Partager via

  • Article

Conditions requises en matière de comptes et d'autorisations

Dernière rubrique modifiée : 2009-04-01

Pour Office Communications Server 2007 R2, les exigences de sécurité suivantes doivent être respectées :

  • Informations d'identification d'administrateur
  • Niveaux de sécurité
  • Sécurité de la passerelle multimédia

Informations d'identification d'administrateur

Le tableau suivant indique les autorisations requises pour le déploiement des rôles de serveur.

Dd425321.note(fr-fr,office.13).gifRemarque :
Par défaut, seuls les membres du groupe Administrateurs du domaine peuvent déployer ou activer un serveur joint à un domaine Active Directory. Si vous ne souhaitez pas octroyer ce niveau de privilèges au groupe ou aux utilisateurs chargés du déploiement d'Office Communications Server, vous pouvez faire appel à l'Assistant Installation de la délégation pour accorder les autorisations requises à un groupe d'utilisateurs spécifique.

Tableau 1. Autorisations administrateur requises pour les tâches de déploiement

Procédure Informations d'identification ou rôles d'administrateur requis

Standard Edition

 

Installer les logiciels requis

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Préparer les services de domaine Active Directory

Membre du groupe Administrateurs du schéma et droits d'administration sur le contrôleur de schéma

Membre du groupe Administrateurs de l'entreprise pour le domaine racine de la forêt

Membre du groupe Administrateurs de l'entreprise ou Administrateurs du domaine

Préparer Windows pour l'installation

Groupe Administrateurs

Créer et vérifier les enregistrements DNS

Groupe Administrateurs DNS

Déployer et activer le serveur et les applications Standard Edition Server

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Configurer le serveur Standard Edition Server

Groupe RTCUniversalServerAdmins

Configurer les certificats pour Office Communications Server

Groupe Administrateurs

Groupe RTCUniversalServerAdmins

Démarrer les services

Groupe RTCUniversalServerAdmins

Valider la configuration du serveur

Groupe RTCUniversalServerAdmins

Configurer les fonctionnalités de conférence Web et A/V (facultatif)

Groupe RTCUniversalServerAdmins

Topologie consolidée Enterprise Edition

 

Installer les logiciels requis

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Préparer les services de domaine Active Directory

Membre du groupe Administrateurs du schéma et droits d'administrateur sur le contrôleur de schéma

Membre du groupe Administrateurs de l'entreprise pour le domaine racine de la forêt

Membre du groupe Administrateurs de l'entreprise ou Administrateurs du domaine

Préparer Windows pour l'installation

Groupe Administrateurs

Installer SQL Server

Administrateur local

Configurer SQL Server pour Office Communications Server

Administrateur SQL Server

Administrateur local

Configurer un programme d'équilibrage de la charge pour le pool (facultatif)

Administrateur du programme d'équilibrage de la charge

Créer et vérifier les enregistrements DNS

Groupe Administrateurs DNS

Créer le pool

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Configurer le pool et les applications

Groupe RTCUniversalServerAdmins

Ajouter des serveurs au pool

Groupe Administrateurs

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Configurer les certificats pour Office Communications Server

Groupe Administrateurs

Groupe RTCUniversalServerAdmins

Démarrer les services

RTCUniversalServerAdmins

Valider la configuration du serveur et du pool

RTCUniversalServerAdmins

Conférence rendez-vous

 

Installer et activer Office Communications Server 2007 R2

Groupe Administrateurs

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Activer les applications Intendant Conférence et Service d'annonce de conférence

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Installer, activer et configurer la version 2007 R2 du serveur Microsoft Office Communicator Web Access

Groupe Administrateurs

Groupe Administrateurs du domaine

Activer l'accès des utilisateurs distants pour Office Communicator Web Access (facultatif)

Groupe Administrateurs

Groupe Administrateurs du domaine

Tester la page Web de conférence rendez-vous

Utilisateur d'Office Communications Server 2007 R2

Créer un ou plusieurs profils d'emplacement

Groupe RTCUniversalServerAdmins

Configurer une stratégie globale de prise en charge des conférences rendez-vous

Groupe RTCUniversalServerAdmins

Déployer un serveur de médiation

Groupe RTCUniversalServerAdmins

Déployer une passerelle multimédia de base tierce

OU

Configurer le serveur de médiation pour exécuter l'acheminement SIP

Groupe RTCUniversalServerAdmins (pour configurer le serveur de médiation)

Administrateur du fournisseur d'acheminement SIP

Service Response Group

 

Installer et activer Office Communications Server 2007 R2

Groupe Administrateurs

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Activer l'application du service Response Group

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Ajouter des agents, créer des groupes d'agents et des files d'attente pour le pool de serveurs

Groupe RTCUniversalServerAdmins

Créer les workflows

Groupe RTCUniversalServerAdmins

Configurer l'onglet Response Group

Groupe Administrateurs du domaine

Serveur d'archivage

 

Installer les logiciels requis

Groupe Administrateurs et groupe Administrateurs du domaine (pour installer Message Queuing avec le composant d'intégration Active Directory activé)

Installer et activer un serveur d'archivage

Groupe Administrateurs

Groupe Administrateurs du domaine ou RTCUniversalServerAdmins

Configurer des associations du serveur d'archivage

Groupe Administrateurs

Configurer les utilisateurs pour l'archivage

Groupe RTCUniversalUserAdmins

Démarrer les services d'archivage

Groupe RTCUniversalUserAdmins

Serveur de surveillance

 

Installer les logiciels requis

Groupe Administrateurs

Groupe Administrateurs du domaine (pour installer Message Queuing avec le composant d'intégration Active Directory activé)

Installer et activer un serveur de surveillance

Groupe Administrateurs

Groupe Administrateurs du domaine ou RTCUniversalServerAdmins

Démarrer les services

Groupe Administrateurs

Déployer les rapports du serveur de surveillance

Groupe Administrateurs

Configurer des associations du serveur de surveillance

Groupe Administrateurs

Office Communicator Web Access

 

Installer et activer

Administrateurs du domaine

Créer un serveur virtuel

Administrateurs du domaine ou RTCUniversalServerAdmins et administrateurs locaux

Publier des URL Office Communicator Web Access

Administrateurs du domaine ou RTCUniversalServerAdmins et administrateurs locaux

Gérer les paramètres Office Communicator Web Access

Administrateurs du domaine ou RTCUniversalServerAdmins et administrateurs locaux

Conversation de groupe

 

Créer la base de données SQL Server

Administrateur de base de données

Configurer les comptes et autorisations de conversation de groupe

Groupe Administrateurs

Obtenir des certificats pour la conversation de groupe

Groupe Administrateurs

Installer la conversation de groupe

Groupe Administrateurs

Configurer des paramètres de site Web dans IIS

Groupe Administrateurs

Connecter l'outil d'administration de conversation de groupe à la conversation de groupe

Groupe Administrateurs

Administrateur de service de canal

Configurer l'accès utilisateur à la conversation de groupe

Groupe Administrateurs

Déployer la prise en charge de l'archivage et de la conformité

Administrateur de base de données

Groupe Administrateurs

Outils d'administration

 

Installer les outils d'administration sur une console d'administration centralisée qui n'exécute pas Office Communications Server

Groupe Administrateurs

Groupe Administrateurs du domaine

Configurer les paramètres de comptes d'utilisateurs

Groupe RTCUniversalUserAdmins

Configurer tous les autres paramètres (en plus des paramètres de comptes d'utilisateurs)

RTCUniversalServerAdmins

Serveur de périphérie

 

Configurer l'infrastructure des serveurs de périphérie

Groupe Administrateurs

Configurer des serveurs de périphérie

Groupe Administrateurs

Groupe Administrateurs du domaine ou RTCUniversalServerAdmins

Configurer l'environnement

Groupe Administrateurs

Groupe Administrateurs du domaine ou RTCUniversalServerAdmins

Valider la configuration de périphérie

Groupe Administrateurs

Groupe Administrateurs du domaine ou RTCUniversalServerAdmins

Communicator Mobile pour Windows Mobile

 

Installer les composants requis

Administrateur

Installer Communicator Mobile pour Windows Mobile

Administrateur

Installer des certificats auto-signés

Administrateur

Configurer le client

Administrateur

Tester la messagerie instantanée et la présence

Administrateur

Office Communicator Mobile pour Java

 

Vérifier que les conditions préalables et les dépendances sont satisfaites

Administrateur

Déployer le composant Office Communicator Mobile

Administrateur

Installer le logiciel client Office Communicator Mobile pour Java

Administrateur

Configurer et utiliser le client

Administrateur

Tester la messagerie instantanée et la présence

Administrateur

Contrôle vocal extérieur

 

Installer et activer Office Communications Server 2007 R2

Groupe Administrateurs

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Activer l'application Contrôle vocal extérieur

Groupe RTCUniversalServerAdmins

Groupe Administrateurs du domaine

Démarrer l'application

Groupe RTCUniversalServerAdmins

Tester la numérotation téléphonique vocale extérieure sur un client mobile pris en charge

Utilisateur d'Office Communications Server 2007 R2

Enterprise Voice avec coexistence PBX

 

Déployer Office Communications Server, y compris le serveur de médiation connecté au système PBX
  • Créer un pool d'entreprise : informations d'identification des groupes RTCUniversalServerAdmins et Administrateurs de domaine ou équivalentes
  • Configurer un pool : RTCUniversalServerAdmins
  • Ajouter un serveur au pool : RTCUniversalServerAdmins
  • Configurer un certificat : RTCUniversalServerAdmins
  • Configurer le certificat du serveur de composants Web : informations d'identification de l'administrateur local
  • Valider les fonctionnalités du serveur et du pool : RTCUniversalServerAdmins

Déployer Office Communicator 2007

Administrateur de l'ordinateur sur lequel Office Communicator est en cours d'installation

Activer les utilisateurs pour la messagerie instantanée et la présence

Groupe RTCUniversalUserAdmins

Configurer Office Communications Server pour Enterprise Voice

Groupe RTCUniversalServerAdmins

Configurer le système PBX pour diriger les appels vers Office Communications Server

RTCUniversalServerAdmins (pour obtenir des informations des services de domaine Active Directory permettant de convertir correctement un numéro de poste en URI de téléphone)

Déployer la passerelle multimédia (si nécessaire)

Les passerelles multimédias sont des systèmes externes dotés de leurs propres schémas d'authentification et d'autorisation. Si la passerelle multimédia requiert la création d'entrées de services approuvés, vous devez être au moins membre du groupe RTCUniversalServerAdmins.

Déployer la passerelle RCC (si nécessaire)

Les passerelles RCC sont des systèmes externes dotés de leurs propres schémas d'authentification et d'autorisation. Vous devez être au moins membre du groupe RTCUniversalServerAdmins pour créer les entrées de services approuvés requises.

Activer les utilisateurs pour Enterprise Voice et l'intégration PBX.

Groupe RTCUniversalUserAdmins

Déploiement autonome d'Enterprise Voice (pas de coexistence PBX)

 

Déployer Office Communications Server
  • Créer un pool d'entreprise : informations d'identification des groupes RTCUniversalServerAdmins et Administrateurs de domaine ou équivalentes
  • Configurer un pool : RTCUniversalServerAdmins
  • Ajouter un serveur au pool : RTCUniversalServerAdmins
  • Configurer un certificat : RTCUniversalServerAdmins
  • Configurer le certificat du serveur de composants Web : informations d'identification de l'administrateur local
  • Valider les fonctionnalités du serveur et du pool : RTCUniversalServerAdmins

Déployer Office Communicator 2007

Administrateur de l'ordinateur sur lequel Office Communicator est en cours d'installation

Configurer Office Communications Server pour Enterprise Voice

Groupe RTCUniversalUserAdmins

Déployer et configurer la messagerie unifiée Exchange Server 2007 pour qu'elle soit intégrée à Office Communications Server
  • Pour Office Communications Server : groupe RTCUniversalServerAdmins
  • Pour Exchange Server : les autorisations d'administrateur d'organisation Exchange suffisent lorsque Microsoft Office Communications Server et Exchange Server s'exécutent dans la même forêt.
    Dd425321.note(fr-fr,office.13).gifRemarque :
    Le compte d'utilisateur utilisé pour configurer la messagerie unifiée Exchange doit disposer d'autorisations d'accès en LECTURE sur les pools Office Communications Server dans les services de domaine Active Directory et en LECTURE/ÉCRITURE sur les conteneurs de configuration Exchange (Première organisation\Conteneur de plans de numérotation de messagerie unifiée\Conteneur de passerelles IP de messagerie unifiée\Conteneur de standards automatiques de messagerie unifiée, etc.).

Déployer les passerelles multimédias

Les passerelles multimédias sont des systèmes externes dotés de leurs propres schémas d'authentification et d'autorisation. Si la passerelle multimédia requiert la création d'entrées de services approuvés, vous devez être au moins membre du groupe RTCUniversalServerAdmins.

Activer les utilisateurs pour Enterprise Voice

Groupe RTCUniversalUserAdmins

Service de mise à jour des périphériques

 

Déploiement

Le service de mise à jour des périphériques est installé automatiquement sur le serveur de composants Web. Aucune autorisation de déploiement spécifique n'est nécessaire, en dehors de celles requises pour le déploiement de Standard Edition ou Enterprise Edition.

Niveaux de sécurité

Les niveaux de sécurité requis pour le déploiement d'Office Communications Server 2007 R2 sont fonction des composants que votre organisation envisage de déployer.

Niveaux de sécurité pour la messagerie unifiée Exchange

Un plan de numérotation de messagerie unifiée Exchange prend en charge trois différents niveaux de sécurité : Unsecured, SIPSecured et Secured. Vous configurez les niveaux de sécurité à l'aide du paramètre VoipSecurity du plan de numérotation de messagerie unifiée. Le tableau suivant illustre les niveaux de sécurité du plan de numérotation appropriés en fonction de l'activation ou de la désactivation de MTLS (Mutual TLS) et/ou SRTP (Secure Real-Time Transport Protocol).

Tableau 2. Valeurs VoipSecurity pour différentes combinaisons de Mutual TLS et SRTP

Niveau de sécurité Mutual TLS SRTP

Unsecured

Désactivé

Désactivé

SIPSecured

Activé (requis)

Désactivé

Secured

Activé (requis)

Activé (requis)

Lors de l'intégration de la messagerie unifiée Exchange à Office Communications Server 2007 R2, vous devez sélectionner le niveau de sécurité de plan de numérotation le mieux adapté à chaque profil vocal. Lors de cette sélection, vous devez prendre en compte les points suivants :

  • MTLS est requis entre la messagerie unifiée Exchange et Office Communications Server. Par conséquent, le niveau de sécurité du plan de numérotation ne doit pas avoir la valeur Unsecured.
  • Lorsque vous affectez la valeur SIPSecured à la sécurité du plan de numérotation, SRTP est désactivé. Dans ce cas, le niveau de chiffrement du client Office Communicator 2007 R2 doit avoir la valeur Rejeté ou Facultatif.
  • Lorsque vous affectez la valeur Secured à la sécurité du plan de numérotation, SRTP est activé et requis par la messagerie unifiée Exchange. Dans ce cas, le niveau de chiffrement du client Office Communicator 2007 R2 doit avoir la valeur Facultatif ou Requis.

Sécurité de la passerelle multimédia

Le contenu multimédia transitant dans les deux sens entre le serveur de médiation et le réseau Communications Server est chiffré avec SRTP. Les organisations qui s'appuient sur IPSec pour la sécurité des paquets sont vivement encouragées à créer une exception dans une petite plage de ports multimédias si elles doivent déployer Enterprise Voice. Les négociations de sécurité requises par IPSec fonctionnent correctement pour les connexions UDP ou TCP normales, mais elles peuvent ralentir la configuration des appels jusqu'à des niveaux inacceptables.

Dans la mesure où une passerelle multimédia reçoit des appels du réseau téléphonique commuté, cela peut représenter une vulnérabilité potentielle sur le plan de la sécurité. Pour limiter les risques, les procédures suivantes sont recommandées :

  • Activez TLS sur la liaison entre la passerelle et le serveur de médiation. Cela permet de s'assurer que les signaux seront chiffrés de bout en bout entre la passerelle et les utilisateurs internes.
  • Isolez physiquement la passerelle multimédia du réseau interne en déployant le serveur de médiation sur un ordinateur équipé de deux cartes d'interface réseau : l'une qui accepte le trafic du réseau interne uniquement et la seconde qui accepte le trafic d'une passerelle multimédia. Chaque carte est configurée avec une adresse d'écoute distincte afin qu'une séparation claire existe toujours entre le trafic approuvé provenant du réseau Communications Server et le trafic non approuvé provenant du réseau RTC.
    La bordure interne d'un serveur de médiation doit être configurée pour correspondre à un itinéraire statique unique décrit par une adresse IP et un numéro de port. Le port par défaut est 5061.
    La bordure externe d'un serveur de médiation doit être configurée comme proxy de tronçon suivant interne pour la passerelle multimédia. Elle doit être identifiée par une combinaison unique d'adresse IP et de numéro de port. L'adresse IP ne doit pas être la même que celle de la bordure interne, mais le port par défaut est 5060.