Gerenciar uma confiança de federação
Aplica-se a: Exchange Server 2013
Um fundo de federação estabelece uma relação de confiança entre uma organização do Microsoft Exchange 2013 e o sistema de autenticação Microsoft Entra e dá suporte ao compartilhamento federado com outras organizações federadas do Exchange. Normalmente, você não precisa gerenciar ou modificar a confiança de federação após ela ser criada. Contudo, pode haver circunstâncias que exigem a adição ou a remoção de domínios federados ou a redefinição do domínio usado para configurar o identificador de organização (OrgID) para a confiança de federação.
Observação
Modificar uma confiança de federação existente, especialmente o domínio compartilhado primário usado para definir o OrgID, pode interromper o compartilhamento federado entre organizações federadas do Exchange ou para implantações híbridas com organizações do Microsoft 365 ou Office 365.
Para tarefas de gerenciamento adicionais relacionadas à Federação, consulte Procedimentos de federação.
Importante
Esse recurso do Exchange Server 2013 não é totalmente compatível com o Office 365 operado pelo 21Vianet na China e pode haver algumas limitações de recurso. Para saber mais, confira o artigo Saiba mais sobre o Office 365 operado pelo 21Vianet.
Do que você precisa saber para começar?
Tempo estimado para conclusão: 30 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada de permissões de Federação e certificados no tópico permissões de infraestrutura do Exchange e shell.
Você precisará adicionar um registro TXT ao seu DNS público para cada novo domínio federado adicionado à confiança de federação. Reveja os requisitos para adicionar um registro TXT com a organização que hospeda seus registros DNS públicos.
Para as finalidades deste tópico, uma confiança de federação existente foi definida com as seguintes configurações:
Contoso.com é o principal domínio compartilhado para a confiança de federação. (Esse domínio não será alterado.)
Os domínios federados service.contoso.com e sales.contoso.com estão incluídos na confiança de federação existente.
Marketing.contoso.com é um domínio aceito na organização do Exchange.
Este tópico também cobre outras tarefas de gerenciamento de federação, como exibição e gerenciamento de certificados usados para a confiança de federação e exibição de informações dos parâmetros de confiança de federação no Shell.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Usar o EAC para gerenciar uma confiança de federação
Em um servidor do Exchange 2013 em sua organização local, navegue até oCompartilhamento deOrganização>.
Na seção Confiança de federação, clique em Modificar.
Em Domínios habilitados para compartilhamento, ignore a Etapa 1 porque o domínio de compartilhamento principal não está mudando.
Na Etapa 2, selecione o domínio service.contoso.com e clique em
.gif "Remover ícone")
para remover o domínio da confiança federada.Na Etapa 2, clique em Adicionar
.gif "Adicionar Ícone")
.Em Selecionar Domínios Aceitos, selecione marketing.contoso.com na lista de domínios aceitos e depois clique em OK para adicionar o domínio à confiança federada.
Importante
Uma cadeia de caracteres de comprovação de domínio federada será criada para o domínio marketing.contoso.com. Você deve criar um registro TXT separado no seu DNS público para este domínio.
Usando a cadeia de caracteres de comprovação de domínio federada para o domínio marketing.contoso.com, crie um registro de TXT no seu servidor DNS público. Dependendo do agendamento de atualização do seu host DNS público, a replicação de alterações de DNS podem levar 15 minutos ou mais.
Após o registro TXT ser criado e replicado, clique em Atualizar.
Usar o Shell para gerenciar uma confiança de federação
Este exemplo remove o domínio service.contoso.com da federação de confiança.
Remove-FederatedDomain -DomainName service.contoso.comEste exemplo adiciona o domínio marketing.contoso.com à confiança de federação.
Add-FederatedDomain -DomainName marketing.contoso.com
Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Remove-FederatedDomain e Add-FederatedDomain.
Execute os seguintes comandos do Shell para gerenciar outros aspectos de uma confiança de federação:
Exibir o OrgID federado e domínios federados
Esse exemplo exibe o OrgID federado e informações relacionadas da organização do Exchange, incluindo domínios federados e status.
Get-FederatedOrganizationIdentifierExibir certificados de confiança de federação
Este exemplo exibe os certificados anteriores, atuais e próximos usados pela confiança da federação "Microsoft Entra autenticação".
Get-FederationTrust "Azure AD authentication" | Select Org*certificateVerificar o status dos certificados de federação
Este exemplo exibe o status de certificados de federação em todos os servidores de Caixa de Correio e Acesso para Cliente.
Test-FederationTrustCertificateConfigurar a confiança de federação para usar um certificado como o próximo certificado
Este exemplo configura a confiança da federação "Microsoft Entra autenticação" para usar o certificado com a impressão digital fornecida como o próximo certificado. Depois que o certificado for implantado em todos os servidores do Exchange na organização, você poderá usar a opção PublishCertificate para configurar a confiança da federação para usar esse certificado como o certificado atual.
Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17Configurar a confiança de federação para usar o próximo certificado como o certificado atual
Este exemplo configura a confiança da federação Microsoft Entra autenticação para usar o próximo certificado como o certificado atual e publicá-lo no sistema de autenticação Microsoft Entra.
Set-FederationTrust "Azure AD authentication" -PublishFederationCertificateAviso
Antes de configurar a confiança de federação para usar o certificado seguinte como o atual, verifique se o certificado foi implantado em todos os servidores do Exchange em sua organização. Use o cmdlet Test-FederationTrustCertificate para verificar o status de implantação do certificado.
Atualizar metadados de federação e certificado do sistema de autenticação Microsoft Entra
Este exemplo atualiza os metadados de federação e o certificado do sistema de autenticação Microsoft Entra para a autenticação de Microsoft Entra de confiança da federação.
Set-FederationTrust "Azure AD authentication" -RefreshMetadata
Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:
Observação
Há considerações adicionais se o locatário estiver hospedado no Office 365 ambiente de GCC Alto ou DoD do Governo dos EUA. Nesses ambientes, você deve executar o cmdlet Set-FederationTrust no ambiente local do Exchange com um valor diferente para o parâmetro MetadataUrl . Consulte Set-FederationTrust para obter mais informações.
Como saber se funcionou?
A conclusão bem-sucedida do assistente Domínios habilitados para compartilhamento é a primeira indicação de que você configurou a confiança de federação conforme o esperado.
Para verificar o sucesso, execute o seguinte procedimento:
Execute o seguinte comando do Shell para verificar as informações de confiança de federação.
Get-FederationTrust | format-listExecute o comando do Shell para verificar se as informações de federação podem ser recuperadas da sua organização. Por exemplo, verifique se os domínios sales.contoso.com e marketing.contoso.com são retornados no parâmetro DomainNames .
Get-FederationInformation -DomainName <your primary sharing domain>
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.