Så här konfigurerar du Skype för företag lokalt för att använda modern hybridautentisering

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

Modern autentisering är en metod för identitetshantering som erbjuder säkrare användarautentisering och auktorisering, är tillgänglig för Skype för företag server lokalt och Exchange Server lokalt samt Skype för företag hybrider med delade domäner.

Viktigt

Vill du veta mer om modern autentisering (MA) och varför du föredrar att använda den i ditt företag eller din organisation? I det här dokumentet finns en översikt. Om du behöver veta vilka Skype för företag topologier som stöds med MA finns det dokumenterat här!

Innan vi börjar använder jag följande termer:

• Modern autentisering (MA)

• Modern hybridautentisering (HMA)

• Exchange on-premises (EXCH)

• Exchange Online (EXO)

• Skype för företag lokalt (SFB)

• Skype för företag Online (SFBO)

Om en bild i den här artikeln har ett objekt som är nedtonat eller nedtonat innebär det att elementet som visas i grått inte ingår i MA-specifik konfiguration.

Läs sammanfattningen

Den här sammanfattningen delar upp processen i steg som annars kan gå förlorade under körningen och är bra för en övergripande checklista för att hålla reda på var du befinner dig i processen.

1. Kontrollera först att du uppfyller alla krav.

2. Eftersom många krav är vanliga för både Skype för företag och Exchange kan du läsa översiktsartikeln för checklistan före omskrivning. Gör detta innan du påbörjar något av stegen i den här artikeln.

3. Samla in den HMA-specifika information som du behöver i en fil, eller OneNote.

4. Aktivera modern autentisering för EXO (om den inte redan är aktiverad).

5. Aktivera modern autentisering för SFBO (om det inte redan är aktiverat).

6. Aktivera modern hybridautentisering för exchange lokalt.

7. Aktivera modern hybridautentisering för Skype för företag lokalt.

De här stegen aktiverar MA för SFB, SFBO, EXCH och EXO – det vill sägs att alla produkter som kan delta i en HMA-konfiguration av SFB och SFBO (inklusive beroenden på EXCH/EXO). Om användarna med andra ord är inbyggda i/har postlådor som skapats i någon del av hybriden (EXO + SFBO, EXO + SFB, EXCH + SFBO eller EXCH + SFB) ser den färdiga produkten ut så här:

Som du ser finns det fyra olika platser att aktivera MA! För bästa användarupplevelse rekommenderar vi att du aktiverar MA på alla fyra av dessa platser. Om du inte kan aktivera MA på alla dessa platser justerar du stegen så att du bara aktiverar MA på de platser som krävs för din miljö.

Se supportavsnittet för Skype för företag med MA för topologier som stöds.

Viktigt

Kontrollera att du har uppfyllt alla krav innan du börjar. Du hittar den informationen i Översikt över och krav för modern hybridautentisering.

Samla in all HMA-specifik information som du behöver

När du har kontrollerat att du uppfyller kraven för att använda modern autentisering (se föregående anteckning) bör du skapa en fil för att lagra den information som du behöver för att konfigurera HMA i de kommande stegen. Exempel som används i den här artikeln:

• SIP/SMTP-domän

  • Ex. contoso.com (federeras med Office 365)

• Klientorganisations-ID

  • DET GUID som representerar din Office 365 klientorganisation (vid inloggningen av contoso.onmicrosoft.com).

• URL:er för SFB 2015 CU5-webbtjänsten

Du behöver interna och externa webbtjänst-URL:er för alla distribuerade SfB 2015-pooler. Hämta dessa genom att köra följande kommando från Skype för företag Management Shell:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Ex. Interna: https://lyncwebint01.contoso.com

• Ex. Externa: https://lyncwebext01.contoso.com

Om du använder en Standard Edition-server är den interna URL:en tom. I det här fallet använder du pool-fqdn för den interna URL:en.

Aktivera modern autentisering för EXO

Följ anvisningarna här: Exchange Online: Så här aktiverar du din klient för modern autentisering.

Aktivera modern autentisering för SFBO

Följ anvisningarna här: Skype för företag Online: Aktivera din klientorganisation för modern autentisering.

Aktivera modern hybridautentisering för Lokal Exchange

Följ anvisningarna här: Så här konfigurerar du Exchange Server lokalt för att använda modern hybridautentisering.

Aktivera modern hybridautentisering för Skype för företag lokalt

Lägg till lokala webbtjänst-URL:er som SPN i Microsoft Entra ID

Nu måste du köra kommandon för att lägga till URL:er (samlades in tidigare) som tjänsthuvudnamn i SFBO.

Obs!

Tjänstens huvudnamn (SPN) identifierar webbtjänster och associerar dem med ett säkerhetsobjekt (till exempel ett kontonamn eller en grupp) så att tjänsten kan agera åt en behörig användare. Klienter som autentiserar till en server använder information som finns i SPN:er.

Obs!

Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

1. Anslut först till Microsoft Entra ID med de här anvisningarna.

2. Kör det här kommandot lokalt för att hämta en lista över URL:er för SFB-webbtjänster.

   AppPrincipalId börjar med 00000004. Detta motsvarar Skype för företag Online.

   Anteckna (och skärmbild för senare jämförelse) utdata för det här kommandot, som innehåller en SE- och WS-URL, men som huvudsakligen består av SPN:er som börjar med 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Om de interna eller externa SFB-URL:erna från den lokala miljön saknas (till exempel https://lyncwebint01.contoso.com och https://lyncwebext01.contoso.com) måste vi lägga till de specifika posterna i den här listan.

   Se till att ersätta exempel-URL:erna med dina faktiska URL:er i Lägg till kommandon!

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Kontrollera att dina nya poster har lagts till genom att köra kommandot Get-MsolServicePrincipal från steg 2 igen och titta igenom utdata. Jämför listan eller skärmbilden från tidigare med den nya listan med SPN:er. Du kan också ta en skärmbild av den nya listan för dina poster. Om du lyckades kan du visa de två nya URL:erna i listan. I vårt exempel innehåller listan med SPN:er nu de specifika URL:erna https://lyncwebint01.contoso.com och https://lyncwebext01.contoso.com/.

Skapa EvoSTS-autentiseringsserverobjektet

Kör följande kommando i Skype för företag Management Shell.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Aktivera modern hybridautentisering

Det här är steget som faktiskt aktiverar MA. Alla föregående steg kan köras i förväg utan att ändra flödet för klientautentisering. När du är redo att ändra autentiseringsflödet kör du det här kommandot i Skype för företag Management Shell.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Kontrollera

När du aktiverar HMA använder en klients nästa inloggning det nya autentiseringsflödet. Att bara aktivera HMA skulle inte utlösa en omautentisering för någon klient. Klienterna autentiseras igen baserat på livslängden för de autentiseringstoken och/eller certifikat som de har.

Om du vill testa att HMA fungerar när du har aktiverat det loggar du ut från en test-SFB Windows-klient och väljer "ta bort mina autentiseringsuppgifter". Logga in igen. Klienten bör nu använda flödet Modern autentisering och din inloggning innehåller nu en Office 365 fråga efter ett arbets- eller skolkonto som visas precis innan klienten kontaktar servern och loggar in dig.

Du bör också kontrollera "Konfigurationsinformation" för Skype för företag-klienter för en "OAuth-utfärdare". Om du vill göra detta på klientdatorn håller du ned CTRL-tangenten samtidigt som du högerklickar på ikonen Skype för företag i meddelandefältet i Windows. Välj Konfigurationsinformation på menyn som visas. Leta efter följande i fönstret "Skype för företag Konfigurationsinformation" som visas på skrivbordet:

Du bör också hålla ned CTRL-tangenten samtidigt som du högerklickar på ikonen för Outlook-klienten (även i meddelandefältet i Windows) och väljer Anslutningsstatus. Leta efter klientens SMTP-adress mot en AuthN-typ av "Bearer*", som representerar ägartoken som används i OAuth.

Relaterade artiklar

Länka tillbaka till översikten för modern autentisering.

Behöver du veta hur du använder modern autentisering för dina Skype för företag klienter? Vi har steg här: Översikt över modern hybridautentisering och förutsättningar för att använda den med lokala Skype för företag- och Exchange-servrar.