Come configurare Skype for Business locale per utilizzare l'autenticazione moderna ibrida

Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

L'autenticazione moderna è un metodo di gestione delle identità che offre un'autenticazione e un'autorizzazione utente più sicure, è disponibile per Skype for Business server locale ed Exchange server locale e per domini separati Skype for Business ibridi.

Importante

Altre informazioni sull'autenticazione moderna (MA) e sul motivo per cui si preferisce usarla nell'azienda o nell'organizzazione? Per una panoramica, vedere questo documento . Se è necessario sapere quali topologie Skype for Business sono supportate con MA, questo è documentato qui.

Prima di iniziare, si usano i termini seguenti:

• Autenticazione moderna (MA)

• Autenticazione moderna ibrida (HMA)

• Exchange locale (EXCH)

• Exchange Online (EXO)

• Skype for Business locale (SFB)

• Skype for Business Online (SFBO)

Inoltre, se un elemento grafico in questo articolo ha un oggetto disattivato o disattivato, significa che l'elemento visualizzato in grigio non è incluso nella configurazione specifica di MA.

Leggere il riepilogo

Questo riepilogo suddivide il processo in passaggi che potrebbero altrimenti andare persi durante l'esecuzione ed è utile per un elenco di controllo complessivo per tenere traccia della posizione del processo.

1. Prima di tutto, assicurarsi di soddisfare tutti i prerequisiti.

2. Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, vedere l'articolo di panoramica per l'elenco di controllo precedente. Eseguire questa operazione prima di iniziare uno dei passaggi descritti in questo articolo.

3. Raccogliere le informazioni specifiche di HMA necessarie in un file o in OneNote.

4. Attivare l'autenticazione moderna per EXO (se non è già attivata).

5. Attivare l'autenticazione moderna per SFBO (se non è già attivata).

6. Attivare l'autenticazione moderna ibrida per Exchange in locale.

7. Attivare l'autenticazione moderna ibrida per Skype for Business locale.

Questi passaggi attivano MA per SFB, SFBO, EXCH ed EXO, ovvero tutti i prodotti che possono partecipare a una configurazione HMA di SFB e SFBO (incluse le dipendenze da EXCH/EXO). In altre parole, se gli utenti sono ospitati o hanno cassette postali create in qualsiasi parte dell'ambiente ibrido (EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB), il prodotto finito è simile al seguente:

Come si può vedere, ci sono quattro posti diversi per attivare MA! Per un'esperienza utente ottimale, è consigliabile attivare MA in tutte e quattro le posizioni. Se non è possibile attivare MA in tutte queste posizioni, modificare i passaggi in modo da attivare MA solo nelle posizioni necessarie per l'ambiente.

Vedere l'argomento Supporto per Skype for Business con MA per le topologie supportate.

Importante

Verificare di aver soddisfatto tutti i prerequisiti prima di iniziare. Queste informazioni sono disponibili in Panoramica e prerequisiti dell'autenticazione moderna ibrida.

Raccogliere tutte le informazioni specifiche di HMA necessarie

Dopo aver verificato di soddisfare i prerequisiti per l'uso dell'autenticazione moderna (vedere la nota precedente), è necessario creare un file per contenere le informazioni necessarie per la configurazione di HMA nei passaggi successivi. Esempi usati in questo articolo:

• Dominio SIP/SMTP

  • Esempio contoso.com (federato con Office 365)

• ID del Tenant

  • GUID che rappresenta il tenant Office 365 (all'account di accesso di contoso.onmicrosoft.com).

• URL del servizio Web SFB 2015 CU5

Sono necessari URL di servizio Web interni ed esterni per tutti i pool SfB 2015 distribuiti. Per ottenerli, eseguire il comando seguente da Skype for Business Management Shell:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Esempio Interno: https://lyncwebint01.contoso.com

• Esempio Esterno: https://lyncwebext01.contoso.com

Se si usa un server Standard Edition, l'URL interno sarà vuoto. In questo caso, usare il nome di dominio completo del pool per l'URL interno.

Attivare l'autenticazione moderna per EXO

Seguire le istruzioni seguenti: Exchange Online: Come abilitare il tenant per l'autenticazione moderna.

Attivare l'autenticazione moderna per SFBO

Seguire le istruzioni riportate qui: Skype for Business Online: Abilitare il tenant per l'autenticazione moderna.

Attivare l'autenticazione moderna ibrida per Exchange in locale

Seguire le istruzioni riportate di seguito: Come configurare Exchange Server locale per l'uso dell'autenticazione moderna ibrida.

Attivare l'autenticazione moderna ibrida per Skype for Business locale

Aggiungere URL del servizio Web locale come NOMI SPN in Microsoft Entra ID

È ora necessario eseguire comandi per aggiungere gli URL (raccolti in precedenza) come entità servizio in SFBO.

Nota

I nomi dell'entità servizio (SPN) identificano i servizi Web e li associano a un'entità di sicurezza (ad esempio un nome account o un gruppo) in modo che il servizio possa agire per conto di un utente autorizzato. I client che eseguono l'autenticazione a un server usano informazioni contenute nei nomi SPN.

Nota

I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

1. Prima di tutto, connettersi a Microsoft Entra ID con queste istruzioni.

2. Eseguire questo comando, in locale, per ottenere un elenco di URL del servizio Web SFB.

   AppPrincipalId inizia con 00000004. Corrisponde a Skype for Business Online.

   Prendere nota (e screenshot per un confronto successivo) dell'output di questo comando, che include un URL SE e WS, ma principalmente costituito da nomi SPN che iniziano con 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Se gli URL SFB interni o esterni dall'ambiente locale sono mancanti ( https://lyncwebint01.contoso.com ad esempio, e https://lyncwebext01.contoso.com) sarà necessario aggiungere tali record specifici a questo elenco.

   Assicurarsi di sostituire gli URL di esempio con gli URL effettivi nei comandi Aggiungi.

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Verificare che i nuovi record siano stati aggiunti eseguendo di nuovo il comando Get-MsolServicePrincipal dal passaggio 2 e esaminando l'output. Confrontare l'elenco o lo screenshot di prima con il nuovo elenco di nomi SPN. È anche possibile screenshot del nuovo elenco per i record. In caso di esito positivo, è possibile visualizzare i due nuovi URL nell'elenco. In base all'esempio, l'elenco di nomi SPN includerà ora gli URL https://lyncwebint01.contoso.com specifici e https://lyncwebext01.contoso.com/.

Creare l'oggetto server di autenticazione EvoSTS

Eseguire il comando seguente in Skype for Business Management Shell.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Abilitare l'autenticazione moderna ibrida

Questo è il passaggio che in realtà attiva MA. Tutti i passaggi precedenti possono essere eseguiti in anticipo senza modificare il flusso di autenticazione client. Quando si è pronti per modificare il flusso di autenticazione, eseguire questo comando in Skype for Business Management Shell.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Verificare

Dopo aver abilitato HMA, l'account di accesso successivo di un client userà il nuovo flusso di autenticazione. L'attivazione di HMA non attiverebbe una riautenticazione per nessun client. I client rieseguire l'autenticazione in base alla durata dei token di autenticazione e/o dei certificati di cui dispongono.

Per verificare che HMA funzioni dopo averlo abilitato, disconnettersi da un client SFB Windows di test e assicurarsi di selezionare "Elimina credenziali". Accedere di nuovo. Il client deve ora usare il flusso di autenticazione moderna e l'account di accesso includerà ora una richiesta di Office 365 per un account "Aziendale o dell'istituto di istruzione", visualizzata subito prima che il client contatti il server e registri l'utente.

È anche consigliabile controllare "Informazioni di configurazione" per Skype for Business Client per un'autorità OAuth. Per eseguire questa operazione nel computer client, tenere premuto CTRL contemporaneamente facendo clic con il pulsante destro del mouse sull'icona Skype for Business nella barra delle notifiche di Windows. Selezionare Informazioni di configurazione nel menu visualizzato. Nella finestra 'Skype for Business Configuration Information' visualizzata sul desktop cercare quanto segue:

Tenere premuto il tasto CTRL nello stesso momento in cui si fa clic con il pulsante destro del mouse sull'icona per il client Outlook (anche nella barra delle notifiche di Windows) e selezionare "Stato connessione". Cercare l'indirizzo SMTP del client rispetto a un tipo AuthN di 'Bearer*', che rappresenta il token di connessione usato in OAuth.

Articoli correlati

Collegamento alla panoramica dell'autenticazione moderna.

È necessario sapere come usare l'autenticazione moderna per i client Skype for Business? Sono disponibili i passaggi seguenti: Panoramica dell'autenticazione moderna ibrida e prerequisiti per l'uso con i server Skype for Business ed Exchange locali.