Lokale Konfiguration von Skype for Business derart, dass die moderne Hybridauthentifizierung verwendet wird

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Die moderne Authentifizierung ist eine Methode der Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet und für Skype for Business lokalen Server und Exchange-Server verfügbar ist, sowie für Hybriden mit geteilten Domänen Skype for Business.

Wichtig

Möchten Sie mehr über die moderne Authentifizierung (Modern Authentication, MA) erfahren und warum Sie es vorziehen, sie in Ihrem Unternehmen oder organization zu verwenden? Eine Übersicht finden Sie in diesem Dokument . Wenn Sie wissen müssen, welche Skype for Business Topologien mit MA unterstützt werden, finden Sie hier eine Dokumentation.

Bevor wir beginnen, verwende ich diese Begriffe:

• Moderne Authentifizierung (MaA)

• Moderne Hybridauthentifizierung (Hybrid Modern Authentication, HMA)

• Exchange lokal (EXCH)

• Exchange Online (EXO)

• Skype for Business lokal (SFB)

• Skype for Business Online (SFBO)

Wenn eine Grafik in diesem Artikel über ein Objekt verfügt, das abgeblendet oder abgeblendet ist, bedeutet dies, dass das in Grau dargestellte Element nicht in der MA-spezifischen Konfiguration enthalten ist .

Zusammenfassung lesen

Diese Zusammenfassung unterteilt den Prozess in Schritte, die andernfalls während der Ausführung verloren gehen könnten, und eignet sich für eine allgemeine Checkliste, um nachzuverfolgen, wo Sie sich im Prozess befinden.

1. Stellen Sie zunächst sicher, dass alle Voraussetzungen erfüllt sind.

2. Da viele Voraussetzungen sowohl für Skype for Business als auch für Exchange gelten, finden Sie im Übersichtsartikel zu Ihrer Prüfliste vor der Überprüfung weitere Informationen. Führen Sie dies aus, bevor Sie mit den Schritten in diesem Artikel beginnen.

3. Sammeln Sie die HMA-spezifischen Informationen, die Sie in einer Datei oder in OneNote benötigen.

4. Aktivieren Sie die moderne Authentifizierung für EXO (sofern sie noch nicht aktiviert ist).

5. Aktivieren Sie die moderne Authentifizierung für SFBO (sofern sie noch nicht aktiviert ist).

6. Aktivieren Sie hybride moderne Authentifizierung für Exchange lokal.

7. Aktivieren Sie hybride moderne Authentifizierung für Skype for Business lokal.

Mit diesen Schritten wird MA für SFB, SFBO, EXCH und EXO aktiviert, d. h. alle Produkte, die an einer HMA-Konfiguration von SFB und SFBO teilnehmen können (einschließlich Abhängigkeiten von EXCH/EXO). Mit anderen Worten, wenn Ihre Benutzer in Postfächern in einem Teil des Hybrids (EXO + SFBO, EXO + SFB, EXCH + SFBO oder EXCH + SFB) erstellt wurden, sieht Ihr fertiges Produkt wie folgt aus:

Wie Sie sehen können, gibt es vier verschiedene Orte zum Aktivieren von MA! Für eine optimale Benutzererfahrung empfehlen wir, MA an allen vier Standorten zu aktivieren. Wenn Sie MA nicht an allen diesen Standorten aktivieren können, passen Sie die Schritte so an, dass Sie MA nur an den Standorten aktivieren, die für Ihre Umgebung erforderlich sind.

Informationen zu unterstützten Topologien finden Sie im Thema Skype for Business mit MA.

Wichtig

Überprüfen Sie, ob Sie alle Voraussetzungen erfüllt haben, bevor Sie beginnen. Diese Informationen finden Sie unter Übersicht und Voraussetzungen für moderne Hybridauthentifizierung.

Sammeln Sie alle HMA-spezifischen Informationen, die Sie benötigen.

Nachdem Sie überprüft haben, ob Sie die Voraussetzungen für die Verwendung der modernen Authentifizierung erfüllen (siehe vorheriger Hinweis), sollten Sie eine Datei erstellen, die die Informationen enthält, die Sie in den nächsten Schritten zum Konfigurieren von HMA benötigen. In diesem Artikel verwendete Beispiele:

• SIP/SMTP-Domäne

  • Bsp. contoso.com (im Verbund mit Office 365)

• Mandanten-ID

  • Die GUID, die Ihren Office 365 Mandanten darstellt (bei der Anmeldung von contoso.onmicrosoft.com).

• SFB 2015 CU5-Webdienst-URLs

Sie benötigen interne und externe Webdienst-URLs für alle bereitgestellten SfB 2015-Pools. Um diese abzurufen, führen Sie den folgenden Befehl in Skype for Business-Verwaltungsshell aus:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Bsp. Interne: https://lyncwebint01.contoso.com

• Bsp. Externen: https://lyncwebext01.contoso.com

Wenn Sie einen Standard Edition-Server verwenden, ist die interne URL leer. Verwenden Sie in diesem Fall den Pool-Fqdn für die interne URL.

Aktivieren der modernen Authentifizierung für EXO

Befolgen Sie die Anweisungen hier: Exchange Online: Aktivieren Ihres Mandanten für die moderne Authentifizierung.

Aktivieren der modernen Authentifizierung für SFBO

Befolgen Sie die Anweisungen hier: Skype for Business Online: Aktivieren Ihres Mandanten für die moderne Authentifizierung.

Aktivieren der modernen Hybridauthentifizierung für exchange lokal

Befolgen Sie die Anweisungen hier: Konfigurieren Exchange Server lokal für die Verwendung der modernen Hybridauthentifizierung.

Aktivieren der modernen Hybridauthentifizierung für Skype for Business lokal

Hinzufügen lokaler Webdienst-URLs als SPNs in Microsoft Entra ID

Jetzt müssen Sie Befehle ausführen, um die (zuvor gesammelten) URLs als Dienstprinzipale in SFBO hinzuzufügen.

Hinweis

Dienstprinzipalnamen (SPNs) identifizieren Webdienste und ordnen sie einem Sicherheitsprinzipal (z. B. einem Kontonamen oder einer Gruppe) zu, damit der Dienst im Namen eines autorisierten Benutzers handeln kann. Clients, die sich bei einem Server authentifizieren, verwenden Informationen, die in SPNs enthalten sind.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

1. Stellen Sie zunächst mit diesen Anweisungen eine Verbindung mit Microsoft Entra ID her.

2. Führen Sie diesen Lokalen Befehl aus, um eine Liste der SFB-Webdienst-URLs abzurufen.

   Die AppPrincipalId beginnt mit 00000004. Dies entspricht Skype for Business Online.

   Notieren Sie sich (und screenshot für einen späteren Vergleich) die Ausgabe dieses Befehls, die eine SE- und WS-URL enthält, aber größtenteils aus SPNs besteht, die mit 00000004-0000-0ff1-ce00-000000000000/beginnen.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Wenn die internen oder externen SFB-URLs aus der lokalen Umgebung fehlen (z. B https://lyncwebint01.contoso.com . und https://lyncwebext01.contoso.com), müssen wir diese spezifischen Datensätze dieser Liste hinzufügen.

   Ersetzen Sie die Beispiel-URLs durch Ihre tatsächlichen URLs in den Befehlen hinzufügen!

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Überprüfen Sie, ob Ihre neuen Datensätze hinzugefügt wurden, indem Sie den Befehl Get-MsolServicePrincipal aus Schritt 2 erneut ausführen und die Ausgabe durchsehen. Vergleichen Sie die Liste oder den Screenshot von zuvor mit der neuen Liste der SPNs. Sie können auch einen Screenshot der neuen Liste für Ihre Datensätze ausführen. Wenn Sie erfolgreich waren, können Sie die beiden neuen URLs in der Liste anzeigen. In unserem Beispiel enthält die Liste der SPNs nun die spezifischen URLs https://lyncwebint01.contoso.com und https://lyncwebext01.contoso.com/.

Erstellen des EvoSTS-Authentifizierungsserverobjekts

Führen Sie den folgenden Befehl in der Skype for Business-Verwaltungsshell aus.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Aktivieren der modernen Hybridauthentifizierung

Dies ist der Schritt, der MA tatsächlich aktiviert. Alle vorherigen Schritte können im Voraus ausgeführt werden, ohne den Clientauthentifizierungsflow zu ändern. Wenn Sie bereit sind, den Authentifizierungsablauf zu ändern, führen Sie diesen Befehl in der Skype for Business-Verwaltungsshell aus.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Überprüfen

Nachdem Sie HMA aktiviert haben, verwendet die nächste Anmeldung eines Clients den neuen Authentifizierungsflow. Durch das Aktivieren von HMA wird keine erneute Authentifizierung für einen Client ausgelöst. Die Clients authentifizieren sich basierend auf der Lebensdauer der Authentifizierungstoken und/oder Zertifikate, über die sie verfügen.

Um zu testen, ob HMA funktioniert, nachdem Sie es aktiviert haben, melden Sie sich von einem SFB-Windows-Testclient ab, und wählen Sie "Meine Anmeldeinformationen löschen" aus. Melden Sie sich erneut an. Der Client sollte jetzt den Modernen Authentifizierungsflow verwenden, und Ihre Anmeldung enthält jetzt eine Office 365 Aufforderung zur Eingabe eines Geschäfts-, Schul- oder Unikontos, die direkt vor der Kontaktaufnahme mit dem Server angezeigt wird und Sie anmeldet.

Sie sollten auch die "Konfigurationsinformationen" für Skype for Business Clients für eine "OAuth-Autorität" überprüfen. Halten Sie dazu auf Ihrem Clientcomputer die STRG-TASTE gedrückt, während Sie mit der rechten Maustaste auf das Skype for Business-Symbol in der Windows-Benachrichtigungsleiste klicken. Wählen Sie im angezeigten Menü Konfigurationsinformationen aus. Suchen Sie im Fenster "Skype for Business Konfigurationsinformationen", das auf dem Desktop angezeigt wird, nach Folgendem:

Sie sollten auch die STRG-TASTE gedrückt halten, während Sie mit der rechten Maustaste auf das Symbol für den Outlook-Client klicken (auch in der Windows-Benachrichtigungsleiste), und wählen Sie "Verbindungsstatus" aus. Suchen Sie nach der SMTP-Adresse des Clients für den AuthN-Typ "Bearer*", der das in OAuth verwendete Bearertoken darstellt.

Verwandte Artikel

Link zurück zur Übersicht über moderne Authentifizierung.

Müssen Sie wissen, wie Sie die moderne Authentifizierung für Ihre Skype for Business-Clients verwenden? Hier finden Sie schritte: Übersicht über moderne Hybridauthentifizierung und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern.