Configurar la integración y OAuth entre Skype Empresarial Online y Exchange Server

SE APLICA A: Edición de suscripción 2015 2019

Al configurar la integración entre exchange server y Skype Empresarial Online, se habilitan las características Skype Empresarial e integración de Exchange descritas en Compatibilidad con características.

Este tema se aplica a la integración con Exchange Server 2013 a 2019. Compruebe la matriz de compatibilidad de Exchange Server para averiguar qué versiones de Exchange Server están en un estado compatible.

¿Qué necesita saber antes de empezar?

• Tiempo estimado para finalizar esta tarea: 15 minutos

• Necesita tener permisos asignados antes de poder realizar los siguientes procedimientos. Para ver qué permisos necesita, consulte el tema Permisos de infraestructura de Exchange y Shell .

• Para obtener información sobre los métodos abreviados de teclado que pueden aplicarse a los procedimientos de este tema, vea Métodos abreviados de teclado en el Centro de administración de Exchange.

• Para obtener información sobre la compatibilidad, vea Skype Empresarial compatibilidad con aplicaciones de Office.

Configurar la integración entre Exchange Server y O365

Paso 1: Configurar la autenticación de OAuth entre Exchange Server y O365

Siga estos pasos en el artículo siguiente:

Configurar la autenticación de OAuth entre Exchange y Exchange Online organizaciones

Paso 2: Crear una nueva cuenta de usuario de correo para la aplicación de partner de Skype Empresarial Online

Este paso se realiza en el servidor de Exchange. Crea un usuario de correo y le asigna los derechos de rol de administración adecuados. Esta cuenta se usará en el siguiente paso.

Especifique un dominio comprobado para su organización de Exchange. Este dominio debe ser el mismo que el dominio principal de Protocolo simple de transferencia de correo (SMTP) usado para las cuentas locales de Exchange. Este dominio se conoce como <your Verified Domain> en el procedimiento siguiente. Además, el <DomainControllerFQDN> debe ser el nombre de dominio completo (FQDN) de un controlador de dominio.

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

Este comando oculta el nuevo usuario de correo de las listas de direcciones.

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

Crear un nuevo rol basado en el rol UserApplication

New-ManagementRole -Name "TeamsApp" -Parent "UserApplication" -DomainController <DomainControllerFQDN>

Quite todos los cmdlets del nuevo rol excepto GetDelegate, ya que este es el único comando necesario para el servicio de programación (delegación).

Get-ManagementRoleEntry "TeamsApp\*" -DomainController <DomainControllerFQDN> | Where-Object { $_.Name -ne "GetDelegate" } | Remove-ManagementRoleEntry -DomainController <DomainControllerFQDN>

Asignar un rol de TeamsApp a esta nueva cuenta

New-ManagementRoleAssignment -Role TeamsApp -User $user.Identity -DomainController <DomainControllerFQDN>

Paso 3: Crear y habilitar una aplicación de partner para Skype Empresarial Online

Cree una nueva aplicación de partner y use la cuenta que ha creado. Ejecute el comando siguiente en el PowerShell de Exchange de su organización de Exchange local.

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

Paso 4: Exportar el certificado de autorización local

Ejecute un script de PowerShell para exportar el certificado de autorización local, que importará a su organización de Skype Empresarial Online en el paso siguiente.

Guarde el siguiente texto en un archivo de script de PowerShell denominado, por ejemplo, ExportAuthCert.ps1.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((Test-Path $env:SYSTEMDRIVE\OAuthConfig) -eq $false)
{
   New-Item -Path $env:SYSTEMDRIVE\OAuthConfig -Type Directory
}
Set-Location -Path $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | Where-Object {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

En Exchange PowerShell en su organización local de Exchange, ejecute el script de PowerShell que ha creado. Por ejemplo: .\ExportAuthCert.ps1

Paso 5: Cargar el certificado de autorización local a Microsoft Entra ACS

A continuación, use Microsoft Graph PowerShell para cargar el certificado de autorización local que exportó en el paso anterior a Microsoft Entra Access Control Services (ACS). Si no tiene instalado el módulo, abra una ventana de Windows PowerShell como administrador y ejecute el siguiente comando:

Install-Module -Name Microsoft.Graph.Applications

1. Abra un área de trabajo de Windows PowerShell que tenga instalados los cmdlets de Microsoft Graph. Todos los comandos de este paso deben ejecutarse con la Windows PowerShell conectada a la consola de Microsoft Graph.

2. Guarde el siguiente texto en un archivo de script de PowerShell denominado, por ejemplo, UploadAuthCert.ps1.

   Connect-MgGraph -Scopes Application.ReadWrite.All
   
   $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
   $objFSO = New-Object -ComObject Scripting.FileSystemObject
   $CertFile = $objFSO.GetAbsolutePathName($CertFile)
   $cer = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($CertFile)
   $binCert = $cer.GetRawCertData()
   $credValue = [System.Convert]::ToBase64String($binCert)
   $ServiceName = "00000004-0000-0ff1-ce00-000000000000"
   Write-Host "[+] Trying to query the service principals for service: $ServiceName" -ForegroundColor Cyan
   $p = Get-MgServicePrincipal -Filter "AppId eq '$ServiceName'"
   Write-Host "[+] Trying to query the keyCredentials for service: $ServiceName" -ForegroundColor Cyan
   $servicePrincipalKeyInformation = Get-MgServicePrincipal -Filter "AppId eq '$ServiceName'" -Select "keyCredentials"
   
   $keyCredentialsLength = $servicePrincipalKeyInformation.KeyCredentials.Length
   if ($keyCredentialsLength -gt 0) {
      Write-Host "[+] $keyCredentialsLength existing key(s) found - we keep them if they have not expired" -ForegroundColor Cyan
   
   $newCertAlreadyExists = $false
      $servicePrincipalObj = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphServicePrincipal
      $keyCredentialsArray = @()
   
   foreach ($cred in $servicePrincipalKeyInformation.KeyCredentials) {
         $thumbprint = [System.Convert]::ToBase64String($cred.CustomKeyIdentifier)
   
   Write-Host "[+] Processing existing key: $($cred.DisplayName) thumbprint: $thumbprint" -ForegroundColor Cyan
   
   if ($newCertAlreadyExists -ne $true) {
            $newCertAlreadyExists = ($cer.Thumbprint).Equals($thumbprint, [System.StringComparison]::OrdinalIgnoreCase)
         }
   
   if ($cred.EndDateTime -lt (Get-Date)) {
            Write-Host "[+] This key has expired on $($cred.EndDateTime) and will not be retained" -ForegroundColor Yellow
            continue
         }
   
   $keyCredential = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphKeyCredential
         $keyCredential.Type = "AsymmetricX509Cert"
         $keyCredential.Usage = "Verify"
         $keyCredential.Key = $cred.Key
   
   $keyCredentialsArray += $keyCredential
      }
   
   if ($newCertAlreadyExists -eq $false) {
         Write-Host "[+] New key: $($cer.Subject) thumbprint: $($cer.Thumbprint) will be added" -ForegroundColor Cyan
         $keyCredential = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphKeyCredential
         $keyCredential.Type = "AsymmetricX509Cert"
         $keyCredential.Usage = "Verify"
         $keyCredential.Key = [System.Text.Encoding]::ASCII.GetBytes($credValue)
   
   $keyCredentialsArray += $keyCredential
   
   $servicePrincipalObj.KeyCredentials = $keyCredentialsArray
         Update-MgServicePrincipal -ServicePrincipalId $p.Id -BodyParameter $servicePrincipalObj
      } else {
         Write-Host "[+] New key: $($cer.Subject) thumbprint: $($cer.Thumbprint) already exists and will not be uploaded again" -ForegroundColor Yellow
      }
   } else {
      $params = @{
         type = "AsymmetricX509Cert"
         usage = "Verify"
         key = [System.Text.Encoding]::ASCII.GetBytes($credValue)
      }
   
   Write-Host "[+] This is the first key which will be added to this service principal" -ForegroundColor Cyan
      Update-MgServicePrincipal -ServicePrincipalId $p.Id -KeyCredentials $params
   }
   

3. Ejecute el script de PowerShell que creó en el paso anterior. Por ejemplo: .\UploadAuthCert.ps1

4. Después de iniciar el script, se mostrará un cuadro de diálogo de credenciales. Escriba las credenciales de la cuenta de administrador de inquilinos en su organización de microsoft online Microsoft Entra. Después de ejecutar el script, deje abierto el Windows PowerShell conectado a la sesión de Microsoft Graph. Usará la sesión para ejecutar un script de PowerShell en el paso siguiente.

Paso 6: Comprobar que el certificado se cargó en la entidad de servicio de Skype Empresarial

1. En la sesión de PowerShell conectada a Microsoft Graph, ejecute lo siguiente

   Get-MgServicePrincipal -Filter "AppId eq '00000004-0000-0ff1-ce00-000000000000'" -Select "keyCredentials" | Format-List *
   

2. Confirme que ve una clave con los datos de fecha de inicio y finalización que coincidan con las fechas de inicio y finalización del certificado OAuth de Exchange.

Comprobar que realizó todo correctamente

Compruebe que la configuración es correcta verificando que algunas de las características funcionen correctamente.

1. Confirme que Skype Empresarial usuarios con Correo de voz en la nube servicio, en una organización con una configuración de Exchange Server híbrida, pueden cambiar correctamente sus saludos del correo de voz.

2. Confirme que el historial de conversaciones de los clientes móviles está visible en la carpeta Historial de conversaciones de Outlook.

3. Confirme que los mensajes de chat archivados se depositan en el buzón local del usuario en la carpeta Purgas con EWSEditor.

Como alternativa, mira el tráfico. El tráfico de un enlace de OAuth es diferente (y no se parece a la autenticación básica), especialmente en los territorios, donde empieza a ver el tráfico del emisor que tiene este aspecto: 00000004-0000-0ff1-ce00-000000000000@ (a veces, con un / antes del @ signo), en los tokens que se pasan. No hay un nombre de usuario o contraseña, que es el punto de OAuth. Pero verá el Office emisor, en este caso 4 es Skype for Business – and the realm of your subscription.

Si desea asegurarse de que está usando OAuth correctamente, asegúrese de que sabe qué esperar y saber cómo debe ser el tráfico. Esto es lo que puede esperar.

He aquí un ejemplo de configuración de uno, pero puede usar cualquier herramienta de seguimiento de red que le guste para llevar a cabo este proceso.

Temas relacionados

Configurar la autenticación de OAuth entre Exchange y Exchange Online organizaciones