Comment configurer Skype Entreprise en local pour utiliser l’authentification moderne hybride

Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.

L’authentification moderne est une méthode de gestion des identités qui offre une authentification et une autorisation utilisateur plus sécurisées, est disponible pour Skype Entreprise serveur local et serveur Exchange local, ainsi que pour les Skype Entreprise hybrides de domaine partagé.

Importante

Voulez-vous en savoir plus sur l’authentification moderne (MA) et pourquoi vous préféreriez l’utiliser dans votre entreprise ou organization ? Consultez ce document pour obtenir une vue d’ensemble. Si vous avez besoin de savoir quelles topologies Skype Entreprise sont prises en charge avec MA, c’est documenté ici .

Avant de commencer, j’utilise les termes suivants :

• Authentification moderne (MA)

• Authentification moderne hybride (HMA)

• Exchange local (EXCH)

• Exchange Online (EXO)

• Skype Entreprise localement (SFB)

• Skype Entreprise Online (SFBO)

En outre, si un graphique de cet article a un objet grisé ou grisé, cela signifie que l’élément affiché en gris n’est pas inclus dans la configuration propre à MA.

Lire le résumé

Ce résumé décompose le processus en étapes qui pourraient autrement être perdues pendant l’exécution, et est bon pour une liste de contrôle globale permettant de suivre l’endroit où vous vous trouvez dans le processus.

1. Tout d’abord, vérifiez que vous remplissez toutes les conditions préalables.

2. Étant donné que de nombreuses conditions préalables sont courantes pour Skype Entreprise et Exchange, consultez l’article vue d’ensemble de votre liste de contrôle préalable. Procédez ainsi avant de commencer l’une des étapes décrites dans cet article.

3. Collectez les informations spécifiques à HMA dont vous avez besoin dans un fichier ou OneNote.

4. Activez l’authentification moderne pour EXO (si elle n’est pas déjà activée).

5. Activez l’authentification moderne pour SFBO (si elle n’est pas déjà activée).

6. Activez l’authentification moderne hybride pour Exchange en local.

7. Activez l’authentification moderne hybride pour Skype Entreprise localement.

Ces étapes activent MA pour SFB, SFBO, EXCH et EXO, c’est-à-dire tous les produits qui peuvent participer à une configuration HMA de SFB et SFBO (y compris les dépendances sur EXCH/EXO). En d’autres termes, si vos utilisateurs sont hébergés dans/ont des boîtes aux lettres créées dans n’importe quelle partie de l’hybride (EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB), votre produit fini ressemble à ceci :

Comme vous pouvez le voir, il y a quatre endroits différents pour activer MA ! Pour une expérience utilisateur optimale, nous vous recommandons d’activer MA dans les quatre emplacements suivants. Si vous ne pouvez pas activer MA dans tous ces emplacements, ajustez les étapes afin d’activer MA uniquement dans les emplacements nécessaires pour votre environnement.

Consultez la rubrique Prise en charge pour Skype Entreprise avec MA pour connaître les topologies prises en charge.

Importante

Deux fois case activée que vous avez rempli toutes les conditions préalables avant de commencer. Vous trouverez ces informations dans Vue d’ensemble de l’authentification moderne hybride et conditions préalables.

Collecter toutes les informations spécifiques à HMA dont vous aurez besoin

Une fois que vous avez vérifié que vous remplissez les conditions préalables à l’utilisation de l’authentification moderne (voir la remarque précédente), vous devez créer un fichier contenant les informations dont vous aurez besoin pour configurer HMA dans les étapes à venir. Exemples utilisés dans cet article :

• Domaine SIP/SMTP

  • Exemple : contoso.com (est fédéré avec Office 365)

• ID client

  • GUID qui représente votre locataire Office 365 (à la connexion de contoso.onmicrosoft.com).

• URL du service web SFB 2015 CU5

Vous avez besoin d’URL de service web internes et externes pour tous les pools SfB 2015 déployés. Pour les obtenir, exécutez la commande suivante à partir de Skype Entreprise Management Shell :

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Exemple : Interne: https://lyncwebint01.contoso.com

• Exemple : Externe: https://lyncwebext01.contoso.com

Si vous utilisez un serveur Standard Edition, l’URL interne est vide. Dans ce cas, utilisez le nom de domaine complet du pool pour l’URL interne.

Activer l’authentification moderne pour EXO

Suivez les instructions ici : Exchange Online : Comment activer votre locataire pour l’authentification moderne.

Activer l’authentification moderne pour SFBO

Suivez les instructions ici : Skype Entreprise Online : Activer votre locataire pour l’authentification moderne.

Activer l’authentification moderne hybride pour Exchange en local

Suivez les instructions ici : Comment configurer Exchange Server localement pour utiliser l’authentification moderne hybride.

Activer l’authentification moderne hybride pour Skype Entreprise localement

Ajouter des URL de service web locales en tant que SPN dans Microsoft Entra ID

Vous devez maintenant exécuter des commandes pour ajouter les URL (collectées précédemment) en tant que principaux de service dans SFBO.

Remarque

Les noms de principal de service (SPN) identifient les services web et les associent à un principal de sécurité (tel qu’un nom de compte ou un groupe) afin que le service puisse agir au nom d’un utilisateur autorisé. Les clients qui s’authentifient auprès d’un serveur utilisent les informations contenues dans les spN.

Remarque

Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

1. Tout d’abord, connectez-vous à Microsoft Entra ID en suivant ces instructions.

2. Exécutez cette commande localement pour obtenir la liste des URL du service web SFB.

   AppPrincipalId commence 00000004par . Cela correspond à Skype Entreprise Online.

   Notez (et la capture d’écran pour une comparaison ultérieure) la sortie de cette commande, qui inclut une URL SE et WS, mais se compose principalement de SPN qui commencent par 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Si les URL SFB internes ou externes locales sont manquantes (par exemple, https://lyncwebint01.contoso.com et https://lyncwebext01.contoso.com), nous devons ajouter ces enregistrements spécifiques à cette liste.

   Veillez à remplacer les exemples d’URL par vos URL réelles dans les commandes Ajouter !

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Vérifiez que vos nouveaux enregistrements ont été ajoutés en exécutant à nouveau la commande Get-MsolServicePrincipal de l’étape 2 et en examinant la sortie. Comparez la liste ou la capture d’écran précédente à la nouvelle liste de SPN. Vous pouvez également capturer la nouvelle liste de vos enregistrements. Si vous avez réussi, vous pouvez afficher les deux nouvelles URL dans la liste. Dans notre exemple, la liste des noms de principal du service inclut désormais les URL https://lyncwebint01.contoso.com spécifiques et https://lyncwebext01.contoso.com/.

Créer l’objet de serveur d’authentification EvoSTS

Exécutez la commande suivante dans Skype Entreprise Management Shell.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Activer l’authentification moderne hybride

Il s’agit de l’étape qui active réellement MA. Toutes les étapes précédentes peuvent être exécutées à l’avance sans modifier le flux d’authentification du client. Lorsque vous êtes prêt à modifier le flux d’authentification, exécutez cette commande dans Skype Entreprise Management Shell.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Vérifier

Une fois que vous avez activé HMA, la prochaine connexion d’un client utilise le nouveau flux d’authentification. Le simple fait d’activer HMA ne déclenche pas de réauthentification pour n’importe quel client. Les clients se réauthentifient en fonction de la durée de vie des jetons d’authentification et/ou des certificats dont ils disposent.

Pour tester que HMA fonctionne une fois que vous l’avez activé, déconnectez-vous d’un client Windows SFB de test et veillez à sélectionner « Supprimer mes informations d’identification ». Reconnectez-vous. Le client doit maintenant utiliser le flux d’authentification moderne et votre connexion inclut désormais une invite de Office 365 pour un compte « Professionnel ou Scolaire », vu juste avant que le client contacte le serveur et vous connecte.

Vous devez également case activée les « informations de configuration » pour Skype Entreprise clients pour une « autorité OAuth ». Pour ce faire sur votre ordinateur client, maintenez la touche Ctrl enfoncée en même temps que vous cliquez avec le bouton droit sur l’icône Skype Entreprise dans la barre d’état des notifications Windows. Sélectionnez Informations de configuration dans le menu qui s’affiche. Dans la fenêtre « informations de configuration Skype Entreprise » qui s’affiche sur le bureau, recherchez les éléments suivants :

Vous devez également maintenir la touche Ctrl enfoncée en même temps que vous cliquez avec le bouton droit sur l’icône du client Outlook (également dans la barre d’état notifications Windows) et sélectionnez « État de la connexion ». Recherchez l’adresse SMTP du client par rapport à un type d’authentification « Bearer* », qui représente le jeton du porteur utilisé dans OAuth.

Articles connexes

Lien vers la vue d’ensemble de l’authentification moderne.

Avez-vous besoin de savoir comment utiliser l’authentification moderne pour vos clients Skype Entreprise ? Nous avons les étapes à suivre ici : Vue d’ensemble de l’authentification moderne hybride et conditions préalables à son utilisation avec des serveurs Skype Entreprise locaux et Exchange.