Jak skonfigurować Skype dla firm lokalnie do korzystania z nowoczesnego uwierzytelniania hybrydowego

  • Artykuł

Ten artykuł dotyczy zarówno Microsoft 365 Enterprise, jak i Office 365 Enterprise.

Nowoczesne uwierzytelnianie to metoda zarządzania tożsamościami, która oferuje bezpieczniejsze uwierzytelnianie i autoryzację użytkowników, jest dostępna dla Skype dla firm serwera lokalnego i lokalnego serwera Exchange oraz hybrydowych Skype dla firm domeny podzielonej.

Ważna

Czy chcesz dowiedzieć się więcej na temat nowoczesnego uwierzytelniania (MA) i dlaczego warto używać go w swojej firmie lub organizacji? Zapoznaj się z tym dokumentem , aby zapoznać się z omówieniem. Jeśli musisz wiedzieć, jakie topologie Skype dla firm są obsługiwane przez ma, to jest to udokumentowane tutaj!

Przed rozpoczęciem używam następujących terminów:

  • Nowoczesne uwierzytelnianie (MA)

  • Nowoczesne uwierzytelnianie hybrydowe (HMA)

  • Lokalna wymiana (EXCH)

  • Exchange Online (EXO)

  • Skype dla firm lokalnie (SFB)

  • Skype dla firm Online (SFBO)

Ponadto jeśli grafika w tym artykule zawiera obiekt, który jest wyszarzony lub wygaszony, oznacza to, że element wyświetlany w kolorze szarym nie jest uwzględniony w konfiguracji specyficznej dla ma.

Przeczytaj podsumowanie

To podsumowanie dzieli proces na kroki, które w przeciwnym razie mogłyby zostać utracone podczas wykonywania, i jest dobre dla ogólnej listy kontrolnej, aby śledzić, gdzie jesteś w procesie.

  1. Najpierw upewnij się, że spełniasz wszystkie wymagania wstępne.

  2. Ponieważ wiele wymagań wstępnych jest często używanych zarówno w przypadku Skype dla firm, jak i programu Exchange, zapoznaj się z artykułem dotyczącym przeglądu listy kontrolnej z pre-req. Należy to zrobić przed rozpoczęciem wykonywania jakichkolwiek kroków opisanych w tym artykule.

  3. Zbierz informacje specyficzne dla usługi HMA potrzebne w pliku lub programie OneNote.

  4. Włącz nowoczesne uwierzytelnianie dla funkcji EXO (jeśli nie zostało jeszcze włączone).

  5. Włącz nowoczesne uwierzytelnianie dla SFBO (jeśli nie zostało jeszcze włączone).

  6. Włącz nowoczesne uwierzytelnianie hybrydowe dla lokalnego programu Exchange.

  7. Włącz nowoczesne uwierzytelnianie hybrydowe dla Skype dla firm lokalnie.

Te kroki włączają usługę MA dla SFB, SFBO, EXCH i EXO — oznacza to, że wszystkie produkty, które mogą uczestniczyć w konfiguracji HMA SFB i SFBO (w tym zależności od EXCH/EXO). Innymi słowy, jeśli użytkownicy znajdują się w folderze lub mają skrzynki pocztowe utworzone w dowolnej części hybrydowej (EXO + SFBO, EXO + SFB, EXCH + SFBO lub EXCH + SFB), gotowy produkt wygląda następująco:

Topologia hma mixed 6 Skype dla firm ma uprawnienia administratora we wszystkich czterech możliwych lokalizacjach.

Jak widać, istnieją cztery różne miejsca, w których można włączyć funkcję MA! Aby uzyskać najlepsze środowisko użytkownika, zalecamy włączenie funkcji ZARZĄDZANIA we wszystkich czterech z tych lokalizacji. Jeśli nie możesz włączyć funkcji MA we wszystkich tych lokalizacjach, dostosuj kroki tak, aby włączyć ma tylko w lokalizacjach, które są niezbędne dla środowiska.

Aby uzyskać informacje na temat obsługiwanych topologii, zobacz temat Supportability for Skype dla firm with MA (Obsługa funkcji Skype dla firm z ma).

Ważna

Przed rozpoczęciem sprawdź, czy zostały spełnione wszystkie wymagania wstępne. Informacje te znajdują się w temacie Omówienie nowoczesnego uwierzytelniania hybrydowego i wymagania wstępne.

Zbierz wszystkie potrzebne informacje specyficzne dla hma

Po sprawdzeniu, czy spełniono wymagania wstępne dotyczące korzystania z nowoczesnego uwierzytelniania (zobacz poprzednią notatkę), należy utworzyć plik do przechowywania informacji potrzebnych do skonfigurowania usługi HMA w dalszych krokach. Przykłady używane w tym artykule:

  • Domena SIP/SMTP

    • Na przykład contoso.com (jest federowana z Office 365)

  • Identyfikator dzierżawy

    • Identyfikator GUID reprezentujący dzierżawę Office 365 (przy logowaniu contoso.onmicrosoft.com).

  • Adresy URL usługi sieci Web SFB 2015 CU5

Dla wszystkich wdrożonych pul SfB 2015 potrzebne są wewnętrzne i zewnętrzne adresy URL usługi internetowej. Aby je uzyskać, uruchom następujące polecenie w usłudze Skype dla firm Management Shell:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

Jeśli używasz serwera w wersji Standardowa, wewnętrzny adres URL będzie pusty. W takim przypadku użyj nazwy fqdn puli dla wewnętrznego adresu URL.

Włączanie nowoczesnego uwierzytelniania dla funkcji EXO

Postępuj zgodnie z instrukcjami w tym miejscu: Exchange Online: Jak włączyć dzierżawę na potrzeby nowoczesnego uwierzytelniania.

Włączanie nowoczesnego uwierzytelniania dla SFBO

Postępuj zgodnie z instrukcjami w tym miejscu: Skype dla firm Online: Włączanie dzierżawy na potrzeby nowoczesnego uwierzytelniania.

Włączanie nowoczesnego uwierzytelniania hybrydowego dla lokalnego programu Exchange

Postępuj zgodnie z instrukcjami w tym miejscu: Jak skonfigurować Exchange Server lokalnie do korzystania z nowoczesnego uwierzytelniania hybrydowego.

Włączanie nowoczesnego uwierzytelniania hybrydowego dla Skype dla firm lokalnego

Dodawanie lokalnych adresów URL usługi internetowej jako nazw SPN w Tożsamość Microsoft Entra

Teraz musisz uruchomić polecenia, aby dodać adresy URL (zebrane wcześniej) jako jednostki usługi w SFBO.

Uwaga

Nazwy główne usługi (SPN) identyfikują usługi sieci Web i kojarzą je z podmiotem zabezpieczeń (takim jak nazwa konta lub grupa), aby usługa mogła działać w imieniu autoryzowanego użytkownika. Klienci uwierzytelniający się na serwerze korzystają z informacji zawartych w sieciACH SPN.

Uwaga

Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

  1. Najpierw połącz się z Tożsamość Microsoft Entra, korzystając z tych instrukcji.

  2. Uruchom to polecenie lokalnie, aby uzyskać listę adresów URL usługi internetowej SFB.

    Identyfikator AppPrincipalId zaczyna się od 00000004. Odpowiada to Skype dla firm Online.

    Zanotuj (i zrzut ekranu do późniejszego porównania) dane wyjściowe tego polecenia, które zawiera adres URL SE i WS, ale składają się głównie z nazw SPN rozpoczynających się od 00000004-0000-0ff1-ce00-000000000000/.

    Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames

  3. Jeśli brakuje wewnętrznych lub zewnętrznych adresów URL SFB ze środowiska lokalnego (na przykład https://lyncwebint01.contoso.com i https://lyncwebext01.contoso.com), należy dodać te określone rekordy do tej listy.

    Pamiętaj, aby zastąpić przykładowe adresy URL rzeczywistymi adresami URL w poleceniach Dodaj!

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
$x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
$x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

  4. Sprawdź, czy nowe rekordy zostały dodane, uruchamiając ponownie polecenie Get-MsolServicePrincipal z kroku 2 i przeglądając dane wyjściowe. Porównaj listę lub zrzut ekranu z poprzedniego elementu z nową listą nazw SPN. Możesz również zrzut ekranu przedstawiający nową listę rekordów. Jeśli powiodło się, możesz wyświetlić dwa nowe adresy URL na liście. W naszym przykładzie lista nazw SPN będzie teraz zawierać określone adresy https://lyncwebint01.contoso.com URL i https://lyncwebext01.contoso.com/.

Tworzenie obiektu serwera uwierzytelniania EvoSTS

Uruchom następujące polecenie w powłoce zarządzania Skype dla firm.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Włączanie nowoczesnego uwierzytelniania hybrydowego

Jest to krok, który faktycznie włącza ma. Wszystkie poprzednie kroki można wykonać z wyprzedzeniem bez zmiany przepływu uwierzytelniania klienta. Gdy wszystko będzie gotowe do zmiany przepływu uwierzytelniania, uruchom to polecenie w powłoce zarządzania Skype dla firm.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Sprawdź

Po włączeniu usługi HMA podczas następnego logowania klienta zostanie użyty nowy przepływ uwierzytelniania. Samo włączenie usługi HMA nie spowoduje ponownego uwierzytelnienia dla żadnego klienta. Klienci ponownie uwierzytelniają się na podstawie okresu istnienia tokenów uwierzytelniania i/lub certyfikatów, które mają.

Aby sprawdzić, czy usługa HMA działa po włączeniu tej funkcji, wyloguj się z testowego klienta systemu Windows SFB i wybierz pozycję "usuń moje poświadczenia". Zaloguj się ponownie. Klient powinien teraz korzystać z przepływu nowoczesnego uwierzytelniania, a logowanie będzie teraz zawierać Office 365 monit o konto służbowe widoczne tuż przed kontaktem klienta z serwerem i zalogowaniem się.

Należy również sprawdzić "Informacje o konfiguracji" dla klientów Skype dla firm dla "Urzędu OAuth". Aby to zrobić na komputerze klienckim, przytrzymaj wciśnięty klawisz CTRL jednocześnie, klikając prawym przyciskiem myszy ikonę Skype dla firm w zasobniku powiadomień systemu Windows. Wybierz pozycję Informacje o konfiguracji w wyświetlonym menu. W oknie "informacje o konfiguracji Skype dla firm", które jest wyświetlane na pulpicie, poszukaj następujących elementów:

Informacje o konfiguracji klienta Skype dla firm przy użyciu nowoczesnego uwierzytelniania pokazują adres URL urzędu OAUTH programu Lync i EWShttps://login.windows.net/common/oauth2/authorize.

Należy również przytrzymać klawisz CTRL w tym samym czasie, klikając prawym przyciskiem myszy ikonę klienta programu Outlook (również w obszarze Powiadomienia systemu Windows) i wybrać pozycję "Stan połączenia". Wyszukaj adres SMTP klienta względem typu AuthN "Bearer*", który reprezentuje token elementu nośnego używany w usłudze OAuth.

Link z powrotem do przeglądu nowoczesnego uwierzytelniania.

Czy musisz wiedzieć, jak używać nowoczesnego uwierzytelniania dla klientów Skype dla firm? Poniżej przedstawiono kroki: omówienie nowoczesnego uwierzytelniania hybrydowego i wymagania wstępne dotyczące używania go z lokalnymi serwerami Skype dla firm i serwerami exchange.