Planifier l’intégration d’Exchange 2016 avec SharePoint et Skype Entreprise

L'intégration d'Exchange 2016 avec SharePoint Server 2016 et Skype Entreprise garantit des services qui permettent de conserver, d'archiver, puis de consulter rapidement la messagerie électronique, les documents et d'autres types de contenu. Ensemble, ces applications d'entreprise rendent des scénarios possibles tels que eDiscovery et la collaboration à l'aide des boîtes aux lettres de site pour que votre organisation puisse conserver des données importantes. De nos jours, la capacité à archiver, puis à rechercher des e-mails et des documents le cas échéant est essentielle pour la plupart des organisations afin de répondre aux exigences réglementaires et de conformité. Vous pouvez utiliser Exchange 2016 avec SharePoint 2016 et Skype Entreprise pour :

• Boîtes aux lettres Exchange d'archivage

• Contenu Skype Entreprise archivé

• Conservation des documents et des sites web SharePoint Server 2016

• Recherches dans les magasins à l'aide de la fonctionnalité eDiscovery

• Authentification de façon transparente sur les serveurs

La fonctionnalité Centre eDiscovery présentée dans SharePoint 2013 permet l'identification, la conservation, la collection, le traitement et l'analyse du contenu. Dans un environnement Exchange, eDiscovery vous permet d'archiver le contenu identifié sur SharePoint Server 2016, Skype Entreprise et Exchange. Vous pouvez utiliser la fonctionnalité Centre eDiscovery pour créer des sites de cas eDiscovery utilisés pour organiser les archives permanentes, les requêtes et les exportations pour un cas particulier.

Exchange 2016, SharePoint Server 2016 et Skype Entreprise Server utilisent le protocole standard, Open Authorization (OAuth), pour l'authentification de serveur à serveur afin de fournir la fonctionnalité inter-produits décrite ici. Ces applications utilisent le même protocole pour s'authentifier entre elles de manière transparente, en toute sécurité. La méthode d'authentification prend en charge l'authentification en tant qu'application par l'intermédiaire d'un compte lié et l'emprunt d'identité d'un utilisateur où la demande d'accès est faite dans le contexte utilisateur. Vous pouvez en savoir plus sur OAuth plus loin dans cet article dans la section Authentification de serveur à serveur à l’aide d’OAuth .

Remarque

Pour les entreprises qui utilisent Lync Server 2013, vous pouvez toujours utiliser pleinement les fonctionnalités décrites dans cette rubrique.

Contenu Skype Entreprise archivé dans Exchange 2016

Lorsque Exchange 2016 et Lync Server 2013 sont déployés dans une organisation, vous pouvez configurer Skype Entreprise pour archiver les messages instantanés et le contenu des réunions en ligne, notamment les présentations ou les documents partagés dans la boîte aux lettres Exchange 2016 de l'utilisateur. L'archivage des données Skype Entreprise dans Exchange 2016 vous permet de leur appliquer des stratégies de rétention. Le contenu Skype Entreprise archivé apparaît également dans les recherches eDiscovery. Pour plus d'informations sur l'archivage de contenu Skype Entreprise et son déploiement, consultez les rubriques suivantes :

• Planification de l'archivage

• Déploiement de l'archivage

Conserver des documents dans SharePoint Server 2016

Vous pouvez créer une conservation basée sur la requête pour conserver les éléments qui répondent aux critères définis avec une conservation inaltérable.

Par exemple, la conservation pour litige conserve tout élément supprimé, ainsi que les versions originales des éléments modifiés jusqu'à ce que la conservation soit supprimée. Vous pouvez éventuellement spécifier une durée d'attente, ce qui permet de conserver un élément de boîte aux lettres pendant la durée désignée. Si vous spécifiez une durée d'attente, cette dernière débute à partir de la date de réception d'un message ou de la date de création d'un élément de boîte aux lettres. Pour plus d'informations, consultez la rubrique Créer ou supprimer une conservation inaltérable.

Pour plus d'informations sur eDiscovery, consultez les rubriques suivantes :

• EDiscovery in-Place dans Exchange Server

• Conservation sur place et conservation pour litige dans Exchange Server

• Configurer eDiscovery dans SharePoint Server

• Nouveautés d’eDiscovery dans SharePoint Server

• Configurer Exchange pour le centre eDiscovery SharePoint

Effectuer des recherches sur les applications à l'aide de la fonctionnalité eDiscovery

SharePoint Server 2016 fournit la fonctionnalité Centre eDiscovery pour vous aider à rechercher, puis à transférer du contenu pertinent le cas échéant afin de répondre aux exigences réglementaires. eDiscovery est le processus de recherche, de conservation, d'analyse et de production de contenu au format numérique nécessaire en cas de litige ou d'enquête. Vous pouvez utiliser eDiscovery sur les fichiers Exchange 2016, SharePoint Server 2016 et Skype Entreprise. Vous pouvez également protéger le contenu inaltérable que vous avez identifié avec les requêtes eDiscovery, puis exporter les résultats en mode hors connexion pour les transférer à des fins de révision juridique. Une conservation inaltérable dans eDiscovery vous permet de :

• Protéger le contenu inaltérable en temps réel et à des coûts de stockage réduits, sans affecter le travail quotidien des utilisateurs.

• Demander la collecte du contenu pertinent à jour et des questions brèves aux statistiques.

• Exporter le contenu pertinent en mode hors connexion et portable.

Si votre organisation satisfait à des exigences de découverte légale, c'est-à-dire dans le cadre d'une stratégie organisationnelle, d'exigences de conformité ou de procès, In-Place eDiscovery dans Exchange Server 2016 vous permet d'effectuer des recherches de découverte de contenu pertinent dans les boîtes aux lettres. Vous pouvez également utiliser In-Place eDiscovery dans un environnement hybride Exchange pour rechercher des boîtes aux lettres locales et informatiques dans la même recherche.

Lorsque vous configurez l'authentification de serveur à serveur entre Exchange 2016 et SharePoint Server 2016 dans les déploiements locaux, les administrateurs et les responsables de la mise en conformité peuvent utiliser la fonctionnalité Centre eDiscovery. Pour plus d'informations, consultez la rubrique Configure Exchange for SharePoint eDiscovery Center. Pour plus d'informations sur le déploiement hybride, consultez la rubrique Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment.

Vous pouvez identifier et réduire votre ensemble de données à l'aide de la syntaxe de mots clés, des restrictions de propriété et des affinements. L’expérience de requête se concentre sur les statistiques des sources individuelles et des fragments de requête pour vous aider à prendre des décisions sur le contenu que vous recherchez. Vous pouvez également afficher un aperçu du contenu SharePoint 2016 et Exchange 2016 pour confirmer que vous avez identifié le bon ensemble de résultats.

Authentification de serveur à serveur à l’aide d’OAuth

Le protocole OAuth est utilisé par de nombreux sites et services web pour permettre aux clients d’accéder aux ressources sans avoir à fournir un nom d’utilisateur et un mot de passe. Un serveur d'autorisation approuvé par le propriétaire de la ressource fournit au client un jeton d'accès qui autorise l'accès à un ensemble spécifique de ressources pour une période définie. Exchange 2016 permet aux autres applications d'utiliser OAuth pour s'authentifier à Exchange. Vous devez configurer les applications dans Exchange en tant qu'applications partenaires.

Il existe deux objets de configuration utilisés pour les applications partenaires d'OAuth et d'Exchange 2016 : AuthConfig et la configuration des applications partenaires.

• AuthConfig : le programme d’installation d’Exchange 2016 crée AuthConfig pour publier les métadonnées d’authentification. Vous n'avez besoin de gérer AuthConfig que pour configurer un nouveau certificat lorsque le certificat existant est proche de l'expiration. Dans ce cas, vous pouvez renouveler le certificat existant et configurer le nouveau certificat en tant que certificat suivant dans AuthConfig, ainsi que sa date d'effet.

  Le programme d'installation d'Exchange 2016 crée un certificat auto-signé nommé Certificat d'authentification serveur Microsoft Exchange (Microsoft Exchange Server Auth Certificate) et réplique ce certificat sur tous les serveurs frontaux dans l'organisation Exchange. L'empreinte du certificat est définie dans la configuration d'autorisation d'Exchange 2016, avec son nom de service, un GUID réservé qui représente Exchange 2016 local. Exchange utilise la configuration d'autorisation pour publier son document de métadonnées d'authentification.

• Applications partenaires : vous activez les applications partenaires en créant une configuration d’application partenaire pour demander des jetons d’accès à Exchange. Exchange 2016 fournit le Configure-EnterprisePartnerApplication.ps1 script qui vous permet de créer rapidement et facilement des configurations d’applications partenaires et de réduire les erreurs de configuration.

  Lorsque Exchange 2016 reçoit une demande d'accès à partir d'une application partenaire via Services Web Exchange (EWS), les événements suivants se produisent.

  • EWS analyse l’en-tête www-authenticate de la requête https qui contient le jeton d’accès signé par le serveur appelant à l’aide de sa clé privée.

  • Le module d'authentification utilise la configuration de l'application partenaire pour valider le jeton d'accès.

  • Le module donne ensuite accès aux ressources en se basant sur les autorisations RBAC accordées à l'application. Si le jeton d'accès est émis au nom d'un utilisateur, les autorisations RBAC qui lui sont accordées sont vérifiées.

    Par exemple, si un utilisateur effectue une recherche eDiscovery via le centre Centre eDiscovery de SharePoint 2016, Exchange vérifie s'il appartient au groupe de rôles de gestion de la découverte ou si le rôle de recherche de boîte aux lettres lui est attribué et si les boîtes aux lettres faisant l'objet de la recherche se trouvent dans l'étendue de l'attribution de rôles RBAC. Pour plus d'informations, consultez la rubrique Autorisations.

Dans des déploiements locaux, Exchange 2016, SharePoint Server 2016 et Skype Entreprise Server 2015 n'ont pas besoin d'un serveur d'autorisation pour émettre des jetons. Chaque application émet des jetons auto-signés pour accéder aux ressources fournies par d'autres applications. L'application qui permet d'accéder aux ressources, Exchange 2016, par exemple, doit approuver les jetons auto-signés présentés par l'application appelante. L’approbation est établie en créant une configuration d’application partenaire pour l’application appelante, qui inclut l’Id d’application, le certificat et AuthMetadataUrl de l’application appelante. Exchange 2016, SharePoint 2016 et Skype Entreprise publient leur document de métadonnées d'authentification dans une URL réservée.

URL de métadonnées auth

Serveur	AuthMetadataUrl
Exchange 2016	https://<serverfqdn>/autodiscover/metadata/json/1
SharePoint Server 2016	https://<serverfqdn>/_layouts/15/metadata/json/1
Skype Entreprise	https://<serverfqdn>/metadata/json/1

Dans les déploiements hybrides, vous devez configurer le protocole d'autorisation OAuth entre vos organisations Exchange 2016 et Exchange Online locales. Les déploiements hybrides par défaut continuent à utiliser le processus d'approbation de fédération.

Certaines fonctionnalités Exchange 2016 ne sont entièrement disponibles qu'au sein de votre organisation en utilisant le nouveau protocole OAuth. Par exemple, avant de pouvoir utiliser la découverte électronique inaltérable pour effectuer une recherche dans les boîtes aux lettres locales ou informatiques dans une organisation hybride Exchange, vous devez configurer l'authentification OAuth entre vos organisations Exchange locales et vos organisations Exchange Online. L'assistant de configuration hybride ne gère pas la connexion d'autorisation OAuth. Pour plus d'informations, consultez la rubrique Configure OAuth Authentication Between Exchange and Exchange Online Organizations.

Dans les déploiements en ligne, Exchange Online, SharePoint Online et Skype Entreprise Online doivent être configurés pour une connexion d'authentification moderne. L'authentification moderne apporte la connexion basée sur la Bibliothèque d'authentification Active Directory (ADAL) aux clients Office 2013 Windows. Les applications clientes Office 2013 se connectent au service Microsoft 365 ou Office 365 pour accéder à Exchange Online, SharePoint Online et Skype Entreprise Online. Nous recommandons d'activer Exchange Online pour l'authentification moderne lors de l'activation de l'authentification moderne pour Skype Entreprise. L'authentification moderne est activée par défaut dans SharePoint Online. Pour plus d’informations, voir Activer ou désactiver l’authentification moderne pour Outlook dans Exchange Online.

L'état par défaut par service d'authentification moderne est :

• Skype Entreprise Online - DÉSACTIVÉ par défaut ;

• Skype Entreprise Online - DÉSACTIVÉ par défaut ;

• SharePoint Online - ACTIVÉ par défaut.

Importante

Le certificat d'authentification de serveur par défaut créé par Exchange 2016 est valable cinq ans. Vous devez vérifier que la configuration d'autorisation inclut un certificat actuel.

Gérer les boîtes aux lettres de site SharePoint

Dans de nombreuses organisations, les informations se trouvent dans deux magasins différents : les e-mails dans Exchange et les documents dans SharePoint. Il existe deux interfaces différentes pour accéder à ces magasins. Cela crée une expérience utilisateur disjointe qui empêche une collaboration efficace. Les boîtes aux lettres de site dans SharePoint permettent aux utilisateurs de collaborer efficacement en réunissant des e-mails Exchange et des documents SharePoint. Pour les utilisateurs, une boîte aux lettres de site sert de classeur central, fournissant un emplacement pour déposer des e-mails et des documents de projet qui ne sont accessibles et modifiés que par les membres du site. Les boîtes aux lettres de site sont visibles dans Outlook 2016 pour permettre aux utilisateurs d’accéder facilement aux e-mails et aux documents des projets qui les intéressent. D'autre part, il est possible d'accéder au même ensemble de contenu directement depuis le site SharePoint lui-même.

Dans une boîte aux lettres de site, le contenu est conservé là où il faut. Exchange stocke les messages électroniques, offrant ainsi aux utilisateurs le même affichage de message pour les conversations par message électronique que ce qu'ils utilisent tous les jours dans leur propre boîte aux lettres. SharePoint stocke les documents ; il permet la co-création de documents et un contrôle de version. Exchange synchronise uniquement les métadonnées nécessaires à partir de SharePoint pour créer une vue du document dans Outlook (par exemple, titre du document, date de dernière modification, auteur de la dernière modification et taille).

Vous pouvez configurer et gérer des boîtes aux lettres de site à partir de SharePoint Server 2016. Pour plus d'informations, notamment sur la façon de configurer des boîtes aux lettres de site, consultez les rubriques suivantes :

• Site Mailboxes

• Configure email integration for a SharePoint Server farm

Gérer l’accès au magasin de contacts unifié

La fonction de magasin de contacts unifié permet la gestion cohérente des contacts entre plusieurs produits Office. Les utilisateurs peuvent stocker toutes les informations relatives à leurs contacts dans leur boîte aux lettres Exchange 2016, si bien que les mêmes informations de contact sont disponibles globalement dans Skype for Business, SharePoint, Exchange, Outlook et Outlook sur le web. Lorsque vous déployez un serveur Skype Entreprise Server et publiez la topologie, le magasin de contacts unifié est activé par défaut pour tous les utilisateurs et aucune action supplémentaire n'est nécessaire. Pour plus d’informations, consultez Configurer Skype Entreprise Server pour utiliser le magasin de contacts unifié.

Les contacts d'un utilisateur sont transférés automatiquement vers le serveur Exchange 2016 quand :

• une stratégie de services utilisateur dont le paramètre UcsAllowed a la valeur True a été attribuée à l'utilisateur ;

• une boîte aux lettres Exchange 2016 a été mise en service pour cet utilisateur et qu'il s'y est connecté au moins une fois ;

• l'utilisateur se connecte à l'aide d'un client riche Skype Entreprise.

Après avoir installé SharePoint Server 2016 dans un environnement avec Exchange 2016 et configuré l’authentification de serveur à serveur entre les deux, les utilisateurs peuvent lancer la migration des contacts existants de SharePoint 2016 ou Skype Entreprise Server 2015 vers Exchange 2016. Pour plus d’informations, consultez Planification et déploiement d’un magasin de contacts unifié.

Gérer l’accès à des photos haute résolution de l’utilisateur

La fonctionnalité Photos de l'utilisateur vous permet de stocker les photos haute résolution de l'utilisateur dans Exchange 2016 qui sont accessibles par les applications clientes, y compris Outlook, Outlook sur le web, SharePoint 2016, Skype Entreprise et les clients de messagerie mobile. Une photo basse résolution est également stockée dans Active Directory. L’applet de commande Set-UserPhoto stocke une copie d’une image haute résolution dans la boîte aux lettres Exchange de l’utilisateur et stocke une copie de 64 x 64 pixels de la photo sous forme d’image dans l’attribut Active Directory thumbnailPhoto.

Comme avec le magasin de contacts unifié, les photos de l'utilisateur permettent à votre organisation de conserver une photo de profil utilisateur cohérente qui peut être utilisée par les applications clientes sans demander à chaque application de posséder ses propres photos de l'utilisateur et des façons différentes de les ajouter et de les gérer. Les utilisateurs peuvent gérer leurs propres photos à l'aide d'Outlook sur le web, de SharePoint 2016 ou de Skype Entreprise. Pour plus d’informations sur la gestion des photos sur Outlook sur le web, consultez Modifier vos informations de photo et de compte dans Outlook sur le web.