Pianificare la mobilità per Skype for Business Server
Pianificare l'implementazione della mobilità per Skype for Business Server.
Con Skype for Business Server, è possibile distribuire la funzionalità per dispositivi mobili per fornire la funzionalità di Skype for Business Server nei dispositivi mobili. Questo articolo fornisce informazioni dettagliate sulla funzionalità mobilità e consente di pianificare la distribuzione.
La funzionalità per dispositivi mobili di Skype for Business Server è in grado di supportare i client mobili per Skype for Business e i client Lync che risalgono al 2010. Una volta distribuita, gli utenti possono connettersi alla distribuzione di Skype for Business Server utilizzando dispositivi mobili iOS, Android e Windows Phone supportati per sfruttare diverse funzionalità, tra cui le funzionalità VoIP aziendale. Abbiamo incluso un elenco parziale di seguito e puoi anche controllare il confronto delle funzionalità del client desktop per Skype for Business per ulteriori informazioni:
Inviare e ricevere messaggi
Visualizzare la presenza
Visualizzare i contatti
Fare clic per partecipare a una conferenza
Chiamare tramite ufficio
Portata numero singolo
Vocale
Notifica di chiamata senza risposta
Voice over IP (VoIP)
Video partecipanti (H.264)
Visualizzazione del contenuto della riunione (PowerPoint e condivisione desktop/applicazioni)
Tutto questo viene ottenuto tramite l'API Web Unified Communications, o UCWA. UCWA è stato introdotto per la prima volta in Lync Server 2013 ed è ancora in uso per Skype for Business Server. È disponibile una funzionalità aggiuntiva per la comunicazione con i client Lync 2010, ovvero Mobility Service (MCX). Si tratta di servizi gratuiti che consentono ai client Lync Server 2010 e 2013, nonché ai client Skype for Business, di accedere correttamente alle distribuzioni di Skype for Business Server.
Nota
Il supporto MCX (Mobility Service) per i client mobili legacy non è più disponibile in Skype for Business Server 2019. Tutti gli attuali client per dispositivi mobili Skype for Business usano già l'API Unified Communications Web API (UCWA) per supportare la messaggistica istantanea, la presenza e i contatti. Gli utenti con client legacy che usano MCX dovranno eseguire l'aggiornamento a un client corrente.
È importante notare che, anche se tutte queste funzionalità sono disponibili dopo l'implementazione di Mobility, potrebbero funzionare in modo leggermente diverso in alcuni dispositivi. Abbiamo un sito Web che descrive quali funzionalità funzionano su quali dispositivi, in Confronto delle funzionalità client mobili per Skype for Business. Abbiamo anche alcune ottime informazioni sui dispositivi e sul sistema operativo in Plan for clients and devices.
La funzionalità di individuazione automatica utilizza la funzionalità di individuazione automatica, che consente ai client di individuare automaticamente i servizi Web di Skype for Business Server senza che gli utenti debbano immettere url (non avranno nemmeno bisogno di conoscerli). Se è necessario eseguire alcune operazioni di risoluzione dei problemi, l'immissione manuale degli URL è ancora supportata.
Sono supportate anche le notifiche push, per quando l'app Skype for Business non è in esecuzione in background (o per i dispositivi mobili che non supportano le applicazioni in esecuzione in background). Viene inviata una notifica push a un dispositivo mobile relativa a un evento che si verifica quando il dispositivo o l'app è inattivo. Un buon esempio è l'assenza di un messaggio istantaneo quando il telefono non è attivo, con conseguente invio di una notifica push (presentata come avviso popup o notifica, ad esempio quando l'app è in esecuzione in background). Con le notifiche push, gli utenti non perdono messaggistica istantanea o chiamate vocali.
Per ulteriori informazioni, sono disponibili le sezioni seguenti:
Sono disponibili quattro servizi che comprendono Mobilità per Skype for Business Server:
UCWA (Unified Communications Web API)
Fornisce servizi per comunicazioni in tempo reale con client mobili e Web per Skype for Business Server. Quando viene distribuito Skype for Business Server, viene creata una directory virtuale UCWA nei servizi Web interni ed esterni. Componente virtuale in questa directory virtuale che accetta chiamate da client abilitati per UCWA. Le app client comunicano tramite un'interfaccia REST (Representational State Transfer) per:
Presenza
Contatti
messaggistica istantanea
Voip
Videoconferenza
Collaborazione
UCWA usa un canale basato su P-GET per inviare eventi, ad esempio una chiamata in arrivo, un messaggio istantaneo in arrivo o un messaggio all'app client.
Servizio di mobilità (MCX)
Supporta la funzionalità di Skype for Business Server, ad esempio messaggistica istantanea, presenza e contatti, nei dispositivi mobili. Il servizio per dispositivi mobili viene installato in tutti i Front End Server di ogni pool destinato a supportare le funzionalità di Skype for Business Server nei dispositivi mobili. Quando installi Skype for Business Server 2015, viene creata una nuova directory virtuale (Mcx) sia nei siti Web interni che in quello esterno dei front end server.
Nota
Il supporto MCX (Mobility Service) per i client mobili legacy non è più disponibile in Skype for Business Server 2019. Tutti gli attuali client per dispositivi mobili Skype for Business usano già l'API Unified Communications Web API (UCWA) per supportare la messaggistica istantanea, la presenza e i contatti. Gli utenti con client legacy che usano MCX dovranno eseguire l'aggiornamento a un client corrente.
Servizio di individuazione automatica
Identifica la posizione dell'utente e consente ai dispositivi mobili e ad altri client Skype for Business di individuare le risorse (ad esempio gli URL interni ed esterni per i servizi Web di Skype for Business Server, l'URL Mcx o l'URL UCWA) indipendentemente dal percorso di rete. L'individuazione automatica usa i nomi host hardcoded (lyncdiscoverinternal per gli utenti all'interno della rete, lyncdiscover per gli utenti esterni alla rete) e il dominio SIP dell'utente. Supporta le connessioni client che usano HTTP o HTTPS.
Il servizio di individuazione automatica viene installato in tutti i Front End Server e in ogni director di ogni pool che ha lo scopo di supportare le funzionalità di Skype for Business Server nei dispositivi mobili. Quando si installa il servizio, viene creata una nuova directory virtuale (individuazione automatica) nei siti Web interni ed esterni dei server front-end e dei direttori.
Servizio di notifica Push
Un servizio basato sul cloud che si trova nel tuo data center di Skype for Business Online. Nei telefoni in cui il client Skype for Business non è in esecuzione in background, quando si verifica un nuovo evento, al dispositivo mobile viene inviata una notifica di un evento perso (denominato notifica push). Il servizio di mobilità invia una notifica al servizio di notifica push (MPNS), che quindi la invia al dispositivo mobile. L'utente può quindi rispondere alla notifica sul dispositivo mobile per attivare l'app. Per questa funzionalità è necessario un server perimetrale.
Per la pianificazione della topologia sono disponibili le seguenti applicazioni supportate da Skype for Business Server:
Mobility Standard Edition
Mobility Enterprise Edition
Dovresti essere in grado di utilizzare questa funzionalità con i server perimetrali di Skype for Business Server o i server perimetrali di Lync Server 2013.
Il servizio per dispositivi mobili è supportato nei Front End Server quando viene collocato con il ruolo Mediation Server, con due interfacce di rete, ma è necessario eseguire i passaggi appropriati per configurare tali interfacce. Dovrai assegnare indirizzi IP all'interfaccia specifica che comunicherà come Mediation Server e l'interfaccia IP di rete che comunicherà come Front End Server. È possibile eseguire questa operazione in Generatore di topologie selezionando l'indirizzo IP corretto per ogni servizio, invece di usare la selezione predefinita Usa tutti gli indirizzi IP configurati .
È importante pianificare i vari scenari di applicazione per dispositivi mobili che possono verificarsi per gli utenti di dispositivi mobili. Ad esempio, un utente potrebbe iniziare a usare un'app per dispositivi mobili all'esterno del lavoro connettendosi tramite una rete 3G, quindi passare alla rete Wi-Fi aziendale quando raggiunge il lavoro. Possono passare al 4G quando lasciano l'edificio. La pianificazione immediata consente di supportare queste transizioni di rete e garantire un'esperienza utente coerente.
I servizi per dispositivi mobili Mcx e UCWA utilizzano il DNS allo stesso modo. Con l'individuazione automatica, i dispositivi mobili usano il DNS per individuare le risorse. Durante la ricerca DNS, una connessione ha tentato di accedere all'FQDN associato al record DNS interno (lyncdiscoverinternal.[ nome dominio interno]). Se non è possibile usare il record DNS interno per effettuare tale connessione, viene tentata una seconda connessione, questa volta al record DNS esterno (lyncdiscover.[ sipdomain]). Allora perché ne hanno due? Un dispositivo mobile interno alla rete potrà usare l'URL di individuazione automatica interno. I dispositivi mobili esterni useranno l'URL di individuazione automatica esterno. In entrambi i casi, il servizio di individuazione automatica restituisce tutti gli URL del servizio Web per il pool home dell'utente, che include il servizio mobility (Mcx e UCWA).
Si prevede che le richieste di individuazione automatica esterna passeranno attraverso il proxy inverso configurato per Skype for Business Server. Tuttavia, sia l'URL interno del servizio per dispositivi mobili che l'URL esterno del servizio per dispositivi mobili sono associati all'FQDN dei servizi Web esterni. Pertanto, indipendentemente dal fatto che un dispositivo mobile sia interno o esterno alla rete, il dispositivo si connette sempre al servizio Skype for Business Server Mobility esternamente, tramite il proxy inverso.
Nota
Come abbiamo appena notato, tutto il traffico dei servizi di mobilità (interno ed esterno) passerà attraverso il proxy inverso. Ma a volte si verifica un problema quando il traffico interno esce da un'interfaccia, solo per poi provare a tornare nella stessa interfaccia. Ciò può violare le regole di sicurezza per lo spoofing dei pacchetti TCP. Dovrai consentire a Hair Pinning di avere la funzione Mobilità.
Nota
Se si è pronti a eseguire questa operazione, è anche possibile scegliere di usare un proxy inverso separato dal firewall (per motivi di sicurezza, la prevenzione dello spoofing deve essere sempre applicata nel firewall). In questo modo, l'hairpin può avvenire nell'interfaccia esterna del proxy inverso, invece che nell'interfaccia esterna del firewall. In questo modo è possibile rilevare correttamente lo spoofing nel firewall mentre si rilassa la regola presso il proxy inverso e si ottiene la funzionalità mobilità.
Nota
Se si esegue questa route, assicurarsi di usare i record host DNS o CNAME per definire il proxy inverso per il comportamento di hairpin (non il firewall), se possibile.
È necessario configurare alcuni elementi per supportare gli utenti all'interno e all'esterno della rete aziendale.
Queste sono le regole per gli FQDN Web interni ed esterni:
Nuovo record DNS CNAME o A (host, se IPv6, AAAA), per l'individuazione automatica.
Nuova regola del firewall, se si vuole supportare le notifiche push attraverso la rete Wi-Fi.
Nomi alternativi dei soggetti nei certificati server interni e nei certificati proxy inverso, per l'individuazione automatica.
La configurazione bilanciamento del carico hardware di Front End Server cambia l'affinità di origine.
Ecco i requisiti di topologia necessari per supportare il servizio di individuazione automatica e del servizio di mobilità:
L'FQDN Web interno del pool Front End deve essere distinto dall'FQDN Web esterno del pool Front End.
L'FQDN Web interno deve essere risolto ed essere accessibile solo all'interno della rete aziendale.
L'FQDN Web esterno deve risolvere ed essere accessibile solo da Internet.
Per un utente all'interno della rete aziendale, l'URL del servizio per dispositivi mobili deve essere indirizzato all'FQDN Web esterno. Questo requisito riguarda il servizio per dispositivi mobili e si applica solo a questo URL.
Per un utente esterno alla rete aziendale, la richiesta deve essere inviata al nome di dominio completo Web esterno del pool Front End o del director.
Se si supporta l'individuazione automatica, è necessario creare i record DNS seguenti per ogni dominio SIP:
Un record DNS interno per supportare gli utenti di dispositivi mobili che si connettono dall'interno della rete dell'organizzazione.
Un record DNS esterno, o pubblico, per supportare gli utenti di dispositivi mobili che si connettono da Internet.
L'URL di individuazione automatica interno non deve essere indirizzabile dall'esterno della rete interna. L'URL di individuazione automatica esterna non deve essere indirizzabile dall'interno della rete. Tuttavia, se questo non è possibile per l'URL esterno, è probabile che la funzionalità del client mobile non sia interessata, perché l'URL interno verrà sempre tentato per primo.
La maggior parte di queste informazioni è stata trattata nell'altra documentazione, ma in particolare per Mobility, è consigliabile che le porte seguenti siano aperte nella rete aziendale Wi-Fi se gli utenti sono ospitati in un Survivable Branch Appliance (SBA):
UcwaSipExternalListeningPort richiede 5088.
UcwaSipPrimaryListeningPort richiede 5089.
Se si utilizza l'individuazione automatica per i client mobili Skype for Business, sarà necessario modificare gli elenchi SAN (nome alternativo soggetto) nei certificati per supportare le connessioni sicure dai client mobili. Se si hanno già certificati sul posto, è necessario richiedere e assegnare nuovi certificati con le voci SAN descritte qui. Questa operazione dovrà essere eseguita per ogni Front End Server e Director (se nell'ambiente) che esegue il servizio di individuazione automatica. È anche consigliabile modificare gli elenchi SAN nei certificati proxy inverti, aggiungendo voci SAN per ogni dominio SIP dell'organizzazione.
Questo dovrebbe essere un processo semplice se si richiedono i nuovi certificati da una CA interna (autorità di certificazione), ma i certificati pubblici sono più complessi e potenzialmente molto più costosi da richiedere di nuovo, per non parlare del fatto che può essere costoso aggiungere molti domini SIP a un nuovo certificato pubblico. In questo caso, esiste un approccio supportato, ma non consigliato. È possibile configurare il proxy inverso per effettuare la richiesta iniziale del servizio di individuazione automatica sulla porta 80, che userà HTTP, invece della porta 443, che è HTTPS (e 443 è la configurazione predefinita). La richiesta in arrivo verrà reindirizzata alla porta 8080 nel pool Front End o nel director. In questo modo, non sarà necessario apportare modifiche al certificato, perché questo traffico non usa HTTPS per le richieste. Ma ancora una volta, non lo consigliamo, anche se funzionerà per te.
Dovrebbe essere disponibile una versione di Windows Server supportata per l'ambiente Skype for Business Server. Di conseguenza, è necessario disporre anche di IIS 8 o IIS 8.5 per le esigenze di mobilità. Sarà necessario apportare alcune modifiche alle impostazioni di ASP.NET predefinite, ma il programma di installazione del servizio per dispositivi mobili eseguirà automaticamente questa operazione.
Se si utilizza una topologia per Skype for Business Server che include un HLB per il pool Front End (che sarebbe qualsiasi topologia che include più front end server), è necessario configurare gli IP virtuali (VIP) esterni per il traffico dei servizi Web per l'origine. L'affinità di origine garantisce che più connessioni da un singolo client vengano inviate allo stesso server per mantenere lo stato della sessione.
Se si prevede di supportare i client mobili Skype for Business solo attraverso la rete di Wi-Fi interna, è consigliabile configurare i PROVIDER di servizi Web interni per l'origine come descritto per i PROVIDER di servizi Web esterni. In questo caso, è consigliabile usare l'affinità source_addr (o TCP) per i PROVIDER di servizi Web interni in HLB.In this situation, you should use source_addr (or TCP) affinity for the internal Web Services VIP on the HLB.
Per informazioni dettagliate su tutto questo, consulta la documentazione bilanciamento del carico per Skype for Business .
Per supportare l'individuazione automatica per i client mobili Skype for Business, è necessario aggiornare la regola di pubblicazione corrente nel modo seguente:
Se si decide di aggiornare gli elenchi SAN nei certificati proxy inverso e si usa HTTPS per la richiesta iniziale del servizio di individuazione automatica, è necessario aggiornare la regola di pubblicazione Web per lyncdiscover.<sipdomain>. In genere viene combinato con il rul di pubblicazione per l'URL dei servizi Web esterni nel pool Front End.
Se si è deciso di usare HTTP per la richiesta iniziale del servizio di individuazione automatica per evitare di dover aggiornare l'elenco SAN per i certificati proxy inversi (cosa non consigliata), è necessario creare una nuova regola di pubblicazione Web per la porta HTTP/TCP 80, se non è già presente. Se esiste questa regola, aggiornarla in modo da includere lyncdiscover.<voce sipdomain> .
Ora che abbiamo esaminato le topologie, i componenti e i requisiti tecnici, esaminiamo le esigenze dell'organizzazione in termini di implementazione mobilità.
È consigliabile usare l'individuazione automatica. Sarà necessario creare nuovi record DNS interni ed esterni, come documentato nella sezione Requisiti tecnici precedente. Con l'individuazione automatica, i client Skype for Business possono individuare automaticamente i servizi Web di Skype for Business Server da qualsiasi posizione, senza dover immettere manualmente un URL.
Se necessario, è possibile usare le impostazioni manuali. Questi URL dovranno essere immessi dagli utenti nei propri dispositivi mobili:
< https://ExtPoolFQDN>/Autodiscover/autodiscoverservice.svc/Root per l'accesso esterno.
< https://IntPoolFQDN>/Autodiscover/autodiscoverservice.svc/Root per l'accesso interno.
Anche in questo caso, è consigliabile usare l'individuazione automatica. Le impostazioni manuali potrebbero risultare utili per la risoluzione dei problemi.
Le notifiche push vengono usate per le applicazioni per dispositivi mobili che supportano questa funzionalità per avvisare un utente di eventi mentre l'app non è attiva. Il server perimetrale dovrà avere una relazione di federazione con il servizio di notifica Push di Skype for Business Server basato sul cloud, disponibile nel data center di Skype for Business Online. È necessario eseguire un cmdlet per abilitare le notifiche push.
Nota
Se qualcuno usa ancora client Lync Server 2010, dovrà avere la porta TCP 5223 in uscita aperta nella rete WiFi aziendale.
Vuoi che tutti gli utenti accingano a tutte le funzionalità per dispositivi mobili o desideri specificare gli utenti che possono accedere a queste funzionalità?
È disponibile una tabella che illustra alcune delle caratteristiche disponibili per tutti gli utenti e indica se sono configurate in questo modo o meno per impostazione predefinita. Per un elenco completo, leggi New-CsMobilityPolicy.
Nota
Gli ambiti per tutte queste caratteristiche sono Globale/Sito/Utente.
Funzionalità | Nome parametro | Descrizione | Impostazione predefinita |
---|---|---|---|
Abilita mobilità |
EnableMobility |
Controlla gli utenti in un determinato ambito in cui è installato il client mobile Skype for Business. Se il criterio è impostato su False, gli utenti non potranno accedere con il proprio client. |
Vero |
Voce esterna |
EnableOutsideVoice |
Consente all'utente di usare Chiama tramite ufficio, che consente agli utenti di inviare e ricevere chiamate usando il numero di ufficio invece del numero di cellulare. Se è impostato su False, gli utenti non saranno in grado di effettuare o ricevere chiamate sul cellulare quando usano il numero di telefono dell'ufficio. |
Vero |
Abilitare audio e video IP |
EnableIPAudioVideo |
Impostato sul valore predefinito, consente a un utente di usare VoIP per effettuare o ricevere chiamate o videochiamate sul proprio dispositivo mobile. Se impostato su False, gli utenti non potranno usare il dispositivo mobile per eseguire queste operazioni. |
Vero |
Richiedi WiFi per l'audio IP |
RequireWiFiForIPAudio |
Definisce se un client dovrà effettuare e ricevere chiamate tramite VoIP su WiFi invece che su una rete dati. Se è impostato su True, gli utenti potranno effettuare e ricevere chiamate VoIP solo quando sono connessi tramite WiFi. |
Falso |
Richiedi Wi-Fi per video IP |
RequireWiFiForIPVideo |
Definisce se un client dovrà effettuare e ricevere videochiamate tramite WiFi anziché una rete dati. Se è impostato su True, gli utenti potranno effettuare e ricevere chiamate VoIP solo quando sono connessi tramite WiFi. |
Falso |
Gli utenti che non sono abilitati per VoIP aziendale devono poter usare Fai clic per partecipare per partecipare alle conferenze?
Per consentire agli utenti di accedere alle funzionalità per dispositivi mobili e a Chiamata tramite lavoro, è necessario abilitarle per VoIP aziendale. Ma anche se non sono abilitate, possono comunque partecipare alle conferenze facendo clic su un collegamento nel dispositivo mobile, ma solo se hanno un criterio vocale appropriato assegnato. È possibile:
assegnare criteri vocali specifici a questi utenti oppure,
verificare che siano presenti criteri globali o a livello di sito e che siano applicabili a tali criteri.
In entrambi i casi, i criteri vocali assegnati devono avere record di utilizzo PSTN (Public Switched Telephone Network) e route che definiranno dove gli utenti potranno effettuare chiamate in uscita per partecipare a conferenze.
Nota
Gli utenti di dispositivi mobili che vogliono usare Fare clic per partecipare richiedono criteri vocali, insieme ai record di utilizzo PSTN correlati e alle route vocali, perché quando fanno clic su quel collegamento nei propri dispositivi mobili, ne risulterà una chiamata in uscita da Skype for Business Server.