直接路由的新功能

  • 文章
  • 適用於:
    Microsoft Teams

本文將說明直接路由的新增功能。 請經常回來查看更新。

SBC 憑證 EKU 擴充功能測試

Microsoft 將於 2024 年 3 月 5 日 (從 UTC) 上午 9 點開始,對其基礎結構進行 24 小時的測試。 在這段期間,會話框線控制器 (SBC) 憑證,才能同時包含其延伸密鑰使用 (EKU) 擴充功能的用戶端和伺服器驗證。 我們很親切地要求您確保憑證的 EKU 擴充功能包含伺服器驗證和客戶端驗證,以避免任何服務降級。

如果您的 SBC 憑證 EKU 擴充功能不包含伺服器和客戶端驗證,您的 SBC 將無法與 Microsoft 基礎結構連線。

請注意,要求 EKU 伺服器和客戶端驗證的最終切換將於 2024 年 3 月 19 日執行。

如需詳細資訊,請參閱 SBC 的公用信任憑證

DoD 和 GCCH 雲端中的 SIP 憑證變更為 MSPKI 證書頒發機構單位

Microsoft 365 正在更新支援訊息、會議、電話語音、語音和視訊的服務,以使用來自不同一組跟證書頒發機構單位的 TLS 憑證, (CAs) 。 受影響的端點包括用於 Office 365 政府版 中 PSTN 流量的 Microsoft Teams 直接路由 SIP 端點 - GCC High (GCCH) 和 DoD 部署。 從 2024 年 5 月開始,移轉到由新 CA 發行的 SIP 端點憑證。 這表示必須在 2024 年 4 月底之前採取動作。

全新的 Root CA “DigiCert Global Root G2” 受到 Windows、macOS、Android 和 iOS 等操作系統以及 Microsoft Edge、Chrome、Safari 和 Firefox 等瀏覽器廣泛信任。 不過,您的 SBC 很可能有手動設定的憑證根存放區。 若是如此,則必須更新您的 SBC CA STORE,才能包含新的 CA 以避免服務影響。 在可接受的 CAs 清單中沒有新 Root CA 的 SB 會收到憑證驗證錯誤,這可能會影響服務的可用性或功能。 舊和新 CA 都必須受到 SBC 信任 – 請勿移除舊 CA。 請參閱 SBC 廠商檔,瞭解如何更新 SBC 上公認的憑證清單。 舊跟新跟證書都需要受 SBC 信任。 現在,Microsoft SIP 介面所使用的 TLS 憑證會鏈結至下列 Root CA:

CA 的通用名稱:DigiCert Global Root CA Thumbprint (SHA1) :a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 舊的 CA 憑證可以直接從 DigiCert 下載: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt

Microsoft SIP 介面使用的新 TLS 憑證現在會鏈結到下列 Root CA:CA 的通用名稱:DigiCert Global Root G2 Thumbprint (SHA1) :df3c24f9bfd666761b268073fe06d1cc8d4f82a4 新的 CA 憑證可以直接從 DigiCert 下載: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

如需詳細數據,請參閱在 https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide 變更前測試並確認您的 SBC 憑證設定的技術指導方針,Microsoft 已準備好測試端點,可用來驗證從新根 CA (DigiCert Global Root G2 所發行的 SBC 設備信任憑證) 。 如果您的 SBC 可以建立與此端點的 TLS 連線,那麼您對 Teams 服務的連線應該不會受到變更的影響。 這些端點僅適用於 SIP 選項 Ping 訊息,而非用於語音流量。 它們不是生產端點,而且不受備援設定的支援。 這表示他們會遇到持續數小時的停機時間—預期有95%的可用性。

測試 GCCH 端點 FQDN:x.sip.pstnhub.infra.gov.teams.microsoft.us 埠:5061

測試 DoD 端點 FQDN:x.sip.pstnhub.infra.dod.teams.microsoft.us 埠:5061

SIP 憑證最終切換到新的 MSPKI 證書頒發機構單位

在 9 月 5 日和 19 日兩次測試之後,Microsoft 將於 10 月 3 日上午 10 點 UTC 開始執行新證書頒發機構單位 (CA) 的最終切換。 所有 Microsoft SIP 端點會逐漸切換為使用憑證鏈結合成「DigiCert Global Root G2」的憑證, (CA) 。

如果您的會話框線控制器 (SBC) 未正確設定為新的證書頒發機構單位 (CA) ,則切換之後會失敗直接路由內送和撥出電話。 請直接與您的 SBC 廠商合作,以取得有關 SBC 設定的進一步指導方針。

變更需求和測試已透過訊息中心貼文以及 Microsoft 管理員 入口網站 (MC540239、TM614271、MC663640、TM674073 MC674729) 中的服务健康情况事件,傳達給直接路由客戶。

SIP 憑證變更為 MSPKI 證書頒發機構單位變更其他測試

9 月 19 日 (從 UTC) 下午 4 點開始,Microsoft 將執行 24 小時的測試,其中所有 Microsoft SIP 端點都會切換為使用憑證鏈結匯總為「DigiCert Global Root G2」的憑證單位 (CA) 。 新的證書頒發機構單位 (CA) 必須新增到您的 SBC 設定中,而且必須保留舊版的地市證書頒發機構單位;請勿取代舊的 CA。 如果您的 SBC 不信任此 CA,您將無法在測試期間連線到 Teams SIP 端點。 新的證書頒發機構單位 (CA) 的最終切換將於 10 月 3 日執行。

如果您想要在變更之前測試並確認您的 SBC 憑證設定,Microsoft 已準備好測試端點,供您用來驗證從新根 CA (DigiCert Global Root G2 發行的 SBC 設備信任憑證) 。 此端點僅適用於 SIP 選項 Ping 訊息,而非用於語音流量。 如果您的 SBC 可以建立與此端點的 TLS 連線,那麼您對 Teams 服務的連線應該不會受到變更的影響。

測試端點 FQDN:sip.mspki.pstnhub.microsoft.com

埠:5061

SIP 憑證至 MSPKI 證書頒發機構單位變更測試

9 月 5 日 (從 UTC) 上午 9 點開始,Microsoft 將執行 24 小時的測試,其中所有 Microsoft SIP 端點都會切換為使用憑證鏈結匯總為「DigiCert Global Root G2」的憑證單位 (CA) 。 如果您的 SBC 不信任此 CA,您可能無法連線到 Teams SIP 端點。

如果您想要在變更之前測試並確認您的 SBC 憑證設定,Microsoft 已準備好測試端點,可用來驗證從新根 CA (DigiCert Global Root G2 發行的 SBC 設備信任憑證) 。 此端點僅適用於 SIP 選項 Ping 訊息,而非用於語音流量。 如果您的 SBC 可以建立與此端點的 TLS 連線,那麼您對 Teams 服務的連線應該不會受到變更的影響。

測試端點 FQDN:sip.mspki.pstnhub.microsoft.com

埠:5061

SIP 憑證變更為 MSPKI 證書頒發機構單位

Microsoft 365 正在更新支援訊息、會議、電話語音、語音和視訊的服務,以使用來自不同一組跟證書頒發機構單位的 TLS 憑證, (CAs) 。 由於目前的 Root CA 會在 2025 年 5 月到期,因此正在進行此變更。 受影響的端點包括所有用於使用 TLS 連線之 PSTN 流量的 Microsoft SIP 端點。 新 CA 發行的憑證轉換從 8 月底開始。

全新的 Root CA “DigiCert Global Root G2” 受到 Windows、macOS、Android 和 iOS 等操作系統以及 Microsoft Edge、Chrome、Safari 和 Firefox 等瀏覽器廣泛信任。 不過,您的 SBC 很可能有手動設定的憑證根存放區,而且需要更新。 在可接受的 CAs 清單中沒有新 Root CA 的 SB 會收到憑證驗證錯誤,這可能會影響服務的可用性或功能。 請參閱關於如何更新 SBC 上公認的憑證清單的 SBC 廠商檔。

現在,Microsoft SIP 介面所使用的 TLS 憑證會鏈結至下列 Root CA:

CA 的通用名稱:在SHA1) (一般名稱:d4de20d05e66fc53fe1a50882c78db2852cae474

Microsoft SIP 介面使用的新 TLS 憑證現在會鏈結至下列 Root CA:

CA 的通用名稱:DigiCert Global Root G2 縮圖 (SHA1) :df3c24f9bfd666761b268073fe06d1cc8d4f82a4

新的 CA 憑證可以直接從 DigiCert:DigiCert Global Root G2 下載。

如需詳細資訊,請參閱 Office TLS 憑證變更

新的直接路由SIP端點

Microsoft 將推出新的訊號 IP 給 Teams 直接路由 SIP 端點。 為確保這項變更不會影響您的服務可用性,請確定您的會話框線控制器和防火牆已設定為使用分類和 ACL 規則的建議子網 52.112.0.0/14 和 52.122.0.0/15。 如需詳細資訊,請參閱 Microsoft 365、Office 365 和 Office 365 GCC 環境

以 SIP 選項為基礎的主幹降級邏輯

系統會針對主幹健康情況引進以 SIP 選項為基礎的新功能。 在網關設定中啟用 (請參閱 Set-CsOnlinePSTNGateway Cmdlet 和 SendSipOptions 參數) ,撥出電話的路由邏輯會將未定期傳送 SIP 選項的主幹降級 (預期期間是 SBC 每分鐘傳送一個 SIP 選項) 到 Microsoft 後端。 這些降級的樹幹會放在待發通話可用的主幹清單結尾,並會在最後試用,這可能會縮短通話設定時間。

針對該功能啟用的任何主幹,在五分鐘內不會傳送至少一個SIP 選項給任何 Microsoft 地區 (NOAM、EMEA、APAC、OCEA) SIP Proxy 會被視為降級。 如果主幹只將 SIP 選項傳送到 Microsoft 地區 SIP Proxy 的子集,則會先嘗試這些路由,其餘路由會降級。

備註

在客戶或電信業者下設定的任何 SBC (,且 SendSipOptions 設為 True) 不傳送 SIP 選項將會降級。 不想使用該行為的客戶應將 SBC 設定中的 SendSipOptions 設為 False 。 這同樣適用於 SBC 設定位於電信業者或客戶租使用者底下的承運業者主幹。 在這些情況下,當 SendSipOptions 設為 True 時,SBC 會傳送 SIP 選項。

SIP 支援

Microsoft 將於 2022 年 6 月 1 日從直接路由設定中移除對 sip-all.pstnhub.microsoft.com 和 sip-all.pstnhub.gov.teams.microsoft.us FQDN 的支援。

如果在 6 月 1 日之前未採取任何動作,使用者將無法透過直接路由撥打或接聽電話。

若要防止服務影響:

  • 針對任何分類或 ACL 規則,請使用建議的子網: (52.112.0.0/14 和 52.120.0.0/14) 。
  • 在設定直接路由的會話框線控件時,停止使用 sip-all FQDN。

如需詳細資訊,請參閱 規劃直接路由

備註

此文件中呈現的IP範圍是直接路由的專屬範圍,可能與Teams客戶端建議的不同。

TLS 憑證

Microsoft 365 正在更新 Teams 和其他服務,以使用另一組跟證書頒發機構單位 (CAs) 。

如需詳細資訊和受影響服務的完整清單,請參閱 包括 Microsoft Teams 在內的 Microsoft 365 服務的 TLS 憑證變更

證書頒發機構單位

自 2022 年 2 月 1 日起,直接路由 SIP 介面只會信任由證書頒發機構單位 (CAs 簽署的憑證,) 屬於 Microsoft 信任的跟證書計劃。 請採取下列步驟以避免服務影響:

  • 確定您的 SBC 憑證是由屬於 Microsoft 信任跟證書計劃一部分的 CA 簽署。
  • 確認憑證的擴充 (EKU) 擴展名包含「伺服器驗證」。

如需 Microsoft 信任跟證書計畫的詳細資訊,請參閱 計劃需求 - Microsoft Trusted Root Program

如需信任的 CA 清單,請參閱 Microsoft 隨附的 CA 憑證清單

取代標頭

自 2022 年 4 月開始,直接路由拒絕已定義取代標頭的 SIP 要求。 Microsoft 將 Replaces 標頭傳送到會話框線控制器 (SBC) 的流量不會有任何變更。

檢查您的 SBC 設定,並確定您沒有在 SIP 要求中使用 [取代標頭]。

TLS1.0 和 1.1

為了提供一流的加密給我們的客戶,Microsoft 計劃將傳輸層安全性 (TLS) 版本 1.0 和 1.1 停用。 Microsoft 將於 2022 年 4 月 3 日強制使用 TLS1.2 直接路由 SIP 介面。

若要避免任何服務影響,請確定您的 SBC 已設定為支援 TLS1.2,而且可以使用下列其中一個密碼套件連線:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,也即 ECDHE-RSA-AES256-GCM-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,也即 ECDHE-RSA-AES128-GCM-SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,也即 ECDHE-RSA-AES256-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,也即 ECDHE-RSA-AES128-SHA256