Configurar uma confiança de federação
Aplica-se a: Exchange Server 2013
Uma confiança de federação estabelece uma relação de confiança entre uma organização do Microsoft Exchange 2013 e o sistema de autenticação Microsoft Entra. Configurando uma confiança de federação, você pode definir o compartilhamento federado com outras organizações federadas do Exchange para compartilhar informações de disponibilidade e de contato entre os destinatários. O compartilhamento federado pode ser configurado entre duas organizações federadas do Exchange 2013 ou entre uma organização federada do Exchange 2013 e organizações federadas do Exchange 2010. Você também pode configurar o compartilhamento com uma organização do Microsoft 365 ou Office 365.
Observação
Criar uma confiança de federação é uma das várias etapas da configuração do compartilhamento federado em sua organização do Exchange. Para examinar todas as etapas, consulte Configure federated sharing.
Para tarefas de gerenciamento adicionais relacionadas à federação, consulte Procedimentos de federação.
Importante
Esse recurso do Exchange Server 2013 não é totalmente compatível com o Office 365 operado pelo 21Vianet na China e pode haver algumas limitações de recurso. Para obter mais informações, consulte Office 365 operado pela 21Vianet.
Do que você precisa saber para começar?
Tempo estimado para conclusão: 30 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada de permissões "Federação e certificados" no tópico permissões de infraestrutura do Exchange e shell.
O domínio utilizado para estabelecer uma confiança de federação deve ser determinado a partir da Internet. Isso requer que o domínio seja registrado em um registrador de domínios e que a zona DNS do domínio seja hospedada em um servidor DNS acessível pela Internet. Se a organização recebe emails da Internet no domínio, você já possui os requisitos necessários.
Você precisará adicionar um registro em TXT para seu DNS público. Reveja os requisitos para adicionar um registro TXT com a organização que hospeda seus registros DNS públicos.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Ambas as organizações do Exchange em uma relação de compartilhamento federada devem usar o mesmo sistema de autenticação Microsoft Entra para seus trusts de federação. Esse requisito se aplica ao configurar o compartilhamento federado entre duas organizações locais do Exchange ou entre uma organização local do Exchange e uma organização do Exchange hospedada pelo Microsoft 365 ou Office 365.
Quando você cria uma confiança de federação com o sistema de autenticação Microsoft Entra para sua organização do Exchange 2013, a confiança da federação usará a instância de negócios do sistema de autenticação Microsoft Entra. No entanto, outras organizações federadas do Exchange com versões anteriores do Exchange e fundos de federação existentes podem estar usando a instância comercial ou de consumidor do sistema de autenticação Microsoft Entra.
As seguintes organizações do Exchange usam a instância de negócios do sistema de autenticação Microsoft Entra por padrão:
- organizações do Exchange 2013, usando o assistente para Habilitar a confiança de federação e certificados autoassinados para uma confiança de federação.
- Exchange 2010 SP1 ou organizações posteriores usando o assistente New Federation Trust e certificados autoassinados para uma confiança de federação.
- Organizações de exchange hospedadas pelo Microsoft 365 e Office 365.
As seguintes organizações do Exchange usam a instância de consumidor do sistema de autenticação Microsoft Entra por padrão:
- Versão para a RTM (versão de fabricação) de organizações do Exchange 2010 usando certificados emitidos por autoridades de certificação de terceiros.
Recomendamos que todas as organizações do Exchange usem a instância de negócios do sistema de autenticação Microsoft Entra para trusts de federação. Antes de configurar o compartilhamento federado entre as duas organizações do Exchange, você precisa verificar qual instância do sistema de autenticação Microsoft Entra cada organização do Exchange está usando para quaisquer trusts de federação existentes. Para determinar qual Microsoft Entra instância do sistema de autenticação que uma organização do Exchange está usando para uma confiança de federação existente, execute o seguinte comando Shell.
Get-FederationInformation -DomainName <hosted Exchange domain namespace>A instância de negócios retorna um valor do
<uri:federation:MicrosoftOnline>para o parâmetro TokenIssuerURIs .A instância do consumidor retorna um valor do
<uri:WindowsLiveID>para o parâmetro TokenIssuerURIs .Para configurar o compartilhamento federado com uma organização do Exchange que tem uma confiança de federação existente que está usando a instância de negócios do sistema de autenticação Microsoft Entra, siga as etapas neste tópico. Essas etapas são tudo o que você precisa executar para criar fundos de federação que podem ser usados para habilitar o compartilhamento federado entre duas organizações do Exchange 2013 ou entre uma organização do Exchange 2013 e uma organização do Exchange 2010 que já está usando a instância de negócios do sistema de autenticação Microsoft Entra.
Para configurar o compartilhamento federado entre sua organização do Exchange 2013 e uma organização do Exchange que tem uma confiança de federação existente que está usando a instância de consumidor do sistema de autenticação Microsoft Entra , a organização exchange que usa a instância de consumidor deve instalar o Exchange 2010 SP2 ou posterior ou atualizar para o Exchange 2013. Se você decidir instalar o Exchange 2010 SP2 ou posterior, use o assistente para Nova Confiança de Federação, para remover e recriar os domínios federados e confianças de federação existentes. Quando os trusts de federação forem recriados, a instância de negócios do sistema de autenticação Microsoft Entra será usada.
Usar o EMC para criar e configurar uma confiança de federação
Em um servidor do Exchange 2013 em sua organização local, navegue até oCompartilhamento deOrganização>.
Clique em Permitir, para iniciar o assistente para Habilitar a confiança de federação.
Depois que o assistente for concluído, clique em Fechar.
Na seção Confiança de Federação da guia Compartilhamento, clique em Modificar.
Em Domínios Habilitados para Compartilhamento, próximo a Passo 1, clique em Procurar.
Em Selecionar Domínios Aceitos, selecione o domínio compartilhado principal da lista e clique em OK.
Observação
O domínio que você selecionar será usado para configurar a OrgID para a confiança de federação. Para mais informações sobre a OrgID, consulte Federação.
Faça uma nota da prova do domínio federado que é gerado para o domínio compartilhado principal. Você irá usar essa cadeia de caracteres para criar um registro TXT no seu servidor de DNS público.
Importante
A prova de domínio federado é uma cadeia de caracteres alfanuméricos. Para evitar erros de entrada, recomendamos copiar a cadeia de caracteres do EAC e cole-a em um editor de texto, como o Bloco de Notas. Depois, você poderá copiá-la do editor de texto para a Área de Transferência e colá-la no campo Texto, quando criar o registro TXT. Se o registro TXT for criado usando uma cadeia de caracteres de prova de domínio federada incorreta, o sistema de autenticação Microsoft Entra não poderá verificar a prova de propriedade do domínio e você não poderá adicioná-lo ao identificador de organização federado.
Na Etapa 2, clique em Adicionar
.gif "Ícone Adicionar")
para adicionar domínios adicionais à confiança federada para endereços de email que serão usados pelos usuários em sua organização que exigem recursos de compartilhamento federados. Por exemplo, se você tiver usuários que usam um subdomínio em seu endereço de email, como sales.contoso.com, você adicionará o domínio sales.contoso.com à confiança da federação.Observação
Uma cadeia de caracteres de prova de domínio federado será criada para cada domínio adicional selecionado. Você deverá criar registros TXT separados no seu DNS público para cada domínio adicional.
Usando as cadeias de caracteres de prova de domínio federado para cada domínio, crie registros TXT para cada um desses domínios no seu servidor de DNS público. Dependendo do agendamento de atualização do seu host DNS público, a replicação de alterações de DNS podem levar 15 minutos ou mais.
Depois que os registros TXT forem criados e replicados, clique em Atualizar.
Usar o Shell para criar e configurar uma confiança de federação
Execute este comando para criar um identificador de chave de assunto exclusivo para o certificado de confiança da federação:
$ski = [System.Guid]::NewGuid().ToString("N")Use essa sintaxe para criar um certificado autoassinado para a confiança da federação:
New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $skiEste exemplo cria um certificado autoassinado para a confiança da federação com o sistema de autenticação Microsoft Entra. O certificado usa o valor de nome amigável Exchange Federated Sharing e o valor de domínio é recuperado da variável de ambiente USERDNSDOMAIN .
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $skiPara criar a confiança da federação e implantar automaticamente o certificado autoassinado que você criou na etapa anterior para os servidores do Exchange em sua organização, use esta sintaxe:
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"Este exemplo cria a confiança de federação chamada Microsoft Entra autenticação e implanta o certificado autoassinado chamado Exchange Federated Sharing.
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"Use essa sintaxe para retornar a prova do registro TXT de propriedade de domínio necessário para qualquer domínio que você configurará para a confiança da federação.
Get-FederatedDomainProof -DomainName <domain>Este exemplo retorna a prova do registro TXT de propriedade de domínio necessário para o domínio compartilhado primário contoso.com.
Get-FederatedDomainProof -DomainName contoso.comObservações:
Cada domínio ou subdomínio configurado para a confiança da federação requer uma prova do registro TXT de propriedade de domínio, portanto, talvez seja necessário executar esse comando várias vezes usando diferentes valores DomainName .
Recomendamos copiar a cadeia de caracteres de prova de domínio clicando com o botão direito do mouse no Shell, selecionando Mark, selecionando o valor de Prova e pressionando Enter para que você possa usá-la ao criar o registro TXT. Se você criar o registro TXT com uma cadeia de caracteres de prova de domínio federada incorreta, o sistema de autenticação Microsoft Entra não poderá verificar sua propriedade do domínio e você não poderá adicioná-lo ao identificador de organização federado.
Usando as informações da etapa anterior, crie registros TXT em seu servidor DNS público em todos os domínios que serão incluídos na confiança da federação. Dependendo do agendamento de atualização do seu host DNS público, a replicação de alterações de DNS podem levar 15 minutos ou mais. Continue depois de verificar se os novos registros TXT estão disponíveis.
Importante
O registro TXT deve ser criado para cada domínio que está sendo federado/compartilhado. Se esse for um ambiente híbrido, todos os domínios aceitos que são validados em Exchange Online devem ter registros TXT criados.
Execute este comando para recuperar os metadados e o certificado de Microsoft Entra ID:
Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"Use essa sintaxe para configurar o domínio compartilhado primário para a confiança de federação que você criou na Etapa 3. O domínio especificado será usado para configurar o OrgID (identificador de organização) para a confiança da federação. Para obter mais informações sobre o OrgID, consulte Identificador de organização federada.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $trueEste exemplo configura o domínio aceito contoso.com como o domínio compartilhado primário para a confiança de federação chamada Microsoft Entra autenticação.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $truePara adicionar outros domínios à confiança da federação, use esta sintaxe:
Add-FederatedDomain -DomainName <AdditionalDomain>Esses exemplos adicionam o subdomínio sales.contoso.com à confiança federada, pois os usuários com endereços de email no domínio sales.contoso.com exigem recursos de compartilhamento federados.
Add-FederatedDomain -DomainName sales.contoso.comLembre-se de que qualquer domínio ou subdomínio que você adicione à confiança da federação requer uma prova do registro TXT de propriedade do domínio,
Para obter informações detalhadas sobre sintaxe e parâmetro, confira New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier e Add-FederatedDomain.
Como saber se funcionou?
A conclusão com êxito dos assistentes Habilitar confiança de federação e Domínios Habilitados para Compartilhamento será sua primeira indicação que a confiança de federação foi configurada como o esperado.
Para verificar com mais profundidade se você criou e configurou a confiança de federação com êxito, faça o seguinte:
Execute o seguinte comando do Shell para verificar as informações de confiança de federação.
Get-FederationTrust | Format-ListSubstitua <PrimarySharedDomain> pelo domínio compartilhado principal e execute o seguinte comando Shell para verificar se as informações de federação podem ser recuperadas de sua organização.
Get-FederationInformation -DomainName <PrimarySharedDomain>
Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Get-FederationTrust e Get-FederationInformation.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.