Kopplung mit Microsoft Teams konfigurieren

Ihre Anwender, die sowohl in Microsoft Teams als auch in der IPTAM^® PBX erreichbar sind, können den Status der beiden Plattformen abgleichen. Telefoniert ein Anwender, zeigt sein Teams Status „Im Gespräch“ an. Telefonanrufe an Anwender können abhängig vom jeweiligen Teams-Status passend umgeleitet werden.

Verfügen Sie über die entsprechenden Lizenzen, können Ihre Teams Anwender die IPTAM^® PBX auch als Telefonie-Gateway in das öffentliche Netz nutzen.

Die Konfiguration erfolgt über das Menü TK-Anlage►Microsoft Teams wie rechts abgebildet und wird im folgenden beschrieben.

Inhalt dieses Artikels

...page...

Funktionsweise „Statuskopplung“

Die Zuordnung wie ein Teams-Anwender mit einem Anwender der IPTAM^® PBX verknüpft wird, erfolgt über die E-Mail Adresse als gemeinsamer Nenner (siehe Abbildung). Ein Anwender, dem in der IPTAM^® PBX die Eigenschaft „Teams-Anwender“ zugewiesen wird, wird in einem Cache verwaltet, auf den über den Account in der IPTAM^® PBX zugegriffen wird. Für die Kommunikation mit Objekten der Teams-Umgebung wird hingegen eine eindeutige ID benötigt. Über die E-Mail Adresse wird die Teams interne ID ermittelt und für die zukünftige Kommunikation im Cache abgelegt.

Bei der Kommunikation mit der Teams-Plattform wird mit Hilfe des Accounts aus dem Cache die ID ermittelt. Die ID wird dann für den Datenaustauch über die Programmierschnittstelle (API) verwendet.

Für die Abfrage der Daten eines Teams Anwenders sowie zum Lesen und Setzen des Zustands werden entsprechende Rechte benötigt. Deren Konfiguration ist im nächsten Abschnitt beschrieben.
...page...

Einstellungen in der Azure Plattform

Zunächst ist in jedem Fall eine App-Einrichtung in der Azure-Plattform erforderlich. Loggen Sie sich beim Azure-Portal ein. Auf der Übersichtsseite wählen Sie „Azure Active Directory“ wie in der linken Abbildung gezeigt. Oben links wählen Sie „Hinzufügen“ und „App-Registrierung“ (Abbildung rechts). Im nächsten Dialog wählen Sie einen Namen beschreibenden Namen für Ihre App (z.B. „IPTAM PBX“) und klicken auf „Registrieren“.

Sie gelangen zum links dargestellten Dialog. Die markierte „Anwendungs-ID“ kopieren Sie. Sie wird später in der IPTAM^® PBX als Anwendungs-ID eingetragen.
Die IPTAM^® PBX muss sich gegenüber der Azure-Plattform authentifizieren. Dazu gibt es zwei Möglichkeiten:

Ein Geheimnis (mit einer zeitlich begrenzten Gültigkeit)
Ein X.509 Zertifikat (das ebenfalls über eine begrenzte Gültigkeit verfügt)

Klicken Sie zunächst auf den Link „Ein Zertifikat oder Geheimnis hinzufügen“. Für den Fall (1) wählen Sie den Reiter „Geheime Clientschlüssel“ und klicken auf „Neuer geheimer Clientschlüssel“ (Abbildung rechts). Tragen Sie einen Beschreibungstext ein und wählen Sie eine Gültigkeit. Beachten Sie, dass Sie vor Ablauf der Gültigkeit ein neues Geheimnis erstellen. Die Übersicht der App-Registrierungen zeigt einen Warnhinweis, sobald der Ablauf droht. Wichtig: Den Eintrag in der Spalte „Wert“ kopieren. Er wird in der IPTAM^® PBX als „Geheimnis“ eingetragen. Der Wert wird nur einmal angezeigt!

Für den Fall (2), wählen Sie den Reiter „Zertifikate“ und klicken auf „Zertifikat hochladen“ (Abbildung links). Laden Sie im Dialog dann ein Zertifikat hoch und tragen Sie eine Beschreibung ein. Da ein Zertifikat eine Gültigkeit hat, gilt auch hier der Hinweis, ein neues Zertifikat vor dem Ablauf hoch zu laden.

Klicken Sie nun in der linken Navigation auf „API-Berechtigungen“ und anschließend auf „Micorsoft Graph“ (linke Abbildung). „Microsoft Graph“ ist die API, die für die Kommunikation eingesetzt wird. Im nächsten Dialog (rechte Abbildung) klicken Sie auf „Anwendungsberechtigungen“ und suchen Sie die Berechtigungen „User.Read.All“. Wiederholen Sie den Schritt für die Berechtigung „Presence.ReadWrite.all“.

Anschließend klicken Sie im Dialog (Abbildung links) auf „Delegierte Berechtigungen“. Suchen Sie dann jeweils nach den Berechtigungen „User.Read“ und „Presence.Read.All“.

In der Übersicht der Berechtigungen zu Ihrer App klicken Sie zum Abschluss auf den Link „Administratorzustimmung für „xxx“ erteilen“ („xxx“ bezeichnet Ihre Domain bzw den Tennant). Anschließend sehen Sie die Übersicht der Berechtigungen wie in rechts dargestellt.
...page...

Einstellungen in der IPTAM PBX

Gehen Sie in das Menü TK-Anlage►Microsoft Teams. Dort tragen Sie die Anwendungs-ID (siehe vorangegangener Abschnitt) sowie Ihre Domain ein. Wählen Sie aus, ob die Authentifizierung mit einem Geheimnis oder einem Zertifikat erfolgt.

Im Falle des Geheimnisses tragen Sie das Geheimnis in das entsprechende Feld ein (linke Abbildung).
Bei Verwendung eines Zertifikats tragen tragen Sie den Fingerabdruck des Zertifikats in das entsprechende Feld ein und laden Sie den privaten Key auf die Anlage hoch (MS-Teams-Zertifikat) (rechte Abbildung).

Bei Username und Passwort tragen Sie die Login-Daten eines Anwenders ein, der verwendet wird, um die Status-Anfragen auszuführen. Achten Sie darauf, dass das Passwort des Benutzers nicht abläuft und das die Anmeldung ohne 2FA (2-Faktor Authentifizierung) möglich ist.
Aktivieren Sie nun „Teams Integration“ und speichern Sie die Einstellungen.

Unter Diagnose►Microsoft Teams kann der Zustand des Informationsaustauschs angezeigt werden (Abbildung rechts).

Die Kopplung eines Anwenders der IPTAM^® PBX an einen Anwender der MS Teams Plattform erfolgt über die E-Mail Adresse. In der IPTAM^® PBX tragen Sie die E-Mail Adresse bei den Anwendern in den Basis-Einstellungen ein (Falls noch nicht erfolgt über den Button „Ändern“ im links dargestellten Dialog). Ob ein Anwender ein Teams-Anwender ist, wird über die Checkbox „Teams Integration“ festgelegt (siehe linke Abbildung).

Bei den Teams-Einstellungen in der IPTAM^® PBX (Abschnitt „Verhalten bei Teams Status“ im Dialog TK-Anlage►Microsoft Teams, siehe erste Abbildung und Abbildung links) legen Sie fest, wie mit Anrufen an die Anwender abhängig vom Teams Status verfahren werden soll. Die Links öffnen jeweils einen Dialog (siehe als Beispiel den Fall „Besetzt“ in der rechten Abbildung). Die Einstellungen im Administrations-Bereich stellen das Standardverhalten für alle Anwender dar. Anwender, die als Teams Anwender eingerichtet sind, können in ihren persönlichen Einstellungen eigene Vorgaben machen, siehe Anwender Handbuch. Die Einstellungen werden erst durch Speichern der Seite übernommen!
...page...

Funktionsweise „Telefonieren mit Teams“

Sie können die IPTAM^® PBX als SBC (Session Border Controller) für die Teams-Plattform verwenden. Anwender können dann aus der Teams-Anwendung heraus Telefone der Anwender der IPTAM^® PBX erreichen oder in das öffentlichen Netz telefonieren sowie von dort auch angerufen werden.

Anwendungsbesipiele:

Anwender der IPTAM^® PBX verwenden ihre IP-Telefone wie gewohnt und können zusätzlich Teams-Anwender anrufen.
Teams Anwender können über die IPTAM^® PBX in das öffentliche Netz sowie zu Teilnehmern der IPTAM^® PBX telefonieren.
Anrufe aus dem öffentlichen Netz erreichen sowohl die IP-Telefone der IPTAM^® PBX als auch die Teams Anwender.

Sobald die Funktion „Direct Routing“ aktiviert ist, baut die IPTAM^® PBX zu den drei SBCs der Teams-Plattform eine verschlüsselte Verbindung auf und sendet „OPTIONS“-Pakete per SIP an die SBCs. Diese bestätigen den Empfang und senden ihrerseits „OPTIONS“-Pakete, die von der IPTAM^® PBX quittiert werden. Solange dieser Austausch regelmäßig stattfindet, wird dieser SIP-Trunk von der Teams-Plattform aus genutzt.

Über den SIP-Trunk werden Rufnummern immer im E.164 FormatInternationales Format, z.B. +492414012948
ausgetauscht. Bei Anrufen aus der Teams-Plattform wird die gewählte Rufnummer mit den Stammrufnummern der Telefonanlage verglichen. So werden interne Ziele erkannt. Bei allen Anrufen an eine interne Nebenstelle wird geprüft, ob der Zielteilnehmer die Funktion „Direct Routing“ nutzt. In diesem Fall geht der Anruf an die in E.164 Format konvertierte Rufnummer zum Teams Anwender und parallel an ein eventuell angemeldetes Telefon.

Voraussetzungen

Für den Einsatz der IPTAM^® PBX als SBC für das Direct Routing benötigen Sie:

einen vollqualifizierten Hostnamen (FQDN), der per DNS aus dem Internet auf die öffentliche Adresse der IPTAM^® PBX auflösbar ist. Dieser Name muss nicht identisch mit dem tatsächlichen Hostnamen Ihrer Telefonanlage sein. Fügen Sie den SBC Ihrem „Tennent“ hinzu.
ein Zertifikat, das von einer CA beglaubigt wurde, der Microsoft vertraut (kein selbstsigniertes Zertifikat)
Passende Lizenzen für die Anwender, die Direct Routing nutzen.
Port-Weiterleitungen in Ihrem Router / Ihrer Firewall

...page...

Vorbereitungen Microsoft Teams

Die Konfiguration erfolgt zunächst im Teams-Admin Portal. Loggen Sie sich in das Amin-Portal der Teams-Plattform ein. Die Einrichtung des Direct-Routing finden Sie wie in der Abbildung links gezeigt.

Klicken Sie oberhalb der Tabelle auf „Hinzufügen“ (linke Abbildung) und wählen Sie dann die Einstellungen wie rechts dargestellt. Bei „SIP-Signalisierungsport“ tragen Sie den Port ein, der auf Ihrer Firewall von außen erreichbar ist (und nach innen weitergeleitet wird).

Teams unterstützt komplexe Routing-Regeln, um den Einsatz auch räumlich getrennter SBC anhand von Quell- oder Zielrufnummer zu steuern. Daher sind mehrere Schritte erforderlich.

Zunächst wird ein „PSTN Verwendungseintrag“ benötigt. Dies ist lediglich eine Art Container, der andere Teile des Routings bündelt. Klicken Sie oben rechts auf der Seite zum „Direct Routing“ auf den Button „PSTN-Verwendungseinträge verwalten“. Klicken Sie dann auf „+ Hinzufügen“ und wählen Sie einen Namen, z.B. „IPTAM PBX“ (Abbildung rechts). Speichern Sie dann den Dialog.

Auf der Seite zum „Direct Routing“ sehen Sie oberhalb der Tabelle den Button „VoIP Routen“. Klicken Sie darauf und anschließend auf „+ Hinzufügen“. Sie gelangen zum rechts dargestellten Dialog. Tragen Sie oben einen Namen (z.B. „IPTAM Route“) und optional eine Beschreibung ein.

Fügen Sie bei „Gewähltes Rufnummernmuster“ einen regulären Ausdruck ein. Mit diesem Muster wird die Routing-Regel abhängig vom Ziel bestimmt. Wählen Sie „^\+[0-9}*$“. Damit werden alle Rufnummern erfasst (Beginnend mit einem „+“ gefolgt von Ziffern). Klicken Sie auf den Button „SBCs hinzufügen“ und wählen Sie den Eintrag mit Ihrem SBC aus. Der Button „PSTN-Verwendungseinträge...“ öffnet die Auswahl der „Verwendungseinträge“. Aktivieren Sie hier den zuvor angelegten Eintrag. Rechts sehen Sie beispielhafte Eintragungen. Nach dem Speichern gelangen Sie wieder in die Ansicht zum „Direct Routing“.

In der Navigation des Teams Admin Center gehen Sie nun im Punkt „VoIP“ zum Eintrag „VoIP-Routingrichtlinien“. Klicken Sie auf den Link „Global (organisationsweiter Standard)“. Fügen Sie den zu Beginn definierten „PSTN-Verwendungseintrag“ hinzu und speichern Sie die Einstellung. Alternativ können Sie auch eine eigene Routingrichtlinie definieren.

Jetzt fügen Sie bei allen Anwendern, denen eine entsprechende Lizenz zugewiesen wurde, eine Rufnummer hinzu. Dazu gehen Sie im Teams Admin Center auf den Menüpunkt „Benutzer“ und wählen den Eintrag „Verwalten von Benutzern“ aus. Klicken Sie auf den betreffenden Eintrag. Im Reiter „Konto“ klicken Sie auf „Bearbeiten“. Aus der Ausklappbox „Art der Telefonnummer“ oben wählen Sie „Direct Routing“ aus. Tragen Sie die Rufnummer als E.164 Rufnummer ein (Beispiel in Abbildung rechts).

Wahlregeln und Rufnummernanpassung

Zwischen der Teams-Plattform und der IPTAM^® PBX werden Rufnummern immer im E.164-Format ausgetauscht. Es ist jedoch in der Regel lästig, diese Rufnummern zu wählen. Dazu kann in Teams eine Anpasusng der Rufnummern durchgeführt werden, so dass beim manuellen Wählen wie am Telefon vorgegangen werden kann.

Der Einsatz von Wahlregeln ist optional. Ohne die Wahlregeln müssen Rufnummern vollständig als E.164 Rufnummer (Beispiel +494066969123). gewählt werden, was kein Problem ist, wenn die Nummern aus Telefonbüchern oder Kontaktlisten gewählt werden. Bei Wahl über das „Dialpad“ ist der Einsatz von Wahlregeln hingegen sinnvoll.

Im Menü „VoIP“ wählen Sie dazu den Eintrag „Wählpläne“. Sie können bemutzerspezifische Pläne erstellen oder diese für Ihr Unternehmen einheitlich erstellen. Für Letzteres klicken Sie auf „Global (organisationsweiter Standard)“. Links sehen Sie ein Beispiel, bei dem mit Amtsholung „0“ gearbeitet wird (Einstellung "Präfix für externes Wählen"). In der ersten Regel werden die internen Nebenstellen erfasst. Das Muster erfasst Rufnummern mit drei Ziffern, von denen die erste nicht 0 ist. Die Regel erstellt eine Rufnummer mit „+4922842208399“ und fügt die Nebenstelle hinten an. Die zweite Regel greift Rufnummern mit einer „0“ (lokale Rufe mit Amtsholung) und setzt die „+49228“ vor die Rufnummer. Sie können auch einen Wählplan ohne Amtsholung erstellen. Dann müssen Ihre Anwender aber am Teams-Client anders wählen als am Telefon. Beachten Sie dann auch, dass bei einem Match auf dreistellige interne Rufnummern, die dreistelligen externen Rufnummern wie „110“, „112“, „115“ mit der ersten Regel abgefangen werden. Bei „Wählplan testen“ können Sie prüfen, wie eine Rufnummer verändert wird.
...page...

Einrichtung für Direct Routing in der IPTAM PBX

Auf der Seite TK-Anlage►Microsoft Teams aktivieren Sie die Checkbox für Direct-Routing. Das Formular erweitert sich um weitere Felder (Abbildung links).

Die Checkbox und das Textfeld „Feste Stammrufnummer nutzen“ kann in der Regel leer bleiben, weil die Telefonanlage dann die E.164-formatierten Rufnummern aus dem SIP-Trunk ermittelt. In Sonderfällen kann es jedoch erforderlich sein, hier eine abweichende Rufnummer zu verwenden.

Beim „Hostnamen“ tragen Sie den FQDN wie bei der Teams-Plattform ein.

Wegen der NAT Behandlung muss die öffentliche IP-Adresse Ihrer IPTAM^® PBX in das betreffende Feld eingetragen werden. Da Änderungen der IP-Adresse hier nicht automatisch angepasst werden, ist der Betrieb an Anschlüssen mit dynamisch wechselnder IP-Adresse nicht sinnvoll.

Die Teams-Plattform muss Ihre IPTAM^® PBX erreichen können. Daher benötigen Sie eine Port-Weiterleitung in Ihrem Router/Ihrer Firewall. Die Signalisierung für SIP-TLS läuft im Normalfall auf Port 5061. Sie können einen abweichenden Port auf der öffentlichen Seite verwenden, wenn Sie das auch in der Teams-Plattform berücksichtigen (siehe Einstellungen zum SBC der Teams-Plattform auf der vorherigen Seite). Den gewählten externen Port leiten auf den internen Port 5063 in der IPTAM^® PBX weiter. Daneben benötigen Sie noch Portweiterleitungen für die Medienports (analog zu denen bei den Remote-Clients).

Beachten Sie unbedingt die Sicherheitshinweise am Ende.

Anschließend legen Sie bei Ihren Anwendern fest, ob Sie die „Direct Routing“-Funktion verwenden können. Dazu klicken Sie unter TK-Anlage►Anwender bei den betreffenden Anwendern auf das Icon und aktivieren Sie die Checkbox zum Direct-Routing (Abbildung rechts).
...page...

Funktionskontrolle

Nach der Konfiguration im Admin-Bereich von Teams und der Einrichtung in der IPTAM^® PBX sollten Sie zunächst die Funktion prüfen. Die IPTAM^® PBX sendet SIP Options Pakete an die Teams-Plattform und erhält von dort Antworten. Auch die Teams-Plattform sendet solche Pakete.

Auf der Seite Diagnose►Microsoft Teams (siehe Abbildung rechts) sehen Sie, ob die Kommunikation erfolgreich eingerichtet ist. Es gibt in der Teams Plattform drei geografisch verteilte SIP-Server. Gelegentlich ist der dritte (Standort Asien) nicht erreichbar (Antwortzeit über 400ms). Das führt aber nicht zu einer Fehlfunktion.

Auch auf der Teams Admin Seite kann der Erfolg kontrolliert werden. Hier erfolgt aber in der ersten Zeit noch eine Warnung, weil die Plattform einen längeren Zeitraum betrachtet, in dem keine Störungen aufgetreten sind. Wichtig sind die Spalten „TLS-Verbindungsstatrus“ und „Status der SIP OPTIONS“. Die Spalte „Netzwerkeffizienz“ zeigt erst Werte über 0% an, wenn mehrere Gespräche erfolgreich gelaufen sind.

Sobald nach einer angemessenen Wartezeit beide Seiten einen Erfolg zeigen, können Anrufe getestet werden. Dazu sollten Sie zunächst versuchen, einen Anwender auf Teams von einem Telefon aus anzurufen (Anruf an die Nebenstelle des Anwenders). Nach einer kurzen Zeitspanne sollte der Teams-Client klingeln (Der Rufaufbau dauert geringfügig länger als der Anruf an interne Teilnehmer).

Funktionieren Anrufe an Teams-Anwender, können Sie die Gegenrichtung prüfen. Anschließend testen Sie dann Anrufe aus dem und in das öffentliche Netz.

Was tun im Fehlerfall?

Es gibt unterschiedliche Fehlerfälle zu unterscheiden:

SIP-Trunk inaktiv

Bleibt die Diagnose auf der Seite der IPTAM^® PBX „inactive“, prüfen Sie zunächst Einstellungen zu Routing und DNS sowie das Log Ihrer Firewall. Anschließend kontrollieren Sie die Einstellungen auf der Seite zum „Direct Routing“ in der IPTAM^® PBX. Achten Sie dabei auch auf die Angaben beim Zertifikat („Zertifikat für..., gültig bis...“). Danach prüfen Sie, ob die Einstellungen wie im Abschnitt „Vorbereitungen Microsoft Teams“ korrekt vorgenommen wurden:

FQDN im „Tennent“ hinterlegt?
Korrekter Signalisierungsport auf beiden Seiten eingestellt?
Firewall und Portweiterleitung korrekt?

Falls Sie keinen Fehler finden können, sollten Sie mit der Trace Funktion kontrollieren, ob OPTIONS-Pakete in beide Richtungen fließen und quittiert werden.

Anruf in Richtung Teams nicht möglich

Können Sie keine Anrufe in Richtung „Teams“ ausführen, prüfen Sie zunächst, ob das für mehrere Teams-Ziele gilt. Im Einzelfall kann die vom Teams-Status abhänge Weiterleitung die Ursache sein (siehe Statuskopplung am Beginn des Artikels). Eine weitere Ursache können die Rufnummern sein. Das Ziel auf der Teams-Seite wird über die E.164 Rufnummer des Ziels angerufen. Diese wird aus der Anschlussnummer und der Nebenstelle gebildet (Beispiel Berlin, Stammrufnummer 23125, Nebenstelle 123: Die E.164 Nummer ist +493023125123). Der Anwender benötigt die passende Telefonie-Lizenz und die Rufnummer muss beim Teams-Anwender hinterlegt sein. Wenn die Ursache nicht zu finden ist, hilft auch hier die Trace Funktion weiter.

Anruf aus Teams nicht möglich

Es gibt unterschiedliche Fehlerquellen, die sich sehr unterschiedlich äußern. Zunächst sollten Sie die Tests mit Zielrufnummern im E.164 Format durchführen, um die „Wahlregeln“ als Fehlerquelle auszuschließen.

Können extern Ziele erreicht werden und nur interne Nebenstellen an der IPTAM^® PBX nicht?
Überprüfen Sie die Zielrufnummer in Hinblick auf die darin enthaltene Stammrufnummer. Sie muss zum SIP-Trunk passen, damit die Telefonanlage die Rufnummer als „intern“ erkennt.
Können keine Ziele erreicht werden?
Prüfen Sie mit Hilfe der Trace-Funktion, ob der Anruf überhaupt bis zur Telefonanlage gelangt. Ist das nicht der Fall, kontrollieren Sie die Einstellungen in der Teams-Plattform anhand der hier beschriebenen Einrichtung. Wurde etwas verändert? Gelangt der Anruf bis in die Telefonanlage, sollten die „Internen Abläufe“ der Trace-Funktion eine Erklärung bieten.

Tritt der Fehler nur in Verbindung mit kurz gewählten Rufnummern (nur die Nebenstelle, Amtsholung mit Rufnummer, ...) auf, überprüfen Sie bitte die Wahlregeln. Hier bietet die Teams-Plattform Testfunktionen an, die die Umwandlung einer Rufnummer in das E.164 Format darstellen.

Sicherheit bei „Telefonieren mit Teams“

Bei der Kopplung mit Teams wird ein SIP Zugang zum öffentlichen Internet geöffnet. Um Schaden abzuwenden sollten Sie in Ihrer Firewall den Zugang zu dem Port (intern TCP Port 5062, von außen erreichbar über Port 5061 bzw. den alternativ gewählten Port) absichern. Sie sollten den Zugang auf Kommunikation mit den beiden Microsoft Netzen beschränken. Microsoft verwendet für die Kommunikation der VoIP-Dienste die beiden Netze

52.112.0.0/14
52.120.0.0/14

Zusätzlich sollten Sie auf sichere Passwörter für SIP bei den Anwendern achten (ggf. lassen Sie die Passwörter automatisch generieren), verwenden Sie nach Möglichkeit bei den Accounts keine rein numerischen Angaben wie z.B. die Nebenstelle und aktivieren Sie die SIP Schutzmaßnahmen, um Angriffsversuche zu vereiteln.