管理对Skype for Business Server的联合身份验证和外部访问

部署边缘服务器或边缘池是支持外部用户的第一步。 有关部署边缘服务器的详细信息,请参阅在 Skype for Business Server 中部署边缘服务器

安装并配置Skype for Business Server的内部部署后,组织中的内部用户可以与Active Directory 域服务 (AD DS) 中具有 SIP 帐户的其他内部用户协作。 协作可能包括发送和接收即时消息,以及更新状态和参与会议 (也称为“会议”) 。 启用并配置外部用户访问,以控制受支持的外部用户是否可以与内部Skype for Business Server用户协作。 外部用户可以包括部署的远程用户、联合用户 (包括公共即时消息 (即时消息) 服务提供商) 支持的用户,以及会议的匿名参与者。

如果部署包括Skype for Business Server边缘服务器或边缘池,则会大大扩展可能的通信类型的范围。 有许多选项可用于外部用户访问、与其他 SIP 联合域的成员通信以及 SIP 联合提供商。 设置边缘服务器或边缘池后,启用外部用户访问类型并配置策略以控制外部访问。 在 Skype for Business Server 中,可以使用 Skype for Business Server 控制面板 和/或 Skype for Business Server 命令行管理程序启用和配置外部用户访问和策略。

重要

设计外部用户访问的配置和策略时,必须了解策略的优先级以及如何应用策略。 Skype for Business Server在一个策略级别应用的策略设置可以替代在另一个策略级别应用的设置。 Skype for Business Server策略优先级为:用户策略 (影响最大的) 覆盖网站策略,然后网站策略覆盖全局策略 (影响最小的) 。 这意味着,策略设置与策略所影响的对象距离越近,它对该对象的影响力越大。

默认情况下,任何策略都不支持外部用户访问 (包括远程用户访问和联合用户访问) ,即使你已经为组织启用了外部用户访问支持也是如此。 若要控制外部用户访问的使用,必须配置一个或多个策略。 在以下策略中,指定支持的外部用户访问类型:

  • 全局策略:部署边缘服务器时会创建全局策略。 默认情况下,全局策略中不启用外部用户访问选项。 若要支持全局级别的外部用户访问,请将全局策略配置为支持一个或多个外部用户访问类型。 全局策略适用于组织中的所有用户,但站点策略和用户策略将覆盖全局策略。 如果删除全局策略,则不会删除它。 而是将其重置为默认设置。

  • 站点策略:可以创建和配置一个或多个站点策略,以限制对外部用户访问特定站点的支持。 站点策略中的配置将覆盖全局策略,但仅适用于站点策略所涵盖的特定站点。 默认情况下,网站策略应用于该站点中的所有用户,但用户策略将覆盖站点策略设置。

  • 用户策略:可以创建和配置一个或多个用户策略,以将远程用户访问的支持限制为特定用户。 用户策略中的配置将覆盖全局策略和站点策略,但仅适用于该策略分配到的特定用户。 如果创建用户策略,则必须在策略生效之前将其应用于一个或多个用户。

若要确定需要创建或编辑的配置设置和策略,请参阅以下决策点:

是否允许域的内部和外部用户使用即时消息、Web 会议和音频/视频进行协作?

按照 配置策略以控制远程用户访问以及 启用或禁用联合和公共 IM 连接主题中详述的配置设置。

是否允许匿名用户参加部署中的用户主持的会议并被邀请参加会议?

主题分配会议策略以支持匿名用户创建会议策略中详述的配置设置。

是否允许用户与 SIP 联合域联系人通信?

按照 配置策略以控制联合用户访问启用或禁用联合身份验证和公共 IM 连接以及 管理组织的 SIP 联合域主题中详述的设置。

如果已启用与 SIP 联合域的通信,是否启用 SIP 联合自动发现?

按照启用或禁用 联合方合作伙伴发现主题中详述的设置进行配置。

如果已启用与 SIP 联合域的通信,是否允许向联合联系人发送免责声明,通知他们你使用存档,并且通信可能被存档?

按照 启用或禁用向联合合作伙伴发送存档免责声明主题中详述的设置。

是否允许用户与支持与公共提供商通信的 SIP 联合提供商通信?

配置策略以控制公共用户访问启用或禁用联合身份验证和公共 IM 连接以及创建或编辑公共 SIP 联合提供程序主题中详述的设置

是否允许用户与运行 Microsoft 365 或 Office 365 和 Skype for Business Online 的托管提供商的 SIP 联合提供商通信?

按照启用或禁用联合身份验证和公共 IM 连接以及创建或编辑托管的 SIP 联合提供程序主题中详述的配置设置。

部署是否在拆分 (也称为混合) 域中配置,其中一些用户在本地部署中有其主服务器,而其他用户在联机环境中配置了主服务器?

按照 配置策略以控制联合用户访问启用或禁用联合身份验证和公共 IM 连接以及 创建或编辑托管 SIP 联合提供程序等主题中详述的配置设置。

即使尚未为组织启用外部用户访问,也可以配置外部用户访问设置。 但是,仅当为组织启用了外部用户访问时,配置的策略和其他设置才会生效。 禁用外部用户访问或未配置外部用户访问策略来支持外部用户访问策略时,外部用户无法与你的用户通信。

边缘部署根据配置边缘支持的方式对外部用户类型进行身份验证并控制访问权限。 此规则的例外是匿名用户,他们在创建会议并邀请参与者时,会通过会议 ID 和发送给匿名参与者的密钥进行身份验证。 若要控制通信,可以配置一个或多个策略,用于定义组织内外用户相互通信的方式。 策略和设置包括可创建和配置的默认全局策略、站点策略和用户策略。