Configurare l'integrazione e OAuth tra Skype for Business Online e Exchange Server
La configurazione dell'integrazione tra Exchange Server e Skype for Business Online abilita le caratteristiche di integrazione di Skype for Business ed Exchange descritte in Supporto delle caratteristiche.
Questo argomento si applica all'integrazione con Exchange Server 2013-2019.
Cosa c'è da sapere prima di iniziare?
Tempo stimato per completare questa attività: 15 minuti
Prima di eseguire questa procedura o queste procedure, è necessario che siano assegnate le autorizzazioni. Per informazioni sulle autorizzazioni necessarie, vedere l'argomento Autorizzazioni per l'infrastruttura di Exchange e Shell .
Per informazioni sulle scelte rapide da tastiera che possono essere applicate alle procedure descritte in questo argomento, vedere Scelte rapide da tastiera nell'interfaccia di amministrazione di Exchange.
Per informazioni sulla compatibilità, vedere compatibilità Skype for Business con le app di Office.
Configurare l'integrazione tra Exchange Server e Office 365
Passaggio 1: Configurare l'autenticazione OAuth tra Exchange Server e Office 365
Eseguire i passaggi descritti nell'articolo seguente:
Configurare l'autenticazione OAuth tra Exchange e le organizzazioni Exchange Online
Passaggio 2: Creare un nuovo account utente di posta elettronica per l'applicazione partner di Skype for Business Online
Questo passaggio viene eseguito sul server Exchange. Creerà un utente di posta elettronica e gli assegnerà i diritti di ruolo di gestione appropriati. L'account verrà quindi usato nel passaggio successivo.
Specificare un dominio verificato per l'organizzazione di Exchange. Questo dominio deve essere lo stesso usato come dominio SMTP primario usato per gli account di Exchange locale. Questo dominio è definito <dominio> verificato nella procedura seguente. Inoltre, domainControllerFQDN <> deve essere l'FQDN di un controller di dominio.
$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>
Questo comando nasconde il nuovo utente di posta elettronica dagli elenchi di indirizzi.
Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>
Questi due comandi successivi assegneranno il ruolo di gestione UserApplication e ArchiveApplication a questo nuovo account.
New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>
New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>
Passaggio 3: Creare e abilitare un'applicazione partner per Skype for Business Online
Creare una nuova applicazione partner e usare l'account appena creato. Eseguire il comando seguente in Exchange PowerShell nell'organizzazione di Exchange locale.
New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity
Passaggio 4: Esportare il certificato di autorizzazione locale
Eseguire uno script di PowerShell per esportare il certificato di autorizzazione locale, che verrà importato nell'organizzazione di Skype for Business Online nel passaggio successivo.
Salvare il testo seguente in un file di script di PowerShell denominato, ad esempio, ExportAuthCert.ps1.
$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)
In Exchange PowerShell nell'organizzazione di Exchange locale eseguire lo script di PowerShell appena creato. Ad esempio: .\ExportAuthCert.ps1
Passaggio 5: Caricare il certificato di autorizzazione locale in Microsoft Entra ACS
Usare quindi Windows PowerShell per caricare il certificato di autorizzazione locale esportato nel passaggio precedente in servizi di Microsoft Entra Controllo di accesso. A questo scopo, è necessario che il modulo di Azure Active Directory per Windows PowerShell cmdlet sia già installato. Se non è installato, passare a https://aka.ms/aadposh installare il modulo di Azure Active Directory per Windows PowerShell. Completare la procedura seguente dopo aver installato il modulo di Azure Active Directory per Windows PowerShell.
Fare clic sul collegamento modulo di Azure Active Directory per Windows PowerShell per aprire un'area di lavoro di Windows PowerShell in cui sono installati i cmdlet Microsoft Entra. Tutti i comandi di questo passaggio verranno eseguiti usando il Windows PowerShell per Microsoft Entra console ID.
Salvare il testo seguente in un file di script di PowerShell denominato, ad esempio .
UploadAuthCert.ps1
Connect-MgGraph Import-Module Microsoft.Graph $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer" $objFSO = New-Object -ComObject Scripting.FileSystemObject $CertFile = $objFSO.GetAbsolutePathName($CertFile); $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate $cer.Import($CertFile) $binCert = $cer.GetRawCertData(); $credValue = [System.Convert]::ToBase64String($binCert) $ServiceName = "00000004-0000-0ff1-ce00-000000000000" $p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue
Eseguire lo script di PowerShell creato nel passaggio precedente. Ad esempio:
.\UploadAuthCert.ps1
Dopo aver avviato lo script, viene visualizzata una finestra di dialogo delle credenziali. Immettere le credenziali per l'account amministratore tenant dell'organizzazione microsoft online Microsoft Entra. Dopo aver eseguito lo script, lasciare aperta la Windows PowerShell per Microsoft Entra sessione. Verrà usato per eseguire uno script di PowerShell nel passaggio successivo.
Passaggio 6: Verificare che il certificato sia stato caricato nell'entità servizio di Skype for Business
In PowerShell aperto e autenticato con ID Microsoft Entra, eseguire le operazioni seguenti
Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000
Premere INVIO quando viene richiesto di restituire ReturnKeyValues
Verificare che sia elencata una chiave con i dati di inizio e di fine corrispondenti alle date di inizio e di fine del certificato Oauth di Exchange
Verifica il tuo successo
Verifica che la configurazione sia corretta verificando che alcune delle funzionalità funzionino correttamente.
Verificare che Skype for Business gli utenti con Cloud Voicemail servizio, in un'organizzazione con una configurazione di Exchange Server ibrida, possano modificare correttamente il messaggio di saluto della segreteria telefonica.
Verificare che la cronologia delle conversazioni per i client mobili sia visibile nella cartella Cronologia conversazioni di Outlook.
Verificare che i messaggi di chat archiviati vengano depositati nella cassetta postale locale dell'utente nella cartella Purges utilizzando EWSEditor.
In alternativa, controlla il traffico. Il traffico in un handshake OAuth è molto distintivo (e non ha l'aspetto dell'autenticazione di base), in particolare nelle aree di autenticazione, dove inizierai a vedere il traffico dell'emittente simile al seguente: 00000004-0000-0ff1-ce00-00000000000@ (a volte con un / prima del segno @), nei token che vengono passati. Non verrà visualizzato un nome utente o una password, che è il punto di OAuth. Ma vedrai l'emittente di "Office", in questo caso "4" è Skype for Business, e l'area di autenticazione del tuo abbonamento.
Se vuoi essere certo di usare correttamente OAuth, assicurati di sapere cosa aspettarsi e di sapere quale dovrebbe essere l'aspetto del traffico. Ecco cosa aspettarsi.
Ecco un esempio di configurazione, ma è possibile utilizzare qualsiasi strumento di traccia di rete che si desidera intraprendere questo processo.
Argomenti correlati
Configurare l'autenticazione OAuth tra Exchange e le organizzazioni Exchange Online