A hibrid fogalma – az a gondolat, hogy a helyszíni infrastruktúra kioszthatja a Microsoft Cloud-ban található erőforrásokat, több Microsoft-termékben is megtalálható. A hibrid Microsoft 365 a munkaterhelések, például a Exchange Online, a Skype Vállalati online verzió és a SharePoint a Microsoft 365-ben miatt jelennek meg. Ezek a feladatok olyan munkafolyamatok, amelyek mindegyike "tükörképe" vagy "Twin" típusú, például Skype Vállalati online verzió helyszíni iker-, Skype 2015 Vállalati kiszolgáló-és SharePoint a Microsoft 365-ben rendelkezik SharePoint Server 2016.
Ha a jelen cikk során beszélek Microsoft 365 hibridekről, beszélek ezekkel az ikrekkel, így együtt dolgoznak. Ebből a cikkből megtudhatja, hogy mi történik a SharePoint hibridekkel, az Exchange hibridekkel és a Skype vállalati verzió hibridekkel – a Microsoft 365 és a helyszíni verzióval---itt. A cél az, hogy egyértelművé tegye azokat a technológiai általános alapterületeket, amelyek minden ilyen Microsoft 365 hibridek esetében megtalálhatók. Más szóval az Microsoft 365 hibridek építőelemeit fogjuk felsorolni.
Hibridek
Ha a hibridet mondom, úgy érzem, hogy az együttműködés olyan technológiákkal valósul meg, amelyeket a partnerek a Microsoft Cloud (s) szolgáltatónál kezelnek, és a vállalkozásban kezelik.
Ez a definíció nemcsak az Azure, hanem a Microsoft 365 legtöbb munkaterhelése között működik. Ha nem tudja, hogy mi az a munkaterhelés, akkor a Microsoft 365 felhő-platformon futó alkalmazás, a Skype vállalati online verzió, az Exchange Online és a SharePoint Online példa. A "munkaterhelés" a helyszíni partnerektől való elkülönítést teszi elérhetővé, ezért hasznos lehet az írást és a beszélgetést mindig zavaró módon megtartani.
A hibrid felszerelést az összes erőforrás kéznél van, függetlenül attól, hogy hol élnek.
Tipp: A hibrid technológia a Microsoftban egyre bővülő technológia, sok új lehetőséggel bővült, és így néhány olyan része van, amely fejlettebb a többiek számára. A hibrid konfigurációk lehetőségei valószínűleg növekedni fognak, és itt váltanak.
Helyszíni hardver-erőforrások közös használata
Az összes hibrid, amelyen beszélek itt az ügyfél környezetének csatlakoztatása az interneten keresztül a Microsoft 365 (és az Azure Active Directory – AAD – a háttérben, mert az Microsoft 365 könyvtárként működik). Előfordulhat, hogy az infrastruktúra nehezen konfigurálható. Annak ellenére, hogy meghallotta, az sem a "semmi-ology". Valójában a hibridek többsége ugyanúgy működik, mint a hardveres követelmények (a legtöbb esetben).
Az 2016 itt azokat az elemeket tartalmazza, amelyekre minden hibridnek szüksége van. Ha a dolgok nem kötelezőek, azt mondom.
A Microsoft 365 hibrid terhelések az alábbi jó dolgokat jelentik:
-
Néhány helyszíni kiszolgáló (például egy SharePoint-farm vagy a Skype vállalati verzió környezete).
-
Az Active Directory olyan helyen, ahol a felhasználók élnek vagy "otthonukba" kerülnek (S4B terminológiával).
-
Az Azure Active Directory Connect (AAD Connect) kiszolgálója (amely lehet önállóan, vagy kombinálva egy másik kiszolgálóval, például a WA-P-vel). Ezt a funkciót a "szinkronizálás" ikon jelöli, mert a AAD-csatlakozás a helyekről a felhőbe történő szinkronizálására szolgál a hibrid verzióban.
-
[Nemkötelező] A fordított proxykiszolgáló, amely minden példában a Web Application proxy (WA-P) kiszolgáló lesz.
-
[Nemkötelező] Használhatja az Active Directory összevonási kiszolgáló (vagy ADFS) alkalmazást is.
Megjegyzés: Nem szükséges az ADFS használata. A AAD-kapcsolat lehetővé teszi, hogy a felhőben a felhasználó személyazonosságának replikálását követően "jelszóval lehessen szinkronizálni". De valójában nem küldi el a jelszót az interneten keresztül. TLS-védelemmel ellátott kapcsolaton keresztül nem visszafejthető ujjlenyomatot küld a jelszónak.
Emellett a hibrid varázslók minden munkafolyamatba beépítettek, így segítenek a felhőben, hogy az Ön rendelkezésére álló összes eszközt használhassa (attól függetlenül, hogy hol élnek).
Ha nem rendelkezik az ADFS-vel, nincs megfelelőségi követelménye, és nem szeretné, hogy ne használja a további bonyolultságot. A AAD Connect a munka elvégzéséhez lett tervezve (és a replikációs intervallum körülbelül 3 óra és 30 perc között van, ami hasznos fejlesztést tesz lehetővé).
Sok nagy cég rendelkezik néhány ilyen kiszolgálóval. Sok Active Directory-tartományvezérlő van, vagy lehet, hogy vannak-e ADFS-kiszolgálók. Ha azt gondolja, hogy miként állíthat be hibridet, érdemes lehet ellenőrizni a többi rendszergazdával, hogy a már meglévő helyszíni erőforrásokat is megtalálhatja. Segítséget nyújt annak meghatározásában, hogy a meglévő infrastruktúrát vagy az új darabot szeretné-e használni.
Mik ezek a kiszolgálók?
Ugorja át ezt a szakaszt, ha már tudja, hogy mit tesznek ezek a kiszolgálók.
A legtöbb felhasználó a tartomány vagy az erdő felhasználóinak és objektumainak (többek között) a használatával (többek között) való használatával (többek között) szokott lenni, és a hibrid esetén a Microsoft Cloud-ra replikálni kívánt felhasználók otthoni alapja. A szinkronizálási feladatok (AAD Connect), az ADFS és a WA-P (példában a fordított proxy) valamivel újabbak, és még inkább központiak a hibrid HTTPS-kérések és-identitások feldolgozásához, így beszéljünk ezekről.
ADFS
Ha meg szeretné tekinteni, az Active Directory összevonási szolgáltatások feladata az, hogy a hibrid két oldala is felismerje egymást, és úgy gondolja, Microsoft 365 meg fogja tudni és megbízhatónak minősíti az ADFS (vagy ADFS-fürt) által ellenőrzött nyilvános tartománynevet. Ez lehetővé teszi az egyszeri bejelentkezést. Ez azt jelenti, hogy ha egy társított UPN-felhasználó hitelesíti az online erőforrásokkal való hitelesítést, Microsoft 365 a felhasználó FELHASZNÁLÓNEVÉt és az adott ADFS-kiszolgálóját fogja tudni küldeni a felhasználóknak a hitelesítéshez. Ha a Heidi@contoso.com az Exchange Online bejelentkezési folyamatán megy keresztül, Microsoft 365 egy kérést fog küldeni a létesítményeihez, hogy az ADFS beavatkozni tudjon a hitelesítésre, és erősítse meg, hogy ő kéri, vagy megtagadja. Ez akkor fordulhat elő, ha a hálózat és a konfiguráció lehetővé teszi. Az ADFS akkor használható, ha egyszeri bejelentkezést szeretne használni: Ha a felhasználók ADFS-munkamenetbe jelentkeznek be, az ADFS-kiszolgáló csendben elfogja az összes többi hitelesítési figyelmeztetést (például a munkaterhelések közötti váltáskor), hogy emlékeztesse a Microsoft 365, hogy Ön az Ön által kimondott marad. Mivel néhány IT-részleg rendelkezik megfelelőségi vagy adatbiztonsági beállításokkal, amelyek megkövetelik a jelszavak helyszíni tartózkodását, és néhány nem, az ADFS nem kötelező.
Megjegyzés: Nem számít, hogy a hibrid munkaterhelés esetén az ADFS csak akkor használatos, ha egyszeri bejelentkezésre van szükség, vagy ha a szabványok vagy az ügyfélnek nem felel meg a jelszó-ujjlenyomat az interneten és a cég Edge-tűzfalán kívüli címtárban. Fontos megjegyezni, hogy a jelszó-szinkronizálás alapértelmezés szerint be van kapcsolva a AAD Connect varázslóval az Exchange hibrid verziójában. Az ADFS-válaszok a felhasználói könyvtárak AD vagy ADAM (Active Directory-alkalmazási mód) segítségével.
Proxy megfordítása
A Web Access-proxy egy fordított proxy (RP), amelyet a Windows Server operációs rendszerbe építettek, mivel a 2012 R2 megjelent. A fordított proxy az Ön kilépési pontján áll a farm nevében. Van egy "oldal", amely az internethez csatlakozik, és ismeri a Microsoft 365 hibrid nyilvános tartománynevét, valamint egy olyan "oldalát", amely az intranet vagy a peremhálózat számára néz ki, és ismeri a belső erőforrások (például a SharePoint-webhely URL-címét) tartománynevét. Elfogja a vállalkozásba érkező összes kérést, és lehetővé teszi a portok letiltását, az internetről érkező forgalom szűkítéséhez és a hálózat belső címeinek és URL-címeinek a külső világból való elrejtését. Akárcsak minden RPs, az a hálózat belső kiszolgálóinak a proxyja, amikor a hálózaton kívüli felhasználók megpróbálnak egy erőforrást keresni.
A SharePoint 2013 hibrid verzióiban egy fordított proxy (például a WA-P) feltartóztatja a bejövő forgalmat (a Spongya felhasználói a keresési összevonás esetén az egy-egy helyszíni keresési indexszel végeznek lekérdezéseket), de mivel a SharePoint 2016 felhőalapú Hibridei a teljes indexet a felhőbe helyezik, a a következő nemzedéknek már nincs szüksége egy elemre (ez az egyetlen oka annak, hogy a diagramok nem választhatók el). A SharePoint 2013 azonban nem az egyetlen hely, ahol az internetről érkező kéretlen forgalom elfogására szolgáló fordított proxy látható. A Skype vállalati verzió 2016 a saját Edge-konfigurációját használja, az Exchange 2016 pedig az egyiket használja. Mivel bizonyos helyzetekben szükséges, a WA-P nem kötelező.
Megjegyzések:
-
A (2013-ben összevont hibrid) SharePoint-alapú hibridek esetében a WA-P használatos a SharePoint-végpontok vállalati szélétől való közzétételére. A WA-P feltartóztatja a Spongya vagy az SAP által üzemeltetett listákban a Spongya által megjelenő, a keresés eredményében megjelenítendő elemeket. A felhőalapú hibrid keresésben a WA-P csak akkor szükséges, ha a keresési eredmények között szeretné megjeleníteni a keresési előnézeteket (az Office Web Apps-kiszolgáló végpontját az Edge-ben kell közzétennie). A Skype vállalati verzióban a WA-P a vállalaton kívüli CSEVEGÉSi és konferencia-forgalom felfogására szolgál, és további feldolgozás céljából átirányítja a Skype vállalati verzióra.
-
Az Exchange hibrid az AAD csatlakoztatási eszközét a hibrid varázsló során használja, így az ügyfél automatikusan telepítheti és beállíthatja az ADFS-t és a WA-P-t az Exchange hibrid használatáról, így csökkentve a hibridek beállításakor jelentkező komplexitást. Sem a beállítás, sem a konfiguráció, sem az ADFS-tanúsítványok regisztrációja nem minden más hibrid munkafolyamatra.
Szinkronizálás
Az általam használt ábra a "szinkronizálása" funkciót jeleníti meg az Azure Active Directory Connectben. Az AAD által végzett szinkronizálás valójában a felhasználók és/vagy felhasználói adatok folyamatos továbbítását vonja maga után a helyszíni és a felhőbe. A AAD csatlakoztatása két dolgot tesz elérhetővé: a felhasználói fiókokat replikálja a Microsoft 365-ba (replikációs), és a jelszavakat szinkronizálhatja a Microsoft 365 ba (valójában nem szinkronizálja a jelszót, de a jelszó – szinkronizálás) a jelszóval nem visszafejthető. Nem kell szinkronizálnia a jelszavát, de mindig szinkronizálja (replikálja) a felhasználói fiókjait az Active Directoryból (vagy a helyszíni felhasználói címtár néhány szűrt verziójával).
A AAD csatlakoztatása az Active Directory-tartomány egészséges tartományvezérlőkkel való működésével lehetővé teszi, hogy az "ugyanazon bejelentkezés" helyett az ADFS "egyszeri bejelentkezés" legyen. Ugyanez a bejelentkezés azt jelenti, hogy nem kell egyszerre bejelentkeznie, és az ADFS-nek beavatkoznia kell a munkamenet minden utasításához ugyanazzal a jelszóval, mint például a Prem (és feltehetőleg a bejelentkezve tartásának lehetősége több munkaterheléssel való navigálás eredménye A AAD csatlakozás a szinkronizáláshoz nem kötelező.
Megjegyzések:
-
Nem számít, hogy a hibrid munkaterhelés esetén minden AAD-kapcsolatra van szükség. A felhasználók replikációs és nem kötelező jelszavas szinkronizálása szükséges a felhasználóknak az Microsoft 365 (és az Azure AD mögött) minden esetben szükséges.
-
Az egyéb hasonlóságok közé tartozik a jelszó-szinkronizálás (ugyanazzal a bejelentkezéssel) is szükség van a címtárbeli módosítások replikálásának beállítására és a címtárbeli módosítások replikálására a szinkronizált Active Directory-tartományokban (ezt a helyszíni fiók esetén). a AAD-kapcsolat használja, és az egyszeri bejelentkezéshez használt ADFS-kiszolgáló összevonás-szolgáltatási nevéhez DNS-t vagy AAAA-állomást kell beírnia, hogy a WA-P megoldja az ADFS-kiszolgáló címét belsőleg.
Az Internet és az internethez elérhető hibrid részek közösen
A Microsoft 365 hibrid és az Internet helyszíni kiszolgálóival szemben a Microsoft Cloud, ahol – nem számít, hogy az Microsoft 365 munkaterhelés – jól ismert technológiákat fog használni. Ezek a következők:
-
Nyilvános DNS-rekordok
-
Nyilvános hitelesítésszolgáltatók
-
Azure Active Directory (AAD)
-
Microsoft 365 (licencek/subs) és Microsoft 365 hibrid varázslók
-
Kiszolgálók közötti (S2S) bizalmi kapcsolatok
-
Expressz útvonal és/vagy internetes forgalom
-
PowerShell-modulok
Nyilvános DNS-regisztrátorok, például GoDaddy, Manage and Allow Domain Names (tartománynevek) regisztrációja. Ha hibridet szeretne használni, regisztrálnia kell egy tartománynevet a nyilvános DNS-szolgáltatónál (ez már a nagyvállalati verziókban is elvégezhető Önnek). Ezt a tartománynevet felveszi a Microsoft 365, ami azt is igazolja, hogy Ön a hozzáadott nyilvános tartománynév tulajdonosa.
Ez a nyilvános tartománynév hagyományosan megegyezik a helyszíni hibrid felhasználókhoz csatolt Active Directory UPN-névvel, de ebben a részletekben nem. Az "onpremisessecurityidentifier" attribútum megjelenése a PowerShellben, amely az identitást a helyszíni SID-be illeszti be, az Microsoft 365 regisztrált tartományát egyeztetve a-Prem felhasználó UPN-funkciójával már nem olyan kritikus, mint egykor. Fontos tudni, hogy szükség van-e nyilvános tartománynévre, amelyet bizonyítani lehet, hogy ez a nyilvános tartománynév be lesz jegyezve Microsoft 365 és a hibrid kapcsolat egyik oldalán képviseli Microsoft 365 jelenléti állapotát.
A nyilvános hitelesítésszolgáltatók megbízható SSL/TLS-tanúsítványokat adnak a hálózati forgalom titkosításához. A hibrid kommunikáció minden munkaterhelésben titkosított kapcsolaton megy végbe. Az internetről nyilvános hitelesítésszolgáltatótól származó tanúsítványra van szüksége. A beszerzések és az SSL/TLS-tanúsítványok általános gyakorlatnak számítanak, és általában a nagyvállalatok nyilvános tanúsítványigénylései segítik ezt a folyamatot. A kisvállalati verzióban előfordulhat, hogy konzultálnia kell az IT-személlyel, Microsoft 365 dokumentációval és az INTERNETSZOLGÁLTATÓval.
Megjegyzés: Előfordulhat, hogy a nyilvános tanúsítvány (oka) t nem kell manuálisan alkalmaznia. A hibrid Exchange-telepítő segéd (EDA) az Azure AD Connect segítségével végigvezeti a folyamaton, és regisztrálhat tanúsítványokat az ADFS-kiszolgálón (ha ADFS-t használ). Az EDA célja, hogy megkönnyítse a hibridek folyamatát.
Az Azure Active Directory vagy az Azure AD szolgáltatás a háttérben szinkronizálja/replikálja a felhasználókat a helyszíni Microsoft 365-előfizetésbe (a Felhőbeli helyre). Ez a pontos Active Directory a szélesebb körű Azure-használathoz. Erőteljesek, és zökkenőmentesen keverednek Microsoft 365 ba. Kezelheti a felhasználókat és a felhasználói licenceket ebben a címtárban. A Microsoft 365 licencek kezelése nem történik meg automatikusan a hibrid varázslóval. A licencek ára ügyfelek pénzét képezi, ezért a döntése, hogy ki és hány licencet kap, nem automatikusan történik.
aMicrosoft 365 a hibrid teljes fele. A munkaterheléshez online hibrid varázslók szükségesek. Ez nem nagyon hatékony, de így működik a hibrid 2016 (vagy más szóval a SharePoint Server 2016, az Exchange Server 2016 és a Skype for Business Server 2015, helyszíni verzió). A hibrid elemek azonban nem a legegyszerűbb módon konfigurálhatók. Egyetlen hibrid varázsló, amely lehetővé teszi, hogy az ügyfelek kiválasszák, hogy a hibrid munkamennyiségek milyen méretűek legyenek, és milyen módon mozoghatnak a folyamaton belül, valamint egy hibrid Command Center – egy Microsoft 365 felügyeleti irányítópult –, amely azt jelenti, hogy a hibridek által használt technológiák az egészséges és/vagy már folyamatban vannak-e.
Mit jelent ez? Az azt jelenti, hogy minden varázsló ugyanezeket a lépéseket teszi, és gyakran több alkalommal. Minden varázsló aktiválja a OAuth (S2S Trust), például (később beszélünk a OAuth). Bizonyos varázslók, például a SharePoint Online-munkaterhelés hibrid kiválasztó, a OAuth nem számítja ki, hogy milyen gombra kattint (minden kiválasztott beállítás esetében), hogy a OAuth szükséges-e a hibrid forgatókönyvekhez. Egyéb varázslók (például az Exchange hibrid varázsló) a OAuth a háttérben, a háttérben pedig csak egyszer állíthatják be.
Az S2S-nak nem kell átlépnie az internetre, de a hibrid esetén a bizalmi kapcsolatnak kell lennie. Az S2S nem olyan, mint a tartomány vagy az erdőszintű bizalmi kapcsolatok. Nincs nagy számú port a megnyitáshoz, és nincs mélyebb integráció az aktív könyvtárak közötti létrehozáshoz. A S2S létrehoz egy megbízható kapcsolatot a helyszíni SharePoint-farmok között, és egy olyan Microsoft 365 felhőből áll, amelyet a hozzáférés-vezérlési szolgáltatás vagy az ACS (engedélyezési kiszolgáló) nevezett. A megbízhatósági kapcsolat olyan SSL/TLS-tanúsítványon alapul, amely a felhasználók nevében kiállított jogkivonatokat aláírja, hogy a helyszíni és az ACS- Microsoft 365 egyaránt megbízható legyen – gondolja végig, hogy a szolgáltatáshoz való hozzáférés minden érvényes felhasználója esetén az a-Prem SharePoint (és az ACS-proxy szolgáltatás) és az Azure ACS. A felhasználói identitásokkal kapcsolatos kommunikáció (a bizalmi ok oka) a HTTP/443-ban végezhető el.
Megjegyzés: Az Azure AD szolgáltatáshoz hasonlóan a Microsoft 365 is van bizalma az Azure ACS-val.
A hibridek az Ön által aláírt vagy nyilvános tanúsítványokat használhatják itt. Sok nagyvállalat az InfoSec-előírásainak megfelelően kiválaszthatja a nyilvános tanúsítványokat – jórészt azért, mert a forgalom keresztezi az internetet, a nem megalapozott szegmenseket. A SharePoint hibridek esetében ez a tanúsítvány lehet egy új önaláírt tanúsítvány vagy egy, az SP STS-jogkivonatalapú jogkivonat-aláírási tanúsítvány a helyszíni. (Ha egy SharePoint hibrid új tanúsítványt használt (nyilvános vagy önaláírt), a SharePoint-farm minden csomópontján le kell cserélnie az SP STS-jogkivonat-aláírási tanúsítványát.)
A hibrid forgalom egy ügyféltől vagy szervezettől áthalad az internetről, és beírja a Microsoft-szervezet/Microsoft Microsoft 365 felhőbe. A megbízhatatlan és nem ellenőrzött szegmensek megkerülésének módja, valamint az, hogy a vállalattól vagy szervezettől független, külső szolgáltatón alapuló Expressz útvonalon használja a Microsoft 365 felhőbe. Az Express Route megkerüli az internetet a Microsoft Cloud privát WAN-kapcsolatával. Fontos tudni azonban, hogy azokban az esetekben, ahol a WAN hibát szenved, a tartalék továbbra is az Internet.
Az összes hibrid beállítás a PowerShell-modulokat használja a kezelés vagy a konfiguráció részéről. A legtöbb szükséges modulban szerepelni fog a Microsoft Online Services – Bejelentkezési segéd, valamint a Windows PowerShell Azure Active Directory modulja. A leggyakrabban használt PowerShell-modulok telepítésével előre elvégezheti a kiszolgálók konfigurációjának és kezelésének időpontját.
A gyakori portok és protokollok
A hibridek a 1/2 a helyszíni és az 1/2 Microsoft 365 (Azure SaaS vagy Pásti hibridek nem jelennek meg ebben a dokumentumban). Nagyon valószínű, hogy mindkét fele HTTPs-kapcsolaton van, de legalábbis a Microsoft 365 fele a 100% HTTPS/titkosított TLS-tanúsítvánnyal, és ez azt jelenti, hogy a szokásos 443-es portot futtatja. Meg kell győződnie arról, hogy egy nyilvános tanúsítvány a kilépési pontból kiinduló forgalomhoz van társítva. Ekkor telepítenie kell egy tanúsítványt a számítógépre, amelyen a kommunikáció a hálózat szélén van – ez a forgalom több mint 443 fog futni, és titkosítva lesz.
Megjegyzés: Ha az ADFS-t használja, valójában három tanúsítványra van szüksége, amelyek közül az egyiket nyilvánosan kibocsátják és a szolgáltatások kommunikációja során használni fogják (ez a funkció a WA-P proxyn fog megjelenni, ha az ADFS-t használja), melyek közül kettő az ADFS által telepített példányok esetén önálló aláírással , az automatikus megújításra is figyelemmel, valamint a jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványok, amelyek az ADFS által elvégezhető tokenek aláírására szolgálnak. De a választható ADFS-beállításoktól eltekintve minden hibridnek rendelkeznie kell S2S-tanúsítvánnyal (más néven a S2S ACS Trust CERT, amely túl hosszú a név).
A hibrid forgalom alapértelmezés szerint az 443 (HTTPS) és a 53 (DNS) protokollt fogja használni a hibrid forgalomhoz. Néhány további portot fog használni, például a 25-ös portot (SMTP). A kikötőkben a hibrid munkaterhelések legbonyolultabb esete a Skype vállalati verzió. Szerencsére a portok dokumentálvavannak.
A hibridek által használt standout protokollt (eltekintve a DNS-kereséshez, a HTTPS-forgalomhoz, az SMTP-hez és más szabványokhoz használt referenciaértékektől eltekintve) a OAuth (Open Authorization), amelyet az Active Directory hitelesítési függvénytára is használ. Ez akkor használatos, ha a kapcsolat egyik oldalán lévő kiszolgálói erőforrásnak egy felhasználó nevében kell eljárnia egy másik kiszolgálón (általában a felhőben) található erőforrások eléréséhez. Ez azt jelenti, hogy egy fájlhoz vagy erőforráshoz való felhasználói hozzáférés szintje a hitelesített felhasználók számára is mérhető. Ez a "modern hitelesítés" néven is ismert (habár az OAuth az engedélyezést jelenti).
Minden munkamennyiség a OAuth/S2S használja hibrid (de nem minden hibrid funkció esetében) esetén. A hibrid varázslók általában automatikusan beállítja ezt a hasznos protokollt. A munkaterhelések között azonban nincs ilyen erőfeszítés, a OAuth-állapotról szóló jelentést azonban nem kell központi módon kezelni az 2016-ben.
Bizonyos esetekben a hibrid varázslók bekapcsolják a OAuth-ot, ha nem szükséges (például ha a hibrid SharePoint-választó bekapcsolja a OneDrive vállalati verzió átirányítását a felhőbe) vagy a varázslóban a hibrid lehetőségek mindegyikét (ismét a hibrid SharePoint-választót kell látni). vagy a hibrid választón kívül az egyéni beállítási parancsfájlokban, például a felhőalapú hibrid keresésben is.
Megjegyzés: A hibrid lynchpin úgy tekintheti meg, hogy a kiszolgáló – kiszolgáló (S2S) bizalmi kapcsolat a helyszíni és a felhő között. Segíthet, ha tisztában van azzal, hogy a S2S a Microsoft neve a OAuth végrehajtásához. A minden munkafolyamatban alapul szolgáló S2S/OAuth a hitelesítési és identitási rétegek, amelyek mindegyike jogcím-hitelesítést használ.
Microsoft 365 hibridek közös elemeinek táblázata
Most már van egy lista a közös elemekről, amelyek így néznek ki:
|
A hibrid munkaterhelések közösek |
|
|
On-Prem hardver |
Helyszíni alkalmazások, amelyek a Microsoft 365 munkaterhelésekkel (például Exchange Online-alapú Exchange Server) rendelkeznek AAD csatlakoztatása Fordított proxy (szükség szerint) ADFS (nem kötelező) |
|
Internetes dolgok |
Nyilvános DNS-rekordok Nyilvános hitelesítésszolgáltatók Azure Active Directory (az AAD a felhasználói könyvtár Microsoft 365 ) Microsoft 365 (E1, E3, E5 előfizetések) hibrid varázslókMicrosoft 365 Kiszolgálók közötti (S2S) bizalmi kapcsolatok |
|
Portok és protokollok |
HTTPS DNS- S2S/OAuth |
Végeredményben a cél az, hogy a felhasználók minden munkaterheléssel azonosak legyenek a határokon, így a hibridek közül két legfontosabb függvényt le lehet egyszerűsíteni, így kiderítheti a felhasználó személyazonosságát, és hogy mit tehet a számára, hogy megtekintse a felhasználó személyazonosságát.
A "nem kötelező" Megjegyzés
Az alábbi elemek némelyike "nem kötelező" értékre van állítva, de honnan tudható, hogy szükség van-e rájuk? A Microsoft 365 hibridek egyes elemei valóban opcionálisak vagy nem kötelezők az egész asztalon:
|
Teljes mértékben választható – minden hibrid Microsoft 365 |
Nem kötelező/kötelező az összes Microsoft 365 hibrid esetén |
|
ADFS |
AAD csatlakoztatása |
A munkahibridek belsejében a szürke területre eső egyéb funkciók is elérhetők. Valószínűleg a legfontosabb a S2S Trust/OAuth. Ezt a bizalmat minden, a Microsofton belül létrehozott hibrid varázsló hozza létre, és a bizalmi kapcsolatok alapértelmezés szerint akkor is épülnek, ha nem szükséges, hogy "időtálló" hibridek legyenek. Ha egy varázsló segítségével bekapcsolta a hibrid verziót, a funkció be lesz kapcsolva. De (amint a korábbinál láttuk) a funkció jelenleg nem minden esetben használatos.
A fordított proxy (példa: WA-P a példánkban) akkor van szükség, ha az ügyfél szervezete számára kéretlen kérést kér az adatszolgáltatótól (például hibrid BCS esetén), amikor az Office Web Apps vagy az Office Online Server for Document előzetes verzióban közzéteszi a dokumentumot. eredmények). Az is szükséges, hogy ha egy végpontot a cég egy DMZ-fiókjába kell közzétennie, például ha az Exchange a WA-P-t ADFS-proxyként használja (ha az Exchange-ben az ADFS-t használja).
Az élek akkor szükségesek, ha konzisztens kommunikációs csatornákat kell fenntartaniuk a Skype vállalati verzió hibrid verziójában, ahol az SMTP-forgalom a hálózatba irányítható egy hibrid Exchange-alapú forgalomban. A fentiek szerint az ADFS az egyszeri bejelentkezéshez használatos.
|
Fordított proxyt kell használnia |
Használhatja a fordított proxykiszolgálót (nem kötelező) |
Nincs szükség fordított proxyra |
|
A hibrid SharePoint-alapú bejövő keresés SharePoint hibrid BCS Hibrid Skype Vállalati verzió |
SharePoint Cloud Hybrid (Cloud SSA) Hibrid Exchange az ADFS segítségével |
A OneDrive vállalati verzió átirányítása A hibrid SharePoint-webhelyek funkciói A hibrid SharePoint-profilok átirányítása Hibrid extranetes átirányítás |
A S2S hasonló táblázatok találhatók, például ez a táblázat a hibrid konfigurációkban használható SharePoint-kiszolgálók esetében. Az ehhez hasonló táblázatok az S2S protokoll logikája segítségével is megtalálhatók, amelyet akkor kell használni, ha a hibrid kapcsolat egyik oldalán lévő kiszolgálói erőforrásnak egy felhasználó nevében kell eljárnia egy másik, a Felhőbeli kiszolgálón lévő erőforrás eléréséhez.
|
A OAuth-t használó hibrid SharePoint-szolgáltatások |
A OAuth nem használó hibrid SharePoint-szolgáltatások |
|
Hibrid keresés (kimenő + bejövő) Felhőalapú hibrid keresés (felhő-SSA) keresési előnézetek használatával Hibrid üzleti adatkapcsolati szolgáltatás (BCS) Hibrid webhelyek szolgáltatásai Hibrid profilok Hibrid felügyelt metaadatok |
OneDrive vállalati verzió átirányítása * Hibrid extranet * Hibrid profilok * Felhőalapú hibrid keresés (felhőalapú SSA) keresési előnézetek használata nélkül |
* A hibrid SharePoint-választó továbbra is bekapcsolja a OAuth, de a jövőbeli hibrid konfigurációk kedvéért.
