如何配置 Skype for Business 本地使用混合的现代身份验证

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

现代身份验证,是的提供了更安全的用户身份验证和授权,可用于 Skype for Business server 本地和 Exchange server 内部部署,以及拆分域 Skype for Business 混合身份管理方法。

重要 想要了解有关现代身份验证 (MA),您可能希望在您的公司或组织中使用的详细信息?检查此文档的概述。如果您需要知道什么 Skype for Business 拓扑支持 MA,下面介绍 !

开始之前,我呼叫:

  • 现代身份验证 > MA

  • 混合的现代身份验证 > HMA

  • Exchange 的本地 > EXCH

  • Exchange Online > EXO

  • Skype for Business 本地 > SFB

  • 和 Skype for Business Online > SFBO

此外,如果本文中的图形有一个对象具有灰显或灰显,则意味着灰色包括在 MA 特定配置中显示的元素。

阅读摘要

此摘要最终过程是: 到,可能否则迷失执行期间,非常适合整体检查表以跟踪您所在流程中的步骤。

  1. 首先,确保满足所有的先决条件。

    1. 许多先决条件以来是常见的两个 Skype for Business 和 Exchange,请参阅本文概述必备项清单。执行此之前开始任何本文中的步骤操作。

  2. 收集您需要在一个文件或 OneNote HMA 特定信息。

  3. 关闭打开的现代身份验证 EXO (如果尚未打开)。

  4. 关闭打开的现代身份验证 SFBO (如果尚未打开)。

  5. 打开本地 Exchange 混合现代身份验证。

  6. 打开混合现代身份验证 Skype for Business 本地。

请注意以下步骤打开 MA SFB、 SFBO、 EXCH,和 EXO-即,可以参与了 HMA 配置 SFB 和 SFBO (包括 EXCH/EXO 上的依赖项) 的所有产品。换言之,如果托管您的用户 / 混合 (EXO + SFBO、 EXO + SFB、 EXCH + SFBO,或 EXCH + SFB) 的任何部分创建邮箱,您已完成的产品将如下所示:

混合的 6 Skype for business HMA 拓扑具有 MA 中所有四个可能的位置。

您可以看到有四种不同的位置,以启用 MA !获得最佳用户体验,我们建议开启 MA 所有四个位置中。如果您不能打开 MA 所有这些位置中,调整的步骤,以便开启 MA 仅在所需的您的环境的位置。

请参阅支持的拓扑Skype for Business 与 MA 性主题

重要 仔细检查您已开始之前满足所有的先决条件。您将找到该信息下面

收集您需要的所有 HMA 特定信息

已核实,之后您满足先决条件要使用的现代身份验证 (请参见上面的说明),您应创建一个文件要保留的信息,您需要提前的步骤中配置 HMA。使用本文中的示例:

  • SIP/SMTP 域

    • 例如 contoso.com (联合使用 Office 365)

  • 租户 ID

    • GUID 表示 Office 365 租户 (位于 contoso.onmicrosoft.com 登录)。

  • SFB 2015 CU5 Web 服务 Url

对于所有 SfB 2015 池部署,您将需要内部和外部 web 服务 URL。 要获取这些问题,请从 Skype for Business Management Shell 运行以下:

获取 CsService web 服务器 |选择对象 PoolFqdn,InternalFqdn,ExternalFqdn |佛罗里达州

  • 内部如: https://lyncwebint01.contoso.com

  • 例如外部: https://lyncwebext01.contoso.com

如果您使用的 Standard Edition server,内部的 URL 将为空。在此例中,使用内部 URL 池 fqdn。

开启 EXO 的现代身份验证

按照说明进行操作: Exchange Online: 如何使您的租户的现代身份验证。

开启 SFBO 的现代身份验证

按照说明进行操作: Skype for Business Online: 启用的现代身份验证您的租户

打开本地 Exchange 混合现代身份验证

按照说明进行操作:如何配置 Exchange Server 的本地使用混合的现代身份验证

启用业务本地混合 Skype 现代身份验证

添加本地 Azure AD 中为 Spn web 服务 Url

现在,您需要运行命令来添加为 SFBO 中的服务主体 (收集更早版本) 的 Url。

注意 服务主体名称 (Spn) 识别 web 服务,并将它们与安全主体 (如帐户名或组) 关联,以便服务可以代表授权的用户操作。客户端到服务器进行身份验证发出的中包含的 Spn 信息的使用。

  1. 首先,连接到 AAD 与这些说明

  2. 运行此命令,在本地,以获取 SFB web 服务 Url 的列表。

    • 获取 MsolServicePrincipal-AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 |选择 ExpandProperty ServicePrincipalNames

    请注意,AppPrincipalId 开头是"00000004"。这对应于 Skype for Business Online。

    需要注意 (和更高版本的比较的屏幕截图) 此命令,包括 SE 和 WS URL,但大部分包含 00000004-0000-0ff1-ce00-000000000000 开头的 Spn 的输出 /。

  3. 如果内部外部 SFB Url 从本地缺少 (例如,https://lyncwebint01.contoso.com 和 https://lyncwebext01.contoso.com) 我们需要将这些特定记录添加到此列表。

    请务必,下面的示例 Url,替换您实际 Url 中添加命令 !

    • $x = 获取 MsolServicePrincipal-AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

    • $x.ServicePrincipalnames.Add (" https://lyncwebint01.contoso.com/")

    • $x.ServicePrincipalnames.Add (" https://lyncwebext01.contoso.com/")

    • 设置 MSOLServicePrincipal-AppPrincipalId 00000004-0000-0ff1-ce00-000000000000-ServicePrincipalNames $x.ServicePrincipalNames

  4. 验证您的新记录添加通过再次运行步骤 2 中的获取 MsolServicePrincipal 命令,通过输出进行查看。比较列表 / 的屏幕截图之前 Spn (您可能还屏幕截图的新列表为您的记录) 的新列表。如果您已成功,您将看到两个新列表中的 Url。将通过我们的示例,Spn 列表将现在包括特定 Url https://lyncweb01.contoso.com 和 https://autodiscover.contoso.com。

创建 EvoSTS 授权服务器对象

为业务 Management Shell 在 Skype 中运行以下命令。

  • 新 CsOAuthServer-标识 evoSTS-MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml-AcceptSecurityIdentifierInformation $true-类型 AzureAD

启用混合的现代身份验证

这是实际开启 MA 的步骤。 可以提前运行所有前面的步骤,而不更改客户端身份验证流。 若要更改的身份验证流,准备就绪后,运行此命令在 Skype for Business Management Shell。

  • 设置-CsOAuthConfiguration-ClientAuthorizationOAuthServerIdentity evoSTS

“验证”

一旦您启用 HMA,客户端的下一步登录将使用新的身份验证流。请注意,只需启用 HMA 不会触发重新进行身份验证的任何客户端。客户端重新进行身份验证基于的身份验证令牌和/或证书就生命周期。

若要测试之后您启用 HMA 正常工作,注销测试 SFB Windows 客户端,请务必单击删除我的凭据。再次登录。客户端现在应使用的现代身份验证流和您的登录将现在包括的工作或学校的Office 365提示看到右之前客户端与服务器联系,并登录您的帐户。

您还应检查配置信息的 Skype for Business 客户端 OAuth 颁发机构。若要在客户端计算机上执行此操作,请按住 CTRL 键的同时右键 Skype for Business 图标单击 Windows 通知任务栏中。在出现的菜单中,单击配置信息。在 Skype for Business 配置信息窗口中将显示在桌面上,请检查下列:

Skype for Business 客户端使用的现代身份验证的配置信息显示 Lync 和 https://login.windows.net/common/oauth2/authorize EWS OAUTH 颁发机构 URL。

您还应该 Outlook 客户端 (也在 Windows 通知任务栏) 中右键单击的图标的同时按住 CTRL 键并单击连接状态。查找客户端 SMTP 地址与持有者 *,它表示用于 OAuth 持有者令牌身份验证类型。

相关文章

返回到的现代身份验证概述的链接

您需要了解如何使用为您的 Skype for Business 客户端的现代身份验证 (ADAL)?我们提供了步骤下面

是否要阅读这些步骤所显示的 Exchange 服务器本地,没有 SFB 运行?此处提供的这些步骤。

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×