Sådan konfigurerer du Skype for Business i det lokale miljø til at bruge hybrid moderne godkendelse
Denne artikel gælder både for Microsoft 365 Enterprise og Office 365 Enterprise.
Moderne godkendelse er en metode til identitetsstyring, der tilbyder mere sikker brugergodkendelse og -godkendelse, er tilgængelig for Skype for Business server i det lokale miljø og Exchange-server i det lokale miljø og Skype for Business hybrider med opdelt domæne.
Vigtigt!
Vil du vide mere om moderne godkendelse, og hvorfor du foretrækker at bruge den i din virksomhed eller organisation? Kontrollér dette dokument for at få en oversigt. Hvis du har brug for at vide, hvilke Skype for Business topologier understøttes med ma, er det dokumenteret her!
Før vi begynder, bruger jeg følgende begreber:
Moderne godkendelse
Hybrid moderne godkendelse (HMA)
Exchange i det lokale miljø (EXCH)
Exchange Online (EXO)
Skype for Business lokalt (SFB)
Skype for Business Online (SFBO)
Hvis et grafikelement i denne artikel har et objekt, der er nedtonet eller nedtonet, betyder det også, at det element, der vises med gråt , ikke er inkluderet i en MA-specifik konfiguration.
Læs oversigten
I denne oversigt opdeles processen i trin, der ellers kan gå tabt under udførelsen, og det er godt for en overordnet tjekliste til at holde styr på, hvor du befinder dig i processen.
Først skal du sørge for at opfylde alle forudsætningerne.
Da mange forudsætninger er almindelige for både Skype for Business og Exchange, kan du se en oversigtsartikel til tjeklisten før opdatering. Gør dette , før du begynder på nogen af trinnene i denne artikel.
Indsaml de HMA-specifikke oplysninger, du har brug for, i en fil eller OneNote.
Slå moderne godkendelse til for EXO (hvis den ikke allerede er slået til).
Slå moderne godkendelse til for SFBO (hvis den ikke allerede er slået til).
Slå hybrid moderne godkendelse til for Exchange i det lokale miljø.
Slå hybrid moderne godkendelse til for Skype for Business i det lokale miljø.
Disse trin aktiverer MA for SFB, SFBO, EXCH og EXO – dvs. alle de produkter, der kan deltage i en HMA-konfiguration af SFB og SFBO (herunder afhængigheder af EXCH/EXO). Med andre ord, hvis dine brugere er hjemme i/har postkasser oprettet i nogen del af Hybrid (EXO + SFBO, EXO + SFB, EXCH + SFBO, eller EXCH + SFB), dit færdige produkt ser sådan ud:
Som du kan se, er der fire forskellige steder at aktivere MA! For at få den bedste brugeroplevelse anbefaler vi, at du slår ma til på alle fire af disse placeringer. Hvis du ikke kan slå ma til på alle disse placeringer, skal du justere trinnene, så du kun aktiverer ma på de placeringer, der er nødvendige for dit miljø.
Se emnet Supportability for Skype for Business med MA for at få oplysninger om understøttede topologier.
Vigtigt!
Dobbelttjek, at du har opfyldt alle forudsætningerne, før du begynder. Du kan finde disse oplysninger i Oversigt over hybrid moderne godkendelse og forudsætninger.
Indsaml alle HMA-specifikke oplysninger, du skal bruge
Når du har kontrolleret, at du opfylder forudsætningerne for at bruge moderne godkendelse (se den forrige note), skal du oprette en fil, der indeholder de oplysninger, du skal bruge til konfiguration af HMA i de efterfølgende trin. Eksempler, der bruges i denne artikel:
SIP-/SMTP-domæne
- Ex. contoso.com (er sammenkædet med Office 365)
Lejer-id
- Det GUID, der repræsenterer din Office 365 lejer (ved logon af contoso.onmicrosoft.com).
URL-adresser til SFB 2015 CU5-webtjeneste
Du skal have url-adresser til interne og eksterne webtjenester for alle udrullede SfB 2015-grupper. Du kan hente disse ved at køre følgende kommando fra Skype for Business Management Shell:
Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL
Ex. Interne: https://lyncwebint01.contoso.com
Ex. Eksterne: https://lyncwebext01.contoso.com
Hvis du bruger en Standard Edition-server, er den interne URL-adresse tom. I dette tilfælde skal du bruge puljefqdn til den interne URL-adresse.
Slå moderne godkendelse til for EXO
Følg vejledningen her: Exchange Online: Sådan aktiverer du din lejer til moderne godkendelse.
Slå moderne godkendelse til for SFBO
Følg vejledningen her: Skype for Business Online: Aktivér din lejer til moderne godkendelse.
Slå hybrid moderne godkendelse til for Exchange i det lokale miljø
Følg vejledningen her: Sådan konfigurerer du Exchange Server i det lokale miljø til at bruge hybrid moderne godkendelse.
Slå hybrid moderne godkendelse til for Skype for Business i det lokale miljø
Tilføj URL-adresser til webtjenesten i det lokale miljø som SPN'er i Microsoft Entra ID
Nu skal du køre kommandoer for at tilføje URL-adresserne (indsamlet tidligere) som tjenesteprincipaler i SFBO.
Bemærk!
Tjenesteprincipalnavne identificerer webtjenester og knytter dem til en sikkerhedskonto (f.eks. et kontonavn eller en gruppe), så tjenesten kan handle på vegne af en godkendt bruger. Klienter, der godkender til en server, bruger oplysninger, der er indeholdt i SPN'er.
Bemærk!
Azure AD og MSOnline PowerShell-moduler frarådes fra og med den 30. marts 2024. Du kan få mere at vide ved at læse udfasningsopdateringen. Efter denne dato er understøttelse af disse moduler begrænset til migreringshjælp til Microsoft Graph PowerShell SDK og sikkerhedsrettelser. De udfasede moduler fungerer fortsat til og med den 30. marts 2025.
Vi anbefaler, at du overfører til Microsoft Graph PowerShell for at interagere med Microsoft Entra ID (tidligere Azure AD). Du kan finde almindelige spørgsmål om migrering under Ofte stillede spørgsmål om migrering. Bemærk: Versioner 1.0.x af MSOnline kan opleve afbrydelse efter den 30. juni 2024.
Først skal du oprette forbindelse til Microsoft Entra ID med disse instruktioner.
Kør denne kommando i det lokale miljø for at få vist en liste over URL-adresser til SFB-webtjenesten.
AppPrincipalId begynder med
00000004. Dette svarer til Skype for Business Online.Notér (og skærmbillede til senere sammenligning) outputtet af denne kommando, som indeholder en URL-adresse til SE og WS, men hovedsageligt består af SPN'er, der starter med
00000004-0000-0ff1-ce00-000000000000/.Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNamesHvis de interne eller eksterne SFB-URL-adresser fra det lokale miljø mangler (f.eks. https://lyncwebint01.contoso.com og https://lyncwebext01.contoso.com), skal vi føje disse specifikke poster til denne liste.
Sørg for at erstatte eksempel-URL-adresserne med dine faktiske URL-adresser i Tilføj kommandoer!
$x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/") $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/") Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNamesKontrollér, at dine nye poster blev tilføjet ved at køre kommandoen Get-MsolServicePrincipal fra trin 2 igen og gennemse outputtet. Sammenlign listen eller skærmbilledet fra før med den nye liste over SPN'er. Du kan også skærmbillede den nye liste for dine poster. Hvis du lykkedes, kan du få vist de to nye URL-adresser på listen. I eksemplet indeholder listen over SPN'er nu de specifikke URL-adresser https://lyncwebint01.contoso.com og https://lyncwebext01.contoso.com/.
Opret godkendelsesserverobjektet EvoSTS
Kør følgende kommando i Skype for Business Management Shell.
New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD
Aktivér hybrid moderne godkendelse
Dette er det trin, der faktisk slår MA til. Alle de forrige trin kan køres på forhånd uden at ændre klientgodkendelsesflowet. Når du er klar til at ændre godkendelsesflowet, skal du køre denne kommando i Skype for Business Management Shell.
Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS
Kontrollere
Når du aktiverer HMA, bruger en klients næste logon det nye godkendelsesflow. Hvis du bare aktiverer HMA, udløses der ikke en godkendelse for nogen klient. Klienterne genauthenticerer baseret på levetiden af de godkendelsestokens og/eller certifikater, de har.
Hvis du vil teste, at HMA fungerer, når du har aktiveret den, skal du logge af en SFB Windows-testklient og sørge for at vælge "Slet mine legitimationsoplysninger". Log på igen. Klienten skal nu bruge det moderne godkendelsesflow, og dit logon omfatter nu en Office 365 beder om en 'Arbejds- eller skolekonto', der vises, lige før klienten kontakter serveren og logger dig på.
Du bør også kontrollere 'Konfigurationsoplysninger' for Skype for Business-klienter for et 'OAuth Authority'. Hvis du vil gøre dette på klientcomputeren, skal du holde Ctrl nede, samtidig med at du højreklikker på ikonet Skype for Business på proceslinjen i Windows. Vælg Konfigurationsoplysninger i den menu, der vises. I vinduet 'Skype for Business Konfigurationsoplysninger', der vises på skrivebordet, skal du se efter følgende:
Du skal også holde Ctrl-tasten nede, samtidig med at du højreklikker på ikonet for Outlook-klienten (også på proceslinjen i Windows) og vælger "Forbindelsesstatus". Søg efter klientens SMTP-adresse i forhold til authN-typen 'Bearer*', som repræsenterer det ihændehavertoken, der bruges i OAuth.
Relaterede artikler
Opret et link tilbage til oversigten over moderne godkendelse.
Har du brug for at vide, hvordan du bruger moderne godkendelse til dine Skype for Business klienter? Vi har trin her: Oversigt over hybrid moderne godkendelse og forudsætninger for at bruge den med Skype for Business- og Exchange-servere i det lokale miljø.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om