設定同盟信任
適用於:Exchange Server 2013
同盟信任會在 Microsoft Exchange 2013 組織與Microsoft Entra驗證系統之間建立信任關係。 透過設定同盟信任,您可以設定與其他同盟 Exchange 組織的同盟共用,以在收件者之間共用行事曆空閒/忙碌資訊。 同盟共用可以在兩個同盟 Exchange 2013 組織之間設定,或在同盟 Exchange 2013 組織與同盟 Exchange 2010 組織之間設定。 您也可以設定與 Microsoft 365 或Office 365組織的共用。
注意事項
建立同盟信任是在您 Exchange 組織中設定同盟共用的數個步驟之一。 若要檢閱所有步驟, 請參閱設定同盟共用。
如需與同盟相關的其他管理工作,請參閱 同盟程式。
重要事項
此 Exchange Server 2013 功能與中國的 21Vianet 所運作的 Office 365 不完全相容,部分功能可能受限。 如需詳細資訊,請參閱Office 365由 21Vianet 運作。
開始之前有哪些須知?
預估完成時間:30 分鐘。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 Exchange 和 Shell 基礎 結構許可權主題中的許可權專案。
用於建立同盟信任的網域應該要能夠從網際網路進行解析。 若要這麼做,必須向網域註冊機構註冊該網域,並將網域的網域名稱系統 (DNS) 區域存放在可從網際網路存取的 DNS 伺服器上。 如果組織可以接收該網域的網際網路電子郵件,表示已符合這些需求。
您將需要新增 TXT 記錄到您的公用 DNS。 請檢閱將 TXT 記錄新增至裝載公用 DNS 記錄之組織的需求。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
同盟共用關係中的兩個 Exchange 組織都必須針對其同盟信任使用相同的Microsoft Entra驗證系統。 在兩個內部部署 Exchange 組織之間或內部部署 Exchange 組織與 Microsoft 365 或 Office 365 所裝載的 Exchange 組織之間設定同盟共用時,適用此需求。
當您為 Exchange 2013 組織建立與Microsoft Entra驗證系統的同盟信任時,同盟信任會使用Microsoft Entra驗證系統的商務實例。 不過,具有舊版 Exchange 和現有同盟信任的其他同盟 Exchange 組織可能使用Microsoft Entra驗證系統的商務或取用者實例。
下列 Exchange 組織預設會使用Microsoft Entra驗證系統的商務實例:
- 使用 [ 啟用同盟信任 精靈] 和同盟信任的自我簽署憑證,來交換 2013 組織。
- Exchange 2010 SP1 或更新版本的組織使用 [新增同盟信任 精靈] 和同盟信任的自我簽署憑證。
- 由 Microsoft 365 和 Office 365 所裝載的 Exchange 組織。
下列 Exchange 組織預設會使用Microsoft Entra驗證系統的取用者實例:
- 使用協力廠商憑證授權單位單位所發行的憑證,發行至製造 (RTM) 版本的 Exchange 2010 組織。
我們建議所有 Exchange 組織使用Microsoft Entra驗證系統的商務實例進行同盟信任。 在設定兩個 Exchange 組織之間的同盟共用之前,您必須確認每個 Exchange 組織針對任何現有同盟信任使用的Microsoft Entra驗證系統實例。 若要判斷 Exchange 組織針對現有同盟信任使用的驗證系統實例Microsoft Entra,請執行下列 Shell 命令。
Get-FederationInformation -DomainName <hosted Exchange domain namespace>商務實例會傳回TokenIssuerURIs參數的
<uri:federation:MicrosoftOnline>值。取用者實例會傳回TokenIssuerURIs參數的
<uri:WindowsLiveID>值。若要設定與具有現有同盟信任且使用Microsoft Entra驗證系統之商務實例的 Exchange 組織共用,請遵循本主題中的步驟。 這些步驟是您建立同盟信任所需的一切,可用來啟用兩個 Exchange 2013 組織之間的同盟共用,或是 Exchange 2013 組織與已使用 Microsoft Entra 驗證系統商務實例的 Exchange 2010 組織之間的同盟共用。
若要設定 Exchange 2013 組織與現有同盟信任且使用Microsoft Entra驗證系統取用者實例的 Exchange 組織之間的同盟共用,使用取用者實例的 Exchange 組織應該安裝 Exchange 2010 SP2 或更新版本,或升級至 Exchange 2013。 如果您決定安裝 Exchange 2010 SP2 或更新版本,請使用 [新增同盟信任] 精靈,以移除並重新建立現有同盟網域和同盟信任。 重新建立同盟信任時,將會使用Microsoft Entra驗證系統的商務實例。
使用 EAC 來建立與設定同盟信任
在內部部署組織中的 Exchange 2013 伺服器上,流覽至[組織>共用]。
按一下 [啟用] 以啟動 [啟用同盟信任] 精靈。
精靈完成之後,請按一下 [關閉]。
在 [共用] 標籤的[同盟信任] 區段中,按一下 [修改]。
在 [已啟用共用的網域] 中,在 [步驟 1] 旁邊,按一下 [瀏覽]。
在 [選取公認的網域] 中,從清單中選取主要的共用網域,接著按一下 [確定]。
注意事項
您所選取的網域將會用來設定同盟信任的 OrgID。 如需 OrgID 的詳細資訊,請參閱同盟。
記下針對主要共用網域產生的同盟網域證明。 您將使用此字串在公用 DNS 伺服器上建立 TXT 記錄。
重要事項
同盟網域證明是由英數字元構成的字串。 若要避免輸入錯誤,建議您從 EAC 複製字串,並將它貼到文字編輯器中,例如記事本。 您接著可以將它從文字編輯器複製至剪貼簿,然後在建立 TXT 記錄時,將它貼入 [文字] 欄位。 如果 TXT 記錄是使用不正確的同盟網域證明字串所建立,Microsoft Entra驗證系統將無法驗證網域擁有權證明,而且您將無法將它新增至同盟組織識別碼。
在 步驟 2 中,按一下 [
![新增圖示]。](exchangeserver2013/images/jj218640.c1e75329-d6d7-4073-a27d-498590bbb558(exchg.150).gif "新增圖示")
將其他網域新增至組織中需要同盟共用功能之使用者將使用之電子郵件地址的同盟信任。 例如,如果您的使用者在其電子郵件地址中使用子域,例如 sales.contoso.com,您會將 sales.contoso.com 網域新增至同盟信任。注意事項
其他每個選取的網域都會建立同盟網域證明字串。 您必須在其他每個網域的公用 DNS 上建立不同的 TXT 記錄。
使用為每個網域建立的同盟網域證明字串,為您公用 DNS 伺服器上這些網域中每一個建立 TXT 記錄。 視您的公用 DNS 主機的更新排程而定,DNS 變更的複寫可能需要 15 分鐘或更長的時間。
在建立並複寫 TXT 記錄後,按一下 [更新]。
使用命令介面來建立與設定同盟信任
執行此命令以建立同盟信任憑證的唯一主體金鑰識別碼:
$ski = [System.Guid]::NewGuid().ToString("N")使用此語法建立同盟信任的自我簽署憑證:
New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski此範例會建立與Microsoft Entra驗證系統同盟信任的自我簽署憑證。 憑證會使用易記名稱值 Exchange Federated Sharing,並從 USERDNSDOMAIN 環境變數擷取網域值。
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski若要建立同盟信任,並將您在上一個步驟中建立的自我簽署憑證自動部署到組織中的 Exchange 伺服器,請使用下列語法:
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"此範例會建立名為 Microsoft Entra 驗證的同盟信任,並部署名為 Exchange Federated Sharing 的自我簽署憑證。
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"使用此語法可傳回您將針對同盟信任設定的任何網域所需的網域擁有權證明 TXT 記錄。
Get-FederatedDomainProof -DomainName <domain>此範例會傳回主要共用網域 contoso.com 所需的網域擁有權 TXT 記錄證明。
Get-FederatedDomainProof -DomainName contoso.com附註:
針對同盟信任設定的每個網域或子域都需要網域擁有權 TXT 記錄的證明,因此您可能需要使用不同的 DomainName 值多次執行此命令。
建議您以滑鼠右鍵按一下殼層,選取 [ 標記],選取 [ 證明 ] 值,然後按 Enter 鍵,以便在建立 TXT 記錄時使用它,以複製網域證明字串。 如果您使用不正確的同盟網域證明字串建立 TXT 記錄,Microsoft Entra驗證系統就無法驗證網域的擁有權,而且您將無法將它新增至同盟組織識別碼。
使用上一個步驟中的資訊,在將包含在同盟信任的每個網域中的公用 DNS 伺服器上建立 TXT 記錄。 視您的公用 DNS 主機的更新排程而定,DNS 變更的複寫可能需要 15 分鐘或更長的時間。 確認新的 TXT 記錄可供使用之後,請繼續進行。
重要事項
應該為同盟/共用的每個網域建立 TXT 記錄。 如果這是混合式環境,則在 Exchange Online 中驗證的所有已接受網域都應該建立 TXT 記錄。
執行此命令,從Microsoft Entra識別碼擷取中繼資料和憑證:
Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"使用此語法,為您在步驟 3 中建立的同盟信任設定主要共用網域。 您指定的網域將用來設定組織識別碼 (同盟信任的組織識別碼) 。 如需 OrgID 的詳細資訊,請參閱 同盟組織識別碼。
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true此範例會將接受的網域 contoso.com 設定為名為 Microsoft Entra 驗證之同盟信任的主要共用網域。
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true若要將其他網域新增至同盟信任,請使用下列語法:
Add-FederatedDomain -DomainName <AdditionalDomain>此範例會將子域 sales.contoso.com 新增至同盟信任,因為在 sales.contoso.com 網域中具有電子郵件地址的使用者需要同盟共用功能。
Add-FederatedDomain -DomainName sales.contoso.com請記住,您新增至同盟信任的任何網域或子域都需要網域擁有權 TXT 記錄的證明,
如需詳細的語法和參數資訊,請參閱 New-ExchangeCertificate、 New-FederationTrust、 Get-FederatedDomainProof、 Set-FederationTrust、 Set-FederatedOrganizationIdentifier和 Add-FederatedDomain。
如何知道這是否正常運作?
成功完成 [啟用同盟信任] 與 [已啟用共用的網域] 精靈即表示同盟信任如預期完成設定。
若要更進一步驗證您已成功建立與設定同盟信任,請執行下列操作:
執行下列命令介面命令,確認同盟信任資訊。
Get-FederationTrust | Format-List將PrimarySharedDomain > 取代 <為您的主要共用網域,然後執行下列 Shell 命令來確認可以從組織擷取同盟資訊。
Get-FederationInformation -DomainName <PrimarySharedDomain>
如需詳細的語法及參數資訊,請參閱 Get-FederationTrust 與 Get-FederationInformation。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。