Konfigurieren der Server-zu-Server-Authentifizierung für eine Skype for Business Server-Hybridumgebung
Zusammenfassung: Konfigurieren sie die Server-zu-Server-Authentifizierung für die Skype for Business Server-Hybridumgebung.
In einer Hybridkonfiguration werden einige Ihrer Benutzer in einer lokalen Installation von Skype for Business Server verwaltet. Andere Benutzer werden in der Microsoft 365- oder Office 365-Version von Skype for Business Server verwendet. Um die Server-zu-Server-Authentifizierung in einer Hybridumgebung zu konfigurieren, müssen Sie zuerst Ihre lokale Installation von Skype for Business Server so konfigurieren, dass sie dem Autorisierungsserver vertraut. Der erste Schritt in diesem Prozess kann durch Ausführen des folgenden Skype for Business Server-Verwaltungsshell-Skripts ausgeführt werden:
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
if ($sts -eq $null)
{
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
else
{
if ($sts.MetadataUrl -ne "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
{
Remove-CsOAuthServer microsoft.sts
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
}
$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
if ($exch -eq $null)
{
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
{
Remove-CsPartnerApplication microsoft.exchange
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
}
}
Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000
Beachten Sie, dass sich der Bereichsname für einen Mandanten in der Regel vom Organisationsnamen unterscheidet. Tatsächlich ist der Bereichsname fast immer mit der Mandanten-ID identisch. Aus diesem Grund wird die erste Zeile im Skript verwendet, um den Wert der TenantId-Eigenschaft für den angegebenen Mandanten (in diesem Fall fabrikam.com) zurückzugeben und diesen Namen dann der Variablen $TenantId zuzuweisen:
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
Zum Ausführen dieses Skripts müssen Sie das PowerShell-Modul Skype for Business Online installiert haben und mit diesem Modul eine Verbindung mit Ihrem Mandanten herstellen. Wenn Sie diese Cmdlets nicht installiert haben, schlägt Ihr Skript fehl, da das cmdlet Get-CsTenant nicht verfügbar ist. Nach Abschluss des Skripts müssen Sie eine Vertrauensstellung zwischen Skype for Business Server und dem Autorisierungsserver sowie eine zweite Vertrauensstellung zwischen Exchange 2013/2016 und dem Autorisierungsserver konfigurieren. Das ist nur mithilfe der Microsoft Online Services-Cmdlets möglich.
Hinweis
Wenn Sie die Microsoft Online Services-Cmdlets nicht installiert haben, müssen Sie sie aus dem PowerShell-Repository mit dem Cmdlet install-module MSOnlineinstallieren. Ausführliche Informationen zum Installieren und Verwenden des Microsoft Online Services-Moduls finden Sie auf der Microsoft 365-Website. In diesen Anweisungen erfahren Sie auch, wie Sie einmaliges Anmelden, Den Verbund und die Synchronisierung zwischen Microsoft 365 oder Office 365 und Active Directory konfigurieren.
Nachdem Sie Microsoft 365 oder Office 365 konfiguriert haben und nachdem Sie Microsoft 365- oder Office 365-Dienstprinzipale für Skype for Business Server und Exchange 2013 erstellt haben, müssen Sie Ihre Anmeldeinformationen bei diesen Dienstprinzipalen registrieren. Um Ihre Anmeldeinformationen zu registrieren, müssen Sie zunächst ein X.509 Base64-Zertifikat abrufen, das als gespeichert ist. CER-Datei. Dieses Zertifikat wird dann auf die Microsoft 365- oder Office 365-Dienstprinzipale angewendet.
Hinweis
Azure AD PowerShell soll am 30. März 2024 eingestellt werden. Weitere Informationen finden Sie im Veralteten Update.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf häufig verwendete Migrationsabfragen finden Sie unter Häufig gestellte Fragen zur Migration.
Wenn Sie das X.509-Zertifikat erhalten, öffnen Sie die PowerShell-Konsole, und importieren Sie das Microsoft Online Windows PowerShell-Modul mit den Cmdlets, die zum Verwalten von Dienstprinzipalen verwendet werden können:
Import-Module MSOnline
Geben Sie beim Importieren des Moduls den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
Connect-MsolService
Nach Drücken der EINGABETASTE wird ein Dialogfeld zur Eingabe Ihrer Anmeldeinformationen angezeigt. Geben Sie ihren Microsoft 365- oder Office 365-Benutzernamen und ihr Kennwort in das Dialogfeld ein, und wählen Sie dann OK aus.
Sobald Sie mit Microsoft 365 oder Office 365 verbunden sind, können Sie den folgenden Befehl ausführen, um Informationen zu Ihren Dienstprinzipalen zurückzugeben:
Get-MsolServicePrincipal
Sie sollten ähnliche Informationen wie die folgenden für alle Ihre Dienstprinzipale erhalten:
ExtensionData : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled : True
Addresses : {}
AppPrincipalId : 00000004-0000-0ff1-ce00-000000000000
DisplayName : Skype for Business Server
ObjectId : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True
Der nächste Schritt besteht darin, das X.509-Zertifikat zu importieren, zu codieren und zuzuweisen. Um das Zertifikat zu importieren und zu codieren, verwenden Sie die folgenden Windows PowerShell-Befehle, und achten Sie darauf, dass Sie den vollständigen Dateipfad zu Ihrer angeben. CER-Datei beim Aufrufen der Import-Methode:
$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)
Nachdem das Zertifikat importiert und codiert wurde, können Sie das Zertifikat Ihren Microsoft 365- oder Office 365-Dienstprinzipalen zuweisen. Verwenden Sie dazu zuerst die Get-MsolServicePrincipal, um den Wert der AppPrincipalId-Eigenschaft sowohl für skype for Business Server als auch für die Microsoft Exchange-Dienstprinzipale abzurufen. Der Wert der AppPrincipalId-Eigenschaft wird verwendet, um den Dienstprinzipal zu identifizieren, dem das Zertifikat zugewiesen wird. Wenn der Wert der AppPrincipalId-Eigenschaft für Skype for Business Server vorhanden ist, verwenden Sie den folgenden Befehl, um das Zertifikat der Skype For Business Online-Version zuzuweisen:
New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue
Sie sollten dann den Befehl wiederholen, diesmal mit dem Wert der AppPrincipalId-Eigenschaft für Exchange 2013.
Wenn Sie dieses Zertifikat später löschen müssen, z. B. wenn es abgelaufen ist, können Sie dies tun, indem Sie zuerst die KeyId für das Zertifikat abrufen:
Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
Der entsprechende Befehl gibt in etwa folgende Daten zurück:
Type : Asymmetric Value : KeyId : bc2795f3-2387-4543-a95d-f92c85c7a1b0 StartDate : 6/1/2012 8:00:00 AM EndDate : 5/31/2013 8:00:00 AM Usage : Verify
Sie können das Zertifikat mit einem ähnlichen Befehl wie diesem löschen:
Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0
Zusätzlich zum Zuweisen eines Zertifikats müssen Sie auch den Exchange Online-Dienstprinzipal und Ihre lokale Version der URLs für externe Skype for Business Server-Webdienste als Microsoft 365- oder Office 365-Dienstprinzipal konfigurieren. Dies kann durch Ausführen der folgenden beiden Befehle erfolgen.
Im folgenden Beispiel ist Pool1ExternalWebFQDN.contoso.com die URL für externe Webdienste für den Skype for Business Server-Pool. Wiederholen Sie diese Schritte, um alle URLs für externe Webdienste in der Bereitstellung hinzuzufügen.
Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true
$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/Pool1ExternalWebFQDN.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames