Informazioni sulla condivisione federata
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2010-01-21
Gli Information worker spesso devono collaborare con partner, clienti, fornitori o altri contatti esterni all'organizzazione Exchange. Per una collaborazione efficace, gli utenti devono condividere le informazioni sulla disponibilità per la pianificazione delle riunioni o, in base alla natura della relazione aziendale, condividere informazioni più dettagliate del calendario. Analogamente, gli utenti devono condividere anche i contatti con questi destinatari esterni. In Microsoft Exchange Server 2010, la condivisione federata consente di raggiungere questi obiettivi.
Per informazioni sulle attività di gestione relative alla condivisione federata, vedere Gestione di Condivisione federata.
Sommario
Collaborazione prima di Exchange 2010 e della condivisione federata
Condivisione federata
Considerazioni sui firewall per la condivisione federata
Coesistenza con Exchange 2007
Creazione di una relazione organizzativa e di un criterio di condivisione
Collaborazione prima di Exchange 2010 e della condivisione federata
Le versioni precedenti di Exchange disponevano di limitate capacità di condivisione e richiedevano una complessa configurazione e di una continua manutenzione. Ad esempio, per condividere le informazioni sulla disponibilità con gli utenti in un'altra organizzazione Exchange, era necessario utilizzare lo strumento di replica tra organizzazioni per replicare le cartelle pubbliche tra le organizzazioni Exchange. Questo processo richiedeva la creazione dei trust di Active Directory tra le due organizzazioni, nonché la gestione delle credenziali dell'account di servizio.
Per rendere visibili i destinatari negli elenchi indirizzi di Exchange, molte organizzazioni utilizzavano diversi strumenti, quali GALSync, per sincronizzare i destinatari di un'organizzazione con un'altra organizzazione. La configurazione dei trust, la gestione delle credenziali e la replica con più organizzazioni esterne erano operazioni complesse. La creazione dei trust tra foreste o domini di Active Directory e la gestione delle credenziali avevano anche implicazioni sulla sicurezza. Inoltre, era necessario aprire altre porte sui firewall tra le due organizzazioni o stabilire una rete privata virtuale (VPN).
Con l'introduzione dei servizi Web di Exchange, del servizio Disponibilità e del ruolo del server Accesso client in Exchange Server 2007, la replica dei dati sulla disponibilità delle cartelle pubbliche non era necessaria. Le informazioni sui trust o sulle credenziali e la sincronizzazione elenco indirizzi globale (GAL) erano comunque necessarie per rendere disponibili le informazioni sulla disponibilità per le organizzazioni esterne. Per ulteriori informazioni, vedere Come configurare il servizio Disponibilità per topologie con più foreste.
La condivisione di una cartella Calendario o Contatti interferiva nell'assegnazione delle autorizzazioni per l'accesso alla cartella da parte degli utenti delle organizzazioni attendibili. L'unico modo per ottenere questo risultato era la creazione dei trust di Active Directory tra le due organizzazioni, con le conseguenti implicazioni sulla sicurezza.
Inizio pagina
Condivisione federata
Utilizzando la condivisione federata di Exchange 2010, gli utenti possono condividere le informazioni con i destinatari delle organizzazioni federative esterne, creando relazioni organizzative tra due organizzazioni di Exchange 2010 o utilizzando un criterio di condivisione che consenta agli utenti di creare relazioni di condivisione per i singoli destinatari. La condivisione federata utilizza Microsoft Federation Gateway, un servizio cloud offerto da Microsoft, come il trust broker tra due organizzazioni federative. Le organizzazioni per le quali si desidera la condivisione delle informazioni devono stabilire il trust con Microsoft Federation Gateway solo una volta. Per ulteriori informazioni, vedere Microsoft Federation Gateway.
Importante
Se si disabilita l'identificatore di organizzazione federativa per l'organizzazione Exchange 2010, tutte le funzionalità di federazione vengono disabilitate per l'organizzazione.
Per informazioni sulle relazioni di trust federative, vedere Informazioni sulla federazione. Per informazioni dettagliate sulla creazione di una relazione di trust federativa, vedere Creazione di una relazione di trust federativa. Per informazioni dettagliate sulla configurazione dell'identificatore di organizzazione federativa, vedere Gestisci la federazione.
La condivisione federata offre due modi per condividere le informazioni con i destinatari di organizzazioni esterne: le relazioni organizzative e i criteri di condivisione.
Relazioni organizzative
Utilizzando una relazione organizzativa, è possibile stabilire una relazione di condivisione federata con un'altra organizzazione federativa per condividere le informazioni sulla disponibilità o abilitare il recapito federato della posta elettronica. Le relazioni organizzative indicano relazioni uno-a-uno tra due organizzazioni. Invece di una complessa configurazione dei trust tra foreste o domini di Active Directory tra le due organizzazioni (che richiederebbe anche l'apertura di più porte sui firewall di entrambe le organizzazioni o la creazione di una rete privata virtuale), le organizzazioni devono stabilire solo un'unica relazione di trust federativa con Microsoft Federation Gateway e configurare l'identificatore di organizzazione federativa.
Requisiti per le relazioni organizzative
Per le relazioni organizzative è necessario che:
- Un server Accesso client di Exchange 2010 sia presente nell'organizzazione Exchange.
- Una relazione di trust federativa sia stata creata.
- L'identificatore di organizzazione federativa sia stato configurato. I domini utilizzati per la generazione degli indirizzi di posta elettronica degli utenti siano stati aggiunti all'identificatore di organizzazione.
- Una relazione organizzativa sia presente in ogni organizzazione corrispondente.
- Gli utenti di Office Outlook 2007 non possano specificare gli indirizzi SMTP dei destinatari esterni per visualizzare le informazioni sulla disponibilità. I destinatari devono essere prelevati dall'elenco indirizzi globale, che richiede la sincronizzazione dell'elenco con l'organizzazione esterna. Gli utenti di Outlook 2007 con le cassette postali sui server Cassette postali di Exchange 2007 Service Pack 2 (SP2) possono utilizzare Office Outlook Web Access su un server Accesso client di Exchange 2007 SP2.
Creazione delle relazioni organizzative
Quando si crea una relazione organizzativa con un'organizzazione esterna, gli utenti dell'organizzazione esterna possono accedere alle informazioni sulla disponibilità degli utenti. In questo modo gli utenti esterni possono pianificare le riunioni con gli utenti. Non è necessaria alcuna informazione sulla replica dell'elenco indirizzi globale. Con questa configurazione, gli utenti di Outlook 2010 e Office Applicazione Web Outlook possono semplicemente immettere l'indirizzo SMTP di un destinatario esterno durante la pianificazione delle riunioni.
Affinché gli utenti dell'organizzazione abbiano accesso alle informazioni sulla disponibilità degli utenti esterni o per consentire la condivisione unidirezionale delle informazioni sulla disponibilità con l'organizzazione esterna, l'amministratore dell'organizzazione esterna deve creare una relazione organizzativa con l'organizzazione. Tuttavia, durante la creazione della relazione organizzativa, l'amministratore esterno può stabilire di non condividere le informazioni sulla disponibilità degli utenti con gli utenti dell'organizzazione (ad esempio, se si desidera utilizzare la relazione solo per il recapito federato).
Nota
Se gli utenti non desiderano condividere le informazioni sulla disponibilità, possono modificare la voce di autorizzazione predefinita di Outlook. Per eseguire questa operazione, accedere alla scheda Proprietà calendario > Autorizzazioni, selezionare l'autorizzazione Predefinita e Nessuno dall'elenco Livello di autorizzazione. Le informazioni sulla disponibilità non saranno visibili agli utenti interni o esterni, anche se esiste una relazione organizzativa con un'organizzazione esterna. La relazione organizzativa rispetta le autorizzazioni impostate dall'utente.
Quando si crea una relazione organizzativa con un'organizzazione esterna, è possibile specificare gli utenti per i quali si desidera esporre le informazioni sulla disponibilità all'organizzazione esterna. Ad esempio, se gli utenti del reparto Finance devono collaborare con gli utenti dell'organizzazione esterna, è possibile selezionare il gruppo di distribuzione Finance. Le informazioni sulla disponibilità degli utenti membri del gruppo di distribuzione selezionato saranno visibili a tutti gli utenti dell'organizzazione esterna. Analogamente, l'organizzazione esterna può creare una relazione organizzativa con l'organizzazione e specificare le informazioni sulla disponibilità dell'utente disponibili agli utenti.
Quando si crea una relazione organizzativa, Exchange 2010 si connette al servizio Web di individuazione automatica pubblicato dall'organizzazione esterna per ottenere l'endpoint del servizio Disponibilità. Inoltre, è possibile specificare manualmente l'endpoint del servizio Disponibilità dell'organizzazione esterna durante la creazione della relazione.
Per creare una relazione organizzativa con un'organizzazione esterna, è possibile utilizzare la procedura guidata Nuova relazione organizzativa di Exchange Management Console (EMC) o il cmdlet New-OrganizationRelationship di Exchange Management Shell.
Per le istruzioni dettagliate sulla creazione di una relazione organizzativa, vedere Creazione di una relazione dell'organizzazione.
Criteri di condivisione
I criteri di condivisione consentono agli utenti di condividere le informazioni di calendario e di contatto con gli utenti di organizzazioni federative esterne. Un criterio di condivisione equivale a un criterio stabilito dall'utente che si applica ad altri utenti. Gli utenti specificano con quali destinatari esterni desiderano collaborare. Utilizzando Outlook 2010 o Applicazione Web Outlook, un utente può invitare i destinatari esterni a condividere la cartella Calendario o Contatti. Con i criteri di condivisione, è possibile controllare i domini con cui gli utenti condividono le informazioni, compresa la quantità di informazioni che possono condividere. Se necessario, è inoltre possibile disabilitare il criterio di condivisione di un utente o un gruppo.
I criteri di condivisione vengono assegnati agli utenti delle cassette postali. Il criterio di condivisione predefinito applicato agli utenti consente la condivisione delle informazioni sulla disponibilità con tutti i domini esterni. Una volta creata una relazione di trust federativa con Microsoft Federation Gateway e configurato l'identificatore di organizzazione federativa, gli utenti possono inviare inviti per condividere le informazioni sulla disponibilità con gli utenti di qualsiasi organizzazione esterna.
Importante
Per partecipare alla condivisione federata, l'organizzazione dell'utente esterno deve stabilire anche una relazione di trust federativa con Microsoft Federation Gateway e l'identificatore di organizzazione federativa deve essere configurato.
I criteri di condivisione contengono coppie dei nomi di dominio e delle azioni di condivisione consentite per gli utenti di quel dominio. Come mostrato nella figura seguente, è possibile specificare le seguenti azioni che si applicano al dominio esterno specificato in un criterio di condivisione:
- Condivisione del calendario solo con informazioni sulla disponibilità
- Condivisione del calendario con informazioni sulla disponibilità, oggetto e percorso
- Condivisione del calendario con informazioni sulla disponibilità, oggetto, percorso e corpo
- Condivisione dei contatti
- Condivisione del calendario solo con informazioni sulla disponibilità, Condivisione dei contatti
- Condivisione del calendario con informazioni sulla disponibilità, oggetto e percorso, Condivisione dei contatti
- Condivisione del calendario con informazioni sulla disponibilità, oggetto, percorso e corpo, Condivisione dei contatti
Azioni di condivisione del calendario
.gif "Creazione di un criterio di condivisione")
Durante la creazione di un invito alla condivisione, gli utenti possono selezionare le informazioni che desiderano condividere, a condizione che l'azione sia consentita dal criterio di condivisione dell'utente. Ad esempio, si supponga di creare un criterio di condivisione con le seguenti impostazioni:
- Condivisione del calendario con informazioni sulla disponibilità, oggetto e percorso per gli utenti esterni di Fabrikam.com
- Condivisione del calendario solo con informazioni sulla disponibilità per gli utenti esterni di tutti gli altri domini (rappresentati dall'asterisco [*])
Gli utenti che dispongono di questo criterio applicato possono condividere solo le informazioni sulla disponibilità o possono condividere limitati dettagli se invitano gli utenti da Fabrikam.com.
Per informazioni dettagliate sulla creazione di un criterio di condivisione, vedere Creazione di un criterio di condivisione.
Per informazioni dettagliate sull'applicazione di un criterio di condivisione agli utenti, vedere Applicazione dei criteri di condivisione alle cassette postali.
Requisiti per i criteri di condivisione
Per i criteri di condivisione è necessario che:
- Un server Accesso client di Exchange 2010 sia presente nell'organizzazione Exchange.
- Una relazione di trust federativa sia stata creata.
- L'identificatore di organizzazione federativa sia stato configurato. I domini utilizzati per la generazione degli indirizzi di posta elettronica degli utenti sono stati aggiunti all'identificatore di organizzazione.
- Le cassette postali degli utenti si trovino sui server Cassette postali di Exchange 2010.
- Solo gli utenti di Outlook 2010 e Applicazione Web Outlook possano creare inviti alla condivisione.
Confronto tra le relazioni organizzative e i criteri di condivisione
Anche se consentono la condivisione di informazioni sulla disponibilità con utenti esterni, le relazioni organizzative e i criteri di condivisione vengono utilizzati per diversi scenari. Le relazioni organizzative vengono create per collaborare con organizzazioni esterne e per abilitare il recapito federato della posta elettronica tra le due organizzazioni. I criteri di condivisione stabiliscono le informazioni che gli utenti possono condividere con gli utenti di organizzazioni esterne, comprese le organizzazioni con cui non esiste una relazione organizzativa.
La seguente tabella illustra le differenze tra una relazione organizzativa e un criterio di condivisione.
Relazione organizzativa e criterio di condivisione
| Funzionalità | Relazione organizzativa | Criterio di condivisione |
|---|---|---|
Richiede una relazione di trust federativa per l'organizzazione |
Sì |
Sì |
Consiglia la federazione del dominio esterno |
Sì |
Sì |
Consente la condivisione di informazioni sulla disponibilità (compresi l'oggetto e il percorso) con organizzazioni esterne per tutti o una serie di utenti |
Sì |
No |
Consente la condivisione delle cartelle Calendario con le informazioni sulla disponibilità |
No |
Sì |
Consente la condivisione delle cartelle Calendario con le informazioni sulla disponibilità, compresi l'oggetto e il corpo |
No |
Sì |
Consente la condivisione dei contatti |
No |
Sì |
Richiede agli utenti di inviare un invito di condivisione a destinatari esterni |
No |
Sì |
Consente il recapito federato |
Sì |
No |
Fornisce il metodo di accesso |
Il server Accesso client interno accede al server Accesso client dell'organizzazione esterna e recupera le informazioni sulla disponibilità per l'utente esterno, quando richiesto. |
Il server Accesso client accede al server Accesso client dell'organizzazione esterna ed esegue la sottoscrizione al calendario o ai contatti dell'utente esterno. |
Si applica a tutti i domini esterni |
No (una relazione uno-a-uno tra due organizzazioni di Exchange 2010) |
Sì |
Fornisce agli utenti diverse esperienze di condivisione con un destinatario esterno |
No |
Sì, in base al criterio di condivisione applicato |
Disabilita la condivisione per alcuni utenti |
Sì, specificando un gruppo di distribuzione della protezione per la relazione organizzativa |
Sì, disabilitando il criterio di condivisione applicato |
Richiede la presenza della cassetta postale su un server Cassette postali di Exchange 2010 |
No |
Sì |
Inizio pagina
Considerazioni sui firewall per la condivisione federata
Le funzionalità della condivisione federata richiedono l'accesso in uscita a Internet tramite HTTPS per i server Accesso client dell'organizzazione. È necessario consentire l'accesso HTTPS in uscita (porta 443 per TCP) a tutti i server Accesso client di Exchange 2010 dell'organizzazione.
Affinché un'organizzazione esterna possa avere accesso alle informazioni sulla disponibilità dell'organizzazione, è necessario pubblicare un server Accesso client su Internet. Ciò richiede l'accesso HTTPS in ingresso da Internet al server Accesso client. I server Accesso client dei siti di Active Directory che non dispongono di un server Accesso client pubblicato su Internet possono utilizzare i server Accesso client di altri siti di Active Directory accessibili da Internet. I server Accesso client non pubblicati su Internet devono disporre dell'URL esterno della directory virtuale dei servizi Web impostata con l'URL visibile alle organizzazioni esterne.
Inizio pagina
Coesistenza con Exchange 2007
Nelle organizzazioni che contengono server Exchange 2010 e Exchange 2007, gli utenti che dispongono di una cassetta postale su un server Cassette postali di Exchange 2007 possono utilizzare le relazioni organizzative. Sul server Cassette postali deve essere installato Exchange 2007 SP2 ed è necessario disporre di almeno un server Accesso client di Exchange 2010 nell'organizzazione Exchange. È possibile utilizzare le relazioni organizzative introducendo un unico server Accesso client di Exchange 2010 nell'organizzazione e fornendo una soluzione più efficace rispetto alle soluzioni che sincronizzano le informazioni sulla disponibilità e richiedono la sincronizzazione dell'elenco indirizzi globale.
Durante l'utilizzo di Outlook 2010 o Outlook Web Access per pianificare una riunione su un server Exchange 2007, un utente con una cassetta postale su un server Exchange 2007 può visualizzare le informazioni sulla disponibilità per un utente dell'organizzazione esterna. Le informazioni sulla disponibilità per le cassette postali di Exchange 2007 sono visibili ai destinatari dell'organizzazione esterna.
I criteri di condivisione vengono assegnati agli utenti delle cassette postali di Exchange 2010. Per utilizzare i criteri di condivisione, una cassetta postale deve trovarsi su un server Cassette postali di Exchange 2010. Per generare o rispondere agli inviti di condivisione, si possono utilizzare solo i client Outlook 2010 e Applicazione Web Outlook.
Inizio pagina
Creazione di una relazione organizzativa e di un criterio di condivisione
In questo esempio, l'utente è l'amministratore di Contoso, Ltd. L'organizzazione ha stipulato un accordo con Fabrikam, Inc. per sviluppare un prodotto che verrà commercializzato e venduto da entrambe le organizzazioni. Per consentire la collaborazione tra le due organizzazioni, gli utenti dei reparti Marketing ed Engineering di entrambe le organizzazioni devono avere accesso reciproco alle informazioni sulla disponibilità. Questa collaborazione dovrebbe avvenire con un minimo o nessun impegno da parte degli utenti.
Contoso collabora anche con Litware, Inc. Questa collaborazione è limitata a un piccolo sottogruppo di utenti. Gli utenti di entrambe le organizzazioni devono essere in grado di stabilire relazioni reciproche di condivisione. La condivisione delle informazioni sulla disponibilità dei contatti e del calendario deve essere consentita. Nessuna ulteriore informazione sul calendario deve essere condivisa.
Infine, la condivisione deve avvenire senza la necessità di:
- Creare trust tra foreste o domini di Active Directory.
- Credenziali di Exchange tra le organizzazioni.
- Stabilire una rete privata virtuale tra le organizzazioni.
Per realizzare questo scenario, è necessario effettuare le seguenti operazioni:
- Creare una relazione di trust federativa con Microsoft Federation Gateway (se non ancora creata). Questa procedura da eseguire una sola volta è necessaria per utilizzare le funzionalità di federazione di Exchange 2010. Il processo richiede il rilascio di un certificato X.509 da parte di un'autorità di certificazione ritenuta attendibile da Microsoft Federation Gateway. Per i dettagli, vedere Creazione di una relazione di trust federativa.
- Configurare l'identificatore di organizzazione federativa (se non ancora configurato). Questo processo richiede l'aggiunta dei domini accettati dell'organizzazione per i quali si desidera abilitare la federazione per l'identificatore di organizzazione. Questa procedura da eseguire una sola volta è necessaria per utilizzare le funzionalità di federazione di Exchange 2010. Per i dettagli, vedere Gestisci la federazione.
- Creare una relazione organizzativa con Fabrikam, Inc. Per i dettagli, vedere Creazione di una relazione dell'organizzazione. Effettuare quanto segue:
- Per determinare se l'organizzazione Fabrikam abbia già stabilito la federazione, utilizzare il cmdlet Get-FederationInformation.
- Selezionare un gruppo di distribuzione che comprenda i membri dei reparti Marketing ed Engineering. Le informazioni sulla disponibilità per questi utenti saranno visibili agli utenti di Fabrikam.
- Per consentire agli utenti di entrambe le organizzazioni di visualizzare le reciproche informazioni sulla disponibilità, l'amministratore di Fabrikam, Inc. deve creare anche una relazione organizzativa con l'organizzazione.
- Creare un criterio di condivisione per gli utenti che devono collaborare con gli utenti del dominio Litware.com. Per i dettagli, vedere Creazione di un criterio di condivisione. Effettuare quanto segue:
- Aggiungere il dominio Litware.com al criterio di condivisione.
- Selezionare per il criterio l'azione Condivisione del calendario solo con informazioni sulla disponibilità, Condivisione dei contatti.
- Assegnare il criterio agli utenti dell'organizzazione che devono collaborare con gli utenti di Litware. Per i dettagli, vedere Applicazione dei criteri di condivisione alle cassette postali.
Una volta creata la relazione organizzativa con Fabrikam, Inc. e il criterio di condivisione per Litware, Inc., sarà disponibile la seguente funzionalità:
- Tutti gli utenti saranno in grado di visualizzare le informazioni sulla disponibilità per gli utenti dei reparti Marketing ed Engineering di Fabrikam.
- Gli utenti dell'organizzazione a cui è stato applicato il nuovo criterio di condivisione potranno inviare inviti di condivisione agli utenti di Litware, Inc.
Inizio pagina