Co jsou hybridní hybridy Office 365?

Hybridy

Když jsem hybridem, rozumím se spoluprací technologií, které budou partnerské aplikace, které vlastníte, a spravovat ve vaší firmě s lidmi, které spravujete v našem cloudu společnosti Microsoft.

Tato definice funguje jenom v Azure, ale většina pracovních vytížení v Microsoft 365. Pokud nevíte, jaké pracovní vytížení představuje, je to, že je to aplikace spouštěná na Microsoft 365 cloudové platformy – Online Skype pro firmy, Exchange Online a SharePoint Online. "Pracovní vytížení" je způsob, jak si je ponechat nezávisle na místních protějškech, což je užitečné, když budete chtít psát a chatovat z nich.

Hybridní nepřizpůsobení: Používejte všechny zdroje na ruce, bez ohledu na to, kde žije.

Běžné hardwarové prostředky v pozvánkami

Všechny hybridní hybridy, o kterých hovoříte, připojíte na internetu prostředí zákazníka pro Microsoft 365 (a službu Azure Active Directory – AAD na pozadí, protože funguje jako adresář pro Microsoft 365 ). Konfigurace infrastruktury se nemusí obtížně konfigurovat. Navzdory tomu, co jste si mohli nechat slyšet, nebere v úvahu nic – ology. Většina hybridních prostředí ve skutečnosti funguje stejným způsobem s (pro většinu částí) stejných požadavků na hardware.

Od 2016 tady najdete prvky, které potřebují všechny hybridy. Pokud je to volitelné, říkáme to.

Všechny Microsoft 365 hybridní pracovní vytížení mají tyto možnosti:

1. Některé pozvánkami servery (třeba SharePointová farma nebo prostředí Skypu pro firmy)

2. Active Directory: v místním prostředí, kde jsou uživatelé živé nebo jsou domácí (v terminologii S4B).

3. Server připojení Azure Active Directory Connect (který je možná samostatný nebo kombinovaný s jiným serverem, například WA-P). To je představováno ikonou ' synchronizace ', protože připojení AAD se používá k synchronizaci účtů ze zařízení do cloudu v hybridním prostředí.

4. [Volitelné] Server pro reverzní proxy, který ve všech mých příkladech bude server proxy webové aplikace (WA-P).

5. [Volitelné] Můžete také použít službu AD FS (Active Directory Federation server).

Kromě toho jsou hybridní průvodci součástí každého pracovního vytížení, které vám pomůžou s vaším cloudem, takže můžete využívat všechny nástroje, které máte k dispozici (bez ohledu na to, kde žije).

Pokud nemáte AD FS, nemusíte mít žádné požadavky na dodržování předpisů a nechcete, aby se nepoužívaly další složitosti. Připojení AAD je určené k tomu, aby se dokončila práce (a interval replikace je mimo 3 hodiny do 30 minut, což je užitečné zlepšit to).

Mnoho velkých společností má na místě některé z těchto serverů. Mnoho z nich má řadiče domény služby Active Directory nebo jsou servery ADFS. Pokud uvažujete o nastavení hybridního řešení, můžete se podívat na další správce a zjistit, jaké místní prostředky už jsou na svém místě. Pomůže vám určit, jestli chcete použít existující části infrastruktury nebo nové.

Co tyto servery provádějí?

Pokud už víte, co tyto servery dělá, tento oddíl přeskočte.

Většina lidí je zvyklá na operace služby Active Directory (AD) – zjistí, jak vyčísluje uživatele a objekty v doméně nebo doménové struktuře (mimo jiné) – a v případě hybridního nasazení je to Domovská základna pro uživatele, kteří budou replikováni do cloudu Microsoftu. Úlohy synchronizace (AAD Connect), AD FS a WA-P (náš ukázkový proxy server) jsou trochu novější a jsou ve spojení s požadavky na hybridní volání HTTPS a identity, takže to bude mít na přehled.

SLUŽBĚ

Abyste mohli zkontrolovat, je potřeba, aby služba AD FS (Active Directory Federation Services) mohla obě strany hybridního rozlišitelné od sebe, a podle toho, Microsoft 365 bude vědět a důvěřovat aplikaci AD FS (nebo clusteru AD FS), do které patří ověřený název veřejné domény. To umožňuje jednotné přihlašování. To znamená, že když se uživatelé se souvisejícím hlavním název uživatele budou připojovat ke svým online zdrojům, bude Microsoft 365 znát jeho hlavní název uživatele a určit server ADFS, na který budou uživatelé posíláni. Když Heidi@contoso.com prochází přihlašovacím procesem pro Exchange Online, pošle vám Microsoft 365 žádost o zaslání žádosti, aby služba ADFS mohla zasahovat do ověřování To se může stát rychle, pokud to síť a konfigurace umožňuje. Služba AD FS se používá, pokud chcete použít jednotné přihlašování: Jakmile se uživatelé přihlásí do relace služby AD FS, server AD FS bez upozornění zachycuje všechny ostatní výzvy k ověření (například při přepnutí mezi úlohami), aby upozornil Microsoft 365, že jste stále řekli. Vzhledem k tomu, že v některých odděleních IT jsou nastavení zabezpečení pro dodržování předpisů nebo informací, která vyžadují udržování hesel místně, a některé ne, není služba AD FS volitelná.

Reverzní proxy

Web Access – proxy je reverzní proxy server (RP), který byl součástí operačních systémů Windows serveru od vydání 2012 R2. Reverzní proxy server je v nevýstupním bodě, aby fungoval jménem vaší farmy. Má "Side", který čelí Internetu a zná název veřejné domény vašeho Microsoft 365 Hybrid a "strana", která čelí intranetu nebo obvodové síti a zná název domény vašich interních prostředků (například adresu URL vašeho SharePointového webu). Zachycuje všechny žádosti přicházející do vašeho podniku a umožňuje blokovat porty, zúžit provoz, který z Internetu přijmete, a skrýt interní adresy a adresy URL pro vaši síť z vnějšího světa. Stejně jako všechny RPs, je proxy server interních serverů ve vaší síti, když se uživatelé mimo síť pokusí získat ke zdroji.

Hybridní SharePoint 2013 hybridy používají reverzní proxy server, jako je třeba WA-P pro zachycení příchozího provozu (od uživatelů v SPO vytváření dotazů v indexu vyhledávání v rámci pozvánkami v případě federace vyhledávání), ale protože cloudová aplikace SharePoint 2016 umístí celý index do cloudu, novou generaci už nepotřebujeme (což je jediný důvod, proč je v diagramech označená jako nepovinná). SharePoint 2013 ale není jediné místo, kde uvidíte reverzní proxy server, který se používá k zablokování nevyžádaného přenosu z Internetu. Skype pro firmy 2016 používá jednu s jejich konfigurací Edge a Exchange 2016 používá jeden na okraji. Vzhledem k tomu, že některé situace vyžadují, je to volitelné.

Synchronizace

Obrázek, který používám, zobrazuje "synchronizace" pro Azure Active Directory Connect. Synchronizace prováděná pomocí AAD připojení se opravdu týká průběžného přenosu uživatelů nebo uživatelských informací z místního počítače a do cloudu. Připojení AAD může udělat dvě věci: replikuje uživatelské účty do Microsoft 365 (replikace) a může synchronizovat informace o heslech do Microsoft 365 (ve skutečnosti to nesynchronizuje heslo, ale nevratný algoritmus hash, který představuje heslo – synchronizaci). Nemusí synchronizovat heslo, ale vždy synchronizuje (replikuje) vaše uživatelské účty ze služby Active Directory (nebo některé filtrované verze vašeho místního uživatelského adresáře)!

Služba AAD Connect funguje v doméně Active Directory v zdravých řadičích domény, aby bylo možné použít stejné přihlašování místo jednotné přihlašování. Stejné přihlašování znamená, že místo toho, abyste se přihlásili jednou a aby služba ADFS zaznamenala všechny výzvy pro vaši relaci, přihlásíte se stejným heslem jako na pozvánkami (a je to předpokládané výsledkem přechodu na více pracovních vytížení). Připojení AAD pro synchronizaci není volitelné.

Dostupné hybridní součásti Internetu a Internetu – společné

U místních serverů v Microsoft 365 hybridních a přes Internet je to Microsoft Cloud, kde – bez ohledu Microsoft 365 na pracovní vytížení. Tyto jsou:

• Veřejné záznamy DNS

• Veřejné certifikační úřady

• Azure Active Directory (AAD)

• Microsoft 365 (licence/předplatné) a Microsoft 365 hybridních průvodců

• Vztah důvěryhodnosti mezi servery (S2S)

• Okamžité směrování a/nebo internetový provoz

• Moduly PowerShellu

Veřejné registrátory DNS, jako je GoDaddy, Správa a povolení registrace názvů domén Pokud chcete použít hybridní možnosti, budete muset zaregistrovat název domény s veřejným DNSm (to se už dá udělat ve velkých firmách). Tento název domény bude přidán do Microsoft 365 a bude také možné ověřit, že vlastníte název veřejné domény, který přidáte.

Tradičně je tento název veřejné domény stejný jako hlavní název uživatele služby Active Directory, který je místně připojený k hybridním uživatelům, ale nebere se na ně zablokovat. S nástupem atributu ' onpremisessecurityidentifier ' v prostředí PowerShell, který mapuje identitu na místní identifikátor SID, neodpovídá zaregistrované doméně v Microsoft 365 s HLAVNÍmi prostory uživatelů on-pozvánkami už není pro ni rozhodující, jako by byl dřív. Je důležitější vědět, že budete potřebovat název veřejné domény, který si můžete poznamenat, že tento název veřejné domény bude zaregistrovaný v Microsoft 365 a bude představovat vaše Microsoft 365 stavu na obou stranách hybridního připojení.

Veřejné certifikační autority poskytují důvěryhodným certifikátům SSL/TLS šifrování provozu v síti. V každém pracovním prostředí probíhá hybridní komunikace přes šifrované připojení. Potřebujete certifikát od veřejné certifikační autority na internetu. Získání a šifrování certifikátů SSL/TLS je standardní praxí a tyto činnosti obvykle usnadňují veřejné procesy certifikátů ve velkých společnostech. V menších společnostech se může stát, že budete muset poradit s IT, Microsoft 365 dokumentaci a poskytovatelem ISP.

Azure Active Directory nebo Azure AD je na pozadí, když synchronizujete nebo replikujte uživatele z místního předplatného Microsoft 365 (v cloudových prostorách). Je to přesně stejný Active Directory, jakou používá širší Azure. Výkonný a hladce se prolíná do Microsoft 365. Budete spravovat svoje uživatele a uživatelské licence v tomto adresáři. Správa licencí v Microsoft 365 není prováděna automaticky žádným hybridním průvodcem. Náklady zákazníků na zákazníky, tedy i rozhodnutí, komu a kolik licencí se neuskuteční.

Microsoft 365 je plně polovina hybridního. Má online hybridní Průvodce na pracovní vytížení. Toto není příliš efektivnější, ale toto je způsob, jakým hybridní práce funguje s 2016 (nebo v jiných slovech, jako v případě verze serveru SharePoint Server 2016, systému Exchange Server 2016 a Skypu pro firmy Server 2015, místní). Ale tohle není nejjednodušší způsob, jak nakonfigurovat všechny prvky v hybridním prostředí. Jeden hybridní průvodce, který by mohl zákazníkům umožnit zvolit, jaké pracovní vytížení se má provádět hybridní, a projít tento proces na pracovní vytížení a taky hybridního příkazového Microsoft 365 centra, což by mohlo ohlásit, jestli jsou technologie používané všemi hybridními v pořádku a/nebo jestli už na místě ještě neexistuje.

Co to znamená? To znamená, že každý průvodce provede stejné kroky, a to i často. Každý průvodce aktivuje OAuth (vztah důvěryhodnosti S2S), například (budeme mluvit o OAuth později). Někteří průvodci, jako je hybridní výběr pracovního vytížení SharePointu Online, nainstalujte OAuth bez ohledu na to, jaké tlačítko kliknete (pro každý vybraný výběr), jestli je požadován protokol OAuth pro váš hybridní scénář. Další průvodci, jako je třeba průvodce hybridním nastavením Exchange, nastavení OAuth na pozadí a jenom jednou.

Vztah důvěryhodnosti S2S nepotřebuje síť Internet, ale v případě hybridního řešení musí tento vztah důvěryhodnosti. S2S není jako vztah důvěryhodnosti domény nebo doménové struktury. Není k dispozici velký počet portů, které by bylo možné otevřít, a k vytvoření mezi aktivními adresáři není hlubší integrace. S2S vytvoří důvěryhodné připojení mezi místní farmou SharePointu a částí Microsoft 365 cloudu, která se nazývá služba Access Control nebo ACS (autorizační Server). Vztah důvěryhodnosti je založen na certifikátu SSL/TLS, který podepíše tokeny vydané jménem uživatelů, že vaše místní i Microsoft 365 ACS se považují za důvěryhodné – myslím na to, jako je třeba pět mezi pozvánkami SharePointem (a jeho službou ACS) a Azure ACS pro každého platného uživatele přistupujícího ke službě. Komunikace o identitách uživatelů (důvod pro tento vztah důvěryhodnosti) se provádí přes HTTP/443.

Hybridy můžou v tomto případě používat podepsané nebo veřejné certifikáty. Mnoho rozsáhlých společností zvolí veřejné certifikáty v důsledku svých standardů InfoSec – hlavně proto, že z provozu je přenášená/možná přes Internet, nedůvěryhodný segment. U hybridních hybridů SharePointu může být tento certifikát novým certifikátem podepsaným svým držitelem nebo jedním extrahovaným z certifikátu podepisování tokenů v rámci SP STS. (Pokud jste v hybridním SharePointu použili nový certifikát (veřejný nebo podepsaný), musíte nahradit certifikát Podepisování služby SP STS na všech uzlech ve farmě SharePointu.)

Provoz v hybridní síti opustí klientskou společnost/organizaci, prochází Internet a přejde do cloudu Microsoft a Microsoft Microsoft 365. Existuje způsob, jak se vyhnout tomuto nedůvěryhodnému a nekontrolovanému segmentu, a to díky expresní trase založené na poskytovateli třetí strany z vaší společnosti nebo organizace do cloudu Microsoft 365. Expresní trasy: vynechá připojení Internetu tím, že nabízí privátní připojení WAN ke cloudu. Je ale důležité si uvědomit, že v případech, kdy síť WAN nefunguje, je záložní síť stále Internet.

Všechny hybridy používají moduly PowerShell pro části správy nebo konfigurace. K většině modulů budete pravděpodobně patřit Pomocník pro přihlášení ke službám Microsoft Online Servicesa modul Azure Active Directory pro Windows PowerShell. Instalace těchto běžně používaných modulů PowerShellu umožňuje vyprep servery pro konfiguraci a správu svých hybridů.

Běžné porty a protokoly

Hybridy jsou 1/2 a 1/2 Microsoft 365 (hybridní služby Azure SaaS nebo PaaS nejsou součástí tohoto dokumentu). Je velmi pravděpodobné, že obě poloviny běží na HTTPs, ale nejméně, Microsoft 365 polovina je 100% https/Encrypt Certificates a to znamená, že je spouštěna přes standardní port 443. Musíte se ujistit, že veřejný certifikát je spojený s přenosy, které se nacházejí v nevýstupním bodě. To znamená, že budete muset nainstalovat certifikát do počítače, který mluví na okraji sítě – tento přenos bude pracovat přes 443 a bude zašifrován.

Všechny hybridní služby budou standardně používat 443 (HTTPS) a 53 (DNS) pro hybridní provoz. Některé budou používat další porty, jako je port 25 (SMTP). Ale Nejběžnější případ v hybridních úlohách pro porty je Skype pro firmy. Naštěstí jsou tyto porty dokumentovány.

Protokol standout používaný všemi hybridy (kromě srovnávacích testů používaných pro vyhledávání DNS, přenosy HTTPS, SMTP a další standardy), je OAuth (Open Authorization), který se taky používá v knihovně ověřování služby Active Directory. Používá se v případě, že serverové prostředky na jedné straně připojení musí sloužit jménem uživatele pro přístup k prostředkům na jiném serveru, který je často v cloudu. To znamená, že úroveň přístupu uživatelů k souboru nebo zdroji může být pro ověřeného uživatele měřená. Toto je také nazýváno "moderní ověřování" (i když OAuth odkazuje na autorizaci).

Všechny pracovní vytížení používají protokol OAuth/S2S, když jsou v hybridním prostředí (kromě všech hybridních funkcí). Hybridní průvodci obvykle automaticky nastaví tento užitečný protokol. Neplatí ale žádné sjednocení tohoto úsilí na pracovní vytížení, žádné vykazování stavu OAuth pro zákazníka ani centralizovaný způsob, jak tento univerzální prostředek spravovat jako 2016.

V některých případech hybridní průvodci zapnou protokol OAuth, když to není potřeba (třeba v případě, že se tento nástroj hybridních výběrů SharePointu zapne pro přesměrování na Cloud), nebo na každou možnost hybridní možnosti v průvodci (Další informace najdete v tématu Výběr hybridních možností SharePointu). nebo dokonce mimo výběr hybridních skriptů ve vlastních instalačních skriptech, například v hybridním prostředí cloudového hledání.

Tabulka společných prvků v Microsoft 365 hybridních složek

Proto máme seznam běžných prvků, které vypadají takto:

Ve všech pracovních vytíženích cíle je potřeba, aby uživatelé mohli být ve stejném rozsahu, aby mohli zjednodušit dvě nejdůležitější funkce hybridních funkcí – zjištění totožnosti vašeho uživatele a to, co může dělat s informacemi, které vám umožní zobrazit.

Poznámka k volitelnému

Některé z těchto prvků jsou nastavené na volitelné, ale jak budete vědět, jestli jsou potřeba? Některé prvky v Microsoft 365 hybridních složek jsou ve skutečnosti nepovinná nebo nejsou volitelné v celém okně:

Uvnitř pracovní hybridu existují další funkce, které spadají do šedé oblasti. Pravděpodobně to je nejdůležitější z těchto vztahů je důvěryhodnost/OAuth. Tento vztah důvěryhodnosti je vybudován všemi hybridními průvodci vytvořenými uvnitř společnosti Microsoft a vztah důvěryhodnosti je standardně vytvořený, a to i v případě, že není nutný, a to za účelem "budoucího prokazování". Až začnete pracovat s průvodcem, bude tato funkce zapnutá. Ale (jak jste si viděli dřívější verzi) není aktuálně používána ve všech případech.

Reverzní proxy server (WA-P v našem příkladu) je potřeba, když je do organizace zákazníka příchozí nevyžádaná žádost pro data nebo informace (například při použití hybridní služby BCS při publikování webových aplikací Office Web Apps nebo Office Online Server pro náhled dokumentu ve vyhledávání výsledky). Je taky potřeba, když publikujete koncový bod do DMZ vaší společnosti, třeba když Exchange používá WA-P jako proxy služby ADFS (takže pokud používáte AD FS v hybridním systému Exchange, budete potřebovat WA-P).

Okraje jsou nutné k udržení konzistentních komunikačních kanálů pro probíhající chaty v hybridním prostředí Skypu pro firmy a lze je použít ke směrování provozu protokolu SMTP do sítě z hraničního systému Exchange. Jak je uvedeno, používá se AD FS pro jednotné přihlašování.

Existují podobné tabulky pro S2S, jako je tabulka pro servery SharePoint v hybridních konfiguracích. Podobné tabulky mohou být vytvořené pomocí logiky protokolu S2S, která se používá, když je prostředek serveru na jedné straně hybridního připojení jednat jménem uživatele k přístupu k prostředkům na jiném serveru v cloudu.

* Hybridní výběr SharePointu stále zapne protokol OAuth, ale je to v budoucnu pro budoucí hybridní konfigurace.