本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設定同盟信任

Exchange 2013
 

適用版本:Exchange Server 2013

上次修改主題的時間:2017-07-26

同盟信任會建立 Microsoft Exchange 2013組織和Azure Active Directory驗證系統之間的信任關係。透過設定同盟信任,您可以設定與共用行事曆空閒/忙碌資訊的收件者之間其他同盟 Exchange 組織的同盟共用。兩個同盟的Exchange 2013組織之間或同盟的Exchange 2013組織和同盟的Exchange 2010組織之間可以設定同盟共用。您也可以設定與 Office 365 組織共用。

注意事項注意事項:
建立同盟信任是在您 Exchange 組織中設定同盟共用的數個步驟之一。若要檢閱所有步驟,請參閱設定同盟共用

如需與同盟相關的其他管理工作,請參閱同盟程序

重要事項重要事項:
此 Exchange Server 2013 功能與中國的 21Vianet 所運作的 Office 365 不完全相容,部分功能可能受限。如需詳細資訊,請參閱了解 21Vianet 運作的 Office 365

  • 預估完成時間:30 分鐘。

  • 您必須已獲指派權限,才能執行此程序或這些程序。若要查看您需要的權限,請參閱「 同盟與憑證?Exchange 及命令介面基礎結構權限主題中的權限項目。

  • 用於建立同盟信任的網域應該要能夠從網際網路進行解析。若要這麼做,必須向網域註冊機構註冊該網域,並將網域的網域名稱系統 (DNS) 區域存放在可從網際網路存取的 DNS 伺服器上。如果組織可以接收該網域的網際網路電子郵件,表示已符合這些需求。

  • 您將需要新增 TXT 記錄到您的公用 DNS。請檢閱將 TXT 記錄新增至裝載公用 DNS 記錄之組織的需求。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

  • 這兩個Exchange組織同盟共用關係必須使用相同的Azure AD驗證系統對於其同盟信任。設定同盟共用的兩個內部部署Exchange組織之間或內部Exchange組織部署和主控的Office 365Exchange組織之間時將套用此需求。

  • 當您為Exchange 2013組織與Azure AD驗證系統建立同盟信任時,同盟信任會使用Azure AD驗證系統的商務執行個體。不過,其他同盟 Exchange 組織與舊版 Exchange 的和現有的同盟信任使用Azure AD驗證系統的商務或取用者執行個體。

    下列Exchange組織預設使用Azure AD驗證系統的商務執行個體:

    • 使用 [啟用同盟信任] 精靈與自行簽署的憑證建立同盟信任的 Exchange 2013 組織。

    • Exchange 2010SP1 或更新版本組織使用新的同盟信任] 精靈與自行簽署的憑證建立同盟信任。

    • Office 365 所主控的 Exchange 組織,例如 Exchange Online。

    下列Exchange組織預設使用Azure AD驗證系統的用戶執行個體:

    • 釋出的量產發行 (RTM) 版本的Exchange 2010組織使用協力廠商憑證授權單位所發出的憑證。

    建議所有Exchange組織的同盟信任都使用Azure AD驗證系統的商務執行個體。之前設定兩個的 Exchange 組織之間的同盟共用,您必須確認每個Exchange組織使用的任何現有的同盟信任之Azure AD驗證系統執行個體。若要判斷Exchange組織要使用現有的同盟信任之Azure AD驗證系統執行個體,請執行下列命令介面。

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    商務執行個體傳回 TokenIssuerURIs 參數的 <uri:federation:MicrosoftOnline> 值。

    用戶執行個體傳回 TokenIssuerURIs 參數的 <uri:WindowsLiveID> 值。

    若要設定與現有的同盟信任正在使用Azure AD驗證系統的商務執行個體的Exchange組織的同盟共用,請遵循本主題中的步驟。這些步驟都是所有您需要執行建立可用來啟用同盟共用的兩個Exchange 2013組織之間或Exchange 2013組織和已經使用Azure AD驗證系統的商務執行個體Exchange 2010組織之間的同盟信任。

    若要設定Exchange 2013組織和Exchange組織有現有的同盟信任所使用的用戶執行個體Azure AD驗證系統之間的同盟共享,Exchange 組織使用的用戶執行個體應安裝 Exchange 2010 SP2 或更新版本,或升級至Exchange 2013。如果您決定要安裝 Exchange 2010 SP2 或更新版本中,使用新的同盟信任精靈來移除並重新建立現有的同盟的網域和同盟信任。重新建立同盟信任之時,會使用Azure AD驗證系統的商務執行個體。

  1. 在內部部署組織中的 Exchange 2013 伺服器上,瀏覽至 [組織] > [共用]。

  2. 按一下 [啟用] 以啟動 [啟用同盟信任] 精靈。

  3. 精靈完成之後,請按一下 [關閉]。

  4. 在 [共用] 標籤的[同盟信任] 區段中,按一下 [修改]。

  5. 在 [已啟用共用的網域] 中,在 [步驟 1] 旁邊,按一下 [瀏覽]。

  6. 在 [選取公認的網域] 中,從清單中選取主要的共用網域,接著按一下 [確定]。

    注意事項注意事項:
    您所選取的網域將會用來設定同盟信任的 OrgID。如需 OrgID 的詳細資訊,請參閱同盟
  7. 記下針對主要共用網域產生的同盟網域證明。您將使用此字串在公用 DNS 伺服器上建立 TXT 記錄。

    重要事項重要事項:
    同盟的網域證明為英數字元的字串。若要避免輸入的錯誤,建議您複製從 EAC 中的字串,將它貼到 [記事本] 之類的文字編輯器。您可以再從文字編輯器將其複製到剪貼簿,然後貼到文字欄位建立 TXT 記錄時。如果使用建立 TXT 記錄不正確的同盟網域證明字串、 Azure AD驗證系統將不能夠確認證明網域擁有權和您不可以將它新增至同盟的組織識別碼。
  8. [步驟 2] 中,按一下 [新增]加入圖示,以將其他網域新增至針對需要同盟共用功能之組織使用者所使用電子郵件地址的同盟信任。例如,如果您的使用者在其電子郵件地址中使用子網域 (例如 sales.contoso.com),您便需要將 sales.contoso.com 網域新增至同盟信任。

    注意事項注意事項:
    其他每個選取的網域都會建立同盟網域證明字串。您必須在其他每個網域的公用 DNS 上建立不同的 TXT 記錄。
  9. 使用為每個網域建立的同盟網域證明字串,為您公用 DNS 伺服器上這些網域中每一個建立 TXT 記錄。視您的公用 DNS 主機的更新排程而定,DNS 變更的複寫可能需要 15 分鐘或更長的時間。

  10. 在建立並複寫 TXT 記錄後,按一下 [更新]。

  1. 此範例會建立要與憑證搭配使用的唯一主體金鑰識別碼。

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. 本範例以Azure AD驗證系統建立同盟信任自我簽署的憑證。

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. 此範例會擷取自我簽署憑證並建立同盟信任 "Azure AD authentication"。這樣會自動將自我簽署憑證部署到組織中的 Exchange 伺服器。

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD authentication"
    

如需詳細的語法及參數資訊,請參閱 New-ExchangeCertificateNew-FederationTrust

成功完成 [啟用同盟信任] 與 [已啟用共用的網域] 精靈即表示同盟信任如預期完成設定。

若要更進一步驗證您已成功建立與設定同盟信任,請執行下列操作:

  1. 執行下列命令介面命令,確認同盟信任資訊。

    Get-FederationTrust | format-list
    
  2. 執行下列命令介面命令,確認可以從您的組織擷取同盟資訊。

    Get-FederationInformation -DomainName <your primary sharing domain>
    

如需詳細的語法及參數資訊,請參閱 Get-FederationTrustGet-FederationInformation

提示提示:
有問題嗎?在 Exchange 論壇中尋求協助。此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection
 
顯示: