共用方式為


在 商務用 Skype Online 與 Exchange Server 之間設定整合和 OAuth

設定 Exchange 伺服器與 商務用 Skype Online 之間的整合,可啟用功能支援中所述的商務用 Skype和 Exchange 整合功能。

本主題適用于與 Exchange Server 2013 到 2019 的整合。

開始之前,您需要知道什麼?

設定Exchange Server與 O365 之間的整合

步驟 1:在 Exchange Server 和 O365 之間設定 OAuth 驗證

執行下列文章中的步驟:

在 Exchange 和 Exchange Online 組織之間設定 OAuth 驗證

步驟 2:為商務用 Skype線上合作夥伴應用程式建立新的郵件使用者帳戶

此步驟已在 Exchange 伺服器上完成。 它會建立郵件使用者並指派適當的管理角色許可權。 然後在下一個步驟中使用此帳戶。

為您的 Exchange 組織指定已驗證的網域。 此網域應與內部部署 Exchange 帳戶使用的主要 SMTP 網域相同。 在下列程式中,此網域稱為 < 您的驗證網域 > 。 此外, < DomainControllerFQDN > 應該是網域控制站的 FQDN。

$user = New-MailUser -Name SfBOnline-ApplicationAccount -ExternalEmailAddress SfBOnline-ApplicationAccount@<your Verified Domain> -DomainController <DomainControllerFQDN>

此命令會在通訊清單中隱藏新的郵件使用者。

Set-MailUser -Identity $user.Identity -HiddenFromAddressListsEnabled $True -DomainController <DomainControllerFQDN>

接下來兩個命令會將 UserApplication 和 ArchiveApplication 管理角色指派至此新帳戶。

New-ManagementRoleAssignment -Role UserApplication -User $user.Identity -DomainController <DomainControllerFQDN>
New-ManagementRoleAssignment -Role ArchiveApplication -User $user.Identity -DomainController <DomainControllerFQDN>

步驟 3:建立並啟用 商務用 Skype Online 的合作夥伴應用程式

建立新的合作夥伴應用程式,並使用您剛才建立的帳戶。 在內部部署 Exchange 組織中的 Exchange PowerShell 中執行下列命令。

New-PartnerApplication -Name SfBOnline -ApplicationIdentifier 00000004-0000-0ff1-ce00-000000000000 -Enabled $True -LinkedAccount $user.Identity

步驟 4:匯出內部部署授權憑證

執行 PowerShell 腳本以匯出內部部署授權憑證,您會在下一個步驟匯入至您的 商務用 Skype Online 組織。

將下列文字儲存到 PowerShell 腳本檔案,例如 ExportAuthCert.ps1。

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((test-path $env:SYSTEMDRIVE\OAuthConfig) -eq $false) {
    md $env:SYSTEMDRIVE\OAuthConfig
}
cd $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

在內部部署 Exchange 組織中的 Exchange PowerShell 中,執行您剛才建立的 PowerShell 腳本。 例如:.\ExportAuthCert.ps1

步驟 5:將內部部署授權憑證上傳至 Microsoft Entra ACS

接下來,使用Windows PowerShell上傳您在上一個步驟匯出的內部部署授權憑證,以Microsoft Entra 存取控制服務 (ACS) 。 若要這麼做,必須安裝適用于 Windows PowerShell Cmdlet 的 Azure Active Directory 模組。 如果尚未安裝,請移至 https://aka.ms/aadposh 安裝適用于 Windows PowerShell 的 Azure Active Directory 模組。 安裝適用于 Windows PowerShell 的 Azure Active Directory 模組之後,完成下列步驟。

  1. 按一下 Windows PowerShell 快捷方式的 Azure Active Directory 模組,開啟已安裝Microsoft Entra Cmdlet 的Windows PowerShell工作區。 此步驟中的所有命令都會使用 Microsoft Entra ID 主機的Windows PowerShell執行。

  2. 將下列文字儲存到 PowerShell 腳本檔案,例如 UploadAuthCert.ps1

    Connect-MgGraph
    Import-Module Microsoft.Graph
    $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
    $objFSO = New-Object -ComObject Scripting.FileSystemObject
    $CertFile = $objFSO.GetAbsolutePathName($CertFile);
    $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
    $cer.Import($CertFile)
    $binCert = $cer.GetRawCertData();
    $credValue = [System.Convert]::ToBase64String($binCert)
    $ServiceName = "00000004-0000-0ff1-ce00-000000000000"
    $p = Get-MgServicePrincipal -ServicePrincipalId $ServicePrincipalNames
    Add-MgServicePrincipalKey -ServicePrincipalId $servicePrincipalId -Type asymmetric -Usage Verify -Value $credValue
    
  3. 執行您在上一個步驟中建立的 PowerShell 腳本。 例如:.\UploadAuthCert.ps1

  4. 腳本啟動之後,會顯示 [認證] 對話方塊。 輸入 Microsoft Online Microsoft Entra組織的租使用者系統管理員帳號憑證。 執行腳本之後,將Microsoft Entra會話的Windows PowerShell保持開啟。 您將會在下一個步驟中使用此功能來執行 PowerShell 腳本。

步驟 6:確認憑證已上傳至商務用 Skype服務主體

  1. 在開啟並驗證為Microsoft Entra識別碼的 PowerShell 中,執行下列動作

    Get-MgServicePrincipal -ServicePrincipalId 00000004-0000-0ff1-ce00-000000000000
    
  2. 出現 ReturnKeyValues 提示時按 Enter

  3. 確認您看到列出的開始日期和結束資料符合 Exchange Oauth 憑證開始和結束日期的金鑰

確認您的成功

確認某些功能是否正常運作,以確認設定正確無誤。

  1. 確認商務用 Skype擁有雲端語音信箱服務的使用者,在具有混合式Exchange Server設定的組織中,可以順利變更他們的語音信箱問候語。

  2. 確認行動用戶端的交談記錄顯示在 Outlook [交談記錄] 資料夾中。

  3. 確認已封存的聊天訊息會儲存在使用者的內部部署信箱中,並使用 EWSEditor清除資料夾。

或者,查看您的交通狀況。 OAuth 交會的流量非常特別 (,看起來不像基本驗證) , 特別是領域,您會開始在傳遞的權杖中看到看起來像這樣的發行者流量:00000004-0000-0ff1-ce00-0000000000@ (在 @ 符號) 之前有 /。 您不會看到使用者名稱或密碼,也就是 OAuth 的重點。 但您會看到「Office」發行者,在此情況下「4」是商務用 Skype,以及您的訂閱領域。

如果您想要確定自己已成功使用 OAuth,請確定您知道預期的情況,並知道流量應該的外觀。 以下是預期的結果

以下是 設定一個的範例,但您可以使用任何您想要合併此程式的網路追蹤工具。

在 Exchange 和 Exchange Online 組織之間設定 OAuth 驗證