ФедерацияFederation

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Информационным работникам часто необходимо взаимодействовать с внешними получателями, поставщиками, партнерами и клиентами, а также обмениваться с ними сведениями о доступности (доступности в календаре).Information workers frequently need to collaborate with external recipients, vendors, partners, and customers and share their free/busy (also known as calendar availability) information. Федерация в Microsoft Exchange Server 2013 помогает с этими усилиями по совместной работе.Federation in Microsoft Exchange Server 2013 helps with these collaboration efforts. Под федерацией подразумевается базовая инфраструктура отношений доверия, поддерживающая федеративный общий доступ, — простой способ обмена данными календаря с получателями во внешних федеративных организациях.Federation refers to the underlying trust infrastructure that supports federated sharing, an easy method for users to share calendar information with recipients in other external federated organizations. Дополнительные сведения о федеративном общем доступе см. в разделе Совместное использование.To learn more about federated sharing, see Sharing.

Важно!

Эта функция Exchange Server 2013 не полностью совместима с Office 365 под управлением 21Vianet в Китае, а также могут применяться некоторые ограничения функций.This feature of Exchange Server 2013 isn't fully compatible with Office 365 operated by 21Vianet in China and some feature limitations may apply. Дополнительные сведения см. в статье Office 365 под управлением 21vianet.For more information, see Office 365 Operated by 21Vianet.

Основные терминыKey terminology

В следующем списке определяются основные компоненты, связанные с федерациями в Exchange 2013.The following list defines the core components associated with federation in Exchange 2013.

  • идентификатор приложения (AppID): уникальный номер, созданный системой проверки подлинности Azure Active Directory для идентификации организаций Exchange.application identifier (AppID): A unique number generated by the Azure Active Directory authentication system to identify Exchange organizations. AppID автоматически создается при создании отношения доверия федерации с системой проверки подлинности Azure Active Directory.The AppID is automatically generated when you create a federation trust with the Azure Active Directory authentication system.

  • маркер делегирования: маркер SAML (Security Assertion Markup Language), выданный системой проверки подлинности Azure Active Directory, который позволяет пользователям из одной федеративной организации быть доверенной другой федеративной организацией.delegation token: A Security Assertion Markup Language (SAML) token issued by the Azure Active Directory authentication system that allows users from one federated organization to be trusted by another federated organization. Маркер делегирования содержит адрес электронной почты пользователя, неизменяемый идентификатор и сведения, связанные с предложением, по которому для действия выпускается маркер.A delegation token contains the user's email address, an immutable identifier, and information associated with the offer for which the token is issued for action.

  • внешняя федеративная организация: внешняя организация Exchange, которая установила доверие федерации с системой проверки подлинности Azure Active Directory.external federated organization: An external Exchange organization that's established a federation trust with the Azure Active Directory authentication system.

  • федеративный общий доступ: Группа функций Exchange, использующих доверие федерации с системой проверки подлинности Azure Active Directory для работы в организациях Exchange, в том числе между локальными развертываниями Exchange.federated sharing: A group of Exchange features that leverage a federation trust with the Azure Active Directory authentication system to work across Exchange organizations, including cross-premises Exchange deployments. Совокупность таких функций применяется для создания проверенных на подлинность запросов между серверами от имени пользователей по нескольким организациям Exchange.Together, these features are used to make authenticated requests between servers on behalf of users across multiple Exchange organizations.

  • федеративный домен: обслуживаемый уполномоченный домен, который добавляется к идентификатору организации (OrgID) для организации Exchange.federated domain: An accepted authoritative domain that's added to the organization identifier (OrgID) for an Exchange organization.

  • строка шифрования для подтверждения домена: зашифрованная Безопасная строка, используемая организацией Exchange для подтверждения того, что Организация владеет доменом, используемым в системе проверки подлинности Azure Active Directory.domain proof encryption string: A cryptographically secure string used by an Exchange organization to provide proof that the organization owns the domain used with the Azure Active Directory authentication system. Строка создается автоматически при использовании мастера включения доверия федерации или может быть создана с помощью командлета Get-федератеддомаинпруф .The string is generated automatically when using the Enable federation trust wizard or can be generated by using the Get-FederatedDomainProof cmdlet.

  • Политика федеративного общего доступа: политика уровня Организации, позволяющая управлять пользовательским доступом к данным календаря и управлять им.federated sharing policy: An organization-level policy that enables and controls user-established, person-to-person sharing of calendar information.

  • Федерация: соглашение на основе доверия между двумя организациями Exchange для достижения общей цели.federation: A trust-based agreement between two Exchange organizations to achieve a common purpose. При наличии федерации для каждой организации необходимо, чтобы утверждения проверки подлинности от одной организации распознавались другой организацией.With federation, both organizations want authentication assertions from one organization to be recognized by the other.

  • доверие федерации: связь с системой проверки подлинности Azure Active Directory, которая определяет следующие компоненты для организации Exchange:federation trust: A relationship with the Azure Active Directory authentication system that defines the following components for your Exchange organization:

    • пространство имен учетных записей;Account namespace

    • идентификатор приложения (AppID);Application identifier (AppID)

    • идентификатор организации (OrgID);Organization identifier (OrgID)

    • федеративные домены.Federated domains

    Для настройки федеративного общего доступа с другими федеративными организациями Exchange, следует создать отношение доверия федерации с системой проверки подлинности Azure Active Directory.To configure federated sharing with other federated Exchange organizations, a federation trust must be established with the Azure Active Directory authentication system.

  • нефедеративная организация: Организации, у которых нет доверия федерации, установленного с системой проверки подлинности Azure Active Directory.non-federated organization: Organizations that don't have a federation trust established with the Azure Active Directory authentication system.

  • идентификатор организации (OrgID): определяет, какие из уполномоченных обслуживаемых доменов, настроенных в Организации, включены для Федерации.organization identifier (OrgID): Defines which of the authoritative accepted domains configured in an organization are enabled for federation. Система проверки подлинности Azure Active Directory распознает только тех получателей, которые имеют адреса электронной почты с федеративными доменами, настроенными в идентификаторе организации, и только они могут использовать такие функции, как федеративный общий доступ.Only recipients that have e-mail addresses with federated domains configured in the OrgID are recognized by the Azure Active Directory authentication system and are able to use federated sharing features. OrgID — это сочетание заданной заранее строки и первого обслуживаемого домена, выбранного для федерации в мастере включения доверия федерации.The OrgID is a combination of a pre-defined string and the first accepted domain selected for federation in the Enable federation trust wizard. Например, если вы указали федеративный домен contoso.com как основной SMTP-домен своей организации, в качестве OrgID для доверия федерации будет автоматически создано пространство имен учетных записей FYDIBOHF25SPDLT.contoso.com.For example, if you specify the federated domain contoso.com as your organization's primary SMTP domain, the account namespace FYDIBOHF25SPDLT.contoso.com will be automatically created as the OrgID for the federation trust.

  • связь организации: отношение "один к одному" между двумя федеративными организациями Exchange, позволяющее получателям обмениваться сведениями о занятости (сведения о доступности в календаре).organization relationship: A one-to-one relationship between two federated Exchange organizations that allows recipients to share free/busy (calendar availability) information. Связь организации требует доверия федерации с системой проверки подлинности Azure Active Directory и устраняет необходимость в использовании леса Active Directory или доверия федерации между организациями Exchange.An organization relationship requires a federation trust with the Azure Active Directory authentication system and replaces the need to use Active Directory forest or domain trusts between Exchange organizations.

  • Система проверки подлинности Azure Active Directory: бесплатная облачная служба удостоверений, которая выступает в роли посредника доверия между федеративными организациями Microsoft Exchange.Azure Active Directory authentication system: A free, cloud-based identity service that acts as the trust broker between federated Microsoft Exchange organizations. Он отвечает за выдачу маркеров делегирования для обмена сообщениями, когда они запрашивают информацию от получателей в других федеративных организациях Exchange.It's responsible for issuing delegation tokens to Exchange recipients when they request information from recipients in other federated Exchange organizations. Дополнительные сведения см. в статье Azure Active Directory.To learn more, see Azure Active Directory.

Система проверки подлинности Azure ADAzure AD authentication system

Система проверки подлинности Azure Active Directory — бесплатная облачная служба, предлагаемая корпорацией Майкрософт, которая выступает в роли посредника доверия между локальной организацией Exchange 2013 и другими федеративными организациями Exchange 2010 и Exchange 2013.The Azure Active Directory authentication system, a free cloud-based service offered by Microsoft, acts as the trust broker between your on-premises Exchange 2013 organization and other federated Exchange 2010 and Exchange 2013 organizations. Если вы хотите настроить федерацию в организации Exchange, необходимо установить одноразовое доверие федерации с системой проверки подлинности Azure Active Directory, чтобы оно могло стать партнером Федерации с вашей организацией.If you want to configure federation in your Exchange organization, you must establish a one-time federation trust with the Azure Active Directory authentication system, so that it can become a federation partner with your organization. С помощью этого доверия пользователи, прошедшие проверку с помощью Active Directory (называемые поставщиками удостоверений), выдают токены делегирования SAML с помощью системы проверки подлинности Azure AD.With this trust in place, users authenticated by Active Directory (known as identity providers) are issued Security Assertion Markup Language (SAML) delegation tokens by the Azure AD authentication system. Эти маркеры делегирования позволяют пользователям из одной федеративной организации Exchange быть доверенной другой федеративной организацией Exchange.These delegation tokens allow users from one federated Exchange organization to be trusted by another federated Exchange organization. С помощью системы проверки подлинности Azure AD, действующей в качестве посредника доверия, организациям не требуется устанавливать несколько индивидуальных отношений доверия с другими организациями, и пользователи могут получать доступ к внешним ресурсам с помощью интерфейса единого входа.With the Azure AD authentication system acting as the trust broker, organizations aren't required to establish multiple individual trust relationships with other organizations, and users can access external resources using a single sign-on (SSO) experience. Дополнительные сведения см. в статье Azure Active Directory.For more information, see Azure Active Directory.

Доверие федерацииFederation trust

Чтобы использовать функции федеративного общего доступа к Exchange 2013, необходимо установить доверие федерации между вашей организацией Exchange 2013 и системой проверки подлинности Azure AD.To use Exchange 2013 federated sharing features, you must establish a federation trust between your Exchange 2013 organization and the Azure AD authentication system. При установлении доверия федерации с помощью системы проверки подлинности Azure AD осуществляется обмен цифровым сертификатом безопасности Организации с системой проверки подлинности Azure AD, а также получение метаданных о системе проверки подлинности Azure AD и метаданных федерации.Establishing a federation trust with the Azure AD authentication system exchanges your organization's digital security certificate with the Azure AD authentication system and retrieves the Azure AD authentication system certificate and federation metadata. Вы можете установить доверие федерации с помощью мастера включения доверия федерации в центре администрирования Exchange или командлета New-FederationTrust в командной консоли Exchange.You can establish a federation trust by using the Enable federation trust wizard in the Exchange admin center (EAC) or the New-FederationTrust cmdlet in the Exchange Management Shell. Самозаверяющий сертификат автоматически создается с помощью мастера включения доверия федерации и используется для подписи и шифрования токенов делегирования из системы проверки подлинности Azure AD, позволяющей пользователям доверять внешним организациям.A self-signed certificate is automatically created by the Enable federation trust wizard and is used for signing and encrypting delegation tokens from the Azure AD authentication system that allow users to be trusted by external federated organizations. Дополнительные сведения о требованиях к сертификатам см. в подразделе Certificate Requirements for Federation далее в этом разделе.For details about certificate requirements, see Certificate Requirements for Federation later in this topic.

При создании отношения доверия федерации с системой проверки подлинности Azure AD идентификатор приложения (AppID) автоматически создается для организации Exchange и предоставляется в выходных данных командлета Get-FederationTrust .When you create a federation trust with the Azure AD authentication system, an application identifier (AppID) is automatically generated for your Exchange organization and provided in the output of the Get-FederationTrust cmdlet. Идентификатор AppID используется системой проверки подлинности Azure AD для уникальной идентификации организации Exchange.The AppID is used by the Azure AD authentication system to uniquely identify your Exchange organization. Он также используется организацией Exchange для подтверждения прав владения доменом, используемым для системы проверки подлинности Azure AD.It's also used by the Exchange organization to provide proof that your organization owns the domain for use with the Azure AD authentication system. Это достигается путем создания записи ресурса TXT в зоне DNS каждого федеративного домена.This is done by creating a text (TXT) record in the public Domain Name System (DNS) zone for each federated domain.

Идентификатор федеративной организацииFederated organization identifier

Идентификатор федеративной организации (OrgID) определяет, какой из уполномоченных обслуживаемых доменов, настроенных в организации, включен для федерации.The federated organization identifier (OrgID) defines which of the authoritative accepted domains configured in your organization are enabled for federation. Система проверки подлинности Azure AD распознает только тех получателей, которые имеют адреса электронной почты с принятыми доменами, настроенными в идентификаторе организации, и только они могут использовать такие функции, как федеративный общий доступ.Only recipients that have e-mail addresses with accepted domains configured in the OrgID are recognized by the Azure AD authentication system and are able to use federated sharing features. При создании нового доверия федерации с помощью системы проверки подлинности Azure AD автоматически создается идентификатор OrgID.When you create a new federation trust, an OrgID is automatically created with the Azure AD authentication system. OrgID — это сочетание заданной заранее строки и обслуживаемого домена, выбранного в качестве основного общего домена в мастере включения доверия федерации.This OrgID is a combination of a pre-defined string and the accepted domain selected as the primary shared domain in the wizard. Например, если вы указали в мастере изменения общих доменов федеративный домен contoso.com как основной общий домен своей организации, в качестве OrgID для доверия федерации вашей организации Exchange будет автоматически создано пространство имен учетных записей FYDIBOHF25SPDLT.contoso.com.For example, in the Edit Sharing-Enabled Domains wizard, if you specify the federated domain contoso.com as the primary shared domain in your organization, the FYDIBOHF25SPDLT.contoso.com account namespace will be automatically created as the OrgID for the federation trust for your Exchange organization.

Хотя обычно это основной SMTP-домен организации Exchange, он не обязательно должен быть обслуживаемым и не требует записи типа TXT. (Эта запись подтверждает владение и настраивается в службе доменных имен, или DNS.) Единственное требование заключается в том, что длина имен обслуживаемых доменов, выбранных для федерации, не должна превышать 32 символов. Указанный поддомен служит только в качестве федеративного пространства имен для системы аутентификации Azure AD. Он обслуживает уникальные идентификаторы для получателей, запрашивающих маркеры делегирования SAML. Дополнительные сведения о маркерах SAML см. в статье Маркеры и утверждения SAML.Although typically the primary SMTP domain for the Exchange organization, this domain doesn't have to be an accepted domain in your Exchange organization and doesn't require a domain name system (DNS) proof of ownership TXT record. The only requirement is that accepted domains selected to be federated are limited to a maximum of 32 characters. The only purpose of this subdomain is to serve as the federated namespace for the Azure AD authentication system to maintain unique identifiers for recipients that request SAML delegation tokens. For more information about SAML tokens, see SAML Tokens and Claims

Вы можете добавлять и удалять обслуживаемые домены в доверии федерации в любое время. Чтобы включить или выключить все функции федеративного общего доступа в организации, достаточно включить или выключить OrgID для доверия федерации.You can add or remove accepted domains from the federation trust at any time. If you want to enable or disable all federation sharing features in your organization, all you have to do is enable or disable the OrgID for the federation trust.

Важно!

При изменении OrgID, обслуживаемых доменов или AppID, используемых для доверия федерации затрагиваются все функции федеративного общего доступа в вашей федерации. Изменения также затрагивают внешние федеративные организации Exchange, включая Exchange Online и гибридные развертывания. Рекомендуется уведомлять всех внешних федеративных партнеров о всех изменениях в параметрах конфигурации доверия федерации.If you change the OrgID, accepted domains, or the AppID used for the federation trust, all federation sharing features are affected in your organization. This also affects any external federated Exchange organizations, including Exchange Online and hybrid deployment configurations. We recommend that you notify all external federated partners of any changes to these federation trust configuration settings.

Пример федерацииFederation example

Две организации Exchange, Contoso, Ltd. и Fabrikam, Inc., хотят, чтобы их пользователи могли обмениваться сведениями о доступности из календарей. В каждой организации создано доверие федерации с системой проверки подлинности Azure AD и настроено пространство имен учетных записей, включающее в себя домен адресов электронной почты пользователей.Two Exchange organizations, Contoso, Ltd. and Fabrikam, Inc., want their users to be able to share calendar free/busy information with each other. Each organization creates a federation trust with the Azure AD authentication system and configures its account namespace to include the domain used for its user's e-mail address domain.

Сотрудники Contoso используют один из следующих доменов адресов электронной почты: contoso.com, contoso.co.uk или contoso.ca. Сотрудники компании Fabrikam используют один из следующих доменов адресов электронной почты: fabrikam.com, fabrikam.org или fabrikam.net. В обеих организациях все обслуживаемые домены электронной почты включены в пространство имен учетных записей для создания доверия федерации с системой проверки подлинности Azure AD. Вместо настройки сложного леса Active Directory или доверия доменов организации создают между собой связь организаций для обмена сведениями о доступности.Contoso employees use one of the following e-mail address domains: contoso.com, contoso.co.uk, or contoso.ca. Fabrikam employees use one of the following e-mail address domains: fabrikam.com, fabrikam.org, or fabrikam.net. Both organizations make sure that all accepted e-mail domains are included in the account namespace for their federation trust with the Azure AD authentication system. Rather than requiring a complex Active Directory forest or domain trust configuration between the two organizations, both organizations configure an organization relationship with each other to enable calendar free/busy sharing.

На следующем рисунке показана конфигурация федерации между компаниями Contoso, Ltd. и Fabrikam, Inc.The following figure illustrates the federation configuration between Contoso, Ltd. and Fabrikam, Inc.

Пример федеративного общего доступаFederated sharing example

Доверие федерации и федеративный доступFederation Trusts and Federated Sharing

Требования к сертификатам для федерацииCertificate requirements for Federation

Чтобы установить доверие федерации с системой проверки подлинности Azure AD, необходимо создать самозаверяющий сертификат или сертификат X.509, подписанный центром сертификации, и установить его на сервере Exchange 2013, использованном для создания доверия. Настоятельно рекомендуется использовать самозаверяющий сертификат, автоматически создаваемый и устанавливаемый мастером включения доверия федерации в EAC. Он используется только для подписывания и шифрования маркеров делегирования, используемый при федеративном общем доступе. Для доверия федерации достаточно одного сертификата. Exchange 2013 автоматически распространяет сертификат на всех прочих серверах Exchange 2013 в организации.To establish a federation trust with the Azure AD authentication system, either a self-signed certificate or an X.509 certificate signed by a certification authority (CA) must be created and installed on the Exchange 2013 server used to create the trust. We strongly recommend using a self-signed certificate, which is automatically created and installed using the Enable federation trust wizard in the EAC. This certificate is used only to sign and encrypt delegation tokens used for federated sharing and only one certificate is required for the federation trust. Exchange 2013 automatically distributes the certificate to all other Exchange 2013 servers in the organization.

Для использования сертификата X.509, подписанного внешним центром сертификации, он должен отвечать следующим требованиям.If you want to use an X.509 certificate signed by an external CA, the certificate must meet the following requirements:

  • Доверенный центр сертификации: если это возможно, сертификат протокола SSL (X. 509 Secure Sockets Layer (SSL) должен быть выдан центром сертификации, который является доверенным для Windows Live.Trusted CA: If possible, the X.509 Secure Sockets Layer (SSL) certificate should be issued from a CA trusted by Windows Live. Тем не менее, можно использовать сертификаты, выданные центрами сертификации, которые в настоящее время не сертифицированы корпорацией Майкрософт.However, you can use certificates issued by CAs that aren't currently certified by Microsoft. Текущий список доверенных центров сертификации представлен в статье Доверенные корневые центры сертификации для доверий федерации.For a current list of trusted CAs, see Trusted root certification authorities for federation trusts.

  • Идентификатор ключа субъекта: сертификат должен иметь поле идентификатора ключа субъекта.Subject key identifier: The certificate must have a subject key identifier field. Большинство сертификатов X.509, выпускаемых коммерческими центрами сертификации, имеют такой идентификатор.Most X.509 certificates issued by commercial CAs have this identifier.

  • Поставщик криптографической службы (CSP) CryptoAPI: сертификат должен использовать поставщик служб шифрования CryptoAPI.CryptoAPI cryptographic service provider (CSP): The certificate must use a CryptoAPI CSP. Сертификаты, для которых используются поставщики CNG (Cryptography API: Next Generation), не поддерживаются в случае применения федерации.Certificates that use Cryptography API: Next Generation (CNG) providers aren't supported for federation. Если вы используете Exchange для создания запроса на сертификат, используется поставщик CryptoAPI.If you use Exchange to create a certificate request, a CryptoAPI provider is used. Дополнительные сведения см. в разделе CRYPTOGRAPHY API: Next Generation.For more information, see Cryptography API: Next Generation.

  • Алгоритм подписи RSA: в качестве алгоритма подписи в сертификате должен использоваться RSA.RSA signature algorithm: The certificate must use RSA as the signature algorithm.

  • Экспортируемый закрытый ключ: закрытый ключ, используемый для создания сертификата, должен быть экспортируемым.Exportable private key: The private key used to generate the certificate must be exportable. При создании запроса на сертификат с помощью мастера создания сертификатов Exchange в центре администрирования Exchange или командлета New-ExchangeCertificate в командной консоли можно указать, что закрытый ключ сертификата должен быть экспортируемым.You can specify that the private key be exportable when you create the certificate request using the New Exchange certificate wizard in the EAC or the New-ExchangeCertificate cmdlet in the Shell.

  • Текущий сертификат: сертификат должен быть текущим.Current certificate: The certificate must be current. Невозможно использовать истекший или аннулированный сертификат для создания доверия федерации.You can't use an expired or revoked certificate to create a federation trust.

  • Расширенное использование ключа: сертификат должен включать в себя проверку подлинности клиента ( EKU) типа "Расширенное использование ключа" (1.3.6.1.5.5.7.3.2).Enhanced key usage: The certificate must include the enhanced key usage (EKU) type Client Authentication (1.3.6.1.5.5.7.3.2). Этот тип использования предназначен для подтверждения идентификатора на удаленном компьютере.This usage type is used to prove your identity to a remote computer. Если для создания запроса на сертификат используется EAC или командная консоль, то этот тип использования включается по умолчанию.If you use the EAC or the Shell to generate a certificate request, this usage type is included by default.

Примечание

Так как данный сертификат не используется для проверки подлинности, то для него отсутствуют требования к имени субъекта или альтернативному имени субъекта. Можно использовать сертификат с именем субъекта, которое совпадает с именем узла, доменным или любым другим именем.Because the certificate isn't used for authentication, it doesn't have any subject name or subject alternative name requirements. You can use a certificate with a subject name that's the same as the host name, the domain name, or any other name.

Переход на новый сертификатTransitioning to a new certificate

Сертификат, используемый для создания доверия федерации, обозначается в качестве текущего. Однако для доверия федерации может потребоваться периодическая установка и использование нового сертификата. Например, новый сертификат может потребоваться, когда истекает срок действия текущего сертификата или необходимо выполнение требований к ведению бизнеса или обеспечению безопасности. Чтобы обеспечить плавное переключение на новый сертификат, необходимо установить его на сервер Exchange 2013 и настроить доверие федерации для обозначения этого сертификата в качестве нового. Exchange 2013 автоматически распространяет следующий сертификат на другие серверы Exchange 2013 в организации. В зависимости от топологии Active Directory, распространение сертификата может занять некоторое время. Проверить состояние сертификата можно с помощью командлета Test-FederationTrustCertificate в командной консоли.The certificate used to create the federation trust is designated as the current certificate. However, you may need to install and use a new certificate for the federation trust periodically. For example, you may need to use a new certificate if the current certificate expires or to meet a new business or security requirement. To ensure a seamless transition to a new certificate, you must install the new certificate on your Exchange 2013 server and configure the federation trust to designate it as the new certificate. Exchange 2013 automatically distributes the new certificate to all other Exchange 2013 servers in the organization. Depending on your Active Directory topology, distribution of the certificate may take a while. You can verify the certificate status using the Test-FederationTrustCertificate cmdlet in the Shell.

После проверки состояния распространения сертификата можно настроить доверие для переключения на следующий сертификат. Когда это произойдет, текущий сертификат будет обозначен как предыдущий, а новый — как текущий. Новый сертификат публикуется в системе проверки подлинности Azure AD, а все новые маркеры, которыми выполнен обмен с системой проверки подлинности Azure AD, шифруются с помощью нового сертификата.After you verify the certificate's distribution status, you can configure the trust to use the new certificate. After switching certificates, the current certificate is designated as the previous certificate, and the new certificate is designated as the current certificate. The new certificate is published to the Azure AD authentication system, and all new tokens exchanged with the Azure AD authentication system are encrypted using the new certificate.

Примечание

Этот процесс перехода на новый сертификат используется только в федерации. Если этот же сертификат используется в других компонентах Exchange 2013, применяющих сертификаты, необходимо учитывать требования этих компонентов при планировании получения и установки нового сертификата, а также перехода на новый сертификат.This certificate transition process is used only by federation. If you use the same certificate for other Exchange 2013 features that require certificates, you must take the feature requirements into consideration when planning to procure, install, or transition to a new certificate.

Рекомендации относительно брандмауэра для федерацииFirewall Considerations for Federation

Чтобы использовать функции федерации, необходимо настроить для серверов почтовых ящиков и клиентского доступа в организации доступ к Интернету по протоколу HTTPS.Federation features require that the Mailbox and Client Access servers in your organization have outbound access to the Internet by using HTTPS. Необходимо разрешить доступ по протоколу HTTPS (порт 443 для TCP) для всех серверов почтовых ящиков и клиентского доступа Exchange 2013 в организации.You must allow outbound HTTPS access (port 443 for TCP) from all Exchange 2013 Mailbox and Client Access servers in the organization.

Чтобы разрешить внешней организации получать доступ к сведениям о доступности пользователей вашей организации, необходимо опубликовать один сервер клиентского доступа в Интернете. Для этого требуется настройка для сервера клиентского доступа исходящего доступа в Интернет с помощью протокола HTTPS. Серверы клиентского доступа на сайтах Active Directory, на которых не опубликован сервер клиентского доступа в Интернете, могут использовать серверы клиентского доступа на других сайтах Active Directory, которые доступны в Интернете. Серверы клиентского доступа, которые не опубликованы в Интернете, должны иметь внешний URL-адрес виртуального каталога веб-служб, настроенного с помощью URL-адреса, отображаемого для внешних организаций.For an external organization to access your organization's free/busy information, you must publish one Client Access server to the Internet. This requires inbound HTTPS access from the Internet to the Client Access server. Client Access servers in Active Directory sites that don't have a Client Access server published to the Internet can use Client Access servers in other Active Directory sites that are accessible from the Internet. The Client Access servers that aren't published to the Internet must have the external URL of the Web services virtual directory set with the URL that's visible to external organizations.