Gerenciar uma confiança de federação
Aplica-se a: Exchange Server 2013
Uma confiança de federação estabelece uma relação de confiança entre uma organização do Microsoft Exchange 2013 e o sistema de autenticação Microsoft Entra e suporta a partilha federada com outras organizações federadas do Exchange. Normalmente, você não precisa gerenciar ou modificar a confiança de federação após ela ser criada. Contudo, pode haver circunstâncias que exigem a adição ou a remoção de domínios federados ou a redefinição do domínio usado para configurar o identificador de organização (OrgID) para a confiança de federação.
Observação
Modificar uma confiança de federação existente, especialmente o domínio partilhado principal utilizado para definir o OrgID, pode interromper a partilha federada entre organizações federadas do Exchange ou para implementações híbridas com organizações do Microsoft 365 ou do Office 365.
Para tarefas de gestão adicionais relacionadas com a Federação, veja Procedimentos de federação.
Importante
Esse recurso do Exchange Server 2013 não é totalmente compatível com o Office 365 operado pelo 21Vianet na China e pode haver algumas limitações de recurso. Para saber mais, confira o artigo Saiba mais sobre o Office 365 operado pelo 21Vianet.
Do que você precisa saber para começar?
Tempo estimado para conclusão: 30 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver as permissões de que precisa, veja a entrada de permissões federação e certificados no tópico permissões de infraestrutura do Exchange e shell .
Você precisará adicionar um registro TXT ao seu DNS público para cada novo domínio federado adicionado à confiança de federação. Reveja os requisitos para adicionar um registro TXT com a organização que hospeda seus registros DNS públicos.
Para as finalidades deste tópico, uma confiança de federação existente foi definida com as seguintes configurações:
Contoso.com é o principal domínio compartilhado para a confiança de federação. (Esse domínio não será alterado.)
Os domínios federados service.contoso.com e sales.contoso.com estão incluídos na confiança de federação existente.
Marketing.contoso.com é um domínio aceito na organização do Exchange.
Este tópico também cobre outras tarefas de gerenciamento de federação, como exibição e gerenciamento de certificados usados para a confiança de federação e exibição de informações dos parâmetros de confiança de federação no Shell.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Usar o EAC para gerenciar uma confiança de federação
Num servidor do Exchange 2013 na sua organização no local, navegue para aPartilha da Organização>.
Na seção Confiança de federação, clique em Modificar.
Em Domínios habilitados para compartilhamento, ignore a Etapa 1 porque o domínio de compartilhamento principal não está mudando.
No Passo 2, selecione o domínio service.contoso.com e, em seguida, clique em Remover
.gif "Ícone Remover")
para remover o domínio da confiança federada.No Passo 2, clique em
.gif "Adicionar Ícone")
.Em Selecionar Domínios Aceitos, selecione marketing.contoso.com na lista de domínios aceitos e depois clique em OK para adicionar o domínio à confiança federada.
Importante
Uma cadeia de caracteres de comprovação de domínio federada será criada para o domínio marketing.contoso.com. Você deve criar um registro TXT separado no seu DNS público para este domínio.
Usando a cadeia de caracteres de comprovação de domínio federada para o domínio marketing.contoso.com, crie um registro de TXT no seu servidor DNS público. Dependendo do agendamento de atualização do seu host DNS público, a replicação de alterações de DNS podem levar 15 minutos ou mais.
Após o registro TXT ser criado e replicado, clique em Atualizar.
Usar o Shell para gerenciar uma confiança de federação
Este exemplo remove o domínio service.contoso.com da federação de confiança.
Remove-FederatedDomain -DomainName service.contoso.comEste exemplo adiciona o domínio marketing.contoso.com à confiança de federação.
Add-FederatedDomain -DomainName marketing.contoso.com
Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Remove-FederatedDomain e Add-FederatedDomain.
Execute os seguintes comandos do Shell para gerenciar outros aspectos de uma confiança de federação:
Exibir o OrgID federado e domínios federados
Esse exemplo exibe o OrgID federado e informações relacionadas da organização do Exchange, incluindo domínios federados e status.
Get-FederatedOrganizationIdentifierExibir certificados de confiança de federação
Este exemplo apresenta os certificados anteriores, atuais e seguintes utilizados pela confiança de federação "Microsoft Entra authentication".
Get-FederationTrust "Azure AD authentication" | Select Org*certificateVerificar o status dos certificados de federação
Este exemplo exibe o status de certificados de federação em todos os servidores de Caixa de Correio e Acesso para Cliente.
Test-FederationTrustCertificateConfigurar a confiança de federação para usar um certificado como o próximo certificado
Este exemplo configura a confiança de federação "Microsoft Entra authentication" para utilizar o certificado com o thumbprint fornecido como o certificado seguinte. Depois de o certificado ser implementado em todos os servidores do Exchange na organização, pode utilizar o comutador PublishCertificate para configurar a confiança de federação para utilizar este certificado como o certificado atual.
Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17Configurar a confiança de federação para usar o próximo certificado como o certificado atual
Este exemplo configura a autenticação microsoft Entra de confiança de federação para utilizar o certificado seguinte como o certificado atual e publica-o no sistema de autenticação Microsoft Entra.
Set-FederationTrust "Azure AD authentication" -PublishFederationCertificateAviso
Antes de configurar a confiança de federação para usar o certificado seguinte como o atual, verifique se o certificado foi implantado em todos os servidores do Exchange em sua organização. Use o cmdlet Test-FederationTrustCertificate para verificar o status de implantação do certificado.
Atualizar metadados de federação e certificado do sistema de autenticação Microsoft Entra
Este exemplo atualiza os metadados de federação e o certificado do sistema de autenticação Microsoft Entra para a autenticação microsoft Entra fidedigna de federação.
Set-FederationTrust "Azure AD authentication" -RefreshMetadata
Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:
Observação
Existem considerações adicionais se o inquilino estiver alojado no ambiente GCC High ou DoD do Office 365 U.S. Government. Nestes ambientes, tem de executar o cmdlet Set-FederationTrust no ambiente do Exchange no local com um valor diferente para o parâmetro MetadataUrl . Veja Set-FederationTrust para obter mais informações.
Como saber se funcionou?
A conclusão bem-sucedida do assistente Domínios habilitados para compartilhamento é a primeira indicação de que você configurou a confiança de federação conforme o esperado.
Para verificar o sucesso, execute o seguinte procedimento:
Execute o seguinte comando do Shell para verificar as informações de confiança de federação.
Get-FederationTrust | format-listExecute o comando do Shell para verificar se as informações de federação podem ser recuperadas da sua organização. Por exemplo, verifique se os domínios sales.contoso.com e marketing.contoso.com são devolvidos no parâmetro DomainNames .
Get-FederationInformation -DomainName <your primary sharing domain>
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.