Megosztás a következőn keresztül:

A helyszíni Skype Vállalati verzió konfigurálása hibrid modern hitelesítés használatára

  • Cikk

Ez a cikk Microsoft 365 Nagyvállalati verzió és Office 365 Nagyvállalati verzió egyaránt vonatkozik.

A modern hitelesítés az identitáskezelés olyan módszere, amely biztonságosabb felhasználói hitelesítést és engedélyezést biztosít, elérhető a helyszíni és a helyszíni Exchange-kiszolgáló Skype Vállalati verzió, valamint a megosztott tartományú Skype Vállalati verzió hibridekhez.

Fontos

Szeretne többet megtudni a modern hitelesítésről (MA), és miért érdemes inkább a vállalatnál vagy szervezetnél használni? Tekintse meg ezt a dokumentumot az áttekintésért. Ha tudnia kell, hogy a ma milyen Skype Vállalati verzió topológiákat támogat, az itt található!

Mielőtt hozzákezdenénk, a következő kifejezéseket használom:

  • Modern hitelesítés (MA)

  • Hibrid modern hitelesítés (HMA)

  • Helyszíni Exchange (EXCH)

  • Exchange Online (EXO)

  • helyszíni Skype Vállalati verzió (SFB)

  • Skype Vállalati verzió Online (SFBO)

Emellett ha a cikkben szereplő ábrán egy objektum szürkén jelenik meg, vagy szürkén jelenik meg, az azt jelenti, hogy a szürke elem nem szerepel az MA-specifikus konfigurációban.

Az összefoglalás elolvasása

Ez az összefoglalás olyan lépésekre bontja a folyamatot, amelyek egyébként elveszhetnek a végrehajtás során, és egy átfogó ellenőrzőlista segítségével nyomon követheti, hogy hol tart a folyamatban.

  1. Először győződjön meg arról, hogy megfelel az összes előfeltételnek.

  2. Mivel a Skype Vállalati verzió és az Exchange esetében is számos előfeltétel gyakori, tekintse meg az ismételt ellenőrzés előtti ellenőrzőlista áttekintését ismertető cikket. Mielőtt elkezdené a cikk lépéseit , végezze el ezt a műveletet.

  3. Gyűjtse össze a fájlban vagy a OneNote-ban szükséges HMA-specifikus adatokat.

  4. Kapcsolja be a Modern hitelesítést az EXO-hoz (ha még nincs bekapcsolva).

  5. Kapcsolja be a modern hitelesítést az SFBO-hoz (ha még nincs bekapcsolva).

  6. Kapcsolja be a hibrid modern hitelesítést a helyszíni Exchange-hez.

  7. Kapcsolja be a hibrid modern hitelesítést a helyszíni Skype Vállalati verzió.

Ezek a lépések bekapcsolják az MA-t az SFB, az SFBO, az EXCH és az EXO esetében, azaz az összes olyan terméket, amely részt vehet az SFB és az SFBO HMA-konfigurációjában (beleértve az EXCH-ről/EXO-ról való függőségeket is). Más szóval, ha a felhasználók a hibrid (EXO + SFBO, EXO + SFB, EXCH + SFBO vagy EXCH + SFB) bármely részében létrehozott postaládákat használnak,akkor a kész termék a következőképpen néz ki:

A Vegyes 6 Skype Vállalati verzió HMA-topológiája mind a négy lehetséges helyen rendelkezik ma-val.

Amint láthatja, négy különböző helyen kapcsolhatja be a MA-t! A legjobb felhasználói élmény érdekében javasoljuk, hogy kapcsolja be az MA-t mind a négy helyen. Ha ezeknél a helyeknél nem tudja bekapcsolni a ma funkciót, módosítsa úgy a lépéseket, hogy csak a környezetéhez szükséges helyeken kapcsolja be a ma-t.

A támogatott topológiákért tekintse meg a Skype Vállalati verzió és a MA használatával kapcsolatos támogatási témakört.

Fontos

Mielőtt hozzákezdene, ellenőrizze, hogy az összes előfeltétel teljesült-e. Ezeket az információkat a hibrid modern hitelesítés áttekintésében és előfeltételeiben találja.

Gyűjtse össze az összes szükséges HMA-specifikus információt

Miután ellenőrizte, hogy megfelel-e a modern hitelesítés használatának előfeltételeinek (lásd az előző megjegyzést), létre kell hoznia egy fájlt a HMA konfigurálásához szükséges információk tárolásához az elkövetkező lépések során. A cikkben használt példák:

  • SIP/SMTP-tartomány

    • Ex. contoso.com (Office 365 összevonva)

  • Bérlőazonosító

    • A Office 365 bérlőt jelölő GUID (a contoso.onmicrosoft.com bejelentkezésénél).

  • SFB 2015 CU5 webszolgáltatás URL-címei

Az összes üzembe helyezett SfB 2015-készlethez belső és külső webszolgáltatás URL-címére van szükség. Ezek beszerzéséhez futtassa a következő parancsot a Skype Vállalati verzió Management Shellből:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

Standard kiadású kiszolgáló használata esetén a belső URL-cím üres lesz. Ebben az esetben használja a készlet teljes tartománynevét a belső URL-címhez.

A modern hitelesítés bekapcsolása az EXO-hoz

Kövesse az itt található utasításokat: Exchange Online: A bérlő modern hitelesítésének engedélyezése.

Modern hitelesítés bekapcsolása az SFBO-hoz

Kövesse az itt található utasításokat: Skype Vállalati verzió Online: Engedélyezze a bérlőt a modern hitelesítéshez.

A hibrid modern hitelesítés bekapcsolása a helyszíni Exchange-hez

Kövesse az alábbi utasításokat: A helyszíni Exchange Server konfigurálása a hibrid modern hitelesítés használatára.

A hibrid modern hitelesítés bekapcsolása helyszíni Skype Vállalati verzió esetén

Helyszíni webszolgáltatás URL-címeinek hozzáadása egyszerű szolgáltatásnévként a Microsoft Entra ID

Most parancsokat kell futtatnia az (korábban gyűjtött) URL-címek szolgáltatásnevekként való hozzáadásához az SFBO-ban.

Megjegyzés:

A szolgáltatásnév (SPN) azonosítja a webszolgáltatásokat, és társítja őket egy rendszerbiztonsági taggal (például fióknévvel vagy csoporttal), hogy a szolgáltatás egy jogosult felhasználó nevében járjon el. A kiszolgálóra hitelesítő ügyfelek az SPN-ek által tartalmazott információkat használják.

Megjegyzés:

Azure AD és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információért olvassa el az elavulással kapcsolatos frissítést. Ezen időpont után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok továbbra is működni fognak 2025. március 30-án.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábban Azure AD) használatához. A gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadásokat tapasztalhatnak.

  1. Először kapcsolódjon Microsoft Entra ID az alábbi utasítások segítségével.

  2. Futtassa ezt a helyszíni parancsot az SFB webszolgáltatás URL-címeinek lekéréséhez.

    Az AppPrincipalId a következővel 00000004kezdődik: . Ez a Skype Vállalati verzió Online-nak felel meg.

    Jegyezze fel (és képernyőkép a későbbi összehasonlításhoz) a parancs kimenetét, amely tartalmaz egy SE és WS URL-címet, de többnyire spN-ekből áll, amelyek a következővel 00000004-0000-0ff1-ce00-000000000000/kezdődnek: .

    Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames

  3. Ha a helyszíni belső vagy külső SFB URL-címek hiányoznak (például https://lyncwebint01.contoso.com és https://lyncwebext01.contoso.com), hozzá kell adnunk ezeket a rekordokat ehhez a listához.

    Mindenképpen cserélje le a példa URL-címeket a tényleges URL-címekre a Hozzáadás parancsokban!

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
$x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
$x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

  4. Az új rekordok hozzáadásának ellenőrzéséhez futtassa újra a Get-MsolServicePrincipal parancsot a 2. lépésben, és tekintse át a kimenetet. Hasonlítsa össze a korábbiak listáját vagy képernyőképét az egyszerű szolgáltatásnevek új listájával. Képernyőképet is készíthet a rekordok új listájáról. Ha sikeres volt, megtekintheti a két új URL-címet a listában. A példánk szerint az SPN-ek listája mostantól tartalmazza az adott URL-címeket https://lyncwebint01.contoso.com és https://lyncwebext01.contoso.com/a -t.

az EvoSTS hitelesítési kiszolgálóobjektumának Létrehozás

Futtassa a következő parancsot a Skype Vállalati verzió Management Shellben.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Hibrid modern hitelesítés engedélyezése

Ez az a lépés, amely ténylegesen bekapcsolja az MA-t. Az összes korábbi lépés előre futtatható az ügyfél-hitelesítési folyamat módosítása nélkül. Ha készen áll a hitelesítési folyamat módosítására, futtassa ezt a parancsot a Skype Vállalati verzió Management Shellben.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Ellenőrizze

A HMA engedélyezése után az ügyfél következő bejelentkezése az új hitelesítési folyamatot fogja használni. A HMA bekapcsolása egyetlen ügyfél esetében sem válthat ki újrahitelesítést. Az ügyfelek az általuk használt hitelesítési jogkivonatok és/vagy tanúsítványok élettartama alapján újrahitelesülnek.

Ha azt szeretné tesztelni, hogy a HMA működik-e az engedélyezése után, jelentkezzen ki egy teszt SFB Windows-ügyfélből, és mindenképpen válassza a "hitelesítő adatok törlése" lehetőséget. Jelentkezzen be újra. Az ügyfélnek most a Modern hitelesítési folyamatot kell használnia, és a bejelentkezése mostantól tartalmaz egy Office 365 kérést egy "Munkahelyi vagy iskolai" fiókra, amely közvetlenül azelőtt jelenik meg, hogy az ügyfél kapcsolatba lép a kiszolgálóval, és bejelentkezteti Önt.

Az OAuth-szolgáltatóhoz tartozó Skype Vállalati verzió-ügyfelek konfigurációs adatait is ellenőriznie kell. Ehhez tartsa lenyomva a CTRL billentyűt az ügyfélszámítógépen, miközben a windowsos értesítési tálcán a jobb gombbal a Skype Vállalati verzió ikonra kattint. A megjelenő menüben válassza a Konfigurációs adatok lehetőséget. Az asztalon megjelenő "Skype Vállalati verzió Konfigurációs adatok" ablakban keresse meg a következőket:

A modern hitelesítést használó Skype Vállalati verzió-ügyfél konfigurációs adatai a Lync és az EWS OAUTH-szolgáltató URL-címét jelenítik meg:https://login.windows.net/common/oauth2/authorize.

Tartsa lenyomva a CTRL billentyűt is, miközben a jobb gombbal az Outlook-ügyfél ikonjára kattint (a Windows értesítési tálcáján is), és válassza a Kapcsolat állapota lehetőséget. Keresse meg az ügyfél SMTP-címét a Tulajdonos* AuthN-típuson, amely az OAuth-ban használt tulajdonosi jogkivonatot jelöli.

Térjen vissza a Modern hitelesítés áttekintéséhez.

Tudnia kell, hogyan használhatja a modern hitelesítést a Skype Vállalati verzió-ügyfelekhez? Itt találja a következő lépéseket: A hibrid modern hitelesítés áttekintése és előfeltételei a helyszíni Skype Vállalati verzió és Exchange-kiszolgálókkal való használatához.