Configurez l’authentification de serveur à serveur pour un environnement hybride Skype Entreprise Server.
Résumé: Configurez l’authentification de serveur à serveur pour l’environnement hybride Skype Entreprise Server.
Dans une configuration hybride, certains de vos utilisateurs sont hébergés sur une installation locale de Skype Entreprise Server. Les autres utilisateurs sont hébergés sur la version Microsoft 365 ou Office 365 de Skype Entreprise Server. Pour configurer l’authentification de serveur à serveur dans un environnement hybride, vous devez d’abord configurer votre installation locale de Skype Entreprise Server pour approuver le serveur d’autorisation. L’étape initiale de ce processus peut être effectuée en exécutant le script Skype Entreprise Server Management Shell suivant :
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
if ($sts -eq $null)
{
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
else
{
if ($sts.MetadataUrl -ne "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
{
Remove-CsOAuthServer microsoft.sts
New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
}
}
$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
if ($exch -eq $null)
{
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
{
Remove-CsPartnerApplication microsoft.exchange
New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
}
else
{
Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
}
}
Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000
N’oubliez pas que le nom de domaine d’un client est généralement différent du nom de l’organisation. En raison de ce fait, la première ligne du script est utilisée pour renvoyer la valeur de la propriété TenantId pour le locataire spécifié (dans ce cas, fabrikam.com), puis attribuer ce nom à la variable $TenantId :
$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId
Pour exécuter ce script, vous devez avoir installé le module PowerShell Skype Entreprise Online et vous connecter à votre locataire avec ce module. Si vous n’avez pas installé ces applets de commande, votre script échoue, car l’applet de commande Get-CsTenant n’est pas disponible. Une fois le script terminé, vous devez configurer une relation d’approbation entre Skype Entreprise Server et le serveur d’autorisation, et une deuxième relation d’approbation entre Exchange 2013/2016 et le serveur d’autorisation. Vous ne pouvez le faire qu’avec des applets de commande Microsoft Online Services.
Remarque
Si vous n’avez pas installé les applets de commande Microsoft Online Services, vous devez les installer à partir du référentiel PowerShell avec l’applet de commande install-module MSOnline
. Vous trouverez des informations détaillées sur l’installation et l’utilisation du module Microsoft Online Services sur le site web Microsoft 365. Ces instructions vous indiquent également comment configurer l’authentification unique, la fédération et la synchronisation entre Microsoft 365 ou Office 365 et Active Directory.
Après avoir configuré Microsoft 365 ou Office 365, et après avoir créé des principaux de service Microsoft 365 ou Office 365 pour Skype Entreprise Server et Exchange 2013, vous devez inscrire vos informations d’identification auprès de ces principaux de service. Pour inscrire vos informations d’identification, vous devez d’abord obtenir un certificat X.509 Base64 enregistré en tant que . Fichier CER. Ce certificat sera ensuite appliqué aux principaux de service Microsoft 365 ou Office 365.
Remarque
La dépréciation d’Azure AD PowerShell est prévue le 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec l’ID Microsoft Entra (anciennement Azure AD). Microsoft Graph PowerShell permet d’accéder à toutes les API Microsoft Graph et est disponible sur PowerShell 7. Pour obtenir des réponses aux requêtes de migration courantes, consultez le FAQ sur la migration.
Lorsque vous obtenez le certificat X.509, ouvrez la console PowerShell et importez le module Microsoft Online Windows PowerShell contenant les applets de commande qui peuvent être utilisées pour gérer les principaux de service :
Import-Module MSOnline
Lorsque le module est importé, tapez la commande suivante, puis appuyez sur Entrée :
Connect-MsolService
Après avoir appuyé sur Entrée, une boîte de dialogue d’informations d’identification s’affiche. Entrez votre nom d’utilisateur et votre mot de passe Microsoft 365 ou Office 365 dans la boîte de dialogue, puis sélectionnez OK.
Dès que vous êtes connecté à Microsoft 365 ou Office 365, vous pouvez exécuter la commande suivante pour retourner des informations sur vos principaux de service :
Get-MsolServicePrincipal
Vous devriez obtenir des informations similaires à celles-ci pour tous vos principaux du service :
ExtensionData : System.Runtime.Serialization.ExtensionDataObject AccountEnabled : True Addresses : {} AppPrincipalId : 00000004-0000-0ff1-ce00-000000000000 DisplayName : Skype for Business Server ObjectId : aada5fbd-c0ae-442a-8c0b-36fec40602e2 ServicePrincipalName : SkypeForBusinessServer/litwareinc.com TrustedForDelegation : True
L’étape suivante consiste à importer, encoder et affecter le certificat X.509. Pour importer et encoder le certificat, utilisez les commandes Windows PowerShell suivantes, en veillant à spécifier le chemin complet du fichier de votre . Fichier CER lorsque vous appelez la méthode Import :
$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)
Une fois le certificat importé et encodé, vous pouvez l’affecter à vos principaux de service Microsoft 365 ou Office 365. Pour ce faire, utilisez d’abord le Get-MsolServicePrincipal pour récupérer la valeur de la propriété AppPrincipalId pour Skype Entreprise Server et les principaux du service Microsoft Exchange . La valeur de la propriété AppPrincipalId sera utilisée pour identifier le principal de service affecté au certificat. Avec la valeur de propriété AppPrincipalId pour Skype Entreprise Server en main, utilisez la commande suivante pour affecter le certificat à la version de Skype Entreprise Online :
New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue
Vous devez ensuite répéter la commande, cette fois en utilisant la valeur de la propriété AppPrincipalId pour Exchange 2013.
Si vous devez supprimer ce certificat par la suite, par exemple s’il a expiré, vous pouvez d’abord récupérer le KeyId du certificat :
Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
Cette commande renvoie des données comme les suivantes :
Type : Asymmetric Value : KeyId : bc2795f3-2387-4543-a95d-f92c85c7a1b0 StartDate : 6/1/2012 8:00:00 AM EndDate : 5/31/2013 8:00:00 AM Usage : Verify
Vous pouvez ensuite supprimer le certificat à l’aide d’une commande comme celle-ci :
Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0
Outre l’attribution d’un certificat, vous devez également configurer le principal de service Exchange Online et configurer votre version locale des URL de services Web externes Skype Entreprise Server en tant que principal de service Microsoft 365 ou Office 365. À cet effet, exécutez les deux commandes suivantes :
Dans l’exemple suivant, Pool1ExternalWebFQDN.contoso.com est l’URL des services Web externes pour le pool Skype Entreprise Server. Vous devez répéter ces étapes pour ajouter toutes les URL de services Web externes dans le déploiement.
Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true
$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/Pool1ExternalWebFQDN.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames