Làm thế nào để cấu hình Skype for Business trên cơ sở để sử dụng xác thực hiện đại hỗn hợp

Lưu ý:  Chúng tôi muốn cung cấp cho bạn nội dung trợ giúp mới nhất ở chính ngôn ngữ của bạn, nhanh nhất có thể. Trang này được dịch tự động nên có thể chứa các lỗi về ngữ pháp hoặc nội dung không chính xác. Mục đích của chúng tôi là khiến nội dung này trở nên hữu ích với bạn. Vui lòng cho chúng tôi biết ở cuối trang này rằng thông tin có hữu ích với bạn không? Dưới đây là bài viết bằng Tiếng Anh để bạn tham khảo dễ hơn.

Xác thực hiện đại, là phương pháp quản lý căn cước sẽ cung cấp bảo mật hơn xác thực người dùng và ủy quyền, hãy sẵn dùng cho Skype for Business server tại cơ sở và Exchange server tại cơ sở, cũng như tách tên miền Skype for Business lai.

Quan trọng  Bạn có muốn tìm hiểu thêm về hiện đại xác thực (MA) và tại sao bạn có thể muốn dùng trong công ty hoặc tổ chức của bạn? Kiểm tra tài liệu này để biết tổng quan. Nếu bạn cần biết những gì Skype cho Business topo được hỗ trợ với MA, mà được ghi lại ở đây!

Trước khi chúng tôi bắt đầu, tôi gọi:

  • Xác thực hiện đại > MA

  • Xác thực hiện đại hỗn hợp > HMA

  • Exchange tại chỗ > ỦA

  • Exchange Online > EXO

  • Skype for Business trên cơ sở > SFB

  • và Skype for Business Online > SFBO

Ngoài ra, nếu một đồ họa trong bài viết này có một đối tượng mà có 'mờ xuất' hoặc 'mờ' có nghĩa là các yếu tố Hiển thị trong màu xám không bao gồm trong cấu hình cụ thể MA.

Đọc tóm tắt

Tóm tắt này nắm quy trình vào bước mà có thể nếu không thể bị mất trong khi thực hiện, và rất tốt cho một tổng thể danh sách kiểm tra để theo dõi của bạn ở đâu trong quy trình.

  1. Trước tiên, hãy đảm bảo bạn đáp ứng tất cả các điều kiện tiên quyết.

    1. Từ nhiều điều kiện tiên quyết được phổ biến cho cả hai Skype for Business và Exchange, hãy xem bài viết tổng quan đối với danh sách kiểm tra trước yêu cầu của bạn. Thực hiện này trước khi bạn bắt đầu trong các bước trong bài viết này.

  2. Thu thập thông tin HMA cụ thể bạn sẽ cần trong tệp, hoặc OneNote.

  3. Bật bật xác thực hiện đại cho EXO (nếu nó không đã được bật).

  4. Bật bật xác thực hiện đại cho SFBO (nếu nó không đã được bật).

  5. Bật hỗn hợp xác thực hiện đại cho Exchange tại cơ sở.

  6. Bật hỗn hợp xác thực hiện đại cho Skype for Business trên cơ sở.

Lưu ý các bước sau đây bật MA cho SFB, SFBO, ỦA và EXO--đó là, tất cả các sản phẩm có thể tham gia vào một cấu hình HMA SFB và SFBO (bao gồm sự phụ thuộc vào ỦA/EXO). Nói cách khác, nếu người dùng của bạn được lưu trữ / có hộp thư được tạo trong bất kỳ phần nào của hỗn hợp (EXO + SFBO, EXO + SFB, ỦA + SFBO, hoặc ỦA + SFB), sản phẩm của bạn đã hoàn thành sẽ trông như thế này:

Một 6 hỗn hợp Skype for business HMA cấu trúc có MA trong tất cả bốn vị trí có thể xảy ra.

Như bạn có thể thấy có bốn vị trí khác nhau để bật MA! Để có trải nghiệm người dùng tốt nhất chúng tôi khuyên bạn bật MA trong tất cả bốn trong số các vị trí. Nếu bạn không thể bật MA trong tất cả các địa điểm, điều chỉnh các bước để bạn bật MA chỉ trong các vị trí được cần thiết cho môi trường của bạn.

Hãy xem chủ đề biết cho Skype for Business với MA cho topo được hỗ trợ.

Quan trọng  Kiểm tra rằng bạn đã thỏa mãn tất cả các điều kiện tiên quyết trước khi bạn bắt đầu. Bạn sẽ tìm thấy thông tin đó ở đây.

Thu thập tất cả các thông tin HMA cụ thể bạn sẽ cần

Sau khi bạn đã double-checked mà bạn đáp ứng điều kiện tiên quyết để sử dụng xác thực hiện đại (xem ghi chú ở trên), bạn nên tạo một tệp để giữ thông tin bạn cần để cấu hình HMA trong các bước trước. Ví dụ được sử dụng trong bài viết này:

  • Tên miền SIP/SMTP

    • Ví dụ: contoso.com (được liên kết với Office 365)

  • Đối tượng thuê ID

    • GUID đại diện cho đối tượng thuê Office 365 của bạn (ở login contoso.onmicrosoft.com).

  • SFB 2015 CU5 Web dịch vụ URL

Bạn sẽ cần nội bộ và bên ngoài web dịch vụ URL cho tất cả SfB 2015 hồ được triển khai.  Để có được những mục này, chạy sau từ Skype cho Business Management Shell:

Get-CsService - máy chủ web | Chọn đối tượng PoolFqdn, InternalFqdn, ExternalFqdn | FL

  • Ví dụ: nội bộ: https://lyncwebint01.contoso.com

  • Ví dụ: bên ngoài: https://lyncwebext01.contoso.com

Nếu bạn đang sử dụng một máy chủ phiên bản tiêu chuẩn, URL nội bộ sẽ để trống. Trong trường hợp này, sử dụng vùng chứa fqdn cho URL nội bộ.

Bật các xác thực hiện đại cho EXO

Hãy làm theo các hướng dẫn ở đây: Exchange Online: cách bật đối tượng thuê của bạn để xác thực hiện đại.

Bật các xác thực hiện đại cho SFBO

Hãy làm theo các hướng dẫn ở đây: Skype for Business Online: bật đối tượng thuê của bạn để xác thực hiện đại.

Bật hỗn hợp xác thực hiện đại cho Exchange tại cơ sở

Hãy làm theo các hướng dẫn ở đây: làm thế nào để cấu hình máy chủ Exchange tại cơ sở để sử dụng xác thực hiện đại hỗn hợp.

Bật hỗn hợp xác thực hiện đại cho Skype for Business trên cơ sở

Thêm tại cơ sở web URL của dịch vụ như SPNs trong Azure AD

Bây giờ bạn sẽ cần phải chạy các lệnh để thêm URL (đã thu thập Phiên bản cũ hơn) dưới dạng dịch vụ hiệu trong SFBO.

Ghi chú  Dịch vụ nợ gốc tên (SPNs) xác định dịch vụ web và kết hợp chúng với tài khoản chính bảo mật (chẳng hạn như một tên tài khoản hoặc nhóm) sao cho dịch vụ có thể hoạt động trên thay mặt người dùng được ủy quyền. Máy khách xác thực máy chủ Hãy sử dụng thông tin SPNs chứa trong đó.

  1. Trước tiên, kết nối với AAD với những hướng dẫn.

  2. Chạy lệnh này, tại cơ sở, để có danh sách SFB web dịch vụ URL.

    • Get-MsolServicePrincipal - AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Chọn - ExpandProperty ServicePrincipalNames

    Lưu ý rằng AppPrincipalId bắt đầu với '00000004'. Điều này tương ứng với Skype for Business Online.

    Thực hiện ghi chú của (và ảnh chụp màn hình để so sánh mới hơn) đầu ra lệnh này, mà sẽ bao gồm một SE và WS URL, nhưng hầu hết là bao gồm SPNs bắt đầu bằng 00000004-0000-0ff1-ce00-000000000000 /.

  3. Nếu nội bộ hoặc bên ngoài SFB URL từ tại cơ sở thiếu (ví dụ, https://lyncwebint01.contoso.com và https://lyncwebext01.contoso.com), chúng tôi sẽ cần phải thêm những bản ghi cụ thể vào danh sách này.

    Đảm bảo thay thế URL ví dụ, dưới đây, với URL thực tế của bạn trong thêm lệnh!

    • $x = get-MsolServicePrincipal - AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

    • $x.ServicePrincipalnames.Add (" https://lyncwebint01.contoso.com/")

    • $x.ServicePrincipalnames.Add (" https://lyncwebext01.contoso.com/")

    • Đặt-MSOLServicePrincipal - AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

  4. Xác nhận bản ghi mới của bạn đã được thêm bằng cách chạy lệnh Get-MsolServicePrincipal lại từ bước 2, và xem qua đầu ra. So sánh danh sách / ảnh chụp màn hình từ trước vào danh sách mới của SPNs (bạn có thể thêm ảnh chụp màn hình danh sách mới cho bản ghi của bạn). Nếu bạn đã thành công, bạn sẽ thấy hai URL mới trong danh sách. Cách đi theo ví dụ của chúng tôi, danh sách SPNs sẽ bao gồm công cụ thể URL https://lyncweb01.contoso.com và https://autodiscover.contoso.com.

Tạo đối tượng máy chủ EvoSTS Auth

Chạy lệnh sau đây trong Skype for Business Management Shell.

  • Mới CsOAuthServer-căn cước evoSTS - MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml - AcceptSecurityIdentifierInformation $true-loại AzureAD

Cho phép xác thực hiện đại hỗn hợp

Đây là bước thực sự bật MA.  Tất cả các bước trên đây có thể chạy trước buổi họp mà không thay đổi dòng xác thực máy khách.  Khi bạn đã sẵn sàng để thay đổi dòng xác thực, hãy chạy lệnh này trong Skype for Business Management Shell.

  • Đặt - CsOAuthConfiguration - ClientAuthorizationOAuthServerIdentity evoSTS

Xác minh

Khi bạn bật HMA, đăng nhập tiếp theo của máy khách sẽ sử dụng auth dòng mới. Lưu ý rằng chỉ bật HMA sẽ không kích hoạt một xác thực tái cho bất kỳ ứng dụng khách. Máy khách lại để xác thực dựa trên tuổi thọ của auth mã thông báo và/hoặc họ có Certs hàng.

Để kiểm tra HMA đang hoạt động sau khi bạn đã bật nó, đăng xuất khỏi một phép kiểm tra SFB Windows máy khách và đảm bảo bấm 'xóa chứng danh của tôi'. Đăng nhập lại. Máy khách bây giờ sẽ sử dụng dòng Auth hiện đại và đăng nhập của bạn sẽ bao gồm một lời nhắc Office 365 cho 'cơ quan hoặc trường học' tài khoản, Hiển thị ngay trước khi máy khách liên hệ với máy chủ và Nhật ký của bạn trong.

Bạn cũng nên kiểm tra 'Cấu hình thông tin' cho Skype cho Business máy khách cho một 'OAuth nhà cung cấp'. Để thực hiện điều này trên máy tính khách của bạn, nhấn giữ phím CTRL cùng một lúc bạn bấm chuột phải vào Skype for Business biểu tượng trên khay thông báo Windows. Bấm cấu hình thông tin trong menu xuất hiện. Trong cửa sổ 'Skype for Business cấu hình thông tin' sẽ xuất hiện trên máy tính, hãy tìm các thao tác sau:

Thông tin cấu hình một Skype cho Business máy khách bằng xác thực hiện đại Hiển thị Lync và EWS OAUTH nhà cung cấp URL của https://login.windows.net/common/oauth2/authorize.

Bạn cũng nên giữ phím CTRL đồng thời bạn bấm chuột phải vào biểu tượng cho ứng dụng khách Outlook (cũng trong khay thông báo Windows) và bấm 'Trạng thái kết nối'. Hãy tìm địa chỉ SMTP của máy khách đối với một kiểu Authn của 'Mang *', biểu thị mã thông báo mang được dùng trong OAuth.

Bài viết liên quan

Nối kết trở lại tổng quan xác thực hiện đại.

Bạn có cần biết cách sử dụng xác thực hiện đại (ADAL) cho Skype của bạn cho máy khách doanh nghiệp? Chúng tôi đã có các bước dưới đây.

Nào bạn muốn đọc các bước sau đây khi chúng xuất hiện đối với máy chủ Exchange tại cơ sở, chạy mà không cần SFB? Các bước này sẵn dùng ở đây.

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×