Como configurar o Skype for Business no local para usar a autenticação moderna híbrida

Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.

A Autenticação Moderna é um método de gerenciamento de identidade que oferece autenticação e autorização de usuário mais seguros, está disponível para Skype for Business servidor local e servidor do Exchange local e híbridos de Skype for Business de domínio dividido.

Importante

Você gostaria de saber mais sobre a MA (Autenticação Moderna) e por que você pode preferir usá-la em sua empresa ou organização? Verifique este documento para obter uma visão geral. Se você precisar saber quais topologias Skype for Business têm suporte com MA, isso está documentado aqui!

Antes de começarmos, uso estes termos:

• Ma (Autenticação Moderna)

• HMA (Autenticação Moderna Híbrida)

• EXCH (Exchange local)

• Exchange Online (EXO)

• Skype for Business SFB (local)

• Skype for Business Online (SFBO)

Além disso, se um gráfico neste artigo tiver um objeto esmaecido ou esmaecido, isso significa que o elemento mostrado em cinza não está incluído na configuração específica de MA.

Ler o resumo

Este resumo divide o processo em etapas que podem ser perdidas durante a execução e é bom para uma lista de verificação geral para acompanhar onde você está no processo.

1. Primeiro, verifique se você atende a todos os pré-requisitos.

2. Como muitos pré-requisitos são comuns para Skype for Business e Exchange, confira o artigo de visão geral da lista de verificação pré-req. Faça isso antes de iniciar qualquer uma das etapas deste artigo.

3. Colete as informações específicas do HMA de que você precisa em um arquivo ou no OneNote.

4. Ativar a Autenticação Moderna para EXO (se ainda não estiver ativada).

5. Ativar a Autenticação Moderna para SFBO (se ainda não estiver ativada).

6. Ativar a Autenticação Moderna Híbrida para Exchange local.

7. Ativar a Autenticação Moderna Híbrida para Skype for Business local.

Essas etapas ativam o MA para SFB, SFBO, EXCH e EXO – ou seja, todos os produtos que podem participar de uma configuração HMA de SFB e SFBO (incluindo dependências em EXCH/EXO). Em outras palavras, se os usuários estiverem hospedados/tiverem caixas de correio criadas em qualquer parte do Híbrido (EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB), seu produto acabado será assim:

Como você pode ver, há quatro lugares diferentes para ativar o MA! Para obter a melhor experiência do usuário, é recomendável ativar a MA em todos esses quatro locais. Se você não puder ativar a MA em todos esses locais, ajuste as etapas para ativar a MA somente nos locais necessários para o ambiente.

Consulte o tópico De suporte para Skype for Business com MA para topologias com suporte.

Importante

Marcar que você conheceu todos os pré-requisitos antes de começar. Você encontrará essas informações em visão geral e pré-requisitos de autenticação moderna híbrida.

Coletar todas as informações específicas do HMA que você precisará

Depois de verificar se você atende aos pré-requisitos para usar a Autenticação Moderna (consulte a nota anterior), você deve criar um arquivo para manter as informações necessárias para configurar o HMA nas etapas à frente. Exemplos usados neste artigo:

• Domínio SIP/SMTP

  • Exemplo. contoso.com (é federado com Office 365)

• ID do locatário

  • O GUID que representa seu locatário Office 365 (no logon do contoso.onmicrosoft.com).

• URLs do Serviço Web do SFB 2015 CU5

Você precisa de URLs de serviço Web internas e externas para todos os pools do SfB 2015 implantados. Para obtê-los, execute o seguinte comando do Skype for Business Management Shell:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Exemplo. Interno: https://lyncwebint01.contoso.com

• Exemplo. Externo: https://lyncwebext01.contoso.com

Se você estiver usando um servidor Standard Edition, a URL interna ficará em branco. Nesse caso, use o pool fqdn para a URL interna.

Ativar a Autenticação Moderna para EXO

Siga as instruções aqui: Exchange Online: como habilitar seu locatário para autenticação moderna.

Ativar a Autenticação Moderna para SFBO

Siga as instruções aqui: Skype for Business Online: habilite seu locatário para autenticação moderna.

Ativar a Autenticação Moderna Híbrida para Exchange local

Siga as instruções aqui: como configurar Exchange Server local para usar a Autenticação Moderna Híbrida.

Ativar a Autenticação Moderna Híbrida para Skype for Business local

Adicionar URLs de serviço Web locais como SPNs em Microsoft Entra ID

Agora você precisa executar comandos para adicionar as URLs (coletadas anteriormente) como Entidades de Serviço no SFBO.

Observação

Os SPNs (nomes de entidade de serviço) identificam serviços Web e os associam a uma entidade de segurança (como um nome de conta ou grupo) para que o serviço possa agir em nome de um usuário autorizado. Os clientes que se autenticam em um servidor usam informações contidas em SPNs.

Observação

os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

1. Primeiro, conecte-se a Microsoft Entra ID com essas instruções.

2. Execute este comando, localmente, para obter uma lista de URLs do serviço Web SFB.

   O AppPrincipalId começa com 00000004. Isso corresponde a Skype for Business Online.

   Observe (e captura de tela para comparação posterior) a saída desse comando, que inclui uma URL SE e WS, mas consiste principalmente em SPNs que começam com 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Se as URLs SFB internas ou externas do local estiverem ausentes (por exemplo, https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com) precisaremos adicionar esses registros específicos a essa lista.

   Certifique-se de substituir as URLs de exemplo por suas URLs reais nos comandos Adicionar!

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Verifique se seus novos registros foram adicionados executando o comando Get-MsolServicePrincipal da etapa 2 novamente e examinando a saída. Compare a lista ou a captura de tela de antes com a nova lista de SPNs. Você também pode capturar a nova lista de registros. Se você tiver sido bem-sucedido, poderá exibir as duas novas URLs na lista. Seguindo nosso exemplo, a lista de SPNs agora incluirá as URLs específicas https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com/.

Criar o objeto EvoSTS Auth Server

Execute o comando a seguir no Shell de Gerenciamento de Skype for Business.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Habilitar a Autenticação Moderna Híbrida

Esta é a etapa que realmente ativa a MA. Todas as etapas anteriores podem ser executadas com antecedência sem alterar o fluxo de autenticação do cliente. Quando estiver pronto para alterar o fluxo de autenticação, execute esse comando no Shell de Gerenciamento de Skype for Business.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Verify

Depois de habilitar o HMA, o próximo logon de um cliente usará o novo fluxo de auth. Apenas ativar o HMA não dispararia uma reauthenticação para nenhum cliente. Os clientes reauthenticam com base no tempo de vida dos tokens de auth e/ou certificados que eles têm.

Para testar se o HMA está funcionando depois de habilitá-lo, saia de um cliente SFB Windows de teste e selecione "excluir minhas credenciais". Entre novamente. O cliente agora deve usar o fluxo do Auth Moderno e seu logon agora incluirá um prompt Office 365 para uma conta 'Trabalho ou escola', vista logo antes do cliente entrar em contato com o servidor e fazer logon com você.

Você também deve marcar as 'Informações de Configuração' para clientes Skype for Business para uma 'Autoridade OAuth'. Para fazer isso no computador cliente, mantenha pressionada a tecla CTRL ao mesmo tempo em que você clica com o botão direito do mouse no ícone Skype for Business na bandeja de notificação do Windows. Selecione Informações de Configuração no menu exibido. Na janela "Skype for Business Configuration Information" exibida na área de trabalho, procure o seguinte:

Você também deve segurar a tecla CTRL ao mesmo tempo em que clica com o botão direito do mouse no ícone para o cliente do Outlook (também na bandeja Notificações do Windows) e selecione 'Status de Conexão'. Procure o endereço SMTP do cliente em relação a um tipo AuthN de 'Bearer*', que representa o token de portador usado no OAuth.

Artigos relacionados

Vincule novamente à visão geral da Autenticação Moderna.

Você precisa saber como usar a Autenticação Moderna para seus clientes Skype for Business? Temos etapas aqui: visão geral da autenticação moderna híbrida e pré-requisitos para usá-la com servidores locais Skype for Business e Exchange.