Scenario: implementazione dei criteri della rubrica
Si applica a: Exchange Server 2013
Scenari di distribuzione
I tre scenari seguenti descrivono le possibili soluzioni di distribuzione per tre diversi tipi di organizzazione. Anche se ci sono molti altri scenari, quelli più popolari sono trattati qui. Gli elenchi di indirizzi e gli elenchi di indirizzi globali (GAL) in questi scenari sono stati creati in base a filtri, ad esempio attributi personalizzati, che raggruppavano gli oggetti in modo logico.
Scenario 1: due società separate: un'organizzazione di Exchange
Questo scenario è applicabile alle agenzie governative, alle divisioni o ai reparti che condividono l'infrastruttura, ma non hanno una catena di report e non hanno dipendenti comuni. Inoltre, le divisioni non hanno particolari problemi di sicurezza o privacy. In questo scenario vengono creati due criteri rubrica in cui i dipendenti possono visualizzare i membri della stessa organizzazione solo quando visualizzano l'elenco indirizzi globale o esaminano l'appartenenza ad altri gruppi di distribuzione. Inoltre, nessun utente sarà membro di gruppi di distribuzione che si estendono sull'intera organizzazione.
.gif "Criteri rubrica con due società separate")
I criteri di protezione di Contoso e Humongous Insurance sono stati creati usando gli elenchi di indirizzi, gli elenchi indirizzi globali, gli elenchi di sale e gli OAB seguenti, creati usando un filtro destinatario che raggruppava gli oggetti con un filtro come Attributo personalizzato. Poiché le due società sono separate senza alcuna interazione tra le due, non ci sono elenchi di indirizzi in comune.
| Contoso | Humongous Insurance | |
|---|---|---|
| Elenchi indirizzi | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
| Elenco indirizzi globale | GAL_CON | GAL_HI |
| Elenco indirizzi sale | AL_CON_Rooms | AL_HI_Rooms |
| Rubrica fuori rete (OAB, offline address book) | OAB_CON | OAB_HI |
Scenario 2: Due società che condividono un CEO
In questo scenario Fabrikam e Tailspin Toys condividono la stessa organizzazione exchange e lo stesso CEO. Il CEO è l'unica persona comune tra le due aziende. Questo scenario richiede tre indirizzi ABP con le caratteristiche seguenti:
- Gli utenti di Tailspin Toys possono visualizzare gli utenti di Tailspin Toys solo quando esplorano l'elenco indirizzi globale.
- Gli utenti di Fabrikam possono visualizzare gli utenti di Fabrikam solo quando esplorano l'elenco indirizzi globale.
- In ogni azienda è presente un gruppo di distribuzione SeniorLeaders che include i dirigenti senior di tale società e il CEO.
- Gli utenti che esaminano l'appartenenza al gruppo del CEO vedranno solo i gruppi che appartengono alla società dell'utente. Non vedranno i gruppi non nella propria azienda.
- Vengono creati tre ADP: Fab, Tail e CEO.
.gif "Due aziende un CEO")
| Fabrikam | Tailspin Toys | CEO | |
|---|---|---|---|
| Elenchi di indirizzi | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
| Elenco indirizzi globale | GAL_FAB | GAL_TAIL | Elenco indirizzi globale predefinito |
| Elenco indirizzi sale | AL_FAB_Rooms | AL_TAIL_Rooms | Tutte le stanze predefinite |
| Rubrica fuori rete (OAB, offline address book) | OAB_FAB | OAB_TAIL | Rubrica offline predefinita |
Quando il CEO viene aggiunto ai gruppi di distribuzione in ogni organizzazione e rientra nell'ambito dell'ABP di ogni società, il CEO diventa visibile a ogni azienda. Il CEO può creare gruppi di distribuzione che si estendono su entrambe le società e saranno visibili all'interno del gal di ogni società, ma i membri del gruppo di distribuzione potranno visualizzare solo i membri del gruppo che si trovano all'interno della propria organizzazione.
Scenario 3: Istruzione
Questo scenario è applicabile alle scuole o alle università in cui è necessaria una divisione di stanze di classe per garantire la privacy degli studenti. Lo scenario Education presenta le caratteristiche seguenti:
- Gli studenti di ciascuna classe possono vedere solo altri studenti nella propria classe, i loro insegnanti e il preside.
- Gli insegnanti possono solo studenti nelle proprie classi.
- Gli insegnanti possono vedere tutti gli altri insegnanti e il preside.
- I gruppi di distribuzione vengono creati per i genitori e l'istituto di istruzione di ogni classe.
.gif "Scenario di formazione per i criteri della rubrica")
| Students_ClassA | Teachers_ClassA | Principal | |
|---|---|---|---|
| Elenchi indirizzi | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
| Elenco indirizzi globale | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
| Elenco indirizzi sale | AL_BlankRoom | AL_BlankRoom | Tutte le stanze predefinite |
| Rubrica fuori rete (OAB, offline address book) | OAB_StudentsClassA | OAB_TeachersClassA | Rubrica offline predefinita |
Considerazioni e procedure consigliate
Quando si usano criteri di gruppo nell'organizzazione, tenere presente quanto segue:
Per il corretto funzionamento degli indirizzi ABP, la cassetta postale utente a cui si applica l'ABP deve trovarsi in un server Exchange 2010 SP3 o Exchange 2013.
Non eseguire il ruolo del server Accesso client di Exchange 2010 nel server di catalogo globale. In questo modo Active Directory viene usato per l'interfaccia NSPI (Name Service Provider Interface) anziché per il servizio Rubrica di Microsoft Exchange. È possibile eseguire i ruoli del server Exchange 2013 in un server di catalogo globale e fare in modo che i criteri di protezione dei dati funzionino correttamente, tuttavia non è consigliabile installare Exchange in un controller di dominio.
Non è possibile utilizzare contemporaneamente rubriche gerarchiche e criteri della rubrica. Per altre informazioni, vedere Rubriche gerarchiche.
Qualsiasi utente a cui è stato assegnato un abp deve esistere nel proprio elenco indirizzi globale.
Se si consente alle applicazioni client di accedere ad Active Directory direttamente tramite LDAP, verranno ignorate la logica incorporata nei criteri di accesso. Poiché Outlook per Mac 2011 ed Entourage 2008 usano query LDAP dirette per accedere ad Active Directory, tali applicazioni client non funzioneranno correttamente con gli indirizzi ABP se viene specificato o fornito un controller di dominio o un server di catalogo globale dal servizio di individuazione automatica. Outlook per Mac 2011 può usare EWS o una rubrica offline locale per accedere alle informazioni sulla directory. Tuttavia, se Outlook per Mac 2011 può accedere direttamente a un servizio LDAP, tenterà di farlo.
L'elenco indirizzi globale usato in un abp deve contenere almeno tutti gli elenchi di indirizzi, incluso l'elenco di indirizzi della sala, definiti e specificati in un abp. Non creare un elenco indirizzi globale che contiene un numero inferiore di oggetti rispetto a uno qualsiasi degli elenchi di indirizzi nello stesso gruppo di indirizzi abp.
È consigliabile creare gruppi di distribuzione che non superano i limiti dell'organizzazione virtuale. La creazione di gruppi di distribuzione che contengono membri di più organizzazioni virtuali comporta i problemi seguenti:
Se i membri del gruppo richiedono ricevute di recapito o lettura durante l'invio di posta elettronica al gruppo di distribuzione, saranno in grado di visualizzare gli indirizzi di posta elettronica dei membri del gruppo in altre organizzazioni virtuali
Se un messaggio crittografato viene inviato al gruppo di distribuzione e alcuni membri del gruppo non hanno ID digitali validi, il mittente riceverà un messaggio di avviso che include il numero totale di membri che non hanno ID validi e un elenco dei relativi indirizzi di posta elettronica. Tuttavia, se alcuni di questi membri senza ID digitali validi si trovano in un'organizzazione diversa dal mittente, il messaggio di avviso includerà il conteggio corretto, ma non includerà gli indirizzi di posta elettronica dei membri nell'altra organizzazione. Di conseguenza, il conteggio totale non corrisponde all'elenco degli indirizzi dei membri.
Si supponga, ad esempio, che un gruppo di distribuzione contenga cinque membri totali di due organizzazioni, l'Agenzia A e l'Agenzia B. Tre membri del gruppo appartengono all'Agenzia A e uno di questi membri ha un ID digitale non valido. Gli altri due membri sono dell'Agenzia B, ed entrambi hanno ID digitali non validi. Se un membro dell'Agenzia A invia un messaggio crittografato al gruppo di distribuzione, tale membro riceverà un messaggio di avviso che indica che sono presenti un totale di tre destinatari senza ID digitali validi. Tuttavia, nel messaggio di avviso verrà elencato solo l'indirizzo di posta elettronica del destinatario dell'Agenzia A.
Gli ABP non si applicano ai cmdlet Get-Group . Pertanto, qualsiasi utente o processo in grado di eseguire Get-Group visualizzerà tutti i membri di qualsiasi gruppo a cui ha accesso.
È consigliabile modificare le impostazioni di gestione dei gruppi delle opzioni di OWA in modo che gli utenti non possano usare Outlook Web App per gestire i gruppi. Per impedire agli utenti di usare opzioni OWA per gestire i gruppi, escludere gli utenti dal ruolo Controllo degli accessi in base al ruolo MyDistributionGroupMembership. Per informazioni dettagliate, vedere Ruolo MyDistributionGroupMembership.
Se si consente agli utenti di usare Outlook o Outlook Web App per gestire i gruppi, i proprietari dei gruppi devono avere la visibilità completa sull'elenco di appartenenza ai gruppi.
Tutti i criteri rubrica devono includere un elenco di indirizzi delle sale. Tuttavia, se l'organizzazione non usa elenchi di indirizzi della sala, è possibile creare un elenco di indirizzi della sala vuota predefinito.
La distribuzione dei criteri della rubrica non impedisce agli utenti di un'organizzazione virtuale di inviare messaggi di posta elettronica agli utenti di un'altra organizzazione virtuale. Se si vuole impedire agli utenti di inviare messaggi di posta elettronica tra organizzazioni, è consigliabile creare una regola di trasporto. Ad esempio, per creare una regola di trasporto che impedisce agli utenti di Contoso di ricevere messaggi da utenti Fabrikam, ma consente comunque al team dirigenziale senior di Fabrikam di inviare messaggi agli utenti contoso, eseguire il comando shell seguente:
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.comSe si vuole applicare una funzionalità simile a ABP nel client Lync, è possibile impostare l'attributo
msRTCSIP-GroupingIDsu oggetti utente specifici. Per informazioni dettagliate, vedere l'argomento PartitionByOU Sostituito con msRTCSIP-GroupingID .
Procedura di distribuzione generale
Migrazione dalla segmentazione dell'elenco indirizzi ai criteri di gruppo
Se l'organizzazione ha configurato la soluzione di separazione dell'elenco indirizzi di Exchange 2007 usando le istruzioni riportate nel white paper Configurazione delle organizzazioni virtuali e della separazione dell'elenco indirizzi in Exchange 2007, è necessario eseguire la migrazione a Exchange Server 2010 seguendo la procedura descritta in Eseguire la migrazione ai criteri della Rubrica di Exchange Server 2010 da Exchange Server separazione dell'elenco indirizzi 2007. Questa procedura richiederà alcuni tempi di inattività per l'organizzazione ed è quindi necessario pianificare di conseguenza.
Nuova distribuzione dei criteri di gruppo
Se l'organizzazione sta distribuendo indirizzi ABP di Exchange 2013 e non ha usato la separazione dell'elenco indirizzi di Exchange 2007, è possibile usare queste istruzioni per distribuire gli indirizzi ABP nell'organizzazione.
La procedura descritta in questa sezione illustra lo scenario 2: due società che condividono un CEO. In questo scenario, due società (Fabrikam e Tailspin Toys) sono separate, ma condividono un CEO e un team dirigenziale senior.
Passaggio 1: Installare e configurare l'agente di routing dei criteri della Rubrica
Se si usano indirizzi ABP e non si vuole che gli utenti di organizzazioni virtuali separate visualizzono reciprocamente le informazioni potenzialmente private, è possibile attivare l'agente di routing dei criteri della Rubrica. L'agente di routing dei criteri della Rubrica è un agente di trasporto eseguito nel server Cassette postali che controlla il modo in cui i destinatari vengono risolti nell'organizzazione. Quando l'agente di routing dei criteri della Rubrica è installato e configurato, gli utenti a cui sono assegnate gals diverse vengono visualizzati come destinatari esterni in quanto non possono visualizzare le schede contatto dei destinatari esterni.
Per istruzioni dettagliate, vedere Installare e configurare l'agente di routing dei criteri della Rubrica.
Passaggio 2: Dividere le organizzazioni virtuali
Sarà necessario sviluppare un modo per dividere le organizzazioni. È consigliabile usare la proprietà CustomAttribute1-15 nelle cassette postali, nei contatti e nei gruppi anziché negli attributi condizionali predefiniti, ad esempio Company, Department o StateOrProvince, per dividere le organizzazioni virtuali per i motivi seguenti:
Non tutti i tipi di destinatari di oggetti hanno attributi condizionali analizzati in Active Directory. Ad esempio, il gruppo di distribuzione e il gruppo di distribuzione dinamico non supportano attributi aziendali, di reparto o di stato.
Non tutti gli attributi condizionali analizzati vengono esposti nei cmdlet per alcuni destinatari. Ad esempio, i parametri Company, department e StateOrProvince non sono disponibili nell'oggetto esposto nei cmdlet per utenti di posta elettronica, contatti, gruppi di distribuzione e cartelle pubbliche abilitate per la posta elettronica.
Quando si usa l'attributo condizionale pre-analizzato, sono necessari più cmdlet per separare il destinatario. Ad esempio, è necessario eseguire Set-User per contrassegnare Company, Department, StateOrProvince per un UserMailbox dopo aver eseguito i cmdlet New-Mailbox o Set-Mailbox .
I parametri CustomAttributeX sono tutti esposti nel cmdlet Set-* per ogni tipo di destinatario, è possibile completare tutta la separazione per quel tipo tramite un singolo cmdlet Set-
Gli attributi CustomAttributeX sono esplicitamente riservati per la personalizzazione di un'organizzazione e sono interamente sotto il controllo degli amministratori dell'organizzazione.
Un'altra procedura consigliata da implementare quando si separa l'organizzazione consiste nell'usare gli identificatori aziendali nei nomi dei gruppi di distribuzione e dei gruppi di distribuzione dinamici. Exchange dispone di una funzionalità dei criteri di denominazione dei gruppi che aggiunge automaticamente un suffisso o un prefisso al nome del gruppo di distribuzione in base a molti attributi dell'utente che crea il gruppo di distribuzione, tra cui l'autore di Company, StateorProvince, Title e CustomAttribute1 del gruppo di distribuzione a CustomAttribute15. I criteri di denominazione dei gruppi sono particolarmente importanti se si consente agli utenti di creare gruppi di distribuzione personalizzati. Per ulteriori informazioni, vedere Creare un gruppo di distribuzione dei criteri di denominazione.
I criteri di denominazione dei gruppi non si applicano ai gruppi di distribuzione dinamici, pertanto sarà necessario separarli manualmente e applicare manualmente un criterio di denominazione.
Passaggio 3: Creare elenchi di indirizzi, gals e OAB
Quando si creano gli elenchi di indirizzi e gli elenchi di indirizzi globali, non usare parametri "IncludedRecipient" e "ConditionalX", ad esempio ConditionalCompany e ConditionalCustomAttribute5. È invece consigliabile usare un filtro destinatario. È necessario usare Shell per creare filtri dei destinatari. Per altre informazioni sui filtri dei destinatari, vedere Filtro dei destinatari nei server Trasporto Edge
Durante la creazione dell'ABP, verranno creati più elenchi di indirizzi in base al modo in cui si desidera che gli utenti visualizzeranno gli elenchi di indirizzi in Outlook o Outlook Web App. Questa organizzazione dispone di quattro elenchi di indirizzi:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
In questo esempio viene creato l'elenco indirizzi AL_TAIL_Users_DGs. L'elenco indirizzi contiene tutti gli utenti e i gruppi di distribuzione in cui CustomAttribute15 è uguale a TAIL.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
Per altre informazioni sulla creazione di elenchi di indirizzi usando i filtri dei destinatari, vedere Creare un elenco di indirizzi usando i filtri dei destinatari.
Per creare un ABP, è necessario specificare un elenco indirizzi della sala. Se l'organizzazione non dispone di cassette postali delle risorse, ad esempio cassette postali di sala o apparecchiature, è consigliabile creare un elenco di indirizzi della sala vuota. Nell'esempio seguente viene creato un elenco di indirizzi della sala vuota perché non sono presenti cassette postali della sala nell'organizzazione.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
In questo scenario, tuttavia, Fabrikam e Contoso dispongono entrambe di cassette postali della sala. In questo esempio viene creato un elenco di stanze per Fabrikam usando un filtro destinatario in cui CustomAttribute15 è uguale a FAB.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
L'elenco indirizzi globale usato in un abp deve essere un superset degli elenchi di indirizzi. Non creare un elenco indirizzi globale con un numero di oggetti inferiore a quello esistente in uno o tutti gli elenchi di indirizzi nell'elenco indirizzi abp. In questo esempio viene creato l'elenco indirizzi globale per Tailspin Toys che include tutti i destinatari presenti negli elenchi di indirizzi e nell'elenco indirizzi della sala.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
Per altre informazioni, vedere Creare un elenco indirizzi globale.
Quando si crea la rubrica offline, è necessario includere l'elenco indirizzi globale appropriato quando si specifica il parametro AddressLists di New- o Set-OfflineAddressBook per assicurarsi che nessuna voce venga inaspettatamente persa. In pratica, è possibile personalizzare il set di voci che un utente visualizzerà o ridurre le dimensioni di download della rubrica offline specificando un elenco di elenchi indirizzi in Elenchi indirizzi di New/Set-OfflineAddressBook. Tuttavia, se si vuole che gli utenti vedano il set completo di voci di elenco indirizzi globale nella rubrica offline, assicurarsi di includere l'elenco indirizzi globale negli elenchi indirizzi.
In questo esempio viene creata la rubrica offline per Fabrikam denominata OAB_FAB.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Per altre informazioni, vedere Creare una rubrica offline.
Passaggio 4: Creare i criteri di gruppo
Dopo aver creato tutti gli oggetti necessari, è possibile creare l'ABP. In questo esempio viene creato l'ABP denominato ABP_TAIL.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Per ulteriori informazioni, vedere Creare un criterio della Rubrica.
Passaggio 5: Assegnare i criteri di criteri di accesso alle cassette postali
L'assegnazione dell'ABP all'utente è l'ultimo passaggio del processo. Gli indirizzi ABP hanno effetto quando l'applicazione di un utente si connette al servizio Rubrica di Microsoft Exchange nel server Accesso client. Se l'utente è già connesso a Outlook o Outlook Web App quando l'ABP viene applicato al proprio account, dovrà chiudere e riavviare l'applicazione client prima di poter visualizzare i nuovi elenchi di indirizzi e l'elenco indirizzi globale.
Questo esempio assegna ABP_FAB a tutte le cassette postali in cui CustomAttribute15 è uguale a "FAB".
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Per ulteriori informazioni, vedere Assegnare un criterio della Rubrica per gli utenti di posta.