Office
Logg på

Hvordan du konfigurerer Skype for Business lokalt for å bruke Hybrid moderne godkjenning

Obs!:  Vi ønsker å gi deg det nyeste hjelpeinnholdet så raskt som mulig, på ditt eget språk. Denne siden er oversatt gjennom automatisering og kan inneholde grammatiske feil eller unøyaktigheter. Formålet vårt er at innholdet skal være nyttig for deg. Kan du fortelle oss om informasjonen var nyttig for deg nederst på denne siden? Her er den engelske artikkelen for enkel referanse.

Moderne godkjenning, er en metode for Identitetsbehandling som tilbyr sikrere brukergodkjenning og autorisasjon, er tilgjengelig for Skype for Business server lokale og Exchange server lokale samt delte domener Skype for Business hybrids.

Viktig  Vil du vite mer om moderne godkjenning (glidende gjennomsnitt) og hvorfor du kanskje foretrekker å bruke den i firmaet eller organisasjonen? Kontroller dette dokumentet for å få oversikt. Hvis du trenger å vite hvilke Skype for Business topologier støttes med glidende gjennomsnitt, som er omtalt her!

Før du begynner, jeg ringe:

  • Moderne godkjenning > glidende gjennomsnitt

  • Hybrid moderne godkjenning > HMA

  • Utveksle lokale > EXCH

  • Exchange Online > EXO

  • Skype for Business lokale > SFB

  • og Skype for Business Online > SFBO

Også Hvis grafikk i denne artikkelen, har et objekt som har nedtonet-ut- eller nedtonet', som betyr at elementet vises i grå er ikke inkludert i glidende gjennomsnitt-spesifikke konfigurasjon.

Les sammendraget

Dette sammendraget går prosessen til trinnene som kan ellers går tapt under kjøring og god for en generell Kontrolliste holde orden på hvor du er i prosessen.

  1. Først må du kontrollere at du oppfyller alle forutsetninger.

    1. Siden mange Forutsetninger er felles for både på Skype for Business og Exchange, kan du se artikkelen oversikt for Sjekkliste for forutsetninger. Gjør dette før du begynner noen av trinnene i denne artikkelen.

  2. Samle inn HMA-spesifikk informasjon om det du trenger i en fil eller OneNote.

  3. Slå på moderne godkjenning for EXO (Hvis den ikke allerede er slått).

  4. Slå på moderne godkjenning for SFBO (Hvis den ikke allerede er slått).

  5. Slå på Hybrid moderne godkjenning for lokal Exchange.

  6. Slå på Hybrid moderne godkjenning for Skype for Business lokalt.

Obs fremgangsmåten aktivere glidende gjennomsnitt for SFB, SFBO, EXCH og EXO – det vil si alle produkter som kan delta i en HMA konfigurasjon av SFB og SFBO (inkludert avhengigheter på EXCH/EXO). Hvis brukerne er flyttet / har postbokser opprettet i en del av Hybrid (EXO + SFBO, EXO + SFB, EXCH + SFBO, eller EXCH + SFB), vil altså ferdig produktet se slik ut:

Blandede 6 Skype for business HMA topologi har glidende gjennomsnitt på alle fire mulige steder.

Du kan se er det fire forskjellige steder å aktivere glidende gjennomsnitt! Vi anbefaler du aktivere glidende gjennomsnitt i alle de fire disse plasseringene for beste brukeropplevelsen. Hvis du ikke kan aktivere glidende gjennomsnitt i alle disse plasseringene, justere trinnene slik at du slår på glidende gjennomsnitt bare på steder som er nødvendige for miljøet.

Se emnet med støtte for Skype for Business med glidende gjennomsnitt for støttede topologier.

Viktig  Dobbeltsjekk at du har oppfylt alle forutsetninger før du begynner. Du finner denne informasjonen her.

Samle inn alle HMA-spesifikk informasjon du må ha

Når du har double-checked som du oppfyller Forutsetninger for å bruke moderne godkjenning (se merknaden ovenfor), bør du opprette en fil som skal inneholde informasjon som du trenger for å konfigurere HMA i trinnene foran. Eksempler som brukes i denne artikkelen:

  • SIP/SMTP-domene

    • Eksempel contoso.com (er i forbund med Office 365)

  • Leier ID

    • GUID som representerer Office 365-leieren (på siden login contoso.onmicrosoft.com).

  • SFB 2015 CU5 Web Service URL-adresser

Du må interne og eksterne web URL-adressen for alle SfB 2015 basseng distribuert.  For å få disse, kan du kjøre følgende fra Skype for Business Management Shell:

Get-CsService - WebServer | Velg objektet PoolFqdn, InternalFqdn, ExternalFqdn | FL

  • Eksempel interne: https://lyncwebint01.contoso.com

  • Eksempel eksterne: https://lyncwebext01.contoso.com

Hvis du bruker en Standard Edition-server, vil den interne Webadressen være tom. I dette tilfellet Bruk utvalget fqdn for interne URL-adressen.

Aktiver moderne godkjenning for EXO

Følg instruksjonene her: Exchange Online: Slik aktiverer du leieren for moderne godkjenning.

Aktiver moderne godkjenning for SFBO

Følg instruksjonene her: Skype for Business Online: aktivere i leieren for moderne godkjenning.

Aktiver Hybrid moderne godkjenning for lokal Exchange

Følg instruksjonene her: konfigurere Exchange-serveren lokalt for å bruke Hybrid moderne godkjenning.

Slå på Hybrid moderne godkjenning for Skype for Business lokalt

Legge til lokale web service URL-adresser som SPNer i Azure AD

Nå må du kjøre kommandoer for å legge til URL-adresser (innsamlede tidligere) som prinsipper for tjenesten i SFBO.

Obs!  Responsgruppetjeneste hovedstol navn (SPNer) identifisere webtjenester og knytte dem til en sikkerhetskontohaver (for eksempel et kontonavn eller gruppe) slik at tjenesten kan handle på vegne av en godkjent bruker. Klienter godkjenning til en server gjøre bruk av informasjonen som er inkluderte i SPNer.

  1. Først må du koble til AAD med disse instruksjonene.

  2. Kjør denne kommandoen lokalt, til å få en liste over SFB web service URL-adresser.

    • Get-MsolServicePrincipal - AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Velg - ExpandProperty ServicePrincipalNames

    Legg merke til at AppPrincipalId begynner med '00000004'. Dette tilsvarer Skype for Business Online.

    Ta noterer (og skjermbilde for senere sammenligning) utdataene for denne kommandoen, som inkluderer en SE og WS URL-adresse, men det meste består av SPNer som begynner med 00000004-0000-0ff1-ce00-000000000000 /.

  3. Hvis den interne eller eksterne SFB URL-adresser fra lokale mangler (for eksempel https://lyncwebint01.contoso.com og https://lyncwebext01.contoso.com) må vi legge til disse bestemte poster i denne listen.

    Pass på å erstatte URL-adresser for eksempelnedenfor, med faktisk URL-adressen i boksen Legg til kommandoer!

    • $x = get-MsolServicePrincipal - AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

    • $x.ServicePrincipalnames.Add (" https://lyncwebint01.contoso.com/")

    • $x.ServicePrincipalnames.Add (" https://lyncwebext01.contoso.com/")

    • Angi MSOLServicePrincipal - AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

  4. Kontroller ble lagt til nye poster ved å kjøre kommandoen Get-MsolServicePrincipal fra trinn 2 på nytt, og se gjennom resultatet. Sammenligne listen / skjermbilde fra før til den nye listen over SPNer (du kan også skjermbilde den nye listen til postene). Hvis du var vellykket, ser du to nye URL-adressene i listen. Går ved eksemplet vårt, inneholder i listen over SPNer nå bestemte URL-adresser https://lyncweb01.contoso.com og https://autodiscover.contoso.com.

Opprette EvoSTS Auth Server-objektet

Kjør følgende kommando i Skype for Business Management Shell.

  • Ny CsOAuthServer-identitet evoSTS - MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml - AcceptSecurityIdentifierInformation $true-Type AzureAD

Aktivere Hybrid moderne godkjenning

Dette er trinnet som faktisk aktiverer glidende gjennomsnitt.  Alle de foregående trinnene kan kjøres forskudd uten å endre flyten for klient-godkjenning.  Når du er klar til å endre flyten for godkjenning, kan du kjøre denne kommandoen i Skype for Business Management Shell.

  • Angi - CsOAuthConfiguration - ClientAuthorizationOAuthServerIdentity evoSTS

Bekreft

Når du aktiverer HMA, bruker en klient neste login flyten auth. Legg merke til at bare når du slår på HMA ikke utløser en ny godkjenning for alle klienter. Den klienter på nytt godkjenne basert på levetiden for auth tokener og/eller sertifikater de har.

Logg av en test SFB Windows-klient for å teste at HMA fungerer når du har aktivert den, og pass på at du klikker 'Slett min legitimasjon'. Logg deg på igjen. Klienten bør nå bruke flyten moderne Auth og påloggingspassordet ta med en Office 365 -ledetekst for en 'jobb eller skole' konto, vises like før klienten kontakter serveren og logger deg.

Du bør også kontrollere konfigurasjonsinformasjonen for Skype for Business-klienter for en 'OAuth instans'. Hvis du vil gjøre dette på klientdatamaskinen, holder du nede CTRL-tasten samtidig du høyreklikker Skype for Business-ikonet i Windows Notification-skuff. Klikk konfigurasjonsinformasjon i menyen som vises. I vinduet 'Skype for Business konfigurasjonsinformasjon' som skal vises på skrivebordet, kan du se følgende:

Konfigurasjonsinformasjon for et Skype for Business-klienten med moderne godkjenning viser en Lync og EWS OAUTH sertifiseringsinstans URL-adressen til https://login.windows.net/common/oauth2/authorize.

Du bør også holder du nede CTRL-tasten samtidig du Høyreklikk ikonet for Outlook-klienten (også i varsler for Windows-oppgavelinjen), og klikk 'Tilkoblingsstatus'. Se etter kundens SMTP-adresse mot en Authn type 'bæreren *", som representerer brukes i OAuth-bæretoken.

Relaterte artikler

Kobling til siden oversikt over moderne godkjenning.

Trenger du å vite hvordan du bruker moderne godkjenning (ADAL) for Skype for Business-klienter? Vi har fremgangsmåten her.

Vil du lese denne fremgangsmåten slik de vises for Exchange Server, lokalt, kjører uten SFB? Disse trinnene er tilgjengelig her.

Bli bedre på Office
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×