Konfigurieren der Integration und OAuth zwischen Skype for Business Online und Exchange Server

  • Artikel

Durch das Konfigurieren der Integration zwischen Exchange Server und Skype for Business Online werden die unter Featureunterstützung beschriebenen Skype for Business- und Exchange-Integrationsfeatures aktiviert.

Dieses Thema bezieht sich auf die Integration in Exchange Server 2013 bis 2019.

Was Sie wissen müssen, bevor Sie anfangen

Konfigurieren der Integration zwischen Exchange Server und O365

Schritt 1: Konfigurieren der OAuth-Authentifizierung zwischen Exchange Server und O365

Führen Sie die Schritte im folgenden Artikel aus:

Konfigurieren der OAuth-Authentifizierung zwischen Exchange und Exchange Online Organisationen

Schritt 2: Erstellen eines neuen E-Mail-Benutzerkontos für die Skype for Business Online-Partneranwendung

Dieser Schritt wird auf dem Exchange-Server ausgeführt. Ein E-Mail-Benutzer wird angelegt und bekommt die entsprechenden Berechtigungen für die Verwaltungsrolle zugewiesen. Dieses Konto wird anschließend im nächsten Schritt gebraucht.

Geben Sie eine überprüfte Domäne für Ihre Exchange-organization an. Diese Domäne sollte dieselbe Domäne sein, die wie die primäre SMTP-Domäne verwendet wird, die für die lokalen Exchange-Konten verwendet wird. Diese Domäne wird im folgenden Verfahren als <Ihre verifizierte Domäne> bezeichnet. Außerdem sollte der <DomainControllerFQDN> der FQDN eines Domänencontrollers sein.

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

Dieser Befehl blendet den neuen E-Mail-Benutzer aus der Adressliste aus.

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

Die nächsten beiden Befehle weisen diesem neuen Konto die „UserApplication“- und die „ArchiveApplication“-Verwaltungsrolle zu.

New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>

New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>

Schritt 3: Erstellen und Aktivieren einer Partneranwendung für Skype for Business Online

Erstellen Sie eine neue Partneranwendung, die das Konto verwendet, das Sie soeben erstellt haben. Führen Sie den folgenden Befehl in Exchange PowerShell in Ihrer lokalen Exchange-organization aus.

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

Schritt 4: Exportieren des lokalen Autorisierungszertifikats

Führen Sie ein PowerShell-Skript aus, um das lokale Autorisierungszertifikat zu exportieren, das Sie im nächsten Schritt in Ihre Skype for Business Online-organization importieren.

Speichern Sie den folgenden Text in einer PowerShell-Skriptdatei, die Sie zum Beispiel „ExportAuthCert.ps1“ nennen können.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
    md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

Führen Sie in Exchange PowerShell in Ihrer lokalen Exchange-organization das soeben erstellte PowerShell-Skript aus. Beispiel: .\ExportAuthCert.ps1

Schritt 5: Hochladen des lokalen Autorisierungszertifikats in Microsoft Entra ACS

Verwenden Sie als Nächstes Windows PowerShell, um das lokale Autorisierungszertifikat hochzuladen, das Sie im vorherigen Schritt in Microsoft Entra Access Control Services (ACS) exportiert haben. Dazu muss das Azure Active Directory-Modul für Windows PowerShell-Cmdlets bereits installiert sein. Wenn es nicht installiert ist, wechseln Sie zu https://aka.ms/aadposh Installieren des Azure Active Directory-Moduls für Windows PowerShell. Führen Sie die folgenden Schritte aus, nachdem das Azure Active Directory-Modul für Windows PowerShell installiert wurde.

  1. Klicken Sie auf das Azure Active Directory-Modul für Windows PowerShell Verknüpfung, um einen Windows PowerShell Arbeitsbereich zu öffnen, in dem die Microsoft Entra-Cmdlets installiert sind. Alle Befehle in diesem Schritt werden mithilfe der Windows PowerShell für Microsoft Entra ID-Konsole ausgeführt.

  2. Speichern Sie den folgenden Text in einer PowerShell-Skriptdatei namens, z. B UploadAuthCert.ps1. .

    Connect-MgGraph
Import-Module Microsoft.Graph
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
$objFSO = New-Object -ComObject Scripting.FileSystemObject
$CertFile = $objFSO.GetAbsolutePathName($CertFile);
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$cer.Import($CertFile)
$binCert = $cer.GetRawCertData();
$credValue = [System.Convert]::ToBase64String($binCert)
$ServiceName = "00000004-0000-0ff1-ce00-000000000000"
$p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames
Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue

  3. Führen Sie das PowerShell-Skript aus, das Sie im vorigen Schritt erstellt haben. Beispiel: .\UploadAuthCert.ps1

  4. Nach dem Start des Skripts wird ein Dialogfeld zur Eingabe Ihrer Anmeldeinformationen angezeigt. Geben Sie die Anmeldeinformationen für das Mandantenadministratorkonto Ihres Microsoft Online-Microsoft Entra organization ein. Lassen Sie nach dem Ausführen des Skripts die Windows PowerShell für Microsoft Entra Sitzung geöffnet. Sie brauchen sie, um im nächsten Schritt ein PowerShell-Skript auszuführen.

Schritt 6: Überprüfen, ob das Zertifikat in den Skype for Business-Dienstprinzipal hochgeladen wurde

  1. Führen Sie in der powerShell, die für Microsoft Entra ID geöffnet und authentifiziert wurde, Folgendes aus:

    Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000

  2. Drücken Sie die EINGABETASTE, wenn Sie zur Eingabe von ReturnKeyValues aufgefordert werden.

  3. Vergewissern Sie sich, dass ein Schlüssel mit Startdatum und Enddaten aufgeführt wird, der dem Start- und Enddatum Ihres Exchange Oauth-Zertifikats entspricht.

Überprüfen Ihres Erfolgs

Überprüfen Sie, ob die Konfiguration korrekt ist, indem Sie überprüfen, ob einige der Features erfolgreich funktionieren.

  1. Vergewissern Sie sich, dass Skype for Business Benutzer mit Cloud-Voicemail Dienst in einem organization mit einer Hybrid-Exchange Server-Konfiguration ihre Voicemail-Begrüßungen erfolgreich ändern können.

  2. Vergewissern Sie sich, dass der Unterhaltungsverlauf für mobile Clients im Ordner "Outlook-Unterhaltungsverlauf" angezeigt wird.

  3. Vergewissern Sie sich mithilfe von EWSEditor, dass archivierte Chatnachrichten im lokalen Postfach des Benutzers im Ordner "Löschvorgänge" abgelegt werden.

Sehen Sie sich alternativ Ihren Datenverkehr an. Der Datenverkehr in einem OAuth-Handshake ist wirklich charakteristisch (und sieht nicht wie die Standardauthentifizierung aus), insbesondere in Bereichen, in denen Sie den Ausstellerdatenverkehr sehen, der wie folgt aussieht: 00000004-0000-0ff1-ce00-00000000000000@ (manchmal mit einem / vor dem @-Zeichen) in den Token, die übergeben werden. Es wird kein Benutzername oder Kennwort angezeigt. Dies ist der Punkt von OAuth. Sie sehen jedoch den Aussteller "Office" ( in diesem Fall ist "4" Skype for Business - und den Bereich Ihres Abonnements.

Wenn Sie sicherstellen möchten, dass Sie OAuth erfolgreich verwenden, stellen Sie sicher, dass Sie wissen, was Sie erwarten und wie der Datenverkehr aussehen soll. Hier sehen Sie also, was Sie erwarten können.

Hier sehen Sie ein Beispiel für die Einrichtung eines Netzwerks, aber Sie können ein beliebiges Netzwerkablaufverfolgungstool verwenden, um diesen Prozess durchzuführen.

Konfigurieren der OAuth-Authentifizierung zwischen Exchange und Exchange Online Organisationen