Implantar uma topologia de floresta de recursos
Importante
O Skype para Empresas Online operado pela 21Vianet na China será descontinuado a 1 de outubro de 2023. Se ainda não atualizou os seus utilizadores do Skype para Empresas Online, estes serão automaticamente agendados para uma atualização assistida. Se quiser atualizar a sua organização para o Teams, recomendamos vivamente que comece a planear o seu caminho de atualização hoje mesmo. Lembre-se de que uma atualização bem-sucedida alinha a preparação técnica e do utilizador, por isso, certifique-se de que tira partido da nossa documentação de orientação de atualização enquanto navega para o Teams.
O Skype para Empresas Online, excluindo o serviço operado pela 21Vianet na China, foi descontinuado a 31 de julho de 2021.
As secções seguintes descrevem como configurar um ambiente que tem várias florestas num modelo de floresta de recurso/utilizador para fornecer funcionalidade num cenário híbrido.
Requisitos de topologia
Há compatibilidade para múltiplas florestas de usuários. Considere o seguinte:
Para obter as versões suportadas do Lync Server e do Skype para Empresas Server numa configuração híbrida, veja Planear a conectividade híbrida.
O Exchange Server pode ser implementado numa ou mais florestas, que podem ou não incluir a floresta que contém o Skype para Empresas Server. Certifique-se de que aplicou a Atualização Cumulativa mais recente.
Para obter detalhes sobre a coexistência com o Exchange Server, incluindo critérios de suporte e limitações em várias combinações de no local e online, consulte Suporte de funcionalidades em Plano para integrar o Skype para Empresas e o Exchange.
Considerações de hospedagem do usuário
Os utilizadores do Skype para Empresas no local podem ter o Exchange no local ou online. Os utilizadores do Teams devem utilizar o Exchange Online para uma experiência ideal; no entanto, isto não é necessário. O Exchange no local não é necessário para implementar o Skype para Empresas em nenhum dos casos.
Configurar fidedignidades de floresta
Numa topologia de floresta de recursos, as florestas de recursos que alojam o Skype para Empresas Server têm de confiar em cada floresta de conta que contenha as contas dos utilizadores que acedem à mesma.
Se tiver várias florestas de utilizador, para ativar a autenticação entre florestas, é importante que o Encaminhamento de Sufixo de Nome esteja ativado para cada uma destas confianças de floresta. Para obter instruções, veja Managing Forest Trusts (Gerir Fidedignidades de Floresta).
Se tiver o Exchange Server implementado noutra floresta e o Exchange fornecer funcionalidades para utilizadores do Skype para Empresas, a floresta que aloja o Exchange tem de confiar na floresta que aloja o Skype para Empresas Server. Por exemplo, se o Exchange tiver sido implementado na floresta de contas, é necessária uma fidedignidade bidirecional entre a conta e as florestas do Skype para Empresas.
Sincronizar contas na floresta que aloja o Skype para Empresas
Suponha que o Skype para Empresas Server está implementado numa floresta (uma floresta de recursos), mas fornece funcionalidades aos utilizadores numa ou mais florestas (florestas de conta). Neste caso, os utilizadores nas outras florestas têm de ser representados como objetos de utilizador desativados na floresta onde o Skype para Empresas Server está implementado.
Tem de utilizar um produto de gestão de identidades, como o Microsoft Identity Manager, para aprovisionar e sincronizar os utilizadores das florestas de conta para a floresta onde o Skype para Empresas Server está implementado. Os utilizadores têm de ser sincronizados na floresta que aloja o Skype para Empresas Server como objetos de utilizador desativados. Os utilizadores não podem ser sincronizados como objetos de contacto do Active Directory, porque o Microsoft Entra Connect não sincroniza os contactos corretamente com o Microsoft Entra ID para utilização com o Skype.
Independentemente de qualquer configuração de várias florestas, a floresta que aloja o Skype para Empresas Server também pode fornecer funcionalidades para todos os utilizadores ativados que existam na mesma floresta.
Para obter a sincronização de identidades, os seguintes atributos precisam ser sincronizados:
| Florestas de utilizador | Florestas de recursos |
|---|---|
| atributo de link da conta escolhida |
atributo de link da conta escolhida |
| email |
email |
| ProxyAddresses |
ProxyAddresses |
| ObjectSID |
msRTCSIP-OriginatorSID |
O atributo de ligação de conta escolhido será utilizado como Âncora de Origem. Se tiver um atributo diferente e imutável que prefere utilizar, poderá fazê-lo; certifique-se de que edita a regra de afirmações do AD FS e selecione o atributo durante a configuração do Microsoft Entra Connect.
Não sincronize os UPNs entre as florestas. Tem de utilizar um UPN exclusivo para cada floresta de utilizador, uma vez que não pode utilizar o mesmo UPN em várias florestas. Como resultado, existem duas possibilidades: sincronizar o UPN ou não sincronizar.
Se o UPN exclusivo de cada floresta de utilizador não tiver sido sincronizado com o objeto associado desativado na floresta de recursos, o início de sessão único (SSO) será interrompido durante, pelo menos, a tentativa inicial de início de sessão (partindo do princípio de que o utilizador selecionou a opção para guardar a palavra-passe). No cliente do Skype para Empresas, partimos do princípio de que os valores SIP/UPN são os mesmos. Uma vez que o endereço SIP neste cenário é user@company.com, mas o UPN do objeto ativado na floresta do utilizador é, na verdade user@contoso.company.com, a tentativa inicial de início de sessão falharia e seria pedido ao utilizador que introduzisse as credenciais. Ao introduzir o UPN correto, o pedido de autenticação seria concluído em relação aos controladores de domínio na floresta do utilizador e o início de sessão seria bem-sucedido.
Se o UPN exclusivo de cada floresta de utilizador tiver sido sincronizado com o objeto desativado associado na floresta de recursos, a autenticação do AD FS falhará. A regra correspondente localizaria o UPN no objeto na floresta de recursos, que foi desativado e não podia ser utilizado para autenticação.
Criar uma organização do Microsoft 365
Terá de aprovisionar uma organização do Microsoft 365 para utilizar com a sua implementação. Para obter mais informações, consulte Subscrições, licenças, contas e inquilinos para as ofertas na cloud da Microsoft.
Configurar os Serviços de Federação do Active Directory
Assim que tiver um inquilino, terá de configurar os Serviços de Federação do Active Directory (AD FS) em cada uma das florestas de utilizador. Isto assume que você tem um SIP e endereço SMTP exclusivos, além de um UPN (nome principal de usuário) para cada floresta. O AD FS é opcional e é utilizado aqui para obter o início de sessão único (SSO). O DirSync com sincronização de senha também é suportado e também pode ser usado no lugar do AD FS.
Testamos somente implantações com SIP, SMPT e UPNs correspondentes. Não ter SIP/SMTP/UPNs correspondentes pode resultar numa funcionalidade reduzida, como problemas com a integração do Exchange e o SSO.
A menos que utilize um SIP/SMTP/UPN exclusivo para utilizadores de cada floresta, ainda pode deparar-se com problemas de SSO, independentemente de onde o AD FS está implementado:
Relações de uma ou duas vias entre florestas de recursos/usuários com o farm AD FS implantado em cada floresta de usuário, todos os usuários compartilham um domínio SIP/SMTP mas, o UPN é exclusivo para cada floresta de usuário.
Relações de duas vias entre florestas de recursos/usuários com o farm AD FS implantado somente na floresta de recurso, todos os usuários compartilham um domínio SIP/SMTP mas, o UPN é exclusivo para cada floresta de usuário.
Solucionamos os dois problemas ao usar um farm AD FS em cada floresta de usuário e um SIP/SMTP/UPN exclusivo para cada floresta. Apenas as contas dessa floresta de usuário específico poderiam ser pesquisadas e pareadas durante as tentativas de autenticação. Isto ajuda a fornecer um processo de autenticação mais totalmente integrado.
Esta implementação é uma implementação padrão do Windows Server 2012 R2 AD FS e deve estar a funcionar antes de continuar. Para obter instruções, consulte Como Instalar o AD FS 2012 R2 para o Microsoft 365.
Depois de implementada, tem de editar a regra de afirmações para corresponder à Âncora de Origem selecionada anteriormente. Na MMC do AD FS, em Confianças da Entidade Confiadora, clique com o botão direito do rato em Plataforma de Identidade do Microsoft 365 ou Plataforma de Identidade do Microsoft Office 365 e, em seguida, selecione Editar Regras de Afirmação. Edite a primeira regra e altere ObjectSID para employeeNumber.
Configurar o Microsoft Entra Connect
Nas topologias de floresta de recursos, é necessário que os atributos do utilizador da floresta de recursos e quaisquer florestas de conta sejam sincronizados com o ID do Microsoft Entra. A Microsoft recomenda que o Microsoft Entra Connect sincronize e intercale identidades de utilizador de todas as florestas que tenham ativado as contas de utilizador e a floresta que contém o Skype para Empresas. Para obter detalhes, consulte Configurar o Microsoft Entra Connect para o Skype para Empresas e o Teams.
Tenha em atenção que o Microsoft Entra Connect não fornece sincronização no local entre a conta e as florestas de recursos. Tem de ser configurado através do Microsoft Identity Manager ou de um produto semelhante, conforme descrito anteriormente.
Quando terminar e o Microsoft Entra Connect estiver a intercalar, se observar um objeto no metaverso, deverá ver algo semelhante ao seguinte:
Os atributos realçados a verde foram intercalados a partir do Microsoft 365, os amarelos são da floresta do utilizador e os azuis são da floresta de recursos.
Neste exemplo, o Microsoft Entra Connect identificou o sourceAnchor e o cloudSourceAnchor do utilizador e os objetos de floresta de recursos do Microsoft 365, neste caso 1101– o employeeNumber selecionado anteriormente. O Microsoft Entra Connect conseguiu intercalar este objeto com o que vê acima.
Para obter mais informações, consulte Integrar os diretórios no local com o Microsoft Entra ID.
O Microsoft Entra Connect deve ser instalado com as predefinições, exceto nas seguintes situações:
Início de sessão único – com o AD FS já implementado e a funcionar: selecione Não configurar.
Ligar os diretórios: adicione todos os domínios.
Identificar utilizadores em diretórios no local: selecione Identidades de utilizador existem em vários diretórios e selecione os atributos ObjectSID e msExchangeMasterAccountSID .
Identificar utilizadores no Microsoft Entra ID: Âncora de Origem: selecione o atributo que escolheu depois de ler Selecionar um bom atributo sourceAnchor, Nome Principal de Utilizador – userPrincipalName.
Funcionalidades opcionais: selecione se tem o Exchange híbrido implementado.
Nota
Se você tiver somente o Exchange Online, pode haver um problema com falhas de OAuth durante a descoberta automática devido ao redirecionamento de CNAME. Para corrigir este problema, terá de definir o URL de Deteção Automática do Exchange ao executar o seguinte cmdlet a partir da Shell de Gestão do Skype para Empresas Server:
Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svcFarm AD FS: selecione Usar um farm do AD FS do Windows Server 2012 R2 existente e insira o nome do servidor do AD FS.
Conclua o assistente e realize as validações necessárias.
Configurar a conectividade híbrida para o Skype para Empresas Server
Siga as melhores práticas para configurar o Skype para Empresas híbrido. Para obter mais informações, veja Planear a conectividade híbrida e Configurar a conectividade híbrida.
Configurar a conectividade híbrida para o Exchange Server
Se necessário, siga as práticas recomendadas para configuração híbrida do Exchange. Para obter mais informações, veja Implementações Híbridas do Exchange Server.