다음을 통해 공유


비즈니스용 Skype 서버 하이브리드 환경에 대한 서버-서버 인증을 구성합니다.

요약: 비즈니스용 Skype 서버 하이브리드 환경에 대한 서버-서버 인증을 구성합니다.

하이브리드 구성에서 일부 사용자는 비즈니스용 Skype 서버의 온-프레미스 설치에 홈을 사용합니다. 다른 사용자는 비즈니스용 Skype 서버의 Microsoft 365 또는 Office 365 버전에 있습니다. 하이브리드 환경에서 서버-서버 인증을 구성하려면 먼저 비즈니스용 Skype 서버의 온-프레미스 설치를 구성하여 권한 부여 서버를 신뢰해야 합니다. 이 프로세스의 초기 단계는 다음 비즈니스용 Skype 서버 관리 셸 스크립트를 실행하여 수행할 수 있습니다.

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue

   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue

if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

테넌트 영역 이름은 일반적으로 조직 이름과 다릅니다. 실제로 영역 이름은 거의 항상 테넌트 ID와 동일합니다. 이 때문에 스크립트의 첫 번째 줄은 지정된 테넌트(이 경우 fabrikam.com)에 대한 TenantId 속성 값을 반환한 다음 변수 $TenantId 할당하는 데 사용됩니다.

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

이 스크립트를 실행하려면 비즈니스용 Skype Online PowerShell 모듈을 설치하고 이 모듈을 사용하여 테넌트 연결해야 합니다. 이러한 cmdlet을 설치하지 않은 경우 Get-CsTenant cmdlet을 사용할 수 없으므로 스크립트가 실패합니다. 스크립트가 완료되면 비즈니스용 Skype 서버와 권한 부여 서버 간에 트러스트 관계를 구성하고 Exchange 2013/2016과 권한 부여 서버 간의 두 번째 트러스트 관계를 구성해야 합니다. 이 작업은 Microsoft Online Services cmdlet을 사용해야만 수행할 수 있습니다.

참고

Microsoft Online Services cmdlet을 설치하지 않은 경우 cmdlet install-module MSOnline을 사용하여 PowerShell 리포지토리에서 설치해야 합니다. Microsoft Online Services 모듈 설치 및 사용에 대한 자세한 내용은 Microsoft 365 웹 사이트에서 확인할 수 있습니다. 또한 이러한 지침은 Microsoft 365 또는 Office 365 및 Active Directory 간에 Single Sign-On, 페더레이션 및 동기화를 구성하는 방법을 알려줍니다.

Microsoft 365 또는 Office 365를 구성하고 비즈니스용 Skype 서버 및 Exchange 2013용 Microsoft 365 또는 Office 365 서비스 주체를 만든 후에는 이러한 서비스 주체에 자격 증명을 등록해야 합니다. 자격 증명을 등록하려면 먼저 로 저장된 X.509 Base64 인증서를 가져와야 합니다. CER 파일. 그러면 이 인증서가 Microsoft 365 또는 Office 365 서비스 주체에 적용됩니다.

참고

Azure AD Powershell은 2024년 3월 30일에 사용 중단될 예정입니다. 자세한 내용은 사용 중단 업데이트를 참조하세요.

Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. Microsoft Graph PowerShell은 모든 Microsoft Graph API에 대한 액세스를 허용하며 PowerShell 7에서 사용할 수 있습니다. 일반적인 마이그레이션 쿼리에 대한 답변은 마이그레이션 FAQ를 참조하세요.

X.509 인증서를 가져오면 PowerShell 콘솔을 열고 서비스 주체를 관리하는 데 사용할 수 있는 cmdlet이 포함된 Microsoft Online Windows PowerShell 모듈을 가져옵니다.

Import-Module MSOnline

모듈을 가져오면 다음 명령을 입력한 다음 Enter 키를 누릅니다.

Connect-MsolService

Enter 키를 누르면 자격 증명 대화 상자가 나타납니다. 대화 상자에 Microsoft 365 또는 Office 365 사용자 이름 및 암호를 입력한 다음 확인을 선택합니다.

Microsoft 365 또는 Office 365에 연결되는 즉시 다음 명령을 실행하여 서비스 주체에 대한 정보를 반환할 수 있습니다.

Get-MsolServicePrincipal

모든 서비스 주체에 대해 이와 유사한 정보를 다시 가져와야 합니다.

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Skype for Business Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True

다음 단계는 X.509 인증서를 가져오고 인코딩하고 할당하는 것입니다. 인증서를 가져오고 인코딩하려면 다음 Windows PowerShell 명령을 사용하여 에 대한 전체 파일 경로를 지정해야 합니다. Import 메서드를 호출할 때 CER 파일:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue) 

인증서를 가져오고 인코딩한 후 Microsoft 365 또는 Office 365 서비스 주체에 인증서를 할당할 수 있습니다. 이렇게 하려면 먼저 Get-MsolServicePrincipal 사용하여 비즈니스용 Skype 서버와 Microsoft Exchange 서비스 주체 모두에 대한 AppPrincipalId 속성 값을 검색합니다. AppPrincipalId 속성의 값은 인증서가 할당되는 서비스 주체를 식별하는 데 사용됩니다. 비즈니스용 Skype 서버의 AppPrincipalId 속성 값을 사용하여 다음 명령을 사용하여 비즈니스용 Skype Online 버전에 인증서를 할당합니다.

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue 

그런 다음 이번에는 Exchange 2013의 AppPrincipalId 속성 값을 사용하여 명령을 반복해야 합니다.

나중에 해당 인증서를 삭제해야 하는 경우(예: 인증서가 만료된 경우) 먼저 인증서에 대한 KeyId를 검색하여 인증서를 검색할 수 있습니다.

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

이 명령은 다음과 같은 데이터를 반환합니다.

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

그런 다음 다음과 유사한 명령을 사용하여 인증서를 삭제할 수 있습니다.

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

인증서를 할당하는 것 외에도 Exchange Online 서비스 주체를 구성하고 온-프레미스 버전의 비즈니스용 Skype 서버 외부 웹 서비스 URL을 Microsoft 365 또는 Office 365 서비스 주체로 구성해야 합니다. 다음 두 명령을 수행하여 수행할 수 있습니다.

다음 예제에서 Pool1ExternalWebFQDN.contoso.com 비즈니스용 Skype 서버 풀에 대한 외부 웹 서비스 URL입니다. 이러한 단계를 반복하여 배포의 모든 외부 웹 서비스 URL을 추가해야 합니다.

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true
$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/Pool1ExternalWebFQDN.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames