Управляемый федеративный общий доступ с помощью Центра управления Exchange

Исходная статья опубликована в среду, 31 октября 2012 г.

Одно из самых больших преимуществ, предоставляемых Exchange Server 2013, заключается в том, что он позволяет предоставлять общий доступ к личным сведениям для различных людей в различных организациях. Электронная почта сама по себе является хорошим примером общего доступа, так как она позволяет людям легко обмениваться мыслями, изображениями и вложениями. Однако с помощью федеративного общего доступа в Exchange 2013 можно обмениваться гораздо большим, чем просто электронная почта. Федеративный общий доступ позволяет пользователям обмениваться сведениями о доступности из календаря и дополнительными сведениями календаря и контактов с людьми, расположенными в разных организациях Exchange.

В данном сообщении описываются базовые шаги по использованию Центра администрирования Exchange (EAC) для установки и настройки федеративного общего доступа для локальных организаций Exchange 2013 или организаций Exchange Online Office 365. Чтобы узнать подробнее о федеративном общем доступе, см. статью Обзор федеративного общего доступа.

Хотя введение Центра администрирования Exchange в Exchange 2013 существенно изменило работу по административному управлению, базовый процесс настройки федеративного общего доступа не сильно изменился после версии Exchange 2010. Для тех из вас, кто уже знаком с порядком настройки федерального общего доступа в Exchange 2010, приводим краткий обзор общих шагов настройки в Exchange 2013:

1. Настройка доверия федерации. Для локальной организации Exchange 2013 необходимо настроить доверие федерации с помощью Microsoft Federation Gateway (MFG). Microsoft Federation Gateway, бесплатная облачная служба, предлагаемая Майкрософт, действует как посредник доверия между локальной организацией Exchange 2013 и другими федеративными организациями Exchange 2010 и Exchange 2013. Чтобы узнать подробнее о доверии федерации, см. статью Общие сведения о федерации.

   Если вы настраиваете федеративный общий доступ только для организации Exchange Online в составе клиента Office 365, то настраивать доверие федерации не требуется. Доверие федерации с использованием шлюзов Microsoft Federation Gateway автоматически настраивается, когда вы подписываетесь на службу Office 365, и в него автоматически добавляются все пользовательские домены, добавляемые в клиент Office 365.

2. Настройка связи организации. Связи организаций позволяют организациям обмениваться сведениями календаря о доступности между пользователями в различных организациях Exchange. Связи организаций являются связями "один к одному" между двумя организациями Exchange, а не связями между отдельными пользователями в организациях Exchange. Чтобы узнать подробнее о связях организаций, см. статью Обзор федеративного общего доступа.

3. Настройка политики общего доступа. Политика общего доступа позволяет осуществлять пользовательский общий доступ к сведениям календаря и контактов для различных типов внешних пользователей. Чтобы узнать подробнее о политиках общего доступа, см. статью Обзор федеративного общего доступа.

Федеративный общий доступ — сравнение консоли управления Exchange и Центра управления Exchange

Если вы управляли федеративным общим доступом для организации Exchange 2010, то вы, вероятно, хорошо знакомы с консолью управления Exchange (EMC). В консоли управления Exchange использовался узел Конфигурация организации для создания и управления доверием федерации и связями организации для вашей локальной организации Exchange. Ниже на рис. 1 показано, что каждая область имеет свой вложенный узел в узле "Конфигурация организации", позволяющий вызывать мастер настройки и изменять параметры конфигурации. Для настройки политик общего доступа администраторы могли переходить во вложенный узел Почтовый ящик и использовать вкладку Политики общего доступа (в итоговой области) и мастер Создание политики общего доступа (в области действий).

Интерфейс управления для федеративного общего доступа в консоли управления Exchange хотя и являлся эффективным и простым, не давал интуитивного понимания последовательности, в которой необходимо выполнять базовые действия по настройке федеративного общего доступа, что увеличивало вероятность неправильной настройки.

Рис. 1. Управление доверием федерации и связями организации в консоли управления Exchange

В Exchange 2013 Центр администрирования Exchange предоставляет более функциональный и централизованный метод настройки федеративного общего доступа и управления им. В Центре администрирования Exchange элементы управления доверием федерации (только для локальных организаций), связи организации и политики общего доступа для локальных организаций и организаций Exchange Online сгруппированы вместе на вкладке Sharing (общий доступ) в области компонентов Organization (организация). Центр администрирования Exchange также направляет вас в процессе настройки федеративного общего доступа, явно запрашивая включение и настройку доверия федерации с использованием Microsoft Federation Gateway, когда вы первый раз обращаетесь к вкладке Sharing (общий доступ) (см. рис. 2).

Рис. 2. Точка входа в федеративный общий доступ Центра администрирования Exchange

Создание и настройка доверия федерации для локальной организации Exchange

Создание доверия федерации

Как показано на рис. 2, первым шагом при включении федеративного общего доступа в локальной организации Exchange является создание доверия федерации. Когда вы нажимаете кнопку "Включить", Центр администрирования Exchange создает объект доверия федерации и направляет вас в процессе настройки доверия федерации.

Важно! Создание и настройка доверия федерации пропускается, когда производится настройка федеративного общего доступа только для организаций Exchange Online. Доверие федерации с использованием шлюзов Microsoft Federation Gateway автоматически настраивается, когда вы подписываетесь на службу Office 365, и оно автоматически обновляется для всех настраиваемых доменов, добавляемых в клиент Office 365.

После нажатия кнопки Enable (включить) Центр администрирования Exchange выполняет следующее:

• Создает самозаверяющий сертификат для доверия федерации.
• Использует командлет New-FederationTrust для создания доверия федерации с применением этого самозаверяющего сертификата.

После нажатия кнопкиEnable (включить) отобразится панель хода выполнения, показывающая состояние процесса создания доверия федерации. После завершения окно подтверждения сообщит, что доверие федерации успешно включено.

После создания объекта доверия федерации Центр администрирования Exchange отобразит разделы управления Organization Sharing (общий доступ организации) и Individual Sharing (индивидуальный общий доступ) на вкладке Sharing (общий доступ), как показано на рис. 4. Так как доверие федерации является требованием для большинства функций федеративного общего доступа, Центр администрирования Exchange всегда начинает процесс настройки с включения и создания объекта доверия федерации. Однако по-прежнему имеются некоторые элементы конфигурации доверия федерации, которые должны быть выполнены до завершения настройки доверия федерации. Если вам требуется настроить связь организации до полного включения доверия федерации, необходимо использовать командную консоль Exchange для завершения процесса. Но для включения всех функций федеративного общего доступа в организации мы настоятельно рекомендуем сначала полностью включить и настроить доверие федерации, а затем настраивать связь организации и политику общего доступа.

Рис. 3. Разделы Organization Sharing (общий доступ организации) и Individual Sharing (индивидуальный общий доступ) в Центре администрирования Exchange

Настройка доверия федерации

В разделе Federation Trust (доверие федерации) вкладки Sharing (общий доступ) нажмите кнопку "Изменить", чтобы открыть страницу Домены с поддержкой общего доступа, которая направит вас в процессе настройки доменов федерации для доверия федерации.

Рис. 4. Страница доменов с поддержкой общего доступа

Одно из существенных усовершенствований, предоставляемых интерфейсом управления федеративным общим доступом в Центре администрирования Exchange, заключается в том, что он помогает определить правильную последовательность каждого действия. Как можно видеть на рис. 5, имеется два шага настройки:

1. Выбор обслуживаемого домена. Сначала необходимо будет добавить обслуживаемый домен для использования в качестве основного общего домена для доверия федерации. Термин "основной общий домен" является новым и был введен в Центр администрирования Exchange для лучшего понимания правильной последовательности настройки доверия федерации. Основной общий домен является уникальным пространством имен учетных записей, используемым в качестве идентификатора организации (OrgID) для доверия федерации, и к нему будет добавлена предварительно заданная строка FYDIBOHF25SPDLT в качестве пространства имен учетных записей. Например если задать обслуживаемый домен contoso.com в качестве основного общего домена для доверия федерации, будет автоматически создано пространство учетных записей FYDIBOHF25SPDLT.contoso.com в качестве OrgIDдля доверия федерации в организации Exchange.
2. Добавление дополнительных доменов, которые требуется включить для общего доступа. Используйте этот раздел для добавления дополнительных обслуживаемых доменов в качестве федеративных доменов для доверия федерации.

Шаг 1. Выбор основного общего домена

Нажмите кнопку Browse (обзор), чтобы выбрать обслуживаемый домен в качестве основного домена, который необходимо включить для общего доступа. Обычно это основной домен SMTP для организации. Затем вам потребуется подтвердить свое владение этим доменом, добавив TXT-запись для основного общего домена на вашем общедоступном DNS-сервере. Центр администрирования Exchange автоматически создает строку проверки для TXT-записи после выбора вами обслуживаемого домена для основного общего домена.

Рис. 5. Строка, которую необходимо использовать для создания TXT-записи, чтобы подтвердить владение доменом

После распространения TXT-записи на общедоступный DNS-сервер нажмите кнопку Update (обновить), чтобы отправить запрос в Microsoft Federation Gateway для добавления домена в качестве основного общего домена. После нажатия кнопки Update (обновить) Центр администрирования Exchange использует командлет Set-FederatedOrganizationIdentifier для создания пространства имен учетных записей для доверия федерации. Полная команда:

Set-FederatedOrganizationIdentifier –AccountNamespace <основной общий домен, который был выбран ранее>

Важно!  В Exchange 2013, а также в Exchange 2010 с пакетом обновления 2 (SP2), не требуется указывать домен, начиная с exchangedelegation в качестве пространства имен учетных записей. Можно использовать любой обслуживаемый домен в качестве основного общего домена, не заботясь о подробностях пространства имен учетных записей.

Снова открывая страницу "Домены с поддержкой общего доступа", вы заметите, что основной общий домен и пространство имен учетных записей настроены правильно.

Рис. 6. Пространство имен учетных записей и основной общий доступ готовы.

Шаг 2. Добавление дополнительных доменов, для которых требуется включить общий доступ

Если необходимо, следующим шагом будет добавление дополнительных доменов в доверие федерации в качестве федеративных доменов. Если вы обслуживаете небольшую компанию (и используете для адресов электронной почты пользователей только один домен), вам может потребоваться включение общего доступа только для основного общего домена. Но это может быть не так для больших предприятий, где бывает несколько сегментов, поэтому требуется включить общий доступ для разных поддоменов.

Если требуется добавить дополнительные домены в общий доступ, нажмите кнопку со знаком +, чтобы открыть страницу Select Accepted Domains (выбор обслуживаемых доменов) и выберите один или несколько доменов для настройки федерации. Затем вам потребуется подтвердить владение выбранными доменами и добавить TXT-запись для каждого дополнительного домена в общедоступный DNS-сервер. Как и в шаге 1 выше, Exchange автоматически создает строки проверки для дополнительных доменов и отображает их в правой панели рядом со списком дополнительных доменов.

Рис. 7. Центр администрирования Exchange отображает строку, которую требуется использовать для создания TXT-записей для каждого дополнительного федеративного домена

После распространения TXT-записи на общедоступный DNS-сервер, нажмите кнопку Update (обновить), чтобы отправить запрос в Microsoft Federation Gateway для добавления доменов в качестве дополнительных федеративных доменов. После нажатия кнопки Update (обновить) Центр администрирования Exchange использует командлет Add-FederatedDomain и дополнительные домены для обновления доверия федерации. Полная команда следующая:

Add-FederatedDomain –DomainName <дополнительные общие домены>

В терминах общего доступа к сведениям о доступности, календаря и контактов эти дополнительные домены будут работать точно так же, как основной общий домен.

Снова открывая страницу Домены с поддержкой общего доступа вы увидите, что эти дополнительные общие домены успешно добавлены в доверие федерации.

Рис. 8. Дополнительный федеративный домен успешно добавлен

Теперь вы успешно настроили доверие федерации! Если требуется включить общий доступ к сведениям календаря о доступности и дополнительный общий доступ к календарю и контактам, необходимо настроить связь организации и политику общего доступа в организации.

Настройка связи организации для локальных организаций или организаций Exchange Online

Создавая и настраивая связь организации, у вас будет возможность включать общий доступ к сведениям о доступности на уровне организации между вашей организаций и другой федеративной организацией Exchange. Пользователи в обеих организациях смогут просматривать и получать общий доступ к сведениям календаря о доступности друг-друга в соответствии с параметрами связи организации. Чтобы создать и настроить связь организации, перейдите на страницу Organization (организация) > Sharing (общий доступ) > Organization Sharing (общий доступ организации) в области Enterprise (предприятие) или Office 365 в Центре администрирования Exchange.

Рис. 9. Страница Organization Sharing (общий доступ организации) в версии Enterprise Центра администрирования Exchange

Чтобы создать и настроить отношение организации, нажмите кнопку со знаком +, чтобы открыть страницу Organization Relationship (отношение организации) и введите следующие параметры:

• Имя отношения.Понятное имя отношения организации.
• Домены для общего доступа.Домены для внешних федеративных организаций Exchange, для которых требуется предоставить общий доступ со стороны вашей организации.
• Уровень общего доступа к сведениям календаря о доступности.Уровень общего доступа к сведениям календаря о доступности, который требуется разрешить пользователям во внешних организациях Exchange для просмотра сведений о ваших пользователях.
• Кто должен предоставлять общий доступ к сведениям календаря о доступности). Пользователи или группы в вашей организации, которые будут предоставлять общий доступ к сведениям календаря о доступности для внешних организаций Exchange.

Рис. 10. Создание отношения организации

Если требуется настроить другие параметры отношения организации, такие как включение или отключение параметра MailTips или перемещения почтовых ящиков, необходимо использовать командлет OrganizationRelationship в командной консоли.

Настройка политики общего доступа для локальных организаций или организаций Exchange Online

Политики общего доступа позволяют осуществить индивидуальный общий доступ, настраиваемый пользователями, к сведениям календаря и контактов для различных типов внешних пользователей. Политики общего доступа назначаются почтовым ящикам пользователей и позволяют им самостоятельно управлять общим доступом к сведениям календаря о доступности и сведениям контактов (включая папки "Календарь" и "Контакты") для получателей в других федеративных организациях. Для получателей, которые не находятся во внешних федеративных организациях или находятся не в организациях Exchange, политики общего доступа позволяют осуществить индивидуальный общий доступ к сведениям календаря для анонимных пользователей при помощи публикации календаря в Интернете.

Чтобы создать и настроить политики общего доступа, перейдите на страницу Organization (организация) > Sharing (общий доступ) > Individual Sharing (индивидуальный общий доступ) в области Enterprise (предприятие) или Office 365 в Центре администрирования Exchange.

Рис. 11. Страница Individual Sharing (индивидуальный общий доступ) в версии Enterprise Центра администрирования Exchange

Чтобы создать и настроить политику общего доступа, нажмите кнопку со знаком + для открытия страницы Sharing Policy (политика общего доступа). Здесь необходимо задать следующие параметры:

• Имя политики.Понятное имя политики общего доступа.
• Определите правила общего доступа для этой политики.Правила, которые применяются к этой политике общего доступа, включая домены, с которым будет предоставлен общий доступ, уровень общего доступа для сведений календаря и необходимость общего доступа к папке "Контакты".
• Политика общего доступа по умолчанию. Является ли эта политика политикой общего доступа по умолчанию для вашей организации.

Рис. 12. Страница New Sharing Policy (создание политики общего доступа) в Центре администрирования Exchange

Чтобы создать и настроить правило общего доступа для политики общего доступа, нажмите кнопку со знаком + для открытия страницы Sharing Rule (правило общего доступа). Здесь необходимо задать следующие параметры:

• Кому предоставлять сведения календаря или контактов.
• Какие сведения требуется предоставлять.
• Предоставлять ли доступ к папке "Контакты".

Рис. 13. Страница Sharing Rule (правило общего доступа) в Центре администрирования Exchange

Каждое правило, определенное в политике, будет сопоставляться с отношением общего доступа для отдельного пользователя. Пользователь может инициировать несколько отношений общего доступа для разных людей под управлением одной политики общего доступа. Например, в политике общего доступа создаются следующие два правила:

1. Общий доступ к сведениям календаря о доступности для contoso.com.
2. Общий доступ к сведениям календаря о доступности + тема + расположение + папка "Контакты" для fabrikam.com.

Если назначить эту политику общего доступа пользователю с именем Дмитрий, то Дмитрий сможет по-разному предоставлять доступ к своим сведениям календаря и контактов для организаций contoso.com и fabrikam.com.

Мы надеемся, что вы так же рады новому интерфейсу федеративного общего доступа в Exchange 2013 и Центре администрирования Exchange, как и мы. Если вам потребуется узнать подробности, см. раздел Федеративный общий доступ.

Элбер Рен (Elber Ren) и Роберт Мазоли (Robert Mazzoli)

Это локализованная запись блога. Исходная статья находится по ссылке Managing Federated Sharing with the EAC