Configure la autenticación de servidor a servidor para un entorno híbrido de Skype Empresarial Server.
Resumen: Configure la autenticación de servidor a servidor para el entorno híbrido de Skype Empresarial Server.
En una configuración híbrida, algunos de los usuarios están alojados en una instalación local de Skype Empresarial Server. Otros usuarios se alojan en la versión de Microsoft 365 u Office 365 de Skype Empresarial Server. Para configurar la autenticación de servidor a servidor en un entorno híbrido, primero debe configurar la instalación local de Skype Empresarial Server para que confíe en el servidor de autorización. El paso inicial de este proceso se puede llevar a cabo ejecutando el siguiente script del Shell de administración de Skype Empresarial Server:
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
if ($sts -eq $null)
{
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
else
{
if ($sts.MetadataUrl -ne "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
{
Remove-CsOAuthServer microsoft.sts
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
}
$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
if ($exch -eq $null)
{
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
{
Remove-CsPartnerApplication microsoft.exchange
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
}
}
Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000
Tenga en cuenta que el nombre de dominio kerberos de un inquilino normalmente es diferente al nombre de la organización; de hecho, el nombre de dominio kerberos casi siempre es igual al identificador del inquilino. Por este motivo, la primera línea del script se usa para devolver el valor de la propiedad TenantId del espacio empresarial especificado (en este caso, fabrikam.com) y, a continuación, asignar ese nombre a la variable $TenantId:
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
Para ejecutar este script, debe haber instalado el módulo de PowerShell de Skype Empresarial Online y conectarse a su espacio empresarial con este módulo. Si no ha instalado estos cmdlets, el script producirá un error porque el cmdlet de Get-CsTenant no estará disponible. Una vez completado el script, debe configurar una relación de confianza entre Skype Empresarial Server y el servidor de autorización, y una segunda relación de confianza entre Exchange 2013/2016 y el servidor de autorización. Solo podrá hacer esto usando los cmdlets de Microsoft Online Services.
Nota
Si no ha instalado los cmdlets de Microsoft Online Services, tendrá que instalarlo desde el repositorio de PowerShell con el cmdlet install-module MSOnline. Puede encontrar información detallada para instalar y usar el módulo Microsoft Online Services en el sitio web de Microsoft 365. Estas instrucciones también le indicarán cómo configurar el inicio de sesión único, la federación y la sincronización entre Microsoft 365 u Office 365 y Active Directory.
Después de configurar Microsoft 365 u Office 365, y después de crear entidades de servicio de Microsoft 365 u Office 365 para Skype Empresarial Server y Exchange 2013, deberá registrar sus credenciales con estas entidades de servicio. Para registrar sus credenciales, primero debe obtener un certificado X.509 Base64 guardado como . ARCHIVO CER. Este certificado se aplicará a las entidades de servicio de Microsoft 365 u Office 365.
Nota
El 30 de marzo de 2024 está previsto que Azure AD Powershell quede en desuso. Para obtener más información, lea la actualización del desuso.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con el id. de Microsoft Entra (anteriormente Azure AD). Microsoft Graph PowerShell permite el acceso a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas de migración comunes, consulte las Preguntas más frecuentes sobre la migración.
Cuando obtenga el certificado X.509, abra la consola de PowerShell e importe el módulo Windows PowerShell de Microsoft Online que contiene los cmdlets que se pueden usar para administrar las entidades de servicio:
Import-Module MSOnline
Cuando se importe el módulo, escriba el comando siguiente y presione ENTRAR:
Connect-MsolService
Tras presionar ENTRAR, aparecerá un cuadro de diálogo de credenciales. Escriba su nombre de usuario y contraseña de Microsoft 365 u Office 365 en el cuadro de diálogo y, después, seleccione Aceptar.
Tan pronto como esté conectado a Microsoft 365 u Office 365, puede ejecutar el siguiente comando para devolver información sobre las entidades de servicio:
Get-MsolServicePrincipal
La información relativa a todas las entidades de servicio que aparecerá será similar a esta:
ExtensionData : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled : True
Addresses : {}
AppPrincipalId : 00000004-0000-0ff1-ce00-000000000000
DisplayName : Skype for Business Server
ObjectId : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True
El paso siguiente es importar, codificar y asignar el certificado X.509. Para importar y codificar el certificado, use los siguientes comandos de Windows PowerShell, asegurándose de especificar la ruta de acceso de archivo completa a su . Archivo CER al llamar al método Import:
$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)
Después de importar y codificar el certificado, puede asignarlo a las entidades de servicio de Microsoft 365 u Office 365. Para ello, primero use la Get-MsolServicePrincipal para recuperar el valor de la propiedad AppPrincipalId tanto para Skype Para Business Server como para las entidades de servicio de Microsoft Exchange; el valor de la appprincipalId propiedad se usará para identificar la entidad de servicio que se asigna el certificado. Con el valor de la propiedad AppPrincipalId de Skype Empresarial Server disponible, use el siguiente comando para asignar el certificado a la versión de Skype Empresarial Online:
New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue
A continuación, debe repetir el comando, esta vez con el valor de la propiedad AppPrincipalId para Exchange 2013.
Si más adelante necesita eliminar ese certificado, por ejemplo, si ha expirado, puede hacerlo recuperando primero el KeyId del certificado:
Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
El comando devolverá datos similares a estos:
Type : Asymmetric Value : KeyId : bc2795f3-2387-4543-a95d-f92c85c7a1b0 StartDate : 6/1/2012 8:00:00 AM EndDate : 5/31/2013 8:00:00 AM Usage : Verify
Entonces podrá eliminar el certificado usando un comando como el siguiente:
Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0
Además de asignar un certificado, también debe configurar la entidad de servicio de Exchange Online y configurar la versión local de las direcciones URL de los servicios web externos de Skype Empresarial Server como una entidad de servicio de Microsoft 365 u Office 365. Para hacerlo, ejecute estos dos comandos:
En el ejemplo siguiente, Pool1ExternalWebFQDN.contoso.com es la dirección URL de los servicios web externos para el grupo de Skype Empresarial Server. Repita estos pasos para agregar todas las direcciones URL de los servicios web externos en la implementación.
Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true
$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/Pool1ExternalWebFQDN.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames