Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Microsoft Teams: How to authorize a Yealink Phone (Sip Phone) to connect to a Sonus/Ribbon Gateway when Team Services are not available

Posted by Teruin laurent sur février 12, 2020


You can set the Yealink Phone (T58A,T56A,T55A) to be able to connect to a Sonus/Ribbon Gateway if it lost the connection to Microsoft Teams,



When the connection to the Phone System is interrupted, users can switch to a dial pad and have their calls routed through the SBC. Your Yealink phones will be able to make calls to colleagues in the building over the LAN and to those outside the building through the SBC’s connection to the telephone network.

You need to configure your Sonus/Ribbon Gateway (SBC 1000, 2000 or Ribbon SBC Software Edition Lite) to accept the connection from the Phone.

This post explains how you need to set up your Sonus to do this.

Connect to the Sonus / Ribbon Gateway with and administrator account and check if you have SIP registration Licenses


For Each Phone device you want to register, you will need a Sip Registration License

On the Gateway you will need to have a Signaling Group / Local registrar as described here


Call routing Table


In the Array. you will have to declare the IP address of the Yealink Phone to allow the Phone to connect to the Sonus. In this configuration, the Signalization port is 5060 on UDP. For the Media Port go to Media / Media System Configuration and check the Media port used by the Gateway

For more details

https://support.sonus.net/display/UXDOC80/Best+Practice+-+Configure+SBC+Edge+for+Yealink+Teams+Client+Local+Survivability#BestPractice-ConfigureSBCEdgeforYealinkTeamsClientLocalSurvivability-SupportforTeamsClientSurvivability

In the Yealink phone we have set these parameters in the CFG file

#!version:1.0.0.1

features.hybrid_mode.enable=1
account.1.sip_server.1.address = 10.1.32.36
account.1.user_name = 9999999 account.1.password = 9999999
features.hybrid_mode.quick_ball.enable=1
account.1.sip_server.1.port = 5060
account.X.sip_server.Y.transport_type=
0

Posted in Non classé | Leave a Comment »

Microsoft Teams / How to Update your Sonus gateway 1000/2000 with SBA (ASM) to support Direct Sip Routing

Posted by Teruin laurent sur février 11, 2020


Laurent TERUIN/Exakis , Jerome Martel /Exaprobe

If you plan to set up your Sonus Gateway 1000 or 2000 to use Direct Sip routing with Microsoft Teams you need to update the firmware with the 8.3 bits.

This article explains how to process

Step 1 : Inventory version and License

  1. First: Connect to the Gateway with Chrome or IE By Typing the Gateway Fqdn


  1. Go to Setting and check the License. Capture the License Screen as below


On the Right choose « SOFTWARE Management » and check the Base Software version. This version should be 3.1.6o. If not, you should update the Boot partition first


Step 2: Update the Base Software version if needed

If your base Software version is not equal to 3.1.6O, you should update it





Reboot the Gateway.



Reboot the gateway. Log into it and check the Base Software version


STEP 3: Update the ASM (SBA) IF YOU HAVE ONE

Check if you have a SBA (ASM)


Check the version of your ASM (Sonus SBC Communicaiton service) / Service Version. 3.2.2.327 here


Connect on RDP to The SBA

 

Use this Rep :

And launch the setup on the SBA remote desktop session



Stop in services.msc the services SBC Communication and click on Try Again


The service is restarted automatically. Log on the gateway again. You should see this configuration


The service Version is Unknown because you don’t have updated the firmware.

 

STEP 4: Update the Firmware

Go to


You have 2 Partitions. One active and the second inactive. The process to update the Inactive one and after change the Inactive to Active. But Before that, you should perform a backup

Perform a backup: Go to System / Node Level Setting and choose backup config



Go to Software Management / application Partition


And Upload Firmware


Choose the right File and validate. The update includes 5 steps


 


After Click Set active to the New partition version


 


The system will reboot and you should get this


 

If you have an ASM (SBA) go here you should see the correct version of the ASM (Version 8.1.0.526)


The gateway is ready to support Direct Sip Routing for Teams

 


 

Posted in Non classé | Leave a Comment »

Microsoft Teams / How to Update your Sonus gateway 1000/2000 to support Direct Sip Routing

Posted by Teruin laurent sur février 10, 2020


Laurent TERUIN/Exakis , Jerome Martel /Exaprobe

If you plan to set up your Sonus Gateway 1000 or 2000 to use Direct Sip routing with Microsoft Teams you need to update the firmware with the 8.3 bits.

This Procedure is for Sonus Gateway 1000 and 2000 without SBA

This article explains how to process

Step 1 : Inventory version and License

  1. First: Connect to the Gateway with Chrome or IE By Typing the Gateway Fqdn


  1. Go to Setting and check the License. Capture the License Screen as below


On the Right choose « SOFTWARE Management » and check the Base Software version. This version should be 3.1.6o. If not, you should update the Boot partition first


 

Step 2: Update the Base Software version if needed

If your base Software version is not equal to 3.1.6O, you should update it





Reboot the Gateway.



Reboot the gateway. Log into it and check the Base Software version


STEP 3: Update the Firmware

Go to


You have 2 Partitions. One active and the second inactive. The process to update the Inactive one and after change the Inactive to Active. But Before that, you should perform a backup

Perform a backup: Go to System / Node Level Setting and choose backup config



Go to Software Management / application Partition


And Upload Firmware


Choose the right File and validate. The update includes 5 steps


 


After Click Set active to the New partition version



The system will reboot and you should get this


The gateway is ready to support Direct Sip Routing for Teams


 

Posted in Non classé | Leave a Comment »

Quoi de neuf dans les équipes Microsoft | Janvier 2020

Posted by Teruin laurent sur février 5, 2020


Article Anglais Original : https://techcommunity.microsoft.com/t5/microsoft-teams-blog/what-s-new-in-microsoft-teams-january-2020/ba-p/1141831

Améliorer la transparence de la communication grâce à la lecture des reçus

Vous demandez-vous souvent si vos coéquipiers ont vu le message que vous leur avez envoyé ? La lecture des reçus dans les chats privés permet aux expéditeurs de savoir quand leur message a été lu par le destinataire. Les reçus de lecture sont puissants, car ils permettent également au destinataire de communiquer implicitement qu’il n’ignore pas l’expéditeur, qu’il est peut-être simplement occupé et qu’il n’a pas eu l’occasion de lire son message. Les reçus de lecture peuvent être un outil formidable, mais ils ne conviennent pas à tout le monde – pour en savoir plus sur la façon de les activer et de les désactiver, cliquez ici.

La notification « Un collègue a rejoint les équipes » vous permet de savoir qui est nouveau dans les équipes

Bienvenue dans l’équipe ! Vous pouvez désormais entrer en contact plus rapidement avec les nouveaux membres de l’équipe et leur souhaiter la bienvenue. Vous recevrez une notification dans votre flux d’activité lorsqu’un nouveau collègue rejoindra les équipes pour la première fois.

Quoi de neuf ? Réunions et convocations

Administration vocale – Nouvelle charge de travail au sein du centre d’administration Teams

Dans le cadre de notre processus continu visant à fournir aux administrateurs informatiques une plus grande visibilité sur les charges de travail supplémentaires, l’administration vocale a été ajoutée comme charge de travail dans le centre d’administration des équipes. Cela signifie que les clients de Microsoft Calling Plan pourront rechercher, acquérir et attribuer des numéros de téléphone aux utilisateurs. Les administrateurs pourront également définir les adresses d’urgence pour ces utilisateurs finaux. En outre, les clients pourront créer, tester et gérer des plans d’appel personnalisés, configurer l’appel d’urgence dynamique et utiliser une configuration améliorée pour les répartiteurs automatiques et les files d’attente.

ThinkSmart View rejoint les téléphones des équipes Microsoft

Bienvenue dans la famille ! Lenovo a annoncé de nouveaux ajouts à son portefeuille ThinkSmart, conçus pour transformer les communications d’entreprise. ThinkSmart View permet aux utilisateurs de gérer leurs appels audio et vidéo via un dispositif de bureau dédié. Les utilisateurs peuvent simplement se joindre à des réunions avec une seule touche et utiliser le dispositif en mode portrait ou paysage selon leur préférence. Pour plus de sécurité, l’appareil est équipé d’un obturateur de caméra et d’un interrupteur de mise en sourdine du microphone. Ils seront disponibles pour les clients en mars 2020. Pour en savoir plus, cliquez ici.

Poly annonce la gamme de téléphones CCX de Teams

Découvrez la série Poly CCX, une gamme de téléphones Teams natifs pour aider les utilisateurs à transformer leur façon de communiquer. La série propose une gamme de modèles au choix, du CCX400 au CCX600. Vous pouvez ainsi personnaliser le vôtre avec un casque qui correspond à votre style, ou le combiné traditionnel. Le choix vous appartient. Pour en savoir plus sur les appareils de la gamme Teams, cliquez ici.

 


Quoi de neuf ? Admin

Les binaires de Microsoft Teams seront installées avec Office 365 ProPlus pour les clients de la chaîne semestrielle

Nous continuons à faciliter l’accès de nos clients aux équipes sur leur bureau. Le client Teams sur le bureau sera téléchargé par défaut pour les utilisateurs existants avec les applications Office 365 ProPlus, Microsoft 365 Business, et Microsoft 365 Business Premium pour les clients sur la chaîne semestrielle. Grâce à ce changement, vos utilisateurs n’auront plus besoin de faire une installation séparée de Microsoft Teams. Pour en savoir plus sur les processus de déploiement de Teams pour les installations nouvelles et existantes d’Office 365 ProPlus, cliquez ici.

Quoi de neuf ? Sécurité et conformité

Safe Links est maintenant disponible dans Teams vous protège des URL malveillants

La sécurité des utilisateurs est notre première priorité. Les liens sûrs ATP Office 365 aident à protéger les utilisateurs contre les liens dangereux accidentels ou malveillants en fournissant une vérification du temps de clic des adresses web (URL) dans les messages électroniques et les documents de l’Office. La puissance des Safe Links est désormais disponible pour protéger les utilisateurs contre les liens malveillants envoyés par les équipes Teams

 


Quoi de neuf ? Développeurs

Les API de communication en nuage sont désormais disponibles

La dernière pièce du puzzle est là ! La dernière API permettant aux partenaires de développer des solutions de contact est maintenant disponible. Ce mois-ci, les API de communication en nuage MS Graph sont devenues disponibles, permettant des fonctionnalités d’appel + de réunions en ligne. Le package complet comprend maintenant :

  • Les API de communication en nuage MS Graph
  • Présence du graphique MS
  • Acheminement direct du système téléphonique

Quoi de neuf ? pour l’éducation

En savoir plus sur les performances des élèves avec Class Insights

Nous sommes ravis de présenter Class Insights, une nouvelle expérience pour les éducateurs qui leur permettra de mieux comprendre les performances des élèves. Les éducateurs peuvent ajouter le nouvel onglet Class Insights à leur équipe de classe et voir les notes moyennes, les devoirs à temps, le temps de retour moyen et l’activité de conversation de leur classe au fil du temps. Class Insights donne aux enseignants une vue unique pour observer les performances individuelles des élèves et de la classe. Grâce à ces données sur les élèves, votre école sera en mesure de prendre des décisions encore plus éclairées sur les programmes, le rythme et l’engagement des élèves. Pour plus d’informations sur Class Insights, cliquez ici !



Quoi de neuf ? GCC

Onglet du site web dans GCC High et DOD

Les utilisateurs des locataires du CCG et du DOD peuvent désormais ajouter un onglet de site web dans Teams. Grâce à cet onglet, les utilisateurs auront la possibilité d’épingler des URL ainsi que des liens SharePoint, etc. pour accéder facilement à leur contenu. Par défaut, cette fonction est désactivée. Veuillez travailler avec votre administrateur informatique pour commencer à utiliser cette fonction.

Applications tierces dans le CCG

Les clients de GCC peuvent désormais utiliser des applications tierces dans les équipes Microsoft – consultez la bibliothèque pour voir si les applications que vous utilisez déjà et que vous aimez sont disponibles pour être intégrées. Notez que par défaut, l’accès aux applications tierces est désactivé. En outre, les applications doivent être vérifiées par votre organisation pour s’assurer de leur conformité aux réglementations, à la sécurité et aux politiques avant de pouvoir être accessibles aux utilisateurs. Veuillez travailler avec votre administrateur informatique pour que vos applications préférées soient disponibles. Pour en savoir plus, cliquez ici.

 


 

Posted in Non classé | Leave a Comment »

Convert your TRIO 8800 for Microsoft Teams in 10 Minutes

Posted by Teruin laurent sur février 5, 2020


Method 1 : Your Trio have access to Internet and the device is able to connect to Polycom Hosted server

  1. Use an Internet Explorer or Edge Browse
  2. Type the Ip adress of your Trio. : The Ip Address could be retreived directly from the device

  3. Go to Utility Software Upgrade



and click on Check For Update


Choose the last version


And validate the Install

The Trio will reboot and update the Device. it can take up to 5 minutes

Method 2: Update the Trio with An USB key

If your trio don’t have access to Internet… (I don’t see how the team client could works in this case ) you can use a USB Key

1 – Get And USBKey In Fat 32

2 – Go to https://support.polycom.com/content/support/north-america/usa/en/support/voice/polycom-trio/polycom-trio-8500.html

  1. – Download the last Firmware

  2. – Extract the zip Content in the USb Key Root
  3. – Go in front of the device and plug the USB Key


  4. The device will ask for a password (Default is 456) and will read the USB Content . this Operation could takes up to 5 Minutes
  5. – The device will reboot. After the reboot you can remove your USB Key
  6. – Go to the web interface and check if the device has been updated (it should !)

    Choose now on the Simple Setup menu the Teams Client


    The device will reboot and launch the Team Client.

     



     

Posted in Non classé | Leave a Comment »

Connecting Audio and Video Teams Devices: Voice Vlan , Proxy and Dhcp?

Posted by Teruin laurent sur février 3, 2020


In this post we will review the two methods that allow to connect Audio and Video Teams devices and examine the benefits of implementing a Voice VLAN

1 – Direct connection

Direct connection refers to connecting audio devices to a particular VLAN that will not require the audio-video devices to declare a proxy service. HTTPS Streams are therefore addressed directly to Microsoft Teams service points and UDP (real-time) streams are sent and forwarded directly from the device’s Teams client to Microsoft service points.

To ensure security, the Vlan in question is isolated from other VLANs and therefore makes peer-to-peer connections between users of Teams devices and Teams clients on Windows 10 connected within the company impossible.


– Benefits

  • Audio devices connect directly to Microsoft services.
  • Device configuration is simplified

– Disadvantages

  • Devices must connect to a particular Vlan or socket.
  • The audio device cannot connect anywhere on the corporate network (Per Port Vlan)
  • The Audio Video Device Management Service must be installed on the same Vlan to be able to communicate with the peripherals.
  • No point-to-point streaming between audio – video devices and Pc Teams connected on the company network
  • Lack of unit visibility of network traffic generated by Teams activities

– Connection with proxy

Connecting via a proxy service consists of declaring an authenticated (or non-authenticated) proxy service within the audio and video devices to be able to output HTTPS streams. UDP streams (UDP 3478-3481) exit through the default gateway of the network devices.


– Benefits

  • All Https activities of each device are traced by the proxy service.
  • Audio and video devices can connect from any workstation running the Teams client.
  • Point-to-point flows are possible

– Disadvantages

  • Account and password to be declared in each device
  • Account and password that never expires
  • Not supported by some manufacturers. (Polycom)

Mobility of audio devices and Vlan ID.

Mobility of audio devices can be searched for to facilitate the installation and movement of devices such as Teams phones. The goal is to be able to connect a Teams phone from any location within the company (basically any network socket) with the guarantee that it connects without any particular configuration.

One of the possible options is then, to use the discovery functions of Vlan ID. The VLAN ID Discovery function allows the device to automatically determine the voice VLAN ID using DHCP. This is achieved by using an Option in the DHCP service. Once the Voice VLAN ID is acquired, the phone will use the 802.1Q tag to connect to the VLAN in question.

The picture below illustrates this setting on a Polycom TRIO 8800.


Major Benefits of Using VLANs

VLANs offer 3 major advantages when you plan to deploy your Microsoft Teams Devices listed:

  • Minimize the broadcast domain: VLAN is used to minimize the broadcast domain. Creating smaller domain for phone can reduce overhead and limit resource utilization. Additionally, less traffic will need to be routed, and the latency added by routers will be reduced.
  • Ease of Administration: Much of the cost associated with network additions and relocations can be saved through the use of VLANs. phone can be shifted from one workgroup or department to another without installing new network cabling and reconfiguring hubs or routers.
  • Security: VLANs can be used to create secure user groups and prevent others outside of the broadcast domain from receiving sensitive data of the phone. They can also be used to enhance firewall functions and restrict network access for one or more users. By segregating phones into VLANs, security filters can be implemented in the network to prevent the phones from receiving unnecessary traffic from other devices. This helps prevent disruption due to DoS attacks or attempts to compromise the devices. It also allows locking down access to configuration and signaling servers to only allow access from the phones

Posted in Non classé | Leave a Comment »

Les nouvelles conditions de Microsoft pour Office 365 : Nous n’utiliserons pas vos données à des fins de publicité ou de profilage

Posted by Teruin laurent sur janvier 17, 2020


Traduit de l’anglais : https://www.zdnet.com/article/microsofts-new-office-365-terms-we-wont-use-your-data-for-advertising-or-profiling/²

Microsoft a déployé une nouvelle version de ses conditions de services en ligne en réponse aux griefs soulevés par le ministère néerlandais de la Justice concernant les données de télémétrie que Microsoft a recueillies auprès des utilisateurs d’Office 365 Plus et d’Office 365.

Le ministère de la justice néerlandais a accusé Microsoft de violer le Règlement général sur la protection des données de l’UE (GDPR), déclenchant une enquête du Contrôleur européen de la protection des données (CEPD), qui a déclaré avoir de « sérieuses préoccupations » concernant les contrats de Microsoft.

Microsoft a annoncé en novembre qu’il mettrait à jour ses contrats de cloud computing au niveau mondial pour les entreprises et les petites entreprises clientes afin de tenir compte des changements demandés par le CEPD et le MoJ néerlandais.

Les clients sont maintenant libres de parcourir deux documents de conditions Microsoft : les conditions de 159 pages sur les produits de licences en volume Microsoft et les conditions de 40 pages sur les services en ligne Microsoft (OST). Microsoft fournit un lien vers ces documents dans un nouveau billet de blog.

Les nouvelles OST intègrent les modifications contractuelles que Microsoft a développées avec le ministère néerlandais de la Justice, a déclaré en novembre Julie Brill, responsable de la protection de la vie privée chez Microsoft et vice-présidente de l’entreprise chargée de la protection de la vie privée et des affaires réglementaires au niveau mondial.

Microsoft décrit plusieurs changements apportés à l’OST dans ses  » clarifications et résumé des changements  » dans le nouveau document. Aucun changement important n’est mentionné dans le document sur les modalités du produit.

Selon Microsoft, les termes de protection des données, les clauses contractuelles standard et les détails du GDPR de l’UE ont été supprimés du document OST. Ils figurent désormais dans un document séparé appelé Online Services Data Protection Addendum (DPA), qui est disponible en ligne.

La mise à jour de l’OST/DPA remplace le langage précédent de l’OST autorisant Microsoft à traiter les données des clients  » uniquement pour fournir aux clients les services en ligne, y compris à des fins compatibles avec la fourniture de ces services  » avec des instructions et des limitations plus spécifiques « , indique Microsoft dans le nouvel OST.

L’un des principaux changements apportés à la mise à jour de l’OST est qu’il n’autorise pas Microsoft à traiter les données des clients ou les données personnelles à des fins de  » profilage, de publicité ou à des fins commerciales similaires, ou d’étude de marché « , à moins que le client ne l’autorise explicitement.

Les quatre changements  » de haut niveau  » que Microsoft note sont que le document :

Autorise Microsoft à traiter les données clients et les données personnelles en tant que sous-traitant pour trois objectifs autorisés : la fourniture des services, le dépannage et l’amélioration continue.


Exclut le traitement des Données clients et des Données personnelles à des fins de profilage, de publicité ou à des fins commerciales similaires, ou d’études de marché, sauf si cela est fait conformément aux instructions documentées du client.

Précise que Microsoft a les responsabilités d’un contrôleur de données s’il traite les Données clients et les Données personnelles pour certaines autres  » opérations commerciales légitimes  » énumérées, avec des limitations spécifiques.

Ajoute de la clarté et des détails supplémentaires basés sur les commentaires des clients (par exemple, sur la manière dont les clients peuvent s’engager avec Microsoft pour auditer le traitement des données de Microsoft conformément à la GDPR).

Au moment de l’annonce des changements de l’OST, M. Brill a déclaré que Microsoft  » augmentera ses responsabilités en matière de protection des données pour un sous-ensemble de traitement dans lequel Microsoft s’engage lorsque nous fournissons des services d’entreprise « .

La mise à jour de l’OST  » préciserait que Microsoft assume le rôle de contrôleur des données lorsque nous traitons des données à des fins administratives et opérationnelles spécifiques liées à la fourniture des services en nuage couverts par ce cadre contractuel, tels que Azure, Office 365, Dynamics et Intune « .

 » Ce sous-ensemble de traitement de données sert à des fins administratives ou opérationnelles telles que la gestion des comptes, l’établissement de rapports financiers, la lutte contre les cyberattaques visant tout produit ou service Microsoft et le respect de nos obligations légales « , a-t-elle ajouté.

Le DPA sur les conditions des services en ligne couvre les questions de propriété liées aux données traitées, le traitement des données personnelles selon les règles GDPR, les notifications d’infraction, les questions juridiques relatives au transfert de données entre pays, la conservation des données, la divulgation et la conformité aux demandes de données des forces de l’ordre, les réglementations HIPAA et le nouveau California Consumer Privacy Act (CCPA). Microsoft applique les règles de la CCPA à tous les utilisateurs américains.

Pour les demandes d’application de la loi concernant les données stockées sur les serveurs Microsoft, la société promet de ne pas divulguer les données traitées, sauf si la loi l’exige.

 » Si les forces de l’ordre contactent Microsoft avec une demande de données traitées, Microsoft tentera de rediriger l’organisme chargé de l’application de la loi pour demander ces données directement au client. Si elle est obligée de divulguer des Données traitées aux forces de l’ordre, Microsoft en informera rapidement le Client et lui fournira une copie de la demande, sauf si la loi l’interdit « , déclare Microsoft.

Posted in Non classé | Leave a Comment »

TEAMS DEVICE AND THE PROXY

Posted by Teruin laurent sur janvier 15, 2020


As mentioned in a previous article, Teams devices should be able to go out over the Internet through the company’s security policy. Policy that more and more forces the exits on the Internet through proxy services. Proxy services in Saas as Websense or Zscaler or traditionally hosted on site.

These proxy services can be set up in 3 types of configuration

– Transparent: On the IP route to the Internet between the device and the service connection point

– Declared and authenticated : Authenticated in Basic mode or others

– Declared and anonymous:

In addition to these 3 types, there are two types of proxy. Either Saas or On premise.

In the case of a Saas service like Zscaler or Websense, one of the interests of the solution is to send all the https flows to the Proxy service which goes according to the urls (0365 or not) to carry out treatments such as inspection for example. In this type of configuration, the company no longer has to manage the numerous Office 365 URLs because they are directly managed by the proxy service provider.

Otherwise the company can use a proxy.pac that will describe whether or not the device should use proxy services. In this case it is the company that updates its configuration files according to the changes in the Office 365 URLs. The routing decision is made in this case or at the device level.

To set up a proxy in a Teams phone, the phone must still allow it. The illustration below shows the Proxy service configuration interface within a Yealink T55 phone with a very recent firmware version.



This configuration, if manageable by auto configuration, would make it possible to make this type of device plug and play within the company network. It remains to be seen whether all the Skype devices you are going to migrate to teams will have the same possibilities.

The other issue you’ll have to manage is that most Saas services like Zscaler or Websense do SSL decryption. In other words,

1 – the https stream of a site like https://www.google.com is sent to websense services that pretend to be it,

2 -Decrypts the stream, inspects it, then re-transmits it to the final site. A bit like a « man in the middle » but one you trust.

This solution is effective but implies that your devices « trust » the websense service. Without this, your workstation will report an SSL error because the certificate presented by Websense is not the one expected. Below is an extract from the documentation of websense



 

To date we have not been able to configure Teams devices that take this mode of operation into account and we are working with the various parties involved to find a « plug and play » solution if possible.

Laurent TERUIN

 

Posted in Non classé | Leave a Comment »

Périphériques Teams à l’épreuve des proxy ?

Posted by Teruin laurent sur janvier 15, 2020


Comme précisé dans un précèdent article, les périphériques Teams devront pouvoir sortir sur Internet à travers la politique de sécurité de l’entreprise. Politique qui de plus en plus contraint les sorties sur internet à travers des services proxy. Services Proxy en Saas comme Websense ou Zscaler ou traditionnellement hébergé sur site.

Ces services proxy peuvent être paramétrés selon 3 types de configuration

  • Transparent : Sur la route IP vers internet entre le périphérique et le point de connexion du service
  • Déclaré et authentifié : Authentifié en mode Basique ou autres
  • Déclaré et anonyme :

A ces 3 types s’ajoute deux types de proxy. Soit Saas soit On premise.

Dans le cas d’un service Saas Comme Zscaler ou Websense, un des intérêts de la solution et d’envoyer tous les flux https vers le service Proxy qui va selon les urls (0365 ou pas) effectuer des traitements comme de l’inspection par exemple. Dans ce type de configuration, l’entreprise n’a plus à gérer les nombreuses URL d’Office 365 car directement gérés par le fournisseur de services de proxy.

Dans le cas contraire l’entreprise peut utiliser un proxy.pac qui va décrire si le périphérique doit ou pas utiliser les services proxy. Dans ce cas c’est l’entreprise qui met à jour ses fichiers de configuration en fonction des changements des URL d’Office 365. La décision de routage s’effectue dans ce cas ou niveau du périphérique.

Pour configurer un proxy dans un téléphone Teams encore faut -il que ce dernier puisse le permettre. L’illustration ci-dessous présente l’interface de configuration du service Proxy au sein d’un téléphone Yealink T55 avec une version très récente du firmware.


Cette configuration si elle est gérable par une auto configuration permettrait de rendre plug and play ce type de périphérique au sein du réseau de l’entreprise. Reste à savoir si l’ensemble des périphériques Skype que vous allez migrez vers teams auront les mêmes possibilités.

L’autre problème que vous aurez à gérer est que la plupart des services Saas comme Zscaler ou Websense est que ces services font du déchiffrement SSL. En d’autres termes,

1 – le flux https d’un site comme https://www.google.com est envoyé aux services websense qui se font passer pour ce dernier,

2 -Déchiffre le flux, l’inspecte, puis le réémette vers le site final. Un peu comme un « man in the middle » mais auprès duquel vous faites confiance.

Cette solution est efficace mais implique que vos périphériques « trustent » le service websense. Sans cela, votre poste remontera une erreur SSL car le certificat présenté par Websense n’est pas celui attendu. Ci-dessous un extrait de la documentation de websense


 

A ce jour nous n’avons réussi à configurer des périphériques Teams prenant en compte ce mode de fonctionnement et travaillons avec les différents intervenants pour trouver une solution « plug and play » si possible

Laurent TERUIN

Posted in Non classé | Leave a Comment »

Migration Teams Telephony and Internet access of peripherals

Posted by Teruin laurent sur janvier 15, 2020


One of the particular aspects of the migration of telephony to Teams is related to the migration of devices formerly known as Skype to the Teams client. As you may know some devices that are embedded in the Teams client are « upgradable » to a Teams client, others will not work or will work degraded. Still others will be able to run both Skype and Teams, or others will only manage the Teams client.

These constraints related to your devices are well to take into account in your migration strategy and more particularly when you are going to switch the Meeting function to Teams.

If you are considering a gradual migration of meeting functionality one of the risks identified is that part of the business may be using Teams meeting rooms with conferences that will not be reachable on Skype devices and vice versa.

On the other hand, and this is a bit new for companies that have an On-premise telephony environment, it will now be necessary for all of its devices, often confined to a voice VLAN, to be able to access Microsoft’s Internet services. In theory, this sounds simple, but in practice it is a little more complicated, especially because of the increasing presence of proxy services. (Zscaler, WebSense etc…)

The security and the control of external accesses of companies having been reinforced for several years, the quasi systematic presence of anonymous or authenticated proxies will not simplify things. Indeed the absence of proxy configuration in some Teams phones means that they will not be able to authenticate themselves to Microsoft services if they have to go through a non-transparent proxy (Proxy declared). Indeed contrary to the Skype client, the Teams client uses https services for signaling and therefore will try to exit via this protocol to Microsoft services. Extract from Microsoft documentation (https://docs.microsoft.com/fr-fr/microsoftteams/upgrade-prepare-environment-prepare-network)

« For teams to work properly, you must open TCP ports 80 and 443 from the clients to the Internet, and UDP ports 3478 to 3481 from the clients to the Internet. TCP ports are used to connect to Web content such as SharePoint Online, Exchange Online, and team chat services. Plug-ins and connectors also connect via these TCP ports. The four UDP ports are used for multimedia content such as audio and video files, to ensure that the flow works properly. »

It is obvious that in addition to accessing Microsoft resources, Teams devices will need to be able to resolve their names through the company’s DNS services.

Faced with this problem of 443 TCP access, several solutions are possible.

The first one is that manufacturers include in their firmware the detection or setting of proxy services

The second is to open the Voice Vlan to the Internet without a proxy. Solution that may nevertheless offend the security department.

The first solution will allow the plug and play notably of phones without additional configuration.

Posted in Non classé | Leave a Comment »