Cenário: Implantar políticas de catálogo de endereços
Aplica-se a: Exchange Server 2013
Deployment Scenarios
The following three scenarios describe possible deployment solutions for three different organization types. Apesar de haver muito mais cenários, os mais populares são cobertos aqui. As listas de endereços e as listas globais de endereços (GALs) nesses cenários foram criadas com base em filtros, como Atributos Personalizados, que agrupavam os objetos logicamente.
Cenário 1: Duas companhias separadas - uma organização do Exchange
Esse cenário é aplicável a agências, divisões ou departamentos governamentais que compartilham a infraestrutura, mas nenhuma cadeia hierárquica e nenhum empregado em comum. Além disso, as divisões não têm nenhuma preocupação especial de segurança ou privacidade. Nesse cenário, duas políticas de catálogo de endereços (ABPs) são criadas, em que os funcionários podem ver somente membros da mesmas organização, quando exibem a GAL ou examinam a associação de outros grupos de distribuição. Além disso, nenhum usuário será membro dos grupos de distribuição que abrangem a organização inteira.
.gif "Políticas de Catálogo de Endereços com duas empresas separadas")
Os ABPs de Seguro Contoso e Humongous foram criados usando as seguintes listas de endereços, listas de endereços globais, listas de salas e OABs, que foram criados usando um filtro de destinatário que agrupava os objetos com um filtro como Atributo Personalizado. Como as duas empresas são separadas sem qualquer interação entre si, não há nenhuma lista de endereços em comum.
| Contoso | Humongous Insurance | |
|---|---|---|
| Address Lists | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
| Global address list | GAL_CON | GAL_HI |
| Room address list | AL_CON_Rooms | AL_HI_Rooms |
| OAB (catálogo de endereços offline) | OAB_CON | OAB_HI |
Cenário 2: Duas empresas compartilhando um CEO
Nesse cenário, Fabrikam e Tailspin Toys compartilham a mesma organização do Exchange e o mesmo CEO. O CEO é a única pessoa comum entre as duas empresas. Esse cenário requer três ABPs com as seguintes características:
- Os usuários em Tailspin Toys podem ver somente usuários da Tailspin Toys quando navegam pela GAL.
- Os usuários em Fabrikam podem ver somente usuários da Fabrikam quando navegam pela GAL.
- Em cada companhia, há um grupo de distribuição SeniorLeaders que inclui os líderes sêniores da companhia e o CEO.
- Os usuários que olharem na associação de grupo do CEO irão ver apenas grupos que pertencem à companhia do usuário. Eles não vêem grupos que não estejam em sua própria empresa.
- Três ABPs são criadas: Fab, Tail e CEO.
.gif "Ceo do Two Companies One")
| Fabrikam | Tailspin Toys | CEO | |
|---|---|---|---|
| Address lists | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
| Global address list | GAL_FAB | GAL_TAIL | Default GAL |
| Room address list | AL_FAB_Rooms | AL_TAIL_Rooms | Default All Rooms |
| OAB (catálogo de endereços offline) | OAB_FAB | OAB_TAIL | Default OAB |
Quando o CEO é adicionado aos grupos de distribuição em cada organização e fica dentro do escopo do ABP de cada companhia, o CEO se torna visível para as companhias. O CEO pode criar grupos de distribuição que abrangem as duas companhias e ficam visíveis dentro da GAL de cada companhia, mas os membros do grupo de distribuição poderão apenas ver os membros do grupo que estão dentro de suas organizações.
Scenario 3: Education
Esse cenário é aplicável a escolas ou universidades em que uma divisão de salas de aula é necessária para garantir a privacidade dos alunos. O cenário Educação tem as seguintes características:
- Os alunos de cada classe podem ver somente outros alunos de suas turmas, seu professor e o diretor.
- Professores podem ver apenas alunos em suas próprias salas de aula.
- Professores podem ver todos os outros professores e o diretor.
- Os grupos de distribuição são criados para os pais dos alunos de cada classe e a faculdade.
.gif "Cenário de educação de políticas de catálogo de endereços")
| Students_ClassA | Teachers_ClassA | Principal | |
|---|---|---|---|
| Address Lists | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
| Global address list | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
| Room address list | AL_BlankRoom | AL_BlankRoom | Default All Rooms |
| OAB (catálogo de endereços offline) | OAB_StudentsClassA | OAB_TeachersClassA | Default OAB |
Considerações e boas práticas
Considere o seguinte ao usar ABPs em sua organização:
Para que os ABPs funcionem corretamente, a caixa de correio do usuário na qual você aplica o ABP deve estar em um servidor Exchange 2010 SP3 ou Exchange 2013.
Não execute a função de servidor do Acesso para Cliente do Exchange 2010 no servidor de catálogo global. Ao fazê-lo o Active Directory é usado para o Name Service Provider Interface (NSPI) ao invés do serviço de Catálogo de Endereços do Microsoft Exchange. Você pode executar as funções de servidor do Exchange 2013 em um servidor de catálogo global e fazer com que os ABPs funcionem corretamente, entretanto não recomendamos instalar o Exchange em um controlador de domínio.
Você não pode usar catálogos de endereço hierárquicos (HABs) e ABPs simultaneamente. Para saber mais, confira Livros de endereços hierárquicos.
Esta configuração contém três ABPs:
Se você permitir que aplicações do cliente acessem o Active Directory diretamente através de LDAP, elas irão ignorar a lógica embutida no ABPs. Pelo fato de o Outlook para Mac 2011 e o Entourage 2008 usarem consultas diretas de LDAP para acessar o Active Directory, estas aplicações de cliente não funcionarão adequadamente com ABPs se um controlador de domínio ou um servidor de catálogo global for especificado ou fornecido para os mesmos pelo serviço Autodiscover. O Outlook para Mac 2011 pode usar EWS ou um OAB local para acessar as informações do diretório. Entretanto, se o Outlook para Mac 2011 pode acessar diretamente um serviço LDAP, ele tentará fazer isso.
A GAL usada no ABP deve conter, pelo menos, todas as listas de endereço, incluindo a lista de endereços de sala, definida e especificada em um ABP. Não crie uma GAL que contenha menos objetos do que qualquer uma das listas de endereço no mesmo ABP.
Recomendamos a criação de grupos de distribuição que não cruzem fronteiras virtuais da organização. A criação de grupos de distribuição que contenham membros de várias organizações virtuais causa os seguintes problemas:
Se os membros do grupo solicitarem confirmação de leitura ou entrega ao enviar email para o grupo de distribuição, eles serão capazes de ver os endereços de email dos membros do grupo em outras organizações virtuais
Se uma mensagem criptografada for enviada para o grupo de distribuição e alguns membros do grupo de distribuição não tiverem IDs digitais válidas, o remetente receberá uma mensagem de aviso que inclui o número total de membros que não possuem IDs válidas e uma lista dos endereços de email. Entretanto, se alguns destes membros sem IDs digitais válidas estiverem em uma organização diferente daquela do remetente, a mensagem de aviso incluirá a contagem correta mas não incluirá os endereços de email dos membros na outra organização. Como resultado, a contagem total não corresponderá à lista dos endereços do membro.
Por exemplo, digamos que um grupo de distribuição contenha cinco membros no total de duas organizações, a Agência A e a Agência B. Três membros do grupo são da Agência A e um desses membros tem como ID digital inválida. Os outros dois membros são da Agência B e ambos têm IDs digitais inválidas. Se um membro da Agência A enviar uma mensagem criptografada para o grupo de distribuição, esse membro receberá uma mensagem de aviso informando que há um total de três destinatários sem IDs digitais válidas. No entanto, apenas o endereço de email do destinatário da Agência A será listado na mensagem de aviso.
ABP's não se aplicam aos cmdlets Get-Group. Portanto, qualquer usuário ou processo que seja capaz de executar Get-Group enxergará todos os membros de qualquer grupo ao qual eles tenham acesso.
Recomendamos a alteração das configurações de gerenciamento de gruo nas Opções de OWA para que os usuários não possam usar o Outlook Web App para gerenciar grupos. Para impedir que os usuários façam uso das Opções de OWA para gerenciar grupos, exclua os usuários da função de RBAC MyDistributionGroupMembership. Para obter detalhes, consulte Função MyDistributionGroupMembership.
Se você permitir que os usuários façam uso do Outlook ou do Outlook Web App para gerenciar grupos, os proprietários do grupo devem ter visibilidade completa da lista de associação do grupo.
All ABPs must contain a room address list. Entretanto, se a sua organização não usa listas de endereço de sala, você pode criar uma lista vazia padrão de endereço de sala.
Implantar ABP's não impede que os usuários em uma organização vritual enviem email para usuários em outra organização virtual. Se você quiser impedir que os usuários enviem email para as organizações, recomendamos a criação de uma regra de transporte. Por exemplo, para criar uma regra de transporte que impeça que os usuários da Contoso recebam menssagens de usuários da Fabrikam, mas que ainda permita que a equipe de liderança sênior da Fabrikam envie mensagem para usuários da Contoso, execute o seguinte Shell de comando:
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.comSe você quiser impor um recurso semelhante ao ABP no cliente Lync, poderá definir o
msRTCSIP-GroupingIDatributo em objetos de usuário específicos. For details, see PartitionByOU Replaced with msRTCSIP-GroupingID topic.
Etapas gerais de implantação
Migrar de segmentação de lista de endereços para ABPs
Se a sua organização configurou a solução de segregação de lista de endereços do Exchange 2007 no local, usando as instruções no white paper Configurar Organizações Virtuais e Segregação de Lista de Endereços no Exchange 2007, você deve primeiro migrar para o Exchange Server 2010, usando as instruções em Migrar para as Políticas de Catálogo de Endereços do Exchange Server 2010 a partir da Segregação da Lista de Endereços do Exchange Server 2007. Este procedimento irá exigir algum tempo de paralização da sua organização e, assim, você terá que fazer os planos de acordo com isso.
Nova implantação de ABPs
Se a sua organização estiver implantando ABPs do Exchange 2013 e não tiver usado a segregação de lista de endereços do Exchange 2007, você poderá usar essas instruções para implantar ABPs na sua organização.
As etapas desta seção orientarão você pelo Cenário 2: duas empresas compartilhando um CEO. Neste cenário, duas empresas (Fabrikam e Tailspin Toys) são separadas mas compartilham um CEO e uma equipe de liderança sênior.
Etapa 1: Instale e configure o agente de Roteamento de Política do Catálogo de Endereço
Se você estiver usando ABPs e não quiser que os usuários em organizações virtuais separadas visualizem as informações potencialmente particulares uns dos outros, poderá ativar o Agente de Roteamento da Política de Catálogo de Endereços. O agente de Roteamento de Política de Catálogo de Endereço é um agente de Transporte que roda no servidor da Caixa de Correio e que controla como os destinatários são tratados na organização. Quando o Agente de Roteamento de Política de Catálogo de Endereço é instalado e configurado, os usuários que são atribuídos com diferentes GALs aparecem como destinatários externos de forma que eles não podem ver os cartões de contato dos destinatários externos.
Para obter instruções detalhadas, consulte Instalar e configurar o agente de roteamento de política de catálogo de endereços.
Etapa 2: Dividir suas organizações virtuais
Você não precisa desenvolver um jeito de dividir suas organizações. Recomendamos usar a propriedade CustomAttribute1-15 nas caixas de correio, contatos e grupos, em vez de atributos condicionais preparados anteriormente, como Companhia, Departamento ou StateOrProvince, para dividir as organizações virtuais, pelas seguintes razões:
Nem todos os tipos de destinatários dos objetos têm atributos condicionais preparados anteriormente no Active Directory. Por exemplo, Grupo de Distribuição de Grupo Dinâmico de Distribuição não suportam os atributos de companhia, departamento ou estado.
Nem todos os atributos condicionais predefinidos são expostos nos cmdlets para alguns destinatários. Por exemplo, os parâmetros Empresa, departamento e StateOrProvince não estão disponíveis nos cmdlets expostos para usuários de email, contatos, grupos de distribuição e pastas públicas habilitadas para email.
Vários cmdlets são necessários para segregar destinatários, quando você usar o atributo condicional preparado anteriormente. Por exemplo, você precisa executar Set-User para marcar Cmdlets Empresa, Departamento, StateOrProvince para um UserMailbox depois de executar cmdlets New-Mailbox ou Set-Mailbox .
Os parâmetros CustomAttributeX são todos expostos no cmdlet Set-* para cada tipo de destinatário, podemos concluir toda a segregação para esse tipo por meio de um único cmdlet Set-cmdlet
Os atributos CustomAttributeX são reservados explicitamente para a personalização de uma organização e estão totalmente sobre o controle dos administradores da organização.
Outra melhor prática é considerar a implementação quando segregar sua organização é usar identificadores de companhia nos nomes dos grupos de distribuição e nos grupos dinâmicos de distribuição. O Exchange tem um recurso de política de Nomeação de Grupos que irá adicionar automaticamente um sufixo ou prefixo ao nome do grupo de distribuição com base em vários atributos do usuário que criar o grupo de distribuição, incluindo o criador de Companhia, StateorProvince, Cargo e CustomAttribute1 a CustomAttribute15. A política de nomeação de grupo é especialmente importante, se você estiver permitindo que os usuários criem seus próprios grupos de distribuição. Para mais informações, consulte Criar um diretiva de nomeação de grupo de distribuição.
As políticas de nomeação de grupos não se aplicam a grupos dinâmicos de distribuição, então, você precisará segregá-los e aplicar uma política de nomeação manualmente.
Etapa 3: Criar as listas de endereços, GALs e OABs
Quando você cria as listas de endereços e listas de endereços globais, não use parâmetros "IncludedRecipient" e "ConditionalX", como ConditionalCompany e ConditionalCustomAttribute5. Você deve usar um filtro de destinatário, em vez disso. Você deve usar o Shell para criar filtros de destinatário. Para mais informações sobre Filtros de Destinatários, consulte Filtragem de destinatário nos servidores de Transporte de Borda.
Ao criar o ABP, você irá criar várias listas de endereços, com base em como você deseja que seus usuários exibam as listas de endereços no Outlook ou no Outlook Web App. Esta organização tem quatro listas de endereços:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
Este exemplo cria a lista de endereços AL_TAIL_Users_DGs. A lista de endereços contém todos os usuários e grupos de distribuição em que CustomAttribute15 seja igual a TAIL.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
Para mais informações sobre como criar listas de endereços usando filtros de destinatários, consulte Criar uma lista de endereços usando filtros de destinatários.
Para criar uma ABP, você deve fornecer uma lista de endereços de salas. Se a sua organização não tiver caixas de correio de recursos, como caixas de correio de sala ou equipamento, sugerimos que você crie uma lista de endereços de sala em branco. O exemplo a seguir cria uma lista de endereços de salas em branco, porque não há caixas de correio de salas na organização.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
Entretanto, neste cenário, Fabrikam e Contoso têm caixas de correio de sala. Este exemplo cria uma lista de salas para Fabrikam, usando um filtro de destinatário em que CustomAttribute15 é igual a FAB.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
A lista global de endereços usada em uma ABP deve ser um superconjunto das listas de endereços. Não crie uma GAL com menos objetos do que os que existem em qualquer uma ou em todas as listas de endereços na ABP. Este exemplo cria a lista global de endereços para Tailspin Toys que inclui todos os destinatários que existem nas listas de endereços e na lista de endereços de salas.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
Para obter mais informações, consulte Criar uma lista de endereços global.
Ao criar o OAB, você deve incluir a GAL apropriada ao fornecer o parâmetro AddressLists de New ou Set-OfflineAddressBook para garantir que nenhuma entrada seja perdida inesperadamente. Basicamente, você pode personalizar o conjunto de entradas que um usuário irá ver ou reduzir o tamanho de download do OAB, especificando uma lista AddressLists em AddressLists de New/Set-OfflineAddressBook. Entretanto, se você desejar que os usuários vejam a lista completa de entradas de GAL no OAB, certifique-se de que você inclua a GAL em AddressLists.
Este exemplo cria o OAB para Fabrikam chamado OAB_FAB.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Para mais informações, consulte Criar um catálogo de endereços offline.
Etapa 4: Criar as ABPs
Depois de você ter criado todos os objetos exigidos, poderá criar a ABP. Este exemplo cria a ABP chamada ABP_TAIL.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Para mais informações, consulte Criar uma política de catálogo de endereços.
Etapa 5: Atribua os ABPs às caixas de correio
Atribuir a ABP ao usuário é a última etapa do processo. ABPs entram em vigor quando um aplicativo do usuário se conecta ao serviço do Catálogo de Endereços do Microsoft Exchange no servidor de Acesso para Cliente. Se o usuário já estiver conectado ao Outlook ou ao Outlook Web App, quando a ABP for aplicada à conta dele, ele precisará fechar e reiniciar o aplicativo cliente, antes de poderem ver suas novas listas de endereços e GAL.
Este exemplo atribui ABP_FAB a todas as caixas de correio em que CustomAttribute15 é igual a "FAB".
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Para mais informações, consulte Atribuir uma política de catálogo de endereços para usuários de email.