Compartilhar via

Novidades do Encaminhamento Direto

  • Artigo
  • Aplica-se a:
    Microsoft Teams

Este artigo descreve as novidades do Encaminhamento Direto. Verifique frequentemente se existem atualizações.

Está disponível a nova versão da Aplicação de Ramo Sobrevivente (v2024.8.15.1)

A nova Aplicação de Ramo Sobrevivente (SBA) para a versão de Encaminhamento Direto está disponível a partir de 23 de setembro de 2024. A versão mais recente suporta as seguintes funcionalidades:

  • Fazer chamadas PSTN por meio do SBA/SBC local com mídia fluindo pelo SBC.
  • Receber chamadas PSTN por meio do SBA/SBC local com mídia fluindo pelo SBC.
  • Colocar e retomar chamadas PSTN em espera.
  • Transferência direta.
  • Reencaminhamento de chamadas para um único número de telefone ou utilizador do Teams.
  • Encaminhamento de chamadas não respondidas para um único número de telefone ou usuário do Teams.
  • Redirecionamento de chamadas PSTN recebidas para um número de Fila de chamadas ou Atendedor automático para um agente local.
  • Redirecionamento da chamada RTPC recebida para uma Fila de chamadas ou número de atendedor automático para uma fila de Chamada alternativa ou número de Atendedor automático.
  • Fallback de VoIP. Se não for possível iniciar uma chamada VoIP e a parte recedora tiver um número RTPC, é tentada uma chamada RTPC.
  • Chamadas VoIP entre usuários locais. Se ambos os utilizadores estiverem registados atrás do mesmo SBA, uma chamada VoIP pode ser iniciada em vez de uma chamada RTPC e o SBA suportará a chamada. Para obter a versão mais recente, contacte o fornecedor do SBC. Para obter a lista de fornecedores SBC suportados, veja Configuração do Controlador de Limites de Sessão. Para saber mais sobre a Aplicação de Ramo Sobrevivente (SBA), veja Survivable Branch Appliance (SBA) for Direct Routing (Survivable Branch Appliance (SBA) for Direct Routing (Aplicação de Ramo Sobrevivente [SBA]) para Encaminhamento Direto).

Teste de extensões EKU de certificados SBC

No dia 5 de março de 2024 (a partir das 09:00 UTC), a Microsoft realizará um teste de 24 horas da sua infraestrutura. Durante este período, são necessários certificados de Controladores de Limites de Sessão (SBCs) para incluir a Autenticação do Cliente e do Servidor para as respetivas extensões de Utilização Alargada de Chaves (EKU). Pedimos que garanta que a extensão EKU do certificado inclui Autenticação do Servidor e Autenticação de Cliente para evitar qualquer degradação do serviço.

Se a extensão EKU do certificado SBCs não incluir a Autenticação do Servidor e do Cliente, os SBCs não conseguirão estabelecer ligação com a infraestrutura da Microsoft.

Tenha em atenção que a mudança final para pedir a autenticação do Servidor e do Cliente para o EKU será efetuada a 19 de março de 2024.

Para obter mais informações, veja Certificado fidedigno público para o SBC.

Alteração do certificado SIP para a Autoridade de Certificação MSPKI nas clouds DoD e GCCH

O Microsoft 365 está a atualizar serviços que alimentam mensagens, reuniões, telefonia, voz e vídeo para utilizar certificados TLS de um conjunto diferente de Autoridades de Certificação (ACs) de Raiz. Os pontos finais afetados incluem pontos finais SIP de Encaminhamento Direto do Microsoft Teams utilizados para o tráfego RTPC em implementações Office 365 Government – GCC High (GCCH) e DoD. A transição para certificados emitidos pela nova AC para pontos finais SIP começa em maio de 2024. Isto significa que é necessário tomar medidas antes do final de abril de 2024.

A nova AC de Raiz "DigiCert Global Root G2" é amplamente considerada fidedigna por sistemas operativos, incluindo Windows, macOS, Android e iOS e por browsers como o Microsoft Edge, Chrome, Safari e Firefox. No entanto, é provável que o SBC tenha um arquivo de raiz de certificados configurado manualmente. Se FOR O CASO, O ARQUIVO DE AC SBC TEM DE SER ATUALIZADO PARA INCLUIR A NOVA AC PARA EVITAR O IMPACTO NO SERVIÇO. Os SBCs que não têm a nova AC de Raiz na lista de ACs aceitáveis recebem erros de validação de certificados, o que pode afetar a disponibilidade ou a função do serviço. Tanto a AC antiga como a nova têm de ser consideradas fidedignas pelo SBC – NÃO REMOVA A AC ANTIGA. Veja a documentação do fornecedor do SBC sobre como atualizar a lista de certificados aceites no SBC. Os certificados de raiz antigos e novos têm de ser considerados fidedignos pelo SBC. Atualmente, os certificados TLS utilizados pelas interfaces SIP da Microsoft estão ligados à seguinte AC de Raiz:

Nome Comum da AC: DigiCert Global Root CA Thumbprint (SHA1): a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 O certificado de AC antigo pode ser transferido diretamente a partir da DigiCert: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt

Os novos certificados TLS utilizados pelas interfaces SIP da Microsoft irão agora encadear até à seguinte AC de Raiz: Nome Comum da AC: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4 O novo certificado de AC pode ser transferido diretamente a partir da DigiCert: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

Para obter mais detalhes, consulte a documentação de orientação técnica em https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide Para testar e confirmar a configuração do certificado SBCs antes da alteração, a Microsoft preparou um ponto final de teste que pode ser utilizado para verificar se as aplicações SBC confiam nos certificados emitidos a partir da nova AC de raiz (DigiCert Global Root G2). Se o seu SBC conseguir estabelecer uma ligação TLS a este ponto final, a sua conectividade aos serviços do Teams não deve ser afetada pela alteração. Estes pontos finais devem ser utilizados apenas para mensagens de ping SIP OPTIONS e não para o tráfego de voz. Não são pontos finais de produção e não são apoiados por configuração redundante. Isto significa que terão um período de indisponibilidade que dura várias horas, ou seja, cerca de 95% de disponibilidade.

FQDN de ponto final de teste para GCCH: x.sip.pstnhub.infra.gov.teams.microsoft.us Porta: 5061

FQDN de ponto final de teste para DoD: x.sip.pstnhub.infra.dod.teams.microsoft.us Porta: 5061

Mudança final do certificado SIP para a nova Autoridade de Certificação MSPKI

Após dois testes nos dias 5 e 19 de setembro, a Microsoft efetuará a mudança final para a nova Autoridade de Certificação (AC) no dia 3 de outubro, a partir das 10:00 UTC. Todos os pontos finais do Microsoft SIP são gradualmente mudados para utilizar certificados em que a cadeia de certificados é adicionada à Autoridade de Certificação (AC) "DigiCert Global Root G2".

Se os Controladores de Limites de Sessão (SBCs) não estiverem configurados corretamente com a nova Autoridade de Certificação (AC), as chamadas de entrada e saída do Encaminhamento Direto falharão após a mudança. Trabalhe diretamente com o fornecedor do SBC para obter mais orientações sobre a configuração do SBC.

O requisito de alteração e o teste foram comunicados aos clientes de Encaminhamento Direto através de mensagens do Centro de Mensagens, bem como de Incidentes do Service Health no Portal do Microsoft Administração (MC540239, TM614271, MC663640, TM674073, MC674729).

O certificado SIP para a Autoridade de Certificação MSPKI altera os testes adicionais

No dia 19 de setembro (a partir das 16:00 UTC), a Microsoft realizará um teste de 24 horas em que todos os pontos finais do SIP da Microsoft serão mudados para utilizar certificados em que a cadeia de certificados será agregada para a Autoridade de Certificação (AC) "DigiCert Global Root G2". A nova Autoridade de Certificação (AC) tem de ser adicionada à configuração SBC e a AC de Baltimore antiga tem de ser mantida; não substitua a AC antiga. Se o seu SBC não confiar nesta AC, não poderá ligar-se aos pontos finais SIP do Teams durante o teste. A mudança final para a nova Autoridade de Certificação (AC) será efetuada no dia 3 de outubro.

Se quiser testar e confirmar a configuração do certificado SBCs antes da alteração, a Microsoft preparou um ponto final de teste que pode utilizar para verificar se as aplicações SBC confiam nos certificados emitidos a partir da nova AC de raiz (DigiCert Global Root G2). Este ponto final deve ser utilizado apenas para mensagens de ping SIP OPTIONS e não para o tráfego de voz. Se o seu SBC conseguir estabelecer uma ligação TLS a este ponto final, a sua conectividade aos serviços do Teams não deve ser afetada pela alteração.

FQDN do ponto final de teste: sip.mspki.pstnhub.microsoft.com

Porta: 5061

Teste de alteração do certificado SIP para a Autoridade de Certificação MSPKI

No dia 5 de setembro (a partir das 9:00 UTC), a Microsoft realizará um teste de 24 horas em que todos os pontos finais do SIP da Microsoft serão mudados para utilizar certificados em que a cadeia de certificados será agregada para a Autoridade de Certificação (AC) "DigiCert Global Root G2". Se o seu SBC não confiar nesta AC, poderá não conseguir ligar-se aos pontos finais do SIP do Teams.

Se quiser testar e confirmar a configuração do certificado SBCs antes da alteração, a Microsoft preparou um ponto final de teste que pode ser utilizado para verificar se as aplicações SBC confiam nos certificados emitidos a partir da nova AC de raiz (DigiCert Global Root G2). Este ponto final deve ser utilizado apenas para mensagens de ping SIP OPTIONS e não para o tráfego de voz. Se o seu SBC conseguir estabelecer uma ligação TLS a este ponto final, a sua conectividade aos serviços do Teams não deve ser afetada pela alteração.

FQDN do ponto final de teste: sip.mspki.pstnhub.microsoft.com

Porta: 5061

Alteração do certificado SIP para a Autoridade de Certificação MSPKI

O Microsoft 365 está a atualizar serviços que alimentam mensagens, reuniões, telefonia, voz e vídeo para utilizar certificados TLS de um conjunto diferente de Autoridades de Certificação (ACs) de Raiz. Esta alteração está a ser efetuada porque a AC de Raiz atual expira em maio de 2025. Os pontos finais afetados incluem todos os pontos finais SIP da Microsoft utilizados para o tráfego RTPC que utilizam a conectividade TLS. A transição para certificados emitidos pela nova AC começa no final de agosto.

A nova AC de Raiz "DigiCert Global Root G2" é amplamente considerada fidedigna por sistemas operativos, incluindo Windows, macOS, Android e iOS e por browsers como o Microsoft Edge, Chrome, Safari e Firefox. No entanto, é provável que o SBC tenha um arquivo de raiz de certificados configurado manualmente e que precise de ser atualizado. Os SBCs que não têm a nova AC de Raiz na lista de ACs aceitáveis recebem erros de validação de certificados, o que pode afetar a disponibilidade ou a função do serviço. Veja a documentação do fornecedor do SBC sobre como atualizar a lista de certificados aceites no SBC.

Atualmente, os certificados TLS utilizados pelas interfaces SIP da Microsoft estão ligados à seguinte AC de Raiz:

Nome Comum da AC: Baltimore CyberTrust Root Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474

Os novos certificados TLS utilizados pelas interfaces SIP da Microsoft irão agora encadear até à seguinte AC de Raiz:

Nome Comum da AC: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4

O novo certificado de AC pode ser transferido diretamente a partir do DigiCert: DigiCert Global Root G2.

Para obter mais informações, veja Alterações aos Certificados TLS do Office

Novos pontos finais do SIP de Encaminhamento Direto

A Microsoft apresentará novos IPs de sinalização aos pontos finais do SIP de Encaminhamento Direto do Teams. Para garantir que esta alteração não afeta a disponibilidade do serviço, certifique-se de que o Controlador de Limite de Sessão e a Firewall estão configurados para utilizar as sub-redes recomendadas 52.112.0.0/14 e 52.122.0.0/15 para as regras de classificação e ACL. Para obter mais informações, consulte Ambientes do Microsoft 365, Office 365 e Office 365 GCC.

Lógica de despromover ramal com base nas Opções do SIP

É introduzida uma nova funcionalidade baseada nas Opções do SIP para o estado de funcionamento do ramal. Quando ativada na configuração do gateway (veja Set-CsOnlinePSTNGateway cmdlet e o parâmetro SendSipOptions), a lógica de encaminhamento para chamadas de saída despromover ramais que não enviam opções de SIP periodicamente (o período esperado é uma Opção SIP enviada pelo SBC por minuto) para o back-end da Microsoft. Estes troncos despromovidos são colocados no fim da lista de ramais disponíveis para a chamada de saída e são experimentados em último lugar, o que potencialmente diminui o tempo de configuração da chamada.

Qualquer ramal ativado para essa funcionalidade que não envie pelo menos uma Opção SIP no prazo de cinco minutos para qualquer um dos Proxies SIP regionais da Microsoft (NOAM, EMEA, APAC, OCEA) é considerado despromovido. Se um ramal enviar Opções de SIP apenas para um subconjunto de Proxies SIP regionais da Microsoft, estas rotas são experimentadas primeiro e as restantes são despromoviadas.

Nota

Qualquer SBC (configurado no inquilino do cliente ou da operadora com SendSipOptions definido como verdadeiro) que não envie OPÇÕES do SIP será despromovido. Os clientes que não querem esse comportamento devem definir SendSipOptions como falso na configuração SBC. O mesmo se aplica aos porta-malas de transporte em que a configuração SBC está no inquilino da transportadora ou do cliente. Nestes casos, quando SendSipOptions está definido como verdadeiro, o SBC envia opções de SIP.

Suporte SIP

A 1 de junho de 2022, a Microsoft removerá o suporte para sip-all.pstnhub.microsoft.com e sip-all.pstnhub.gov.teams.microsoft.us FQDNs da configuração do Encaminhamento Direto.

Se não forem efetuadas ações antes de 1 de junho, os utilizadores não poderão efetuar ou receber chamadas através do Encaminhamento Direto.

Para evitar o impacto do serviço:

  • Utilize as sub-redes recomendadas: (52.112.0.0/14 e 52.120.0.0/14) para qualquer classificação ou regras da ACL.
  • Descontinue a utilização do FQDN sip-all ao configurar os Controlos de Limite de Sessão para o Encaminhamento Direto.

Para obter mais informações, veja Planear o Encaminhamento Direto.

Nota

Os intervalos de IP apresentados neste documento são específicos do Encaminhamento Direto e podem ser diferentes dos recomendados para o cliente do Teams.

Certificados TLS

O Microsoft 365 está a atualizar o Teams e outros serviços para utilizar um conjunto diferente de Autoridades de Certificação (ACs) de Raiz.

Para obter mais informações e uma lista completa dos serviços afetados, veja Alterações ao certificado TLS nos serviços do Microsoft 365, incluindo o Microsoft Teams.

Autoridades de certificação

A partir de 1 de fevereiro de 2022, a interface SIP de Encaminhamento Direto apenas confiará nos certificados assinados pelas Autoridades de Certificação (ACs) que fazem parte do Programa de Certificados de Raiz Fidedigna da Microsoft. Siga os passos seguintes para evitar o impacto no serviço:

  • Certifique-se de que o certificado SBC está assinado por uma AC que faça parte do Programa de Certificados de Raiz Fidedigna da Microsoft.
  • Verifique se a extensão de Utilização Alargada de Chaves (EKU) do certificado inclui "Autenticação do Servidor".

Para obter mais informações sobre o Programa de Certificados de Raiz Fidedigna da Microsoft, consulte Requisitos de Programa – Programa de Raiz Fidedigna da Microsoft.

Para obter uma lista de AC Fidedignas, veja Lista de Certificados da AC Incluída da Microsoft.

Substituir cabeçalhos

A partir de abril de 2022, o Encaminhamento Direto rejeita pedidos SIP que tenham os cabeçalhos Substituições definidos. Não existem alterações nos fluxos em que a Microsoft envia o cabeçalho Substitui para o Controlador de Limite de Sessão (SBC).

Verifique as configurações do SBC e certifique-se de que não está a utilizar Substituir cabeçalhos em pedidos SIP.

TLS1.0 e 1.1

Para fornecer a melhor encriptação de classe aos nossos clientes, a Microsoft planeia preterir as versões 1.0 e 1.1 do Transport Layer Security (TLS). A 3 de abril de 2022, a Microsoft forçará a utilização do TLS1.2 para a interface SIP de Encaminhamento Direto.

Para evitar qualquer impacto no serviço, certifique-se de que os SBCs estão configurados para suportar o TLS1.2 e pode ligar-se através de um dos seguintes conjuntos de cifras:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ou seja, ECDHE-RSA-AES256-GCM-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ou seja, ECDHE-RSA-AES128-GCM-SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ou seja, ECDHE-RSA-AES256-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ou seja, ECDHE-RSA-AES128-SHA256