直接路由的新功能
本文將說明直接路由的新增功能。 請經常回來查看更新。
網路有效性比例 (NER) 度更新
為了改善對影響直接路由可靠性之可能問題的可見度體驗,我們更新公式以計算網路有效性比率指標 (NER) 。 從 2024 年 11 月 11 日開始,您可能會注意到在 Teams 管理員 中心 (TAC) 中,主幹的 NER 報告稍有變更。 如果您發現 NER 值有下拉式清單,您可以查看特定的響應代碼,找出通話失敗的原因。 如需最常見的錯誤清單和解決這些錯誤的建議動作,請參 閱Microsoft和 SIP 回應碼。
(v2024.8.15.1) 推出全新可更新的分支設備版本
2024 年 9 月 23 日開始推出適用於直接路由的全新 SBA (SBA) 。 最新版本支援下列功能:
- 透過本機 SBA/SBC 撥打 PSTN 通話,並讓媒體在 SBC 中流動。
- 透過本機 SBA/SBC 接收 PSTN 通話,並讓媒體流經 SBC。
- 保留並繼續 PSTN 通話。
- 視障轉接。
- 呼叫轉移至單一電話號碼或 Teams 使用者。
- 未接來電轉接至單一電話號碼或 Teams 使用者。
- 將 PSTN 來電重新導向至通話佇列或自動語音應答號碼給當地專員。
- 將 PSTN 來電重新導向至通話佇列或自動語音應答號碼,以替代通話佇列或自動語音應答號碼。
- VoIP 後援。 如果無法啟動 VoIP 通話,且接收方有 PSTN 號碼,則會嘗試 PSTN 通話。
- 在本機用戶之間進行 VoIP 通話。 如果兩個使用者都是在相同的 SBA 後面註冊,則可以啟動 VoIP 通話,而非 PSTN 通話,而且 SBA 支援通話。 若要取得最新版本,請連絡您的 SBC 廠商。 如需支援的 SBC 廠商清單,請參閱 工作階段框線控制器設定。 若要深入瞭解 SBA (SBA) ,請參閱 支援分支設備 (SBA) 直接路由。
SBC 憑證 EKU 擴充功能測試
自 UTC) 上午 9 點起 (2024 年 3 月 5 日,Microsoft 將對其基礎結構進行 24 小時的測試。 在這段期間,會話框線控制器 (SBC) 憑證,才能同時包含其延伸密鑰使用 (EKU) 擴充功能的用戶端和伺服器驗證。 我們很親切地要求您確保憑證的 EKU 擴充功能包含伺服器驗證和客戶端驗證,以避免任何服務降級。
如果您的 SBC 憑證 EKU 擴充功能不包含伺服器和客戶端驗證,您的 SBC 將無法與Microsoft基礎結構連線。
請注意,要求 EKU 伺服器和客戶端驗證的最終切換將於 2024 年 3 月 19 日執行。
如需詳細資訊,請參閱 SBC 的公用信任憑證。
DoD 和 GCCH 雲端中的 SIP 憑證變更為 MSPKI 證書頒發機構單位
Microsoft 365 正在更新支援訊息、會議、電話語音、語音和視訊的服務,以使用來自不同一組跟證書頒發機構單位 (CAs) 的 TLS 憑證。 受影響的端點包括Microsoft用於 Office 365 政府版 中 PSTN 流量的 Teams 直接路由 SIP 端點 - GCC High (GCCH) 和 DoD 部署。 從 2024 年 5 月開始,移轉到由新 CA 發行的 SIP 端點憑證。 這表示必須在 2024 年 4 月底之前採取動作。
全新的 Root CA “DigiCert Global Root G2” 受到 Windows、macOS、Android 和 iOS 等操作系統以及 Microsoft Edge、Chrome、Safari 和 Firefox 等瀏覽器廣泛信任。 不過,您的 SBC 很可能有手動設定的憑證根存放區。 若是如此,則必須更新您的 SBC CA STORE,才能包含新的 CA 以避免服務影響。 在可接受的 CAs 清單中沒有新 Root CA 的 SB 會收到憑證驗證錯誤,這可能會影響服務的可用性或功能。 舊和新 CA 都必須受到 SBC 信任 – 請勿移除舊的 CA。 請參閱 SBC 廠商說明如何更新 SBC 上公認的憑證清單的檔。 舊跟新跟證書都需要受 SBC 信任。 目前,Microsoft SIP 介面所使用的 TLS 憑證會鏈結至下列 Root CA:
CA 的通用名稱:DigiCert Global Root CA Thumbprint (SHA1) :a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 舊的 CA 憑證可以直接從 DigiCert 下載: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt
Microsoft SIP 介面所使用的新 TLS 憑證現在會鏈結到下列 Root CA:CA 的通用名稱:DigiCert Global Root G2 縮圖 (SHA1) :df3c24f9bfd666761b268073fe06d1cc8d4f82a4 新的 CA 憑證可以直接從 DigiCert 下載: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
如需詳細資訊,請參閱 Azure 證書頒發機構單位詳細數據的技術指導方針。 若要在變更之前測試並確認您的 SBC 憑證設定,Microsoft已準備好測試端點,可用來驗證從新根 CA (DigiCert Global Root G2 發行的 SBC 設備信任憑證) 。 如果您的 SBC 可以建立與此端點的 TLS 連線,那麼您對 Teams 服務的連線應該不會受到變更的影響。 這些端點僅適用於 SIP 選項 Ping 訊息,而非用於語音流量。 它們不是生產端點,而且不受備援設定的支援。 這表示他們會遇到持續數小時的停機時間—預期有95%的可用性。
測試 GCCH 端點 FQDN:x.sip.pstnhub.infra.gov.teams.microsoft.us 埠:5061
測試 DoD 端點 FQDN:x.sip.pstnhub.infra.dod.teams.microsoft.us 埠:5061
SIP 憑證最終切換到新的 MSPKI 證書頒發機構單位
在 9 月 5 日和 19 日兩次測試之後,Microsoft 會從 10 月 3 日上午 10 點 UTC 開始,執行新證書頒發機構單位 (CA) 的最終切換。 所有Microsoft SIP 端點都會逐漸切換為使用憑證鏈結合成“DigiCert Global Root G2” 憑證頒發機構單位 (CA) 的憑證。
如果您的會話框線控制器 (SBC) 未正確設定為新的證書頒發機構單位 (CA) ,則切換之後會失敗直接路由內送和撥出電話。 直接與您的 SBC 廠商合作,以取得有關 SBC 設定的進一步指引。
變更需求和測試已透過訊息中心貼文以及 Microsoft 管理員 入口網站 (MC540239、TM614271、MC663640、TM674073 MC674729) 中的服务健康情况事件,傳達給直接路由客戶。
SIP 憑證變更為 MSPKI 證書頒發機構單位變更,進行額外測試
(9 月 19 日下午 4 點開始 UTC) ,Microsoft 將執行 24 小時的測試,其中所有Microsoft SIP 端點都會切換為使用憑證鏈結會匯總為“DigiCert Global Root G2” 證書頒發機構單位 (CA) 的憑證。 新的證書頒發機構單位 (CA) 必須新增到您的 SBC 設定中,而且必須保留舊版的地市證書頒發機構單位;請勿取代舊的 CA。 如果您的 SBC 不信任此 CA,您將無法在測試期間連線到 Teams SIP 端點。 新的證書頒發機構單位 (CA) 的最終切換將於 10 月 3 日執行。
如果您想要在變更之前測試並確認您的 SBC 憑證設定,Microsoft已準備好測試端點,可用來驗證從新根 CA (DigiCert Global Root G2 所發行的 SBC 設備信任憑證) 。 此端點僅適用於 SIP 選項 Ping 訊息,而非用於語音流量。 如果您的 SBC 可以建立與此端點的 TLS 連線,那麼您對 Teams 服務的連線應該不會受到變更的影響。
測試端點 FQDN:sip.mspki.pstnhub.microsoft.com
埠:5061
SIP 憑證對 MSPKI 證書頒發機構單位變更、測試
Microsoft將於 9 月 (5 日上午 9 點 UTC) 起,執行 24 小時的測試,其中所有Microsoft SIP 端點都會切換為使用憑證鏈結會匯總為“DigiCert Global Root G2” 的憑證單位 (CA) 。 如果您的 SBC 不信任此 CA,您可能無法連線到 Teams SIP 端點。
如果您想要在變更之前測試並確認您的 SBC 憑證設定,Microsoft已準備好測試端點,可用來驗證從新根 CA (DigiCert Global Root G2 發行的 SBC 設備信任憑證) 。 此端點僅適用於 SIP 選項 Ping 訊息,而非用於語音流量。 如果您的 SBC 可以建立與此端點的 TLS 連線,那麼您對 Teams 服務的連線應該不會受到變更的影響。
測試端點 FQDN:sip.mspki.pstnhub.microsoft.com
埠:5061
SIP 憑證變更為 MSPKI 證書頒發機構單位
Microsoft 365 正在更新支援訊息、會議、電話語音、語音和視訊的服務,以使用來自不同一組跟證書頒發機構單位 (CAs) 的 TLS 憑證。 由於目前的 Root CA 會在 2025 年 5 月到期,因此正在進行此變更。 受影響的端點包括使用 TLS 連線之 PSTN 流量的所有Microsoft SIP 端點。 新 CA 發行的憑證轉換從 8 月底開始。
全新的 Root CA “DigiCert Global Root G2” 受到 Windows、macOS、Android 和 iOS 等操作系統以及 Microsoft Edge、Chrome、Safari 和 Firefox 等瀏覽器廣泛信任。 不過,您的 SBC 很可能有手動設定的憑證根存放區,而且需要更新。 在可接受的 CAs 清單中沒有新 Root CA 的 SB 會收到憑證驗證錯誤,這可能會影響服務的可用性或功能。 請參閱關於如何更新 SBC 上公認的憑證清單的 SBC 廠商檔。
目前,Microsoft SIP 介面所使用的 TLS 憑證會鏈結至下列 Root CA:
CA 的通用名稱:在SHA1) (一般名稱:d4de20d05e66fc53fe1a50882c78db2852cae474
Microsoft SIP 介面使用的新 TLS 憑證現在會鏈結到下列 Root CA:
CA 的通用名稱:DigiCert Global Root G2 縮圖 (SHA1) :df3c24f9bfd666761b268073fe06d1cc8d4f82a4
新的 CA 憑證可以直接從 DigiCert:DigiCert Global Root G2 下載。
如需詳細資訊,請參閱 Office TLS 憑證變更
新的直接路由SIP端點
Microsoft引入新的訊號 IP 到 Teams 直接路由 SIP 端點。 為確保這項變更不會影響您的服務可用性,請確定您的會話框線控制器和防火牆已設定為使用分類和 ACL 規則的建議子網 52.112.0.0/14 和 52.122.0.0/15。 如需詳細資訊,請參閱 Microsoft 365、Office 365 和 Office 365 GCC 環境。
以 SIP 選項為基礎的主幹降級邏輯
系統會針對主幹健康情況引進以 SIP 選項為基礎的新功能。 在網關設定中啟用 (請參閱 Set-CsOnlinePSTNGateway Cmdlet 和 SendSipOptions 參數) ,撥出電話的路由邏輯會將未定期傳送 SIP 選項的主幹降級 (預期期間是 SBC 每分鐘傳送一個 SIP 選項,) 傳送到Microsoft後端。 這些降級的樹幹會放在待發通話可用的主幹清單結尾,並會在最後試用,這可能會縮短通話設定時間。
針對該功能啟用的任何主幹,在五分鐘內不會傳送至少一個SIP 選項給任何Microsoft區域 (NOAM、EMEA、APAC、OCEA) SIP Proxy 會被視為降級。 如果主幹只將 SIP 選項傳送給Microsoft區域 SIP Proxy 的子集,則會先嘗試這些路由,其餘的則會降級。
注意事項
在客戶或電信業者下設定的任何 SBC (,且 SendSipOptions 設為 True) 不傳送 SIP 選項將會降級。 不想使用該行為的客戶應將 SBC 設定中的 SendSipOptions 設為 False 。 這同樣適用於 SBC 設定位於電信業者或客戶租使用者底下的承運業者主幹。 在這些情況下,當 SendSipOptions 設為 True 時,SBC 會傳送 SIP 選項。
SIP 支援
在 2022 年 6 月 1 日,Microsoft將從直接路由設定中移除對 sip-all.pstnhub.microsoft.com 和 sip-all.pstnhub.gov.teams.microsoft.us FQDN 的支援。
如果在 6 月 1 日之前未採取任何動作,使用者將無法透過直接路由撥打或接聽電話。
若要防止服務影響:
- 針對任何分類或 ACL 規則,請使用建議的子網: (52.112.0.0/14 和 52.120.0.0/14) 。
- 在設定直接路由的會話框線控件時,停止使用 sip-all FQDN。
如需詳細資訊,請參閱 規劃直接路由。
注意事項
此文件中呈現的IP範圍是直接路由的專屬範圍,可能與Teams客戶端建議的不同。
TLS 憑證
Microsoft 365 正在更新 Teams 和其他服務,以使用另一組跟證書頒發機構單位 (CAs) 。
如需詳細資訊和受影響服務的完整清單,請參閱 TLS 憑證變更Microsoft 365 服務,包括 Microsoft Teams。
證書頒發機構單位
自 2022 年 2 月 1 日起,直接路由 SIP 介面只會信任由證書頒發機構單位 (CAs 簽署的憑證,) 屬於Microsoft受信任的跟證書計劃。 請採取下列步驟以避免服務影響:
- 請確定您的 SBC 憑證是由屬於Microsoft受信任跟證書計劃一部分的 CA 簽署。
- 確認憑證的擴充 (EKU) 擴展名包含「伺服器驗證」。
如需Microsoft受信任跟證書計劃的詳細資訊,請參閱 計劃需求 - Microsoft受信任的根計劃]。
如需信任的 CA 清單,請參閱Microsoft包含的 CA 憑證清單。
取代標頭
自 2022 年 4 月開始,直接路由拒絕已定義取代標頭的 SIP 要求。 Microsoft將 [取代] 標頭傳送到 SBC (會話框線控制器) ,因此不會變更任何流程。
檢查您的 SBC 設定,並確定您沒有在 SIP 要求中使用 [取代標頭]。
TLS1.0 和 1.1
為了提供一流的加密給我們的客戶,Microsoft計劃將傳輸層安全性 (TLS) 版本 1.0 和 1.1 停用。 在 2022 年 4 月 3 日,Microsoft將強制使用 TLS1.2 用於直接路由 SIP 介面。
若要避免任何服務影響,請確定您的 SBC 已設定為支援 TLS1.2,而且可以使用下列其中一個密碼套件連線:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,也即 ECDHE-RSA-AES256-GCM-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,也即 ECDHE-RSA-AES128-GCM-SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,也即 ECDHE-RSA-AES256-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,也即 ECDHE-RSA-AES128-SHA256