Déployer une topologie de forêt de ressources

Importante

Skype Entreprise Online a pris sa retraite le 31 juillet 2021. Si vous n’avez pas encore mis à niveau vos utilisateurs Skype Entreprise Online, ils sont automatiquement planifiés pour une mise à niveau assistée. Si vous voulez mettre à niveau votre organisation vers Teams vous-même, nous vous recommandons vivement de commencer à planifier votre chemin de mise à niveau dès aujourd’hui. N’oubliez pas qu’une mise à niveau réussie aligne la préparation technique et la préparation des utilisateurs. N’oubliez donc pas de tirer parti de nos instructions de mise à niveau à mesure que vous naviguez vers Teams.

Les sections suivantes décrivent comment configurer un environnement qui a plusieurs forêts dans un modèle de forêt de ressources/utilisateurs pour fournir des fonctionnalités dans un scénario hybride.

Environnement multi-forêts pour hybride.

Configuration requise pour la topologie

Plusieurs forêts d’utilisateurs sont prises en charge. Gardez les éléments suivants à l’esprit :

  • Pour les versions prises en charge de Lync Server et Skype Entreprise Server dans une configuration hybride, consultez Planifier la connectivité hybride.

  • Exchange Server peuvent être déployées dans une ou plusieurs forêts, qui peuvent ou non inclure la forêt contenant Skype Entreprise Server. Vérifiez que vous avez appliqué la dernière mise à jour cumulative.

  • Pour plus d’informations sur la coexistence avec Exchange Server, y compris les critères de support et les limitations dans différentes combinaisons de fonctionnalités locales et en ligne, consultez la prise en charge des fonctionnalités dans Plan pour intégrer Skype Entreprise et Exchange.

Considérations relatives à l’hébergement des utilisateurs

Skype Entreprise les utilisateurs hébergés localement peuvent avoir Exchange hébergé localement ou en ligne. Les utilisateurs teams doivent utiliser Exchange Online pour une expérience optimale ; toutefois, cela n’est pas obligatoire. Exchange local n’est pas nécessaire pour implémenter Skype Entreprise dans les deux cas.

Configurer des approbations de forêt

Dans une topologie de forêt de ressources, les forêts de ressources qui hébergent Skype Entreprise Server doivent approuver chaque forêt de comptes qui contient les comptes des utilisateurs qui y accèderont.

Si vous avez plusieurs forêts d’utilisateurs, pour activer l’authentification inter-forêts, il est important que le routage du suffixe de nom soit activé pour chacune de ces approbations de forêt. Pour obtenir des instructions, consultez Gestion des approbations de forêt.

Si vous avez Exchange Server déployé dans une autre forêt et qu’Exchange fournit des fonctionnalités pour Skype Entreprise utilisateurs, la forêt hébergeant Exchange doit approuver la forêt hébergeant Skype Entreprise Server. Par exemple, si Exchange a été déployé dans la forêt de comptes, une approbation bidirectionnelle entre le compte et les forêts Skype Entreprise est requise.

Synchroniser des comptes dans la forêt hébergeant Skype Entreprise

Supposons Skype Entreprise Server est déployé dans une forêt (une forêt de ressources), mais fournit des fonctionnalités aux utilisateurs d’une ou de plusieurs autres forêts (forêts de comptes). Dans ce cas, les utilisateurs des autres forêts doivent être représentés en tant qu’objets utilisateur désactivés dans la forêt où Skype Entreprise Server est déployé.

Vous devez utiliser un produit de gestion des identités, tel que Microsoft Identity Manager, pour approvisionner et synchroniser les utilisateurs des forêts de comptes dans la forêt où Skype Entreprise Server est déployé. Les utilisateurs doivent être synchronisés dans la forêt hébergeant Skype Entreprise Server en tant qu’objets utilisateur désactivés. Les utilisateurs ne peuvent pas être synchronisés en tant qu’objets de contact Active Directory, car Azure Active Directory Connect ne synchronise pas correctement les contacts dans Azure AD pour une utilisation avec Skype.

Quelle que soit la configuration multi-forêt, la forêt hébergeant Skype Entreprise Server peut également fournir des fonctionnalités pour tous les utilisateurs activés qui existent dans la même forêt.

Pour obtenir une synchronisation d’identité appropriée, les attributs suivants doivent être synchronisés :

Forêts d’utilisateurs Forêts de ressources
attribut de lien de compte choisi
attribut de lien de compte choisi
mail
mail
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

L’attribut de lien de compte choisi sera utilisé comme ancre source. Si vous avez un attribut différent et immuable que vous préféreriez utiliser, vous pouvez le faire ; veillez simplement à modifier la règle de revendications AD FS et sélectionnez l’attribut pendant la configuration AAD Connect.

Ne synchronisez pas les UPN entre les forêts. Vous devez utiliser un UPN unique pour chaque forêt d’utilisateurs, car vous ne pouvez pas utiliser le même UPN dans plusieurs forêts. Par conséquent, il existe deux possibilités : synchroniser l’UPN ou ne pas synchroniser.

  • Si l’UPN unique de chaque forêt d’utilisateurs n’était pas synchronisé avec l’objet désactivé associé dans la forêt de ressources, l’authentification unique (SSO) serait interrompue pour au moins la tentative de connexion initiale (en supposant que l’utilisateur ait sélectionné l’option d’enregistrement du mot de passe). Dans le client Skype Entreprise, nous partons du principe que les valeurs SIP/UPN sont les mêmes. Étant donné que l’adresse SIP dans ce scénario est user@company.com, mais que l’UPN de l’objet activé dans la forêt d’utilisateurs est en fait user@contoso.company.com, la tentative de connexion initiale échoue et l’utilisateur est invité à entrer les informations d’identification. Lorsque vous entrez leur upN correct, la demande d’authentification est effectuée sur les contrôleurs de domaine dans la forêt d’utilisateurs et la connexion réussit.

  • Si l’UPN unique de chaque forêt d’utilisateurs a été synchronisé avec l’objet désactivé associé dans la forêt de ressources, l’authentification AD FS échoue. La règle de correspondance recherche l’UPN sur l’objet dans la forêt de ressources, qui a été désactivée et n’a pas pu être utilisée pour l’authentification.

Créer une organisation Microsoft 365

Vous devez approvisionner une organisation Microsoft 365 à utiliser avec votre déploiement. Pour plus d’informations, consultez Abonnements, licences, comptes et locataires pour les offres cloud de Microsoft.

Configurer Services ADFS

Une fois que vous avez un locataire, vous devez configurer Services ADFS (AD FS) dans chacune des forêts utilisateur. Cela suppose que vous disposez d’une adresse SIP et SMTP unique et d’un nom d’utilisateur principal (UPN) pour chaque forêt. AD FS est facultatif et est utilisé ici pour obtenir l’authentification unique (SSO). DirSync avec synchronisation de mot de passe est également pris en charge et peut également être utilisé à la place d’AD FS.

Seuls les déploiements avec DES SIP/SMTP et UPN correspondants ont été testés. Le fait de ne pas avoir de SIP/SMTP/UPN correspondants peut entraîner une réduction des fonctionnalités, telles que des problèmes avec l’intégration d’Exchange et l’authentification unique.

Sauf si vous utilisez un SIP/SMTP/UPN unique pour les utilisateurs de chaque forêt, vous pouvez toujours rencontrez des problèmes d’authentification unique, quel que soit l’endroit où AD FS est déployé :

  • Approbations unidirectionnelle ou bidirectionnelle entre les forêts de ressources/utilisateurs avec une batterie de serveurs AD FS déployée dans chaque forêt d’utilisateurs, tous les utilisateurs partagent un domaine SIP/SMTP commun, mais un UPN unique pour chaque forêt d’utilisateurs.

  • Approbations bidirectionnelle entre les forêts de ressources/utilisateurs avec une batterie de serveurs AD FS déployée uniquement dans la forêt de ressources. Tous les utilisateurs partagent un domaine SIP/SMTP commun, mais un UPN unique pour chaque forêt d’utilisateurs.

En plaçant une batterie de serveurs AD FS dans chaque forêt d’utilisateurs et en utilisant un SIP/SMTP/UPN unique pour chaque forêt, nous résolvez les deux problèmes. Seuls les comptes de cette forêt d’utilisateurs spécifiques sont recherchés et mis en correspondance pendant les tentatives d’authentification. Cela permet de fournir un processus d’authentification plus transparent.

Ce déploiement sera un déploiement standard de la Windows Server 2012 R2 AD FS et devrait fonctionner avant de continuer. Pour obtenir des instructions, consultez Comment installer AD FS 2012 R2 pour Microsoft 365.

Une fois déployé, vous devez modifier la règle de revendications pour qu’elle corresponde à l’ancre source sélectionnée précédemment. Dans AD FS MMC, sous Approbations de partie de confiance, cliquez avec le bouton droit sur Microsoft 365 Identity Platform ou Microsoft Office 365 Identity Platform, puis sélectionnez Modifier les règles de revendication. Modifiez la première règle et remplacez ObjectSID par employeeNumber.

Écran de modification des règles multi-forêts.

Configurer AAD Connect

Dans les topologies de forêt de ressources, il est nécessaire que les attributs utilisateur de la forêt de ressources et de toutes les forêts de comptes soient synchronisés dans Azure AD. Microsoft recommande qu’Azure AD Connect synchronise et fusionne les identités utilisateur de toutes les forêts qui ont activé des comptes d’utilisateur et de la forêt qui contient Skype Entreprise. Pour plus d’informations, consultez Configurer Azure AD Connect pour Skype Entreprise et Teams.

Notez qu’Azure AD Connect ne fournit pas de synchronisation locale entre le compte et les forêts de ressources. Cela doit être configuré à l’aide d’Microsoft Identity Manager ou d’un produit similaire, comme décrit précédemment.

Lorsque vous avez terminé et qu’Azure AD Connect est en fusion, si vous examinez un objet dans le métaverse, vous devriez voir quelque chose de similaire à ce qui suit :

Écran d’objet métaverse multi-forêts.

Les attributs en surbrillance verts ont été fusionnés à partir de Microsoft 365, le jaune est issu de la forêt utilisateur et le bleu est issu de la forêt de ressources.

Dans cet exemple, Azure AD Connect a identifié sourceAnchor et cloudSourceAnchor à partir de l’utilisateur et les objets de forêt de ressources de Microsoft 365, dans le cas présent 1101 : employeeNumber sélectionné précédemment. Azure AD Connect leur a permis de fusionner cet objet dans ce que vous voyez ci-dessus.

Pour plus d’informations, consultez Intégrer vos répertoires locaux à Azure Active Directory.

Azure AD Connect doit être installé à l’aide des valeurs par défaut, à l’exception des éléments suivants :

  1. Authentification unique : avec AD FS déjà déployé et opérationnel : sélectionnez Ne pas configurer.

  2. Connecter vos répertoires : ajoutez tous les domaines.

  3. Identifier les utilisateurs dans les répertoires locaux : sélectionnez les identités d’utilisateur qui existent dans plusieurs répertoires, puis sélectionnez les attributs ObjectSID et msExchangeMasterAccountSID .

  4. Identifier les utilisateurs dans Azure AD : Ancre source : sélectionnez l’attribut que vous avez choisi après avoir lu Sélectionner un attribut sourceAnchor correct, Nom d’utilisateur principal - userPrincipalName.

  5. Fonctionnalités facultatives : indiquez si Vous avez déployé Exchange hybride.

    Remarque

    Si vous n’avez que Exchange Online, il peut y avoir un problème avec les échecs OAuth pendant la découverte automatique en raison de la redirection CNAME. Pour corriger cela, vous devez définir l’URL de découverte automatique Exchange en exécutant l’applet de commande suivante à partir de l’interpréteur de commandes Skype Entreprise Server Management Shell :

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. Batterie de serveurs AD FS : sélectionnez Utiliser une batterie de serveurs Windows Server 2012 R2 AD FS existante et entrez le nom du serveur AD FS.

  7. Terminez l’Assistant et effectuez les validations nécessaires.

Configurer la connectivité hybride pour Skype Entreprise Server

Suivez les bonnes pratiques pour configurer Skype Entreprise hybride. Pour plus d’informations, consultez Planifier la connectivité hybride et configurer la connectivité hybride.

Configurer la connectivité hybride pour Exchange Server

Si nécessaire, suivez les bonnes pratiques de configuration d’Exchange hybride. Pour plus d’informations, consultez Exchange Server déploiements hybrides.