Configurar Integração e OAuth entre Skype for Business Online e Exchange Server

Configurar a integração entre o servidor do Exchange e o Skype for Business Online permite os recursos Skype for Business e do Exchange Integration descritos no suporte a recursos.

Este tópico se aplica à integração com Exchange Server 2013 a 2019.

O que você precisa saber antes de começar?

• Tempo estimado para concluir esta tarefa: 15 minutos

• Você precisa receber permissões antes de realizar esse procedimento ou procedimentos. Para ver quais permissões você precisa, consulte o tópico permissões de infraestrutura do Exchange e shell .

• Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, consulte Atalhos de teclado no centro de administração do Exchange.

• Para obter informações sobre compatibilidade, consulte Skype for Business compatibilidade com aplicativos do Office.

Configurar a integração entre Exchange Server e O365

Etapa 1: configurar a autenticação OAuth entre Exchange Server e O365

Execute as etapas no seguinte artigo:

Configurar a autenticação OAuth entre as organizações exchange e Exchange Online

Etapa 2: criar uma nova conta de usuário de email para o aplicativo de parceiro online Skype for Business

Essa etapa é feita no servidor do Exchange. Ela criará um usuário de caixa de correio e atribuirá os direitos apropriados da função de gerenciamento. Essa conta será então usada na próxima etapa.

Especifique um domínio verificado para sua organização do Exchange. Esse domínio deve ser o mesmo domínio usado como o domínio SMTP primário usado para as contas locais do Exchange. Esse domínio é chamado de <Domínio> Verificado no procedimento a seguir. Além disso, o <DomainControllerFQDN> deve ser o FQDN de um controlador de domínio.

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

Esse comando ocultará o novo usuário da caixa de correio das listas de endereços.

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

Esses dois próximos comandos atribuirão a função de gerenciamento de UserApplication e ArchiveApplication a esta nova conta.

New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>

New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>

Etapa 3: criar e habilitar um aplicativo de parceiro para Skype for Business Online

Crie um novo aplicativo parceiro e use a conta que você acabou de criar. Execute o comando a seguir no Exchange PowerShell em sua organização local do Exchange.

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

Etapa 4: Exportar o certificado de autorização local

Execute um script do PowerShell para exportar o certificado de autorização local, que você importará para sua organização Skype for Business Online na próxima etapa.

Salve o seguinte texto em um arquivo de script do PowerShell denominado, por exemplo, ExportAuthCert.ps1.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
    md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

No Exchange PowerShell em sua organização local do Exchange, execute o script do PowerShell que você acabou de criar. Por exemplo: .\ExportAuthCert.ps1

Etapa 5: Carregar o certificado de autorização local para Microsoft Entra ACS

Em seguida, use Windows PowerShell para carregar o certificado de autorização local que você exportou na etapa anterior para Microsoft Entra Controle de Acesso Services (ACS). Para fazer isso, o módulo do Azure Active Directory para cmdlets Windows PowerShell já deve ser instalado. Se ele não estiver instalado, vá para https://aka.ms/aadposh instalar o módulo do Azure Active Directory para Windows PowerShell. Conclua as etapas a seguir após a instalação do módulo do Azure Active Directory para Windows PowerShell.

1. Clique no módulo do Azure Active Directory para Windows PowerShell atalho para abrir um workspace Windows PowerShell que tenha os cmdlets Microsoft Entra instalados. Todos os comandos nesta etapa serão executados usando o Windows PowerShell para Microsoft Entra console de ID.

2. Salve o texto a seguir em um arquivo de script do PowerShell chamado, por exemplo, UploadAuthCert.ps1.

   Connect-MgGraph
   Import-Module Microsoft.Graph
   $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
   $objFSO = New-Object -ComObject Scripting.FileSystemObject
   $CertFile = $objFSO.GetAbsolutePathName($CertFile);
   $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
   $cer.Import($CertFile)
   $binCert = $cer.GetRawCertData();
   $credValue = [System.Convert]::ToBase64String($binCert)
   $ServiceName = "00000004-0000-0ff1-ce00-000000000000"
   $p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames
   Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue
   

3. Execute o script do PowerShell criado na etapa anterior. Por exemplo: .\UploadAuthCert.ps1

4. Depois de iniciar o script, uma caixa de diálogo de credenciais será exibida. Insira as credenciais para a conta de administrador de locatários de sua organização de Microsoft Entra Microsoft Online. Depois de executar o script, deixe o Windows PowerShell para Microsoft Entra sessão aberta. Você a utilizará para executar um script do PowerShell na próxima etapa.

Etapa 6: verificar se o certificado foi carregado na entidade de serviço Skype for Business

1. No PowerShell aberto e autenticado para Microsoft Entra ID, execute o seguinte

   Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000
   

2. Pressione Enter quando solicitado para ReturnKeyValues

3. Confirme se você vê uma chave listada com dados de data de início e término que correspondem às datas de início e término do certificado do Exchange Oauth

Verifique se a operação foi realizada com sucesso

Verifique se a configuração está correta verificando se alguns dos recursos estão funcionando com êxito.

1. Confirme se Skype for Business usuários com Caixa postal na Nuvem serviço, em uma organização com uma configuração de Exchange Server híbrida, podem alterar com êxito suas saudações de caixa postal.

2. Confirme se o histórico de conversas para clientes móveis está visível na pasta Histórico de Conversas do Outlook.

3. Confirme se as mensagens de chat arquivadas são depositadas na caixa de correio local do usuário na pasta Purges usando o EWSEditor.

Como alternativa, olhe para o tráfego. O tráfego em um aperto de mão OAuth é realmente distinto (e não se parece com a autenticação básica), particularmente em torno de reinos, onde você começará a ver o tráfego emissor que se parece com isso: 00000004-0000-0ff1-ce00-00000000000@(às vezes com um / antes do sinal @), nos tokens que estão sendo passados. Você não verá um nome de usuário ou senha, que é o ponto de OAuth. Mas você verá o emissor do 'Office' – nesse caso , '4' é Skype for Business – e o reino da sua assinatura.

Se você quiser ter certeza de que está usando o OAuth com êxito, certifique-se de saber o que esperar e saber como o tráfego deve ser. Então , aqui está o que esperar.

Aqui está um exemplo de configuração de um, mas você pode usar qualquer ferramenta de rastreamento de rede que quiser para realizar esse processo.

Tópicos relacionados

Configurar a autenticação OAuth entre as organizações exchange e Exchange Online