Survivable Branch Appliance (SBA) pour le routage direct
Parfois, un site client utilisant le routage direct pour se connecter à Microsoft Teams Phone peut rencontrer une panne d’Internet.
Dans ce scénario, supposons que le site client, appelé branche, ne peut pas se connecter temporairement au cloud Microsoft via le routage direct. Toutefois, l’intranet à l’intérieur de la branche est toujours entièrement fonctionnel et les utilisateurs peuvent se connecter au contrôleur de bordure de session (SBC) qui fournit une connectivité RTC.
Cet article explique comment utiliser un Survivable Branch Appliance (SBA) pour permettre à Teams Phone de continuer à émettre et à recevoir des appels RTC (Public Switched Telephone Network) en cas de panne.
Conditions préalables
L’authentification SBA est du code distribuable fourni par Microsoft aux fournisseurs SBC qui incorporent ensuite du code dans leur microprogramme ou le distribuent séparément pour que l’authentification unique s’exécute sur une machine virtuelle ou un matériel distinct.
Pour obtenir le dernier microprogramme du contrôleur de bordure de session avec survivable Branch Appliance incorporé, contactez votre fournisseur SBC. En outre, les éléments suivants sont requis :
Le SBC est configuré pour media bypass afin de s’assurer que le client Microsoft Teams dans le site de succursale peut avoir du contenu multimédia qui circule directement avec le SBC.
TLS1.2 est activé sur le système d’exploitation de machine virtuelle SBA.
Les ports 3443, 444 et 8443 sont utilisés par Microsoft SBA Server pour communiquer avec le client Teams et sont autorisés sur le pare-feu.
Le port 5061 (ou celui configuré sur le SBC) est utilisé par Microsoft SBA Server pour communiquer avec le SBC et est autorisé sur le pare-feu.
Le port UDP 123 est utilisé par Microsoft SBA Server pour communiquer avec le serveur NTP et est autorisé sur le pare-feu.
Le port 443 est utilisé par Microsoft SBA Server pour communiquer avec Microsoft 365 et est autorisé sur le pare-feu.
Les plages d’adresses IP Azure et les étiquettes de service pour le cloud public sont définies conformément aux instructions décrites dans : https://www.microsoft.com/download/details.aspx?id=56519
Clients Teams pris en charge
La fonctionnalité SBA est prise en charge sur les clients Microsoft Teams suivants :
- Bureau Windows Microsoft Teams
- Bureau Microsoft Teams macOS
- Téléphones Teams
Mode de fonctionnement
Lors d’une panne d’Internet, le client Teams bascule automatiquement vers l’authentification SBA, et les appels en cours continuent sans interruption. Aucune action n’est requise de la part de l’utilisateur.
Dès que le client Teams détecte qu’Internet est activé et que tous les appels sortants sont terminés, le client revient en mode de fonctionnement normal et se connecte à d’autres services Teams. L’authentification SBA charge les enregistrements de données d’appel collectés dans le cloud. L’historique des appels est mis à jour pour être examiné par l’administrateur du locataire.
Le mécanisme de panne côté client Teams pour l’authentification SBA est conçu pour garantir une connectivité continue et la disponibilité du service pendant les interruptions réseau.
Les conditions suivantes doivent être remplies :
Vérification de la stratégie cliente : l’utilisateur se voit attribuer la stratégie de survivabilité de branche pour une SBA à laquelle le client Teams se connecte uniquement si l’appliance est active.
Vérification de l’état du réseau : le client Teams se connecte à l’authentification SBA quand Internet est déconnecté, mais l’appareil de l’utilisateur est toujours connecté à l’appliance SBA.
Une fois ces conditions remplies, le client Teams effectue un test ping sur l’appliance SBA et le client vérifie la stratégie. Si ces deux conditions sont remplies, les conditions suivantes se produisent :
Stratégie de survivabilité de branche : la stratégie de survivabilité de branche pointe vers les URL SBA affectées à l’utilisateur/locataire.
Connexion à l’authentification SBA côté client Teams : une fois que le client Teams est hors connexion et que l’utilisateur dispose des stratégies requises, le client Teams passe en mode Appliance où l’utilisateur peut effectuer et recevoir des appels RTC. Une bannière s’affiche pour informer les utilisateurs du basculement vers l’authentification unique.
Le seul indicateur de l’interface utilisateur du passage en mode Appliance est la bannière. Si la bannière n’est pas présente, l’utilisateur n’est pas en mode SBA et l’appel ne fonctionne pas.
Le mode SBA est activé uniquement sur les clients de bureau sur un ordinateur physique. Les machines virtuelles et les clients web ne sont pas pris en charge pour le moment.
Lorsque le client Microsoft Teams est en mode hors connexion, les fonctionnalités d’appel suivantes sont disponibles :
- Effectuer des appels RTC via l’authentification SBA/SBC locale avec un média transitant par le SBC.
- Réception d’appels RTC via l’authentification SBA/SBC locale avec le média transitant par le SBC.
- Conservation et reprise des appels RTC.
- Transfert à l’aveugle.
- Transfert d’appel vers un seul numéro de téléphone ou un utilisateur Teams.
- Transfert d’appel sans réponse vers un seul numéro de téléphone ou un utilisateur Teams.
- Redirection de l’appel RTC entrant vers une file d’attente d’appels ou un numéro de standard automatique vers un agent local.
- Rediriger l’appel RTC entrant vers une file d’attente d’appels ou un numéro de standard automatique vers une autre file d’attente d’appels ou un numéro de standard automatique.
- VoIP de secours. Si un appel VoIP ne peut pas être lancé et que la partie réceptrice a un numéro RTC, un appel RTC est tenté
- Appels VoIP entre utilisateurs locaux. Si les deux utilisateurs sont inscrits derrière la même SBA, un appel VoIP peut être lancé au lieu d’un appel RTC, et l’authentification unique prend en charge l’appel.
Configuration
Pour que la fonctionnalité SBA fonctionne, le client Teams doit savoir quels SBA sont disponibles dans chaque site de succursale et quels SBA sont affectés aux utilisateurs de ce site. Les étapes de configuration sont les suivantes :
- Créez les SBA.
- Créez la stratégie de survivabilité de la branche Teams.
- Affectez la stratégie aux utilisateurs.
- Inscrivez une application pour l’authentification SBA avec l’ID Microsoft Entra.
Toute la configuration est effectuée à l’aide des applets de commande PowerShell Teams. (Le Centre d’administration Teams ne prend pas encore en charge la fonctionnalité SBA de routage direct.)
Pour plus d’informations sur la configuration du SBC, avec des liens vers la documentation du fournisseur SBC, consultez Configuration du contrôleur de bordure de session.
Créer les SBA
Pour créer les SBA, utilisez l’applet de commande New-CsTeamsSurvivableBranchAppliance. Cette applet de commande a les paramètres suivants :
| Paramètre | Description |
|---|---|
| Identity | Identité de l’authentification SBA |
| Fqdn | Nom de domaine complet de l’administrateur de base de données |
| Site | TenantNetworkSite où se trouve l’authentification SBA |
| Description | Texte au format libre |
Par exemple :
C:\> New-CsTeamsSurvivableBranchAppliance -Fqdn sba1.contoso.com -Description "SBA 1"
Identity : sba1.contoso.com
Fqdn : sba1.contoso.com
Site :
Description : SBA 1
Créer la stratégie de survivabilité de la branche Teams
Pour créer une stratégie, utilisez l’applet de commande New-CsTeamsSurvivableBranchAppliancePolicy. Cette applet de commande a les paramètres suivants. La stratégie peut contenir un ou plusieurs SBA.
| Paramètre | Description |
|---|---|
| Identity | Identité de la stratégie |
| BranchApplianceFqdns | Nom de domaine complet des SBA dans le site |
Par exemple :
C:\> new-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns "sba1.contoso.com","sba2.contoso.com"
Identity : Tag:CPH
BranchApplianceFqdns : {sba1.contoso.com, sba2.contoso.com}
Vous pouvez ajouter ou supprimer des SBA d’une stratégie à l’aide de l’applet de commande Set-CsTeamsSurvivableBranchAppliancePolicy. Par exemple :
Set-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns @{remove="sba1.contoso.com"}
Set-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns @{add="sba1.contoso.com"}
Affecter une stratégie à un utilisateur
Pour affecter la stratégie à des utilisateurs individuels, utilisez l’applet de commande Grant-CsTeamsSurvivableBranchAppliancePolicy. Cette applet de commande a les paramètres suivants :
| Paramètre | Description |
|---|---|
| Identity | Identité de l’utilisateur |
| PolicyName | Identité de la stratégie |
Par exemple :
C:\> Grant-CsTeamsSurvivableBranchAppliancePolicy -PolicyName CPH -Identity user@contoso.com
Vous pouvez supprimer une stratégie d’un utilisateur en accordant la stratégie $Null comme indiqué dans l’exemple suivant :
C:\> Grant-CsTeamsSurvivableBranchAppliancePolicy -PolicyName $Null -Identity user@contoso.com
Inscrire une application pour l’authentification SBA avec l’ID Microsoft Entra
Pour permettre aux différents SBA utilisés au sein de votre locataire de lire les données requises à partir de Microsoft 365, vous devez inscrire une application pour l’authentification SBA avec l’ID Microsoft Entra.
Pour plus d’informations sur l’inscription d’application, consultez les rubriques suivantes :
Développer des applications métier pour l’ID Microsoft Entra
Inscrire une application auprès de la plateforme d’identités Microsoft.
Vous n’avez besoin d’inscrire qu’une seule application pour être utilisée par tous les SBA de votre locataire.
Pour l’inscription SBA, vous avez besoin des valeurs suivantes créées par l’inscription :
- ID d’application (client)
- Clé secrète client
Pour l’application SBA, gardez les points suivants à l’esprit :
- Le nom peut être ce que vous décidez.
- Types de comptes pris en charge = Compte dans cet annuaire organisationnel uniquement.
- URI de redirection web = https://login.microsoftonline.com/common/oauth2/nativeclient.
- Jetons d’octroi implicites = jetons d’accès et jetons d’ID.
- Autorisations d’API = Skype et Accès administrateur client Teams -> Autorisations d’application -> application_access_custom_sba_appliance.
- Clé secrète client : vous pouvez utiliser n’importe quelle description et expiration.
- N’oubliez pas de copier la clé secrète client immédiatement après sa création.
- L’ID d’application (client) s’affiche sous l’onglet Vue d’ensemble.
Procédez ensuite comme suit :
- Inscrivez l’application.
- Définissez les jetons d’octroi implicites.
- Définissez les autorisations de l’API.
- Créez la clé secrète client.
Configuration du contrôleur de bordure de session
Pour obtenir des instructions pas à pas sur la configuration de votre contrôleur de bordure de session avec le Survivable Branch Appliance incorporé, consultez la documentation fournie par votre fournisseur SBC :
Problèmes connus et considérations
Voici les problèmes connus et les considérations à prendre en compte :
Étant donné que l’authentification SBA s’appuie sur des jetons d’authentification valides pendant 24 heures et renouvelés quotidiennement, l’authentification unique peut prendre en charge les pannes pendant jusqu’à 24 heures à compter de la dernière authentification. Si une panne se produit 20 heures après le dernier renouvellement du jeton d’authentification, l’authentification unique ne sera opérationnelle que pendant les 4 heures restantes.
Si le locataire utilise des jetons d’évaluation continue de l’accès (CAE), l’authentification unique ne sera opérationnelle que pendant environ 30 minutes, en raison de la nature de l’évaluation continue de l’accès. Une alternative consisterait à désactiver l’évaluation de l’accès client pour le locataire.
Lorsque vous ajoutez de nouvelles survivable Branch Appliances, vous pouvez prendre du temps avant de pouvoir les utiliser dans les stratégies Survivable Branch Appliance.
Lorsque vous affectez une stratégie Survivable Branch Appliance à un utilisateur, l’affichage de l’authentification unique dans la sortie de Get-CsOnlineUser peut prendre du temps.
La recherche de nombre inversée par rapport aux contacts d’ID Microsoft Entra n’est pas effectuée.
L’authentification SBA ne prend pas en charge les paramètres de transfert d’appel.
L’appel d’urgence à un numéro d’urgence configuré pour l’appel d’urgence dynamique (E911) n’est pas pris en charge.
Signaler un problème
Signalez les problèmes à l’organisation de support de votre fournisseur SBC. Lorsque vous signalez le problème, indiquez que vous disposez d’un Survivable Branch Appliance configuré.