Office 365 하이브리드에는 어떤 것이 공통 되나요?

하이브리드

하이브리드을 사용 하는 경우에는 Microsoft 클라우드에서 관리 하는 응용 프로그램을 통해 비즈니스에서 소유 하 고 관리 하는 기술의 협력을 의미 합니다.

이 정의는 Azure만 사용할 수 있고 Microsoft 365 에서는 대부분의 작업을 수행 합니다. 작업 부하가 무엇 인지 모르는 경우 비즈니스용 Skype Online, Exchange Online, SharePoint Online 등의 Microsoft 365 클라우드 플랫폼에서 실행 되 고 있는 응용 프로그램을 예로 들 수 있습니다. ' 작업 부하 '는 온-프레미스와 별도로 유지 하는 방법으로, 필기 및 대화가 혼동 되지 않도록 하는 데 유용 합니다.

하이브리드 outfits는 어디에 있든 상관 없이 모든 리소스를 직접 사용 합니다.

일반적으로 프레미스 하드웨어 리소스

여기서 이야기 하는 모든 하이브리드은 인터넷을 통해 Microsoft 365 ( Microsoft 365 의 디렉터리로 작동 하므로 백그라운드에서 Azure Active Directory – AAD)에 고객 환경을 연결 합니다. 인프라는 구성 하기 어려울 수 있습니다. 들릴 수 있지만 ' 모든 ology '에는 변화가 없습니다. 사실 대부분의 하이브리드는 동일한 하드웨어 요구 사항에 대해 (대부분의 경우)와 동일한 방식으로 작동 합니다.

2016에서 하이브리드 필요한 요소는 다음과 같습니다. 선택 사항에 대 한 자세한 내용은 말할 것입니다.

모든 Microsoft 365 하이브리드 작업 부하에는 다음과 같은 좋은 사항이 있습니다.

1. 일부 프레미스 서버 (예: SharePoint 팜 또는 비즈니스용 Skype 환경).

2. 사용자가 살고 있거나 ' 홈 ' 인 Active Directory 온-프레미스를 S4B 용어로 저장 합니다.

3. Azure Active Directory Connect (AAD Connect) 서버 (이에 따라 다른 서버 (예: 인천-P)와 결합 된 것이 될 수 있습니다. AAD Connect는 온-프레미스에서 클라우드로 계정을 동기화 하는 데 사용 되므로 ' Sync ' 아이콘으로 표시 됩니다.

4. [선택 사항] 모든 예제에서 역방향 프록시 서버는 웹 응용 프로그램 프록시 (WA-P) 서버입니다.

5. [선택 사항] Active Directory 페더레이션 서버 (또는 ADFS)를 사용할 수도 있습니다.

또한 하이브리드 마법사는 각 작업 부하에 기본적으로 제공 되므로 클라우드를 사용 하 여 파트너와 협력 하는 데 도움을 주는 동시에 모든 도구를 사용할 수 있습니다 (거주 하는 장소에 관계 없음).

사용할 수 있는 ADFS가 없는 경우 추가 복잡성을 원하지 않는 경우에는이를 따르지 않아도 됩니다. AAD Connect는 작업을 수행 하도록 설계 되었으며, 복제 간격은 약 3 시간에서 30 분까지 중단 되며, 이렇게 하면 유용 하 게 사용할 수 있습니다.

대부분의 대규모 회사에서는 이러한 서버 중 일부를 준비 했습니다. Active Directory 도메인 컨트롤러가 여러 개 있거나 ADFS 서버가 있을 수 있습니다. 하이브리드을 설정 하는 것을 생각 하는 경우에는 다른 관리자에 게 문의 하 여 온-프레미스 리소스가 이미 있는 항목을 확인 하 고 싶을 수 있습니다. 이를 통해 기존 인프라를 사용할지 아니면 새을 사용할 것인지 결정 하는 데 도움이 됩니다.

이러한 서버는 어떤 역할을 하나요?

이러한 서버가 어떤 역할을 하는지 이미 알고 있는 경우에는이 섹션을 건너뛰십시오.

대부분의 사용자는 AD (Active Directory)의 운영에 익숙해져 있고 (다른 일) 도메인 또는 포리스트의 사용자 및 개체를 열거 하는 방법--그리고 하이브리드의 경우 Microsoft 클라우드로 복제 되는 사용자의 가정용 기반입니다. 동기화 작업 (AAD Connect), ADFS, WA (예: 리버스 프록시)는 최신 이며 하이브리드 HTTPS 요청 및 id 처리에 대 한 중요 한 정보를 제공 합니다.

ADFS

Active Directory Federation Services의 작업은 하이브리드의 양쪽을 서로 인식 하는 데 도움을 주는 것 이며,이는 확인 된 공개 도메인 이름이 속해 있는 ADFS (또는 ADFS 클러스터)를 확인 하 고 신뢰 하는 것을 의미 합니다 Microsoft 365. 이렇게 하면 single sign-on을 사용할 수 있습니다. 즉, 연결 된 UPN을 사용 하는 사용자가 온라인 리소스에 대해 인증 하는 경우, Microsoft 365 는 해당 UPN과 사용자를 인증을 위해 보내는 특정 ADFS 서버를 알려 줍니다. Heidi@contoso.com가 Exchange Online의 로그인 프로세스를 진행 하는 경우 ADFS가 인증에 개입 하 고 본인에 게 주장 하는 사람을 확인 하거나 자신을 거부할 수 있도록 요청을 사용자의 구내에 보내야 Microsoft 365. 네트워크 및 구성에서 허용 하는 경우이 문제가 빠르게 발생할 수 있습니다. ADFS는 single sign-on을 활용 하려는 경우에 사용 됩니다. 사용자가 ADFS 세션에 로그인 한 후에는 다른 모든 인증 메시지를 자동으로 차단 하 여 (예: 작업을 전환할 때 발생 하는 경우), 현재 사용자에 게 자신이 말하는 것을 알리는 Microsoft 365 표시할 수 있습니다. 일부 IT 부서에는 비밀 번호가 온-프레미스를 유지 해야 하는 규정 준수 또는 정보 보안 설정이 있으므로, ADF는 선택 사항입니다.

역방향 프록시

웹 액세스-프록시는 2012 R2 출시 이후 Windows Server 운영 체제에 기본으로 제공 되는 역방향 프록시 (RP)입니다. 역방향 프록시는 팜을 대신 하 여 작동 하도록 송신 지점을 나타냅니다. 인터넷을 접하게 되는 ' 측면 '을가지고 있으며, Microsoft 365 하이브리드의 공용 도메인 이름을 알고 있고 인트라넷 또는 경계 네트워크를 향하도록 하는 ' 측면 '을 인식 하 고 내부 리소스의 도메인 이름 (예: SharePoint 사이트 URL 등)을 알고 있습니다. 비즈니스에 들어오는 모든 요청을 가로채서 포트를 차단 하 고, 인터넷에서 수락 하는 트래픽을 좁히고, 외부 세계에서 네트워크에 대 한 내부 주소 및 Url을 숨길 수 있도록 합니다. 모든 RPs와 마찬가지로, 네트워크 외부의 사용자가 리소스에 액세스 하려고 할 때 네트워크의 내부 서버에 대 한 프록시입니다.

SharePoint 2013 하이브리드는 인천-P와 같은 역방향 프록시를 사용 하 여 인바운드 트래픽을 가로채 며 (SPO 사용자가 검색 페더레이션의 경우 프레미스 검색 인덱스에 대해 쿼리를 수행 함) SharePoint 2016 Cloud 하이브리드에서 전체 인덱스를 클라우드에 배치 합니다. 다음 세대에는 더 이상 필요 하지 않습니다 (즉, 다이어그램에서 선택 항목으로 표시 되는 이유만 해당). 그러나 SharePoint 2013는 인터넷에서 들어오는 원하지 않는 트래픽을 차단 하는 데 사용 되는 역방향 프록시를 볼 수 있는 유일한 장소입니다. Skype for Business 2016는 Edge 구성과 함께 사용 되며, Exchange 2016는 해당 가장자리에도 하나를 사용 합니다. 일부 경우에는이 기능이 필요 하므로 인천-P는 선택 사항입니다.

동기화

사용 하는 그래픽에는 Azure Active Directory Connect에 대 한 ' 동기화 '가 표시 됩니다. 실제로 AAD 연결에의 한 동기화에는 온-프레미스의 사용자 및/또는 사용자 정보가 진행 중으로 전송 됩니다. AAD Connect는 사용자 계정을 Microsoft 365 (복제)에 복제 하 고 암호 정보를 Microsoft 365 와 동기화 할 수 있습니다 (암호를 동기화 하는 것은 아니지만 암호 동기화를 나타내는 해독 불가능 한 해시). ' 비밀 번호를 동기화 ' 할 필요는 없지만 Active Directory 또는 일부 필터링 된 버전의 온-프레미스 사용자 디렉토리에서 사용자 계정을 항상 동기화 (복제) 합니다.

AAD Connect는 Active Directory 도메인의 정상 도메인 컨트롤러에서 작동 하 여 ADFS의 ' single sign-on '이 아닌 ' 동일한 로그인 '을 허용 합니다. 동일한 로그온은 한 번만 로그인 하 고 세션에 대 한 모든 메시지에 대 한 ADFS 개입을 유지 하는 것이 아니라 프레미스에서와 동일한 암호를 사용 하 여 로그인 한 후 로그인 한 메시지의 수를 줄이기 위한 옵션을 선택 합니다. 여러 작업 부하 탐색 결과 동기화에 대 한 AAD 연결은 선택 사항이 아닙니다.

인터넷 및 인터넷-사용 가능한 하이브리드 파트 (공통)

Microsoft 365 하이브리드 및 인터넷을 통해 온-프레미스 서버는 Microsoft 클라우드로, 여기서는 Microsoft 365 작업 부하에 관계 없이 몇 가지 익숙한 기술을 사용할 수 있습니다. 다음과 같습니다.

• 공용 DNS 레코드

• 공개 인증 기관

• AAD (Azure Active Directory)

• Microsoft 365 (라이선스/sub) 및 하이브리드 마법사 Microsoft 365

• S2S (서버 대 서버) 신뢰

• Express 경로 및/또는 인터넷 트래픽

• PowerShell 모듈

공유 DNS 등록 기관, 예를 들어 GoDaddy와 같은 도메인 이름 등록을 관리 하 고 허용 합니다. 하이브리드을 사용 하려는 경우에는 공용 DNS에 도메인 이름을 등록 해야 합니다 (대규모 회사에서 이미 수행 되었을 수 있음). 이 도메인 이름이 Microsoft 365 에 추가 되므로 추가 하는 공개 도메인 이름을 소유 하 고 있는지도 확인 됩니다.

일반적으로이 공용 도메인 이름은 하이브리드 사용자에 게 온-프레미스에 연결 된 Active Directory UPN과 동일 하지만이 세부 정보에는 제공 되지 않습니다. I a 온-프레미스 SID에 id를 매핑하는 PowerShell의 ' onpremisessecurityidentifier ' 특성의 등장으로, Microsoft 365 의 등록 된 도메인과 프레미스의 UPN이 일치 하지 않는 경우에는 더 이상 중요 하지 않습니다. 사용자에 게 증명할 수 있는 공개 도메인 이름이 필요 하다는 것을 알고 있으면이 공용 도메인 이름이 Microsoft 365 에 등록 되 고 하이브리드 연결의 양쪽에 Microsoft 365 현재 상태를 나타내는 것입니다.

공개 인증 기관은 네트워크 트래픽을 암호화 하는 데 신뢰할 수 있는 SSL/TLS 인증서를 제공 합니다. 모든 작업 부하에서 하이브리드 통신은 암호화 된 연결을 통해 발생 합니다. 인터넷의 공개 인증 기관에서 제공 하는 인증서가 필요 합니다. 가져오기 및 SSL/TLS 인증서는 표준 습관 이며, 일반적으로 대규모 회사에는이를 용이 하 게 하는 공개 인증서 프로세스가 있습니다. 소규모 기업에서는 IT 사용자, Microsoft 365 설명서 및 ISP에 문의 해야 할 수 있습니다.

Azure Active Directory 또는 Azure AD는 온-프레미스의 사용자를 Microsoft 365 구독 (클라우드 프레미스)으로 동기화/복제 하는 경우 백그라운드에 있습니다. 광범위 한 Azure에서 사용 되는 정확한 Active Directory입니다. 강력 하며 Microsoft 365 으로 원활 하 게 혼합 됩니다. 사용자 및이 디렉터리의 사용자 라이선스를 관리 합니다. 하이브리드 마법사에서는 Microsoft 365 의 라이선스 관리가 자동으로 수행 되지 않습니다. 라이선스는 고객의 비용을 부과 하므로 라이선스의 사용자 수가 자동으로 생성 되지 않는 경우에 대 한 결정을 받습니다.

Microsoft 365 는 하이브리드의 절반을 완전히 한 부분입니다. 작업 부하 당 온라인 하이브리드 마법사가 있습니다. 이것은 매우 효율적인 것이 아니지만 하이브리드을 2016 (즉, SharePoint Server 2016, Exchange Server 2016 및 비즈니스용 Skype 서버 2015, 온-프레미스)로 작동 하는 방식입니다. 그러나 혼합의 모든 요소를 구성 하는 가장 간단한 방법은 아닙니다. 모든 하이브리드에 사용 되는 기술이 정상 인지 아니면 이미 존재 하지 않는 경우를 보고할 수 있는 하이브리드 명령 센터 ( Microsoft 365 관리 대시보드) 뿐만 아니라 부하 워크를 수행할 작업을 선택할 수 있도록 하는 단일 하이브리드 마법사입니다.

어떤 의미가 있나요? 즉, 모든 마법사가 같은 단계를 수행 하는 경우가 많습니다. 예를 들어 모든 마법사가 OAuth (S2S 신뢰)를 활성화 합니다 (OAuth 나중에 대해 설명 함). SharePoint Online 작업 부하의 하이브리드 선택기와 같은 일부 마법사에서는 클릭 하는 모든 단추 (사용자가 선택 하는 경우)에 따라 oauth이 하이브리드 시나리오에 OAuth가 필요한 지 여부를 사용 합니다. Exchange 하이브리드 마법사와 같은 다른 마법사는 백그라운드에서 OAuth를 설정한 후 한 번만 설정 합니다.

S2S 신뢰는 인터넷을 통과할 필요는 없지만 하이브리드의 경우에는이 트러스트가 필요 합니다. S2S는 도메인 또는 포리스트 트러스트와 유사 합니다. 많은 수의 포트가 열려 있지 않고 Active Directory 간에 만드는 데 더 깊은 통합이 없습니다. S2S는 온-프레미스 SharePoint 팜과 액세스 제어 서비스 또는 ACS (권한 부여 서버) 라고 하는 Microsoft 365 클라우드의 일부와의 신뢰 된 연결을 작성 합니다. 이 신뢰는 사용자를 대신 하 여 발급 된 토큰에 서명 하는 SSL/TLS 인증서를 기반으로 하며, 온-프레미스와 Microsoft 365 ACS 모두에 동의 하는 것은 프레미스 SharePoint (및 해당 ACS 프록시 서비스)와 서비스에 액세스 하는 모든 유효한 사용자에 대 한 Azure의 ACS와 같은 것으로 생각 합니다. 사용자 id (이 신뢰의 이유)에 대 한 통신은 HTTP/443을 통해 수행 됩니다.

하이브리드는 여기에서 자체 서명 또는 공개 인증서를 사용할 수 있습니다. 대부분의 대규모 회사는 트래픽이 인터넷을 교차 하거나 교차 하는 것이 신뢰 되지 않는 세그먼트에 InfoSec 표준으로 인해 공개 인증서를 선택 합니다. SharePoint 하이브리드의 경우이 인증서는 새로운 자체 서명 된 인증서 이거나 SP STS 토큰 서명 인증서 온-프레미스에서 압축을 푼 것이 될 수 있습니다. (SharePoint 하이브리드에서 새 인증서 (공개 또는 자체 서명)를 사용한 경우 SharePoint 팜의 모든 노드에서 SP STS 토큰 서명 인증서를 바꿔야 합니다.)

하이브리드의 트래픽은 클라이언트 회사/조직에서 인터넷을 교차 하 고 Microsoft 조직/Microsoft Microsoft 365 클라우드에 들어갑니다. 신뢰할 수 없고 제어 되지 않는 세그먼트를 우회 하는 방법이 있으며,이는 회사나 조직에서 Microsoft 365 클라우드로 타사 공급자 기반 Express 경로를 사용 하는 것입니다. Express 경로는 Microsoft 클라우드에 개인 WAN 연결을 제공 하 여 인터넷을 우회 합니다. 그러나 WAN에 장애가 발생 하는 경우에도 여전히 인터넷을 통해 대체 되는 것을 명심 하는 것이 중요 합니다.

모든 하이브리드는 관리 또는 구성의 일부에 대해 PowerShell 모듈을 사용 합니다. 필요한 대부분의 모듈에는 Microsoft Online Services 로그인 도우미와 Windows PowerShell 용 Azure Active Directory 모듈이포함 될 수 있습니다. 일반적으로 사용 되는 PowerShell 모듈을 설치 하 여 미리 구성 및 관리 하기 위해 서버를 하이브리드 수 있습니다.

일반적인 포트 및 프로토콜

1/2는 온-프레미스 하이브리드 1/2 Microsoft 365 (Azure SaaS 또는 PaaS 하이브리드는이 문서에서 다루지 않음). 두 경우 모두 HTTPs에서 실행 되지만, 최소 Microsoft 365 절반은 100% HTTPs/TLS 인증서로 암호화 되어 있으며, 이것은 표준 포트 443을 통해 실행 된다는 의미입니다. 공용 인증서가 송신 시점으로 들어오는 트래픽과 연결 되어 있는지 확인 해야 합니다. 즉, 네트워크의 가장자리와 통신 하는 컴퓨터에 인증서를 설치 해야 하며,이 트래픽은 443 이상에서 실행 되며 암호화 됩니다.

모든 하이브리드는 기본적으로 하이브리드 트래픽에 443 (HTTPS) 및 53 (DNS)을 사용 합니다. 일부는 포트 25 (SMTP)와 같은 추가 포트를 사용 합니다. 그러나 포트에 대 한 하이브리드 작업 부하의 가장 복잡 한 경우는 비즈니스용 Skype입니다. 다행히도 포트에 대 한 설명이있습니다.

모든 하이브리드 (DNS 조회, HTTPS 트래픽, SMTP 및 기타 표준에 사용 되는 벤치 마크 제외)에서 사용 되는 standout 프로토콜은 OAuth (열기 권한 부여) 이며, Active Directory 인증 라이브러리에도 사용 됩니다. 연결의 한 쪽에 있는 서버 리소스가 사용자를 대신 하 여 다른 서버의 리소스에 액세스 해야 하는 경우 (대개 클라우드에서) 사용 됩니다. 이는 사용자가 파일 또는 리소스에 액세스 하는 수준을 인증 된 사용자에 게 gauged 수 있다는 것입니다. 이것을 ' 최신 인증 '이 라고도 합니다 (OAuth는 승인 참조).

모든 작업 부하는 혼성으로 OAuth/S2S를 사용 합니다 (모든 하이브리드 기능에는 해당 되지 않음). 하이브리드 마법사는 일반적으로이 유용한 프로토콜을 자동으로 설정 합니다. 그러나 작업 부하, 고객에 게 OAuth 상태 보고, 2016의이 유니버설 리소스를 중앙에서 관리할 수 있는 방법은 없습니다.

일부 경우에는 하이브리드 마법사가 필요 하지 않은 경우 (예: SharePoint 하이브리드 picker에서 비즈니스용 OneDrive로 전환 하는 경우) 또는 마법사에서 하이브리드 옵션을 선택한 모든 항목 (SharePoint 하이브리드 선택기 참조)을 사용 하 여 OAuth를 설정 합니다. 또는 클라우드 하이브리드 검색과 같은 사용자 지정 설치 스크립트에서 하이브리드 선택기의 외부에 있을 수도 있습니다.

Microsoft 365 하이브리드의 공통 요소 표

이제 다음과 같은 일반적인 요소 목록이 제공 됩니다.

궁극적으로 모든 작업 부하에 걸쳐 사용자의 id를 파악 하는 가장 중요 한 두 가지 기능, 즉 사용자가 볼 수 있는 정보로 수행할 수 있는 작업을 줄일 수 있도록 경계 전체에서 동일 하 게 유지 하는 것이 목표입니다.

' Optional '에 대 한 메모

이러한 요소 중 일부는 ' 선택 '으로 설정 되어 있지만 필요한 경우 어떻게 알 수 있나요? Microsoft 365 하이브리드의 일부 요소는 완전히 선택적 이거나 보드에서 선택 하지 않은 것입니다.

작업 중인 하이브리드 내에 회색 영역에 해당 하는 다른 기능이 있습니다. 그 중 가장 중요 한 것은 S2S 신뢰/OAuth입니다. 이 신뢰는 Microsoft 내에 생성 된 모든 하이브리드 마법사에 의해 작성 되며, 기본적으로 트러스트가 필요 하지 않은 경우에도 ' 하이브리드 '의 순서로 빌드됩니다. 마법사를 통해 하이브리드으로 이동 하면이 기능이 설정 됩니다. 그러나 (앞에서 살펴본 바와 같이) 현재 모든 경우에는 사용 되지 않습니다.

데이터 나 정보 (예: 하이브리드 BCS를 사용 하는 경우, 검색에 문서 미리 보기를 위해 office Online Server를 게시할 때)에 대 한 요청을 고객 조직에 게 보내는 경우와 같은 역방향 프록시 (이 예제의 경우에는)가 필요 합니다. 결과). 또한 Exchange가 대/P를 ADFS 프록시로 사용 하는 경우와 같이 회사 DMZ에 끝점을 게시할 때도 필요 합니다 (Exchange 하이브리드에서 ADFS를 사용 하는 경우에는 인천-P 필요).

경계는 비즈니스용 Skype 하이브리드에서 진행 중인 채팅을 위해 일관 된 통신 채널을 유지 관리 하는 데 필요 하며 Exchange 하이브리드의 경계에서 네트워크로 SMTP 트래픽을 라우팅하는 데 사용 될 수 있습니다. 설명한 대로 ADFS는 Single sign-on에 사용 됩니다.

하이브리드 구성의 SharePoint 서버용 테이블 등 S2S에 대 한 유사한 테이블이 있습니다. 하이브리드 연결의 한 쪽에 있는 서버 리소스가 사용자를 대신 하 여 클라우드에서 다른 서버의 리소스에 액세스 해야 하는 경우에 사용 되는 S2S 프로토콜의 논리를 사용 하 여 이와 같은 표를 만들 수 있습니다.

* SharePoint 하이브리드 선택은 OAuth를 계속 설정 하지만 향후 하이브리드 구성의 편의를 위한 것입니다.