事曆的連結,即可邀請朋友和家人檢視其行事曆資訊。家庭成員不需要特殊認證即可存取該資訊。
Exchange 2010 與同盟委派之前的共同作業
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。