Distribuire una topologia di foresta di risorse

Importante

Skype for Business Online verrà ritirato il 31 luglio 2021. Se gli utenti di Skype for Business Online non sono stati aggiornati a Microsoft Teams prima di tale data, verrà pianificato automaticamente un aggiornamento assistito. Se si vuole eseguire l'aggiornamento dell'organizzazione a Teams manualmente, è consigliabile iniziare a pianificare il percorso di aggiornamento oggi stesso. Tenere presente che un aggiornamento corretto allinea la preparazione tecnica con quella degli utenti, quindi si consiglia di sfruttare la guida per l’aggiornamento durante il passaggio a Teams.

Nelle sezioni seguenti viene descritto come configurare un ambiente con più foreste in un modello di foresta risorsa/utente per fornire funzionalità in uno scenario ibrido.

Ambiente a più foreste per ambienti ibridi.

Requisiti per la topologia

Sono supportate più foreste utente. Tenere presente quanto segue:

  • Per le versioni supportate di Lync Server e Skype for Business Server in una configurazione ibrida, vedere Plan hybrid connectivity.

  • Exchange Server possono essere distribuiti in una o più foreste, che possono includere o meno la foresta contenente Skype for Business Server. Assicurati di aver applicato l'aggiornamento cumulativo più recente.

  • Per informazioni dettagliate sulla coesistenza con Exchange Server, inclusi i criteri di supporto e le limitazioni in varie combinazioni di locale e online, vedere Supporto delle funzionalità in Plan to integrate Skype for Business and Exchange.

Considerazioni sull'homing degli utenti

Skype for Business gli utenti ospitati in locale possono Exchange ospitati in locale o online. Teams utenti devono usare Exchange Online per un'esperienza ottimale; Tuttavia, questa operazione non è necessaria. Exchange locale non è necessario implementare Skype for Business in entrambi i casi.

Configurare trust tra foreste

In una topologia di foresta di risorse, le foreste di risorse che ospitano Skype for Business Server devono considerare attendibile ogni foresta di account contenente gli account degli utenti che vi accederanno.

Se si dispone di più foreste utente, per abilitare l'autenticazione tra foreste è importante che il routing dei suffissi nome sia abilitato per ognuno di questi trust tra foreste. Per istruzioni, vedere Managing Forest Trusts.

Se è stata Exchange Server distribuita in un'altra foresta e Exchange fornisce funzionalità per gli utenti di Skype for Business, la foresta che ospita Exchange deve considerare attendibile la foresta che ospita Skype for Business Server. Ad esempio, se Exchange sono stati distribuiti nella foresta di account, è necessario un trust bidirezionale tra l'account e Skype for Business foreste.

Sincronizzare gli account nella foresta che ospita Skype for Business

Si supponga Skype for Business Server sia distribuito in una foresta (una foresta di risorse), ma fornisce funzionalità agli utenti di una o più altre foreste (foreste account). In questo caso, gli utenti nelle altre foreste devono essere rappresentati come oggetti utente disabilitati nella foresta in cui Skype for Business Server viene distribuito.

È necessario utilizzare un prodotto di gestione delle identità, ad esempio Microsoft Identity Manager, per effettuare il provisioning e sincronizzare gli utenti dalle foreste di account nella foresta in cui Skype for Business Server viene distribuito. Gli utenti devono essere sincronizzati nella foresta che ospita Skype for Business Server come oggetti utente disabilitati. Gli utenti non possono essere sincronizzati come oggetti contatto di Active Directory, perché Azure Active Directory Connessione i contatti non verranno sincronizzati correttamente in Azure AD per l'uso con Skype.

Indipendentemente da qualsiasi configurazione a più foreste, la foresta che ospita Skype for Business Server può inoltre fornire funzionalità per tutti gli utenti abilitati presenti nella stessa foresta.

Per ottenere una corretta sincronizzazione delle identità, è necessario sincronizzare gli attributi seguenti:

Foreste utente Foreste di risorse
attributo di collegamento account scelto
attributo di collegamento account scelto
posta elettronica
posta elettronica
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

L'attributo di collegamento account scelto verrà utilizzato come ancoraggio di origine. Se si dispone di un attributo diverso e non modificabile che si preferisce utilizzare, è possibile farlo. è sufficiente assicurarsi di modificare la regola delle attestazioni di AD FS e selezionare l'attributo durante la configurazione Connessione AAD.

Non sincronizzare gli UPN tra le foreste. È necessario utilizzare un UPN univoco per ogni foresta utente, poiché non è possibile utilizzare lo stesso UPN in più foreste. Di conseguenza, esistono due possibilità: sincronizzare l'UPN o non eseguire la sincronizzazione.

  • Se l'UPN univoco di ogni foresta utente non è stato sincronizzato con l'oggetto disabilitato associato nella foresta di risorse, single sign-on (SSO) verrà interrotto almeno per il tentativo di accesso iniziale (presupponendo che l'utente abbia selezionato l'opzione per salvare la password). Nel client Skype for Business, si presuppone che i valori SIP/UPN siano gli stessi. Poiché l'indirizzo SIP in questo scenario è user@company.com, ma l'UPN dell'oggetto abilitato nella foresta utente è in realtà user@contoso.company.com, il tentativo di accesso iniziale avrà esito negativo e all'utente verrà richiesto di immettere le credenziali. Dopo aver immesso l'UPN corretto, la richiesta di autenticazione verrà completata nei controller di dominio nella foresta utente e l'accesso verrà eseguito correttamente.

  • Se l'UPN univoco di ogni foresta utente è stato sincronizzato con l'oggetto disabilitato associato nella foresta di risorse, l'autenticazione AD FS avrà esito negativo. La regola di corrispondenza trova l'UPN sull'oggetto nella foresta di risorse, che è stato disabilitato e non può essere utilizzato per l'autenticazione.

Creare un'Microsoft 365 organizzazione

Sarà necessario effettuare il provisioning di un'Microsoft 365 per l'utilizzo con la distribuzione. Per ulteriori informazioni, vedere Sottoscrizioni, licenze, accounte tenant per le offerte cloud di Microsoft.

Configurare Active Directory Federation Services

Dopo aver creato un tenant, sarà necessario configurare Active Directory Federation Services (AD FS) in ogni foresta utente. Si presuppone che sia presente un indirizzo SIP e SMTP univoco e un nome dell'entità utente (UPN) per ogni foresta. ADFS è facoltativo e viene usato qui per ottenere single sign-on (SSO). È supportato anche DirSync con sincronizzazione password e può essere utilizzato al posto di ADFS.

Sono state testate solo le distribuzioni con SIP/SMTP e UPN corrispondenti. La presenza di sip/SMTP/UPN corrispondenti può comportare funzionalità ridotte, ad esempio problemi con l'integrazione Exchange e SSO.

A meno che non si utilizzi un SIP/SMTP/UPN univoco per gli utenti di ogni foresta, è comunque possibile che si verificano problemi SSO, indipendentemente dalla posizione di distribuzione di ADFS:

  • Trust unidirezionale o bidirezionale tra foreste di risorse/utenti con farm AD FS distribuita in ogni foresta utente, tutti gli utenti condividono un dominio SIP/SMTP comune ma un UPN univoco per ogni foresta utente.

  • Trust bidirezionale tra foreste di risorse/utenti con farm AD FS distribuita solo nella foresta di risorse, tutti gli utenti condividono un dominio SIP/SMTP comune ma un UPN univoco per ogni foresta utente.

Inserendo una farm AD FS in ogni foresta utente e utilizzando un SIP/SMTP/UPN univoco per ogni foresta, vengono risolti entrambi i problemi. Solo gli account in quella foresta utente specifica verranno cercati e corrispondenti durante i tentativi di autenticazione. In questo modo sarà possibile garantire un processo di autenticazione più semplice.

Questa distribuzione sarà una distribuzione standard di AD FS Windows Server 2012 R2 e dovrebbe funzionare prima di continuare. Per istruzioni, vedere How to Install AD FS 2012 R2 for Microsoft 365.

Dopo la distribuzione, è necessario modificare la regola delle attestazioni in modo che corrisponda all'ancoraggio di origine selezionato in precedenza. Nella mmc AD FS, in Attendibilità componente, fare clic con il pulsante destro del mouse su Microsoft 365 Identity Platform o Microsoft Office 365 Identity Platform e quindi scegliere Modifica regole attestazione. Modificare la prima regola e ObjectSID in employeeNumber.

Schermata Modifica regole a più foreste.

Configurare AAD Connessione

Nelle topologie di foresta di risorse, è necessario che gli attributi utente della foresta di risorse e di tutte le foreste di account siano sincronizzati in Azure AD. Microsoft consiglia ad Azure AD Connessione sincronizzare e unire le identità utente di tutte le foreste che hanno abilitato gli account utente e la foresta che contiene Skype for Business. Per informazioni dettagliate, vedere Configure Azure AD Connessione for Skype for Business and Teams.

Tenere presente che Azure AD Connessione non fornisce la sincronizzazione locale tra le foreste di account e risorse. Che deve essere configurato utilizzando un Microsoft Identity Manager o un prodotto simile, come descritto in precedenza.

Al termine dell'unione Connessione azure AD, se si osserva un oggetto nel metaverse, dovrebbe essere visualizzato un elemento simile al seguente:

Schermata dell'oggetto Metaverse a più foreste.

Gli attributi evidenziati in verde sono stati uniti da Microsoft 365, il giallo deriva dalla foresta utente e il blu dalla foresta di risorse.

In questo esempio, Azure AD Connessione ha identificato sourceAnchor e cloudSourceAnchor dall'utente e gli oggetti foresta delle risorse da Microsoft 365, in questo caso 1101, il employeeNumber selezionato in precedenza. Azure AD Connessione è stato in grado di unire questo oggetto a quello che vedi sopra.

Per ulteriori informazioni, vedere Integrare le directory locali con Azure Active Directory.

Azure AD Connessione deve essere installato usando le impostazioni predefinite, ad eccezione dei seguenti:

  1. Single #A0 - Con ADFS già distribuito e funzionante: selezionare Non configurare.

  2. Connessione directory: aggiungere tutti i domini.

  3. Identificare gli utenti nelle directory locali: selezionare Le identità utente esistono in più directory e selezionare gli attributi ObjectSID e msExchangeMasterAccountSID.

  4. Identificare gli utenti in Azure AD: ancoraggio origine: selezionare l'attributo scelto dopo aver letto Selezione di un attributo sourceAnchorvalido, Nome entità utente - userPrincipalName.

  5. Funzionalità facoltative: selezionare se è stata Exchange distribuzione ibrida.

    Nota

    Se si dispone solo di Exchange Online, potrebbe verificarsi un problema con errori OAuth durante l'individuazione automatica a causa del reindirizzamento CNAME. Per risolvere il problema, è necessario impostare l'URL di individuazione automatica Exchange eseguendo il cmdlet seguente da Skype for Business Server Management Shell:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. Farm AD FS: selezionare Usa una farm AD FS Windows Server 2012 R2 esistente e immettere il nome del server AD FS.

  7. Completare la procedura guidata ed eseguire le convalide necessarie.

Configurare la connettività ibrida per Skype for Business Server

Seguire le procedure consigliate per la configurazione Skype for Business ibrida. Per ulteriori informazioni, vedere Plan hybrid connectivity e Configure hybrid connectivity.

Configurare la connettività ibrida per Exchange Server

Se necessario, seguire le procedure consigliate per la configurazione Exchange ibrida. Per ulteriori informazioni, vedere Exchange Server Hybrid Deployments.