Survivable Branch Appliance (SBA) pour le routage direct
Parfois, un site client utilisant le routage direct pour se connecter à Téléphonie Microsoft Teams peut rencontrer une panne d’Internet.
Dans ce scénario, supposons que le site client, appelé branche, ne peut pas se connecter temporairement au cloud Microsoft via le routage direct. Toutefois, l’intranet à l’intérieur de la branche est toujours entièrement fonctionnel et les utilisateurs peuvent se connecter au contrôleur de bordure de session (SBC) qui fournit une connectivité RTC.
Cet article explique comment utiliser un Survivable Branch Appliance (SBA) avec Téléphonie Teams pour prendre en charge la continuité de la réalisation et de la réception d’appels RTC (Public Switched Telephone Network) en cas de panne.
Conditions préalables
L’authentification SBA est du code distribuable fourni par Microsoft aux fournisseurs SBC qui incorporent ensuite du code dans leur microprogramme ou le distribuent séparément pour que l’authentification unique s’exécute sur une machine virtuelle ou un matériel distinct.
Pour obtenir le dernier microprogramme du contrôleur de bordure de session avec survivable Branch Appliance incorporé, contactez votre fournisseur SBC. En outre, les éléments suivants sont requis :
Le SBC est configuré pour media bypass afin de s’assurer que le client Microsoft Teams dans le site de succursale peut avoir du contenu multimédia qui circule directement avec le SBC.
TLS1.2 est activé sur le système d’exploitation de machine virtuelle SBA.
Les ports 3443, 444 et 8443 sont utilisés par Microsoft SBA Server pour communiquer avec le client Teams et sont autorisés sur le pare-feu.
Le port 5061 (ou celui configuré sur le SBC) est utilisé par Microsoft SBA Server pour communiquer avec le SBC et est autorisé sur le pare-feu.
Le port UDP 123 est utilisé par Microsoft SBA Server pour communiquer avec le serveur NTP et est autorisé sur le pare-feu.
Le port 443 est utilisé par Microsoft SBA Server pour communiquer avec Microsoft 365 et est autorisé sur le pare-feu.
Les plages d’adresses IP Azure et les étiquettes de service pour le cloud public sont définies conformément aux instructions décrites dans : https://www.microsoft.com/download/details.aspx?id=56519
Clients Teams pris en charge
La fonctionnalité SBA est prise en charge sur les clients Microsoft Teams suivants :
- Bureau Windows Microsoft Teams
- Bureau Microsoft Teams macOS
- Téléphones Teams
Mode de fonctionnement
Lors d’une panne d’Internet, le client Teams bascule automatiquement vers l’authentification SBA, et les appels en cours continuent sans interruption. Aucune action n’est requise de la part de l’utilisateur.
Dès que le client Teams détecte qu’Internet est activé et que tous les appels sortants sont terminés, le client revient en mode de fonctionnement normal et se connecte à d’autres services Teams. L’authentification SBA charge les enregistrements de données d’appel collectés dans le cloud. L’historique des appels est mis à jour pour être examiné par l’administrateur du locataire.
Le mécanisme de panne côté client Teams pour l’authentification SBA est conçu pour garantir une connectivité continue et la disponibilité du service pendant les interruptions réseau.
Les conditions suivantes doivent être remplies :
Vérification de la stratégie client : l’utilisateur reçoit la stratégie de survivabilité de branche pour une SBA à laquelle le client Teams se connecte uniquement si le Appliance est actif.
Vérification de l’état du réseau : le client Teams se connecte à l’authentification SBA quand Internet est déconnecté, mais l’appareil de l’utilisateur est toujours connecté à l’Appliance SBA.
Une fois ces conditions remplies, le client Teams effectue un test ping sur l’Appliance SBA et le client vérifie la stratégie. Si ces deux conditions sont remplies, les conditions suivantes se produisent :
Stratégie de survivabilité de branche : la stratégie de survivabilité de branche pointe vers les URL SBA affectées à l’utilisateur/locataire.
Connexion à l’authentification SBA côté client Teams : une fois que le client Teams est hors connexion et que l’utilisateur dispose des stratégies requises, le client Teams passe en mode Appliance où l’utilisateur peut effectuer et recevoir des appels RTC. Une bannière s’affiche pour informer les utilisateurs du basculement vers l’authentification unique.
Le seul indicateur de l’interface utilisateur du passage en mode Appliance est la bannière. Si la bannière n’est pas présente, l’utilisateur n’est pas en mode SBA et l’appel ne fonctionne pas.
Le mode SBA est activé uniquement sur les clients de bureau sur un ordinateur physique. Les machines virtuelles et les clients web ne sont pas pris en charge pour le moment.
Lorsque le client Microsoft Teams est en mode hors connexion, les fonctionnalités d’appel suivantes sont disponibles :
- Effectuer des appels RTC via l’authentification SBA/SBC locale avec un média transitant par le SBC.
- Réception d’appels RTC via l’authentification SBA/SBC locale avec le média transitant par le SBC.
- Conservation et reprise des appels RTC.
- Transfert à l’aveugle.
- Transfert d’appel vers un seul numéro de téléphone ou un utilisateur Teams.
- Transfert d’appel sans réponse vers un seul numéro de téléphone ou un utilisateur Teams.
- Redirection de l’appel RTC entrant vers une file d’attente d’appels ou un numéro de standard automatique vers un agent local.
- Rediriger l’appel RTC entrant vers une file d’attente d’appels ou un numéro de standard automatique vers une autre file d’attente d’appels ou un numéro de standard automatique.
- VoIP de secours. Si un appel VoIP ne peut pas être lancé et que la partie réceptrice a un numéro RTC, un appel RTC est tenté
- Appels VoIP entre utilisateurs locaux. Si les deux utilisateurs sont inscrits derrière la même SBA, un appel VoIP peut être lancé au lieu d’un appel RTC, et l’authentification unique prend en charge l’appel.
Configuration
Pour que la fonctionnalité SBA fonctionne, le client Teams doit savoir quels SBA sont disponibles dans chaque site de succursale et quels SBA sont affectés aux utilisateurs de ce site. Les étapes de configuration sont les suivantes :
- Créez les SBA.
- Créez la stratégie de survivabilité de la branche Teams.
- Affectez la stratégie aux utilisateurs.
- Inscrivez une application pour l’authentification SBA avec Microsoft Entra ID.
Toute la configuration est effectuée à l’aide des applets de commande PowerShell Teams. (Le Centre d’administration Teams ne prend pas encore en charge la fonctionnalité SBA de routage direct.)
Pour plus d’informations sur la configuration du SBC, avec des liens vers la documentation du fournisseur SBC, consultez Configuration du contrôleur de bordure de session.
Créer les SBA
Pour créer les SBA, utilisez l’applet de commande New-CsTeamsSurvivableBranchAppliance. Cette applet de commande a les paramètres suivants :
Paramètre | Description |
---|---|
Identity | Identité de l’authentification SBA |
Fqdn | Nom de domaine complet de l’administrateur de base de données |
Site | TenantNetworkSite où se trouve l’authentification SBA |
Description | Texte au format libre |
Par exemple :
C:\> New-CsTeamsSurvivableBranchAppliance -Fqdn sba1.contoso.com -Description "SBA 1"
Identity : sba1.contoso.com
Fqdn : sba1.contoso.com
Site :
Description : SBA 1
Créer la stratégie de survivabilité de la branche Teams
Pour créer une stratégie, utilisez l’applet de commande New-CsTeamsSurvivableBranchAppliancePolicy. Cette applet de commande a les paramètres suivants. La stratégie peut contenir un ou plusieurs SBA.
Paramètre | Description |
---|---|
Identity | Identité de la stratégie |
BranchApplianceFqdns | Nom de domaine complet des SBA dans le site |
Par exemple :
C:\> new-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns "sba1.contoso.com","sba2.contoso.com"
Identity : Tag:CPH
BranchApplianceFqdns : {sba1.contoso.com, sba2.contoso.com}
Vous pouvez ajouter ou supprimer des SBA d’une stratégie à l’aide de l’applet de commande Set-CsTeamsSurvivableBranchAppliancePolicy. Par exemple :
Set-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns @{remove="sba1.contoso.com"}
Set-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns @{add="sba1.contoso.com"}
Affecter une stratégie à un utilisateur
Pour affecter la stratégie à des utilisateurs individuels, utilisez l’applet de commande Grant-CsTeamsSurvivableBranchAppliancePolicy. Cette applet de commande a les paramètres suivants :
Paramètre | Description |
---|---|
Identity | Identité de l’utilisateur |
PolicyName | Identité de la stratégie |
Par exemple :
C:\> Grant-CsTeamsSurvivableBranchAppliancePolicy -PolicyName CPH -Identity user@contoso.com
Vous pouvez supprimer une stratégie d’un utilisateur en accordant la stratégie $Null comme indiqué dans l’exemple suivant :
C:\> Grant-CsTeamsSurvivableBranchAppliancePolicy -PolicyName $Null -Identity user@contoso.com
Inscrire une application pour l’authentification SBA avec Microsoft Entra ID
Pour permettre aux différents SBA utilisés au sein de votre locataire de lire les données requises à partir de Microsoft 365, vous devez inscrire une application pour l’authentification unique auprès de Microsoft Entra ID.
Pour plus d’informations sur l’inscription d’application, consultez les rubriques suivantes :
Vous n’avez besoin d’inscrire qu’une seule application pour être utilisée par tous les SBA de votre locataire.
Pour l’inscription SBA, vous avez besoin des valeurs suivantes créées par l’inscription :
- ID d’application (client)
- Clé secrète client
Pour l’application SBA, gardez les points suivants à l’esprit :
- Le nom peut être ce que vous décidez.
- Types de comptes pris en charge = Compte dans cet annuaire organisationnel uniquement.
- URI de redirection web = https://login.microsoftonline.com/common/oauth2/nativeclient.
- Jetons d’octroi implicites = jetons d’accès et jetons d’ID.
- Autorisations d’API = Accès Administration client Skype et Teams -> Autorisations d’application -> application_access_custom_sba_appliance.
- Clé secrète client : vous pouvez utiliser n’importe quelle description et expiration.
- N’oubliez pas de copier la clé secrète client immédiatement après sa création.
- L’ID d’application (client) s’affiche sous l’onglet Vue d’ensemble.
Procédez ensuite comme suit :
- Inscrivez l’application.
- Définissez les jetons d’octroi implicites.
- Définissez les autorisations de l’API.
- Créez la clé secrète client.
Configuration du contrôleur de bordure de session
Pour obtenir des instructions pas à pas sur la configuration de votre contrôleur de bordure de session avec le Survivable Branch Appliance incorporé, consultez la documentation fournie par votre fournisseur SBC :
Problèmes connus et considérations
Voici les problèmes connus et les considérations à prendre en compte :
En mode SBA
- L’authentification SBA prend en charge les jetons d’authentification client expirés jusqu’à 7 jours à compter de l’expiration du jeton.
- Le client Teams ne pourra pas se connecter à l’authentification SBA si le client Teams est déclenché pour négocier un nouveau jeton. Par exemple, si un utilisateur quitte et redémarre son client Teams ou redémarre son appareil.
- Le client Teams ne pourra pas se valider lui-même avec une SBA avec laquelle il n’était pas connecté précédemment, au cours des dernières 24 heures.
En mode SBA, les actions utilisateur suivantes ne sont pas prises en charge :
- basculement de son client Teams vers un autre locataire
- partage d’informations de localisation pendant un appel d’urgence (E911). Les utilisateurs peuvent toujours passer un appel d’urgence, mais les informations d’emplacement ne seront pas partagées.
- atteindre d’autres utilisateurs Teams avec une recherche de nombre inversée sur Microsoft Entra ID Contacts. Un numéro composé sera toujours traité par SBA et routé sur RTC.
Si le locataire utilise des jetons d’évaluation continue de l’accès (CAE), l’authentification unique ne sera opérationnelle que pendant environ 30 minutes, en raison de la nature de l’évaluation continue de l’accès. Une autre solution consiste à désactiver l’évaluation de l’accès client pour le locataire.
Lorsque vous ajoutez de nouvelles survivable Branch Appliances, vous pouvez prendre du temps avant de pouvoir les utiliser dans les stratégies Survivable Branch Appliance.
Lorsque vous affectez une stratégie Survivable Branch Appliance à un utilisateur, l’affichage de l’authentification unique dans la sortie de Get-CsOnlineUser peut prendre du temps.
Signaler un problème
Signalez les problèmes à l’organization de support de votre fournisseur SBC. Lorsque vous signalez le problème, indiquez que vous disposez d’un Survivable Branch Appliance configuré.