Gestione di una relazione di trust federativa

Si applica a: Exchange Server 2013

Un trust federativo stabilisce una relazione di trust tra un'organizzazione di Microsoft Exchange 2013 e il sistema di autenticazione Microsoft Entra e supporta la condivisione federata con altre organizzazioni di Exchange federate. Generalmente, non è necessario gestire o modificare la relazione di trust federativa una volta creata. Tuttavia, potrebbero esserci casi che richiedono l'aggiunta o la rimozione di domini federati o la reimpostazione del dominio utilizzato per configurare l'identificatore di organizzazione (OrgID) per la relazione di trust federativa.

Per altre attività di gestione correlate alla federazione, vedere Procedure di federazione.

Che cosa è necessario sapere prima di iniziare?

• Tempo stimato per il completamento: 30 minuti.

• Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce Relativa alle autorizzazioni per la federazione e i certificati nell'argomento Autorizzazioni per l'infrastruttura di Exchange e Shell .

• Sarà necessario aggiungere un record TXT al proprio DNS pubblico per tutti i nuovi domini federati aggiunti alla relazione di trust federativa. Rivedere i requisiti per l'aggiunta di un record TXT con l'organizzazione che ospita i record DNS pubblici.

• Ai fini di questo argomento, è stata configurata una relazione di trust federativa con le seguenti impostazioni:

  • Contoso.com è il dominio condiviso primario per la relazione di trust federativa. (questo dominio non verrà modificato.)

  • I domini federati service.contoso.com e sales.contoso.com sono inclusi nella relazione di trust federativa esistente.

  • Marketing.contoso.com è un dominio accettato nell'organizzazione di Exchange.

• In questo argomento, vengono trattate anche altre attività di gestione federative, quali la visualizzazione e la gestione dei certificati utilizzati per la relazione di trust federativa e la visualizzazione delle informazioni sui parametri della relazione di trust federativa in Shell.

• Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Gestione di una relazione di trust federativa tramite Interfaccia di amministrazione di Exchange

1. In un server Exchange 2013 nell'organizzazione locale passare aCondivisioneorganizzazione>.

2. Nella sezione Relazione di trust federativa, fare clic su Modifica.

3. In Domini abilitati alla condivisione, saltare Passo 1 in quanto il dominio di condivisione primario non viene modificato.

4. Nel passaggio 2 selezionare il dominio service.contoso.com e quindi fare clic per rimuovere il dominio dal trust federato.

5. Nel passaggio 2 fare clic su .

6. In Seleziona domini accettati, selezionare marketing.contoso.com dall'elenco dei domini accettati, quindi fare clic su OK per aggiungere il dominio alla relazione di trust federativa.

   Importante

   Verrà creata una stringa di prova del dominio federato per il dominio marketing.contoso.com. È necessario creare un record TXT distinto sul DNS pubblico per questo dominio.

7. Utilizzando la stringa di prova del dominio federato creata per il dominio marketing.contoso.com, creare un record TXT sul server DNS pubblico. A seconda del piano di aggiornamenti dell'host DNS pubblico, la replica delle modifiche DNS può richiedere 15 minuti o più.

8. Una volta creato e replicato il record TXT, fare clic su Aggiorna.

Gestione di una relazione di trust federativa tramite Shell

1. In questo esempio, viene rimosso il dominio service.contoso.com dalla relazione di trust federativa.

   Remove-FederatedDomain -DomainName service.contoso.com
   

2. In questo esempio, viene aggiunto il dominio marketing.contoso.com alla relazione di trust federativa esistente.

   Add-FederatedDomain -DomainName marketing.contoso.com
   

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-FederatedDomain e Add-FederatedDomain.

Eseguire i seguenti comandi Shell per gestire altri aspetti di una relazione di trust federativa.

1. Visualizzazione dell'OrgID federato e dei domini federati

   In questo esempio, vengono visualizzati l'OrgID federato di un'organizzazione di Exchange e le relative informazioni, inclusi lo stato e i domini federati.

   Get-FederatedOrganizationIdentifier
   

2. Visualizzazione dei certificati della relazione di trust federativa

   In questo esempio vengono visualizzati i certificati precedenti, correnti e successivi usati dall'attendibilità federativa "Autenticazione Microsoft Entra".

   Get-FederationTrust "Azure AD authentication" | Select Org*certificate
   

3. Controllo dello stato dei certificati federativi

   In questo esempio, viene visualizzato lo stato dei certificati federativi su tutti i server Cassette postali e Accesso client dell'organizzazione.

   Test-FederationTrustCertificate
   

4. Configurazione della relazione di trust federativa per utilizzare un certificato come certificato successivo

   In questo esempio viene configurata l'attendibilità federativa "Autenticazione Microsoft Entra" per l'uso del certificato con l'identificazione personale fornita come certificato successivo. Dopo aver distribuito il certificato in tutti i server Exchange nell'organizzazione, è possibile usare l'opzione PublishCertificate per configurare l'attendibilità federativa per l'uso di questo certificato come certificato corrente.

   Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
   

5. Configurazione della relazione di trust federativa per utilizzare il certificato successivo come certificato corrente

   In questo esempio viene configurata l'autenticazione microsoft entra trust federativa per l'uso del certificato successivo come certificato corrente e viene pubblicata nel sistema di autenticazione Microsoft Entra.

   Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
   

   Avviso

   Prima di configurare la relazione di trust federativa per poter utilizzare il certificato successivo come certificato federativo corrente, assicurarsi che il certificato sia distribuito in tutti i server di Exchange dell'organizzazione. Utilizzare il cmdlet Test-FederationTrustCertificate per controllare lo stato di distribuzione del certificato.

6. Aggiornare i metadati e il certificato di federazione dal sistema di autenticazione Microsoft Entra

   In questo esempio vengono aggiornati i metadati federativi e il certificato del sistema di autenticazione Microsoft Entra per l'autenticazione di Microsoft Entra trust federativa.

   Set-FederationTrust "Azure AD authentication" -RefreshMetadata
   

Per ulteriori informazioni sulla sintassi e sui parametri, vedere:

• Get-FederatedOrganizationIdentifier

• Get-FederationTrust

• Test-FederationTrustCertificate

• Set-FederationTrust

Come verificare se l'operazione ha avuto esito positivo

Il corretto completamento della procedura guidata Domini abilitati alla condivisione è il primo segnale del fatto che la relazione di trust federativa è stata configurata come previsto.

Per un ulteriore verifica, effettuare le seguenti operazioni:

1. Eseguire questo comando Shell per verificare le informazioni di attendibilità del trust federativo.

   Get-FederationTrust | format-list
   

2. Eseguire questo comando Shell per verificare che le informazioni sulla Federazione possano essere recuperate dalla propria organizzazione. Ad esempio, verificare che i domini sales.contoso.com e marketing.contoso.com vengano restituiti nel parametro DomainNames .

   Get-FederationInformation -DomainName <your primary sharing domain>