在 商務用 Skype Online 與 Exchange Server 之間設定整合和 OAuth
設定 Exchange 伺服器與 商務用 Skype Online 之間的整合,可啟用功能支援中所述的商務用 Skype和 Exchange 整合功能。
本主題適用于與 Exchange Server 2013 到 2019 的整合。
開始之前,您需要知道什麼?
預估完成此任務的時間:15 分鐘
您必須先獲指派許可權,才能執行此程式或程式。 若要查看您需要哪些許可權,請參閱 Exchange 和 Shell 基礎結構許可權 主題。
如需本主題中程式可能適用的鍵盤快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
如需相容性的相關資訊,請參閱商務用 Skype與 Office 應用程式的相容性。
設定Exchange Server與 O365 之間的整合
步驟 1:在 Exchange Server 和 O365 之間設定 OAuth 驗證
執行下列文章中的步驟:
在 Exchange 和 Exchange Online 組織之間設定 OAuth 驗證
步驟 2:為商務用 Skype線上合作夥伴應用程式建立新的郵件使用者帳戶
此步驟已在 Exchange 伺服器上完成。 它會建立郵件使用者並指派適當的管理角色許可權。 然後在下一個步驟中使用此帳戶。
為您的 Exchange 組織指定已驗證的網域。 此網域應與內部部署 Exchange 帳戶使用的主要 SMTP 網域相同。 在下列程式中,此網域稱為 < 您的驗證網域 > 。 此外, < DomainControllerFQDN > 應該是網域控制站的 FQDN。
$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>
此命令會在通訊清單中隱藏新的郵件使用者。
Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>
接下來兩個命令會將 UserApplication 和 ArchiveApplication 管理角色指派至此新帳戶。
New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>
New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>
步驟 3:建立並啟用 商務用 Skype Online 的合作夥伴應用程式
建立新的合作夥伴應用程式,並使用您剛才建立的帳戶。 在內部部署 Exchange 組織中的 Exchange PowerShell 中執行下列命令。
New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity
步驟 4:匯出內部部署授權憑證
執行 PowerShell 腳本以匯出內部部署授權憑證,您會在下一個步驟匯入至您的 商務用 Skype Online 組織。
將下列文字儲存到 PowerShell 腳本檔案,例如 ExportAuthCert.ps1。
$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)
在內部部署 Exchange 組織中的 Exchange PowerShell 中,執行您剛才建立的 PowerShell 腳本。 例如:.\ExportAuthCert.ps1
步驟 5:將內部部署授權憑證上傳至 Microsoft Entra ACS
接下來,使用Windows PowerShell上傳您在上一個步驟匯出的內部部署授權憑證,以Microsoft Entra 存取控制服務 (ACS) 。 若要這麼做,必須安裝適用于 Windows PowerShell Cmdlet 的 Azure Active Directory 模組。 如果尚未安裝,請移至 https://aka.ms/aadposh 安裝適用于 Windows PowerShell 的 Azure Active Directory 模組。 安裝適用于 Windows PowerShell 的 Azure Active Directory 模組之後,完成下列步驟。
按一下 Windows PowerShell 快捷方式的 Azure Active Directory 模組,開啟已安裝Microsoft Entra Cmdlet 的Windows PowerShell工作區。 此步驟中的所有命令都會使用 Microsoft Entra ID 主機的Windows PowerShell執行。
將下列文字儲存到 PowerShell 腳本檔案,例如
UploadAuthCert.ps1。Connect-MgGraph Import-Module Microsoft.Graph $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer" $objFSO = New-Object -ComObject Scripting.FileSystemObject $CertFile = $objFSO.GetAbsolutePathName($CertFile); $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate $cer.Import($CertFile) $binCert = $cer.GetRawCertData(); $credValue = [System.Convert]::ToBase64String($binCert) $ServiceName = "00000004-0000-0ff1-ce00-000000000000" $p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue執行您在上一個步驟中建立的 PowerShell 腳本。 例如:
.\UploadAuthCert.ps1腳本啟動之後,會顯示 [認證] 對話方塊。 輸入 Microsoft Online Microsoft Entra組織的租使用者系統管理員帳號憑證。 執行腳本之後,將Microsoft Entra會話的Windows PowerShell保持開啟。 您將會在下一個步驟中使用此功能來執行 PowerShell 腳本。
步驟 6:確認憑證已上傳至商務用 Skype服務主體
在開啟並驗證為Microsoft Entra識別碼的 PowerShell 中,執行下列動作
Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000出現 ReturnKeyValues 提示時按 Enter
確認您看到列出的開始日期和結束資料符合 Exchange Oauth 憑證開始和結束日期的金鑰
確認您的成功
確認某些功能是否正常運作,以確認設定正確無誤。
確認商務用 Skype擁有雲端語音信箱服務的使用者,在具有混合式Exchange Server設定的組織中,可以順利變更他們的語音信箱問候語。
確認行動用戶端的交談記錄顯示在 Outlook [交談記錄] 資料夾中。
確認已封存的聊天訊息會儲存在使用者的內部部署信箱中,並使用 EWSEditor清除資料夾。
或者,查看您的交通狀況。 OAuth 交會的流量非常特別 (,看起來不像基本驗證) , 特別是領域,您會開始在傳遞的權杖中看到看起來像這樣的發行者流量:00000004-0000-0ff1-ce00-0000000000@ (在 @ 符號) 之前有 /。 您不會看到使用者名稱或密碼,也就是 OAuth 的重點。 但您會看到「Office」發行者,在此情況下「4」是商務用 Skype,以及您的訂閱領域。
如果您想要確定自己已成功使用 OAuth,請確定您知道預期的情況,並知道流量應該的外觀。 以下是預期的結果。
以下是 設定一個的範例,但您可以使用任何您想要合併此程式的網路追蹤工具。