Webex Microsoft Teams 视频集成参考

摘要

Webex Microsoft Teams 视频集成使 Cisco 和支持 SIP 的视频设备能够加入 Microsoft Teams 会议。

下面介绍了集成如何增强设备用户加入组织中主办的 Microsoft Teams 会议时的体验：

Webex 会议体验——多屏幕，布局灵活
显示 Microsoft 和视频集成参与者的参与者列表
设备与 Microsoft Teams 之间的双向内容共享
设备上的会议状态指示器，包括录制、转录和参与者在大厅中等待

当您部署与 Webex 混合日历服务的视频集成时，您的视频设备还可以获得一键式操作 (OBTP) 简化的会议加入体验。

架构概览

Microsoft Cloud Video Interop (CVI) 计划使思科等合作伙伴能够提供将视频设备加入 Microsoft Teams 会议的服务。

CVI Architecture image based on https://docs.microsoft.com/en-us/microsoftteams/cloud-video-interop — ***解决方案架构***

Webex Microsoft Teams 的视频集成是基于 Webex 云平台构建的 Microsoft 合格第三方云视频互操作解决方案。 Webex 云中的 CVI 合作伙伴功能是有空，呼叫者可以在任何地方通过公共互联网进行企业对企业呼叫。常见的Webex 服务提供管理、呼叫基础设施、交互式语音应答系统和大厅。 Webex 位于世界各地的媒体集群提供转码、协议转换和 Teams Bot 角色。

通过这种架构，视频设备可以呼叫由Webex 托管的特定 SIP URI。 Webex 服务应答呼叫并将其分配给在 Microsoft Azure 中运行的地理相关的媒体集群。 IVR 会在需要时收集会议详细信息，Webex 媒体集群中的 Microsoft Teams 媒体 CVI 机器人会连接到 Microsoft Teams 会议基础设施。媒体集群为通过Webex 连接的参与者和 Microsoft Teams 上托管的其余会议成员提供背靠背连接。整个解决方案以云服务的形式运行。

视频集成使设备能够通过以下方式加入 Teams 会议：

如果会议启用了 CVI，设备可以使用视频 ID 和租户密钥加入。
如果会议未启用 CVI，设备可以使用会议 ID 和密码以访客身份加入（跨租户加入）。

您可以通过添加其他Webex 服务来增强用户体验。例如，混合日历服务在需要加入会议时自动将会议详细信息和简化的加入按钮推送到视频设备。

数据处理

视频集成使用以下数据将设备连接到 Microsoft Teams 会议并提供会议内功能：

企业应用注册：在配置期间，管理员使用Webex 视频集成应用程序授予在使用 Microsoft Graph API 时访问组织的 Microsoft 租户的权限。有关详细信息，请参阅For more information, see Webex Microsoft Entra 管理中心中的视频集成。
Webex 调配的“租户密钥”：这是设备呼叫 VIMT 服务时在 SIP 地址中使用的每个客户的值。
会议 ID：Microsoft Teams 在创建会议时分配此标识符，并将其包含在会议邀请中。

用户需要会议 ID 才能从 Teams 客户端加入会议，或通过直接访客加入，或通过 VIMT 服务跨租户加入。

视频集成使用此 ID 在跨租户加入期间指定目标 Microsoft Teams 会议。
会议密码：Microsoft Teams 在创建会议时分配区分大小写的密码，并将其包含在会议邀请中。用户需要密码才能使用会议 ID 加入会议。

视频集成在跨租户加入期间使用此密码访问目标 Microsoft Teams 会议。
视频识别：当启用 CVI 的用户创建会议时，Microsoft Teams 会将此标识符分配给会议。 Microsoft Teams 在会议邀请中包含视频 ID。

视频集成使用视频 ID 和客户的 Microsoft 租户 ID 从 Microsoft Graph API 获取会议加入 URL。

（微软将标签从“VTC 会议 ID”更新为“视频 ID”。）
客户的 Microsoft 租户 ID：用于在与 Microsoft Graph API 通信时识别目标 Microsoft 组织。还用于服务的管理界面来识别已配置的 Microsoft 租户。
Microsoft 租户验证域名：用作服务管理界面中的标签，以识别已配置的 Microsoft 租户。
会议信息：当参与者通过视频集成请求加入 Microsoft Teams 会议时，该服务会检索该会议的详细信息，包括会议主题、组织者、日期/时间和连接详细信息。一旦连接，该服务将从 Microsoft Graph API 检索实时信息，例如参与者标签、能力以及连接到 Teams 会议的参与者的状态，并使用它们来促进实时会议。

为邮箱启用混合日历服务时，日历服务使用 更多信息 链接位于包含它的日历条目正文中，用于识别会议“租户密钥”和视频 ID。
实时媒体和内容： 当参与者通过视频集成加入 Microsoft Teams 会议时，Webex 和 Microsoft Teams 会交换编码的音频、视频和高帧率内容，以实现它们之间的双向音频和视频体验。

如果您部署了与混合日历服务的视频集成，还请参阅 Webex 与 Microsoft 365 集成的混合日历服务参考。

身份验证和授权

Webex 使用 Microsoft Graph API 与您的 Microsoft Teams 环境交互。基于云的 Microsoft 身份提供商 (IdP) 负责处理 Microsoft Graph API 的身份验证。对 Microsoft Graph API 的请求需要通过出示 Microsoft IdP 颁发的承载令牌进行授权。与 Microsoft IdP 和 Graph API 的所有通信都使用 TLS 安全的网络连接。

要与 Microsoft Teams 媒体即服务进行交互，您需要将 Webex 视频集成注册为由 Cisco 管理的 Microsoft 365 租户中托管的应用程序托管媒体机器人。 Teams 机器人需要事先授权才能与组织的 Microsoft 365 租户进行通信。

在初始配置期间，服务会请求对预定义的一组权限进行授权。管理员按照下面描述的同意流程授予这些应用程序权限。

一旦获得批准，Webex 服务就可以从 Microsoft OAuth v2.0 IdP 请求具有正确权限和客户范围的承载令牌。该服务使用承载令牌授权向 Microsoft Graph API 发出请求，以获取配置详细信息、运行状况检查和 Teams 机器人的操作。

授权和 Microsoft 管理员同意

组织管理员 完全管理员 角色可以使用 Control Hub 为其组织设置视频集成服务。

配置过程需要对用户所属的 Microsoft 365 租户的全局管理员进行身份验证并获得其同意。只有 Microsoft 租户的全局管理员才能使用以下管理员同意流程授予操作 Teams 机器人所需的应用程序权限。

该流程包括以下高级步骤：

登录 Control Hub，找到并启动视频集成设置（详细设置步骤请参见为 Microsoft Teams 部署 Webex 视频集成）。

在设置过程中，您的浏览器会重定向到 Microsoft 云进行身份验证和同意。
以 Microsoft 租户的全局管理员身份登录。

该应用程序提示您允许执行以下操作：
- 登录并阅读您的个人资料
- 读取目录 RBAC 设置
这样，应用程序就可以验证您的帐户是否被授权在您的租户内授予必要的权限。
选中代表您的组织同意复选框，然后单击接受。

应用程序将您登录并检查您的权限。

成功获得授权后，应用程序会再次提示您。这一次，提示会显示应用程序将视频设备成功连接到 Microsoft Teams 会议所需的权限。

提示显示应用程序名称、供应商域和请求的权限。
单击接受将这些权限授予 Webex 视频集成应用程序。

您将重定向回 Control Hub，在那里您可以看到完成 Microsoft Teams 配置所需的定制 PowerShell 命令。
使用 PowerShell 完成 Microsoft Teams 配置，然后关闭 Control Hub 面板。

设置过程会测试组织的 Microsoft Graph API调用。如果成功，则安装完成。如果没有，管理员可以再次尝试授权过程。

授予的权限

Microsoft Teams 的 Webex 视频集成需要 Microsoft 租户中的显式权限。这些权限不可自定义，由 Control Hub 中的设置过程自动配置。

使用了两组单独的权限：

在安装过程中用于验证目标租户信息的一组用户同意的权限
管理员同意授予 Entra 目录中的企业应用程序的一组权限。此设置使服务能够访问Microsoft Teams 环境

用户同意的权限

在服务设置期间，我们向登录用户请求以下权限。它们允许访问Microsoft租户以验证有关目标租户的信息。我们仅在您设置集成时使用这些权限；它们不会被存储。

您可以在 Entra 目录的应用程序权限页面中查看这些用户同意的权限。

表 1. 用户同意的权限以及设置过程需要这些权限的原因
需要许可	目的
“登录并读取用户配置文件”（User.read）	用于读取登录用户的配置文件以识别用户的租户。
“读取目录 RBAC 设置”（RoleManagement.Read.Directory）	用于检查登录用户是否是 Entra ID 中已知管理员安全组的成员。
“保持对您授予其访问权限的数据的访问权限”（offline_access）	允许服务查看您授予其访问权限的数据，而无需用户登录。

服务权限

Microsoft管理员同意流向租户中的“MS Teams 企业应用程序的Cisco Webex视频集成”授予以下权限。这些权限使Webex服务能够访问 Teams 环境。

权限将随应用程序一起保留在 Entra 目录中，直到您删除 Webex 服务，而服务也会删除该应用程序。

表 2. 管理员授予的权限以及Webex服务需要这些权限的原因
许可	使用情况
读取域（Domain.Read.All）	允许服务读取租户的已验证域名。 Control Hub 使用域名来标识服务链接到的租户。
通过应用程序发起一对一呼出呼叫（Calls.Initiate.All）	允许机器人创建呼叫以Microsoft Teams 用户。（保留供将来使用。）
通过应用程序发起传出群组呼叫（Calls.InitiateGroupCall.All）	允许机器人创建对一组 Microsoft Teams 用户的呼叫。（保留供将来使用。）
通过应用程序加入群组呼叫和会议（Calls.JoinGroupCall.All）	允许 bot 以目录用户的权限加入组织中的群组呼叫和已安排的会议。用于加入有权绕过 Microsoft Teams 等候区的参加者。
以访客身份加入群组呼叫和会议（Calls.JoinGroupCallAsGuest.All）	允许机器人作为访客加入组织中的群组呼叫和已安排的会议。用于加入无权绕过 Microsoft Teams 等候区的参加者。
作为应用程序访问呼叫中的媒体流（Calls.AccessMedia.All）	允许机器人在没有登录用户的情况下直接访问呼叫中的媒体流。
阅读在线会议详细信息（OnlineMeetings.Read.All）	允许服务读取组织中的在线会议详细信息。用于查找和解析 VTC 会议 ID 以Microsoft Teams 会议。
登录并读取用户档案（User.read）	列出的其他权限是必需的。集成不直接使用它。

Microsoft Graph 权限参考： https://docs.microsoft.com/en-us/graph/permissions-reference

Microsoft会议机器人概述： https://docs.microsoft.com/en-us/microsoftteams/platform/bots/calls-and-meetings/calls-meetings-bots-overview

对会议的访问

通过视频集成连接的参加者通常被视为Microsoft Teams 会议的来宾用户，并可能被放置在等候区（等候室）中。 Microsoft Teams 用户必须手动允许等候区中的参加者进入，然后参加者才能听到或看到其他参加者的声音。

您可以通过管理员在 Microsoft Teams 中设置的会议策略以及会议组织者设置的会议选项来控制 Microsoft Teams 等候区行为。默认情况下，Microsoft Teams 来宾用户必须使用等候区。有关 Teams 会议策略的详细信息，请参阅在 Teams 中管理会议策略。

如果关闭了“匿名用户可加入会议 ”功能：只有允许绕过等候区且受信任的参加者才能使用Webex视频集成加入会议。

使用跨租户加入（包括使用会议标识和密码）的参加者始终以访客身份加入。如果主持会议的组织已禁用 匿名用户可以加入会议，则这些加入尝试将失败。

受信任参加者的等候区旁路

使用以下方法连接到视频集成的参加者将被视为受信任的参加者，并加入 Teams 会议Microsoft而不会被置于等候区中：

作为 Webex 注册设备注册到 Webex 组织的设备
从已在 Control Hub 中添加并验证为贵组织所有的 SIP 域发起呼叫

受信任的参加者将被视为组织内的参加者。如果组织者已限制 Teams 会议等候区设置，则通过这些受信任路径连接的参加者可以绕过等候区。如果谁可以绕过等候区？会议选项设置为“组织者和我”或“我邀请的人员”，尝试加入的受信任参加者将被忽略，并且在加入会议时，所有 VIMT 呼叫者都将置于 Teams 会议等候区中。

使用跨租户加入（包括使用会议标识和密码）的参加者始终以访客身份加入。这意味着，即使是以这种方式加入的受信任的参加者也必须在等候区中等待主持人允许其加入。

有关添加和验证 SIP 域的详细信息，请参阅 SIP 视频设备的域验证过程。