On-premises Skype voor Bedrijven configureren voor het gebruik van hybride moderne verificatie

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Moderne verificatie is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en -autorisatie biedt, beschikbaar is voor Skype voor Bedrijven server on-premises en Exchange-server on-premises, en split-domain Skype voor Bedrijven hybrides.

Belangrijk

Wilt u meer weten over moderne verificatie (MA) en waarom u deze misschien liever in uw bedrijf of organisatie gebruikt? Raadpleeg dit document voor een overzicht. Als u wilt weten welke Skype voor Bedrijven topologieën worden ondersteund met MA, wordt dat hier beschreven.

Voordat we beginnen, gebruik ik deze termen:

• Moderne verificatie (MA)

• Hybride moderne verificatie (HMA)

• Exchange on-premises (EXCH)

• Exchange Online (EXO)

• Skype voor Bedrijven on-premises (SFB)

• Skype voor Bedrijven Online (SFBO)

Als een afbeelding in dit artikel een object heeft dat grijs of grijs is, betekent dit ook dat het element dat in grijs wordt weergegeven, niet is opgenomen in de MA-specifieke configuratie.

De samenvatting lezen

In deze samenvatting wordt het proces opgesplitst in stappen die anders verloren kunnen gaan tijdens de uitvoering, en is goed voor een algemene controlelijst om bij te houden waar u zich in het proces bevindt.

1. Zorg er eerst voor dat u aan alle vereisten voldoet.

2. Aangezien veel vereisten algemeen zijn voor zowel Skype voor Bedrijven als Exchange, raadpleegt u het overzichtsartikel voor uw controlelijst voor de pre-req. Doe dit voordat u begint met een van de stappen in dit artikel.

3. Verzamel de HMA-specifieke gegevens die u nodig hebt in een bestand of OneNote.

4. Schakel moderne verificatie in voor EXO (als dit nog niet is ingeschakeld).

5. Schakel moderne verificatie in voor SFBO (als dit nog niet is ingeschakeld).

6. Schakel Hybride moderne verificatie in voor Exchange on-premises.

7. Schakel Hybride moderne verificatie in voor Skype voor Bedrijven on-premises.

Met deze stappen wordt MA ingeschakeld voor SFB, SFBO, EXCH en EXO, dat wil gezegd, alle producten die kunnen deelnemen aan een HMA-configuratie van SFB en SFBO (inclusief afhankelijkheden van EXCH/EXO). Met andere woorden, als uw gebruikers zijn thuisgekomen in postvakken die zijn gemaakt in een deel van de hybride (EXO + SFBO, EXO + SFB, EXCH + SFBO of EXCH + SFB), ziet uw voltooide product er als volgt uit:

Zoals u ziet, zijn er vier verschillende plaatsen om MA in te schakelen. Voor de beste gebruikerservaring raden we u aan MA in te schakelen op alle vier deze locaties. Als u MA niet op al deze locaties kunt inschakelen, past u de stappen aan zodat u MA alleen inschakelt op de locaties die nodig zijn voor uw omgeving.

Zie het onderwerp Ondersteuning voor Skype voor Bedrijven met MA voor ondersteunde topologieën.

Belangrijk

Controleer of u aan alle vereisten hebt voldaan voordat u begint. U vindt deze informatie in Overzicht en vereisten voor hybride moderne verificatie.

Verzamel alle HMA-specifieke informatie die u nodig hebt

Nadat u hebt gecontroleerd of u voldoet aan de vereisten voor het gebruik van moderne verificatie (zie de vorige opmerking), moet u een bestand maken met de informatie die u nodig hebt voor het configureren van HMA in de volgende stappen. Voorbeelden die in dit artikel worden gebruikt:

• SIP/SMTP-domein

  • Voorbeeld contoso.com (wordt gefedereerd met Office 365)

• Tenant-id

  • De GUID die uw Office 365 tenant vertegenwoordigt (bij de aanmelding van contoso.onmicrosoft.com).

• URL's van SFB 2015 CU5-webservice

U hebt interne en externe webservice-URL's nodig voor alle geïmplementeerde SfB 2015-pools. Voer de volgende opdracht uit vanuit Skype voor Bedrijven Management Shell om deze te verkrijgen:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Voorbeeld Interne: https://lyncwebint01.contoso.com

• Voorbeeld Externe: https://lyncwebext01.contoso.com

Als u een Standard Edition-server gebruikt, is de interne URL leeg. Gebruik in dit geval de pool-fqdn voor de interne URL.

Moderne verificatie inschakelen voor EXO

Volg de instructies hier: Exchange Online: Uw tenant inschakelen voor moderne verificatie.

Moderne verificatie inschakelen voor SFBO

Volg de instructies hier: Skype voor Bedrijven Online: Uw tenant inschakelen voor moderne verificatie.

Hybride moderne verificatie inschakelen voor Exchange on-premises

Volg de instructies hier: Exchange Server on-premises configureren voor het gebruik van Hybride moderne verificatie.

Hybride moderne verificatie inschakelen voor Skype voor Bedrijven on-premises

URL's voor on-premises webservices toevoegen als SPN's in Microsoft Entra ID

Nu moet u opdrachten uitvoeren om de URL's (eerder verzameld) toe te voegen als service-principals in SFBO.

Opmerking

Service-principalnamen (SPN's) identificeren webservices en koppelen deze aan een beveiligingsprincipal (zoals een accountnaam of groep), zodat de service namens een geautoriseerde gebruiker kan handelen. Clients die zich bij een server verifiëren, maken gebruik van informatie in SPN's.

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

1. Maak eerst verbinding met Microsoft Entra ID met deze instructies.

2. Voer deze opdracht on-premises uit om een lijst met SFB-webservice-URL's op te halen.

   De AppPrincipalId begint met 00000004. Dit komt overeen met Skype voor Bedrijven Online.

   Noteer (en schermopname voor latere vergelijking) de uitvoer van deze opdracht, die een SE- en WS-URL bevat, maar meestal bestaat uit SPN's die beginnen met 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Als de interne of externe SFB-URL's van on-premises ontbreken (bijvoorbeeld https://lyncwebint01.contoso.com en https://lyncwebext01.contoso.com) moeten we deze specifieke records toevoegen aan deze lijst.

   Zorg ervoor dat u de voorbeeld-URL's vervangt door uw werkelijke URL's in de opdrachten toevoegen.

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Controleer of uw nieuwe records zijn toegevoegd door de opdracht Get-MsolServicePrincipal uit stap 2 opnieuw uit te voeren en de uitvoer te bekijken. Vergelijk de lijst of schermopname van eerder met de nieuwe lijst met SPN's. U kunt ook een schermopname maken van de nieuwe lijst voor uw records. Als dit is gelukt, kunt u de twee nieuwe URL's in de lijst bekijken. Volgens ons voorbeeld bevat de lijst met SPN's nu de specifieke URL's https://lyncwebint01.contoso.com en https://lyncwebext01.contoso.com/.

het EvoSTS-verificatieserverobject Creatie

Voer de volgende opdracht uit in de Skype voor Bedrijven Management Shell.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Hybride moderne verificatie inschakelen

Dit is de stap waarmee MA daadwerkelijk wordt ingeschakeld. Alle vorige stappen kunnen van tevoren worden uitgevoerd zonder de clientverificatiestroom te wijzigen. Wanneer u klaar bent om de verificatiestroom te wijzigen, voert u deze opdracht uit in de Skype voor Bedrijven Management Shell.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Controleren

Zodra u HMA inschakelt, gebruikt de volgende aanmelding van een client de nieuwe verificatiestroom. Als u HMA inschakelt, wordt er geen herverificatie geactiveerd voor een client. De clients verifiëren opnieuw op basis van de levensduur van de verificatietokens en/of certificaten die ze hebben.

Als u wilt testen of HMA werkt nadat u deze hebt ingeschakeld, meldt u zich af bij een SFB Windows-testclient en selecteert u 'Mijn referenties verwijderen'. Meld u opnieuw aan. De client moet nu de moderne verificatiestroom gebruiken en uw aanmelding bevat nu een Office 365 prompt voor een werk- of schoolaccount. Dit wordt weergegeven vlak voordat de client contact opneemt met de server en u aanmeldt.

Controleer ook de configuratiegegevens voor Skype voor Bedrijven clients voor een OAuth-instantie. Als u dit op uw clientcomputer wilt doen, houdt u tegelijkertijd de Ctrl-toets ingedrukt en klikt u met de rechtermuisknop op het pictogram Skype voor Bedrijven in het Windows-meldingsvak. Selecteer Configuratiegegevens in het menu dat wordt weergegeven. Zoek in het venster 'Skype voor Bedrijven Configuratie-informatie' dat wordt weergegeven op het bureaublad naar het volgende:

Houd ook de Ctrl-toets ingedrukt terwijl u met de rechtermuisknop op het pictogram voor de Outlook-client klikt (ook in het windows-meldingenvak) en 'Verbindingsstatus' selecteert. Zoek het SMTP-adres van de client op basis van het AuthN-type 'Bearer*', dat het bearer-token vertegenwoordigt dat wordt gebruikt in OAuth.

Verwante artikelen

Ga terug naar het overzicht van moderne verificatie.

Moet u weten hoe u moderne verificatie gebruikt voor uw Skype voor Bedrijven-clients? We hebben hier stappen: Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven- en Exchange-servers.