Configurar la integración y OAuth entre Skype Empresarial Online y Exchange Server

Al configurar la integración entre exchange server y Skype Empresarial Online, se habilitan las características Skype Empresarial e integración de Exchange descritas en Compatibilidad con características.

Este tema se aplica a la integración con Exchange Server 2013 a 2019.

¿Qué necesita saber antes de empezar?

Configurar la integración entre Exchange Server y O365

Paso 1: Configurar la autenticación de OAuth entre Exchange Server y O365

Siga estos pasos en el artículo siguiente:

Configurar la autenticación de OAuth entre Exchange y Exchange Online organizaciones

Paso 2: Crear una nueva cuenta de usuario de correo para la aplicación de partner de Skype Empresarial Online

Este paso se realiza en el servidor de Exchange. Creará un usuario de correo y le asignará los derechos de roles de administración apropiados. Esta cuenta se usará en el siguiente paso.

Especifique un dominio comprobado para su organización de Exchange. Este dominio debe ser el mismo que el dominio SMTP principal usado para las cuentas de Exchange locales. Este dominio se conoce como <su dominio> comprobado en el procedimiento siguiente. Además, domainControllerFQDN <> debe ser el FQDN de un controlador de dominio.

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

Este comando ocultará al nuevo usuario de correo de las listas de direcciones.

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

Los dos comandos siguientes asignarán los roles de administración UserApplication y ArchiveApplication a esta nueva cuenta.

New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>
New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>

Paso 3: Crear y habilitar una aplicación de partner para Skype Empresarial Online

Cree una aplicación de socio y use la cuenta que acaba de crear. Ejecute el comando siguiente en el PowerShell de Exchange de su organización de Exchange local.

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

Paso 4: Exportar el certificado de autorización local

Ejecute un script de PowerShell para exportar el certificado de autorización local, que importará a su organización de Skype Empresarial Online en el paso siguiente.

Save the following text to a PowerShell script file named, for example, ExportAuthCert.ps1.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
    md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

En Exchange PowerShell en su organización local de Exchange, ejecute el script de PowerShell que acaba de crear. Por ejemplo: .\ExportAuthCert.ps1

Paso 5: Cargar el certificado de autorización local a Microsoft Entra ACS

A continuación, utilice Windows PowerShell para cargar el certificado de autorización local que exportó en el paso anterior a los Servicios de Microsoft Entra Access Control (ACS). Para ello, el módulo Azure Active Directory para cmdlets de Windows PowerShell ya debe estar instalado. Si no está instalado, vaya a https://aka.ms/aadposh instalar el módulo Azure Active Directory para Windows PowerShell. Complete los pasos siguientes después de instalar el módulo de Azure Active Directory para Windows PowerShell.

  1. Haga clic en el módulo de Azure Active Directory para Windows PowerShell acceso directo para abrir un área de trabajo de Windows PowerShell que tenga instalados los cmdlets de Microsoft Entra. Todos los comandos de este paso se ejecutarán con la Windows PowerShell para Microsoft Entra consola de id.

  2. Guarde el siguiente texto en un archivo de script de PowerShell denominado, por ejemplo, UploadAuthCert.ps1.

    Connect-MgGraph
    Import-Module Microsoft.Graph
    $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
    $objFSO = New-Object -ComObject Scripting.FileSystemObject
    $CertFile = $objFSO.GetAbsolutePathName($CertFile);
    $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
    $cer.Import($CertFile)
    $binCert = $cer.GetRawCertData();
    $credValue = [System.Convert]::ToBase64String($binCert)
    $ServiceName = "00000004-0000-0ff1-ce00-000000000000"
    $p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames
    Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue
    
  3. Ejecute el script de PowerShell que creó en el paso anterior. Por ejemplo: .\UploadAuthCert.ps1

  4. Después de iniciar el script, se mostrará un cuadro de diálogo de credenciales. Escriba las credenciales de la cuenta de administrador de inquilinos de su organización de microsoft online Microsoft Entra. Después de ejecutar el script, deje abierto el Windows PowerShell de Microsoft Entra sesión. La usará para ejecutar un script de PowerShell en el siguiente paso.

Paso 6: Comprobar que el certificado se ha cargado en la entidad de servicio de Skype Empresarial

  1. En el PowerShell abierto y autenticado para Microsoft Entra id., ejecute lo siguiente

    Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000
    
  2. Presione Entrar cuando se le solicite ReturnKeyValues

  3. Confirme que ve una clave con la fecha de inicio y los datos de finalización que coincidan con las fechas de inicio y finalización del certificado Oauth de Exchange.

Comprobar que realizó todo correctamente

Compruebe que la configuración es correcta verificando que algunas de las características funcionen correctamente.

  1. Confirme que Skype Empresarial usuarios con Correo de voz en la nube servicio, en una organización con una configuración de Exchange Server híbrida, pueden cambiar correctamente sus saludos del correo de voz.

  2. Confirme que el historial de conversaciones de los clientes móviles está visible en la carpeta Historial de conversaciones de Outlook.

  3. Confirme que los mensajes de chat archivados se depositan en el buzón local del usuario en la carpeta Purgas con EWSEditor.

Como alternativa, mira el tráfico. El tráfico de un enlace de OAuth es realmente distintivo (y no se parece a la autenticación básica), especialmente en los territorios, donde empezará a ver el tráfico del emisor que tiene este aspecto: 00000004-0000-0ff1-ce00-0000000000000@ (a veces con un / antes del signo @), en los tokens que se pasan. No verá un nombre de usuario o contraseña, que es el punto de OAuth. Pero verá el emisor de "Office", en este caso 4 es Skype Empresarial, y el reino de su suscripción.

Si desea asegurarse de que está usando OAuth correctamente, asegúrese de que sabe qué esperar y saber cómo debe ser el tráfico. Esto es lo que puede esperar.

He aquí un ejemplo de configuración de uno, pero puede usar cualquier herramienta de seguimiento de red que le guste para llevar a cabo este proceso.

Configurar la autenticación de OAuth entre Exchange y Exchange Online organizaciones