Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Exchange Server 2013
Pessoas que trabalham com informações frequentemente precisam colaborar com destinatários externos, fornecedores, parceiros e clientes e compartilhar suas informações de disponibilidade (o que também é conhecido como disponibilidade de calendário). A federação no Microsoft Exchange Server 2013 ajuda nesses esforços de colaboração. Federação se refere à infraestrutura de confiança subjacente que oferece suporte ao compartilhamento federado, um método fácil para os usuários compartilharem informações de calendário com destinatários de organizações federadas externas. Para saber mais sobre compartilhamento federado, consulte Compartilhamento.
Importante
Esse recurso do Exchange Server 2013 não é totalmente compatível com o Office 365 operado pelo 21Vianet na China e pode haver algumas limitações de recurso. Para obter mais informações, veja Office 365 Operado pela 21Vianet.
Terminologia principal
A lista seguinte define os componentes principais associados à federação no Exchange 2013.
identificador de aplicação (AppID): um número exclusivo gerado pelo sistema de autenticação Microsoft Entra para identificar as organizações do Exchange. O AppID é gerado automaticamente quando cria uma confiança de federação com o sistema de autenticação Microsoft Entra.
token de delegação: um token SAML (Security Assertion Markup Language) emitido pelo sistema de autenticação Microsoft Entra que permite que os utilizadores de uma organização federada sejam considerados fidedignos por outra organização federada. Um token de delegação contém o endereço de email do usuário, um identificador imutável e informações associadas à oferta para a qual o token foi emitido para ação.
organização federada externa: uma organização externa do Exchange que estabeleceu uma confiança de federação com o sistema de autenticação Microsoft Entra.
partilha federada: um grupo de funcionalidades do Exchange que tiram partido de uma confiança de federação com o sistema de autenticação Microsoft Entra para trabalhar entre organizações do Exchange, incluindo implementações do Exchange em vários locais. Juntos, esses recursos são usados para fazer solicitações autenticadas entre servidores em nome de usuários em várias organizações do Exchange.
domínio federado: um domínio autoritativo aceite que é adicionado ao identificador da organização (OrgID) de uma organização do Exchange.
cadeia de encriptação de prova de domínio: uma cadeia criptograficamente segura utilizada por uma organização do Exchange para fornecer provas de que a organização é proprietária do domínio utilizado com o sistema de autenticação Microsoft Entra. A cadeia de caracteres é gerada automaticamente ao se usar o assistente Habilitar a confiança de federação ou pode ser gerado usando-se o cmdlet Get-FederatedDomainProof.
política de partilha federada: uma política ao nível da organização que permite e controla a partilha de informações de calendário de pessoa para pessoa estabelecida pelo utilizador.
federação: um contrato baseado em confiança entre duas organizações do Exchange para alcançar um objetivo comum. Com a federação, as duas organizações querem que asserções de autenticação de uma sejam reconhecidas pela outra.
confiança de federação: uma relação com o sistema de autenticação Microsoft Entra que define os seguintes componentes para a sua organização do Exchange:
Namespace de conta
Identificador de aplicativo (AppID)
Identificador de organização (OrgID)
Domínios federados
Para configurar a partilha federada com outras organizações federadas do Exchange, tem de ser estabelecida uma confiança de federação com o sistema de autenticação Microsoft Entra.
organização não federada: organizações que não têm uma confiança de federação estabelecida com o sistema de autenticação Microsoft Entra.
identificador da organização (OrgID): define quais dos domínios aceites autoritativos configurados numa organização estão ativados para federação. Apenas os destinatários com endereços de e-mail com domínios federados configurados no OrgID são reconhecidos pelo sistema de autenticação Microsoft Entra e podem utilizar funcionalidades de partilha federadas. Esse OrgID é uma combinação de uma cadeia de caracteres predefinida e o primeiro domínio aceito selecionado para federação no assistente Habilitar confiança de federação. Por exemplo, se você especificar o domínio federado contoso.com como domínio SMTP primário de sua organização, o namespace de conta FYDIBOHF25SPDLT.contoso.com será criado automaticamente como o OrgID da confiança de federação.
relação da organização: uma relação um-para-um entre duas organizações federadas do Exchange que permite que os destinatários partilhem informações de disponibilidade (disponibilidade do calendário). Uma relação de organização requer uma confiança de federação com o sistema de autenticação Microsoft Entra e substitui a necessidade de utilizar a floresta do Active Directory ou as confianças de domínio entre organizações do Exchange.
Microsoft Entra sistema de autenticação: um serviço de identidade gratuito baseado na cloud que atua como o mediador de confiança entre organizações federadas do Microsoft Exchange. Ele é o responsável por emitir tokens de delegação a destinatários do Exchange quando eles solicitam informações de destinatários em outras organizações federadas do Exchange. Para saber mais, confira Microsoft Entra ID.
Microsoft Entra sistema de autenticação
O sistema de autenticação Microsoft Entra, um serviço gratuito baseado na nuvem oferecido pela Microsoft, atua como o mediador de confiança entre a sua organização do Exchange 2013 no local e outras organizações federadas do Exchange 2010 e Exchange 2013. Se quiser configurar a federação na sua organização do Exchange, tem de estabelecer uma fidedignidade de federação única com o sistema de autenticação Microsoft Entra, para que possa tornar-se um parceiro de federação com a sua organização. Com esta confiança implementada, os utilizadores autenticados pelo Active Directory (conhecidos como fornecedores de identidade) recebem tokens de delegação saml (Security Assertion Markup Language) pelo sistema de autenticação Microsoft Entra. Os tokens de delegação permitem que os usuários de uma organização federada do Exchange sejam considerados confiáveis por outra organização federada do Exchange. Com o sistema de autenticação Microsoft Entra a funcionar como mediador de confiança, as organizações não são obrigadas a estabelecer múltiplas relações de confiança individuais com outras organizações e os utilizadores podem aceder a recursos externos através de uma experiência de início de sessão único (SSO). Para obter mais informações, veja Microsoft Entra ID.
Confiança de federação
Para utilizar as funcionalidades de partilha federada do Exchange 2013, tem de estabelecer uma confiança de federação entre a sua organização do Exchange 2013 e o sistema de autenticação Microsoft Entra. Estabelecer uma confiança de federação com o sistema de autenticação Microsoft Entra troca o certificado de segurança digital da sua organização com o sistema de autenticação Microsoft Entra e obtém os metadados de federação e certificados de sistema de autenticação Microsoft Entra. Pode estabelecer uma confiança de federação com o assistente Ativar fidedignidade de federação no Centro de administração do Exchange (EAC) ou o cmdlet New-FederationTrust na Shell de Gestão do Exchange. Um certificado autoassinado é criado automaticamente pelo assistente Ativar confiança de federação e é utilizado para assinar e encriptar tokens de delegação do sistema de autenticação Microsoft Entra que permite que os utilizadores sejam considerados fidedignos por organizações federadas externas. Para obter detalhes sobre os requisitos de certificado, veja Requisitos de Certificado para Federação mais adiante neste tópico.
Quando cria uma confiança de federação com o sistema de autenticação Microsoft Entra, é automaticamente gerado um identificador de aplicação (AppID) para a sua organização do Exchange e fornecido na saída do cmdlet Get-FederationTrust. O AppID é utilizado pelo sistema de autenticação Microsoft Entra para identificar exclusivamente a sua organização do Exchange. Também é utilizado pela organização do Exchange para fornecer provas de que a sua organização é proprietária do domínio para utilização com o sistema de autenticação Microsoft Entra. Isso é feito com a criação de um registro de texto (TXT) na zona Sistema de Nomes de Domínios (DNS) de cada domínio federado.
Identificador de organização federada
O identificador de organização federada (OrgID) define qual dos domínios autoritativos aceitos configurados em sua organização estão habilitados para federação. Apenas os destinatários com endereços de e-mail com domínios aceites configurados no OrgID são reconhecidos pelo sistema de autenticação Microsoft Entra e podem utilizar funcionalidades de partilha federada. Quando cria uma nova confiança de federação, é criado automaticamente um OrgID com o sistema de autenticação Microsoft Entra. Esse OrgID é uma combinação de uma cadeia de caracteres predefinida e o domínio aceito selecionado como o domínio compartilhado principal no assistente. Por exemplo, no assistente Editar Domínios Habilitados para Compartilhamento, se você especificar o domínio federado contoso.com como domínio compartilhado principal de sua organização, o namespace de conta FYDIBOHF25SPDLT.contoso.com será criado automaticamente como o OrgID da confiança de federação para suas organização do Exchange.
Apesar de, normalmente, ser o domínio SMTP principal da organização do Exchange, esse domínio não precisa ser um domínio aceito em sua organização do Exchange e não exige um registro TXT de prova de propriedade de Sistema de Nomes de Domínio (DNS). O único requisito é de que os domínios aceitos selecionados para federação limitem-se a um máximo de 32 caracteres. O único objetivo deste subdomínio é servir como espaço de nomes federado para o sistema de autenticação Microsoft Entra para manter identificadores exclusivos para destinatários que pedem tokens de delegação SAML. Para obter mais informações sobre tokens SAML, consulte Tokens e Declarações SAML
Você pode adicionar ou remover os domínios aceitos da confiança de federação, a qualquer momento. Para habilitar ou desabilitar todos os recursos de compartilhamento de federação da sua organização, tudo o que você tem a fazer é habilitar ou desabilitar o OrgID da confiança de federação.
Importante
Se você alterar o OrgID, os domínios aceitos ou o AppID usado para confiança de federação, todos os recursos de compartilhamento de federação serão afetados em sua organização. Isso também afeta as organizações do Exchange federadas externas, incluindo o Exchange Online e configurações de implantação híbrida. Recomendamos notificar todos os parceiros federados externos sobre todas as alterações efetuadas nessas configurações de confiança de federação.
Exemplo de federação
Duas organizações do Exchange, Contoso, Ltd. e Fabrikam, Inc., querem que os seus utilizadores possam partilhar informações de disponibilidade do calendário entre si. Cada organização cria uma confiança de federação com o sistema de autenticação Microsoft Entra e configura o respetivo espaço de nomes de conta para incluir o domínio utilizado para o domínio de endereço de e-mail do respetivo utilizador.
Os funcionários da Contoso usam um dos seguintes domínios de endereço de email: contoso.com, contoso.co.uk ou contoso.ca. Os funcionários da Fabrikam usam um dos seguintes domínios de endereço de email: fabrikam.com, fabrikam.org ou fabrikam.net. Ambas as organizações garantem que todos os domínios de e-mail aceites estão incluídos no espaço de nomes da conta para a confiança de federação com o sistema de autenticação Microsoft Entra. Em vez de solicitar uma configuração complexa de confiança de floresta ou domínio do Active Directory entre as duas organizações, essas duas organizações configuram um relacionamento de organização entre elas para habilitar o compartilhamento de informações de disponibilidade de calendário.
A seguinte figura mostra a configuração de federação entre Contoso, Ltd. e Fabrikam, Inc.
Exemplo de compartilhamento federado
.gif "Confianças de Federação e Partilha Federada")
Requisitos de certificado para federação
Para estabelecer uma confiança de federação com o sistema de autenticação Microsoft Entra, um certificado autoassinado ou um certificado X.509 assinado por uma autoridade de certificação (AC) tem de ser criado e instalado no servidor do Exchange 2013 utilizado para criar a fidedignidade. Recomendamos usar um certificado autoassinado, que pode ser criado e instalado automaticamente com o uso do assistente Habilitar confiança de federação no EAC. Esse certificado é usado apenas para assinar e criptografar tokens de delegação usados para compartilhamento federado, e somente um certificado é exigido para a confiança de federação. O Exchange 2013 distribui o certificado automaticamente a outros servidores do Exchange 2013 na organização.
Se quiser usar um certificado X.509 assinado por um CA externo, o certificado deverá atender aos seguintes requisitos:
AC fidedigna: se possível, o certificado SSL (Secure Sockets Layer) X.509 deve ser emitido a partir de uma AC fidedigna pelo Windows Live. No entanto, você pode usar certificados emitidos pelos CAs que atualmente não estejam certificados pela Microsoft. Para uma lista atual de CAs de confiança, consulte Autoridades de certificação raiz confiáveis para confianças de federação.
Identificador da chave do requerente: o certificado tem de ter um campo de identificador de chave de assunto. A maioria doa certificados X.509 emitidos por CAs comerciais tem esse identificador.
Fornecedor de serviços criptográficos (CSP) CryptoAPI: o certificado tem de utilizar um CSP CryptoAPI. Certificados que usam Cryptography API: os provedores de Próxima Geração (CNG) não são suportados para federação. Se usar o Exchange para criar uma solicitação de certificado, um provedor CryptoAPI será usado. Para obter mais informações, consulte Cryptography API: Next Generation.
Algoritmo de assinatura RSA: o certificado tem de utilizar RSA como algoritmo de assinatura.
Chave privada exportável: a chave privada utilizada para gerar o certificado tem de ser exportável. Você pode especificar que a chave privada seja exportável, quando você criar a solicitação de certificado usando o assistente Novo certificado do Exchange no EAC ou no cmdlet New-ExchangeCertificate no Shell.
Certificado atual: o certificado tem de estar atualizado. Não é possível usar um certificado expirado ou revogado para criar uma confiança de federação.
Utilização avançada da chave: o certificado tem de incluir o tipo de Autenticação de Cliente (1.3.3.6.1.5.5.7.3.2). Esse tipo de uso é feito para provar sua identidade a um computador remoto. Se você usar o EAC ou o Shell para gerar uma solicitação de certificado, esse tipo de uso será incluído por padrão.
Observação
Como o certificado não é usado para autenticação, ele não tem nenhum requisito de nome do requerente ou nome alternativo do requerente. Você pode usar um certificado com um nome de assunto que é o mesmo do nome de host, do nome de domínio ou de qualquer outro nome.
Fazer a transição para um novo certificado
O certificado usado para criar a confiança de federação é designado como o certificado atual. Entretanto, pode ser preciso instalar e usar um novo certificado para a confiança de federação periodicamente. Por exemplo, poderá haver a necessidade de usar um novo certificado se o certificado atual expirar ou para atender a um novo requisito comercial ou de segurança. Para garantir uma transição perfeita para um novo certificado, você precisa instalar o novo certificado no seu servidor Exchange 2013 e configurar a confiança de federação para designá-la como o próximo certificado. O Exchange 2013 automaticamente distribui o novo certificado a outros servidores Exchange 2013 na organização. Dependendo de sua topologia do Active Directory, a distribuição do certificado pode levar algum tempo. Você pode verificar o status do certificado, usando o cmdlet Test-FederationTrustCertificate no Shell.
Após verificar o status de distribuição do certificado, você pode configurar a confiança para usar o novo certificado. Após a troca de certificados, o certificado atual é designado como o certificado anterior, e o novo certificado é designado como o certificado atual. O novo certificado é publicado no sistema de autenticação Microsoft Entra e todos os novos tokens trocados com o sistema de autenticação Microsoft Entra são encriptados com o novo certificado.
Observação
Esse processo de transição de certificado é usado apenas pela federação. Se você usar o mesmo certificado para outros recursos do Exchange 2013 que exijam certificados, será preciso levar os requisitos de recursos em consideração ao planejar a aquisição, a instalação ou a transição para um novo certificado.
Considerações de firewall para Federação
Os recursos de Federação exigem que os servidores de Caixa de Correio e Acesso para Cliente na sua organização tenham acesso de saída para a Internet via HTTPS. Você deve permitir o acesso HTTPS de saída (porta 443 para TCP) para todos os servidores de Caixa de Correio e Acesso para Cliente do Exchange 2013 na organização.
Para uma organização externa acessar as informações de disponibilidade da sua organização, é preciso publicar um servidor de Acesso para Cliente na Internet. Isso requer acesso HTTPS de entrada da Internet para o servidor de Acesso para Cliente. Os servidores de Acesso para Cliente nos sites do Active Directory que não tenham um servidor de Acesso para Cliente publicado na Internet podem usar os servidores de Acesso para Cliente em outros sites do Active Directory que possam ser acessados da Internet. Os servidores de Acesso para Cliente que não são publicados na Internet devem ter a URL externa do diretório virtual de serviços da Web definida com a URL que é visível para organizações externas.