Configurar una confianza de federación
Se aplica a: Exchange Server 2013
Una confianza de federación establece una relación de confianza entre una organización de Microsoft Exchange 2013 y el sistema de autenticación Microsoft Entra. Al configurar una confianza de federación, podrá configurar el uso compartido federado con otras organizaciones federadas de Exchange y compartir la información de calendarios de disponibilidad entre los destinatarios. El uso compartido federado se puede configurar entre dos organizaciones de Exchange 2013 federadas o entre una organización de Exchange 2013 federada y otras organizaciones de Exchange 2010 federadas. También puede configurar el uso compartido con una organización de Microsoft 365 u Office 365.
Nota:
Crear una confianza de federación es uno de los varios pasos que se deben seguir para configurar el uso compartido en su organización de Exchange. Para revisar todos los pasos, consulte Configuración del uso compartido federado.
Para obtener más tareas de administración relacionadas con la federación, consulte Procedimientos de federación.
Importante
Esta característica de Exchange Server 2013 no es totalmente compatible con Office 365 operado por 21Vianet en China y pueden aplicarse ciertas limitaciones en las características. Para obtener más información, vea Office 365 operado por 21Vianet.
¿Qué necesita saber antes de empezar?
Tiempo estimado para finalizar: 30 minutos.
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el entrada "Permisos de certificados y federación" en el tema Permisos de infraestructura de la Shell y de Exchange.
El dominio utilizado para establecer una confianza de federación debe poder resolverse desde Internet. Esto requiere que el dominio se registre en un registrador de dominios y que la zona DNS del dominio se hospede en un servidor DNS al que se pueda obtener acceso desde Internet. Si la organización recibe correo electrónico de Internet para el dominio, ya se cumplen estos requisitos.
Necesitará agregar un registro TXT a su DNS público. Revise los requisitos para agregar un registro TXT con la organización que aloja sus registros de DNS públicos.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Ambas organizaciones de Exchange en una relación de uso compartido federado deben usar el mismo sistema de autenticación de Microsoft Entra para sus confianzas de federación. Este requisito se aplica al configurar el uso compartido federado entre dos organizaciones de Exchange locales o entre una organización de Exchange local y una organización de Exchange hospedada por Microsoft 365 u Office 365.
Al crear una confianza de federación con el sistema de autenticación Microsoft Entra para la organización de Exchange 2013, la confianza de federación usará la instancia de negocio del sistema de autenticación Microsoft Entra. Sin embargo, otras organizaciones federadas de Exchange con versiones anteriores de Exchange y confianzas de federación existentes pueden usar la instancia empresarial o de consumidor del sistema de autenticación Microsoft Entra.
Las siguientes organizaciones de Exchange usan la instancia de negocio del sistema de autenticación Microsoft Entra de forma predeterminada:
- Exchange 2013 organizaciones que utilizan el Asistente Habilitar la confianza de federación y certificados autofirmados para una confianza de federación.
- Las organizaciones de Exchange 2010 SP1 o posterior mediante el asistente Nueva confianza de federación y certificados autofirmados para una confianza de federación.
- Organizaciones de Exchange hospedadas por Microsoft 365 y Office 365.
Las siguientes organizaciones de Exchange usan la instancia de consumidor del sistema de autenticación Microsoft Entra de forma predeterminada:
- La versión RTM de organizaciones de Exchange 2010 que usan certificados emitidos por otras entidades de certificación.
Se recomienda que todas las organizaciones de Exchange usen la instancia de negocio del sistema de autenticación Microsoft Entra para las confianzas de federación. Antes de configurar el uso compartido federado entre las dos organizaciones de Exchange, debe comprobar qué instancia del sistema de autenticación de Microsoft Entra usa cada organización de Exchange para las confianzas de federación existentes. Para determinar qué instancia del sistema de autenticación de Microsoft Entra usa una organización de Exchange para una confianza de federación existente, ejecute el siguiente comando de Shell.
Get-FederationInformation -DomainName <hosted Exchange domain namespace>
La instancia de negocio devuelve un valor de
<uri:federation:MicrosoftOnline>
para el parámetro TokenIssuerURIs .La instancia de consumidor devuelve un valor de
<uri:WindowsLiveID>
para el parámetro TokenIssuerURIs .Para configurar el uso compartido federado con una organización de Exchange que tiene una confianza de federación existente que usa la instancia empresarial del sistema de autenticación Microsoft Entra, siga los pasos de este tema. Estos pasos son todo lo que necesita realizar para crear confianzas de federación que se pueden usar para habilitar el uso compartido federado entre dos organizaciones de Exchange 2013 o entre una organización de Exchange 2013 y una organización de Exchange 2010 que ya usa la instancia empresarial del sistema de autenticación Microsoft Entra.
Para configurar el uso compartido federado entre la organización de Exchange 2013 y una organización de Exchange que tiene una confianza de federación existente que usa la instancia de consumidor del sistema de autenticación Microsoft Entra , la organización de Exchange que usa la instancia de consumidor debe instalar Exchange 2010 SP2 o posterior, o actualizar a Exchange 2013. Si decide instalar Exchange 2010 SP2 o posterior, utilice el Asistente Nueva confianza de federación para eliminar y volver a crear los dominios y confianzas de federación federadas ya existentes. Cuando se vuelvan a crear las confianzas de federación, se usará la instancia de negocio del sistema de autenticación Microsoft Entra.
Usar el EAC para crear y configurar una confianza de federación
En un servidor de Exchange 2013 de la organización local, vaya aUso compartido de la organización>.
Haga clic en Habilitar para iniciar el Asistente Habilitar confianza de federación.
Una vez finalizado el asistente, haga clic en Cerrar.
En la sección Confianza de federación de la ficha Uso compartido, haga clic en Modificar.
En Dominios habilitados para uso compartido, junto a Paso 1, haga clic en Examinar.
En Seleccionar dominios aceptados, seleccione el dominio compartido principal en la lista y, a continuación, haga clic en Aceptar.
Nota:
El dominio seleccionado se utilizará para configurar el OrgId de la confianza de federación. Para obtener más información acerca de OrgId, consulte Federación.
Anote la prueba de dominio federado que se genera para el dominio compartido principal. Deberá utilizar esta cadena para crear un registro TXT en su servidor DNS público.
Importante
La verificación del dominio federado es una cadena de caracteres alfanuméricos. Para evitar errores de entrada, se recomienda copiar la cadena del EAC y pegarla en un editor de texto como el Bloc de notas. A continuación, podrá copiarla del editor de texto en el Portapapeles y pegarla en el campo Texto al crear el registro TXT. Si el registro TXT se crea mediante una cadena de prueba de dominio federada incorrecta, el sistema de autenticación Microsoft Entra no podrá comprobar la prueba de propiedad del dominio y no podrá agregarlo al identificador de la organización federada.
En el paso 2, haga clic en Agregar para agregar dominios adicionales a la confianza federada para las direcciones de correo electrónico que usarán los usuarios de su organización que requieran características de uso compartido federado. Por ejemplo, si tiene usuarios que usan un subdominio en su dirección de correo electrónico, como sales.contoso.com, agregaría el dominio sales.contoso.com a la confianza de federación.
Nota:
Se creará una prueba de dominio federado para cada dominio adicional seleccionado. Deberá crear registros TXT por separado en su DNS público para cada dominio adicional.
Con las cadenas de las pruebas de dominio federado de cada dominio, cree registros TXT para cada uno de dichos dominios en su servidor DNS público. Según la programación de actualizaciones de su host DNS público, la replicación de los cambios de DNS puede tardar 15 minutos o más.
Después de crear y replicar los registros TXT, haga clic en Actualizar.
Usar el Shell para crear y configurar una confianza de federación
Ejecute este comando para crear un identificador de clave de sujeto único para el certificado de confianza de federación:
$ski = [System.Guid]::NewGuid().ToString("N")
Use esta sintaxis para crear un certificado autofirmado para la confianza de federación:
New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
En este ejemplo se crea un certificado autofirmado para la confianza de federación con el sistema de autenticación Microsoft Entra. El certificado usa el valor de nombre descriptivo Intercambio compartido federado de Exchange y el valor de dominio se recupera de la variable de entorno USERDNSDOMAIN .
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
Para crear la confianza de federación e implementar automáticamente el certificado autofirmado que creó en el paso anterior en los servidores de Exchange de su organización, use esta sintaxis:
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
En este ejemplo se crea la confianza de federación denominada Autenticación de Microsoft Entra e se implementa el certificado autofirmado denominado Uso compartido federado de Exchange.
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
Use esta sintaxis para devolver el registro TXT de prueba de propiedad de dominio necesario para cualquier dominio que configure para la confianza de federación.
Get-FederatedDomainProof -DomainName <domain>
En este ejemplo se devuelve el registro TXT de prueba de propiedad de dominio necesario para el dominio compartido principal contoso.com.
Get-FederatedDomainProof -DomainName contoso.com
Notas:
Cada dominio o subdominio configurado para la confianza de federación requiere un registro TXT de prueba de propiedad de dominio, por lo que es posible que tenga que ejecutar este comando varias veces con distintos valores DomainName .
Se recomienda copiar la cadena de prueba de dominio haciendo clic con el botón derecho en el Shell, seleccionando Marcar, seleccionando el valor Prueba y presionando Entrar para que pueda usarlo al crear el registro TXT. Si crea el registro TXT con una cadena de prueba de dominio federada incorrecta, el sistema de autenticación Microsoft Entra no puede comprobar la propiedad del dominio y no podrá agregarlo al identificador de la organización federada.
Con la información del paso anterior, cree registros TXT en el servidor DNS público en todos los dominios que se incluirán en la confianza de federación. Según la programación de actualizaciones de su host DNS público, la replicación de los cambios de DNS puede tardar 15 minutos o más. Continúe después de comprobar que los nuevos registros TXT están disponibles.
Importante
El registro TXT debe crearse para cada dominio que se esté federando o compartido. Si se trata de un entorno híbrido, todos los dominios aceptados que se validan en Exchange Online deben tener registros TXT creados.
Ejecute este comando para recuperar los metadatos y el certificado de Microsoft Entra ID:
Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
Use esta sintaxis para configurar el dominio compartido principal para la confianza de federación que creó en el paso 3. El dominio que especifique se usará para configurar el identificador de organización (OrgID) para la confianza de federación. Para obtener más información sobre orgID, consulte Identificador de organización federada.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
En este ejemplo se configura el dominio aceptado contoso.com como dominio compartido principal para la confianza de federación denominada Autenticación de Microsoft Entra.
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
Para agregar otros dominios a la confianza de federación, use esta sintaxis:
Add-FederatedDomain -DomainName <AdditionalDomain>
En estos ejemplos se agrega el sales.contoso.com de subdominio a la confianza federada, ya que los usuarios con direcciones de correo electrónico en el dominio sales.contoso.com requieren características de uso compartido federado.
Add-FederatedDomain -DomainName sales.contoso.com
Recuerde que cualquier dominio o subdominio que agregue a la confianza de federación requiere una prueba de propiedad de dominio TXT,
Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier y Add-FederatedDomain.
¿Cómo saber si el proceso se ha completado correctamente?
Cuando finalicen correctamente los asistentes Habilitar confianza de federación y Dominios habilitados para uso compartido deberá interpretarlo como la primera indicación de que la confianza de federación se ha configurado tal como esperaba.
Para verificar con más detalle que ha creado y configurado correctamente la confianza de federación, realice lo siguiente:
Ejecute el siguiente comando de Shell para verificar la información de confianza de federación.
Get-FederationTrust | Format-List
Reemplace <PrimarySharedDomain> por el dominio compartido principal y ejecute el siguiente comando de Shell para comprobar que la información de federación se puede recuperar de su organización.
Get-FederationInformation -DomainName <PrimarySharedDomain>
Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-FederationTrust y Get-FederationInformation.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.