Общие сведения о федеративном делегировании

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2016-11-28

Сотрудникам, работающим с данными, часто необходимо взаимодействовать с партнерами, клиентами, поставщиками или другими группами, находящимися за пределами организации Exchange. Для эффективного сотрудничества между организациями пользователям может потребоваться обмениваться сведениями о занятости (доступности в календаре) для планирования собраний. В зависимости от типа отношений пользователям может быть необходимо предоставлять доступ к более подробным сведениям календаря. Также может потребоваться обмен контактами с внешними получателями. В Microsoft Exchange Server 2010 эти задачи позволяет решить федеративное делегирование.

Необходимы сведения о задачах управления, связанных с федеративным делегированием? См. статью Управление федеративным общим доступом.

Содержание

Совместная работа до установки Exchange 2010 и федеративного делегирования

Федеративное делегирование

Требования к брандмауэру для федеративного делегирования

Сосуществование с Exchange 2007

Сосуществование с Exchange 2003

Установка организационной связи и политики общего доступа

Совместная работа до установки Exchange 2010 и федеративного делегирования

В более ранних версиях Exchange функции общего доступа были ограничены и требовали сложной настройки и обслуживания. Например, чтобы обмениваться сведениями о доступности с пользователями другой организации Exchange, необходимо было использовать средство репликации между организациями для репликации общих папок между организациями Exchange. В процессе репликации требовалось создать отношения доверия Служба каталогов Active Directory между организациями, а также управлять учетными данными учетной записи службы.

В организациях использовались различные средства, позволяющие отображать получателей в списках адресов Exchange, например средство GALSync, выполняющее синхронизацию получателей между двумя организациями. Настройка доверия, управление учетными данными и репликация на несколько внешних организаций представляли большую сложность и занимали много времени. При создании доверия для леса или домена Служба каталогов Active Directory или при управлении учетными данными было необходимо учитывать факторы безопасности. Требовалось также открывать дополнительные порты в брандмауэрах между двумя организациями или устанавливать виртуальную частную сеть (VPN).

Благодаря внедрению веб-служб Exchange, службы доступности и роли сервера клиентского доступа в Exchange Server 2007 репликация сведений о занятости из общих папок не требовалась. Тем не менее, для обеспечения доступа к сведениям о занятости во внешних организациях все еще требовалась репликация сведений о доверии, учетных данных и глобальных списков адресов.

При установке общего доступа к папкам "Календарь" и "Контакты" также было необходимо назначить пользователям в доверенных организациях разрешения на доступ к этим папкам. Для этого требовалось создать между двумя организациями доверие Служба каталогов Active Directory, принимая во внимание дополнительные факторы безопасности.

Дополнительные сведения см. в статье Инструкции по настройке службы доступности в топологии перекрестного леса.

Совместная работа до установки Exchange 2010 и федеративного делегирования

Федеративное делегирование

Федеративное делегирование в Exchange 2010 позволяет пользователям обмениваться данными с получателями во внешних федеративных организациях благодаря установке доверия федерации и созданию связей организации между организациями Exchange 2010. Организации также могут использовать политики общего доступа, чтобы пользователи могли создавать индивидуальные отношения общего доступа с получателями в других организациях. Федеративное делегирование использует шлюз Microsoft Federation Gateway — облачную службу, предоставляемую корпорацией Майкрософт — в качестве брокера доверия между двумя федеративными организациями. Чтобы включить федеративное делегирование, организации, которым необходим общий доступ к данным, должны установить единовременное доверие федерации со шлюзом Microsoft Federation Gateway и настроить друг с другом связь организации или политики общего доступа.

ВажноВажно!
При отключении идентификатора федеративной организации Exchange 2010 все функции федерации в вашей организации будут отключены.

Дополнительные сведения о шлюзе Microsoft Federation Gateway и доверии федерации см. в следующих разделах:

Федеративное делегирование предоставляет пользователям два способа обмена данными календаря и контактными данными с внешними получателями: организационные связи и политики общего доступа.

Организационные связи

Связи организации позволяют устанавливать федеративное делегирование с другой федеративной организацией для обмена данными календаря о доступности между пользователями в обеих организациях. Организационные связи — это двусторонние отношения между организациями. Вместо сложной настройки доверия леса или домена Служба каталогов Active Directory между двумя организациями (для которой также может потребоваться открытие нескольких портов в брандмауэрах в обеих организациях или установка виртуальной частной сети) необходимо только установить одно доверие федерации со шлюзом Microsoft Federation Gateway и настроить идентификатор для каждой федеративной организации перед настройкой связи организации друг с другом.

Требования для организационных связей

Ниже приведены требования для организационных связей.

  • В каждой организации Exchange 2010 существует сервер клиентского доступа Exchange.

  • Каждая организация Exchange создала доверие федерации со шлюзом Microsoft Federation Gateway.

  • Каждая организация Exchange настроила идентификатор федеративной организации. Домены, используемые для создания адресов электронной почты пользователей, добавлены в идентификаторы организаций.

  • В каждой из двух организаций существует организационная связь.

  • Серверы почтовых ящиков, на которых размещены почтовые ящики пользователей, могут получать доступ к серверам шлюза Microsoft Federation Gateway и CAS-серверам федеративных партнерских организаций.

ПримечаниеПримечание.
Пользователи Office Outlook 2007 не могут указывать SMTP-адреса внешних получателей для отображения сведений о доступности. Получателей необходимо выбирать в глобальном списке адресов, который требуется синхронизировать с внешней организацией. Пользователи Outlook 2007 с почтовыми ящиками на серверах почтовых ящиков Exchange 2007 с пакетом обновления 2 (SP2) могут использовать Office Outlook Web Access на сервере клиентского доступа Exchange 2007 с пакетом обновления 2 (SP2).

Создание организационных связей

После создания связи с внешней организацией ее пользователи смогут получить доступ к сведениям о доступности пользователей вашей организации. Репликация сведений глобального списка адресов не требуется. С помощью этой конфигурации пользователи Outlook 2010 и Office Outlook Web App могут просто вводить SMTP-адрес внешнего получателя при планировании собраний.

При создании организационной связи можно указать один из трех уровней доступа к сведениям о доступности календаря:

  • без доступа к сведениям о доступности;

  • доступ к сведениям о доступности только с указанием времени;

  • доступ к сведениям о доступности по времени, теме и местоположению.

Чтобы пользователи определенной организации могли получать сведения о доступности пользователей внешней организации или чтобы включить односторонний обмен сведениями об их доступности с внешней организацией, администратору внешней организации необходимо создать связь организации с этой организацией. Однако администратор внешней организации может указать другой уровень доступа к сведениям, отличный от указанного в вашей организации. В случае одностороннего обмена данными администратор внешней организации может настроить связь своей организации таким образом, что сведения о доступности пользователей не будут доступны пользователям вашей организации, а сведения о доступности пользователей вашей организации будут доступны пользователям внешней организации, в зависимости от параметров связи вашей организации.

ПримечаниеПримечание.
Чтобы запретить обмен данными о своей занятости с другими пользователями, пользователи могут изменить запись «Разрешение по умолчанию» в приложении Outlook. Для этого пользователям необходимо перейти на вкладку Свойства календаря > Разрешения, выбрать разрешение По умолчанию, а затем в списке Уровень разрешений выбрать значение Нет. Сведения о занятости не будут отображаться для внутренних и внешних пользователей даже при существовании организационной связи с внешней организацией. Организационная связь учитывает установленные пользователем разрешения.

При создании организационной связи Exchange 2010 подключается к веб-службе автообнаружения, опубликованной внешней организацией, чтобы получить конечную точку службы доступности. Можно также указать вручную конечную точку службы доступности внешней организации при создании связи.

Чтобы создать организационную связь с внешней организацией, можно использовать мастер создания организационной связи в консоли управления Exchange или командлет New-OrganizationRelationship в командной консоли Exchange.

Дополнительные сведения о создании организационной связи см. в разделе Создание организационного отношения.

Политики общего доступа

В отличие от организационных связей, с помощью которых можно обмениваться только сведениями о доступности с получателями в других федеративных организациях Exchange, политики общего доступа позволяют пользователям обмениваться данными календаря и контактными данными с пользователями различных внешних организаций на индивидуальном уровне. Политики общего доступа позволяют обмениваться сведениями о доступности и контактными данными (включая папки «Календарь» и «Контакты») с получателями в других внешних федеративных организациях. Получатели, находящиеся в нефедеративной внешней организации или не в организации Exchange, благодаря политикам общего доступа могут обмениваться данными календаря на индивидуальном уровне с анонимными пользователями путем публикации календаря в Интернете.

При использовании политик общего доступа администратору не требуется управлять отношениями взаимодействия пользователей. Вместо этого пользователи сами решают, с какими внешними получателями им необходимо взаимодействовать. С помощью Outlook 2010 или Outlook Web App пользователи могут пригласить внешних получателей в других федеративных доменах для общего доступа к папкам «Календарь» или «Контакты» друг друга. Пользователи также могут предоставлять анонимный доступ к своим данным календаря любому лицу, имеющему доступ к Интернету. При использовании политик общего доступа администратору необходимо только управлять объемом обмениваемых данных и типом пользователей, с которыми пользователи его организации могут обмениваться данными. При необходимости можно отключить политику общего доступа пользователя или группы.

Политики общего доступа назначаются пользователям почтовых ящиков. Политика общего доступа по умолчанию разрешает обмен сведениями о доступности со всеми внешними федеративными доменами. После создания доверия федерации со шлюзом Microsoft Federation Gateway и настройки идентификатора федеративной организации пользователи могут приглашать пользователей в любой внешней федеративной организации для обмена данными календаря и контактными данными.

ВажноВажно!
Чтобы участвовать в федеративном делегировании, организации внешнего пользователя также необходимо установить доверие федерации со шлюзом Microsoft Federation Gateway и настроить идентификатор федеративной организации.

Чтобы разрешить доступ к данным календаря пользователя получателям в организациях нефедеративного домена, например членам семьи, друзьям или пользователям не в организациях Exchange, необходимо создать отдельную политику общего доступа, разрешающую анонимный доступ к календарю с помощью службы публикации календаря в Интернете. Дополнительные сведения см. в разделе Включение публикации календаря в Интернете.

Политики общего доступа могут содержать пары имен доменов и действия общего доступа, разрешенные для пользователей в этих доменах. Можно указать следующие действия, применяемые к внешнему домену, указанному в политике общего доступа (как показано на следующем рисунке).

  • Общий доступ к календарю (только сведения о занятости)

  • Общий доступ к календарю (сведения о занятости, тема и местоположение)

  • Общий доступ к календарю (сведения о занятости, тема, местоположение и текст)

  • Общий доступ к контактам

  • Общий доступ к календарю (только сведения о занятости), общий доступ к контактам

  • Общий доступ к календарю (сведения о занятости, тема и местоположение), общий доступ к контактам

  • Общий доступ к календарю (сведения о занятости, тема, местоположение и текст), общий доступ к контактам

Действия общего доступа к календарю

При создании приглашения на общий доступ пользователи могут выбрать сведения, которыми необходимо обмениваться, если это действие разрешено в политике общего доступа пользователя. Например, для организации Fabrikam и других организаций в федеративном домене создается политика общего доступа со следующими параметрами.

  • Общий доступ к календарю (сведения о занятости, тема и местоположение) для внешних пользователей в домене Fabrikam.com.

  • Общий доступ к календарю (только сведения о доступности) для внешних пользователей во всех других организациях в федеративном домене (представленных символом «звездочка» [*]).

Пользователи, к которым применяется эта политика, могут обмениваться сведениями о доступности с другими организациями федеративного домена, а также некоторыми дополнительными сведениями с приглашенными пользователями Fabrikam.com.

Дополнительные сведения о создании политики общего доступа см. в разделе Создание политики общего доступа.

Дополнительные сведения о применении политики общего доступа к пользователям см. в разделе Применение политики общего доступа к почтовым ящикам.

Требования для политик федеративного общего доступа

Ниже приведены требования для политик общего доступа между организациями в федеративных доменах.

  • В каждой организации Exchange 2010 существует сервер клиентского доступа Exchange.

  • Каждая организация Exchange создала доверие федерации со шлюзом Microsoft Federation Gateway.

  • Каждая организация Exchange настроила идентификатор федеративной организации. Домены, используемые для создания адресов электронной почты пользователей, добавлены в идентификаторы организаций.

  • Почтовые ящики пользователей размещены на серверах почтовых ящиков Exchange 2010 в каждой организации Exchange.

  • Только пользователи Outlook 2010 и Outlook Web App могут создавать приглашения на общий доступ.

Требования для политик нефедеративного общего доступа

Ниже приведены требования для политик общего доступа между организациями в нефедеративных доменах или анонимного доступа на индивидуальном уровне.

  • В организации Exchange, в которой открыт общий доступ к данным календаря пользователей, существует сервер клиентского доступа Exchange 2010.

  • Почтовые ящики пользователей размещены на серверах почтовых ящиков Exchange 2010 в организации Exchange, в которой открыт общий доступ к данным календаря пользователей.

  • Для доступа Outlook Web App должен использоваться сервер клиентского доступа.

Сравнение организационных связей и политик общего доступа

Несмотря на то что связи организации и политики общего доступа позволяют обмениваться сведениями о доступности с внешними пользователями, они используются в различных сценариях. Связи организации создаются для взаимодействия с внешними федеративными организациями и позволяют обмениваться только сведениями о доступности. Политики общего доступа определяют тип данных календаря и контактных данных, которыми пользователи организации могут обмениваться с пользователями внешних федеративных организаций, нефедеративных организаций Exchange, организаций, отличных от Exchange, а также с анонимными пользователями.

В следующей таблице приведены различия между связями организации и политиками общего доступа.

Сравнение связей организации и политик общего доступа

Функция Организационная связь Политика общего доступа

Требует доверия федерации для вашей организации

Да

Да, при общем доступе с другими организациями в федеративном домене. Нет, при использовании политик общего доступа через Интернет.

Рекомендуется, чтобы внешний домен был федеративным

Да

Да, при общем доступе с другими организациями в федеративном домене. Нет, при использовании политик общего доступа через Интернет.

Разрешает обмен сведениями о доступности (включая тему и местоположение) с внешними организациями для определенных пользователей.

Да

Нет

Разрешает общий доступ к папкам календаря со сведениями о доступности

Нет

Да

Разрешает общий доступ к папкам календаря со сведениями о доступности, включая тему и текст

Нет

Да

Разрешает общий доступ к контактам

Нет

Да, при общем доступе с другими организациями в федеративном домене. Нет, при использовании политик общего доступа через Интернет.

Требует отправки пользователями приглашения на общий доступ внешним получателям

Нет

Да

Предоставляет способ доступа

Сервер клиентского доступа подключается к серверу клиентского доступа внешней организации и получает сведения о доступности внешнего пользователя по запросу.

Сервер клиентского доступа подключается к серверу клиентского доступа внешней организации и выполняет подписку на папки "Календарь" и "Контакты" пользователя внешней организации в федеративном домене. При использовании политик общего доступа через Интернет внешние пользователи получают доступ к ограниченному или общедоступному URL-адресу на сервере клиентского доступа.

Может применяться ко всем внешним доменам

Нет (двустороннее отношение между организациями Exchange 2010)

Да

Предоставляет пользователям различные способы общего доступа с внешними получателями

Нет

Да (на основе применяемой политики общего доступа)

Отключает общий доступ для некоторых пользователей

Да (необходимо указать группу безопасной рассылки для организационной связи)

Да (необходимо отключить применяемую политику общего доступа)

Требует, чтобы почтовый ящик располагался на сервере почтовых ящиков Exchange 2010

Нет

Да

Совместная работа до установки Exchange 2010 и федеративного делегирования

Требования к брандмауэру для федеративного делегирования

Чтобы использовать функции федеративного делегирования, необходимо настроить для серверов почтовых ящиков и клиентского доступа в организации исходящий доступ к Интернету по протоколу HTTPS. Необходимо разрешить исходящий доступ по протоколу HTTPS (порт 443 для TCP) для всех серверов почтовых ящиков и клиентского доступа Exchange 2010 в организации.

Чтобы разрешить внешней организации получать доступ к сведениям о доступности пользователей вашей организации, необходимо опубликовать один сервер клиентского доступа в Интернете. Для этого требуется настройка для сервера клиентского доступа исходящего доступа в Интернет с помощью протокола HTTPS. Серверы клиентского доступа на сайтах Служба каталогов Active Directory, на которых не опубликован сервер клиентского доступа в Интернете, могут использовать серверы клиентского доступа на других сайтах Служба каталогов Active Directory, которые доступны в Интернете. Серверы клиентского доступа, которые не опубликованы в Интернете, должны иметь внешний URL-адрес виртуального каталога веб-служб, настроенного с помощью URL-адреса, отображаемого для внешних организаций.

Совместная работа до установки Exchange 2010 и федеративного делегирования

Сосуществование с Exchange 2007

В организации, включающей в себя серверы Exchange 2010 и Exchange 2007, пользователи, имеющие почтовые ящики на сервере почтовых ящиков Exchange 2007, могут использовать связи организации для обмена сведениями о доступности с получателями внешних организаций в федеративном домене. На сервере почтовых ящиков должна быть установлена система Exchange 2007 с пакетом обновления 2 (SP2), а также требуется существование по меньшей мере одного сервера клиентского доступа Exchange 2010 в организации Exchange. Чтобы использовать связи организации, можно развернуть один сервер клиентского доступа Exchange 2010 в организации. Такое решение будет более отказоустойчивым по сравнению с решениями, требующими синхронизации сведений о доступности и глобальных списков адресов.

При использовании Outlook 2010 или Outlook Web App для планирования собрания на сервере Exchange 2007 пользователь почтового ящика на сервере Exchange 2007 может просматривать сведения о доступности пользователя внешней организации. Сведения о доступности для почтовых ящиков Exchange 2007 отображаются для получателей во внешней организации.

Политики общего доступа назначаются пользователям почтовых ящиков Exchange 2010. Политики общего доступа можно использовать только для почтового ящика, размещенного на сервере почтовых ящиков Exchange 2010. Только пользователи Outlook 2010 и Outlook Web App могут создавать и принимать приглашения на общий доступ.

Совместная работа до установки Exchange 2010 и федеративного делегирования

Сосуществование с Exchange 2003

В организации, включающей в себя серверы Exchange 2010 и Exchange 2003, пользователи, имеющие почтовые ящики на сервере Exchange 2003, могут использовать связи организации для обмена сведениями о доступности с получателями внешних организаций в федеративном домене. На сервере почтовых ящиков должна быть установлена система Exchange Server 2003 с пакетом обновления 2 (SP2), а также требуется существование по меньшей мере одного сервера клиентского доступа и сервера общих папок Exchange 2010 в организации Exchange 2003. Сервер клиентского доступа выступает в роли прокси-сервера для всех входящих и исходящих запросов на сведения о доступности и используется для настройки свойств связей организации. Сервер общих папок содержит и управляет репликами данных общих папок Exchange 2003 для доступа к сведениям о доступности другими федеративными организациями Exchange 2010.

Внутренние и внешние пользователи почтовых ящиков Exchange могут просматривать сведения о доступности в организации Exchange 2003 с помощью приложений Outlook 2003, Outlook 2007, Outlook 2010 или Outlook Web App. Политики общего доступа назначаются только пользователям почтовых ящиков Exchange 2010. Для использования политик общего доступа почтовые ящики должны размещаться на сервере почтовых ящиков Exchange 2010. К почтовым ящикам, размещенным на серверах Exchange 2003, политики общего доступа применить невозможно.

Совместная работа до установки Exchange 2010 и федеративного делегирования

Установка организационной связи и политики общего доступа

В этом примере пользователь является администратором компании Contoso, Ltd. Эта организация заключила соглашение с компанией Fabrikam, Inc. по разработке совместно выпускаемого и реализуемого продукта. В целях сотрудничества этих организаций пользователи в отделах маркетинга и разработки обеих компаний должны обмениваться сведениями о доступности. Такое сотрудничество не должно доставлять затруднения пользователям.

Компания Contoso также сотрудничает с компанией Litware, Inc. В этом сотрудничестве принимает участие только ограниченная небольшая группа пользователей. Пользователям обеих организаций требуется установить между собой организационные связи. Необходимо разрешить общий доступ к сведениям о доступности и контактным данным. Необходимо запретить общий доступ к другим сведениям календаря.

Кроме того, пользователям Contoso необходимо обмениваться данными календаря с членами семей для координации другой деятельности, которой они управляют в приложении Outlook.

Для получения общего доступа не требуется:

  • создавать доверие леса или домена Служба каталогов Active Directory;

  • обмениваться учетными данными между организациями или отдельными пользователями;

  • устанавливать виртуальную частную сеть между организациями или отдельными пользователями.

В этом сценарии выполните следующие шаги.

  1. Чтобы настроить федеративное делегирование с компаниями Fabrikam и Litware, необходимо создать доверие федерации со шлюзом Microsoft Federation Gateway (если оно не создано). Для обмена данными с членами семей пользователей Contoso создавать доверие федерации не требуется. Эту процедуру необходимо выполнить однократно, чтобы использовать функции федерации Exchange 2010. Чтобы выполнить эту процедуру, необходимо использовать сертификат X.509, выданный центром сертификации, которому доверяет шлюз Microsoft Federation Gateway. Дополнительные сведения см. в разделе Создание доверия федерации.

  2. Настройте идентификатор федеративной организации (если он не настроен). Чтобы выполнить эту процедуру, необходимо добавить обслуживаемые домены организации, для которых необходимо включить функции федерации, в идентификатор организации. Эту процедуру необходимо выполнить однократно, чтобы использовать функции федерации Exchange 2010. Дополнительные сведения см. в разделе Управление федерацией.

  3. Создайте организационную связь с компанией Fabrikam, Inc. Дополнительные сведения см. в разделе Создание организационного отношения. Выполните указанные ниже действия.

    • Чтобы проверить, установлена ли федерация в компании Fabrikam, используйте командлет Get-FederationInformation.

    • Выберите группу рассылки, включающую в себя участников из отделов маркетинга и разработки. Сведения о доступности этих пользователей будут отображаться для пользователей компании Fabrikam.

  4. Чтобы разрешить пользователям обеих организаций просматривать сведения о доступности, администратору компании Fabrikam, Inc. необходимо также создать организационную связь с организацией Contoso.

  5. Создайте политику общего доступа для пользователей, которым необходимо взаимодействовать с пользователями домена Litware.com. Дополнительные сведения см. в разделе Создание политики общего доступа. Создайте политику общего доступа со следующими спецификациями.

    • Чтобы проверить, установлена ли федерация в компании Litware, используйте командлет Get-FederationInformation.

    • Добавьте домен Litware.com в политику общего доступа.

    • Выберите для политики действие Общий доступ к календарю (только сведения о занятости), общий доступ к контактам.

    • Назначьте эту политику пользователям в организации Contoso, которым необходимо взаимодействовать с пользователями компании Litware. Дополнительные сведения см. в разделе Применение политики общего доступа к почтовым ящикам.

  6. Создайте политику анонимного общего доступа для пользователей Contoso, которым необходимо взаимодействовать с членами своих семей. Дополнительные сведения см. в разделе Создание политики общего доступа. Создайте политику общего доступа со следующими спецификациями.

    • Установите виртуальный каталог публикации на сервере клиентского доступа. Дополнительные сведения см. в разделе Set-OwaVirtualDirectory.

    • Настройте URL-адрес веб-прокси для сервера почтовых ящиков. Для этого используйте командлет set-ExchangeServer с параметром InternetWebProxy.

    • Включите виртуальный каталог сервера клиентского доступа для анонимной публикации.

После создания связи организации с компанией Fabrikam, Inc. и политики общего доступа для пользователей компаний Litware, Inc. и Contoso будут доступны следующие функции.

  • Все пользователи смогут просматривать сведения о доступности пользователей отделов маркетинга и разработки компании Fabrikam.

  • Пользователи компании Contoso, к которым применена новая политика общего доступа, смогут отправлять индивидуальные приглашения на общий доступ пользователям компании Litware, Inc.

  • Пользователи Contoso могут приглашать друзей и членов семьи к просмотру данных календаря и предоставлять им ссылку на опубликованный календарь. Членам семьи не требуются специальные учетные данные для доступа к сведениям.

Совместная работа до установки Exchange 2010 и федеративного делегирования

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.