Scénario : déploiement de stratégies de carnet d’adresses
S’applique à : Exchange Server 2013
Scénarios de déploiement
Les trois scénarios suivants décrivent les solutions de déploiement possibles pour trois types d’organisation différents. Bien qu’il existe de nombreux autres scénarios, les scénarios les plus populaires sont abordés ici. Les listes d’adresses et les listes d’adresses globales (GAL) dans ces scénarios ont été créées en fonction de filtres, tels que les attributs personnalisés, qui regroupent logiquement les objets.
Scénario 1 : Deux sociétés distinctes - une organisation Exchange
Ce scénario s’applique aux organismes gouvernementaux, aux divisions ou aux ministères qui partagent l’infrastructure, mais qui n’ont pas de chaîne de rapports et n’ont pas d’employés communs. En outre, les divisions n’ont pas de préoccupation particulière en matière de sécurité ou de confidentialité. Dans ce scénario, deux stratégies de carnet d’adresses (ARP) sont créées, où les employés peuvent uniquement voir les membres de la même organisation quand ils affichent la liste d’adresses générale ou examinent l’appartenance à d’autres groupes de distribution. En outre, aucun utilisateur ne sera membre de groupes de distribution qui s’étendent à l’ensemble de l’organisation.
Les ADP Contoso et Humongous Insurance ont été créées à l’aide des listes d’adresses, listes d’adresses globales, listes de salles et OABs suivantes, qui ont été créées à l’aide d’un filtre de destinataire qui regroupe les objets avec un filtre tel que Custom Attribute. Étant donné que les deux sociétés sont séparées sans aucune interaction entre les deux, il n’y a pas de liste d’adresses en commun.
Contoso | Humongous Insurance | |
---|---|---|
Listes d'adresses | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
Liste d'adresses globale | GAL_CON | GAL_HI |
Liste d'adresses de salle | AL_CON_Rooms | AL_HI_Rooms |
Carnet d'adresses en mode hors connexion | OAB_CON | OAB_HI |
Scénario 2 : Deux sociétés partageant un PDG
Dans ce scénario, Fabrikam et Tailspin Toys partagent la même organisation Exchange et le même PDG. Le PDG est la seule personne commune entre les deux sociétés. Ce scénario nécessite trois abps qui ont les caractéristiques suivantes :
- Les utilisateurs de Tailspin Toys peuvent uniquement voir les utilisateurs de Tailspin Toys lorsqu’ils parcourent la liste d’adresses globale.
- Les utilisateurs de Fabrikam peuvent uniquement voir les utilisateurs Fabrikam lorsqu’ils parcourent la liste d’adresses globale.
- Dans chaque entreprise, il existe un groupe de distribution SeniorLeaders qui comprend les dirigeants de cette société et le PDG.
- Les utilisateurs qui examinent l’appartenance au groupe du PDG verront uniquement les groupes qui appartiennent à l’entreprise de l’utilisateur. Ils ne verront pas les groupes qui ne sont pas dans leur propre entreprise.
- Trois abps sont créés : Fab, Tail et CEO.
Fabrikam | Tailspin Toys | PDG | |
---|---|---|---|
Listes d’adresses | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
Liste d'adresses globale | GAL_FAB | GAL_TAIL | Liste d’adresses gal par défaut |
Liste d'adresses de salle | AL_FAB_Rooms | AL_TAIL_Rooms | Toutes les salles par défaut |
Carnet d'adresses en mode hors connexion | OAB_FAB | OAB_TAIL | Carnet d’adresses en mode hors connexion par défaut |
Lorsque le PDG est ajouté aux groupes de distribution de chaque organisation et qu’il entre dans le cadre de l’ABP de chaque entreprise, le PDG devient visible pour chaque entreprise. Le PDG peut créer des groupes de distribution qui couvrent les deux sociétés et qui seront visibles dans la liste d’adresses globale de chaque entreprise, mais les membres du groupe de distribution ne pourront afficher que les membres du groupe qui se trouvent au sein de leur propre organisation.
Scénario 3 : éducation
Ce scénario s’applique aux écoles ou aux universités où une division des salles de classe est nécessaire pour garantir la confidentialité des étudiants. Le scénario Éducation présente les caractéristiques suivantes :
- Les étudiants de chaque classe peuvent seulement voir les autres étudiants de leur classe, leur professeur et le proviseur.
- Les enseignants ne peuvent que les étudiants dans leurs propres salles de classe.
- Les enseignants peuvent voir tous les autres enseignants et le directeur.
- Des groupes de distribution sont créés pour les parents de chaque classe et le corps enseignant.
Students_ClassA | Teachers_ClassA | Directeur | |
---|---|---|---|
Listes d'adresses | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
Liste d'adresses globale | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
Liste d'adresses de salle | AL_BlankRoom | AL_BlankRoom | Toutes les salles par défaut |
Carnet d'adresses en mode hors connexion | OAB_StudentsClassA | OAB_TeachersClassA | Carnet d’adresses en mode hors connexion par défaut |
Considérations et meilleures pratiques
Tenez compte des points suivants lors de l’utilisation d’ADP dans votre organisation :
Pour que les abps fonctionnent correctement, la boîte aux lettres utilisateur à laquelle vous appliquez l’ABP doit se trouver sur un serveur Exchange 2010 SP3 ou Exchange 2013.
N’exécutez pas le rôle serveur d’accès au client Exchange 2010 sur le serveur de catalogue global. Cela entraîne l’utilisation d’Active Directory pour l’interface NSPI (Name Service Provider Interface) au lieu du service carnet d’adresses Microsoft Exchange. Vous pouvez exécuter des rôles serveur Exchange 2013 sur un serveur de catalogue global et faire fonctionner correctement les abps, mais nous vous déconseillons d’installer Exchange sur un contrôleur de domaine.
Vous ne pouvez pas utiliser simultanément des carnets d'adresses hiérarchiques (HAB) et des stratégies de carnet d'adresses. Pour plus d’informations, consultez Carnets d’adresses hiérarchiques.
Tout utilisateur affecté à un ABP doit exister dans sa propre liste d’adresses gal.
Si vous autorisez les applications clientes à accéder directement à Active Directory via LDAP, elles contournent la logique intégrée aux APL. Étant donné que Outlook pour Mac 2011 et Entourage 2008 utilisent des requêtes LDAP directes pour accéder à Active Directory, ces applications clientes ne fonctionnent pas correctement avec les adresses ABPs si un contrôleur de domaine ou un serveur de catalogue global est spécifié ou fourni par le service de découverte automatique. Outlook pour Mac 2011 peut utiliser EWS ou un carnet d’adresses en mode hors connexion local pour accéder aux informations de répertoire. Toutefois, si Outlook pour Mac 2011 peut accéder directement à un service LDAP, elle tente de le faire.
La liste d’adresses globale utilisée dans un ABP doit, au minimum, contenir toutes les listes d’adresses, y compris la liste d’adresses de salle, définies et spécifiées dans un ABP. Ne créez pas de liste d’adresses qui contient moins d’objets que les listes d’adresses dans le même ABP.
Nous vous recommandons de créer des groupes de distribution qui ne franchissent pas les limites de l’organisation virtuelle. La création de groupes de distribution qui contiennent des membres de plusieurs organisations virtuelles entraîne les problèmes suivants :
Si les membres du groupe demandent une remise ou une confirmation de lecture lors de l’envoi de courriers au groupe de distribution, ils pourront voir les adresses e-mail des membres du groupe dans d’autres organisations virtuelles
Si un message chiffré est envoyé au groupe de distribution et que certains membres du groupe n’ont pas d’ID numérique valides, l’expéditeur reçoit un message d’avertissement qui inclut le nombre total de membres qui n’ont pas d’ID valides et une liste de leurs adresses e-mail. Toutefois, si certains de ces membres sans ID numérique valides se trouvent dans une organisation différente de celle de l’expéditeur, le message d’avertissement inclut le nombre correct, mais n’inclut pas les adresses e-mail des membres de l’autre organisation. Par conséquent, le nombre total ne correspond pas à la liste des adresses des membres.
Par exemple, supposons qu’un groupe de distribution contient cinq membres au total provenant de deux organisations, l’Agence A et l’Agence B. Trois membres du groupe proviennent de l’Agence A, et l’un de ces membres a comme ID numérique non valide. Les deux autres membres proviennent de l’Agence B et ont tous deux des ID numériques non valides. Si un membre de l’Agence A envoie un message chiffré au groupe de distribution, ce membre reçoit un message d’avertissement indiquant qu’il y a au total trois destinataires sans ID numérique valides. Toutefois, seule l’adresse e-mail du destinataire de l’Agence A est indiquée dans le message d’avertissement.
Les ABP ne s’appliquent pas aux applets de commande Get-Group . Par conséquent, tout utilisateur ou processus capable d’exécuter Get-Group verra tous les membres de n’importe quel groupe auquel il a accès.
Nous vous recommandons de modifier les paramètres de gestion des groupes des options OWA afin que les utilisateurs ne puissent pas utiliser Outlook Web App pour gérer les groupes. Pour empêcher les utilisateurs d’utiliser les options OWA pour gérer les groupes, excluez les utilisateurs du rôle RBAC MyDistributionGroupMembership. Pour plus d’informations, consultez Rôle MyDistributionGroupMembership.
Si vous autorisez les utilisateurs à utiliser Outlook ou Outlook Web App pour gérer des groupes, les propriétaires de groupes doivent avoir une visibilité complète de la liste d’appartenances aux groupes.
Toutes les stratégies de carnet d'adresses doivent contenir une liste d'adresses des salles. Toutefois, si votre organisation n’utilise pas les listes d’adresses de salle, vous pouvez créer une liste d’adresses de salle vide par défaut.
Le déploiement de stratégies de carnet d'adresses n'empêche pas les utilisateurs d'une organisation virtuelle d'envoyer des courriers électroniques à des utilisateurs d'une autre organisation virtuelle. Si vous souhaitez empêcher les utilisateurs d’envoyer des e-mails entre les organisations, nous vous recommandons de créer une règle de transport. Par exemple, pour créer une règle de transport qui empêche les utilisateurs de Contoso de recevoir des messages d’utilisateurs Fabrikam, tout en permettant à l’équipe de direction de Fabrikam d’envoyer des messages aux utilisateurs de Contoso, exécutez la commande Shell suivante :
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
Si vous souhaitez appliquer une fonctionnalité similaire à ABP dans le client Lync, vous pouvez définir l’attribut
msRTCSIP-GroupingID
sur des objets utilisateur spécifiques. Pour plus d’informations, consultez La rubrique PartitionByOU Remplacée par msRTCSIP-GroupingID .
Étapes générales de déploiement
Migration de la segmentation de la liste d’adresses vers des adresses ABPs
Si votre organisation a configuré la solution de séparation des listes d’adresses Exchange 2007 en utilisant les instructions du livre blanc Configuring Virtual Organizations and Address List Segregation in Exchange 2007, vous devez d’abord migrer vers Exchange Server 2010 en suivant les étapes décrites dans Migrer vers Exchange Server stratégies de carnet d’adresses 2010 à partir de Exchange Server répartition des listes d’adresses 2007. Cette procédure nécessitera un certain temps d’arrêt pour votre organisation et vous devrez donc planifier en conséquence.
Nouveau déploiement d’abps
Si votre organisation déploie des adresses ABPs Exchange 2013 et n’a pas utilisé la répartition de la liste d’adresses Exchange 2007, vous pouvez utiliser ces instructions pour déployer des ADP dans votre organisation.
Les étapes décrites dans cette section vous guident tout au long du scénario 2 : Deux sociétés partageant un PDG. Dans ce scénario, deux sociétés (Fabrikam et Tailspin Toys) sont séparées, mais partagent un PDG et une équipe de direction.
Étape 1 : Installer et configurer l’agent de routage des stratégies de carnet d’adresses
Si vous utilisez des adresses ABPs et que vous ne souhaitez pas que les utilisateurs d’organisations virtuelles distinctes affichent les informations potentiellement privées de l’autre, vous pouvez activer l’agent de routage des stratégies de carnet d’adresses. L’agent de routage de stratégie de carnet d’adresses est un agent de transport qui s’exécute sur le serveur de boîtes aux lettres qui contrôle la façon dont les destinataires sont résolus dans l’organisation. Lorsque l’agent de routage de stratégie de carnet d’adresses est installé et configuré, les utilisateurs auxquels des listes de disponibilité générale différentes sont affectées apparaissent en tant que destinataires externes, car ils ne peuvent pas afficher les cartes de visite des destinataires externes.
Pour obtenir des instructions détaillées, consultez Installer et configurer l’agent de routage des stratégies de carnet d’adresses.
Étape 2 : Diviser vos organisations virtuelles
Vous devez développer un moyen de diviser vos organisations. Nous vous recommandons d’utiliser la propriété CustomAttribute1-15 sur les boîtes aux lettres, les contacts et les groupes au lieu des attributs conditionnels prédéfinis tels que Company, Department ou StateOrProvince pour diviser les organisations virtuelles pour les raisons suivantes :
Tous les types de destinataires d’objets n’ont pas d’attributs conditionnels précannés dans Active Directory. Par exemple, le groupe de distribution et le groupe de distribution dynamique ne prennent pas en charge les attributs d’entreprise, de service ou d’état.
Tous les attributs conditionnels prédéfinits ne sont pas exposés dans des applets de commande pour certains destinataires. Par exemple, les paramètres Company, Department et StateOrProvince ne sont pas disponibles sur le exposé dans les applets de commande pour les utilisateurs de messagerie, les contacts, les groupes de distribution et les dossiers publics à extension messagerie.
Plusieurs applets de commande sont nécessaires pour séparer le destinataire lorsque vous utilisez l’attribut conditionnel prédéfinie. Par exemple, vous devez exécuter Set-User pour baliser Company, Department, StateOrProvince pour un UserMailbox après avoir exécuté les applets de commande New-Mailbox ou Set-Mailbox .
Les paramètres CustomAttributeX sont tous exposés dans l’applet de commande Set-* pour chaque type de destinataire. Nous pouvons effectuer toute la séparation pour ce type via une seule applet de commande Set-
Les attributs CustomAttributeX sont explicitement réservés à la personnalisation d’une organisation et sont entièrement sous le contrôle des administrateurs de l’organisation.
Une autre bonne pratique à envisager lors de la séparation de votre organisation consiste à utiliser des identificateurs d’entreprise dans les noms des groupes de distribution et des groupes de distribution dynamiques. Exchange dispose d’une fonctionnalité de stratégie de nommage de groupe qui ajoute automatiquement un suffixe ou un préfixe au nom du groupe de distribution en fonction de nombreux attributs de l’utilisateur qui crée le groupe de distribution, y compris le créateur du groupe de distribution Company, StateorProvince, Title et CustomAttribute1 à CustomAttribute15. La stratégie de nommage de groupe est particulièrement importante si vous autorisez les utilisateurs à créer leurs propres groupes de distribution. Pour plus d'informations, consultez la rubrique Créer une stratégie de noms de groupe de distribution.
Les stratégies de nommage de groupe ne s’appliquent pas aux groupes de distribution dynamiques. Vous devez donc les séparer manuellement et appliquer manuellement une stratégie de nommage.
Étape 3 : Créer les listes d’adresses, les listes de disponibilité générale (GAL) et les OABs
Lorsque vous créez les listes d’adresses et les listes d’adresses globales n’utilisent pas les paramètres « IncludedRecipient » et « ConditionalX », tels que ConditionalCompany et ConditionalCustomAttribute5. Vous devez utiliser un filtre de destinataires à la place. Vous devez utiliser l’interpréteur de commandes pour créer des filtres de destinataires. Pour plus d’informations sur les filtres de destinataires, consultez Filtrage de destinataires sur les serveurs de transport Edge.
Lors de la création de l’ABP, vous allez créer plusieurs listes d’adresses en fonction de la façon dont vous souhaitez que vos utilisateurs affichent les listes d’adresses dans Outlook ou Outlook Web App. Cette organisation a quatre listes d’adresses :
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
Cet exemple crée la liste d’adresses AL_TAIL_Users_DGs. La liste d’adresses contient tous les utilisateurs et groupes de distribution pour lesquels CustomAttribute15 est égal à TAIL.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
Pour plus d’informations sur la création de listes d’adresses à l’aide de filtres de destinataires, consultez Créer une liste d’adresses à l’aide de filtres de destinataires.
Pour créer un ABP, vous devez fournir une liste d’adresses de salle. Si votre organisation ne dispose pas de boîtes aux lettres de ressources telles que des boîtes aux lettres de salle ou d’équipement, nous vous suggérons de créer une liste d’adresses de salle vide. L’exemple suivant crée une liste d’adresses de salle vide, car il n’existe aucune boîte aux lettres de salle dans l’organisation.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
Toutefois, dans ce scénario, Fabrikam et Contoso ont tous deux des boîtes aux lettres de salle. Cet exemple crée une liste de salles pour Fabrikam à l’aide d’un filtre de destinataires où CustomAttribute15 est égal à FAB.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
La liste d’adresses globale utilisée dans un ABP doit être un sur-ensemble des listes d’adresses. Ne créez pas de liste d’adresses gal avec moins d’objets qu’il n’en existe dans tout ou partie des listes d’adresses de l’ABP. Cet exemple crée la liste d’adresses globale pour Tailspin Toys qui inclut tous les destinataires qui existent dans les listes d’adresses et la liste d’adresses de salle.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
Pour plus d'informations, consultez la rubrique Création d'une liste d'adresses globale.
Lorsque vous créez le carnet d’adresses en mode hors connexion, vous devez inclure la liste d’adresses appropriée lors de la fourniture du paramètre AddressLists de New- ou Set-OfflineAddressBook pour vous assurer qu’aucune entrée n’est manquée de manière inattendue. Fondamentalement, vous pouvez personnaliser l’ensemble d’entrées qu’un utilisateur verra ou réduire la taille de téléchargement du carnet d’adresses en spécifiant une liste d’addresslists dans AddressLists de New/Set-OfflineAddressBook. Toutefois, si vous souhaitez que les utilisateurs voient l’ensemble complet des entrées de la liste d’adresses en mode hors connexion, veillez à inclure la liste d’adresses dans les listes d’adresses.
Cet exemple crée le carnet d’adresses en mode hors connexion pour Fabrikam nommé OAB_FAB.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Pour plus d’informations, consultez Créer un carnet d’adresses en mode hors connexion.
Étape 4 : Créer les adresses ABPs
Une fois que vous avez créé tous les objets requis, vous pouvez créer l’ABP. Cet exemple crée l’ABP nommé ABP_TAIL.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Pour plus d'informations, consultez la rubrique Création d'une stratégie de carnet d'adresses.
Étape 5 : Affecter les adresses ADP aux boîtes aux lettres
L’affectation de l’ABP à l’utilisateur est la dernière étape du processus. Les ADP prennent effet lorsque l’application d’un utilisateur se connecte au service carnet d’adresses Microsoft Exchange sur le serveur d’accès au client. Si l’utilisateur est déjà connecté à Outlook ou Outlook Web App lorsque l’ABP est appliqué à son compte, il doit fermer et redémarrer l’application cliente avant de voir ses nouvelles listes d’adresses et sa nouvelle liste d’adresses gal.
Cet exemple affecte ABP_FAB à toutes les boîtes aux lettres où CustomAttribute15 est égal à « FAB ».
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Pour plus d'informations, consultez la rubrique Attribuer une stratégie de carnet d'adresses à des utilisateurs de messagerie.