OAUTH und 3PIP
Nutzen Sie Skype for Business Online mit Telefonen von Audiocodes, Yealink, Poly, Crestron? Dann müssen Sie bis 15. Jan 2020 eine aktuelle Firmware verteilen und die Applikation im Office 365 Tenant zulassen. Ansonsten können sich die Telefone nicht mehr anmelden.
Achtung: Deadline 15. Jan 2020
We also realize that being able to use
existing hardware can provide important cost savings when
moving to a new phone system. Today, we are announcing
extended support for Skype for Business (3PIP) phones beyond
2023, so you can continue to use your existing Skype for
Business phones as you move to Teams. Additionally, we will
be supporting core calling features on SIP phones from
Cisco, Yealink, Polycom, and others with Teams. Support for
SIP phones will be available in the first half of 2021.
https://www.microsoft.com/en-us/microsoft-365/blog/2020/08/03/take-communnext-level-microsoft-teams/
Teams und SIP-Telefone
Auslöser
Lange Zeit konnten sich Benutzer einfach mit "Benutzername und Kennwort" an Cloud-Diensten anmelden. Das öffnet aber Tür und Tor für Angriffe auf Konten mit kennwortlisten (Password Spray, Phising etc.) und viele Administratoren müssen den Zugang auf die Daten z.B. auf bestimmte Geräte beschränken. Aus dem Grund gibt es schon lange mit OAUTH ein Verfahren, bei dem sich ein Anwender mit einem Geräte oder Programm anmeldet. Genau das passiert nun ebenfalls mit den Telefonen.
Jeder Hersteller hat dazu den Code entsprechend erweitert, dass er bei der Anmeldung nicht nur die übergebenen Benutzernamen und Kennwort übermittelt, sondern auch das Gerät bzw. der Code sich gegen die Cloud legitimiert. Entsprechend können Sie als Administrator und Microsoft als Betreiber sehr viel feiner erkennen und steuern, welche Anmeldungen erlaubt sind.
- Authentifizierung im Wandel der Zeit
- Azure Conditional Access
- OAuth 2.0 and third-party application ID
https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/OAuth-2-0-and-third-party-application-ID/ba-p/482876 - Permissions and consent in the Microsoft identity platform endpoint
https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent
Einstellungen
Damit genau dies aber nach dem 15. Januar 2020 auch noch weiter funktioniert, müssen Sie als Tenant-Administrator aktiv werden und die "Telefone" in ihrem Tenant als legitime Clients freischalten. Die jeweiligen Applikationen sind in Office 365 schon hinterlegt aber eben auf ihrem Tenant noch nicht zugelassen.
Microsoft hat diese Information schon am 25. April 2019 veröffentlicht. Ich bin aber sicher, dass es noch gar nicht alle Administratoren umgesetzt haben.
All certified Skype for Business IP phones must be updated by January 15, 2020.
Quelle:
https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/OAuth-2-0-and-third-party-application-ID/ba-p/482876
Zum Glück hat hier jeder Hersteller entsprechende Seiten bereitgestellt. Der erste Link ist die Anleitung des Herstellers und der zweite Link führt direkt zur Freischaltung in dem Tenant, in dem Sie als Administrator im entsprechenden Browser gerade angemeldet sind.
- Crestron
https://support.crestron.com/app/answers/answer_view/a_id/1000349
https://login.microsoftonline.com/common/adminconsent?client_id=79de0e1a-a797-4c17-abe8-bff3debd8d23
- AudioCodes
https://online.audiocodes.com/oauth-2-0-appid
https://login.microsoftonline.com/common/adminconsent?client_id=da7b5888-f76d-4244-9688-afac90a03d49
- Yealink
https://www.yealink.com/news_187.html
https://login.microsoftonline.com/common/adminconsent?client_id=f1faadeb-88b3-4852-8138-3b9e23b24619 - Poly
https://support.polycom.com/content/dam/polycom-support/products/voice/polycom-uc/other-documents/en/2019/microsoft-online-registration-azure-application-id.pdf
https://login.microsoftonline.com/common/adminconsent?client_id=a850aaae-d5a5-4e82-877c-ce54ff916282
Ich bin sicher, dass die gleichen Einstellungen auch per Azure PowerShell möglich sein sollten, aber ich habe die Befehle dazu nicht ermittelt. Bei der Vergabe von Berechtigungen ist eine visuelle Kontrolle über eine Webseite ratsam. Interessant ist, dass die verschiedenen Hersteller unterschiedliche Berechtigungen einfordern.
Es kann durchaus sein, dass die Geräte zukünftig weitere Funktionen implementieren und dazu zusätzliche Rechte benötigen.
Kontrolle
Die soeben neu addierten Applikationen finden Sie im Azure-Portal (https://portal.azure.com) unter den Enterprise Applications. Direkt nach dem addieren finden Sie Änderungen einfach im Audit-Log
Testen?
Die Eintragungen werden sehr schnell aktiv. Damit ihre Telefone auch davon profitieren, müssen Sie natürlich auch eine entsprechend aktuelle Firmware vorweisen können. Erst dann senden die Clients an den Service ein "Authorization:Bearer" mit, was die Gegenstelle dann als Indikator für einen "Modern Authentication"-Support bewertet und die OAuth-Url ausliefert. Es liegt dann natürlich am Client dies auch anzuwenden.
Übe den Punkt "Sign-Ins" sehen Sie die letzen Anmeldungen der Apps samt Username, Client-IP und eventuell angewendete "Conditional Access"-Regeln-,
Über die Punkt "Users and Groups" sehen Sie alle Anwender, die die App bislang genutzt haben.
Die App ist so eingestellt, dass sich Anwender "selbst registrieren" können. Allerdings ist Sie auch so eingestellt, dass die App im Portal der Anwender angezeigt wird, was eigentlich keinen Sinn macht. Das können Sie in den Properties schnell korrigieren. Hier einmal am Beispiel von Polycom dargestellt
Stellen Sie diesen Wert einfach auf "No", damit die App nicht im Portal erscheint.
Weitere Links
- Authentifizierung im Wandel der Zeit
- Password Spray
- Teams Telefone
- Teams und Telefone
- Teams Phone Plattform
- Direct Routing
- Permissions and consent in the Microsoft identity platform endpoint
https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent - All Skype for Business IP Phones
must be firmware updated by
July 1st 2019 to continue to
sign into Office 365
https://tomtalks.blog/2019/04/all-skype-for-business-ip-phones-must-be-firmware-updated-by-july-1st-2019-to-continue-to-sign-into-office-365/