Déployer une topologie de forêt de ressources

  • Article

Important

Skype Entreprise Online exploité par 21Vianet en Chine sera mis hors service le 1er octobre 2023. Si vous n’avez pas encore mis à niveau vos utilisateurs Skype Entreprise Online, ils sont automatiquement planifiés pour une mise à niveau assistée. Si vous souhaitez mettre à niveau votre organization vers Teams vous-même, nous vous recommandons vivement de commencer à planifier votre chemin de mise à niveau dès aujourd’hui. N’oubliez pas qu’une mise à niveau réussie aligne la préparation technique et la préparation des utilisateurs. Veillez donc à tirer parti de nos conseils de mise à niveau lorsque vous naviguez vers Teams.

Skype Entreprise Online, à l’exception du service exploité par 21Vianet en Chine, a été mis hors service le 31 juillet 2021.

Les sections suivantes décrivent comment configurer un environnement qui a plusieurs forêts dans un modèle de forêt de ressources/utilisateurs pour fournir des fonctionnalités dans un scénario hybride.

Environnement à forêts multiples pour hybride.

Conditions requises pour la topologie

Les forêts d’utilisateurs multiples sont prises en charge. Tenez compte des points suivants :

  • Pour connaître les versions prises en charge de Lync Server et Skype Entreprise Server dans une configuration hybride, consultez Planifier la connectivité hybride.

  • Exchange Server peuvent être déployés dans une ou plusieurs forêts, qui peuvent inclure ou non la forêt contenant Skype Entreprise Server. Vérifiez que vous avez appliqué la dernière mise à jour cumulative.

  • Pour plus d’informations sur la coexistence avec Exchange Server, y compris les critères de prise en charge et les limitations dans différentes combinaisons de services locaux et en ligne, consultez Prise en charge des fonctionnalités dans Planifier l’intégration de Skype Entreprise et Exchange.

Aspects relatifs à l’hébergement des utilisateurs

Skype Entreprise utilisateurs hébergés localement peuvent avoir Exchange hébergé localement ou en ligne. Les utilisateurs de Teams doivent utiliser Exchange Online pour une expérience optimale. Toutefois, cela n’est pas obligatoire. Exchange sur site n’est pas nécessaire pour implémenter Skype Entreprise dans les deux cas.

Configurer des approbations de forêt

Dans une topologie de forêt de ressources, les forêts de ressources hébergeant Skype Entreprise Server doivent approuver chaque forêt de comptes qui contient les comptes des utilisateurs qui y accèdent.

Si vous avez plusieurs forêts d’utilisateurs, pour activer l’authentification inter-forêts, il est important que le routage du suffixe de nom soit activé pour chacune de ces approbations de forêt. Pour obtenir des instructions, consultez Gestion des approbations de forêt.

Si vous avez Exchange Server déployé dans une autre forêt et qu’Exchange fournit des fonctionnalités pour Skype Entreprise utilisateurs, la forêt hébergeant Exchange doit approuver la forêt hébergeant Skype Entreprise Server. Par exemple, si Exchange a été déployé dans la forêt de comptes, une approbation bidirectionnelle entre le compte et les forêts Skype Entreprise est requise.

Synchroniser les comptes dans la forêt hébergeant Skype Entreprise

Supposons que Skype Entreprise Server est déployé dans une forêt (forêt de ressources), mais fournit des fonctionnalités aux utilisateurs d’une ou plusieurs autres forêts (forêts de comptes). Dans ce cas, les utilisateurs des autres forêts doivent être représentés en tant qu’objets utilisateur désactivés dans la forêt où Skype Entreprise Server est déployé.

Vous devez utiliser un produit de gestion des identités, tel que Microsoft Identity Manager, pour approvisionner et synchroniser les utilisateurs des forêts de comptes dans la forêt où Skype Entreprise Server est déployé. Les utilisateurs doivent être synchronisés dans la forêt hébergeant Skype Entreprise Server en tant qu’objets utilisateur désactivés. Les utilisateurs ne peuvent pas être synchronisés en tant qu’objets contact Active Directory, car Microsoft Entra Connect ne synchronise pas correctement les contacts dans Microsoft Entra ID pour une utilisation avec Skype.

Quelle que soit la configuration à forêts multiples, la forêt hébergeant Skype Entreprise Server peut également fournir des fonctionnalités pour tous les utilisateurs activés qui existent dans la même forêt.

Pour une synchronisation correcte des identités, les attributs suivants doivent être synchronisés :

Forêts d’utilisateurs Forêts de ressources
attribut de lien du compte choisi
 attribut de lien du compte choisi
mail
mail
ProxyAddresses
 ProxyAddresses
ObjectSID
 msRTCSIP-OriginatorSID

L’attribut de lien de compte choisi sera utilisé comme ancre source. Si vous avez un attribut différent et immuable que vous préférez utiliser, vous pouvez le faire ; veillez simplement à modifier la règle de revendications AD FS et à sélectionner l’attribut pendant la configuration Microsoft Entra Connect.

Ne synchronisez pas les UPN entre les forêts. Vous devez utiliser un UPN unique pour chaque forêt d’utilisateurs, car vous ne pouvez pas utiliser le même UPN sur plusieurs forêts. Par conséquent, il existe deux possibilités : synchroniser l’UPN ou ne pas synchroniser.

  • Si l’UPN unique de chaque forêt d’utilisateurs n’a pas été synchronisé avec l’objet désactivé associé dans la forêt de ressources, l’authentification unique (SSO) est interrompue pour au moins la tentative de connexion initiale (en supposant que l’utilisateur a sélectionné l’option d’enregistrement du mot de passe). Dans le client Skype Entreprise, nous partons du principe que les valeurs SIP/UPN sont identiques. Étant donné que l’adresse SIP dans ce scénario est user@company.com, mais que l’UPN de l’objet activé dans la forêt utilisateur est en fait user@contoso.company.com, la tentative de connexion initiale échoue et l’utilisateur est invité à entrer des informations d’identification. Lors de l’entrée de leur UPN correct, la demande d’authentification est effectuée auprès des contrôleurs de domaine dans la forêt de l’utilisateur et la connexion réussit.

  • Si l’UPN unique de chaque forêt d’utilisateurs était synchronisé avec l’objet désactivé associé dans la forêt de ressources, l’authentification AD FS échouerait. La règle correspondante trouve l’UPN sur l’objet dans la forêt de ressources, qui a été désactivé et n’a pas pu être utilisé pour l’authentification.

Créer un organization Microsoft 365

Vous devez provisionner un organization Microsoft 365 à utiliser avec votre déploiement. Pour plus d’informations, consultez Abonnements, licences, comptes et locataires pour les offres cloud de Microsoft.

Configurer Services ADFS

Une fois que vous avez un locataire, vous devez configurer Services ADFS (AD FS) dans chacune des forêts d’utilisateurs. Cela suppose que vous disposez d’un SIP, d’une adresse SMTP et d’un nom d’utilisateur principal (UPN) uniques dans chaque forêt. AD FS est facultatif et est utilisé ici pour obtenir l’authentification unique (SSO). DirSync avec synchronisation des mots de passe est également pris en charge et peut aussi être utilisé à la place d’AD FS.

Seuls les déploiements avec SIP/SMTP et UPN correspondants ont été testés. Le fait de ne pas avoir de noms SIP/SMTP/UPN correspondants peut entraîner une réduction des fonctionnalités, telles que des problèmes d’intégration Exchange et d’authentification unique.

Sauf si vous utilisez un SIP/SMTP/UPN unique pour les utilisateurs de chaque forêt, vous pouvez toujours rencontrer des problèmes d’authentification unique, quel que soit l’emplacement de déploiement d’AD FS :

  • Des approbations unidirectionnelles et bidirectionnelles entre les forêts ressource/utilisateur avec une batterie de serveurs AD FS déployée dans chaque forêt utilisateur. Tous les utilisateurs partagent le même domaine SIP/SMTP mais l’UPN est unique pour chaque forêt d’utilisateur.

  • Des approbations bidirectionnelles entre forêts ressource/utilisateur avec une batterie de serveurs AD FS uniquement déployée dans les forêts de ressources. Tous les utilisateurs partagent le même domaine SIP/SMTP mais l’UPN est unique pour chaque forêt d’utilisateur.

Pour résoudre le problème, placez une batterie de serveurs AD FS dans chaque forêt utilisateur et utilisez des SIP/SMTP/UPN uniques pour chaque forêt. Seuls les comptes de cette forêt d’utilisateurs seront pris en compte lors des tentatives d’authentification. Cela vous permettra de proposer une procédure d’authentification plus transparente.

Ce déploiement sera un déploiement standard de la Windows Server 2012 R2 AD FS et doit fonctionner avant de continuer. Pour obtenir des instructions, consultez Guide pratique pour installer AD FS 2012 R2 pour Microsoft 365.

Une fois déployé, vous devez modifier la règle de revendications pour qu’elle corresponde à l’ancre source sélectionnée précédemment. Dans la console MMC AD FS, sous Approbations de partie de confiance, cliquez avec le bouton droit sur Plateforme d’identité Microsoft 365 ou Microsoft Office 365 Plateforme d’identité, puis sélectionnez Modifier les règles de revendication. Modifiez la première règle et remplacez ObjectSID par employeeNumber.

Écran De modification des règles à forêts multiples.

Configurer Microsoft Entra Connect

Dans les topologies de forêt de ressources, il est nécessaire que les attributs utilisateur de la forêt de ressources et de toutes les forêts de compte soient synchronisés dans Microsoft Entra ID. Microsoft recommande que Microsoft Entra Connect synchronise et fusionne les identités utilisateur de toutes les forêts qui ont activé des comptes d’utilisateur et la forêt qui contient Skype Entreprise. Pour plus d’informations, consultez Configurer Microsoft Entra Connect pour Skype Entreprise et Teams.

Notez que Microsoft Entra Connect n’assure pas la synchronisation locale entre les forêts de comptes et de ressources. Cela doit être configuré à l’aide de Microsoft Identity Manager ou d’un produit similaire, comme décrit précédemment.

Lorsque vous avez terminé et que Microsoft Entra Connect est en cours de fusion, si vous examinez un objet dans le métaverse, vous devriez voir quelque chose de similaire à ce qui suit :

Écran d’objet métaverse multi-forêts.

Les attributs en surbrillance verts ont été fusionnés à partir de Microsoft 365, le jaune provient de la forêt utilisateur et le bleu provient de la forêt de ressources.

Dans cet exemple, Microsoft Entra Connect a identifié sourceAnchor et cloudSourceAnchor à partir de l’utilisateur et les objets de forêt de ressources de Microsoft 365, dans ce cas 1101--employeeNumber sélectionné précédemment. Microsoft Entra Connect a pu fusionner cet objet dans ce que vous voyez ci-dessus.

Pour plus d’informations, consultez Intégrer vos répertoires locaux à Microsoft Entra ID.

Microsoft Entra Connect doit être installé à l’aide des valeurs par défaut, sauf dans les cas suivants :

  1. Authentification unique - avec AD FS déjà déployé et opérationnel : sélectionnez Ne pas configurer.

  2. Connecter vos répertoires : ajoutez tous les domaines.

  3. Identifier les utilisateurs dans les répertoires locaux : sélectionnez Les identités d’utilisateur existent dans plusieurs répertoires, puis sélectionnez les attributs ObjectSID et msExchangeMasterAccountSID .

  4. Identifier les utilisateurs dans Microsoft Entra ID : Ancre source : sélectionnez l’attribut que vous avez choisi après avoir lu Sélection d’un attribut sourceAnchor correct, Nom d’utilisateur principal - userPrincipalName.

  5. Fonctionnalités facultatives : indiquez si vous avez déployé Exchange hybride.

    Remarque

    Si vous ne disposez que d’Exchange Online, il peut y avoir un problème avec les échecs OAuth pendant la découverte automatique en raison d’une redirection CNAME. Pour corriger cela, vous devez définir l’URL de découverte automatique Exchange en exécutant l’applet de commande suivante à partir de Skype Entreprise Server Management Shell :

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Batterie de serveurs AD FS : sélectionnez Utilisation d’une batterie de serveurs Windows Server 2012 R2 AD FS existante et entrez le nom du serveur AD FS.

  7. Terminez les étapes de l’assistant et effectuez les validations nécessaires.

Configurer la connectivité hybride pour Skype Entreprise Server

Suivez les bonnes pratiques pour configurer Skype Entreprise hybride. Pour plus d’informations, consultez Planifier la connectivité hybride et Configurer la connectivité hybride.

Configurer la connectivité hybride pour Exchange Server

Si nécessaire, suivez les meilleures pratiques pour la configuration hybride d’Exchange. Pour plus d’informations, consultez Exchange Server déploiements hybrides.