Das Konzept der Hybridlösung – die Idee, dass Ihre lokale Infrastruktur so verzweigt werden kann, dass Ressourcen in die Microsoft Cloud eingeschlossen werden – ist in vielen Microsoft-Produkten vorhanden. Hybrid ist in Microsoft 365 aufgrund von "Workloads" wie Exchange Online, Skype for Business Online und SharePoint in Microsoft 365 vorhanden. Dies sind Workloads, die alle lokal eine Art "Spiegel-Image" oder "Zwilling" aufweisen, z. B. Skype for Business Online einen lokalen Zwilling Skype for Business Server 2015 und SharePoint in Microsoft 365 über SharePoint Server 2016 verfügt.
Wenn ich im Verlauf dieses Artikels über Microsoft 365-Hybride spreche, geht es darum, diese Zwillinge so zu verbinden, dass sie zusammenarbeiten. Daher werden wir hier über SharePoint-Hybriden, Exchange-Hybriden und Skype for Business Hybriden sprechen, die Microsoft 365 und lokal umfassen. Das Ziel ist es, die technologische Gemeinsamkeit deutlich zu machen, die in all diesen Microsoft 365-Hybriden vorhanden ist. Anders ausgedrückt: Wir werden die Bausteine von Microsoft 365-Hybriden auflisten.
Hybriden
Wenn ich hybrid sage, meine ich eine Zusammenarbeit von Technologien, die Partneranwendungen, die Sie in Ihrem Unternehmen besitzen und verwalten, mit denen, die wir in unseren Microsoft-Clouds verwalten.
Diese Definition funktioniert nicht nur für Azure, sondern auch für die meisten Workloads in Microsoft 365. Wenn Sie nicht wissen, was eine Workload ist, ist dies übrigens eine Anwendung, die auf der Microsoft 365 Cloud-Plattform ausgeführt wird– Skype for Business Online, Exchange Online und SharePoint Online sind Beispiele. "Workload" ist eine Möglichkeit, sie von ihren lokalen Gegenstücken zu unterscheiden, was nützlich ist, um Zuschreibungen und Unterhaltungen nicht zu verwirrend zu halten.
Hybrid-Outfits nutzen alle Zur Verfügung stehenden Ressourcen, egal wo sie leben.
Tipp
Hybrid ist eine sich ständig weiterentwickelnde Technologie bei Microsoft, mit vielen neuen Möglichkeiten, und so gibt es einige Teile der Konfiguration einer Hybride, die für andere fortgeschrittener sind. Die Funktionen von Hybridkonfigurationen werden wahrscheinlich von hier aus wachsen und sich ändern.
Lokale Hardwareressourcen gemeinsam
Alle Hybriden, über die ich hier spreche, verbinden eine Kundenumgebung über das Internet mit Microsoft 365 (und dem Azure Active Directory – AAD – im Hintergrund, da es als Verzeichnis für Microsoft 365 fungiert). Die Infrastruktur klingt möglicherweise schwierig zu konfigurieren. Trotz dessen, was Sie vielleicht gehört haben, braucht es keinen Abschluss in "anything-ology". Tatsächlich funktionieren die meisten Hybride auf die gleiche Weise (größtenteils) mit den gleichen Hardwareanforderungen.
Ab 2016 sind hier die Elemente aufgeführt, die alle Hybride benötigen. Wo Dinge optional sind, werde ich das sagen.
Alle Microsoft 365-Hybridworkloads verfügen über folgende gute Dinge:
- Einige lokale Server (z. B. eine SharePoint-Farm oder Skype for Business Umgebung).
- Active Directory lokal, in dem sich die Benutzer befinden oder "homed" sind (in der S4B-Terminologie).
- Ein Azure Active Directory Connect-Server (AAD Connect) (der eigenständig oder mit einem anderen Server wie WA-P kombiniert werden kann). Dies wird durch das Symbol "Synchronisieren" dargestellt, da AAD Connect verwendet wird, um Konten aus dem lokalen Standort mit der Cloud in einer Hybridbereitstellung zu synchronisieren.
- [Optional] Ein Reverseproxyserver, bei dem es sich in allen meinen Beispielen um einen WA-P-Server (Web Anwendungsproxy) wird.
- [Optional] Sie können auch den Active Directory-Verbundserver (ad FS) verwenden.
Hinweis
Sie müssen AD FS nicht verwenden. AAD Connect ermöglicht Ihnen die "Kennwortsynchronisierung" mit der Cloud sowie die Replikation von Benutzeridentitäten. Aber Sie senden das Kennwort nicht tatsächlich über das Internet. Sie senden einen nicht umkehrbaren Hash des Kennworts über eine durch TLS gesicherte Verbindung.
Außerdem sind Hybrid-Assistenten in jede Workload integriert, die Ihnen helfen, mit Ihrer Cloud zusammen zu arbeiten, sodass Sie alle Tools verwenden können, die Ihnen zur Verfügung stehen (unabhängig davon, wo sie sich befinden).
Wenn Sie nicht über AD FS verfügen, keine Complianceanforderungen haben, die dies erfordern, und die zusätzliche Komplexität nicht möchten, verwenden Sie es nicht. AAD Connect ist darauf ausgelegt, die Aufgabe zu erledigen (und das Replikationsintervall ist von etwa 3 Stunden auf 30 Minuten verringert, was eine hilfreiche Verbesserung ist).
Viele große Unternehmen verfügen über einige dieser Server. Viele verfügen über Active Directory-Domänencontroller oder über AD FS-Server. Wenn Sie über die Einrichtung einer Hybridbereitstellung nachdenken, sollten Sie sich mit anderen Administratoren erkundigen, welche lokalen Ressourcen bereits vorhanden sind. Es hilft Ihnen zu bestimmen, ob Sie vorhandene oder neue Infrastrukturelemente verwenden möchten.
Was machen diese Server?
Überspringen Sie diesen Abschnitt, wenn Sie bereits wissen, was diese Server tun.
Die meisten Menschen sind an die Vorgänge von Active Directory (AD) gewöhnt , z. B. wie Benutzer und Objekte in einer Domäne oder Gesamtstruktur (unter anderem) aufgelistet werden, und im Fall der Hybride ist es eine Basisbasis für die Benutzer, die in die Microsoft Cloud repliziert werden. Die Aufträge der Synchronisierung (AAD Connect), ADFS und WA-P (unser Beispiel reverse Proxy) sind etwas neuer und für die Verarbeitung hybrider HTTPS-Anforderungen und Identitäten wichtiger.
ADFS
Zu überprüfen, die Aufgabe von Active Directory-Verbunddienste (AD FS) besteht darin, beide Seiten der Hybride zu unterstützen, sich gegenseitig zu erkennen, und damit meine ich, Microsoft 365 wird den AD FS-Cluster (oder AD FS-Cluster) kennen und vertrauen, zu dem ein überprüfter öffentlicher Domänenname gehört. Dies ermöglicht einmaliges Anmelden. Das bedeutet, dass Microsoft 365, wenn Benutzer mit einem zugeordneten UPN zur Authentifizierung bei Onlineressourcen angezeigt werden, ihren UPN und den spezifischen AD FS-Server kennen, an den die Benutzer zur Authentifizierung gesendet werden sollen. Wenn Heidi@contoso.com der Anmeldeprozess für Exchange Online durchläuft, sendet Microsoft 365 eine Anforderung an Ihre Räumlichkeiten, damit AD FS bei der Authentifizierung eingreifen und entweder bestätigen kann, dass sie die von ihr behauptete Person ist, oder sie ablehnen kann. Dies kann schnell geschehen, wenn das Netzwerk und die Konfiguration dies zulässt. AD FS wird verwendet, wenn Sie einmaliges Anmelden nutzen möchten: Sobald sich die Benutzer bei einer AD FS-Sitzung anmelden, fängt der AD FS-Server im Hintergrund alle anderen Authentifizierungsaufforderungen ab (z. B. beim Wechsel zwischen Workloads), um Microsoft 365 daran zu erinnern, dass Sie immer noch der sind, der Sie sind, der Sie sind. Da einige IT-Abteilungen über Compliance- oder Informationssicherheitseinstellungen verfügen, die erfordern, dass Kennwörter lokal bleiben, und andere nicht, ist AD FS optional.
Hinweis
Unabhängig von der Hybridworkload wird AD FS nur verwendet, wenn einmaliges Anmelden erforderlich ist oder wenn es nicht den Standards entspricht oder der Kunde einen Kennworthash über das Internet und in ein Verzeichnis außerhalb der Edgefirewall des Unternehmens verschieben muss. Es ist wichtig zu beachten, dass die Kennwortsynchronisierung standardmäßig vom AAD Connect-Assistenten in Exchange Hybrids aktiviert ist. AD FS-Antworten auf Benutzerverzeichnisse AD oder ADAM (Active Directory-Anwendungsmodus).
Reverseproxy
Web Access-Proxy ist ein Reverseproxy (RP), der seit 2012 R2 in Windows Server Betriebssysteme integriert ist. An Ihrem Ausgangspunkt befindet sich ein Reverseproxy, der im Namen Ihrer Farm handelt. Es verfügt über eine "Seite", die mit dem Internet zugewandt ist und den öffentlichen Domänennamen Ihrer Microsoft 365-Hybrid-Instanz kennt, und eine "Seite", die auf Ihr Intranet oder Umkreisnetzwerk ausgerichtet ist und den Domänennamen Ihrer internen Ressourcen (z. B. die URL Ihrer SharePoint-Website) kennt. Es fängt alle Anforderungen ab, die an Ihr Unternehmen eingehen, und ermöglicht es Ihnen, Ports zu blockieren, den Datenverkehr einzugrenzen, den Sie aus dem Internet akzeptieren, und die internen Adressen und URLs für Ihr Netzwerk vor der Außenwelt auszublenden. Wie alle RPs ist es ein Proxy für interne Server in Ihrem Netzwerk, wenn Benutzer außerhalb des Netzwerks versuchen, auf eine Ressource zu gelangen.
SharePoint 2013-Hybride verwenden einen Reverseproxy wie WA-P, um eingehenden Datenverkehr abzufangen (von Benutzern in SPO, die Abfragen für einen lokalen Suchindex im Fall eines Suchverbunds durchführen), aber da SharePoint 2016 Cloud Hybrids den gesamten Index in der Cloud platzieren, benötigt die nächste Generation keinen mehr (was der einzige Grund ist, warum er in den Diagrammen als Optional gekennzeichnet ist). SharePoint 2013 ist jedoch nicht der einzige Ort, an dem ein Reverseproxy zum Abfangen von unerwünschtem Datenverkehr aus dem Internet verwendet wird. Skype for Business 2016 verwendet eine mit der Edge-Konfiguration und Exchange 2016 auch eine in seinem Edge. Da es in einigen Situationen erforderlich ist, ist WA-P optional.
Hinweis
- WA-P wird in SharePoint-Hybriden (2013-Verbundhybriden) verwendet, um einen SharePoint-Endpunkt über den Edge eines Unternehmens zu veröffentlichen. WA-P fängt Aufrufe von SPO ab, damit Dokumente in Suchergebnissen angezeigt werden, oder Elemente, die in Listen angezeigt werden, die von BCS oder SAP unterstützt werden. In der Cloudhybridsuche wird WA-P nur benötigt, wenn Sie Suchvorschauen in Ihren Suchergebnissen verwenden möchten (Sie müssten einen Endpunkt für Office Web-Apps Server über den Edge veröffentlichen). In Skype for Business wird WA-P verwendet, um Chat- und Konferenzdatenverkehr von außerhalb des Unternehmens abzufangen und zur weiteren Verarbeitung an den Skype for Business Edge umzuleiten.
- Exchange Hybrid verwendet das AAD Connect-Tool während des Hybrid-Assistenten, um Kunden die Möglichkeit zu geben, ADFS und WA-P für die Hybridverwendung von Exchange automatisch zu installieren und zu konfigurieren, wodurch die Komplexität reduziert wird, mit der Sie beim Einrichten einer Hybridbereitstellung konfrontiert werden. Weder das Setup und die Konfiguration noch die Registrierung von AD FS-Zertifikaten erfolgt automatisch für andere Hybridworkloads.
Synchronisieren
Die Grafik, die ich verwende, zeigt "Sync" für Azure Active Directory Connect. Die von AAD Connect durchgeführte Synchronisierung umfasst die fortlaufende Übertragung von Benutzern und/oder Benutzerinformationen aus Ihrer lokalen Umgebung und in die Cloud. AAD Connect kann zwei Aufgaben ausführen: Es repliziert Benutzerkonten in Microsoft 365 (Replikation) und kann Kennwortinformationen in Microsoft 365 synchronisieren (tatsächlich wird nicht das Kennwort synchronisiert, sondern ein nicht umkehrbarer Hash, der das Kennwort darstellt – Synchronisierung). Es muss nicht "Ihr Kennwort synchronisieren", aber es synchronisiert (repliziert) immer Ihre Benutzerkonten aus Active Directory (oder einer gefilterten Version Ihres lokalen Benutzerverzeichnisses)!
AAD Connect funktioniert mit fehlerfreien Domänencontrollern in Ihrer Active Directory-Domäne, um die gleiche Anmeldung anstelle des einmaligen Anmeldens von AD FS zu ermöglichen. Die gleiche Anmeldung bedeutet, dass Sie sich nicht nur einmal anmelden und ADFS für alle Eingabeaufforderungen für Ihre Sitzung eingreift, sondern sich mit demselben Kennwort wie lokal anmelden (und vermutlich die Option auswählen, sich angemeldet zu lassen, um die Anzahl der Eingabeaufforderungen zu reduzieren, die sich aus der Navigation durch mehrere Workloads ergeben). AAD Connect for Sync ist nicht optional.
Hinweis
- Unabhängig von der Hybridworkload erfordern alle AAD Connect. Eine Replikation und optionale Kennwortsynchronisierung Ihrer Benutzer mit Microsoft 365 (und der Azure AD dahinter) ist in allen Fällen erforderlich.
- Weitere Ähnlichkeiten sind, dass Die Kennwortsynchronisierung (die für die gleiche Anmeldung verwendet wird) auch erfordert, dass Sie Verzeichnisänderungen replizieren und Verzeichnisänderungen replizieren alle in den Active Directory-Domänen festlegen, die synchronisiert werden. Tun Sie dies für das lokale Konto, das von AAD Connect verwendet wird, und dass Sie einen DNS A- oder AAAA-Hosteintrag für den Verbunddienstnamen eines AD FS-Servers erstellen müssen, der für SSO verwendet wird, damit WA-P die ADFS-Serveradresse auflösen kann. Intern.
Gemeinsame Hybridkomponenten im Internet und im Internet verfügbar
Gegenüber den lokalen Servern in Ihrer Microsoft 365-Hybridumgebung und im Internet befindet sich die Microsoft Cloud, in der Sie – unabhängig von der Microsoft 365-Workload – einige vertraute Technologien verwenden. Dies sind:
- Öffentliche DNS-Einträge
- Öffentliche Zertifizierungsstellen
- Azure Active Directory (AAD)
- Microsoft 365 (Lizenzen/Subs) und Microsoft 365-Hybrid-Assistenten
- Eine Server-zu-Server-Vertrauensstellung (S2S)
- ExpressRoute- und/oder Internetdatenverkehr
- PowerShell-Module
Öffentliche DNS-Registrierungen wie GoDaddy verwalten und erlauben die Registrierung von Domänennamen. Wenn Sie hybrid verwenden möchten, müssen Sie einen Domänennamen mit öffentlichem DNS registrieren (dies kann in großen Unternehmen bereits für Sie geschehen). Dieser Domänenname wird Microsoft 365 hinzugefügt, wodurch auch überprüft wird, ob Sie der Besitzer des öffentlichen Domänennamens sind, den Sie hinzufügen.
In der Regel ist dieser Name der öffentlichen Domäne mit dem Active Directory-UPN identisch, der lokal an Hybridbenutzer angefügt ist, aber lassen Sie sich nicht mit diesem Detail auffangen. Mit dem Aufkommen des Attributs "onpremisessecurityidentifier" in PowerShell, das die Identität der lokalen SID zuordnet, ist der Abgleich der registrierten Domäne in Microsoft 365 mit dem UPN der lokalen Benutzer nicht mehr so wichtig wie früher. Es ist wichtiger zu wissen, dass Sie einen öffentlichen Domänennamen benötigen, den Sie nachweisen können. Dieser öffentliche Domänenname wird in Microsoft 365 registriert und stellt Ihre Microsoft 365-Präsenz auf beiden Seiten der Hybridverbindung dar.
Öffentliche Zertifizierungsstellen stellen Ihnen vertrauenswürdige SSL/TLS-Zertifikate bereit, um Ihren Netzwerkdatenverkehr zu verschlüsseln. In jeder Workload erfolgt die Hybridkommunikation über eine verschlüsselte Verbindung. Sie benötigen ein Zertifikat von einer öffentlichen Zertifizierungsstelle im Internet. Das Abrufen von UND SSL/TLS-Zertifikaten ist eine Standardmethode, und es gibt in der Regel öffentliche Zertifikatprozesse in großen Unternehmen, um dies zu erleichtern. In kleineren Unternehmen müssen Sie möglicherweise Ihre IT-Person, die Microsoft 365-Dokumentation und Ihren ISP konsultieren.
Hinweis
Möglicherweise müssen Sie Ihre öffentlichen Zertifikate nicht manuell anwenden. Der Exchange-Bereitstellungs-Assistent (EDA) für Exchange Hybrids nutzt Azure AD Connect, um Sie durch diesen Prozess zu führen und Zertifikate für Ihren AD FS-Server zu registrieren (falls Sie ein AD FS verwenden). Der EDA wurde entwickelt, um den Prozess der Hybridisierung zu optimieren.
Azure Active Directory oder Azure AD befindet sich im Hintergrund, wenn Sie Benutzer aus Ihrer lokalen Umgebung mit Ihrem Microsoft 365-Abonnement (Ihren cloudbasierten Standorten) synchronisieren bzw. replizieren. Es handelt sich genau um dasselbe Active Directory, das in breiteren Azure verwendet wird. Leistungsstark und nahtlos in Microsoft 365 integriert. Sie verwalten Ihre Benutzer und Benutzerlizenzen in diesem Verzeichnis. Die Verwaltung von Lizenzen in Microsoft 365 erfolgt nicht automatisch durch einen Hybrid-Assistenten. Lizenzen kosten Kunden Geld, sodass die Entscheidung, wer und wie viele Lizenzen erhalten, nicht automatisch getroffen wird.
Microsoft 365 ist vollständig die Hälfte Ihrer Hybridbereitstellung. Es verfügt über Onlinehybrid-Assistenten pro Workload. Dies ist nicht sehr effizient, aber so funktioniert hybrid ab 2016 (oder mit anderen Worten ab der Veröffentlichung von SharePoint Server 2016, Exchange Server 2016 und Skype for Business Server 2015 lokal). Dies ist jedoch nicht die einfachste Möglichkeit, alle Elemente in einer Hybridlösung zu konfigurieren. Ein einzelner Hybrid-Assistent, mit dem Kunden auswählen können, welche Workloads hybrid erstellt werden sollen, und der diesen Prozess pro Workload exemplarisch durchläuft, sowie ein Hybrid-Befehlscenter – ein Microsoft 365 Administrative Dashboard –, das melden könnte, ob Technologien, die von jeder Hybridbereitstellung verwendet werden, fehlerfrei sind und/oder bereits vorhanden sind, ist noch nicht vorhanden.
Was bedeutet das? Dies bedeutet, dass jeder Assistent die gleichen Schritte ausführt und oft mehr als einmal. Jeder Assistent aktiviert z. B. OAuth (S2S-Vertrauensstellung) (wir werden später über OAuth sprechen). Einige Assistenten, z. B. die Hybridauswahl der SharePoint Online-Workload, installieren OAuth unabhängig davon, auf welche Schaltfläche Sie klicken (für jede Auswahl, die Sie treffen), unabhängig davon, ob OAuth für Ihr Hybridszenario erforderlich ist. Andere Assistenten, z. B. der Exchange-Hybrid-Assistent, richten OAuth nur einmal im Hintergrund ein.
Eine S2S-Vertrauensstellung muss nicht über das Internet übertragen werden, aber im Falle einer Hybridverbindung muss diese Vertrauensstellung verwendet werden. Ein S2S ist nicht wie eine Domäne oder Gesamtstruktur-Vertrauensstellung. Es gibt keine große Anzahl von Ports, die geöffnet werden müssen, und es muss keine tiefere Integration zwischen aktiven Verzeichnissen erstellt werden. S2S erstellt eine vertrauenswürdige Verbindung zwischen Ihrer lokalen SharePoint-Farm und einem Teil der Microsoft 365-Cloud, der als Access Control Service oder ACS (autorisierungsserver) bezeichnet wird. Die Vertrauensstellung basiert auf einem SSL-/TLS-Zertifikat, das Token signiert, die im Namen von Benutzern ausgestellt wurden, und die sowohl ihr lokales als auch das Microsoft 365-ACS zustimmen, ist vertrauenswürdig . Denken Sie daran, dass es sich um einen hohen Fünfer zwischen lokalem SharePoint (und dem zugehörigen ACS-Proxydienst) und Azure ACS für jeden gültigen Benutzer handelt, der auf den Dienst zugreift. Die Kommunikation über Benutzeridentitäten (der Grund für diese Vertrauensstellung) erfolgt über HTTP/443.
Hinweis
Wie bei Azure AD verfügt Microsoft 365 über eine Vertrauensstellung mit Azure ACS.
Hybride können hier selbstsignierte oder öffentliche Zertifikate verwenden. Viele große Unternehmen werden sich aufgrund ihrer InfoSec-Standards für öffentliche Zertifikate entscheiden – vor allem, weil der Datenverkehr das Internet, ein nicht vertrauenswürdiges Segment, kreuzt bzw. durchquert. Bei SharePoint-Hybriden kann es sich bei diesem Zertifikat um ein neues selbstsigniertes Zertifikat oder ein zertifikat sein, das aus dem lokalen SP STS-Tokensignaturzertifikat extrahiert wurde. (Wenn Sie ein neues Zertifikat (öffentlich oder selbstsigniert) in einer SharePoint-Hybridbereitstellung verwendet haben, müssen Sie das SP STS-Tokensignaturzertifikat auf allen Knoten in der SharePoint-Farm ersetzen.)
Der Datenverkehr in einer Hybridverbindung verlässt ein Clientunternehmen/eine Client-Organisation, durchquert das Internet und gelangt in die Microsoft organization/Microsoft Microsoft 365 Cloud. Es gibt eine Möglichkeit, dieses nicht vertrauenswürdige und nicht kontrollierte Segment zu umgehen, und zwar durch die Verwendung einer ExpressRoute eines Drittanbieters von Ihrem Unternehmen oder organization in die Microsoft 365-Cloud. Express Route umgeht das Internet, indem eine private WAN-Verbindung mit der Microsoft Cloud angeboten wird. Es ist jedoch wichtig zu wissen, dass in Fällen, in denen das WAN einen Ausfall erleidet, der Fallback immer noch das Internet ist.
Alle Hybriden verwenden PowerShell-Module für Teile der Verwaltung oder Konfiguration. Die meisten Module, die Sie benötigen, umfassen wahrscheinlich den Microsoft Online Services-Anmeldeassistent und das Azure Active Directory-Modul für Windows PowerShell. Sie können Server für die Konfiguration und Verwaltung Ihrer Hybriden vorab vorbereiten, indem Sie diese häufig verwendeten PowerShell-Module installieren.
Gemeinsame Ports und Protokolle
Hybride sind 1/2 Ihre lokale Umgebung und 1/2 Microsoft 365 (Azure SaaS- oder PaaS-Hybriden werden in diesem Dokument nicht behandelt). Es ist sehr wahrscheinlich, dass beide Hälften auf HTTPs ausgeführt werden, aber zumindest ist die Microsoft 365-Hälfte 100% https/verschlüsselt durch TLS-Zertifikate, und das bedeutet, dass sie über Standardport 443 ausgeführt wird. Sie müssen sicherstellen, dass ein öffentliches Zertifikat auch dem Datenverkehr zugeordnet ist, der von Ihrem Ausgehenden Punkt ausgeht. Das heißt, Sie müssen ein Zertifikat auf dem Computer installieren, der die Kommunikation am Rand Ihres Netzwerks durchführt . Dieser Datenverkehr wird über 443 ausgeführt und wird verschlüsselt.
Hinweis
Wenn Sie AD FS verwenden, benötigen Sie tatsächlich drei Zertifikate, von denen eines öffentlich ausgestellt und für die Kommunikation von Diensten verwendet wird (es befindet sich auf Ihrem WA-P-Proxy, wenn Sie sich für die Verwendung von AD FS entscheiden), von denen zwei selbstsignierte Zertifikate sind, die bei der Installation von AD FS erstellt wurden, unterliegen der automatischen Verlängerung und sind die Tokensignatur- und Tokenentschlüsselungszertifikate, die zum Signieren aller Token von AD FS verwendet werden. Abgesehen von zertifikaten, die von einer optionalen AD FS benötigt werden, müssen alle Hybride jedoch über ein S2S-Zertifikat verfügen (manchmal auch als S2S ACS Trust-Zertifikat bezeichnet, was ein zu langer Name ist).
Alle Hybriddaten verwenden standardmäßig 443 (HTTPS) und 53 (DNS) für Hybriddatenverkehr. Einige verwenden zusätzliche Ports wie Port 25 (SMTP). Der komplexeste Fall bei Hybridworkloads für Ports ist jedoch Skype for Business. Glücklicherweise sind die Ports dokumentiert.
Das herausragende Protokoll, das von allen Hybriden verwendet wird (abgesehen von Benchmarks, die für DNS-Suche, HTTPS-Datenverkehr, SMTP und andere Standards verwendet werden), ist OAuth (Open Authorization), das auch in der Active Directory-Authentifizierungsbibliothek verwendet wird. Es wird verwendet, wenn eine Serverressource auf einer Seite der Verbindung im Namen eines Benutzers handeln muss, um auf Ressourcen auf einem anderen Server zuzugreifen, häufig in der Cloud. Dies ist ein Mittel, mit dem die Ebene des Benutzerzugriffs auf eine Datei oder Ressource für einen authentifizierten Benutzer gemessen werden kann. Dies wird auch als "Moderne Authentifizierung" bezeichnet (OAuth bezieht sich jedoch auf autorisierung).
Alle Workloads verwenden OAuth/S2S in einer Hybridumgebung (jedoch nicht für jedes Hybridfeature). Hybrid-Assistenten richten dieses hilfreiche Protokoll in der Regel automatisch ein. Es gibt jedoch keine Vereinheitlichung dieses Aufwands über die Workloads hinweg, keine Meldung des OAuth-Status an den Kunden und keine zentralisierte Möglichkeit, diese universelle Ressource ab 2016 zu verwalten.
In einigen Fällen aktivieren Hybrid-Assistenten OAuth, wenn es nicht benötigt wird (z. B. wenn die SharePoint-Hybridauswahl dies für OneDrive for Business Umleitung zur Cloud aktiviert) oder bei jeder Auswahl einer Hybridoption im Assistenten (siehe SharePoint-Hybridauswahl) oder sogar außerhalb der Hybridauswahl in benutzerdefinierten Setupskripts, z. B. bei der Cloudhybridsuche.
Hinweis
Sie können den Dreh- und Angelpunkt des Hybrids als Server-zu-Server-Vertrauensstellung (S2S) zwischen der lokalen Umgebung und der Cloud betrachten. Es kann hilfreich sein, sich bewusst zu sein, dass S2S der Name von Microsoft für die Implementierung von OAuth ist. Zugrunde liegenden S2S/OAuth in allen workloads sind die Authentifizierungs- und Identitätsebenen, die beide Anspruchsauthentifizierung verwenden.
Tabelle der allgemeinen Elemente in Microsoft 365-Hybriden
Nun haben wir eine Liste allgemeiner Elemente, die wie folgt aussieht:
| Dinge, die Hybridworkloads gemeinsam haben | |
|---|---|
| Lokale Hardware | Lokale Anwendungen, die mit Workloads in Microsoft 365 zusammenarbeiten (z. B. Exchange Server zu Exchange Online) AAD Connect Reverseproxy (nach Bedarf) AD FS (optional) |
| Internet-Dinge | Öffentliche DNS-Einträge Öffentliche Zertifizierungsstellen Azure Active Directory (AAD ist das Benutzerverzeichnis in Microsoft 365) Microsoft 365 (E1-, E3-, E5-Abonnements) Microsoft 365-Hybrid-Assistenten Server-zu-Server-Vertrauensstellung (S2S) |
| Ports und Protokolle | HTTPS DNS S2S/OAuth |
Letztendlich besteht das Ziel darin, Benutzer über alle Workloads hinweg so zu erreichen, dass sie über Grenzen hinweg identisch sind, damit wir zwei der wichtigsten Funktionen vereinfachen können, die eine Hybridlösung ausführt– nämlich die Identität Ihres Benutzers herauszufinden und was er mit den Informationen tun darf, die er sehen darf.
Ein Hinweis auf "Optional"
Einige dieser Elemente sind auf "optional" festgelegt, aber wo erfahren Sie, ob sie benötigt werden? Einige Elemente in Microsoft 365-Hybriden sind wirklich optional oder nicht generell optional:
| Vollständig optional – alle Microsoft 365-Hybride | Nicht optional/für alle Microsoft 365-Hybriden erforderlich |
|---|---|
| ADFS | AAD Connect |
Innerhalb einer funktionierenden Hybride gibt es weitere Features, die in einen grauen Bereich fallen. Die wahrscheinlich wichtigste davon ist das S2S Trust / OAuth. Diese Vertrauensstellung wird von jedem Hybrid-Assistenten erstellt, der innerhalb von Microsoft erstellt wird, und die Vertrauensstellung wird standardmäßig erstellt, auch wenn sie nicht erforderlich ist, um "zukunftssichere" Hybriden zu ermöglichen. Sobald Sie die Hybridbereitstellung über einen Assistenten ausführen, ist dieses Feature ein. Aber (wie Sie zuvor gesehen haben) wird es derzeit nicht in allen Fällen verwendet.
Ein Reverseproxy (WA-P in unserem Beispiel) wird benötigt, wenn eine unaufgefragte Anforderung an den Kunden organization für Daten oder Informationen eingehen (z. B. bei Verwendung von Hybrid-BCS, beim Veröffentlichen von Office Web-Apps oder Office Online Server für die Dokumentvorschau in Suchergebnissen). Dies ist auch erforderlich, wenn Sie einen Endpunkt in einer DMZ Ihres Unternehmens veröffentlichen, z. B. wenn Exchange WA-P als AD FS-Proxy verwendet (wenn Sie AD FS in einer Exchange Hybrid-Instanz verwenden, benötigen Sie WA-P).
Edges sind erforderlich, um konsistente Kommunikationskanäle für laufende Chats in Skype for Business Hybrid zu gewährleisten, und können verwendet werden, um SMTP-Datenverkehr von einem Umkreis in einem Exchange Hybrid in das Netzwerk weiterzuleiten. Wie bereits erwähnt, wird AD FS für einmaliges Anmelden verwendet.
| Muss einen Reverseproxy verwenden | Kann einen Reverseproxy verwenden (optional) | Kein Reverseproxy erforderlich |
|---|---|---|
| Eingehende SharePoint-Hybridsuche SharePoint-Hybrid-BCS Skype for Business-Hybridumgebung |
SharePoint Cloud hybrid (Cloud SSA) Exchange hybrid using ADFS for SSO |
OneDrive for Business Umleitung Features der SharePoint-Hybridwebsite Umleitung von SharePoint-Hybridprofilen Hybride Extranetumleitung |
Es gibt ähnliche Tabellen für S2S, z. B. diese Tabelle für SharePoint-Server in Hybridkonfigurationen. Tabellen wie diese können mithilfe der Logik des S2S-Protokolls erstellt werden, das verwendet wird, wenn eine Serverressource auf einer Seite der Hybridverbindung im Namen eines Benutzers handeln muss, um auf Ressourcen auf einem anderen Server in der Cloud zuzugreifen.
| SharePoint-Hybridfeatures, die OAuth verwenden müssen | SharePoint-Hybridfeatures, die OAuth nicht verwenden |
|---|---|
| Hybridsuche (ausgehend + eingehend) Cloudhybridsuche (Cloud SSA) mit Verwendung von Suchvorschauen Hybrid Business Connectivity Service (BCS) Hybridwebsitefeatures Hybridprofile Verwaltete Hybridmetadaten |
OneDrive for Business-Umleitung* Hybrides Extranet* Hybridprofile* Cloudhybridsuche (Cloud SSA) ohne Verwendung von Suchvorschauen |
*Die SharePoint-Hybridauswahl aktiviert weiterhin OAuth, dies dient jedoch zukünftigen Hybridkonfigurationen.