Cómo configurar Skype Empresarial local para usar la autenticación moderna híbrida

Este artículo afecta tanto a Office 365 Enterprise como a Microsoft 365 Enterprise

La autenticación moderna es un método de administración de identidades que ofrece autenticación y autorización de usuario más segura, está disponible para Skype Empresarial servidor local y exchange server local, y híbridos de Skype Empresarial de dominio dividido.

Importante

¿Desea obtener más información sobre la autenticación moderna (MA) y por qué podría preferir usarla en su empresa u organización? Consulte este documento para obtener información general. Si necesita saber qué topologías de Skype Empresarial se admiten con MA, esto se documenta aquí.

Antes de empezar, uso estos términos:

• Autenticación moderna (MA)

• Autenticación moderna híbrida (HMA)

• Exchange local (EXCH)

• Exchange Online (EXO)

• Skype Empresarial local (SFB)

• Skype Empresarial en línea (SFBO)

Además, si un gráfico de este artículo tiene un objeto atenuado o atenuado, significa que el elemento que se muestra en gris no se incluye en la configuración específica de MA.

Leer el resumen

Este resumen desglosa el proceso en pasos que, de lo contrario, podrían perderse durante la ejecución y es bueno para que una lista de comprobación general realice un seguimiento de dónde se encuentra en el proceso.

1. En primer lugar, asegúrese de cumplir todos los requisitos previos.

2. Dado que muchos requisitos previos son comunes tanto para Skype Empresarial como para Exchange, consulte el artículo de información general de la lista de comprobación previa a la consulta. Haga esto antes de comenzar cualquiera de los pasos de este artículo.

3. Recopile la información específica de HMA que necesita en un archivo o OneNote.

4. Active autenticación moderna para EXO (si aún no está activada).

5. Active la autenticación moderna para SFBO (si aún no está activada).

6. Active la autenticación moderna híbrida para Exchange local.

7. Active la autenticación moderna híbrida para Skype Empresarial local.

Estos pasos encienden MA para SFB, SFBO, EXCH y EXO, es decir, todos los productos que pueden participar en una configuración HMA de SFB y SFBO (incluidas las dependencias de EXCH/EXO). En otras palabras, si los usuarios están hospedados o tienen buzones creados en cualquier parte del híbrido (EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB), el producto terminado tiene el siguiente aspecto:

Como puede ver, hay cuatro lugares diferentes para activar MA! Para obtener la mejor experiencia de usuario, se recomienda activar MA en las cuatro ubicaciones. Si no puede activar MA en todas estas ubicaciones, ajuste los pasos para que active ma solo en las ubicaciones necesarias para su entorno.

Consulte el tema Compatibilidad para Skype Empresarial con MA para obtener las topologías admitidas.

Importante

Compruebe que ha cumplido todos los requisitos previos antes de empezar. Encontrará esa información en Introducción a la autenticación moderna híbrida y requisitos previos.

Recopilar toda la información específica de HMA que necesitará

Después de comprobar que cumple los requisitos previos para usar la autenticación moderna (consulte la nota anterior), debe crear un archivo para contener la información que necesitará para configurar HMA en los pasos siguientes. Ejemplos usados en este artículo:

• Dominio SIP/SMTP

  • Ej. contoso.com (está federado con Office 365)

• Identificación del inquilino

  • GUID que representa el inquilino de Office 365 (en el inicio de sesión de contoso.onmicrosoft.com).

• Direcciones URL del servicio web de SFB 2015 CU5

Necesita direcciones URL de servicio web internas y externas para todos los grupos de SfB 2015 implementados. Para obtenerlos, ejecute el siguiente comando desde Skype Empresarial Shell de administración:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Ej. Interna: https://lyncwebint01.contoso.com

• Ej. Externos: https://lyncwebext01.contoso.com

Si usa un servidor Standard Edition, la dirección URL interna estará en blanco. En este caso, use el fqdn del grupo para la dirección URL interna.

Activar la autenticación moderna para EXO

Siga las instrucciones que se indican aquí: Exchange Online: Cómo habilitar el inquilino para la autenticación moderna.

Activar la autenticación moderna para SFBO

Siga las instrucciones que se indican aquí: Skype Empresarial Online: Habilitar el inquilino para la autenticación moderna.

Activar la autenticación moderna híbrida para Exchange local

Siga las instrucciones que se indican aquí: Configuración de Exchange Server local para usar la autenticación moderna híbrida.

Activar la autenticación moderna híbrida para Skype Empresarial local

Agregar direcciones URL de servicio web locales como SPN en Microsoft Entra ID

Ahora debe ejecutar comandos para agregar las direcciones URL (recopiladas anteriormente) como entidades de servicio en SFBO.

Nota:

Los nombres de entidad de seguridad de servicio (SPN) identifican los servicios web y los asocian a una entidad de seguridad (como un nombre de cuenta o grupo) para que el servicio pueda actuar en nombre de un usuario autorizado. Los clientes que se autentican en un servidor usan la información contenida en los SPN.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

1. En primer lugar, conéctese a Microsoft Entra ID con estas instrucciones.

2. Ejecute este comando local para obtener una lista de direcciones URL del servicio web SFB.

   AppPrincipalId comienza por 00000004. Esto corresponde a Skype Empresarial Online.

   Tome nota de (y captura de pantalla para la comparación posterior) de la salida de este comando, que incluye una dirección URL de SE y WS, pero principalmente consta de SPN que comienzan por 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Si faltan las direcciones URL de SFB internas o externas del entorno local (por ejemplo, https://lyncwebint01.contoso.com y https://lyncwebext01.contoso.com) tendremos que agregar esos registros específicos a esta lista.

   Asegúrese de reemplazar las direcciones URL de ejemplo por las direcciones URL reales en los comandos Agregar.

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Compruebe que los nuevos registros se agregaron ejecutando de nuevo el comando Get-MsolServicePrincipal del paso 2 y examinando la salida. Compare la lista o captura de pantalla de antes con la nueva lista de SPN. También puede realizar una captura de pantalla de la nueva lista de los registros. Si se ha realizado correctamente, puede ver las dos nuevas direcciones URL de la lista. En nuestro ejemplo, la lista de SPN ahora incluirá las direcciones https://lyncwebint01.contoso.com URL específicas y https://lyncwebext01.contoso.com/.

Creación del objeto de servidor de autenticación de EvoSTS

Ejecute el siguiente comando en el Shell de administración de Skype Empresarial.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Habilitación de la autenticación moderna híbrida

Este es el paso que activa realmente MA. Todos los pasos anteriores se pueden ejecutar con antelación sin cambiar el flujo de autenticación del cliente. Cuando esté listo para cambiar el flujo de autenticación, ejecute este comando en el Shell de administración de Skype Empresarial.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Verificar

Una vez que habilite HMA, el siguiente inicio de sesión de un cliente usará el nuevo flujo de autenticación. Al activar HMA no se desencadenaría una nueva autenticación para ningún cliente. Los clientes vuelven a autenticarse en función de la duración de los tokens de autenticación o de los certificados que tengan.

Para probar que HMA funciona después de habilitarlo, cierre la sesión de un cliente de Windows sfb de prueba y asegúrese de seleccionar "eliminar mis credenciales". Vuelva a iniciar sesión. El cliente ahora debe usar el flujo de autenticación moderna y el inicio de sesión ahora incluirá una solicitud de Office 365 para una cuenta "Profesional o educativa", que se ve justo antes de que el cliente se pone en contacto con el servidor e inicia sesión.

También debe comprobar la "Información de configuración" de los clientes de Skype Empresarial para obtener una "autoridad de OAuth". Para hacerlo en el equipo cliente, mantenga presionada la tecla CTRL al mismo tiempo que haga clic con el botón derecho en el icono de Skype Empresarial en la bandeja de notificaciones de Windows. Seleccione Información de configuración en el menú que aparece. En la ventana "información de configuración de Skype Empresarial" que aparece en el escritorio, busque lo siguiente:

También debe mantener presionada la tecla CTRL al mismo tiempo que haga clic con el botón derecho en el icono del cliente de Outlook (también en la bandeja de notificaciones de Windows) y seleccione "Estado de conexión". Busque la dirección SMTP del cliente en un tipo AuthN de "Bearer*", que representa el token de portador usado en OAuth.

Artículos relacionados

Vuelva a vincular a la introducción a la autenticación moderna.

¿Necesita saber cómo usar la autenticación moderna para los clientes de Skype Empresarial? Aquí tenemos pasos: Introducción a la autenticación moderna híbrida y requisitos previos para usarlo con servidores de Exchange y Skype Empresarial locales.