管理同盟信任

  • 發行項

適用於:Exchange Server 2013

同盟信任會在 Microsoft Exchange 2013 組織與Microsoft Entra驗證系統之間建立信任關係,並支援與其他同盟 Exchange 組織進行同盟共用。 一般而言,同盟信任建立後不需要進行管理或調整。 不過,可能會有需要新增或移除同盟網域或重設用於設定同盟信任的組織識別碼網域之情況發生。

注意事項

修改現有的同盟信任,特別是用來定義 OrgID 的主要共用網域,可能會中斷同盟 Exchange 組織之間的同盟共用,或與 Microsoft 365 或Office 365組織的混合式部署。

如需與同盟相關的其他管理工作,請參閱 同盟程式

重要事項

此 Exchange Server 2013 功能與中國的 21Vianet 所運作的 Office 365 不完全相容,部分功能可能受限。 如需詳細資訊,請參閱了解 21Vianet 運作的 Office 365

開始之前有哪些須知?

  • 預估完成時間:30 分鐘。

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱Exchange 和 Shell 基礎結構許可權主題中的同盟和憑證許可權專案。

  • 您將需要為每個新增到同盟信任的新同盟網域新增 TXT 記錄到公用 DNS 。 請檢閱將 TXT 記錄新增至裝載公用 DNS 記錄之組織的需求。

  • 本主題目的為,依照下列設定設定現有同盟信任:

    • Contoso.com 是同盟信任的主要共用網域。 (此網域將不會變更。)

    • 同盟網域 service.contoso.comsales.contoso.com 皆包含在現有同盟信任內。

    • Marketing.contoso.com 是 Exchange 組織中公認的網域。

  • 本主題同時涵蓋其他同盟管理工作,例如檢視並管理用於同盟信任的憑證,以及檢視命令介面的同盟信任參數。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

使用 EAC 來管理同盟信任

  1. 在內部部署組織中的 Exchange 2013 伺服器上,流覽至組織>共用

  2. 在 [同盟信任] 區段上,按一下 [修改]

  3. 在 [ 已啟用共用的網域] 中,略過 步驟 1 ,因為主要共用網域並未變更。

  4. 步驟 2中,選 取 service.contoso.com 網域,然後按一下 [移除移除] 圖示。 表示從同盟信任中移除網域。

  5. 步驟 2 中,按一下 [新增圖示]。

  6. 在[選取公認的網域]中,從公認的網域清單中選取 [marketing.contoso.com]後,再按一下 [確定] 來新增網域到同盟信任。

    重要事項

    將為 [marketing.contoso.com] 網域建立同盟信任網域證明字串。 您必須在此網域的公用 DNS 建立不同的 TXT 記錄。

  7. 使用為 [marketing.contoso.com] 網域建立的同盟信任網域證明字串,在此公用 DNS 伺服器上建立 TXT 記錄。 視您的公用 DNS 主機的更新排程而定,DNS 變更的複寫可能需要 15 分鐘或更長的時間。

  8. 建立並複製 TXT 記錄後,按一下 [更新]

使用命令介面來管理同盟信任

  1. 此範例會從同盟信任中移除 service.contoso.com 網域。

    Remove-FederatedDomain -DomainName service.contoso.com

  2. 這個範例會將網域 marketing.contoso.com 新增至同盟信任。

    Add-FederatedDomain -DomainName marketing.contoso.com

如需詳細的語法及參數資訊,請參閱 Remove-FederatedDomainAdd-FederatedDomain

執行下列命令介面命令以管理同盟信任的其他層面:

  1. 檢視同盟 OrgID 與同盟網域

    這個範例會顯示 Exchange 組織的 OrgID 和相關的資訊,包括同盟網域與狀態。

    Get-FederatedOrganizationIdentifier

  2. 檢視同盟信任憑證

    此範例會顯示同盟信任「Microsoft Entra驗證」所使用的先前、目前和下一個憑證。

    Get-FederationTrust "Azure AD authentication" | Select Org*certificate

  3. 檢查同盟憑證狀態

    這個範例顯示組織中所有信箱與用戶端存取伺服器上的同盟憑證的狀態。

    Test-FederationTrustCertificate

  4. 設定同盟信任,將憑證作為下一個憑證

    此範例會設定同盟信任「Microsoft Entra驗證」,以使用憑證搭配提供的指紋作為下一個憑證。 將憑證部署到組織中所有的 Exchange 伺服器之後,可以使用 PublishCertificate 參數設定信任使用此一同盟憑證做為目前憑證。

    Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17

  5. 設定同盟信任使用下一個憑證作為目前的憑證

    此範例會將同盟信任Microsoft Entra驗證設定為使用下一個憑證作為目前的憑證,並將其發佈至Microsoft Entra驗證系統。

    Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate

    警告

    在設定同盟信任使用下一個憑證做為目前同盟憑證之前,請確定您組織中所有的 Exchange 伺服器上已部署了憑證。 使用 Test-FederationTrustCertificate 指令程式檢查憑證的部署狀態。

  6. 從Microsoft Entra驗證系統重新整理同盟中繼資料和憑證

    本範例會重新整理同盟信任Microsoft Entra驗證之Microsoft Entra驗證系統的同盟中繼資料和憑證。

    Set-FederationTrust "Azure AD authentication" -RefreshMetadata

如需詳細的語法及參數資訊,請參閱下列主題:

注意事項

如果租使用者裝載于Office 365美國政府 GCC High 或 DoD 環境中,則還有其他考慮。 在這些環境中,您必須在內部部署 Exchange 環境中執行 Set-FederationTrust Cmdlet,並針對 MetadataUrl 參數執行不同的值。 如需詳細資訊,請參閱 Set-FederationTrust

如何知道這是否正常運作?

成功完成的 [啟用共享網域] 精靈是您的第一個指示,代表已如預期設定同盟信任。

若要進一步確認完成,請執行下列操作:

  1. 執行下列命令介面命令,確認同盟信任資訊。

    Get-FederationTrust | format-list

  2. 執行下列命令介面命令,確認可以從您的組織擷取同盟資訊。 例如,確認在 DomainNames 參數中傳回 sales.contoso.com 和 marketing.contoso.com 網域。

    Get-FederationInformation -DomainName <your primary sharing domain>

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。