Настройка интеграции и OAuth между Skype для бизнеса Online и Exchange Server

Настройка интеграции между Exchange Server и Skype для бизнеса Online включает функции Skype для бизнеса и интеграции Exchange, описанные в разделе Поддержка компонентов.

Этот раздел относится к интеграции с Exchange Server 2013–2019 годах.

Что нужно знать перед началом работы?

• Предполагаемое время выполнения этой задачи: 15 минут

• Перед выполнением этих процедур вы должны получить разрешения. Сведения о необходимых разрешениях см. в разделе Разрешения инфраструктуры Exchange и оболочки .

• Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш в Центре администрирования Exchange.

• Сведения о совместимости см. в разделе Skype для бизнеса совместимости с приложениями Office.

Настройка интеграции между Exchange Server и O365

Шаг 1. Настройка проверки подлинности OAuth между Exchange Server и O365

Выполните действия, описанные в следующей статье:

Настройка проверки подлинности OAuth между Exchange и Exchange Online организациями

Шаг 2. Создание учетной записи почтового пользователя для приложения Skype для бизнеса Online Partner

Этот шаг выполняется на сервере Exchange Server. На этом шаге создается пользователь почты, которому назначаются соответствующие права роли управления. Затем эта учетная запись используется на следующем шаге.

Укажите проверенный домен для организации Exchange. Этот домен должен быть тем же доменом, который используется в качестве основного домена SMTP, используемого для локальных учетных записей Exchange. В следующей процедуре этот домен называется <проверенным доменом> . Кроме того, <domainControllerFQDN> должно быть полным доменным именем контроллера домена.

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

Эта команда скрывает нового пользователя почты из списка адресов.

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

Следующие две команды назначают новой учетной записи роль управления UserApplication и ArchiveApplication.

New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>

New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>

Шаг 3. Создание и включение партнерского приложения для Skype для бизнеса Online

Создайте новое партнерское приложение и начните использовать созданную учетную запись. Выполните следующую команду в Exchange PowerShell в локальной организации Exchange.

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

Шаг 4. Экспорт локального сертификата авторизации

Запустите сценарий PowerShell, чтобы экспортировать локальный сертификат авторизации, который вы импортируете в организацию Skype для бизнеса Online на следующем шаге.

Сохраните следующий тест в файл сценария PowerShell, который можно назвать ExportAuthCert.ps1.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
    md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

В Exchange PowerShell в локальной организации Exchange выполните только что созданный сценарий PowerShell. Например: .\ExportAuthCert.ps1

Шаг 5. Отправка локального сертификата авторизации в Microsoft Entra ACS

Затем используйте Windows PowerShell для отправки локального сертификата авторизации, экспортированного на предыдущем шаге, в службы Microsoft Entra контроль доступа (ACS). Для этого уже должен быть установлен модуль Azure Active Directory для командлетов Windows PowerShell. Если он не установлен, перейдите по адресуhttps://aka.ms/aadposh, чтобы установить модуль Azure Active Directory для Windows PowerShell. Выполните следующие действия после установки модуля Azure Active Directory для Windows PowerShell.

1. Щелкните ярлык модуля Azure Active Directory для Windows PowerShell, чтобы открыть рабочую область Windows PowerShell с установленными командлетами Microsoft Entra. Все команды на этом шаге будут выполняться с помощью консоли Windows PowerShell для Microsoft Entra id.

2. Сохраните следующий текст в файл скрипта PowerShell с именем , например UploadAuthCert.ps1.

   Connect-MgGraph
   Import-Module Microsoft.Graph
   $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
   $objFSO = New-Object -ComObject Scripting.FileSystemObject
   $CertFile = $objFSO.GetAbsolutePathName($CertFile);
   $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
   $cer.Import($CertFile)
   $binCert = $cer.GetRawCertData();
   $credValue = [System.Convert]::ToBase64String($binCert)
   $ServiceName = "00000004-0000-0ff1-ce00-000000000000"
   $p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames
   Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue
   

3. Запустите сценарий PowerShell, созданный на предыдущем шаге. Пример: .\UploadAuthCert.ps1

4. После запуска сценария появится диалоговое окно для ввода учетных данных. Введите учетные данные для учетной записи администратора клиента организации Microsoft Online Microsoft Entra. После выполнения скрипта оставьте Windows PowerShell Microsoft Entra сеанс открытым. Он будет использоваться для запуска сценария PowerShell на следующем шаге.

Шаг 6. Убедитесь, что сертификат отправлен в субъект-службу Skype для бизнеса

1. В PowerShell, открытом и прошедшем проверку подлинности для Microsoft Entra идентификатора, выполните следующую команду.

   Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000
   

2. Нажмите клавишу ВВОД при появлении запроса ReturnKeyValues.

3. Убедитесь, что отображается ключ с датами начала и окончания, которые соответствуют дате начала и окончания сертификата Exchange Oauth.

Проверка успешности выполнения

Проверьте правильность конфигурации, убедившись, что некоторые функции работают успешно.

1. Убедитесь, что Skype для бизнеса пользователи с облачная голосовая почта службой в организации с конфигурацией гибридной Exchange Server могут успешно изменить свои приветствия голосовой почты.

2. Убедитесь, что журнал бесед для мобильных клиентов отображается в папке Журнал бесед Outlook.

3. Убедитесь, что архивные сообщения чата хранятся в локальном почтовом ящике пользователя в папке Очистки с помощью EWSEditor.

Кроме того, посмотрите на свой трафик. Трафик в подтверждении OAuth действительно отличается (и не выглядит как обычная проверка подлинности), особенно в областях, где вы начнете видеть трафик издателя, который выглядит следующим образом: 000000004-0000-0ff1-ce00-00000000000000000000@ в передаваемых маркерах. Вы не увидите имя пользователя или пароль, что является точкой OAuth. Но вы увидите издатель Office ( в этом случае "4" является Skype для бизнеса) и область вашей подписки.

Если вы хотите убедиться, что успешно используете OAuth, убедитесь, что вы знаете, чего ожидать и как должен выглядеть трафик. Так что вот чего ожидать.

Ниже приведен пример настройки, но вы можете использовать любое средство трассировки сети, чтобы выполнить этот процесс.

См. также

Настройка проверки подлинности OAuth между Exchange и Exchange Online организациями