Gestione della condivisione federata con l'Interfaccia di amministrazione di Exchange
Articolo originale pubblicato mercoledì 13 ottobre 2012
Uno dei maggiori vantaggi presentati da Exchange Server 2013 è quello di consentire la condivisione delle informazioni personali tra persone diverse di organizzazioni diverse. La stessa posta elettronica è un valido esempio di condivisione, in quanto consente alle persone di scambiarsi pensieri, immagini e allegati. Utilizzando la condivisione federata in Exchange 2013, è però possibile condividere molto più della semplice posta elettronica. Questo tipo di condivisione consente infatti agli utenti di condividere le informazioni sulla disponibilità del calendario e ulteriori informazioni sul calendario e sui contatti con persone che operano in altre organizzazioni di Exchange.
In questo post vengono descritti i passaggi di base per l'utilizzo dell'Interfaccia di amministrazione di Exchange (Exchange admin center, EAC) per l'impostazione e la configurazione della condivisione federata per un'organizzazione di Exchange 2013 locale o un'organizzazione di Exchange Online in Office 365. Per ulteriori informazioni sulla condivisione federata, vedere la relativa sezione.
Benché l'introduzione dell'Interfaccia di amministrazione di Exchange in Exchange 2013 abbia modificato in modo significativo l'esperienza di gestione amministrativa, il processo di base per la configurazione della condivisione federata è rimasto sostanzialmente invariato rispetto a Exchange 2010. Per chi ha già familiarità con la configurazione della condivisione federata in Exchange 2010, ecco una breve panoramica dei passaggi di configurazione generali da eseguire in Exchange 2013:
Configurare una relazione di trust federativa. Per l'organizzazione di Exchange 2013 locale, è necessario configurare una relazione di trust federativa con Microsoft Federation Gateway (MFG). MFG, un servizio basato sul cloud offerto gratuitamente da Microsoft, funge da broker di trust tra l'organizzazione di Exchange 2013 locale e altre organizzazioni di Exchange 2010 ed Exchange 2013 federate. Per ulteriori informazioni sulle relazioni di trust federative, vedere la pagina Web relativa alla federazione.
Se si sta configurando la condivisione federata per un'organizzazione solo di Exchange Online nell'ambito di un tenant di Office 365, non sarà necessario configurare una relazione di trust federativa. Tale relazione di trust con Microsoft Federation Gateway viene configurata automaticamente quando ci si iscrive per il servizio Office 365 e viene aggiornata automaticamente con gli eventuali domini personalizzati aggiunti al tenant di Office 365.
Configurare una relazione di organizzazione. Le relazioni di organizzazione consentono alle organizzazioni di condividere le informazioni sulla disponibilità del calendario tra utenti di organizzazioni di Exchange diverse. Si tratta di relazioni uno-a-uno tra due organizzazioni di Exchange, non di una relazione tra i singoli utenti delle organizzazioni di Exchange. Per ulteriori informazioni sulle relazioni di organizzazione, vedere la sezione relativa alla condivisione federata.
Configurare un criterio di condivisione. Un criterio di condivisione consente una condivisione, stabilita dall'utente, delle informazioni del calendario e dei contatti con tipi diversi di utenti esterni. Per ulteriori informazioni sui criteri di condivisione, vedere la sezione relativa alla condivisione federata.
Condivisione federata - Exchange Management Console e Interfaccia di amministrazione di Exchange
Se si ha avuto modo di gestire la condivisione federata per un'organizzazione di Exchange 2010, probabilmente si sarà acquisita una certa familiarità con Exchange Management Console (EMC), in cui è necessario utilizzare il nodo Configurazione dell'organizzazione (Organization Configuration) per creare e gestire la relazione di trust federativa e le relazioni di organizzazione per l'organizzazione di Exchange locale. Come illustrato di seguito nella Figura 1, all'interno del nodo Configurazione dell'organizzazione (Organization Configuration) è presente per ogni area un sottonodo che consente di avviare le configurazioni guidate e modificare le impostazioni di configurazione. Per i criteri di condivisione, gli amministratori devono passare al sottonodo Cassetta postale (Mailbox) e utilizzare la scheda Criteri di condivisione (nel riquadro risultati) e la procedura guidata Nuovi criteri di condivisione (nel riquadro azioni).
Per quanto efficiente e lineare, l'esperienza di gestione per la condivisione federata in Exchange Management Console non consente di prevedere in modo intuitivo la sequenza in cui è necessario eseguire i passaggi di base per configurare la condivisione federata e questo aumenta le probabilità di errori durante la configurazione.
Figura 1 Gestione della relazione di trust federativa e delle relazioni di organizzazione in Exchange Management Console
In Exchange 2013 l'Interfaccia di amministrazione di Exchange (Exchange admin center) offre un metodo più funzionale e centralizzato per impostare e gestire la condivisione federata. Nell'Interfaccia di amministrazione di Exchange i controlli per la gestione delle relazioni di trust federative (solo per le organizzazioni locali), le relazioni di organizzazione e i criteri di condivisione per le organizzazioni sia locali che di Exchange Online sono raggruppati nella scheda condivisione (sharing) dell'area funzionale organizzazione (organization). L'Interfaccia di amministrazione di Exchange inoltre guida attraverso l'intero processo di configurazione della condivisione federata richiedendo esplicitamente di abilitare e configurare una relazione di trust federativa con Microsoft Federation Gateway quando inizialmente si accede alla scheda condivisione (sharing). Vedere la Figura 2.
Figura 2 Punto di ingresso alla condivisione federata nell'Interfaccia di amministrazione di Exchange
Creazione e configurazione di una relazione di trust federativa per un'organizzazione di Exchange locale
Creazione di una relazione di trust federativa
Come illustrato nella Figura 2, quando si abilita la condivisione federata in un'organizzazione di Exchange locale, il primo passaggio consiste nel creare una relazione di trust federativa (Federation Trust). Quando si fa clic sul pulsante Abilita (enable), l'Interfaccia di amministrazione di Exchange crea l'oggetto relazione di trust federativa e guida attraverso il processo di configurazione di tale relazione.
Importante La creazione e la configurazione di una relazione di trust federativa vengono saltate quando si imposta la condivisione federata per le organizzazioni solo di Exchange Online. Tale relazione di trust con Microsoft Federation Gateway viene configurata automaticamente quando ci si iscrive per il servizio Office 365 e viene aggiornata automaticamente con gli eventuali domini personalizzati aggiunti al tenant di Office 365.
Quando si fa clic su Abilita (enable), l'Interfaccia di amministrazione di Exchange:
- Crea un certificato autofirmato per la relazione di trust federativa.
- Utilizza il cmdlet New-FederationTrust per creare la relazione di trust federativa con tale certificato autofirmato.
Dopo avere fatto clic su Abilita (enable), sarà possibile vedere un indicatore di stato che visualizza lo stato del processo di creazione della relazione di trust federativa. Al termine, una finestra di conferma segnalerà che la relazione di trust federativa è stata abilitata correttamente.
Dopo che l'oggetto relazione di trust federativa è stato creato, nell'Interfaccia di amministrazione di Exchange verranno visualizzate le sezioni di gestione Condivisione organizzazione (Organization Sharing) e Condivisione individuale (Individual Sharing) nella scheda condivisione (sharing), come illustrato nella Figura 4. Poiché l'esistenza di una relazione di trust federativa è un requisito per la maggior parte delle funzionalità di condivisione federata, l'Interfaccia di amministrazione di Exchange avvia sempre il processo di configurazione abilitando e creando un oggetto relazione di trust federativa. Vi sono tuttavia ancora alcuni elementi di configurazione della relazione di trust federativa che devono essere completati prima del completamento di tale relazione. Se si desidera configurare una relazione di organizzazione prima di abilitare completamente la relazione di trust federativa, sarà necessario utilizzare Exchange Management Shell per completare il processo. Per abilitare tutte le funzionalità di condivisione federata nella propria organizzazione, è però consigliabile abilitare e configurare completamente la relazione di trust federativa prima di configurare una relazione di organizzazione e un criterio di condivisione.
Figura 3 Sezioni Condivisione organizzazione (Organization Sharing) e Condivisione individuale (Individual Sharing) nell'Interfaccia di amministrazione di Exchange
Configurazione della relazione di trust federativa
Nella sezione Trust federativo (Federation Trust) della scheda condivisione (sharing) fare clic sul pulsante Modifica (modify) per aprire la pagina Condivisione-Domini abilitati (Sharing-Enabled Domains), in cui si viene guidati attraverso i passaggi da eseguire per configurare i domini federati per la relazione di trust federativa.
Figura 4 Pagina Condivisione-Domini abilitati (Sharing-Enabled Domains)
Uno dei punti di forza dell'esperienza di gestione della condivisione federata dell'Interfaccia di amministrazione di Exchange è la facilità con cui è possibile identificare la sequenza corretta per ogni azione. Come è possibile vedere nella Figura 5, sono elencati due passaggi:
- Selezionare un dominio accettato (Select an accepted domain) Sarà innanzitutto necessario aggiungere un dominio accettato da utilizzare come dominio condiviso primario (Primary shared domain) per la relazione di trust federativa. La definizione "dominio condiviso primario" è nuova ed è stata introdotta nell'Interfaccia di amministrazione di Exchange per facilitare la comprensione della sequenza corretta per configurare la relazione di trust federativa. Il dominio condiviso primario è lo spazio dei nomi account univoco utilizzato come identificatore dell'organizzazione (OrgID) per la relazione di trust federativa e avrà la stringa predefinita FYDIBOHF25SPDLT aggiunta al dominio condiviso primario come spazio dei nomi account. Ad esempio, se si specifica il dominio accettato contoso.com come dominio condiviso primario per la relazione di trust federata, verrà creato automaticamente lo spazio dei nomi account (Federation trust account namespace) FYDIBOHF25SPDLT.contoso.com come OrgIDper la relazione di trust federativa nella propria organizzazione di Exchange.
- Aggiungere gli altri domini da abilitare per la condivisione (Add additional domains you want to enable for sharing) Utilizzare questa sezione per aggiungere ulteriori domini accettati come domini federati per la relazione di trust federativa.
Passaggio 1 (Step1): selezionare il dominio condiviso primario
Fare clic su Sfoglia (Browse) per selezionare un dominio accettato come dominio primario da abilitare per la condivisione. Questo in genere è il dominio SMTP primario per l'organizzazione. Sarà quindi necessario provare di essere proprietari di tale dominio aggiungendo un record TXT per il dominio condiviso primario nel proprio server DNS pubblico. L'Interfaccia di amministrazione di Exchange genera automaticamente una stringa di convalida per il record TXT dopo che è stato selezionato un dominio accettato per il dominio condiviso primario.
Figura 5 Stringa da utilizzare per creare un record TXT per provare di essere proprietari del dominio
Dopo che il record TXT è stato propagato nel sistema DNS pubblico, fare clic su Aggiorna (Update) per inviare a Microsoft Federation Gateway una richiesta per aggiungere tale dominio come dominio condiviso primario. Quando si fa clic su Aggiorna (Update), l'Interfaccia di amministrazione di Exchange utilizza il cmdlet Set-FederatedOrganizationIdentifier per creare lo spazio dei nomi account per la relazione di trust federativa. Di seguito è riportato il comando completo:
Set-FederatedOrganizationIdentifier –AccountNamespace <dominio condiviso primario selezionato>
Importante In Exchange 2013, come in Exchange 2010 SP2, non è necessario specificare un dominio che inizi con exchangedelegation come spazio dei nomi account. Come dominio condiviso primario è possibile utilizzare qualsiasi dominio accettato, senza doversi preoccupare dei dettagli sottostanti dello spazio dei nomi account.
Quando si apre di nuovo la pagina Condivisione-Domini abilitati (Sharing-Enabled Domains), si noterà che il dominio condiviso primario e lo spazio dei nomi account sono stati impostati correttamente.
Figura 6 Lo spazio dei nomi account e il dominio condiviso primario sono pronti
Passaggio 2 (Step 2): aggiungere altri domini da abilitare per la condivisione
Se necessario, il passaggio successivo consiste nell'aggiungere ulteriori domini alla relazione di trust federativa come domini federati. Se ci si occupa di una piccola azienda (e si utilizza solo un singolo dominio per gli indirizzi di posta elettronica degli utenti), potrebbe essere necessario abilitare la condivisione esclusivamente per il dominio condiviso primario. La situazione può tuttavia essere diversa per le aziende più grandi, in cui si potrebbe disporre di più segmenti nell'organizzazione e potrebbe essere necessario abilitare la condivisione per sottodomini diversi.
Se si ha necessità di aggiungere altri domini per la condivisione, fare clic sul pulsante + per aprire la pagina Selezione domini accettati (Select Accepted Domains) e selezionare uno o più domini con cui stabilire la federazione. Sarà quindi necessario provare di essere proprietari dei domini selezionati e aggiungere al sistema DNS pubblico un record TXT per ogni ulteriore dominio. Come nel passaggio 1 precedente, Exchange genera automaticamente le stringhe di convalida per i domini aggiuntivi e le visualizza nel riquadro destro, accanto all'elenco di tali domini.
Figura 7 Nell'Interfaccia di amministrazione di Exchange viene visualizzata la stringa da utilizzare per creare un record TXT per ogni ulteriore dominio federato
Dopo che il record TXT è stato propagato nel sistema DNS pubblico, fare clic su Aggiorna (Update) per inviare a Microsoft Federation Gateway la richiesta di aggiungere i domini come ulteriori domini federati. Quando si fa clic su Aggiorna (Update), l'Interfaccia di amministrazione di Exchange utilizza il cmdlet Add-FederatedDomain e i domini aggiuntivi per aggiornare la relazione di trust federativa. Di seguito è riportato il comando completo:
Add-FederatedDomain –DomainName <uno o più domini condivisi aggiuntivi>
In termini di condivisione delle informazioni sulla disponibilità e di condivisione del calendario o dei contatti, questi ulteriori domini si comporteranno esattamente come il dominio condiviso primario.
Quando si apre di nuovo la pagina Condivisione-Domini abilitati (Sharing-Enabled Domains), si noterà che questi ulteriori domini condivisi sono stati aggiunti correttamente alla relazione di trust federativa.
Figura 8 L'ulteriore dominio federato è stato aggiunto correttamente
La relazione di trust federativa è ora configurata. Se si desidera abilitare la condivisione delle informazioni sulla disponibilità del calendario e la condivisione di ulteriori calendari e contatti, sarà inoltre necessario configurare una relazione di organizzazione e un criterio di condivisione nella propria organizzazione.
Configurazione di una relazione di organizzazione per le organizzazioni locali o di Exchange Online
Creando e configurando una relazione di organizzazione, sarà possibile abilitare la condivisione delle informazioni sulla disponibilità a livello di organizzazione tra la propria organizzazione e un'altra organizzazione di Exchange federata. Gli utenti di entrambe le organizzazioni potranno visualizzare e condividere tra loro le informazioni sulla disponibilità del calendario in base alle impostazioni delle relazioni di organizzazione. Per creare e configurare una relazione di organizzazione, passare a organizzazione (organization) > condivisione (sharing) > Condivisione organizzazione (Organization Sharing) nell'area Organizzazione (Enterprise) o Office 365 dell'Interfaccia di amministrazione di Exchange.
Figura 9 Condivisione organizzazione (Organization Sharing) nella versione Organizzazione (Enterprise) dell'Interfaccia di amministrazione di Exchange
Per creare e configurare una relazione di organizzazione, fare clic sul pulsante + per aprire la pagina Nuova relazione organizzativa (new organization relationship) e immettere le impostazioni seguenti:
- Nome relazione (Relationship name) Nome descrittivo della relazione di organizzazione.
- Domini con cui condividere (Domains to share with) Domini per le organizzazioni di Exchange federate esterne con cui si desidera abilitare la condivisione nella propria organizzazione.
- Livello di condivisione delle informazioni sulla disponibilità del calendario Livello di condivisione delle informazioni sulla disponibilità del calendario relative ai propri utenti di cui si desidera consentire la visualizzazione agli utenti delle organizzazioni di Exchange esterne.
- Chi dovrebbe condividere le informazioni sulla disponibilità del calendario Utenti o gruppi della propria organizzazione che condivideranno le informazioni sulla disponibilità del calendario con le organizzazioni di Exchange esterne.
Figura 10 Creazione di una relazione di organizzazione
Se è necessario configurare altre impostazioni di una relazione di organizzazione, ad esempio l'abilitazione o la disabilitazione dei Suggerimenti messaggio o degli spostamenti delle cassette postali, utilizzare i cmdlet OrganizationRelationship nella Shell.
Configurazione di un criterio di condivisione per le organizzazioni locali o di Exchange Online
I criteri di condivisione consentono la condivisione tra utenti, stabilita dall'utente, sia delle informazioni del calendario sia delle informazioni dei contatti con tipi diversi di utenti esterni. Tali criteri vengono assegnati alle cassette postali degli utenti e consentono ai propri utenti di gestire autonomamente e di condividere le loro informazioni sulla disponibilità e sui contatti (incluse le cartelle Calendario e Contatti) con destinatari in altre organizzazioni federate esterne. Per i destinatari che non si trovano in un'organizzazione federata esterna o che si trovano in organizzazioni non di Exchange, i criteri di condivisione consentono inoltre la condivisione tra utenti delle informazioni del calendario con utenti anonimi mediante la pubblicazione dei calendari Internet.
Per creare e configurare criteri di condivisione, passare a organizzazione (organization) > condivisione (sharing) > Condivisione individuale (Individual Sharing) nell'area Organizzazione (Enterprise) o Office 365 dell'Interfaccia di amministrazione di Exchange.
Figura 11 Condivisione individuale (Individual Sharing) nella versione Organizzazione (Enterprise) dell'Interfaccia di amministrazione di Exchange
Per creare e configurare un criterio di condivisione, fare clic sul pulsante + per aprire la pagina Nuovi criteri di condivisione (new sharing policy). Sarà necessario definire le impostazioni seguenti:
- Nome criterio (Policy name) Nome descrittivo del criterio di condivisione.
- Definire le regole di condivisione per il criterio (Define sharing rules for this policy) Regole che si applicano al criterio di condivisione, inclusi i domini con cui condividere, il livello di condivisione delle informazioni del calendario e se si desidera condividere la cartella Contatti.
- Criterio di condivisione predefinito Se il criterio è il criterio di condivisione predefinito per la propria organizzazione.
Figura 12 Pagina Nuovi criteri di condivisione (new sharing policy) nell'Interfaccia di amministrazione di Exchange
Per creare e configurare una regola di condivisione per il criterio di condivisione, fare clic su + per aprire la pagina Regola di condivisione (sharing rule). Sarà necessario definire le impostazioni seguenti:
- Con chi condividere le informazioni del calendario e dei contatti
- Quali informazioni condividere
- Se condividere la cartella Contatti
Figura 13 Pagina Regola di condivisione (sharing rule) nell'Interfaccia di amministrazione di Exchange
Ogni regola definita nel criterio verrà mappata a una relazione di condivisione uno-a-uno. Un utente può avviare più relazioni di condivisione con diverse persone sotto il controllo del criterio di condivisione. Ad esempio, è possibile creare queste due regole in un criterio di condivisione:
- Condividere le informazioni sulla disponibilità del calendario con contoso.com
- Condividere le informazioni sulla disponibilità del calendario + oggetto + posizione + cartella Contatti con fabrikam.com
Se si assegna questo criterio di condivisione a un utente denominato Marco, questi potrà condividere le sue informazioni del calendario e dei contatti in modo diverso per le organizzazioni contoso.com e fabrikam.com.
Speriamo che siate entusiasti quanto noi della nuova esperienza di condivisione federata di Exchange 2013 e dell'Interfaccia di amministrazione di Exchange. Per informazioni più dettagliate, leggete la sezione relativa alla condivisione federata.
Elber Ren e Robert Mazzoli
Questo è un post di blog localizzato. L'articolo originale è disponibile in Managing Federated Sharing with the EAC.