Administrar una confianza de federación
Se aplica a: Exchange Server 2013
Una confianza de federación establece una relación de confianza entre una organización de Microsoft Exchange 2013 y el sistema de autenticación Microsoft Entra y admite el uso compartido federado con otras organizaciones federadas de Exchange. Normalmente, no debería tener que administrar ni modificar la confianza de federación una vez creada. Sin embargo, puede que haya ciertas circunstancias que requieran la adición o eliminación de dominios federados o el restablecimiento del dominio usado para configurar el identificador de organización (OrgID) para la confianza de federación.
Nota:
La modificación de una confianza de federación existente, especialmente el dominio compartido principal que se usa para definir el OrgID, puede interrumpir el uso compartido federado entre organizaciones federadas de Exchange o para implementaciones híbridas con organizaciones de Microsoft 365 u Office 365.
Para obtener más tareas de administración relacionadas con la federación, consulte Procedimientos de federación.
Importante
Esta característica de Exchange Server 2013 no es totalmente compatible con Office 365 operado por 21Vianet en China y pueden aplicarse ciertas limitaciones en las características. Para obtener más información, consulte Acerca de Office 365 operado por 21Vianet.
¿Qué necesita saber antes de empezar?
Tiempo estimado para finalizar: 30 minutos.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada Permisos de federación y certificados en el tema Permisos de infraestructura de Exchange y Shell .
Deberá agregar un registro TXT a su DNS público para cada dominio federado nuevo que se agregue a la confianza de federación. Revise los requisitos para agregar un registro TXT con la organización que aloja sus registros de DNS públicos.
Para los fines de este tema, se creó una confianza de federación existente con la siguiente configuración:
Contoso.com es el dominio compartido primario para la confianza de federación. (Este dominio no se cambiará.)
Los dominios federados service.contoso.com y sales.contoso.com se incluyen en la confianza de federación existente.
Marketing.contoso.com es un dominio aceptado en la organización de Exchange.
Este tema también trata otras tareas de administración de la federación, como la visualización y administración de certificados que se usan para la confianza de federación y la visualización de la información del parámetro de confianza de federación en el Shell.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Usar el EMC para administrar una confianza de federación
En un servidor de Exchange 2013 de la organización local, vaya aUso compartido de la organización>.
En la sección Confianza de federación, haga clic en Modificar.
En Dominios habilitados para uso compartido, omita el Paso 1 ya que el dominio compartido primario no se carga.
En el paso 2, seleccione el dominio service.contoso.com y, a continuación, haga clic en el para quitar el dominio de la confianza federada.
En el paso 2, haga clic en Agregar.
En Selecciona dominios aceptados, seleccione marketing.contoso.com de la lista de dominios aceptados y, a continuación, haga clic en Aceptar para agregar el dominio a la confianza federada.
Importante
Se creará una cadena de prueba de dominio federada para el dominio marketing.contoso.com. Debe crear un registro TXT independiente en su DNS público para este dominio.
Usando la cadena de prueba de dominio creada para el dominio marketing.contoso.com, cree un registro TXT en su servidor de DNS público. Según la programación de actualizaciones de su host DNS público, la replicación de los cambios de DNS puede tardar 15 minutos o más.
Tras la creación y replica del registro TXT, haga clic en Actualizar.
Usar el Shell para administrar una confianza de federación
Este ejemplo quita el dominio de service.contoso.com de la confianza de federación.
Remove-FederatedDomain -DomainName service.contoso.com
Este ejemplo agrega el dominio marketing.contoso.com a la confianza de federación.
Add-FederatedDomain -DomainName marketing.contoso.com
Para obtener más información acerca de la sintaxis y los parámetros, consulte Remove-FederatedDomain y Add-FederatedDomain.
Ejecute los comandos de Shell siguientes para administrar otros aspectos de una confianza de federación:
Ver el "OrgID" federado y los dominios federados
En este ejemplo se muestra el "OrgId" federado de la organización de Exchange y otra información relacionada, incluyendo los dominios federados y el estado.
Get-FederatedOrganizationIdentifier
Visualización de certificados de federación
En este ejemplo se muestran los certificados anteriores, actuales y siguientes usados por la confianza de federación "Autenticación de Microsoft Entra".
Get-FederationTrust "Azure AD authentication" | Select Org*certificate
Consulta del estado de los certificados de federación
En este ejemplo se muestra el estado de los certificados de federación de todos los servidores de buzones de correo y de acceso de clientes de la organización.
Test-FederationTrustCertificate
Configuración de la confianza de federación para usar un certificado como certificado siguiente
En este ejemplo se configura la confianza de federación "Autenticación de Microsoft Entra" para usar el certificado con la huella digital proporcionada como el siguiente certificado. Una vez implementado el certificado en todos los servidores de Exchange de la organización, puede usar el modificador PublishCertificate para configurar la confianza de federación para usar este certificado como certificado actual.
Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
Configuración de la confianza de federación para usar el certificado siguiente como certificado actual
En este ejemplo se configura la autenticación de Microsoft Entra de confianza de federación para usar el certificado siguiente como certificado actual y lo publica en el sistema de autenticación Microsoft Entra.
Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
Advertencia
Antes de configurar la confianza de federación para usar el certificado posterior como certificado actual, debe comprobar que el certificado esté implementado en todos los servidores de Exchange de su organización. Use el cmdlet Test-FederationTrustCertificate para comprobar el estado de implementación del certificado.
Actualización de metadatos de federación y certificado desde el sistema de autenticación Microsoft Entra
En este ejemplo se actualizan los metadatos de federación y el certificado del sistema de autenticación Microsoft Entra para la autenticación de Microsoft Entra de confianza de federación.
Set-FederationTrust "Azure AD authentication" -RefreshMetadata
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los siguientes temas:
Nota:
Hay consideraciones adicionales si el inquilino se hospeda en el entorno de Office 365 U.S. Government GCC High o DoD. En estos entornos, debe ejecutar el cmdlet Set-FederationTrust en el entorno de Exchange local con un valor diferente para el parámetro MetadataUrl . Consulte Set-FederationTrust para obtener más información.
¿Cómo saber si el proceso se ha completado correctamente?
La finalización correcta del Asistente para Dominios habilitados para uso compartido es su primera indicación de que ha configurado la confianza de federación correctamente.
Para comprobarlo todavía más, haga lo siguiente:
Ejecute el siguiente comando de Shell para verificar la información de confianza de federación.
Get-FederationTrust | format-list
Ejecute el siguiente comando de Shell para verificar que se puede recuperar la información de la federación de su organización. Por ejemplo, compruebe que los dominios sales.contoso.com y marketing.contoso.com se devuelven en el parámetro DomainNames .
Get-FederationInformation -DomainName <your primary sharing domain>
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.