Webex Microsoft Teams 视频集成参考

摘要

Microsoft Teams 的 Webex 视频集成使具有 Cisco 和 SIP 功能的视频设备能够加入 Microsoft Teams 会议。

下面介绍了集成如何增强设备用户加入组织中托管 Microsoft Teams 会议时的体验：

Webex 会议体验 - 具有灵活布局选项的多屏
同时显示 Microsoft 和视频集成参加者的参加者列表
设备和 Microsoft Teams 之间的双向内容共享
设备上的会议状态指示器，包括录制文件、文字记录和参加者在等候区中等候

当您部署与 Webex 混合日历服务的视频集成时，您的视频设备还可以获得一键通（OBTP）简化的会议加入体验。

体系结构概述

Microsoft 云视频互操作（CVI）计划使 Cisco 等合作伙伴能够提供将视频设备加入 Microsoft Teams 会议的服务。

CVI Architecture image based on https://docs.microsoft.com/en-us/microsoftteams/cloud-video-interop — ***解决方案体系结构***

适用于 Microsoft Teams 的 Webex 视频集成是在 Webex 云平台上构建的 Microsoft 合格第三方云视频互操作解决方案。 Webex 云中的 CVI 合作伙伴功能有空呼叫者可以向公共互联网进行企业对企业呼叫的任何地方。公共 Webex 服务提供管理、呼叫基础结构、交互式语音应答系统和等候区。位于世界各地的 Webex 媒体群集提供转码、协议翻译和 Teams 机器人角色。

通过此体系结构，视频设备可向 Webex 托管的特定 SIP URI 发出呼叫。 Webex 服务应答呼叫，并将其分配给在 Microsoft Azure 中运行的地理相关媒体群集。如果需要，IVR 会收集会议详细信息，Webex 媒体群集中的 Microsoft Teams 媒体 CVI 机器人会连接到 Microsoft Teams 会议基础结构。媒体集群提供通过 Webex 连接的参加者与在 Microsoft Teams 上主持的会议其余部分之间的背靠背连接。整个解决方案作为云服务运行。

视频集成使设备能够按如下方式加入 Teams 会议：

如果会议已启用 CVI，则设备可以使用视频 ID 和租户密钥加入。
如果未为 CVI 启用会议，则设备可以使用会议 ID 和密码以访客身份加入（跨租户加入）。

您可以通过添加其他 Webex 服务来增强用户体验。例如，混合日历服务会在会议加入时间到达时自动将会议详细信息和简化的加入按钮推送到视频设备。

数据处理

视频集成使用以下数据将设备连接到 Microsoft Teams 会议并提供会议中功能：

企业应用注册：在预配期间，管理员使用 Webex 视频集成应用程序授予在使用 Microsoft Graph API 时访问组织的 Microsoft 租户的权限。有关详细信息，请参阅 Webex Microsoft Entra 管理中心中的视频集成。
Webex 提供的“租户密钥”：这是设备呼入 VIMT 服务时在 SIP 地址中使用的每个客户值。
会议标识：Microsoft Teams 会在创建会议时分配此标识符，并将其包含在会议邀请中。

用户需要会议标识才能从 Teams 客户端加入会议、通过直接访客加入或使用 VIMT 服务通过跨租户加入加入会议。

视频集成使用此 ID 在跨租户加入期间指定 Microsoft Teams 会议的目标。
会议密码：Microsoft Teams 在创建会议时分配区分大小写的密码，并将其包含在会议邀请中。用户需要密码才能使用会议标识加入会议。

视频集成在跨租户加入期间使用此密码访问目标 Microsoft Teams 会议。
视频标识：当启用了 CVI 的用户创建会议时，Microsoft Teams 会将此标识符分配给会议。 Microsoft Teams 在会议邀请中包含视频 ID。

视频集成使用视频标识和客户的 Microsoft 租户标识，从 Microsoft Graph API 获取会议加入 URL。

（Microsoft 将标签从“VTC 会议 ID”更新为“视频 ID”。
客户的 Microsoft 租户标识：用于在与 Microsoft Graph API 通信时标识目标 Microsoft 组织。还用于服务的管理界面中，以标识预配的 Microsoft 租户。
Microsoft 租户验证的域名：用作服务管理界面中的标签，用于标识预配的 Microsoft 租户。
会议信息：当参加者请求通过视频集成加入 Microsoft Teams 会议时，服务将检索该会议的详细信息，包括会议主题、组织者、日期/时间和连接详细信息。连接后，该服务从 Microsoft Graph API 中检索实时信息，例如参与者标签、功能和连接到 Teams 会议的参与者的状态，并使用这些信息来促进实时会议。

为邮箱启用混合日历服务时，日历服务将使用包含该链接的日历条目正文中的“ 更多信息 ”链接来标识会议“租户密钥”和视频 ID。
实时媒体和内容： 当参加者通过视频集成加入 Microsoft Teams 会议时，Webex 和 Microsoft Teams 会交换编码的音频、视频和高帧率内容，以实现它们之间的双向音频和视频体验。

如果您部署视频与混合日历服务集成，另请参阅 Webex Microsoft 365 混合日历服务集成参考。

身份验证和授权

Webex 使用 Microsoft Graph API 与 Microsoft Teams 环境进行交互。基于云的 Microsoft 身份提供程序（IdP）处理 Microsoft Graph API 的身份验证。对 Microsoft Graph API 的请求需通过出示由 Microsoft IdP 颁发的持有者令牌来授权。与 Microsoft IdP 和 Graph API 的所有通信都使用 TLS 保护的 Web 连接。

若要将 Microsoft Teams 媒体即服务进行交互，请将 Webex 视频集成注册为驻留在 Cisco 管理的 Microsoft 365 租户中的应用程序托管的媒体机器人。 Teams 机器人需要事先授权才能与组织的 Microsoft 365 租户通信。

在初始配置期间，服务会请求一组预定义权限的授权。管理员按照下述同意流程授予这些应用程序权限。

获得批准后，Webex 服务可以从 Microsoft OAuth v2.0 IdP 请求具有正确权限和客户范围的持有者令牌。该服务使用持有者令牌授权对 Microsoft Graph API 的请求，以获取预配详细信息、运行状况检查和 Teams 机器人的操作。

授权和 Microsoft 管理员同意

具有完全权限管理员 角色的组织 管理员可以使用 Control Hub 为其组织设置视频集成服务。

预配过程需要用户所属 Microsoft 365 租户的全局管理员进行身份验证和同意。操作 Teams 机器人所需的应用程序权限只能由 Microsoft 租户的全局管理员使用以下管理员同意流授予。

该流程包括以下高级步骤：

登录到 Control Hub，找到并开始视频集成设置（有关详细设置步骤，请参阅为 Microsoft Teams 部署 Webex 视频集成）。

在设置过程中，您的浏览器会重定向到 Microsoft 云进行身份验证和同意。
以 Microsoft 租户的全局管理员身份登录。

应用程序会提示您允许：
- 登录并阅读档案
- 读取目录 RBAC 设置
这样，应用程序就可以验证你的帐户是否在租户中获得了授权，可以授予必要的权限。
查看请求的权限，然后单击接受。无需代表组织检查“同意”，因为这不是必需的。

应用程序将您登录并检查您的权限。

成功获得授权后，应用程序会再次提示您。这一次，提示会显示应用程序将视频设备成功连接到 Microsoft Teams 会议所需的权限。

提示显示应用程序名称、供应商域和请求的权限。
单击接受将这些权限授予 Webex 视频集成应用程序。

您将重定向回 Control Hub，在那里您可以看到完成 Microsoft Teams 配置所需的定制 PowerShell 命令。
使用 PowerShell 完成 Microsoft Teams 配置，然后关闭 Control Hub 面板。

设置过程会测试组织的 Microsoft Graph API 调用。如果成功，则安装完成。如果没有，管理员可以再次尝试授权过程。

授予的权限

Microsoft Teams 的 Webex 视频集成需要 Microsoft 租户中的显式权限。这些权限不可自定义，由 Control Hub 中的设置过程自动配置。

使用了两组单独的权限：

在安装过程中用于验证目标租户信息的一组用户同意的权限
管理员同意授予 Entra 目录中的企业应用程序的一组权限。此设置使服务能够访问 Microsoft Teams 环境

用户同意的权限

在服务设置期间，我们向登录用户请求以下权限。它们允许访问 Microsoft 租户以验证有关目标租户的信息。我们仅在您设置集成时使用这些权限；它们不会被存储。

您可以在 Entra 目录的应用程序权限页面中查看这些用户同意的权限。

表 1. 用户同意的权限以及设置过程需要这些权限的原因
需要许可	目的
“登录并读取用户配置文件”（User.read）	用于读取登录用户的配置文件以识别用户的租户。
“读取目录 RBAC 设置”（RoleManagement.Read.Directory）	用于检查登录用户是否是 Entra ID 中已知管理员安全组的成员。
“保持对您授予其访问权限的数据的访问权限”（offline_access）	允许服务查看您授予其访问权限的数据，而无需用户登录。

服务权限

Microsoft 管理员同意流向租户中的“MS Teams 企业应用程序的 Cisco Webex 视频集成”授予以下权限。这些权限使 Webex 服务能够访问 Teams 环境。

权限将随应用程序一起保留在 Entra 目录中，直到您删除 Webex 服务，而服务也会删除该应用程序。

表 2. 管理员授予的权限以及 Webex 服务需要这些权限的原因
许可	使用情况
读取域（Domain.Read.All）	允许服务读取租户的已验证域名。 Control Hub 使用域名来标识服务链接到的租户。
通过应用程序发起一对一呼出呼叫（Calls.Initiate.All）	允许机器人创建呼叫以 Microsoft Teams 用户。（保留供将来使用。）
通过应用程序发起传出群组呼叫（Calls.InitiateGroupCall.All）	允许机器人创建对一组 Microsoft Teams 用户的呼叫。（保留供将来使用。）
通过应用程序加入群组呼叫和会议（Calls.JoinGroupCall.All）	允许 bot 以目录用户的权限加入组织中的群组呼叫和已安排的会议。用于加入有权绕过 Microsoft Teams 等候区的参加者。
以访客身份加入群组呼叫和会议（Calls.JoinGroupCallAsGuest.All）	允许机器人作为访客加入组织中的群组呼叫和已安排的会议。用于加入无权绕过 Microsoft Teams 等候区的参加者。
作为应用程序访问呼叫中的媒体流（Calls.AccessMedia.All）	允许机器人在没有登录用户的情况下直接访问呼叫中的媒体流。
阅读在线会议详细信息（OnlineMeetings.Read.All）	允许服务读取组织中的在线会议详细信息。用于查找和解析 VTC 会议 ID 以 Microsoft Teams 会议。
登录并读取用户档案（User.read）	列出的其他权限是必需的。集成不直接使用它。

Microsoft Graph 权限参考： https://docs.microsoft.com/en-us/graph/permissions-reference

Microsoft 会议机器人概述： https://docs.microsoft.com/en-us/microsoftteams/platform/bots/calls-and-meetings/calls-meetings-bots-overview

对会议的访问

通过视频集成连接的参加者通常被视为 Microsoft Teams 会议的来宾用户，并可能被放置在等候区（等候室）中。 Microsoft Teams 用户必须手动允许等候区中的参加者进入，然后参加者才能听到或看到其他参加者的声音。

您可以通过管理员在 Microsoft Teams 中设置的会议策略以及会议组织者设置的会议选项来控制 Microsoft Teams 等候区行为。默认情况下，Microsoft Teams 来宾用户必须使用等候区。有关 Teams 会议策略的详细信息，请参阅在 Teams 中管理会议策略。

如果关闭了“匿名用户可加入会议 ”功能：只有允许绕过等候区且受信任的参加者才能使用 Webex 视频集成加入会议。

使用跨租户加入（包括使用会议标识和密码）的参加者始终以访客身份加入。如果主持会议的组织已禁用 匿名用户可以加入会议，则这些加入尝试将失败。

受信任参加者的等候区旁路

使用以下方法连接到视频集成的参加者将被视为受信任的参加者，并加入 Teams 会议 Microsoft 而不会被置于等候区中：

作为 Webex 注册设备注册到 Webex 组织的设备
从已在 Control Hub 中添加并验证为贵组织所有的 SIP 域发起呼叫

受信任的参加者将被视为组织内的参加者。如果组织者已限制 Teams 会议等候区设置，则通过这些受信任路径连接的参加者可以绕过等候区。如果谁可以绕过等候区？会议选项设置为“组织者和我”或“我邀请的人员”，尝试加入的受信任参加者将被忽略，并且在加入会议时，所有 VIMT 呼叫者都将置于 Teams 会议等候区中。

使用跨租户加入（包括使用会议标识和密码）的参加者始终以访客身份加入。这意味着，即使是以这种方式加入的受信任的参加者也必须在等候区中等待主持人允许其加入。

有关添加和验证 SIP 域的详细信息，请参阅 SIP 视频设备的域验证过程。