Office 365 ハイブリッドの共通点

ハイブリッド

ハイブリッドと言うと、Microsoft Cloud で管理しているパートナーアプリケーションが所有していて、ビジネスで管理しているテクノロジと連携しています。

この定義は、Azure だけでなく、 Microsoft 365のほとんどのワークロードで動作します。 ワークロードが何であるかわからない場合は、 Microsoft 365 クラウドプラットフォームで実行されているアプリケーションです。 Skype for Business Online、Exchange Online、SharePoint Online の例を次に示します。 「ワークロード」は、オンプレミスの対応するものとは別のものにするために使用されます。これは、手書き入力と会話の混乱を防ぐのに役立ちます。

ハイブリッド出力は、どこにいても、すべてのリソースを使用できます。

オンプレミスハードウェアリソース (共通)

ここで説明しているすべてのハイブリッドは、インターネット上の顧客環境を、 Microsoft 365のディレクトリとして機能するため、バックグラウンドで Microsoft 365 (および Azure Active Directory – AAD) に接続します。 インフラストラクチャの構成は困難な場合があります。 聞いたことがあるかもしれませんが、「ology」の程度はかかりません。 実際には、ほとんどの場合、ハイブリッドは同じハードウェア要件を (ほとんどの部分に) 同じ方法で動作します。

2016には、すべてのハイブリッドで必要な要素があります。 オプションはどこにあるのでしょうか。

すべての Microsoft 365 ハイブリッドワークロードには、次のような長所があります。

1. オンプレミスサーバー (SharePoint ファームや Skype for Business 環境など)

2. オンプレミスの Active Directory (ユーザーが住んでいる、または「ホーム」 (S4B の用語)。

3. Azure Active Directory Connect (AAD Connect) サーバー (独自に存在するか、または WA-P などの別のサーバーと統合されている可能性があります)。 このアイコンは、組織間のアカウントとハイブリッドのクラウドとの同期に使用されるため、"同期" アイコンによって表されます。

4. [オプション]すべての例で使用されるリバースプロキシサーバーは、Web アプリケーションプロキシ (WA-P) サーバーになります。

5. [オプション]Active Directory フェデレーションサーバー (または ADFS) を使用することもできます。

また、ハイブリッドウィザードは各ワークロードに組み込まれているため、クラウドにパートナーができるので、いつでも自由にすべてのツールを使用できます。

ADFS を使用していない場合は、それを必要とするコンプライアンス要求はありません。複雑にする必要はありません。 AAD Connect は、ジョブを完了するように設計されています (また、複製間隔は約3時間から30分にまでとなります。これは、改善に役立ちます)。

多くの大企業には、これらのサーバーの一部が用意されています。 多くの Active Directory ドメインコントローラー、または ADFS サーバーを使用している可能性があります。 ハイブリッドのセットアップを検討している場合は、他の管理者に確認して、オンプレミスのリソースが既に配置されているかどうかを確認することをお勧めします。 既存のインフラストラクチャの要素を使用するか、または新しいものを使用するかを決定するために役立ちます。

これらのサーバーは何を実行していますか?

これらのサーバーが何を行っているかを既に把握している場合は、このセクションをスキップしてください。

ほとんどのユーザーは、Active Directory (AD) の操作に慣れています。-------------------------------------------------------------- 同期 (AAD Connect)、ADFS、および WA-P (この例では、逆プロキシ) のジョブは少し新しいものであり、ハイブリッド HTTPS 要求や id の処理については、このような点について説明します。

ADFS

確認するために、Active Directory フェデレーションサービスのジョブは、ハイブリッドの両方の側が互いを認識できるようにすることです。これは、確認されたパブリックドメイン名が属している ADFS (または ADFS クラスター) を Microsoft 365 が認識して信頼することを意味します。 これにより、シングルサインオンが可能になります。 つまり、関連付けられた UPN を持つユーザーがオンラインリソースに対して認証を行う場合、 Microsoft 365 は UPN と、認証のためにユーザーを送信するための特定の ADFS サーバーについて知る必要があります。 Heidi@contoso.com は、Exchange Online のログインプロセスを通過するときに Microsoft 365 、ADFS が認証に介入して、本人であることを確認するか、拒否するかを確認するために、社内ユーザーに要求を送信します。 これは、ネットワークと構成で許可されている場合に、すぐに発生する可能性があります。 ADFS はシングルサインオンを使用する場合に使用されます。ユーザーが ADFS セッションにログインすると、ADFS サーバーはその他のすべての認証プロンプト (たとえば、ワークロード間の切り替えが行われた場合と同様) を黙って傍受して、そのままであることを Microsoft 365 に通知します。 一部の IT 部門では、パスワードをオンプレミスのままにしておく必要のあるコンプライアンスや情報のセキュリティ設定があるため、ADFS はオプションです。

リバースプロキシ

Web アクセスプロキシは、2012 R2 がリリースされてから Windows Server オペレーティングシステムに組み込まれているリバースプロキシ (RP) です。 リバースプロキシは、ファームの代わりに動作するように出口ポイントになります。 インターネットに接続している "side" があり、 Microsoft 365 ハイブリッドのパブリックドメイン名と、イントラネットまたは境界ネットワークを構成し、内部リソースのドメイン名 (SharePoint サイトの URL など) を知っている "side" が含まれています。 組織内のすべての要求を受信して、ポートのブロック、インターネットから受け入れられるトラフィックの絞り込み、外部の世界からネットワークの内部アドレスと Url の非表示を行うことができます。 すべての RPs と同じように、ネットワーク外のユーザーがリソースにアクセスしようとしたときに、ネットワーク上の内部サーバーのプロキシとなります。

SharePoint 2013 ハイブリッドは、(たとえば、SPO のユーザーから、検索フェデレーションの場合にオンプレミスの検索インデックスに対してクエリを実行する)、受信トラフィックを傍受するなどのリバースプロキシを使用しますが、SharePoint 2016 Cloud ハイブリッドは、インデックス全体をクラウドに配置するため、次世代では必要なくなりました (図面でオプションとしてマークされている理由は1つだけです)。 ただし、SharePoint 2013 は、インターネットからの一方的なトラフィックを傍受するために使用されるリバースプロキシを表示するだけの場所ではありません。 Skype for Business 2016 は、Edge の構成で使用します。また、Exchange 2016 では、Edge でも使用されます。 一部の状況では、WA-P は省略可能です。

同期

使用しているグラフィックは、Azure Active Directory Connect の [同期] を示しています。 実際には、AAD Connect によって実行される同期には、オンプレミスとクラウドでのユーザーやユーザーの情報の送信が進行中であることが必要です。 AAD Connect は、ユーザーアカウントを Microsoft 365 (レプリケーション) にレプリケートし、パスワード情報を Microsoft 365 に同期することができます (実際にはパスワードは同期されませんが、パスワードは同期されません)。 パスワードを同期する必要はありませんが、Active Directory (または一部のオンプレミスユーザーディレクトリの一部) からユーザーアカウントを常に同期 (複製) することができます。

AAD Connect は Active Directory ドメイン内の正常なドメインコントローラーと連携して、ADFS のシングルサインオンではなく、"同じサインオン" を許可します。 同じサインオンとは、1回サインインする代わりに、セッションのすべてのプロンプトに ADFS の介入を与えるのではなく、オンプレミスと同じパスワードを使ってサインインすることを意味します (としても、ログイン状態を維持するためのオプションを選択します。複数のワークロードの移動の結果)。 同期のための AAD Connect は省略可能ではありません。

インターネットとインターネットで利用可能なハイブリッドパーツ (共通)

Microsoft 365 ハイブリッドおよびインターネット上でのオンプレミスサーバーとは異なり、Microsoft Cloud は、 Microsoft 365 のワークロードにかかわらず、使い慣れたテクノロジを使用します。 それらを以下に示します。

• パブリック DNS レコード

• 公開証明機関

• Azure Active Directory (AAD)

• Microsoft 365 (ライセンス/サブ) と Microsoft 365 ハイブリッドウィザード

• サーバー間 (S2S) の信頼

• 簡易ルートとインターネットトラフィック

• PowerShell モジュール

GoDaddy などのパブリック DNS レジストラー。ドメイン名の登録を管理し、許可します。 ハイブリッドを使用する場合は、公開 DNS でドメイン名を登録する必要があります (これは、大企業で既に行われている可能性があります)。 このドメイン名は Microsoft 365に追加されます。これにより、追加したパブリックドメイン名が所有していることも確認されます。

従来、このパブリックドメイン名は、オンプレミスのハイブリッドユーザーに関連付けられた Active Directory UPN と同じですが、このような詳細情報を把握することはできません。 PowerShell で ' onpremisessecurityidentifier ' 属性が出現したため、id をオンプレミス SID にマップします。これは、オンプレミスのユーザーの UPN での登録済み Microsoft 365 ドメインとの一致は1回ではなくなりました。 公開ドメイン名が必要になることを知っておくことが重要です。このパブリックドメイン名は Microsoft 365 に登録され、ハイブリッド接続のどちらかの側で Microsoft 365 のプレゼンスを表します。

公開証明機関は、信頼できる SSL/TLS 証明書を使ってネットワークトラフィックを暗号化します。 すべてのワークロードで、暗号化された接続を介してハイブリッド通信が行われます。 インターネット上の公開証明機関からの証明書が必要です。 取得と SSL/TLS 証明書は標準的な方法であり、通常、大企業の公開証明書プロセスを使用することができます。 小規模の会社では、IT 担当者、 Microsoft 365 ドキュメント、およびお使いの ISP に問い合わせる必要がある場合があります。

Azure Active Directory または Azure AD は、オンプレミスのユーザーを Microsoft 365 サブスクリプション (クラウドの社内) に同期/複製するときに、バックグラウンドで使用されます。 これは、より広く利用されている Azure で使用されるのとまったく同じ Active Directory です。 Microsoft 365に強力かつシームレスに統合されています。 このディレクトリで、ユーザーとユーザーのライセンスを管理します。 Microsoft 365 でのライセンスの管理は、ハイブリッドウィザードで自動的に実行されるわけではありません。 ライセンスによってお客様の料金が課金されるため、ライセンスを取得する人と数の決定は自動的に行われません。

Microsoft 365 は、ハイブリッドの半分の1つです。 ワークロードあたりのオンラインハイブリッドウィザードがあります。 これは非常に効率的ではありませんが、ハイブリッドの動作は 2016 (または、SharePoint Server 2016、Exchange Server 2016、Skype for Business Server 2015、オンプレミスのリリースの場合) です。 ただし、ハイブリッドですべての要素を構成する最も簡単な方法ではありません。 ユーザーがハイブリッドのワークロードを選択できるようにする1つのハイブリッドウィザード。また、各ハイブリッドで使用されているテクノロジが正常であるかどうか、または既に存在しているかどうかを報告できるハイブリッドコマンドセンター ( Microsoft 365 管理者ダッシュボード) もあります。

これはどういう意味ですか? これは、すべてのウィザードが同じ手順を実行し、多くの場合、複数回実行されることを意味します。 各ウィザードでは、たとえば、OAuth (S2S 信頼) がアクティブになります (OAuth については後で説明します)。 SharePoint Online のワークロードのハイブリッドピッカーなどの一部のウィザードは、ハイブリッドシナリオで OAuth が必要かどうかに関係なく、どのボタンをクリックするかにかかわらず OAuth をインストールします。 その他のウィザード (Exchange ハイブリッドウィザードなど) では、バックグラウンドで OAuth が1回のみ設定されます。

S2S の信頼はインターネット経由で接続する必要はありませんが、ハイブリッドの場合は、この信頼が必要です。 S2S は、ドメインまたはフォレストの信頼とは言えません。 開いているポートの数が多いため、さらに Active Directory 間での作成との統合を行う必要はありません。 S2S は、オンプレミスの SharePoint ファームと、アクセス制御サービスまたは ACS (承認サーバー) と呼ばれる Microsoft 365 クラウドの一部との信頼できる接続を構築します。 この信頼は、ユーザーの代理として発行されたトークンに署名する SSL/TLS 証明書に基づいているため、オンプレミスの SharePoint と Microsoft 365 ACS は両方とも信頼できることを意味します。オンプレミスの SharePoint (およびその ACS プロキシサービス) と Azure の ACS は、サービスにアクセスするすべての有効なユーザーを対象とし ユーザー id に関する通信 (この信頼の理由) は、HTTP/443 経由で行われます。

ハイブリッドでは、自己署名またはパブリック証明書を使うことができます。 多くの大企業は、InfoSec 標準に基づいてパブリック証明書を選択します。これは、トラフィックがインターネット上では信頼できないセグメントであるためです。 SharePoint ハイブリッドの場合、この証明書は、新しい自己署名証明書か、または SP STS トークン署名証明書 (オンプレミス) から抽出された証明書のいずれかになります。 SharePoint ハイブリッドで新しい証明書 (公開または自己署名) を使った場合は、SharePoint ファーム内のすべてのノードで SP STS トークン署名証明書を置き換える必要があります。)

ハイブリッドのトラフィックは、クライアントの会社/組織をインターネット経由で接続し、Microsoft 組織/Microsoft Microsoft 365 クラウドに移行します。 この信頼されていない、または非制御セグメントを回避する方法はありますが、そのためには、会社や組織からの Microsoft 365 クラウドに、サードパーティのプロバイダーによる明示的なルートを使用します。 エクスプレスルートは、Microsoft Cloud とのプライベート WAN 接続を提供することによってインターネットをバイパスします。 ただし、WAN で障害が発生した場合は、フォールバックがインターネットのままであることを理解することが重要です。

すべてのハイブリッドは、管理または構成の一部に対して PowerShell モジュールを使用します。 必要なほとんどのモジュールには、 Microsoft Online Services サインインアシスタント、およびWindows PowerShell 用 Azure Active Directory モジュールが含まれている可能性があります。 一般的に使用される PowerShell モジュールをインストールすることで、事前にハイブリッドの構成と管理を行うためのサーバーを準備することができます。

一般的なポートとプロトコル

ハイブリッドはオンプレミスの1/2 で、1/2 Microsoft 365 (Azure SaaS または PaaS ハイブリッドはこのドキュメントでは説明していません)。 どちらの部分も HTTPs で実行されていますが、少なくとも、 Microsoft 365 半分は TLS 証明書によって 100% HTTPs/暗号化されています。これは、標準ポート443経由で動作することを意味します。 パブリック証明書が出口ポイントから出て行くトラフィックと関連付けられていることを確認する必要があります。 つまり、ネットワークの端で会話を行っているコンピューターに証明書をインストールする必要があります。このトラフィックは、443経由で動作し、暗号化されます。

すべてのハイブリッドは、ハイブリッドトラフィック用に既定で 443 (HTTPS) と 53 (DNS) を使用します。 一部は、ポート 25 (SMTP) などの追加のポートを使用します。 ただし、ポートのハイブリッドワークロードで最も複雑なケースは、Skype for Business です。 幸いなことに、ポートが記載されています。

すべてのハイブリッドで使用される standout プロトコル (DNS 参照、HTTPS トラフィック、SMTP などの標準) は OAuth (Open authorization) であり、Active Directory 認証ライブラリでも使用されます。 接続の一方側のサーバーリソースが、クラウド内の別のサーバー上のリソースにアクセスするためにユーザーの代わりに操作する必要がある場合に使用されます。 認証されたユーザーに対して、ファイルまたはリソースへのユーザーアクセスのレベルを gauged することができます。 これは、' モダン Authentication ' とも呼ばれます (ただし、OAuth は承認を意味します)。

ハイブリッドでは、すべてのワークロードで OAuth/S2S が使用されます (ただし、すべてのハイブリッド機能には適していません)。 ハイブリッドウィザードでは、通常、この便利なプロトコルが自動的に設定されます。 ただし、このような作業はワークロード間で統一されず、お客様に対する OAuth 状態のレポートも行われず、このユニバーサルリソースを2016で管理するための一元管理方法はありません。

場合によっては、ハイブリッドウィザードが必要ない場合 (SharePoint ハイブリッドピッカーでクラウドへのリダイレクトを有効にする場合など)、またはウィザードでのハイブリッドオプションの選択のすべてにおいて、OAuth が有効になる場合があります (この場合は、SharePoint ハイブリッドピッカーを参照してください)。または、クラウドハイブリッド検索などのカスタム設定スクリプトのハイブリッドピッカーの外でも使用できます。

Microsoft 365 ハイブリッドの共通要素の表

ここでは、次のような共通要素の一覧を示します。

最終的には、すべてのワークロードの目標は、ユーザーの id を特定し、ユーザーの身元を確認することをお勧めします。また、ユーザーの身元を判断することをお勧めします。また、表示することができる情報に対して何を許可しているかを判断することもできます。

"Optional" のメモ

これらの要素の一部は "optional" に設定されますが、必要に応じてどのようにわかりますか。 Microsoft 365 ハイブリッドの一部の要素は、次のように、真にオプションでも、オプションでもありません。

ハイブリッド環境では、灰色の領域に分類される他の機能もあります。 おそらく最も重要なことは、S2S の信頼/OAuth です。 この信頼は、Microsoft 内部で作成されたすべてのハイブリッドウィザードによって構築されます。また、"将来の校正" ハイブリッドのために既定では、必須ではありません。 ウィザードを使用してハイブリッドにアクセスすると、この機能がオンになります。 ただし (前に説明したように)、現時点ではどのような場合でも使用されていません。

Office Web Apps または Office Online Server を検索の対象として公開する場合は、顧客の組織に対して、データまたは情報を受け取るための一方的な要求 (たとえば、ハイブリッド BCS の使用時など) が必要な場合は必ず、リバースプロキシ (WA-P) が必要です。結果)。 また、Exchange を ADFS プロキシとして使用している場合 (つまり、Exchange ハイブリッドで ADFS を使用している場合は埼玉-P が必要になります)、エンドポイントを会社の DMZ に公開する場合にも必要になります。

エッジは、Skype for Business ハイブリッドで進行中のチャット用の一貫した通信チャネルを維持するために必要です。また、Exchange ハイブリッドで境界からネットワークに SMTP トラフィックをルーティングするために使うことができます。 既に説明したように、ADFS はシングルサインオンに使用されます。

このようなテーブルは、ハイブリッド構成の SharePoint サーバーのテーブルなど、S2S にも似ています。 このような表は、S2S プロトコルのロジックを使って構築することができます。これは、ハイブリッド接続の一方の側にあるサーバーリソースが、クラウド内の別のサーバー上のリソースにアクセスするためにユーザーの代わりに操作する必要がある場合に使用されます。

* SharePoint ハイブリッドピッカーは、引き続き OAuth を有効にしますが、これは今後のハイブリッド構成のために使用されます。