Как настроить локальное развертывание Skype для бизнеса для использования гибридной современной проверки подлинности

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Современная проверка подлинности — это метод управления удостоверениями, обеспечивающий более безопасную проверку подлинности и авторизацию пользователей, доступный для локального сервера Skype для бизнеса и локального сервера Exchange Server, а также разделенный домен Skype для бизнеса гибридных средах.

Важно!

Хотите узнать больше о современной проверке подлинности (MA) и о том, почему вы можете использовать ее в своей компании или организации? Ознакомьтесь с этим документом , чтобы ознакомиться с общими сведениями. Если вам нужно знать, какие Skype для бизнеса топологии поддерживаются с ma, это описано здесь.

Прежде чем начать, я использую следующие термины:

• Современная проверка подлинности (MA)

• Гибридная современная проверка подлинности (HMA)

• Локальная среда Exchange (EXCH)

• Exchange Online (EXO)

• Skype для бизнеса локальной среде (SFB)

• Skype для бизнеса Online (SFBO)

Кроме того, если на рисунке в этой статье есть неактивный или неактивный объект, то это означает, что элемент, отображаемый серым цветом , не включен в конфигурацию, относяющуюся к MA.

Чтение сводки

Эта сводка разбивает процесс на шаги, которые в противном случае могут быть потеряны во время выполнения, и подходит для общего контрольного списка, чтобы отслеживать, где вы находитесь в процессе.

1. Во-первых, убедитесь, что выполнены все предварительные требования.

2. Так как для Skype для бизнеса и Exchange часто используются многие предварительные требования, ознакомьтесь с обзорной статьей о контрольном списке перед повторным запросом. Сделайте это , прежде чем приступить к любому из действий, описанных в этой статье.

3. Соберите сведения, относящиеся к HMA, в файле или OneNote.

4. Включите современную проверку подлинности для EXO (если она еще не включена).

5. Включите современную проверку подлинности для SFBO (если она еще не включена).

6. Включите гибридную современную проверку подлинности для локальной службы Exchange.

7. Включите гибридную современную проверку подлинности для локальной Skype для бизнеса.

Эти шаги включите MA для SFB, SFBO, EXCH и EXO, то есть всех продуктов, которые могут участвовать в конфигурации HMA SFB и SFBO (включая зависимости от EXCH/EXO). Другими словами, если ваши пользователи размещаются в или имеют почтовые ящики, созданные в любой части гибридного развертывания (EXO + SFBO, EXO + SFB, EXCH + SFBO или EXCH + SFB), готовый продукт выглядит следующим образом:

Как видите, есть четыре разных места, чтобы включить MA! Для оптимального взаимодействия с пользователем рекомендуется включить ma во всех четырех из этих расположений. Если вы не можете включить MA во всех этих расположениях, настройте шаги так, чтобы включить MA только в расположениях, необходимых для вашей среды.

Сведения о поддерживаемых топологиях см. в разделе Поддержка для Skype для бизнеса с MA.

Важно!

Дважды проверка, что перед началом работы выполнены все предварительные требования. Эти сведения см. в статье Общие сведения о гибридной современной проверке подлинности и предварительные требования.

Сбор всех сведений, относящихся к HMA, которые вам потребуются

Убедившись, что вы выполнили необходимые условия для использования современной проверки подлинности (см. предыдущее примечание), создайте файл для хранения сведений, необходимых для настройки HMA в дальнейших шагах. Примеры, используемые в этой статье:

• Домен SIP/SMTP

  • Пример. contoso.com (является федеративной с Office 365)

• Идентификатор клиента

  • ИДЕНТИФИКАТОР GUID, представляющий клиент Office 365 (при входе contoso.onmicrosoft.com).

• URL-адреса веб-службы SFB 2015 CU5

Вам потребуются внутренние и внешние URL-адреса веб-служб для всех развернутых пулов SfB 2015. Чтобы получить их, выполните следующую команду из командной консоли Skype для бизнеса:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

• Пример. Внутренние: https://lyncwebint01.contoso.com

• Пример. Внешних: https://lyncwebext01.contoso.com

Если вы используете сервер Standard Edition, внутренний URL-адрес будет пустым. В этом случае используйте полное доменное имя пула для внутреннего URL-адреса.

Включение современной проверки подлинности для EXO

Следуйте инструкциям, приведенным здесь: Exchange Online. Как включить современную проверку подлинности в клиенте.

Включение современной проверки подлинности для SFBO

Следуйте инструкциям, приведенным здесь: Skype для бизнеса Online: включение современной проверки подлинности в клиенте.

Включение гибридной современной проверки подлинности для локальной среды Exchange

Следуйте инструкциям в статье Настройка Exchange Server локальной среды для использования гибридной современной проверки подлинности.

Включение гибридной современной проверки подлинности для локальной Skype для бизнеса

Добавление URL-адресов локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID

Теперь необходимо выполнить команды, чтобы добавить URL-адреса (собранные ранее) в качестве субъектов-служб в SFBO.

Примечание.

Имена субъектов-служб идентифицируют веб-службы и связывают их с субъектом безопасности (например, с именем учетной записи или группой), чтобы служба могла действовать от имени авторизованного пользователя. Клиенты, проверяющие подлинность на сервере, используют сведения, содержащиеся в именах субъектов-служб.

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

1. Сначала подключитесь к Microsoft Entra ID с помощью этих инструкций.

2. Выполните эту команду в локальной среде, чтобы получить список URL-адресов веб-службы SFB.

   AppPrincipalId начинается с 00000004. Это соответствует Skype для бизнеса Online.

   Запишите (и снимок экрана для последующего сравнения) выходные данные этой команды, которые включают URL-адрес SE и WS, но в основном состоят из имен субъектов-служб, которые начинаются с 00000004-0000-0ff1-ce00-000000000000/.

   Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
   

3. Если внутренние или внешние URL-адреса SFB из локальной среды отсутствуют (например, https://lyncwebint01.contoso.com и https://lyncwebext01.contoso.com), необходимо добавить эти конкретные записи в этот список.

   Обязательно замените примеры URL-адресов фактическими URL-адресами в командах Добавить!

   $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
   $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
   $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
   Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
   

4. Убедитесь, что новые записи добавлены, снова выполнив команду Get-MsolServicePrincipal из шага 2 и просмотрев выходные данные. Сравните список или снимок экрана с новым списком имен субъектов-служб. Вы также можете создать снимок экрана с новым списком записей. В случае успеха вы можете просмотреть два новых URL-адреса в списке. В нашем примере список имен субъектов-служб теперь будет включать конкретные URL-адреса https://lyncwebint01.contoso.com и https://lyncwebext01.contoso.com/.

Create объект сервера проверки подлинности EvoSTS

Выполните следующую команду в командной консоли Skype для бизнеса.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

Включение гибридной современной проверки подлинности

Это шаг, который фактически включает MA. Все предыдущие шаги можно выполнить заранее, не изменяя поток проверки подлинности клиента. Когда вы будете готовы изменить поток проверки подлинности, выполните эту команду в командной консоли Skype для бизнеса.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

Проверяем подлинность

После включения HMA следующий вход клиента будет использовать новый поток проверки подлинности. Простое включение HMA не вызовет повторную проверку подлинности для любого клиента. Клиенты повторно выполняют проверку подлинности на основе времени существования маркеров проверки подлинности и (или) сертификатов, которые у них есть.

Чтобы проверить, работает ли HMA после включения, выйдите из тестового клиента Windows SFB и обязательно выберите "Удалить мои учетные данные". Войдите еще раз. Теперь клиент должен использовать поток современной проверки подлинности, и ваше имя входа теперь будет включать Office 365 запрос на учетную запись "Рабочая или учебная", который отображается непосредственно перед тем, как клиент обращается к серверу и войдет в систему.

Также следует проверка сведения о конфигурации для клиентов Skype для бизнеса для центра OAuth. Для этого на клиентском компьютере, удерживая нажатой клавишу CTRL, щелкните правой кнопкой мыши значок Skype для бизнеса в области уведомлений Windows. В появившемся меню выберите Сведения о конфигурации . В окне "сведения о конфигурации Skype для бизнеса", которое отображается на рабочем столе, найдите следующее:

Кроме того, удерживая клавишу CTRL, щелкните правой кнопкой мыши значок клиента Outlook (также в области уведомлений Windows) и выберите "Состояние подключения". Найдите SMTP-адрес клиента для типа AuthN Bearer*, который представляет маркер носителя, используемый в OAuth.

Статьи по теме

Вернитесь к обзору современной проверки подлинности.

Вам нужно знать, как использовать современную проверку подлинности для клиентов Skype для бизнеса? Ниже приведены инструкции: Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса и Exchange Server.