Teams und 3PIP-Phone

Inhaltsverzeichnis

SIP mit Teams
Firmware
RootCert
Was geht, was nicht?
Weitere Links

Achtung:
Der Support für 3PIP mit Microsoft Teams endet 1.8.2023. Diverse Hersteller bieten "Austauschprogramme" mit Rabatten für "Teams-Telefone" an.

Prüfen Sie ihre Alt-Telefone, ob sie vielleicht mit dem Teams SIP Gateway genutzt werden können.

Microsoft Teams ist mit Skype for Business Online nicht zu vergleichen. Zwar können Sie mit beiden Produkten einen Status sehen, Kurzmitteilungen übertragen, Konferenzen abhalten und sogar telefonieren, aber der technische Unterbau ist komplett anders. Skype for Business und damit auch entsprechende Telefone nutzen das bekannte Protokoll SIP während Teams überwiegend auf HTTPS setzt. Das bedeutet natürlich auch Änderungen bei "Tischtelefonen", wenn diese mit Teams weiter funktionieren sollen. Als Beispiel nutze ich ein Audiocodes 430HD.

Diese Beschreibung ist für Sie nur relevant, wenn Sie mit Teams auch Telefonieren und daher im "Teams Only"-Mode sind. Ansonsten landen eingehende Telefonate in Skype for Business.

We also realize that being able to use existing hardware can provide important cost savings when moving to a new phone system. Today, we are announcing extended support for Skype for Business (3PIP) phones beyond 2023, so you can continue to use your existing Skype for Business phones as you move to Teams. Additionally, we will be supporting core calling features on SIP phones from Cisco, Yealink, Polycom, and others with Teams. Support for SIP phones will be available in the first half of 2021.
https://www.microsoft.com/en-us/microsoft-365/blog/2020/08/03/take-communnext-level-microsoft-teams/
Teams und SIP-Telefone

SIP mit Teams

Microsoft wird langfristig die komplette Kommunikation Richtung Teams upgraden und damit auch die Unterstützung für SIP einstellen. Erste Zeichen dazu gibt es ja, weil Teams schon mal kein SIP mehr spricht und Skype for Business Online im Juni 2021 abgeschaltet werden soll. Im April 2019 wurde schon durch den Zwang zu TLS 1.2 eine Vorentscheidung getroffen, so dass von den drei Telefonklassen eigentlich nur noch drei Optionen übrig bleiben und die 3PIP-Option nach dem 31. Jul 2023 ohne Funktion sein werden.

Telefontyp	Teams Kompatibilität	Beschreibung
Lync Phone Edition (LPE)	Nein	Diese Telefone können aufgrund ihres Alters und der damit damals verbauten Hardware kein SIP/TLS 1.2. Microsoft hat im Oktober 2018 den Zwang für TLS 1.2 in der Cloud eingeführt und diese Telefone sind im April 2018 aus der Wartung gelaufen. Der Unterbau war ein Windows CE. Lync/Skype for Business Telefone TLS 1.2 Enforcement
3rd Party IP Phone ( 3PIP)	Über SIP Gateway EOL: 31. Jul 2023	Diese Telefone können vom Hersteller im Rahmen einer Aktualisierung eine Firmware für Teams erhalten. Allerdings nutzen diese Telefone dann weiterhin SIP mit TLS 1.2 gegen ein Skype for Business Online Backend, welches nur für die Telefone von Microsoft betrieben wird. Software und Unterbau kommen vom Hersteller und war häufig Linux. Teams Phone Plattform Skype for Business phones (3PIP) support with Microsoft Teams https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Skype-for-Business-phones-3PIP-support-with-Microsoft-Teams/ba-p/789351
Teams Telefone	Ja	Diese neuen Telefone basieren auf Android 5 oder höher und können vom Hersteller mit einer nativen "Teams App" versehen werden. Technisch handelt es sich wohl um die normale Teams für Android-App, die aber auf diesen Telefonen dann optimierte Funktionen anbietet. Der Hersteller kümmert sich um Produktion, Vertrieb und das darunterliegende Android, während Microsoft die darauf allein laufende App bereitstellt und ein Management per Intune möglich ist. Teams Telefone
Analoge Telefone	SBC	Niemand verbietet ihnen im Verbindung mit Direct Routing auch weiterhin am eigenen Session Border Controller eigene Telefone, DECT-Stationen oder ganze PBX-Systeme anzubinden. Sie können problemlos mit Teams telefonieren aber sind nicht wirklich Bestandteil von "Teams"

Wenn Sie heute Telefone kaufen, dann sollten Sie unbedingt auf die "Teams Telefone" achten. Allerdings muss ich dazu sagen, dass die Qualität der Software

Firmware

Zuerst sollten sie prüfen, ob es eine aktuelle Firmware für ihr bisherigen 3PIP-Telefon gibt. Ich habe hier mal als Muster mein Audiocodes 430HD genommen. Laut Microsoft Zertifizierung ist nur das 450HD gelistet aber Audiocodes stellt für alle Telefone eine "Teams kompatible" Firmware bereit

Über die URL https://www.audiocodes.com/library/firmware kommen Sie direkt ohne Anmeldung an die Firmware (Stand. Okt 2019). Auch die anderen Hersteller bemühen sich natürlich für noch vor kurzem aktiv verkauften Telefone entsprechende Updates bereit zu stellen.

Audiocodes
https://www.audiocodes.com/library/firmware
Premium Phone for Microsoft Teams Yealink T58A
https://www.yealink.com/products_99.html
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=121

Die Firmware müssen Sie installieren und je nach Hersteller die Betriebsart auf SfB oder vielleicht schon Teams umstellen:

Auch ein Blick auf die Codecs zeigt, dass hier SILK als erste Codec eingestellt wurde.

Mit Skype oder Teams gibt es natürlich noch unterschiedliche Anmeldearten. Die Anmeldung mit der "Web Cloud" ist natürlich sehr bequem.

Sie klicken auf dem Telefon einfach auf die Softkey-Taste zum Weblogin und das Telefon holt sich einen Einmalcode, der 15 Minuten gültig ist.

Sie surfen dann von ihrem PC die URL "https://aka.ms/sphone" an und geben den Code ein.

Wenn Sie auf ihrem PC schon mit Office 365 angemeldet sind, werden sie nicht mal nach den Anmeldedaten gefragt. Allerdings kann es sein, dass das Telefon sich nun ja "in ihrem Namen" anmelden möchte. Wenn der Administrator diese Berechtigung nicht pauschal für den Tenant vergeben hat, dann können Sie dies als Anwender für ihr Konto gewähren

Beim zweiten Mal kommt dann nur noch die Rückfrage nach dem Konto und die Bestätigung:

Je nach Firmenrichtlinie könnte es sein, dass Sie auf dem Telefon noch eine PIN eingeben müssen, um das Telefon nach längerer Inaktivität zu entsperren. Danach ist das Telefon angemeldet

RootCert

Mittlerweile sind alle Zertifikate maximal 1 Jahr gültig und manchmal tauscht Microsoft auch den "Issuer" und das Root-Zertifikat. Nicht immer sind die neuen RootCAs aber in jedem Endgerät hinterlegt. So war es auch bei mir, dass mein 430HD eines Tages mit folgender Meldung die Anmeldung verweigert:

Eine Analyse der Logs liefert ersten Hinweise:

Jun 17 13:11:30 430HD user.err syslog[462]: 72    [Voip:MTF-1][acl_user_tls_server_validation:772] server cert is invalid. ctx->error=20 unable to get local issuer certificate
Jun 17 13:11:30 430HD user.err syslog[462]: 73    [Voip:MTF-1][sip_stack_log:11397] ERROR  - TLS          - RvTLSSessionClientHandshake: session (0x1064988) ,
                                                                                       general error - , file - NA, line - 0
Jun 17 13:11:30 430HD user.err syslog[462]: 74    [Voip:MTF-1][sip_stack_log:11397] ERROR  - TRANSPORT    - TlsContinueHandshake - Connection 0x0x1069f18: 
                                                                                       Call to handshake failed side=1 closing connection, (rv=-512)
Jun 17 13:11:30 430HD user.err syslog[462]: 75    [Voip:MTF-1][sip_stack_log:11397] ERROR  - TRANSPORT    - TransportTcpEventCallback - connection 0x0x1069f18: Error handling event 1
Jun 17 13:11:30 430HD user.warn syslog[462]: 76   [Voip:MTF-1][acl_lync_transport_connection_tls_state_changed_ev:1050] validate server certificate fail, try to renew root certificate.
Jun 17 13:12:01 430HD user.warn syslog[462]: 125  [Voip:MTF-1][acl_lync_transport_connection_tls_state_changed_ev:1050] validate server certificate fail, try to renew root certificate.
Jun 17 13:14:43 430HD user.err syslog[462]: 238   [Voip:MTF-1][acl_user_tls_server_validation:772] server cert is invalid. ctx->error=20 unable to get local issuer certificate

Die Verbindung zum Server "sipfed0A.online.lync.com:443" scheint nicht zu klappen. Ich habe mir dann mittels Get-TCPCert das Zertifikat geholt und Aussteller ist:

Es ist gut zu sehen, dass das Zertifikat am 8.6, also ca. 9 Tage vorher getauscht wurde und ich zufällig durch einen MSXFAQ-Leser dazu gefragt wurde. So konnte ich den Fehler auf meinem 430HD nachvollziehen. Ich habe dann das Root-Cert als Datei exportiert und im Telefon importiert:

Nach dem obligatorischen Neustart hat sich das Telefon umgehend angemeldet. Wenn ihr Telefon auch daran scheitert, habe ich ihnen das RootCA von Digicert verlinkt

Die neueren Telefone haben wohl mit der Firmware 3.4.6.537 oder neue schon das RootCA. Aber für mein älteres 430HD ist 3.2.1.580 am 17.6.2022 noch die aktuellste Firmware.

DigiCert Global Root G2' certificate
https://global-root-g2.chain-demos.digicert.com/info/index.html

Ich hoffe dass Audiocodes in einem nächsten Firmware Update das RootCA gleich einbindet.

Get-TCPCert
Office TLS Certificate Changes
https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide
TLS-Zertifikatänderungen für Azure
https://docs.microsoft.com/de-de/azure/security/fundamentals/tls-certificate-changes
Skype for Business Online Service SSL certificate changes for client connectivity
https://support.microsoft.com/en-us/topic/skype-for-business-online-service-ssl-certificate-changes-for-client-connectivity-08b46dc6-5f8f-4de2-9f61-f1c59ebd1476
Sie können sich nicht bei Skype for Business Online anmelden, da das Zertifikat nicht abgerufen oder überprüft werden kann.
https://docs.microsoft.com/de-de/skypeforbusiness/troubleshoot/online-sign-in/cant-sign-into-sfb-online

Was geht, was nicht?

Microsoft hat auf der folgenden Seite gut gegenübergestellt, was alles schon geht oder gehen sollte:

Skype for Business Certified IP Phones with Microsoft Teams
https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Skype-for-Business-Certified-IP-Phones-with-Microsoft-Teams/ba-p/286073

Allerdings hängt es letztlich von der Firmware und dem Telefon, was geht und was sinnvoll ist. Der Zugriff auf Termine und Kalender macht auf einem Telefon ohne ausreichendes Display keinen Sinn.

Sagen wir mal so: man kann damit anrufen und angerufen werden. Auch Vermittlungsfunktionen sind möglich und verpasste Nachrichten als auch Voicemail funktionieren.

Ein Freund der Telefone werde ich aber dennoch nicht, wenn Sie ansonsten mit Teams arbeiten. Vielleicht machen es Teams-Telefone mit großen Touch-Display besser aber die klassischen SIP-Tischtelefone erscheinen mir mit ihrem "Ziffernfeld" immer mehr als Dinosaurier, die langsam aussterben. Nach dem 31. Juni 2023 ist es damit aber vorbei.

Weitere Links

SfBOnline Ende
OAUTH und 3PIP
Deadline 15 Jan 2020: TelefonApp in Azure freischalten
Teams Telefone
Teams und Telefone
Teams Phone Plattform
Direct Routing
Skype for Business phones (3PIP) support with Microsoft Teams
https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Skype-for-Business-phones-3PIP-support-with-Microsoft-Teams/ba-p/789351
Skype for Business Certified IP Phones with Microsoft Teams
https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Skype-for-Business-Certified-IP-Phones-with-Microsoft-Teams/ba-p/286073
Devices for Microsoft Teams
https://dmunified.com/2018/11/15/devices-for-microsoft-teams/
Maintaining Microsoft Teams connectivity for 3PIP phones AMA
http://aka.ms/Teams3PIPPhoneAMA