使用 EAC 管理联盟共享
原文发布于 2012 年 10 月 31 日(星期三)
Exchange Server 2013 提供的最大优势之一是,它支持在不同组织的不同人员之间进行个人信息共享。电子邮件本身就是共享的良好示例,因为它使人们能够轻松共享想法、图像和附件。但是,凭借 Exchange 2013 中的联盟共享,您可共享的内容比电子邮件多得多。联盟共享允许您的用户与不同 Exchange 组织中的人们共享日历忙/闲信息和其他日历/联系人信息。
本文介绍使用 Exchange 管理中心 (EAC) 为本地 Exchange 2013 或 Office 365 Exchange 联机组织设置和配置联盟共享的基本步骤。若要了解联盟共享的更多信息,请参阅了解联盟共享。
尽管在 Exchange 2013 中引入 EAC 大大改变了行政管理体验,但与 Exchange 2010 相比,配置联盟共享的基本流程没有发生太大变化。对于已经熟悉如何在 Exchange 2010 中配置联盟共享的那些人员,下面是 Exchange 2013 中的常规配置步骤的扼要概述:
配置同盟信任 对于本地 Exchange 2013 组织,您必须使用 Microsoft Federation Gateway (MFG) 配置同盟信任。MFG 是 Microsoft 提供的基于云的免费服务,它可用作您的本地 Exchange 2013 组织与其他联盟 Exchange 2010 和 Exchange 2013 组织之间的信任破坏者。若要了解同盟信任的更多信息,请参阅了解同盟。
如果要将仅 Exchange Online 组织的联盟共享配置为 Office 365 租户的一部分,则不必配置同盟信任。注册 Office 365 服务时,会自动配置与 Microsoft Federation Gateway 的同盟信任,并且会使用您添加到 Office 365 租户的任何自定义域自动更新该信任。
配置组织关系 凭借组织关系,组织可在不同 Exchange 组织中的用户之间共享日历忙/闲信息。组织关系是两个 Exchange 组织之间的一对一关系,而非 Exchange 组织中的单个用户之间的关系。若要了解有关组织关系的更多信息,请参阅了解联盟共享。
配置共享策略 共享策略 支持与不同类型的外部用户通过用户建立的方式共享日历和联系人信息。若要了解有关共享策略的更多信息,请参阅了解联盟共享。
如果已为 Exchange 2010 组织管理联盟共享,则您可能非常熟悉 Exchange 管理控制台 (EMC)。在 EMC 中,您将使用“组织配置”(Organization Configuration)节点创建和管理您的本地 Exchange 组织的同盟信任和组织关系。如下图 1 所示,每个区域在“组织配置”(Organization Configuration) 节点中都具有自己的子节点,用于启动配置向导和修改配置设置。对于共享策略,管理员将导航到“邮箱”(Mailbox)子节点,并使用“共享策略”(Sharing Policies)选项卡(在结果窗格中)和“新建共享策略”(New Sharing Policy)向导(在操作窗格中)。
虽然 EMC 中的联盟共享的管理体验非常有效和直观,但它并不提供配置联盟共享的基本步骤需要按其执行的顺序的直观感受,因此增加了错误配置的机率。
图 1 在 EMC 中管理同盟信任和组织关系
在 Exchange 2013 中,EAC 可提供更加有效和集中的方法来设置和管理联盟共享。在 EAC 中,管理同盟信任的控制台(仅对本地组织)、组织关系及本地和 Exchange Online 组织的共享策略在“组织”(Organization) 功能区域中的“共享”(Sharing) 选项卡中分组在一起。EAC 还可指导您逐步完成联盟共享配置过程,方法是在您初次访问“共享”(Sharing) 选项卡时,明确要求您使用 MFG 启用和配置同盟信任(参见图 2)。
图 2 EAC 联盟共享入口点
如图 2 所示,在本地 Exchange 组织中启用联盟共享的第一步是创建同盟信任。单击“启用”(enable) 按钮时,EAC 会创建同盟信任对象,并指导您逐步完成配置同盟信任的过程。
重要信息 为仅 Exchange Online 组织设置联盟共享时,会跳过创建和配置同盟信任的过程。注册 Office 365 服务时,会自动配置与 Microsoft Federation Gateway 的同盟信任,并且会使用您添加到 Office 365 租户的任何自定义域自动更新该信任。
单击“启用”(enable)时,EAC:
- 为同盟信任创建自签名证书。
- 使用 New-FederationTrust cmdlet 创建采用此自签名证书的同盟信任。
单击“启用”(enable)后,您会看到一个显示同盟信任创建过程的状态的进度栏。完成后,会有一个确认窗口,通知您已成功启用同盟信任。
创建同盟信任对象后,EAC 会在“共享”(Sharing)选项卡上显示“组织共享”(Organization Sharing)和“个人共享”(Individual Sharing)管理部分,如图 4 所示。由于多数联盟共享功能都需要同盟信任,因此 EAC 始终通过启用和创建同盟信任对象来启动配置过程。但是,在完成同盟信任之前,仍必须完成一些同盟信任配置项。如果要在完全启用同盟信任前配置组织关系,将需要使用 Exchange 命令行管理程序完成该过程。但是,为了在贵组织中启用所有联盟共享功能,我们强烈建议您在配置组织关系和共享策略前,先完全启用和配置同盟信任。
图 3 EAC 中的“组织共享”(Organization Sharing) 和“个人共享”(Individual Sharing) 部分
在“共享”(Sharing)选项卡的“同盟信任”(Federation Trust)部分,单击“修改”(modify) 按钮打开“启用共享的域”(Sharing-Enabled Domains)页,逐步完成为同盟信任配置联盟域的步骤。
图 4 “启用共享的域”(Sharing-Enabled Domains) 页
EAC 联盟共享管理体验提供的重大改进之一是,它可帮助您识别每个操作的正确顺序。如图 5 所示,列出了两个步骤:
- 选择接受的域 首先,您需要添加一个接受的域,用作同盟信任的主要共享域。“主要共享域”是新术语,是在 EAC 中引入的,用于帮助您更好地了解配置同盟信任的正确顺序。主要共享域是用作同盟信任的组织标识符 (OrgID) 的唯一帐户命名空间,将预定义的字符串 FYDIBOHF25SPDLT 作为帐户命名空间 附加到主要共享域。例如,如果将接受的域 contoso.com 指定为同盟信任的主要共享域,则会自动创建 FYDIBOHF25SPDLT.contoso.com 帐户命名空间,作为 Exchange 组织中的同盟信任的 OrgID。
- 添加要启用以进行共享的其他域 使用本节将其他接受的域添加为同盟信任的联盟域。
单击“浏览”(Browse) 选择接受的域作为要启用以进行共享的主要域。通常情况下,它是贵组织的主要 SMTP 域。然后,将需要证明您对此域的所有权,方法是在公共 DNS 服务器上添加主要共享域的 TXT 记录 。为主要共享域选择接受的域后,EAC 会自动为该 TXT 记录生成验证字符串。
图 5 必须用于创建 TXT 记录以证明域所有权的字符串
TXT 记录在您的公共 DNS 上传播后,单击“更新”(Update) 向 Microsoft Federation Gateway 提交将此域添加为主要共享域的请求。单击“更新”(Update) 后,EAC 使用 Set-FederatedOrganizationIdentifier cmdlet 为同盟信任创建帐户命名空间。完整的命令为:
Set-FederatedOrganizationIdentifier –AccountNamespace <您选择的主要共享域>
重要信息 在 Exchange 2013 和 Exchange 2010 SP2 中,不必指定以作为帐户命名空间的 exchangedelegation 开始的域。您可使用任何接受的域作为主要共享域,而无需担心帐户命名空间的深层详细信息。
再次打开“启用共享的域”(Sharing-Enabled Domains) 页时,您将注意到,主要共享域和帐户命名空间已设置正确。
图 6 帐户命名空间和主要共享域已就绪。
如果需要,下一步将是将其他域作为联盟域 添加到同盟信任。如果您运营的是小公司(仅对用户电子邮件地址使用一个域),则可能只需要为主要共享域启用共享。但是,对于较大企业(您的组织中可能具有多个部门,需要为不同的子域启用共享),可能并非这样。
如果需要添加其他域进行共享,请单击 + 按钮打开“选择接受的域”页,并选择要联盟的一个或多个域。然后,将需要证明已选择的域的域所有权,并向您的公共 DNS 为每个其他域添加一条 TXT 记录。如上面的步骤 1 所示,Exchange 会自动为其他域生成验证字符串,并在右侧窗格(其他域列表的旁边)中显示这些字符串。
图 7 EAC 显示必须用于为每个其他联盟域创建 TXT 记录的字符串
TXT 记录在您的公共 DNS 中传播后,单击“更新”(Update) 向 Microsoft Federation Gateway 提交将该(这些)域添加为其他联盟域的请求。单击“更新”(Update) 后,EAC 会使用 Add-FederatedDomain cmdlet 和其他域更新同盟信任。完整的命令为:
Add-FederatedDomain –DomainName <您的其他共享域>
对于忙/闲共享和日历/联系人共享,这些其他域的行为方式与主要共享域完全相同。
再次打开“启用共享的域”(Sharing-Enabled Domains)页后,您会看到,这些其他共享域已成功添加到同盟信任。
图 8 已成功添加其他联盟域
现在您已成功配置了同盟信任!如果要启用日历忙/闲和其他日历/联系人共享,还会需要在贵组织中配置组织关系 和共享策略。
通过创建和配置组织关系,您将能够在贵组织和其他联盟 Exchange 组织之间启用组织级忙/闲共享。根据组织关系设置,这两个组织中的用户都将能够看到日历忙/闲信息,并与彼此共享该信息。若要创建和配置组织关系,请导航到 EAC 的“企业”或“Office 365”区域中的“组织”(Organization)>“共享”(Sharing)>“组织共享”(Organization Sharing)。
图 9 EAC 的企业版本中的“组织共享”(Organization Sharing)
若要创建和配置组织关系,请单击 + 按钮打开“组织关系”(Organization Relationship)页,并输入以下设置:
- 关系名称 (Relationship name)组织关系的友好名称。
- 要共享的域 (Domains to share with)您要在贵组织中允许与其共享的外部联盟 Exchange 组织的域。
- 日历忙/闲共享级别 (Calendar free/busy sharing level)您希望允许外部 Exchange 组织中的用户看到的您的用户的日历忙/闲共享级别。
- 谁将共享日历忙/闲信息 (Who should share calendar free/busy information) 贵组织中将与外部 Exchange 组织共享日历忙/闲信息的用户或组。
图 10 创建组织关系
如果需要配置组织关系的其他设置(如启用或禁用 邮件提醒 或邮箱移动),则需要在 Shell 中使用 OrganizationRelationship cmdlet。
共享策略 支持与不同类型的外部用户通过用户建立、人对人的方式共享日历和联系人信息。系统将共享策略分配给用户邮箱,这些策略允许您的用户自我管理其忙/闲和联系人信息(包括日历和联系人文件夹)以及将这些信息与其他外部联盟组织中的收件人共享。对于不是外部联盟组织或非 Exchange 组织中的收件人,共享策略还允许通过使用 Internet 日历发布与匿名用户以人对人的方式共享其日历信息。
若要创建和配置共享策略,请导航到 EAC 的“企业”或“Office 365”区域中的“组织”(Organization)>“共享”(Sharing)>“个人共享”(Individual Sharing)。
图 11 EAC 的企业版本中的“个人共享”(Individual Sharing)
若要创建和配置共享策略,请单击 + 按钮打开“共享策略”(Sharing Policy)页。您需要定义以下设置:
- 策略名称 (Policy name)共享策略的友好名称。
- 定义此策略的共享规则 (Define sharing rules for this policy)适用于此共享策略的规则,包括要与其共享的域、日历信息的共享级别,以及是否要共享联系人文件夹。
- 默认共享策略 (Default sharing policy) 此策略是否为贵组织的默认共享策略。
图 12 EAC 中的“新建共享策略”(New Sharing Policy) 页
若要创建和配置用于共享策略的共享规则,请单击 + 打开“共享规则”(Sharing Rule)页。您需要定义以下设置:
- 要与谁共享日历/联系人信息
- 要共享的信息
- 是否共享联系人文件夹
图 13 EAC 中的“共享规则”(Sharing Rule) 页
策略中定义的每个规则都将映射到个人对个人共享关系。用户可在共享策略的控制下,启动与不同人员的多个共享关系。例如,可在共享策略中创建以下两个规则:
- 与 contoso.com 共享日历忙/闲
- 与 fabrikam.com 共享日历忙/闲 + 主题 + 位置 + 联系人文件夹
如果将此共享策略分配给名为 Jim 的用户,Jim 将能够对 contoso.com 和 fabrikam.com 组织以不同的方式共享其日历和联系人信息。
对于 Exchange 2013 和 EAC 中的新联盟共享体验,我们希望您和我们一样兴奋。如果想了解更多详细信息,请参阅联盟共享。
Elber Ren 和 Robert Mazzoli
这是一篇本地化的博客文章。请访问 Managing Federated Sharing with the EAC 以查看原文