Configure la autenticación de servidor a servidor para un entorno Skype Empresarial Server híbrido.
Resumen: Configure la autenticación de servidor a servidor para Skype Empresarial Server entorno híbrido.
En una configuración híbrida, algunos de los usuarios se alojan en una instalación local de Skype Empresarial Server. Otros usuarios se alojan en la versión de Microsoft 365 o Office 365 de Skype Empresarial Server. Para configurar la autenticación de servidor a servidor en un entorno híbrido, primero debe configurar la instalación local de Skype Empresarial Server para confiar en el servidor de autorización. El paso inicial de este proceso se puede llevar a cabo ejecutando el siguiente script Skype Empresarial Server Management Shell:
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
if ($sts -eq $null)
{
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
else
{
if ($sts.MetadataUrl -ne "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
{
Remove-CsOAuthServer microsoft.sts
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
}
$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
if ($exch -eq $null)
{
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
{
Remove-CsPartnerApplication microsoft.exchange
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
}
}
Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000
Tenga en cuenta que el nombre de dominio kerberos de un inquilino normalmente es diferente al nombre de la organización; de hecho, el nombre de dominio kerberos casi siempre es igual al identificador del inquilino. Por este motivo, la primera línea del script se usa para devolver el valor de la propiedad TenantId del espacio empresarial especificado (en este caso, fabrikam.com) y, a continuación, asignar ese nombre a la variable $TenantId:
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
Para ejecutar este script, debe haber instalado Skype Empresarial módulo de PowerShell en línea y conectarse al espacio empresarial con este módulo. Si no ha instalado estos cmdlets, el script producirá un error porque el cmdlet de Get-CsTenant no estará disponible. Una vez completado el script, debe configurar una relación de confianza entre Skype Empresarial Server y el servidor de autorización, y una segunda relación de confianza entre Exchange 2013/2016 y el servidor de autorización. Solo podrá hacer esto usando los cmdlets de Microsoft Online Services.
Nota
Si no ha instalado los cmdlets de Microsoft Online Services, tendrá que instalarlo desde el repositorio de PowerShell con el cmdlet install-module MSOnline. Puede encontrar información detallada para instalar y usar el módulo Microsoft Online Services en el sitio web de Microsoft 365. Estas instrucciones también le indicarán cómo configurar el inicio de sesión único, la federación y la sincronización entre Microsoft 365 o Office 365 y Active Directory.
Después de configurar Microsoft 365 o Office 365, y después de haber creado las entidades de servicio de Microsoft 365 o Office 365 para Skype Empresarial Server y Exchange 2013, debe registrar sus credenciales con estas entidades de servicio. Para registrar sus credenciales, primero debe obtener un certificado X.509 Base64 guardado como . ARCHIVO CER. Este certificado se aplicará a las entidades de servicio de Microsoft 365 o Office 365.
Nota
El 30 de marzo de 2024 está previsto que Azure AD Powershell quede en desuso. Para obtener más información, lea la actualización del desuso.
Recomendamos migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Microsoft Graph PowerShell permite el acceso a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas de migración comunes, consulte las Preguntas más frecuentes sobre la migración.
Cuando obtenga el certificado X.509, abra la consola de PowerShell e importe el módulo de Windows PowerShell de Microsoft Online que contiene los cmdlets que se pueden usar para administrar las entidades de servicio:
Import-Module MSOnline
Cuando se importe el módulo, escriba el comando siguiente y presione ENTRAR:
Connect-MsolService
Tras presionar ENTRAR, aparecerá un cuadro de diálogo de credenciales. Escriba su nombre de usuario y contraseña de Microsoft 365 o Office 365 en el cuadro de diálogo y, después, seleccione Aceptar.
Tan pronto como esté conectado a Microsoft 365 o Office 365, puede ejecutar el siguiente comando para devolver información sobre las entidades de servicio:
Get-MsolServicePrincipal
La información relativa a todas las entidades de servicio que aparecerá será similar a esta:
ExtensionData : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled : True
Addresses : {}
AppPrincipalId : 00000004-0000-0ff1-ce00-000000000000
DisplayName : Skype for Business Server
ObjectId : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True
El paso siguiente es importar, codificar y asignar el certificado X.509. Para importar y codificar el certificado, use los siguientes comandos de Windows PowerShell, asegurándose de especificar la ruta de acceso de archivo completa a su . Archivo CER al llamar al método Import:
$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)
Después de importar y codificar el certificado, puede asignarlo a sus entidades de servicio de Microsoft 365 o Office 365. Para ello, primero use la Get-MsolServicePrincipal para recuperar el valor de la propiedad AppPrincipalId tanto para la Skype Empresarial Server como para las entidades de seguridad del servicio de Microsoft Exchange; el valor de la propiedad AppPrincipalId se usará para identificar la entidad de servicio a la que se le asigna el certificado. Con el valor de la propiedad AppPrincipalId de Skype Empresarial Server en mano, use el siguiente comando para asignar el certificado a la versión de Skype Empresarial Online:
New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue
A continuación, debe repetir el comando, esta vez con el valor de la propiedad AppPrincipalId para Exchange 2013.
Si más adelante necesita eliminar ese certificado, por ejemplo, si ha expirado, puede hacerlo recuperando primero el KeyId del certificado:
Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
El comando devolverá datos similares a estos:
Type : Asymmetric Value : KeyId : bc2795f3-2387-4543-a95d-f92c85c7a1b0 StartDate : 6/1/2012 8:00:00 AM EndDate : 5/31/2013 8:00:00 AM Usage : Verify
Entonces podrá eliminar el certificado usando un comando como el siguiente:
Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0
Además de asignar un certificado, también debe configurar la entidad de servicio de Exchange Online y configurar su versión local de Skype Empresarial Server direcciones URL de servicios web externos como una entidad de servicio de Microsoft 365 o Office 365. Para hacerlo, ejecute estos dos comandos:
En el ejemplo siguiente, Pool1ExternalWebFQDN.contoso.com es la dirección URL de los servicios web externos del grupo de Skype Empresarial Server. Repita estos pasos para agregar todas las direcciones URL de los servicios web externos en la implementación.
Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true
$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/Pool1ExternalWebFQDN.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames