Como configurar Skype para Empresas no local para utilizar a Autenticação Moderna Híbrida

Este artigo aplica-se tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.

A Autenticação Moderna é um método de gestão de identidades que oferece autenticação e autorização de utilizadores mais seguras, está disponível para Skype para Empresas servidor no local e exchange server no local e Skype para Empresas híbridos de domínio dividido.

Importante

Gostaria de saber mais sobre a Autenticação Moderna (MA) e por que motivo poderá preferir utilizá-la na sua empresa ou organização? Consulte este documento para obter uma descrição geral. Se precisar de saber que topologias Skype para Empresas são suportadas com o MA, isso está documentado aqui!

Antes de começarmos, utilizo estes termos:

• Autenticação Moderna (MA)

• Autenticação Moderna Híbrida (HMA)

• Exchange no local (EXCH)

• Exchange Online (EXO)

• Skype para Empresas no local (SFB)

• Skype para Empresas Online (SFBO)

Além disso, se um gráfico neste artigo tiver um objeto desativado ou desativado, isso significa que o elemento apresentado a cinzento não está incluído na configuração específica do MA.

Ler o resumo

Este resumo divide o processo em passos que, de outra forma, poderiam perder-se durante a execução e é bom para uma lista de verificação geral para controlar onde está no processo.

1. Primeiro, certifique-se de que cumpre todos os pré-requisitos.

2. Uma vez que muitos pré-requisitos são comuns tanto para Skype para Empresas como para o Exchange, veja o artigo de descrição geral da lista de verificação de pré-requisitos. Faça isto antes de iniciar qualquer um dos passos neste artigo.

3. Recolha as informações específicas de HMA de que precisa num ficheiro ou no OneNote.

4. Ative a Autenticação Moderna para EXO (se ainda não estiver ativada).

5. Ative a Autenticação Moderna para SFBO (se ainda não estiver ativada).

6. Ative a Autenticação Moderna Híbrida para o Exchange no local.

7. Ative a Autenticação Moderna Híbrida para Skype para Empresas no local.

Estes passos ativam o MA para SFB, SFBO, EXCH e EXO, ou seja, todos os produtos que podem participar numa configuração HMA de SFB e SFBO (incluindo dependências no EXCH/EXO). Por outras palavras, se os seus utilizadores estiverem alojados/tiverem caixas de correio criadas em qualquer parte da Funcionalidade Híbrida (EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB), o produto concluído terá o seguinte aspeto:

Como pode ver, existem quatro locais diferentes para ativar o MA! Para obter a melhor experiência de utilizador, recomendamos que ative o MA em todas as quatro localizações. Se não conseguir ativar o MA em todas estas localizações, ajuste os passos para que ative o MA apenas nas localizações necessárias para o seu ambiente.

Veja o tópico Suporte para Skype para Empresas com o MA para obter topologias suportadas.

Importante

Verifique novamente se cumpriu todos os pré-requisitos antes de começar. Encontrará essas informações na Descrição geral da autenticação moderna híbrida e nos pré-requisitos.

Recolha todas as informações específicas do HMA de que irá precisar

Depois de verificar que cumpre os pré-requisitos para utilizar a Autenticação Moderna (veja a nota anterior), deve criar um ficheiro para conter as informações necessárias para configurar o HMA nos passos seguintes. Exemplos utilizados neste artigo:

• Domínio SIP/SMTP

  • Por exemplo, contoso.com (está federado com Office 365)

• ID do Inquilino

  • O GUID que representa o seu inquilino Office 365 (no início de sessão de contoso.onmicrosoft.com).

• URLs do Serviço Web CU5 do SFB 2015

Precisa de URLs de serviço Web internos e externos para todos os conjuntos do SfB 2015 implementados. Para os obter, execute o seguinte comando a partir do Skype para Empresas Management Shell:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Por exemplo, Interno: https://lyncwebint01.contoso.com

• Por exemplo, Externo: https://lyncwebext01.contoso.com

Se estiver a utilizar um servidor standard edition, o URL interno estará em branco. Neste caso, utilize o fqdn do conjunto para o URL interno.

Ativar a Autenticação Moderna para EXO

Siga as instruções aqui: Exchange Online: Como ativar o seu inquilino para autenticação moderna.

Ativar a Autenticação Moderna para SFBO

Siga as instruções aqui: Skype para Empresas Online: ative o seu inquilino para autenticação moderna.

Ativar a Autenticação Moderna Híbrida para o Exchange no local

Siga as instruções aqui: Como configurar Exchange Server no local para utilizar a Autenticação Moderna Híbrida.

Ativar a Autenticação Moderna Híbrida para Skype para Empresas no local

Adicionar URLs do serviço Web no local como SPNs no Microsoft Entra ID

Agora, tem de executar comandos para adicionar os URLs (recolhidos anteriormente) como Principais de Serviço no SFBO.

Nota

Os nomes dos principais de serviço (SPNs) identificam os serviços Web e associam-nos a um principal de segurança (como um nome de conta ou grupo) para que o serviço possa agir em nome de um utilizador autorizado. Os clientes que efetuam a autenticação num servidor utilizam informações contidas em SPNs.

Nota

Azure AD e os módulos do PowerShell do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

1. Em primeiro lugar, ligue-se a Microsoft Entra ID com estas instruções.

2. Execute este comando, no local, para obter uma lista de URLs do serviço Web SFB.

   O AppPrincipalId começa com 00000004. Isto corresponde ao Skype para Empresas Online.

   Tome nota (e captura de ecrã para comparação posterior) da saída deste comando, que inclui um URL SE e WS, mas que consiste principalmente em SPNs que começam por 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Se os URLs de SFB internos ou externos no local estiverem em falta (por exemplo, https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com) teremos de adicionar esses registos específicos a esta lista.

   Certifique-se de que substitui os URLs de exemplo pelos URLs reais nos comandos Adicionar!

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Verifique se os novos registos foram adicionados ao executar o comando Get-MsolServicePrincipal no passo 2 novamente e ao analisar o resultado. Compare a lista ou captura de ecrã de antes com a nova lista de SPNs. Também pode fazer uma captura de ecrã da nova lista para os seus registos. Se tiver sido bem-sucedido, pode ver os dois novos URLs na lista. Ao seguir o nosso exemplo, a lista de SPNs irá agora incluir os URLs específicos https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com/.

Create o Objeto de Servidor de Autenticação EvoSTS

Execute o seguinte comando na Shell de Gestão do Skype para Empresas.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Ativar a Autenticação Moderna Híbrida

Este é o passo que ativa o MA. Todos os passos anteriores podem ser executados antecipadamente sem alterar o fluxo de autenticação do cliente. Quando estiver pronto para alterar o fluxo de autenticação, execute este comando na Shell de Gestão do Skype para Empresas.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Verificar

Depois de ativar o HMA, o próximo início de sessão de um cliente utilizará o novo fluxo de autenticação. Ativar o HMA não acionaria uma reautenticação para nenhum cliente. Os clientes reautenticam-se com base na duração dos tokens de autenticação e/ou certificados que têm.

Para testar se o HMA está a funcionar depois de o ativar, termine sessão num cliente Windows SFB de teste e certifique-se de que seleciona "eliminar as minhas credenciais". Inicie sessão novamente. O cliente deverá agora utilizar o fluxo de Autenticação Moderna e o seu início de sessão irá agora incluir um pedido de Office 365 para uma conta "Profissional ou escolar", vista imediatamente antes de o cliente contactar o servidor e iniciar sessão.

Também deve verificar as "Informações de Configuração" dos Clientes Skype para Empresas para uma "Autoridade OAuth". Para fazê-lo no computador cliente, mantenha premida a tecla CTRL ao mesmo tempo que clica com o botão direito do rato no Ícone de Skype para Empresas no tabuleiro de Notificação do Windows. Selecione Informações de Configuração no menu apresentado. Na janela "Skype para Empresas Informações de Configuração" apresentada no ambiente de trabalho, procure o seguinte:

Também deve manter premida a tecla CTRL ao mesmo tempo que clica com o botão direito do rato no ícone do cliente do Outlook (também no tabuleiro notificações do Windows) e selecione "Estado da Ligação". Procure o endereço SMTP do cliente relativamente a um tipo de AuthN de "Portador*", que representa o token de portador utilizado no OAuth.

Artigos relacionados

Ligue novamente à Descrição geral da Autenticação Moderna.

Precisa de saber como utilizar a Autenticação Moderna para os seus clientes Skype para Empresas? Temos aqui os passos: Descrição geral da autenticação moderna híbrida e pré-requisitos para utilizá-la com servidores do Exchange e Skype para Empresas no local.