在 Skype for Business Server 中为 Skype for Business Online 客户配置联合身份验证支持
可以通过以下任一方式向组织中的用户提供通信服务:
- 在组织中部署Skype for Business Server (称为本地服务) 并在组织中设置Skype for Business用户帐户。
- 使用托管提供商设置 Microsoft Skype for Business Online 客户帐户,并使用托管提供商设置用户帐户, (称为 联机服务) 。
如果在组织中部署Skype for Business,则可以与一个或多个Skype for Business Online 客户的域联合。 若要在本地Skype for Business部署的用户与 Skype for Business Online 客户的用户之间启用联合身份验证,必须配置对 Skype for Business Online 客户的域和用户的支持。
重要
由世纪互联在中国运营的Skype for Business将于2023年10月1日停用。 如果尚未升级 Skype for Business Online 用户,系统会自动安排他们进行辅助升级。 如果想要自行将组织升级到 Teams,强烈建议你立即开始规划升级路径。 请记住,成功升级与技术和用户就绪情况一致,因此在导航到 Teams 旅程时,请务必利用我们的 升级指南 。
Skype for Business Online(不包括世纪互联在中国运营的服务)已于 2021 年 7 月 31 日停用。
注意
本文档仅介绍了配置组织以支持与 Skype for Business Online 客户联合的过程。 本文档不介绍配置 Skype for Business Online 客户以支持联合身份验证的过程。
与 Skype for Business Online 客户联合的先决条件
若要与 Skype for Business Online 客户联合,应已完成组织中Skype for Business Server的初始部署和配置。 这包括以下内容:
- 在组织中部署至少一台 Standard Edition 服务器或一台Enterprise Edition前端池。
- 为Skype for Business Server启用内部用户帐户。
- 部署至少一个边缘服务器以及支持外部用户访问所需的其他组件。 有关详细信息,请参阅管理对Skype for Business Server的联合身份验证和外部访问。
- 在组织内启用联合支持,并配置适当的方法来控制联合域的访问。 有关详细信息,请参阅 启用或禁用远程用户访问 和管理 组织的 SIP 联合提供程序。
- 为组织中的用户启用外部用户访问。 有关详细信息,请参阅将外部用户访问策略分配给已启用Skype for Business的用户。
配置 Skype for Business Online 域的联合支持
与 Skype for Business Online 客户联合需要完成以下步骤:
配置对 Skype for Business Online 2010 客户 (域的支持,例如,contoso.onmicrosoft.com) 。 如与 Skype for Business Online 客户联合的先决条件中所述,你应该已经为组织启用了联合身份验证。 启用联合需要指定用于控制联合域访问的方法。 如果将组织配置为使用发现,则可以将域添加到组织的允许列表。 如果未启用域发现,则必须将 Skype for Business Online 客户的域名添加到允许的域列表中。 可以使用 Skype for Business Server 控制面板 或通过运行 New-CSAllowedDomain cmdlet 来添加域名。 有关使用Skype for Business Server 控制面板(包括启用域发现)的详细信息,请参阅在 Skype for Business Server 中管理组织的 SIP 联合提供商。 有关使用 New-CSAllowedDomain cmdlet 添加域的详细信息,请参阅 New-CsAllowedDomain。
注意
Skype for Business Online 客户可以有多个域。 如果要与多个域联合,则必须为要支持联合的每个域配置支持,并且 Skype for Business Online 客户的管理员必须为要联合的每个域启用联合。
为要联合的 Skype for Business Online 客户域的托管提供商配置支持。 使用本部分中的过程配置对托管提供程序的支持。
注意
此步骤仅适用于与 Skype for Business Online 客户的域联合,而不适用于与在联合合作伙伴位置部署在本地的任何域的联合。
配置对托管提供程序的支持
从前端服务器启动 Skype for Business Server 命令行管理程序:依次单击“启动”、“所有程序”、“Skype for Business Server”,然后单击“Skype for Business Server命令行管理程序”。
运行 New-CsHostingProvider cmdlet 以创建和配置托管提供程序。 例如,运行:
New-CsHostingProvider -Identity LyncOnline -ProxyFqdn "sipfed.online.lync.com" -VerificationLevel UseSourceVerification -Enabled $True -EnabledSharedAddressSpace $False -HostsOCSUsers $False -IsLocal $False
上述示例设置了以下参数:
标识 为要创建的托管提供程序指定唯一的字符串值标识符。 请注意,如果某个现有提供商已使用该 Identity 进行配置,该命令将失败。
ProxyFQDN 指定宿主提供程序所使用的代理服务器的完全限定域名 (FQDN)。 不能修改此值。 如果承载服务提供商更改了其代理服务器,则您必须删除该条目,然后为提供商重新创建相应条目。
VerificationLevel 指定如何 (或是否验证从托管提供程序发送) 消息,以确保这些消息是从该提供程序发送的。
Enabled 指示您的域与承载服务提供商之间的网络连接是否已启用。 除非此值设置为 True ,否则无法在这两个组织之间交换消息。
EnabledSharedAddressSpace 指示是否在共享 SIP 地址空间(拆分域)方案中使用此承载服务提供商。
HostsOCSUsers 指示是否使用托管提供程序来托管Skype for Business Server帐户。 如果设置为 False ,则提供商承载其他帐户类型,例如 Microsoft Exchange 帐户。
IsLocal 指示托管提供程序使用的代理服务器是否包含在Skype for Business Server拓扑中。
有关使用此 cmdlet 的详细信息,请参阅 New-CsHostingProvider。
配置与 Skype for Business Online 客户联合的用户访问权限
必须配置组织中所有用户的用户帐户,以便允许他们与联合合作伙伴通信。 此配置适用于所有联合合作伙伴,包括支持联合身份验证的任何 Microsoft Skype for Business Online 客户域。 有关为用户帐户配置联合身份验证支持的详细信息,请参阅配置策略以控制联合用户访问和将外部用户访问策略分配给已启用 Skype for Business 的用户。
在 Skype for Business Server 中验证与 Skype for Business Online 客户的通信
若要使组织中的Skype for Business用户能够与 Skype for Business Online 客户的用户通信,必须已完成以下步骤:
- 满足所有先决条件。 这包括部署内部服务器和边缘服务器、为组织启用联合支持以及设置用户帐户。 有关详细信息,请参阅与 Skype for Business Online 客户联合的先决条件。
- 在内部部署中配置了域访问支持。 这包括创建主机提供程序条目并将部署配置为允许从 Skype for Business Online 客户的域进行访问。 有关详细信息,请参阅配置 Skype for Business Online 域的联合支持。
- 将用户帐户配置为支持联合身份验证。 有关详细信息,请参阅配置与 Skype for Business Online 客户联合的用户访问权限。
完成所有这些步骤并且 Skype for Business Online 客户的管理员完成其联机服务的所有配置以支持与组织联合之后,请通过测试组织中的内部用户与 Skype for Business Online 客户之间的通信来验证通信。 如果通信不成功,请使用边缘服务器中的日志记录工具捕获日志和跟踪文件,以便对问题进行故障排除。