Das Konzept der Hybrid--die Idee, dass Ihre lokale Infrastruktur verzweigt werden kann, um Ressourcen in die Microsoft-Cloud einzubeziehen, ist in vielen Microsoft-Produkten vorhanden. Hybrid ist in Microsoft 365 vorhanden, da es sich um Arbeitslasten wie Exchange Online, Skype for Business Online und SharePoint in Microsoft 365 handelt. Hierbei handelt es sich um Arbeitsauslastungen, die alle eine Art "Spiegelbild" oder "Twin" aufweisen, beispielsweise Skype for Business Online eine lokale Twin-, Skype for Business Server 2015-und SharePoint in Microsoft 365SharePoint Server 2016 hat.
Wenn ich im Verlauf dieses Artikels über Microsoft 365 Hybriden spreche, spreche ich davon, diese Zwillinge so zu verbinden, dass Sie zusammenarbeiten. Wir werden uns also mit SharePoint-Hybriden, Exchange-Hybriden und Skype for Business-Hybriden besprechen--Dinge, die sich Microsoft 365 und lokal überspannen – hier. Das Ziel besteht darin, die technologische Gemeinsamkeit zu verdeutlichen, die in all diesen Microsoft 365 Hybriden vorhanden ist. Mit anderen Worten, wir werden die Bausteine von Microsoft 365 Hybriden auflisten.
Hybriden
Wenn ich Hybrid sage, bedeute ich eine Zusammenarbeit von Technologien, die Partneranwendungen sind, die Sie in Ihrem Unternehmen besitzen und verwalten, mit denen, die wir in unserer Microsoft-Cloud (s) verwalten.
Diese Definition funktioniert nicht nur für Azure, sondern auch für die meisten Arbeitsauslastungen in Microsoft 365. Wenn Sie nicht wissen, was eine Arbeitsauslastung ist, ist es übrigens eine Anwendung, die auf der Microsoft 365 Cloud-Plattform ausgeführt wird – Skype for Business Online, Exchange Online und SharePoint Online sind Beispiele. "Arbeitsauslastung" ist eine Möglichkeit, um Sie von Ihren lokalen Gegenstücken unterschiedlich zu halten, was nützlich ist, um zu verhindern, dass das Schreiben und Unterhaltungen verwirrend wird.
Hybrid-Outfits nutzen alle Ressourcen zur Hand, egal, wo Sie leben.
Tipp: Hybrid ist eine immer weiter entwickelnde Technologie bei Microsoft, mit vielen neuen Möglichkeiten, die sich aufteilen, und so gibt es einige Teile der Konfiguration eines Hybriden, die für andere weiterentwickelt sind. Die Funktionen von Hybridkonfigurationen sind wahrscheinlich größer und ändern sich von hier aus.
Auf-Prem-Hardwareressourcen gemeinsam
Alle Hybriden, über die ich hier spreche, verbinden eine Kundenumgebung über das Internet mit Microsoft 365 (und dem Azure Active Directory – Aad – im Hintergrund, da Sie als Verzeichnis für Microsoft 365 fungiert). Die Konfiguration der Infrastruktur klingt möglicherweise schwierig. Ungeachtet dessen, was Sie vielleicht gehört haben, ist es nicht möglich, etwas zu ology. In der Tat arbeiten die meisten Hybriden auf die gleiche Weise mit den gleichen Hardwareanforderungen (zum größten Teil).
Ab 2016 sind hier die Elemente, die alle Hybriden benötigen. Wenn die Dinge optional sind, werde ich das sagen.
Alle Microsoft 365 Hybriden Arbeitslasten haben folgende Vorteile:
-
Einige auf-Prem-Server (wie eine SharePoint-Farm oder eine Skype for Business-Umgebung).
-
Lokales Active Directory, in dem die Benutzer Leben oder "in S4B Terminologie" verwaltet werden.
-
Ein Azure Active Directory Connect-Server (AAD Connect) (dieser kann eigenständig sein oder mit einem anderen Server wie WA-P kombiniert sein). Dies wird durch das Symbol "synchronisieren" dargestellt, da Aad Connect verwendet wird, um Konten aus dem lokal mit der Cloud in einem Hybrid zu synchronisieren.
-
[Optional] Ein Reverse-Proxy-Server, der in allen meinen Beispielen Web Application Proxy (WA-P) Server sein wird.
-
[Optional] Sie können auch den Active Directory-Verbund Server (oder ADFS) verwenden.
Hinweis: Sie brauchen keine ADFS zu verwenden. Mit Aad Connect können Sie die "Kennwortsynchronisierung" mit der Cloud zusammen mit der Replikation von Benutzeridentitäten ausführen. Sie senden das Kennwort aber eigentlich nicht über das Internet. Sie senden einen nicht reversiblen Hash des Kennworts über eine gesicherte TLS-Verbindung.
Darüber hinaus sind in jeder Arbeitsauslastung Hybrid-Assistenten integriert, die Ihnen helfen, mit ihrer Cloud zu arbeiten, damit Sie alle Ihnen zur Verfügung stehenden Tools nutzen können (unabhängig davon, wo Sie leben).
Wenn Sie nicht über ADFS verfügen, keine Compliance-Anforderungen haben, die es erfordern, und nicht die zusätzliche Komplexität wünschen, verwenden Sie es nicht. Aad Connect wurde entwickelt, um die Aufgabe zu erledigen (und das Replikationsintervall liegt zwischen ca. 3 Stunden und 30 Minuten, was eine hilfreiche Verbesserung ist).
In vielen großen Unternehmen sind einige dieser Server vorhanden. Viele verfügen über Active Directory-Domänencontroller oder verfügen möglicherweise über ADFS-Server. Wenn Sie darüber nachdenken, eine Hybrid Einrichtung einzurichten, sollten Sie sich mit anderen Administratoren erkundigen, um herauszufinden, welche lokalen Ressourcen bereits vorhanden sind. Es hilft Ihnen, festzustellen, ob Sie vorhandene Infrastruktur Teile oder neu verwenden möchten.
Was machen diese Server?
Überspringen Sie diesen Abschnitt, wenn Sie bereits wissen, was diese Server tun.
Die meisten Personen sind an die Vorgänge von Active Directory (AD) gewöhnt – wie Sie Benutzer und Objekte in einer Domäne oder Gesamtstruktur auflisten (unter anderem)--und im Fall der hybride handelt es sich um eine Home-Basis für die Benutzer, die in die Microsoft-Cloud repliziert werden. Die Aufträge der Synchronisierung (AAD Connect), ADFS und WA-P (unser Beispiel für einen Reverse-Proxy) sind etwas neuer und zentraler für die Verarbeitung von Hybriden HTTPS-Anforderungen und-Identitäten, also reden wir über diese.
ADFS
Um dies zu überprüfen, besteht die Aufgabe der Active Directory-Verbunddienste darin, den beiden Seiten des Hybrids zu helfen, sich gegenseitig zu erkennen, und damit meine ich, Microsoft 365 den ADFS (oder ADFS-Cluster), zu dem ein geprüfter öffentlicher Domänenname gehört, vertraut machen und ihm vertrauen wird. Dies ermöglicht einmaliges Anmelden. Das bedeutet, dass Microsoft 365, wenn Benutzer mit einem zugehörigen UPN zur Authentifizierung für Online Ressourcen angezeigt werden, deren UPN und den spezifischen ADFS-Server kennen, an den die Benutzer zur Authentifizierung gesendet werden sollen. Wenn Heidi@contoso.com den Anmeldeprozess für Exchange Online durchläuft, sendet Microsoft 365 eine Anforderung an ihre Räumlichkeiten, damit ADFS bei der Authentifizierung intervenieren und entweder bestätigen kann, dass Sie die Person ist, die Sie beansprucht, oder Sie ablehnen. Dies kann schnell geschehen, wenn das Netzwerk und die Konfiguration dies zulässt. ADFS wird verwendet, wenn Sie die einmalige Anmeldung nutzen möchten: Nachdem sich die Benutzer bei einer ADFS-Sitzung angemeldet haben, fängt der ADFS-Server automatisch alle anderen Authentifizierungs Aufforderungen ab (wie beim Umschalten zwischen Arbeitsauslastungen), um Microsoft 365 daran zu erinnern, dass Sie immer noch die Person sind, die Sie sagen. Da einige IT-Abteilungen über Konformitäts-oder Informations Sicherheitseinstellungen verfügen, die Kennwörter erfordern, lokal zu bleiben, und andere nicht, ist ADFS optional.
Hinweis: Unabhängig von der Hybriden Arbeitsauslastung wird ADFS nur verwendet, wenn ein einmaliges Anmelden erforderlich ist oder wenn es nicht mit Standards kompatibel ist oder der Kunde einen Kennworthash über das Internet und in ein Verzeichnis außerhalb der Edge-Firewall des Unternehmens verschieben muss. Beachten Sie, dass die Kennwortsynchronisierung standardmäßig vom Aad-Verbindungs-Assistenten in Exchange-Hybriden aktiviert ist. ADFS-Antworten auf Benutzerverzeichnisse AD oder Adam (Active Directory-Anwendungsmodus).
Reverseproxy
Web Access-Proxy ist ein Reverse Proxy (RP), der seit der Veröffentlichung von 2012 R2 in Windows Server-Betriebssystemen integriert ist. Ein Reverse-Proxy steht an Ihrem Ausgangspunkt, um im Namen Ihrer Farm zu agieren. Es hat eine Seite, die mit dem Internet in Verbindung steht und den Namen der öffentlichen Domäne Ihres Microsoft 365-Hybrids und eine "Seite" kennt, die mit Ihrem Intranet oder Umkreisnetzwerk in Verbindung steht und den Domänennamen Ihrer internen Ressourcen kennt (beispielsweise Ihre SharePoint-Website-URL). Sie fängt alle Anforderungen ab, die in Ihrem Unternehmen eingehen, und ermöglicht Ihnen, Ports zu blockieren, den Datenverkehr zu verengen, den Sie aus dem Internet akzeptieren, und die internen Adressen und URLs für Ihr Netzwerk von außerhalb der Welt zu verbergen. Wie alle RPS ist es ein Proxy für interne Server in Ihrem Netzwerk, wenn Benutzer außerhalb des Netzwerks versuchen, zu einer Ressource zu gelangen.
SharePoint 2013-Hybriden verwenden einen Reverse-Proxy wie WA-P, um eingehenden Datenverkehr abzufangen (von Benutzern in SPO, die Abfragen für einen auf-Prem-Suchindex im Fall von Such Föderationen durchführen), aber weil in SharePoint 2016-Cloud-Hybriden der gesamte Index in der Cloud platziert wird, wird die die nächste Generation benötigt keines mehr (Dies ist der einzige Grund, warum Sie in den Diagrammen als optional gekennzeichnet ist). SharePoint 2013 ist aber nicht der einzige Ort, an dem Sie einen Reverseproxy sehen, der verwendet wird, um unerwünschten Datenverkehr aus dem Internet abzufangen. Skype for Business 2016 verwendet eins mit seiner Edge-Konfiguration, und Exchange 2016 verwendet eine davon ebenfalls am Rand. Da es in einigen Situationen erforderlich ist, ist WA-P optional.
Hinweise:
-
WA-P wird in SharePoint-Hybriden (2013-Federated-Hybriden) verwendet, um einen SharePoint-Endpunkt über den Edge eines Unternehmens zu veröffentlichen. WA-P fängt Aufrufe von SPO für Dokumente ab, die in Suchergebnissen angezeigt werden sollen, oder Elemente, die in Listen angezeigt werden sollen, die von BCS oder SAP unterstützt werden. In der Hybrid Suche in der Cloud wird der WA-P nur benötigt, wenn Sie in den Suchergebnissen eine Vorschau der Suche anzeigen möchten (Sie müssen einen Endpunkt für Office Web Apps Server über den Edge veröffentlichen). In Skype for Business wird WA-P verwendet, um Chat-und Konferenzdatenverkehr von außerhalb des Unternehmens abzufangen und zur weiteren Verarbeitung an den Edge von Skype for Business umzuleiten.
-
Exchange-Hybrid nutzt das Aad-Verbindungstool während des Hybrid-Assistenten, um Kunden die Möglichkeit zu bieten, ADFS und WA-P automatisch für Exchange-Hybrid Nutzung zu installieren und zu konfigurieren, wodurch die Komplexität beim Einrichten eines Hybrids verringert wird. Weder Setup und Konfiguration noch die Registrierung von ADFS-Zertifikaten erfolgt automatisch auf andere hybride Arbeitslasten.
Synchronisieren
Die verwendete Grafik zeigt "Sync" für Azure Active Directory Connect. Wirklich, die Synchronisierung, die von Aad Connect durchgeführt wird, beinhaltet die fortlaufende Übertragung von Benutzern und/oder Benutzerinformationen aus Ihrem lokalen und in die Cloud. Aad Connect kann zwei Dinge tun: es repliziert Benutzerkonten in Microsoft 365 (Replikation), und es kann Kennwortinformationen in Microsoft 365 synchronisieren (wirklich wird nicht das Kennwort synchronisiert, sondern ein nicht reversibler Hash, der die Kennwortsynchronisierung darstellt). Es muss nicht "Ihr Kennwort synchronisieren", aber es synchronisiert (repliziert) ihre Benutzerkonten immer aus Active Directory (oder einer gefilterten Version Ihres lokalen Benutzerverzeichnisses)!
Aad Connect arbeitet mit fehlerfreien Domänencontrollern in Ihrer Active Directory-Domäne zusammen, um "dieselbe Anmeldung" anstelle von adfss einmaligem Anmelden zu ermöglichen. Dieselbe Anmeldung bedeutet, dass Sie sich mit dem gleichen Kennwort wie bei Prem anmelden, anstatt eine einmalige Anmeldung durchführen zu lassen und ADFS für alle Eingabeaufforderungen für Ihre Sitzung zu verwenden (und vermutlich die Option zum Einloggen verwenden, um die Anzahl der Eingabeaufforderungen zu verringern, die Ergebnis beim Navigieren in mehreren Arbeitsauslastungen). Aad Connect für die Synchronisierung ist nicht optional.
Hinweise:
-
Unabhängig von der Hybriden Arbeitsauslastung erfordern alle Aad Connect. Eine Replikation und optionale Kennwortsynchronisierung Ihrer Benutzer zu Microsoft 365 (und der dahinter liegenden Azure AD) ist in allen Fällen erforderlich.
-
Zu den anderen Ähnlichkeiten gehört auch, dass die Kennwortsynchronisierung (für die gleichzeitige Anmeldung verwendet) auch das Festlegen von Replikat Verzeichnisänderungen und das Replizieren von Verzeichnisänderungen in den Active Directory-Domänen erfordert, die synchronisiert werden – für das lokale Konto wird von Aad Connect verwendet, und Sie müssen einen DNS-a-oder AAAA-Hosteintrag für den Verbunddienst Namen eines für SSO verwendeten ADFS-Servers vornehmen, damit WA-P die Adresse des ADFS-Servers intern auflösen kann.
Internet und Internet-verfügbare Hybridteile gemeinsam
Gegenüber den lokalen Servern in ihrer Microsoft 365-Hybrid und über das Internet befindet sich die Microsoft-Cloud, in der – unabhängig von der Microsoft 365 Auslastung – einige vertraute Technologien verwendet werden. Dies sind:
-
Öffentliche DNS-Einträge
-
Öffentliche Zertifizierungsstellen
-
Azure Active Directory (AAD)
-
Microsoft 365 (Lizenzen/subs) und Microsoft 365 Hybrid-Assistenten
-
Eine Server-zu-Server (S2S)-Vertrauensstellung
-
Express-Route und/oder Internet Datenverkehr
-
PowerShell-Module
Öffentliche DNS-Registrare, wie GoDaddy, verwalten und ermöglichen die Registrierung von Domänennamen. Wenn Sie Hybrid verwenden möchten, müssen Sie einen Domänennamen mit öffentlichem DNS registrieren (Dies ist möglicherweise bereits für Sie in Großunternehmen erledigt). Dieser Domänenname wird Microsoft 365 hinzugefügt, wodurch auch sichergestellt wird, dass Sie den Namen der öffentlichen Domäne besitzen, die Sie hinzufügen.
In der Regel ist dieser öffentliche Domänenname derselbe wie der Active Directory-UPN, der an Hybrid Benutzer lokal angeschlossen ist, aber nicht in diesem Detail aufgeholt werden. Mit dem Aufkommen des Attributs "onpremisessecurityidentifier" in PowerShell, das der lokalen sid Identität zuordnet, ist die Übereinstimmung mit der registrierten Domäne in Microsoft 365 mit dem UPN der Benutzer auf-Prem nicht mehr so kritisch wie zuvor. Es ist wichtiger zu wissen, dass Sie einen öffentlichen Domänennamen benötigen, den Sie nachweisen können, dass dieser öffentliche Domänenname in Microsoft 365 registriert wird und ihre Microsoft 365 Anwesenheit auf beiden Seiten der hybridverbindung darstellt.
Öffentliche Zertifizierungsstellen geben Ihnen zuverlässige SSL/TLS-Zertifikate, um den Netzwerkdatenverkehr zu verschlüsseln. Bei jeder Arbeitsauslastung erfolgt die Hybrid Kommunikation über eine verschlüsselte Verbindung. Sie benötigen ein Zertifikat von einer öffentlichen Zertifizierungsstelle im Internet. Das Abrufen und SSL/TLS-Zertifikat ist eine Standardmethode, und es gibt in der Regel öffentliche Zertifikat Prozesse in Großunternehmen, um dies zu erleichtern. In kleineren Unternehmen müssen Sie möglicherweise Ihre IT-Person, Microsoft 365 Dokumentation und Ihren ISP konsultieren.
Hinweis: Möglicherweise müssen Sie Ihr öffentliches Zertifikat (e) nicht manuell anwenden. Der Exchange-Bereitstellungs-Assistent (EDA) für Exchange-Hybriden nutzt Azure AD Connect, um Sie durch diesen Prozess zu führen und Zertifikate für Ihren ADFS-Server zu registrieren (sollten Sie eine ADFS verwenden). Die EDA-Lösung soll dazu beitragen, den Prozess des Hybrid-Going zu rationalisieren.
Azure Active Directory oder Azure AD befindet sich im Hintergrund, wenn Sie Benutzer aus Ihrem lokalen Standort auf Ihr Microsoft 365-Abonnement (Ihre Cloud-Räumlichkeiten) synchronisieren/replizieren. Es ist genau das gleiche Active Directory, das in einem breiteren Azure verwendet wird. Kraftvoll und nahtlos in Microsoft 365 integriert. Sie verwalten Ihre Benutzer und die Benutzerlizenzen in diesem Verzeichnis. Das Verwalten von Lizenzen in Microsoft 365 erfolgt nicht automatisch durch einen beliebigen Hybrid-Assistenten. Lizenzen Kosten Kunden Geld, sodass die Entscheidung, wer und wie viele Lizenzen erhalten, nicht automatisch erfolgt.
Microsoft 365 ist vollständig die Hälfte Ihres Hybrids. Pro Arbeitsauslastung sind Online-Hybrid-Assistenten verfügbar. Dies ist nicht sehr effizient, aber so funktioniert die Hybrid Funktion ab 2016 (oder, anders ausgedrückt, mit der Veröffentlichung von SharePoint Server 2016, Exchange Server 2016 und Skype for Business Server 2015, lokal). Dies ist aber nicht die einfachste Methode, um alle Elemente in einer Hybrid Konfiguration zu konfigurieren. Ein einzelner Hybrid-Assistent, mit dem Kunden auswählen können, welche Arbeitslasten Hybrid sind, und wie Sie diesen Prozess pro Arbeitsauslastung durchlaufen, sowie ein Hybrid-Befehls Center – ein Microsoft 365 administratives Dashboard –, das melden kann, ob Technologien, die von jedem Hybriden verwendet werden, gesund sind und/oder bereits vorhanden sind.
Was bedeutet das? Das bedeutet, dass jeder Assistent dieselben Schritte und häufig mehrmals durchführt. Jeder Assistent aktiviert beispielsweise OAuth (S2S Trust) (wir sprechen später über OAuth). Einige Assistenten, wie die Hybrid Auswahl der SharePoint Online-Arbeitsauslastung, installieren OAuth unabhängig von der Schaltfläche, auf die Sie klicken (für jede ausgewählte Auswahl), ob OAuth für Ihr Hybrid Szenario erforderlich ist. Andere Assistenten, wie der Exchange-Hybrid-Assistent, richten OAuth im Hintergrund und nur einmal ein.
Eine S2S-Vertrauensstellung muss nicht über das Internet übertragen werden, aber im Fall von Hybrid muss diese Vertrauensstellung. Eine S2S ist nicht wie eine Domänen-oder Gesamtstrukturvertrauensstellung. Es gibt keine große Anzahl von Ports, die geöffnet werden können, und keine tiefere Integration, um zwischen aktiven Verzeichnissen zu erstellen. S2S erstellt eine vertrauenswürdige Verbindung zwischen Ihrer lokalen SharePoint-Farm und einem Teil der Microsoft 365 Wolke, dem sogenannten Access Control Service oder ACS (einem autorisierungsserver). Die Vertrauensstellung basiert auf einem SSL/TLS-Zertifikat, das Token signiert, die im Auftrag von Benutzern ausgestellt wurden, dass Ihre lokalen und die Microsoft 365 ACS sich beide einig sind, vertrauenswürdig sind – denken Sie daran, dass es sich um ein höheres Fünftel zwischen auf-Prem SharePoint (und seinem ACS-Proxydienst) und Azures ACS für jeden gültigen Benutzer handelt Die Kommunikation über Benutzeridentitäten (der Grund für diese Vertrauensstellung) erfolgt über HTTP/443.
Hinweis: Wie bei Azure AD hat Microsoft 365 eine Vertrauensstellung mit Azures ACS.
Hybriden können hier selbstsignierte oder öffentliche Zertifikate verwenden. Viele große Unternehmen wählen aufgrund ihrer INFOSEC-Standards öffentliche Zertifikate aus – vor allem, weil der Verkehr über das Internet, ein nicht vertrauenswürdiges Segment, verläuft. Bei SharePoint-Hybriden kann dieses Zertifikat ein neues selbstsigniertes Zertifikat oder ein aus dem lokalen SP STS-Token Signierungszertifikat extrahiertes Zertifikat sein. (Wenn Sie in einem SharePoint-Hybrid ein neues Zertifikat (öffentlich oder selbst signiert) verwendet haben, müssen Sie das Token signing CERT für SP STS auf allen Knoten in der SharePoint-Farm ersetzen.)
Der Datenverkehr in einem hybriden verlässt ein Client Unternehmen/eine Organisation, überquert das Internet und tritt in die Microsoft Organization/Microsoft Microsoft 365 Cloud ein. Es gibt eine Möglichkeit, dieses nicht vertrauenswürdige und unkontrollierte Segment zu umgehen, und zwar mithilfe einer Drittanbieter basierten Express Route von Ihrem Unternehmen oder Ihrer Organisation in die Microsoft 365 Cloud. Die Express-Route umgeht das Internet, indem Sie eine private WAN-Verbindung zur Microsoft-Cloud anbietet. Allerdings ist es wichtig zu wissen, dass das Fallback in den Fällen, in denen das WAN einen Fehler erleidet, weiterhin das Internet ist.
Alle Hybriden verwenden PowerShell-Module für Teile der Verwaltung oder Konfiguration. Zu den meisten Modulen, die Sie benötigen, gehören wahrscheinlich der Microsoft Online Services-Anmelde Assistentund das Azure Active Directory-Modul für Windows PowerShell. Sie können Server für die Konfiguration und Verwaltung ihrer Hybriden vorab vorbereiten, indem Sie diese häufig verwendeten PowerShell-Module installieren.
Gemeinsame Ports und Protokolle
Hybriden sind 1/2 Ihre lokalen und 1/2 Microsoft 365 (Azure SaaS-oder PaaS-Hybriden werden in diesem Dokument nicht behandelt). Es ist sehr wahrscheinlich, dass beide Hälften auf HTTPS ausgeführt werden, aber zumindest ist die Microsoft 365 Hälfte 100% HTTPS/verschlüsselt durch TLS-Zertifikate, was bedeutet, dass Sie über den Standard-Port 443 läuft. Sie müssen sicherstellen, dass ein öffentliches Zertifikat mit dem Datenverkehr verbunden ist, der auch von Ihrem Ausgangspunkt ausgeht. Das bedeutet, dass Sie ein Zertifikat auf dem Computer installieren müssen, in dem das Gespräch am Rande ihres Netzwerks erfolgt – dieser Datenverkehr wird über 443 ausgeführt und verschlüsselt.
Hinweis: Wenn Sie ADFS verwenden, benötigen Sie tatsächlich drei Zertifikate, von denen eines öffentlich ausgestellt und für die Kommunikation von Diensten verwendet wird (es wird in Ihrem WA-P-Proxy angezeigt, wenn Sie ADFS verwenden), von denen zwei selbstsignierte certs sind, die bei der Installation von ADFS erstellt werden. , vorbehaltlich der automatischen Verlängerung, und sind die Token-Signatur-und Token-Entschlüsselungs Zertifikate, die zum Signieren aller von ADFS erstellten Tokens verwendet werden. Aber abgesehen von Zertifikaten, die von einem optionalen ADFS benötigt werden, müssen alle Hybriden über ein S2S-Zertifikat verfügen (manchmal auch als S2S ACS Trust Cert bezeichnet, was zu lange ein Name ist).
Alle Hybriden verwenden 443 (HTTPS) und 53 (DNS) standardmäßig für den Hybrid Verkehr. Einige werden zusätzliche Ports wie Port 25 (SMTP) verwenden. Der komplexeste Fall bei Hybriden Arbeitslasten für Ports ist aber Skype for Business. Glücklicherweise sind die Ports dokumentiert.
Das herausragende Protokoll, das von allen Hybriden verwendet wird (abgesehen von Benchmarks, die für DNS-Lookup, HTTPS-Datenverkehr, SMTP und andere Standards verwendet werden), ist OAuth (Open Authorization), das auch in der Active Directory-Authentifizierungsbibliothek verwendet wird. Sie wird verwendet, wenn eine Server Ressource auf der einen Seite der Verbindung im Namen eines Benutzers handeln muss, um häufig in der Cloud auf Ressourcen auf einem anderen Server zuzugreifen. Dies ist ein Mittel, mit dem die Ebene des Benutzerzugriffs auf eine Datei oder Ressource für einen authentifizierten Benutzer gemessen werden kann. Dies wird auch als "moderne Authentifizierung" bezeichnet (obwohl OAuth sich auf die Autorisierung bezieht).
Alle Arbeitsauslastungen verwenden OAuth/S2S, wenn Sie sich in einem Hybrid (aber nicht bei jedem Hybrid-Feature) befinden. In der Regel richten Hybrid-Assistenten dieses hilfreiche Protokoll automatisch ein. Allerdings gibt es keine Vereinheitlichung dieser Bemühungen in den Arbeitslasten, keine Berichterstattung über den OAuth-Status für den Kunden und keine zentralisierte Möglichkeit, diese universelle Ressource ab 2016 zu verwalten.
In einigen Fällen aktivieren Hybrid-Assistenten OAuth, wenn Sie nicht benötigt werden (wie wenn die SharePoint-Hybrid Auswahl diese Option für OneDrive for Business-Umleitung in die Cloud aktiviert) oder bei jeder Auswahl einer Hybrid Option im Assistenten (erneut die SharePoint-Hybrid Auswahl anzeigen). oder sogar außerhalb der Hybrid Auswahl in benutzerdefinierten Setupskripts, beispielsweise bei der Hybrid Suche in der Cloud.
Hinweis: Sie können die Dreh des Hybriden als die Server-zu-Server (S2S)-Vertrauensstellung zwischen lokal und der Cloud in Frage stellen. Es kann helfen zu wissen, dass S2S der Name von Microsoft für die Implementierung von OAuth ist. Die zugrunde liegenden S2S-OAuth in all unseren Arbeitsauslastungen sind Authentifizierungs-und Identitäts Ebenen, die beide die Anspruchsauthentifizierung verwenden.
Tabelle der allgemeinen Elemente in Microsoft 365 Hybriden
Nun haben wir eine Liste der allgemeinen Elemente, die wie folgt aussieht:
|
Dinge, die hybride Arbeitslasten gemeinsam haben |
|
|
Auf-Prem-Hardware |
Lokale Anwendungen, die mit Arbeitslasten in Microsoft 365 (beispielsweise Exchange Server zu Exchange Online) zusammenarbeiten Aad Connect Reverseproxy (nach Bedarf) ADFS (optional) |
|
Internet-Dinge |
Öffentliche DNS-Einträge Öffentliche Zertifizierungsstellen Azure Active Directory (AAD ist das Benutzerverzeichnis in Microsoft 365 ) Microsoft 365 (E1-, E3-, E5-Abonnements) Microsoft 365 Hybrid-Assistenten Server-zu-Server (S2S)-Vertrauensstellung |
|
Ports und Protokolle |
HTTPS DNS- S2S/OAuth |
Letztendlich ist es für alle Arbeitslasten wichtig, dass Benutzer über Grenzen hinweg identisch sind, um zwei der wichtigsten Funktionen zu vereinfachen, die eine Hybrid Funktion bietet – indem Sie die Identität des Benutzers ermitteln und wissen, was er mit den Informationen tun darf, die er sehen darf.
Hinweis zu "optional"
Einige dieser Elemente sind auf "optional" festgesetzt, aber wie werden Sie wissen, ob Sie erforderlich sind? Einige Elemente in Microsoft 365-Hybriden sind in der gesamten Platine wirklich optional oder nicht optional:
|
Vollständig optional – alle Microsoft 365-Hybriden |
Nicht optional/erforderlich für alle Microsoft 365-Hybriden |
|
ADFS |
Aad Connect |
Innerhalb eines funktionierenden Hybrids gibt es weitere Funktionen, die in einen grauen Bereich fallen. Die wahrscheinlich wichtigste davon ist die S2S Trust/OAuth. Diese Vertrauensstellung wird von jedem innerhalb von Microsoft erstellten Hybrid-Assistenten erstellt, und die Vertrauensstellung wird standardmäßig erstellt, auch wenn dies nicht erforderlich ist, um "zukunftssichere" Hybriden zu finden. Sobald Sie mit einem Assistenten Hybrid gehen, ist dieses Feature aktiviert. Aber (wie Sie zuvor gesehen haben) wird derzeit nicht in allen Fällen verwendet.
Ein Reverse-Proxy (WA-P in unserem Beispiel) wird benötigt, wenn eine nicht angeforderte Anforderung für Daten oder Informationen an die Kundenorganisation gesendet wird (beispielsweise bei Verwendung von Hybrid-BCS beim Veröffentlichen von Office Web Apps oder Office Online Server für die Dokumentvorschau in der Suche). Ergebnisse). Es ist auch erforderlich, wenn Sie einen Endpunkt in einer DMZ Ihres Unternehmens veröffentlichen, beispielsweise wenn Exchange WA-p als ADFS-Proxy verwendet (wenn Sie also ADFS in einem Exchange-Hybrid verwenden, benötigen Sie WA-p).
Edges sind erforderlich, um konsistente Kommunikationskanäle für laufende Chats in Skype for Business-Hybriden beizubehalten, und können verwendet werden, um SMTP-Datenverkehr von einem Umkreis in einem Exchange-Hybrid an das Netzwerk weiterzuleiten. Wie bereits erläutert, wird ADFS für einmaliges Anmelden verwendet.
|
Muss einen Reverse-Proxy verwenden |
Kann einen Reverse-Proxy verwenden (optional) |
Kein Reverse-Proxy erforderlich |
|
SharePoint-Hybrid-eingehende Suche SharePoint-Hybrid-BCS Skype for Business-Hybridumgebung |
SharePoint-Cloud-Hybrid (Cloud SSA) Exchange-Hybrid mit ADFS für SSO |
OneDrive for Business-Umleitung Features der SharePoint-Hybrid Website SharePoint-Hybrid profile Redirect Hybrid-Extranet-Umleitung |
Es gibt ähnliche Tabellen für S2S, wie diese Tabelle für SharePoint-Server in Hybridkonfigurationen. Tabellen wie diese können mithilfe der Logik des S2S-Protokolls erstellt werden, das verwendet wird, wenn eine Server Ressource auf der einen Seite der hybridverbindung im Namen eines Benutzers für den Zugriff auf Ressourcen auf einem anderen Server in der Cloud fungieren muss.
|
SharePoint-Hybrid Features, die OAuth verwenden müssen |
SharePoint-Hybrid Features, die OAuth nicht verwenden |
|
Hybrid Suche (ausgehende + eingehende) Hybrid Suche in der Cloud (Cloud SSA) mit Verwendung der Suchvorschau Hybrid Business Connectivity Service (BCS) Features für Hybrid Website Hybrid profile Verwaltete Hybrid Metadaten |
OneDrive for Business-Umleitung * Hybrid-Extranet * Hybrid profile * Hybrid Suche in der Cloud (Cloud SSA) ohne Verwendung von Suchvorschau |
* Die SharePoint-Hybrid Auswahl aktiviert weiterhin OAuth, dies ist jedoch im Interesse einer zukünftigen Hybrid Konfiguration.
