Condividi tramite


Gestione di una relazione di trust federativa

Si applica a: Exchange Server 2013

Un trust federativo stabilisce una relazione di trust tra un'organizzazione di Microsoft Exchange 2013 e il sistema di autenticazione Microsoft Entra e supporta la condivisione federata con altre organizzazioni di Exchange federate. Generalmente, non è necessario gestire o modificare la relazione di trust federativa una volta creata. Tuttavia, potrebbero esserci casi che richiedono l'aggiunta o la rimozione di domini federati o la reimpostazione del dominio utilizzato per configurare l'identificatore di organizzazione (OrgID) per la relazione di trust federativa.

Nota

La modifica di un trust federativo esistente, in particolare il dominio condiviso primario usato per definire l'OrgID, può interrompere la condivisione federata tra organizzazioni federate di Exchange o per distribuzioni ibride con le organizzazioni di Microsoft 365 o Office 365.

Per altre attività di gestione correlate alla federazione, vedere Procedure di federazione.

Importante

Questa funzionalità di Exchange Server 2013 non è completamente compatibile con Office 365 utilizzato da 21Vianet in Cina e potrebbe essere soggetta a limitazioni. Per ulteriori informazioni, vedere Informazioni su Office 365 utilizzato da 21Vianet.

Che cosa è necessario sapere prima di iniziare?

  • Tempo stimato per il completamento: 30 minuti.

  • Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce Relativa alle autorizzazioni per la federazione e i certificati nell'argomento Autorizzazioni per l'infrastruttura di Exchange e Shell .

  • Sarà necessario aggiungere un record TXT al proprio DNS pubblico per tutti i nuovi domini federati aggiunti alla relazione di trust federativa. Rivedere i requisiti per l'aggiunta di un record TXT con l'organizzazione che ospita i record DNS pubblici.

  • Ai fini di questo argomento, è stata configurata una relazione di trust federativa con le seguenti impostazioni:

    • Contoso.com è il dominio condiviso primario per la relazione di trust federativa. (questo dominio non verrà modificato.)

    • I domini federati service.contoso.com e sales.contoso.com sono inclusi nella relazione di trust federativa esistente.

    • Marketing.contoso.com è un dominio accettato nell'organizzazione di Exchange.

  • In questo argomento, vengono trattate anche altre attività di gestione federative, quali la visualizzazione e la gestione dei certificati utilizzati per la relazione di trust federativa e la visualizzazione delle informazioni sui parametri della relazione di trust federativa in Shell.

  • Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Gestione di una relazione di trust federativa tramite Interfaccia di amministrazione di Exchange

  1. In un server Exchange 2013 nell'organizzazione locale passare aCondivisioneorganizzazione>.

  2. Nella sezione Relazione di trust federativa, fare clic su Modifica.

  3. In Domini abilitati alla condivisione, saltare Passo 1 in quanto il dominio di condivisione primario non viene modificato.

  4. Nel passaggio 2 selezionare il dominio service.contoso.com e quindi fare clic sull'icona Rimuovi rimuovi. per rimuovere il dominio dal trust federato.

  5. Nel passaggio 2 fare clic su Aggiungi icona..

  6. In Seleziona domini accettati, selezionare marketing.contoso.com dall'elenco dei domini accettati, quindi fare clic su OK per aggiungere il dominio alla relazione di trust federativa.

    Importante

    Verrà creata una stringa di prova del dominio federato per il dominio marketing.contoso.com. È necessario creare un record TXT distinto sul DNS pubblico per questo dominio.

  7. Utilizzando la stringa di prova del dominio federato creata per il dominio marketing.contoso.com, creare un record TXT sul server DNS pubblico. A seconda del piano di aggiornamenti dell'host DNS pubblico, la replica delle modifiche DNS può richiedere 15 minuti o più.

  8. Una volta creato e replicato il record TXT, fare clic su Aggiorna.

Gestione di una relazione di trust federativa tramite Shell

  1. In questo esempio, viene rimosso il dominio service.contoso.com dalla relazione di trust federativa.

    Remove-FederatedDomain -DomainName service.contoso.com
    
  2. In questo esempio, viene aggiunto il dominio marketing.contoso.com alla relazione di trust federativa esistente.

    Add-FederatedDomain -DomainName marketing.contoso.com
    

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-FederatedDomain e Add-FederatedDomain.

Eseguire i seguenti comandi Shell per gestire altri aspetti di una relazione di trust federativa.

  1. Visualizzazione dell'OrgID federato e dei domini federati

    In questo esempio, vengono visualizzati l'OrgID federato di un'organizzazione di Exchange e le relative informazioni, inclusi lo stato e i domini federati.

    Get-FederatedOrganizationIdentifier
    
  2. Visualizzazione dei certificati della relazione di trust federativa

    In questo esempio vengono visualizzati i certificati precedenti, correnti e successivi usati dall'attendibilità federativa "Autenticazione Microsoft Entra".

    Get-FederationTrust "Azure AD authentication" | Select Org*certificate
    
  3. Controllo dello stato dei certificati federativi

    In questo esempio, viene visualizzato lo stato dei certificati federativi su tutti i server Cassette postali e Accesso client dell'organizzazione.

    Test-FederationTrustCertificate
    
  4. Configurazione della relazione di trust federativa per utilizzare un certificato come certificato successivo

    In questo esempio viene configurata l'attendibilità federativa "Autenticazione Microsoft Entra" per l'uso del certificato con l'identificazione personale fornita come certificato successivo. Dopo aver distribuito il certificato in tutti i server Exchange nell'organizzazione, è possibile usare l'opzione PublishCertificate per configurare l'attendibilità federativa per l'uso di questo certificato come certificato corrente.

    Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
    
  5. Configurazione della relazione di trust federativa per utilizzare il certificato successivo come certificato corrente

    In questo esempio viene configurata l'autenticazione microsoft entra trust federativa per l'uso del certificato successivo come certificato corrente e viene pubblicata nel sistema di autenticazione Microsoft Entra.

    Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
    

    Avviso

    Prima di configurare la relazione di trust federativa per poter utilizzare il certificato successivo come certificato federativo corrente, assicurarsi che il certificato sia distribuito in tutti i server di Exchange dell'organizzazione. Utilizzare il cmdlet Test-FederationTrustCertificate per controllare lo stato di distribuzione del certificato.

  6. Aggiornare i metadati e il certificato di federazione dal sistema di autenticazione Microsoft Entra

    In questo esempio vengono aggiornati i metadati federativi e il certificato del sistema di autenticazione Microsoft Entra per l'autenticazione di Microsoft Entra trust federativa.

    Set-FederationTrust "Azure AD authentication" -RefreshMetadata
    

Per ulteriori informazioni sulla sintassi e sui parametri, vedere:

Nota

Esistono altre considerazioni se il tenant è ospitato nell'ambiente Office 365 U.S. Government GCC High o DoD. In questi ambienti è necessario eseguire il cmdlet Set-FederationTrust nell'ambiente Exchange locale con un valore diverso per il parametro MetadataUrl . Per altre informazioni, vedere Set-FederationTrust .

Come verificare se l'operazione ha avuto esito positivo

Il corretto completamento della procedura guidata Domini abilitati alla condivisione è il primo segnale del fatto che la relazione di trust federativa è stata configurata come previsto.

Per un ulteriore verifica, effettuare le seguenti operazioni:

  1. Eseguire questo comando Shell per verificare le informazioni di attendibilità del trust federativo.

    Get-FederationTrust | format-list
    
  2. Eseguire questo comando Shell per verificare che le informazioni sulla Federazione possano essere recuperate dalla propria organizzazione. Ad esempio, verificare che i domini sales.contoso.com e marketing.contoso.com vengano restituiti nel parametro DomainNames .

    Get-FederationInformation -DomainName <your primary sharing domain>
    

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum in Exchange Server.