Configurer l’intégration et OAuth entre Skype Entreprise Online et Exchange Server

  • Article

La configuration de l’intégration entre Exchange Server et Skype Entreprise Online active les fonctionnalités Skype Entreprise et d’intégration Exchange décrites dans Prise en charge des fonctionnalités.

Cette rubrique s’applique à l’intégration à Exchange Server 2013 à 2019.

Que devez-vous savoir avant de commencer ?

Configurer l’intégration entre Exchange Server et O365

Étape 1 : Configurer l’authentification OAuth entre Exchange Server et O365

Effectuez les étapes décrites dans l’article suivant :

Configurer l’authentification OAuth entre Exchange et Exchange Online organisations

Étape 2 : Créer un compte d’utilisateur de messagerie pour l’application partenaire Skype Entreprise Online

Cette étape est effectuée sur le serveur Exchange. Elle crée un utilisateur de messagerie et lui attribue les droits de rôle de gestion adaptés. Ce compte sera alors utilisé lors de l’étape suivante.

Spécifiez un domaine vérifié pour votre organization Exchange. Ce domaine doit être le même domaine que le domaine SMTP principal utilisé pour les comptes Exchange locaux. Ce domaine est appelé <domaine vérifié> dans la procédure suivante. En outre, le <nom de domaine DomainControllerFQDN> doit être le nom de domaine complet d’un contrôleur de domaine.

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

Cette commande masquera le nouvel utilisateur de messagerie dans les listes d’adresses.

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

Les deux commandes qui suivent permettront d’attribuer les rôles de gestion ArchiveApplication et UserApplication à ce nouveau compte.

New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>

New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>

Étape 3 : Créer et activer une application partenaire pour Skype Entreprise Online

Créez une nouvelle application partenaire et utilisez le compte que vous venez de créer. Exécutez la commande suivante dans Exchange PowerShell dans votre organization Exchange local.

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

Étape 4 : Exporter le certificat d’autorisation local

Exécutez un script PowerShell pour exporter le certificat d’autorisation local, que vous allez importer dans votre organization Skype Entreprise Online à l’étape suivante.

Enregistrez le texte suivant dans un fichier de script PowerShell appelé, par exemple, ExportAuthCert.ps1.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
    md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

Dans Exchange PowerShell, dans votre organization Exchange local, exécutez le script PowerShell que vous venez de créer. Par exemple : .\ExportAuthCert.ps1

Étape 5 : Charger le certificat d’autorisation local sur Microsoft Entra ACS

Ensuite, utilisez Windows PowerShell pour charger le certificat d’autorisation local que vous avez exporté à l’étape précédente vers Microsoft Entra Access Control Services (ACS). Pour ce faire, le module Azure Active Directory pour les applets de commande Windows PowerShell doit déjà être installé. S’il n’est pas installé, accédez à https://aka.ms/aadposh pour installer le module Azure Active Directory pour Windows PowerShell. Effectuez les étapes suivantes après l’installation du module Azure Active Directory pour Windows PowerShell.

  1. Cliquez sur le module Azure Active Directory pour Windows PowerShell raccourci pour ouvrir un espace de travail Windows PowerShell sur lequel les applets de commande Microsoft Entra sont installées. Toutes les commandes de cette étape seront exécutées à l’aide du Windows PowerShell pour Microsoft Entra console ID.

  2. Enregistrez le texte suivant dans un fichier de script PowerShell nommé, par exemple . UploadAuthCert.ps1

    Connect-MgGraph
Import-Module Microsoft.Graph
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
$objFSO = New-Object -ComObject Scripting.FileSystemObject
$CertFile = $objFSO.GetAbsolutePathName($CertFile);
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$cer.Import($CertFile)
$binCert = $cer.GetRawCertData();
$credValue = [System.Convert]::ToBase64String($binCert)
$ServiceName = "00000004-0000-0ff1-ce00-000000000000"
$p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames
Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue

  3. Exécutez le script PowerShell que vous avez créé lors de l’étape précédente. Par exemple : .\UploadAuthCert.ps1

  4. Une fois que vous avez lancé le script, une boîte de dialogue d’informations d’identification s’affiche. Entrez les informations d’identification du compte d’administrateur client de votre Microsoft Entra organization Microsoft Online. Après avoir exécuté le script, laissez le Windows PowerShell pour Microsoft Entra session ouverte. Vous l’utiliserez pour exécuter un script PowerShell à l’étape suivante.

Étape 6 : Vérifier que le certificat a été chargé sur le principal du service Skype Entreprise

  1. Dans PowerShell ouvert et authentifié sur Microsoft Entra ID, exécutez la commande suivante

    Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000

  2. Appuyez sur Entrée lorsque vous êtes invité à entrer ReturnKeyValues

  3. Vérifiez que vous voyez une clé répertoriée avec des données de date de début et de fin qui correspondent aux dates de début et de fin de votre certificat Oauth Exchange

Vérifiez que tout fonctionne correctement

Vérifiez que la configuration est correcte en vérifiant que certaines fonctionnalités fonctionnent correctement.

  1. Vérifiez que Skype Entreprise utilisateurs avec Messagerie vocale infonuagique service, dans une organization avec une configuration de Exchange Server hybride, peuvent modifier correctement leurs messages d’accueil de messagerie vocale.

  2. Vérifiez que l’historique des conversations pour les clients mobiles est visible dans le dossier Historique des conversations Outlook.

  3. Vérifiez que les messages de conversation archivés sont déposés dans la boîte aux lettres locale de l’utilisateur dans le dossier Purges à l’aide d’EWSEditor.

Vous pouvez également examiner votre trafic. Le trafic dans une négociation OAuth est vraiment distinctif (et ne ressemble pas à l’authentification de base), en particulier autour des domaines, où vous commencerez à voir le trafic de l’émetteur qui ressemble à ceci : 000000004-0000-0ff1-ce00-00000000000@ (parfois avec un / avant le signe @), dans les jetons passés. Vous ne verrez pas de nom d’utilisateur ou de mot de passe, ce qui est le point d’OAuth. Toutefois, vous verrez l’émetteur « Office » ( dans ce cas, « 4 » est Skype Entreprise) et le domaine de votre abonnement.

Si vous souhaitez être sûr d’utiliser OAuth avec succès, assurez-vous de savoir à quoi vous attendre et de savoir à quoi doit ressembler le trafic. Voici à quoi s’attendre.

Voici un exemple de configuration, mais vous pouvez utiliser n’importe quel outil de suivi réseau de votre choix pour entreprendre ce processus.

Configurer l’authentification OAuth entre Exchange et Exchange Online organisations