Het concept van Hybrid: het idee dat uw on-premises infrastructuur kan worden ondervertakking voor het opnemen van bronnen in de Microsoft-Cloud, bestaat in diverse Microsoft-producten. Hybride is beschikbaar in Microsoft 365 vanwege bewerkingstaken als Exchange Online, Skype voor Bedrijven Online en SharePoint in Microsoft 365. Dit zijn de bewerkingstaken die allemaal een soort ' gespiegelde ' of ' dubbele ', on-premises hebben, bijvoorbeeld Skype voor Bedrijven Online een on-premises twee, Skype voor Bedrijven Server 2015 en SharePoint in Microsoft 365 heeft SharePoint Server 2016.
Als ik in de cursus wat Microsoft 365 hybriden gaat in de cursus van dit artikel, ga ik ermee akkoord dat u deze Twins verbindt zodat ze samenwerken. Daarom bespreken we de hybride versie van SharePoint, Exchange hybrides en Skype voor bedrijven-informatie, wat Microsoft 365 en on-premises is. Het doel is om de technologische gemeenschappelijke bodem te wissen die in al deze Microsoft 365 hybriden voorkomt. Met andere woorden worden de bouwstenen van Microsoft 365 hybriden weergegeven.
Hybride omgeving
Wanneer ik Hybrid zeg, wil ik een samenwerkingsverband van technologieën maken die u in uw bedrijf bezit en beheert in uw bedrijf met de mensen die we beheren in onze Microsoft-Cloud (s).
Deze definitie werkt op niet alleen Azure maar de meeste werkbelastingen in Microsoft 365. Als u niet weet wat een werkbelasting is, is dit een toepassing die wordt uitgevoerd op het Microsoft 365 Cloud platform (skype voor bedrijven online, Exchange Online en SharePoint Online zijn voorbeelden. ' Werklast ' is een manier om ze te onderscheiden van hun on-premises tegenhangers, dat handig is om te voorkomen dat u tekst hoeft te schrijven en te leren.
Hybride aflopend gebruik alle informatiebronnen ter plaatse, ongeacht waar ze zich bevinden.
Tip: Hybrid is een steeds veranderende technologie bij Microsoft, met een groot aantal nieuwe mogelijkheden voor het bijsnijden van een hybride, zodat er sprake is van een aantal onderdelen voor het configureren van een hybride voor anderen. De mogelijkheden van hybride configuraties zijn waarschijnlijk groter en van hieruit wisselen.
Gemeenschappelijke Hardwarebronnen van een on-premises hardware
Alle hybriden die ik hier neem hier verbinding maken met een klant omgeving via internet voor Microsoft 365 (en Azure Active Directory – AAD-op de achtergrond, aangezien deze als de adreslijst voor Microsoft 365 ) fungeert. De infrastructuur klinkt mogelijk moeilijk te configureren. Ondanks wat u mogelijk hebt gehoord, duurt het niet enige graad in ' overal-ology '. De meeste hybriden werken op dezelfde manier met (voor het meeste deel) dezelfde hardwarevereisten.
Als 2016 hier volgen de elementen die alle hybriden nodig hebben. Waar alles niet is, ik zeg het.
Voor alle Microsoft 365 hybride werklasten bestaan de volgende goede zaken:
-
Sommige on-premises servers (zoals een SharePoint-farm of een Skype voor bedrijven-omgeving).
-
Active Directory on-premises waarbij de gebruikers live of bevinden zich in een S4B-terminologie.
-
Een server van Azure Active Directory Connect (AAD Connect) (die kan worden gekoppeld of gecombineerd met een andere server, zoals WA-P). Dit wordt aangeduid met het pictogram synchroniseren omdat via AAD Connect accounts van de premises worden gesynchroniseerd met de cloud in een hybride implementatie.
-
[Optioneel] Een omgekeerde proxyserver, die in al deze voorbeelden wordt gebruikt, is Webtoepassingsproxy (WA-P).
-
[Optioneel] U kunt ook Active Directory Federation server (of ADFS) gebruiken.
Opmerking: U hoeft ADFS niet te gebruiken. Met AAD Connect kunt u ' Wachtwoordsynchronisatie ' synchroniseren met de Cloud naast de replicatie van gebruikers-id's. U verzendt het wachtwoord niet echt via internet. U verzendt een niet-omkeerbare hash van het wachtwoord via een TLS-beveiligde verbinding.
Daarnaast zijn hybride wizards ingebouwd in elke werkbelasting, zodat u zich helpt bij de samenwerking met uw Cloud, zodat u alle hulpmiddelen voor de verwijdering kunt gebruiken (ongeacht waar ze wonen).
Als u geen ADFS hebt, hebt u geen nalevingsvereisten en hoeft u de extra complexiteit niet te gebruiken. AAD Connect is zo ontworpen dat de taak is uitgevoerd (en de replicatieperiode is van ongeveer 3 uur tot 30 minuten, wat een nuttige verbetering is).
Veel grote bedrijven hebben enkele van deze servers ter plaatse. U hebt veel Active Directory-domeincontrollers of kan ADFS-servers hebben. Als u een hybride wilt instellen, kunt u het beste contact opnemen met andere beheerders om erachter te komen welke on-premises resources al op hun plaats staan. U wordt aangeraden om te bepalen of u al dan niet bestaande infrastructuur stuks of nieuwe wilt gebruiken.
Wat doen deze servers?
Sla deze sectie over als u al weet wat deze servers doen.
De meeste mensen zijn gewend aan de bewerkingen van Active Directory (AD), en de manier waarop gebruikers en objecten in een domein of forest (onder andere) worden opgesomd, en in het geval van de hybride versie van de gebruikers die worden gerepliceerd naar de Microsoft-Cloud. De taken van de synchronisatie (AAD Connect), ADFS en WA-P (de voorbeelden omkeren van proxy) zijn iets nieuwer en meer centrale voor het verwerken van hybride HTTPS-aanvragen en identiteiten, dus laten we dan met ze praten.
ADFS
Om te controleren moet de taak van Active Directory Federation Services u helpen beide zijden van de Hybrid te helpen om elkaar te herkennen, en op Microsoft 365 basis van het gebruik van het ADFS-cluster (of ADFS cluster) waartoe een geverifieerde openbare domeinnaam behoort. Dit staat in eenmalige aanmelding. Dat betekent dat wanneer gebruikers met een gekoppelde UPN worden weergegeven om te verifiëren tegen online bronnen, Microsoft 365 de UPN en welke ADFS-server de gebruikers voor verificatie verzenden. Wanneer Heidi@contoso.com het aanmeldingsproces voor Exchange Online doorloopt, stuurt Microsoft 365 een verzoek naar uw lokale vestiging, zodat via ADFS verificatie kan worden opgestuurd via verificatie en een bevestiging van de autorisatie. Dit kan snel gebeuren als dit door de netwerk en configuratie is toegestaan. ADFS wordt gebruikt als u eenmalige aanmelding wilt gebruiken: wanneer gebruikers zich aanmelden bij een ADFS-sessie, onderscheppen de ADFS-server alle andere verificatie vragen (als dit gebeurt wanneer u overschakelt tussen de werkbelasting) om Microsoft 365 te herinneren dat u nog meer bent die u zegt. Aangezien sommige IT-afdelingen nalevings-of informatie-instellingen voor naleving hebben, moet u on-premises on-premises on-premises blijven en geen ADFS optioneel zijn.
Opmerking: Ongeacht de Hybrid-werkbelasting, wordt ADFS alleen gebruikt wanneer er eenmalige aanmelding is vereist, of wanneer de klant niet voldoet aan de standaarden of de klant moet een wachtwoord hash verplaatsen naar het internet en in een adreslijst buiten de Edge-firewall van het bedrijf. Het is belangrijk te weten dat het synchroniseren van wachtwoorden standaard is ingeschakeld door de wizard AAD Connect in Exchange Hybrids. ADFS-antwoorden op gebruikers directory's AD of ADAM (modus van Active Directory-toepassing).
Omgekeerde proxy
Web Access-Proxy is een versie voor reverse-proxy (RP) die is ingebouwd in Windows-besturingssystemen voor servers sinds 2012 R2 werd uitgebracht. Een omgekeerde proxy staat op een uitgangspunt om namens uw farm actie te ondernemen. Er staat een ' kant ' die het Internet bevalt en weet de openbare domeinnaam van uw Microsoft 365 hybride en een ' kant ' die de domeinnaam van uw interne bronnen bevat (zoals de URL van uw SharePoint-site). Alle aanvragen worden onderschept en u kunt poorten blokkeren, het verkeer beperken dat u van internet accepteert, en de interne adressen en Url's voor uw netwerk van de externe wereld verbergen. Net als alle RPs, is het een proxy voor interne servers in uw netwerk, wanneer gebruikers van buiten het netwerk een resource proberen te bereiken.
Hybride versies van SharePoint 2013 gebruikmaken van een omkeerbare proxy, zoals WA-P, waarmee inkomende verkeer (van gebruikers in SPO worden gemaakt op basis van een on-premises zoekindex in het geval van zoek Federatie 2016) voor de volgende generatie hoeft u niet langer een te kiezen (dat is de enige reden waarom het in de diagrammen is gemarkeerd). Maar SharePoint 2013 is de enige plek waar u een reverse-proxy ziet waarmee ongevraagde verkeer van Internet wordt onderschept. Skype voor bedrijven 2016 gebruikt één met de Edge-configuratie en Exchange 2016 maakt ook een rand. Aangezien in sommige situaties dit is vereist, WA-P optioneel.
Notities:
-
WA-P wordt gebruikt in hybride SharePoint-(2013 federatieve hybriden) voor het publiceren van een SharePoint-eindpunt via de Edge van het bedrijf. WA-P Hiermee onderschept u oproepen van SPO voor documenten die worden weergegeven in zoekresultaten, of items die moeten worden weergegeven in lijsten die worden aangedreven door BCS of SAP. Voor hybride zoeken voor de Cloud is de WA-P alleen nodig als u wilt zoeken naar voorbeelden in de zoekresultaten (u moet een eindpunt voor Office Web apps server op de Edge publiceren). In Skype voor bedrijven wordt WA-P gebruikt voor het onderscheppen van CHATBERICHTEN en Vergader verkeer van buiten het bedrijf en verstuurt u het naar de Skype voor bedrijven-Edge voor verdere verwerking.
-
Exchange hybride maakt gebruik van het hulpprogramma voor AAD Connect via de hybride wizard om klanten de mogelijkheid te bieden de optie ADFS en WA-P automatisch te installeren en te configureren voor hybride gebruik van Exchange, zodat u minder complex kunt voor het instellen van een hybride implementatie. Geen enkele instelling en configuratie, en de registratie van ADFS-certificaten is automatisch voor andere hybride werkbelasting.
Synchroniseren
Voor de afbeelding die ik gebruik, wordt ' synchroniseren ' voor Azure Active Directory Connect weergegeven. Helemaal, de synchronisatie met AAD Connect omvat de voortdurende transit van gebruikers en/of gebruikers informatie van uw on-premises en in de Cloud. AAD connect-verbinding kan twee dingen doen: deze repliceert gebruikersaccounts in Microsoft 365 (replicatie) en kan wachtwoordinformatie synchroniseren naar Microsoft 365 (helemaal wanneer het wachtwoord niet wordt gesynchroniseerd, maar een niet-omkeerbaar hash die het wachtwoord voorstelt. Het is niet nodig om uw wachtwoord te synchroniseren, maar het synchroniseren van uw gebruikersaccounts via Active Directory (of een een gefilterde versie van uw on-premises gebruikerslijst) wordt altijd gesynchroniseerd.
AAD Connect werkt met ongezonde domeincontrollers in uw Active Directory-domein, zodat eenmalige aanmelding mogelijk is, in plaats van de eenmalige aanmelding van ADFS. Als u hetzelfde aanmeldt, moet u zich aanmelden met hetzelfde wachtwoord als on-premises (en, op elk gewenst moment, de optie om ervoor te zorgen dat u zich afmeldt om het aantal prompts te verminderen). het resultaat van het navigeren in meerdere werkbelastingen). AAD Connect voor synchronisatie is niet optioneel.
Notities:
-
Ongeacht de Hybrid-werkbelasting, zijn alle AAD Connect vereist. Voor alle gevallen is een replicatie en een optionele Wachtwoordsynchronisatie van uw gebruikers naar Microsoft 365 (en de Azure AD erachter) nodig.
-
Andere soortgelijke voorwaarden zijn ook die Wachtwoordsynchronisatie (voor eenmalige aanmelding) vereist dat u directorywijzigingen repliceert en directorywijzigingen repliceert in de Active Directory-domeinen die worden gesynchroniseerd – doe dit voor het on-premises account wordt door AAD Connect gebruikt en u moet een DNS-host-of AAAA-host invoeren voor de Federation service-naam van een ADFS-server die wordt gebruikt voor SSO, zodat WA-P het adres van de ADFS-server intern kan oplossen.
Internet en beschikbare hybride delen van de Internet
Naast de on-premises servers in uw Microsoft 365 hybride en via internet is de Microsoft-Cloud, waar – ongeacht de Microsoft 365-werkbelasting, dan gebruikt u enkele bekende technologieën. Dit zijn:
-
Openbare DNS-records
-
Openbare Certificate Authorities
-
Azure Active Directory (AAD)
-
Microsoft 365 (licenties/niet) en Microsoft 365 hybride wizards
-
Een S2S-vertrouwen (server-to-server)
-
Snelle route ring en/of Internet verkeer
-
PowerShell-modules
Openbare DNS-service-registeren, bijvoorbeeld GoDaddy, beheer en registratie van domeinnamen. Als u hybride wilt gebruiken, moet u een domeinnaam registreren met openbare DNS (dit kan al voor u doen in grote bedrijven). Deze domeinnaam wordt toegevoegd aan Microsoft 365, en u wordt ook gecontroleerd of u de naam van de openbare domeinnaam hebt die u toevoegt.
Voor deze openbare domeinnaam is de naam van de actieve domeinnaam gelijk aan de gebruiker die on-premises voor hybride gebruikers wordt gebruikt, maar er wordt geen informatie weergegeven. Met de komst van het kenmerk ' onpremisessecurityidentifier ' in PowerShell, dat de identiteit van de on-premises SID toewijst, wordt het geregistreerde domein in Microsoft 365 met de UPN van gebruikers on-premises niet langer zo essentieel. Het is belangrijk om te weten dat u de naam van een openbare domeinnaam nodig hebt en dat u de eigenaar bent van deze openbare domeinnaam in Microsoft 365 registreren, zodat uw Microsoft 365 aanwezigheid aan beide zijden van de hybride verbinding wordt weergegeven.
Openbare Certificate Authorities bieden vertrouwde SSL/TLS-certificaten voor het versleutelen van uw netwerkverkeer. In elke belasting vindt hybride communicatie plaats via een versleutelde verbinding. U hebt een certificaat van een openbare certificeringsinstantie op internet nodig. Het verkrijgen en SSL/TLS van certificaten is een standaardprocedure en de algemeen gangbare certificaat processen van grote bedrijven zijn dit te vereenvoudigen. In kleinere bedrijven moet u mogelijk contact opnemen met uw IT-medewerker, Microsoft 365 documentatie en uw INTERNETPROVIDER.
Opmerking: Mogelijk hoeft u uw openbare certificaat (en) niet handmatig toe te passen. De Exchange Deployment Assistant (EDA) voor Exchange Hybrids-maakt gebruik van Azure AD Connect om u te helpen bij het proces en voor het registreren van certificaten voor uw ADFS-server (als u een ADFS gebruikt). De EDA is ontworpen om het proces voor hybride implementatie te stroomlijnen.
Azure Active Directory of Azure AD wordt op de achtergrond uitgevoerd wanneer u gebruikers synchroniseert/repliceert van uw on-premises naar uw Microsoft 365-abonnement (de Cloud premises). Het komt exact overeen met Active Directory die wordt gebruikt in bredere Azure. Krachtig en naadloos vermengd in Microsoft 365. U beheert uw gebruikers en gebruikerslicenties in deze adreslijst. Het beheren van licenties in Microsoft 365 wordt niet automatisch uitgevoerd door een hybride wizard. Licenties gelden voor kosten van klanten, zodat u kunt bepalen wie en hoeveel verplaatsings licenties automatisch worden uitgevoerd.
Microsoft 365 is volledig één helft van uw hybride. Het bevat online hybride wizards per werkbelasting. Dit is niet zeer efficiënt, maar dit is de werking van de hybride versie van 2016 (of, met andere woorden, vanaf de release van SharePoint Server 2016, Exchange Server 2016 en Skype voor bedrijven server 2015, on-premises). Dit is de eenvoudigste manier om alle elementen in een hybride te configureren. Eén hybride wizard waarmee klanten kunnen kiezen welke belastingen ze hybride willen maken, en door dit proces per werkbelasting te doorlopen, en een hybride opdrachten centrum – een Microsoft 365 beheer dashboard, waarop kan worden gerapporteerd of de technologieën die worden gebruikt voor elke hybride, in orde zijn en/of al zijn opgenomen.
Wat betekent dit? Dit betekent dat elke wizard dezelfde stappen uitvoert, en vaak meer dan één keer. Elke wizard activeert OAuth (S2S vertrouwen), bijvoorbeeld (we spreken later met OAuth). In sommige wizards, zoals de hybride kiezer van de SharePoint Online-werkbelasting, installeert u OAuth, ongeacht de knop waarop u klikt (voor elke selectie die u maakt), of OAuth vereist zijn voor uw hybride scenario. Andere wizards, zoals de hybride wizard van Exchange, stellen OAuth op de achtergrond in en keren ze maar één keer.
Een S2S-vertrouwensrelatie hoeven niet te worden opgebruikt van Internet, maar in geval van hybride moet deze vertrouwensrelatie. Een S2S is niet vergelijkbaar met een domein of forestvertrouwensrelatie. Er worden geen grote hoeveelheden poorten geopend en u kunt geen betere integratie van Active Directory-bestanden maken. Met S2S wordt een vertrouwde verbinding tot stand brengen tussen uw on-premises SharePoint-farm en een deel van de Microsoft 365 Cloud genaamd de toegangsbeheer service of ACS (een autorisatieserver). De vertrouwensrelatie is gebaseerd op een SSL/TLS-certificaat waarmee de tokens die worden uitgegeven namens gebruikers, worden ondertekend, wat uw on-premises en de Microsoft 365 ACS beide accepteren, beschouwt dit als een hoog vijf van de on-premises SharePoint-site (en de ACS-proxy service) en Azure de ACS voor elke geldige gebruiker die de service opent. Communicatie van gebruikersidentiteiten (de reden voor deze vertrouwensrelatie) wordt uitgevoerd via HTTP/443.
Opmerking: Net als met Azure AD, Microsoft 365 heeft een vertrouwensrelatie met de ACS van Azure.
Hybrids kunnen hier gebruikmaken van eigen of persoonlijke certificaten. Veel grote bedrijven kiezen openbare certificaten vanwege hun blijven vanwege-standaarden, grotendeels omdat het verkeer via het Internet, een niet-vertrouwd segment, wordt overschreden. Voor SharePoint-hybriden kan dit certificaat bestaan uit een nieuw, zelfondertekend certificaat of één uitgepakte versie van het SP STS-token-ondertekening certificaat on-premises. (Als u een nieuw certificaat (openbaar of zelfondertekend) in een hybride versie van SharePoint hebt gebruikt, moet u het certificaat van de SP STS-token-ondertekening op alle knooppunten in de SharePoint-farm vervangen.)
Verkeer in een hybride bladert een client bedrijf/organisatie, kruist de Internet en voert de Microsoft organisatie/Microsoft Microsoft 365 Cloud in. Er is een manier om dit niet-vertrouwd en ongeregeld segment te omzeilen, en dat is het gebruik van een indirecte route van een externe provider van uw bedrijf of organisatie in de Microsoft 365 Cloud. Met Express route wordt het Internet overgeslagen door een persoonlijke WAN-verbinding met de Microsoft-Cloud aan te bieden. Het is echter wel belangrijk om te realiseren dat bij een afwijkend WAN een fout is opgetreden.
Alle hybriden maken gebruik van PowerShell-modules voor onderdelen van een management of configuratie. Voor de meeste modules geldt waarschijnlijk de Microsoft Online Services-aanmeldhulpen de Azure Active Directory-module voor Windows PowerShell. U kunt op elk gewenst moment voor het configureren en beheren van uw hybride hybride servers een prep-server voorbereiden door deze veelgebruikte PowerShell-modules te installeren.
Gangbare poorten en protocollen
Hybriden zijn 1/2 uw on-premises en 1/2 Microsoft 365 (Azure SaaS-of PaaS hybriden zijn niet in dit document opgenomen). Het is zeer waarschijnlijk dat de helft van de helft van de helft van de helft van de helft van de Microsoft 365 de helft van 100% https/versleuteld met TLS-certificaten bevat, en dat betekent dat deze wordt uitgevoerd via Standard Port 443. U dient ervoor te zorgen dat een openbaar certificaat ook wordt gekoppeld aan het verzonden verkeer vanuit uw uitgangspunt. Dat wil zeggen dat u een certificaat moet installeren op de computer die het gesprek doet op de Edge van uw netwerk, dat dit verkeer wordt uitgevoerd via 443 en versleuteld.
Opmerking: Als u gebruikmaakt van ADFS, hebt u eigenlijk drie certificaten nodig, waarvan de communicatie van services openbaar kan worden gemaakt en wordt gebruikt voor de communicatie van Services (deze live op uw WA-P-proxy, als u ervoor kiest om ADFS te gebruiken), twee van de eigen geverifieerde certificaten die worden gebruikt wanneer ADFS wordt geïnstalleerd. , onderhevig aan automatische verlenging en de certificaat-ondertekening en Token-ontsleutelingssleutel en tokens die worden gebruikt voor het ondertekenen van alle tokens die door ADFS worden gemaakt. Afgezien van certificaten die nodig zijn voor een optioneel ADFS, moeten alle hybriden een S2S-certificaat hebben (ook wel het S2S ACS-vertrouwens certificaat genoemd, dat te lang is).
Voor alle hybriden worden standaard 443 (HTTPS) en 53 (DNS) gebruikt voor hybride verkeer. Sommige zullen gebruikmaken van extra poorten zoals poort 25 (SMTP). Maar de meest ingewikkelde zaak in hybride werklasten voor poorten is Skype voor bedrijven. Gelukkig zijn de poorten gedocumenteerd.
Het standout-protocol dat wordt gebruikt door alle hybriden (afgezien van de benchmark die wordt gebruikt voor het opzoeken van DNS, HTTPS-verkeer, SMTP en andere normen), is OAuth (open Authorization), die ook in Active Directory Authentication bibliotheek wordt gebruikt. Dit wordt gebruikt wanneer een serverbron aan de ene kant van de verbinding moet handelen namens een gebruiker om toegang te krijgen tot bronnen op een andere server, vaak in de Cloud. Het maakt niet uit of het niveau van de gebruiker toegang heeft tot een bestand of resource kan worden vastmaken voor een geverifieerde gebruiker. Dit wordt ook wel ' moderne verificatie ' genoemd (alhoewel OAuth verwijst naar autorisatie).
Voor alle werkbelasting wordt OAuth/S2S gebruikt in een hybride (maar niet voor elke hybride functie). Hybride wizards stellen meestal dit handige protocol automatisch in. Er is echter geen unification van deze inspanning voor de werkbelasting, geen rapportage van de OAuth-status aan de klant en de centrale manier om deze universele resource te beheren vanaf 2016.
In sommige gevallen wordt OAuth ingeschakeld wanneer u dit niet nodig hebt (bijvoorbeeld wanneer de hybride kiezer van SharePoint deze optie aanmeldt voor OneDrive voor bedrijven naar de Cloud), of bij elke selectie van een hybride optie in de wizard (als u dat nog niet doet, raadpleegt u de Hybrid-kiezer voor SharePoint) of zelfs buiten de hybride kiezer in aangepaste installatiescripts, zoals voor hybride zoeken voor de Cloud.
Opmerking: U kunt overwegen de lynchpin van de Hybrid te maken voor de server-to-server-vertrouwensrelatie tussen de lokale en de Cloud. Het kan handig zijn dat S2S de naam van Microsoft is voor de implementatie van OAuth. Onderliggend S2S/OAuth in al onze belastingen zijn de authenticatie-en identiteits lagen, waarvan beide gebruikmaken van Claimverificatie.
Tabel met veelgebruikte elementen in Microsoft 365 hybriden
Nu hebben we een lijst met veelvoorkomende elementen die er als volgt uitzien:
|
Veelgebruikte werklasten |
|
|
On-premises hardware |
On-premises toepassingen die partners met werkbelasting in Microsoft 365 (bijvoorbeeld Exchange server to Exchange Online) AAD Connect Omgekeerde proxy (indien nodig) ADFS (optioneel) |
|
Internet zaken |
Openbare DNS-records Openbare Certificate Authorities Azure Active Directory (AAD is de gebruikerslijst in Microsoft 365 ) Microsoft 365 (E1-, E3-en E5-abonnementen) hybride wizardsMicrosoft 365 S2S-vertrouwen (server-to-server) |
|
Poorten en protocollen |
HTTPS Server S2S/OAuth |
Ten slotte is het doel om gebruikers overal in de grenzen te trekken, zodat we twee van de belangrijkste functies die een hybride functie doen, van invloed kunnen zijn op de identiteit van uw gebruikers en wat ze mogen doen met de informatie die ze mogen zien.
Een opmerking op ' optioneel '
Sommige van deze elementen zijn ingesteld op ' optioneel ', maar hoe weet u ook of deze nodig zijn? Sommige elementen in Microsoft 365 hybriden zijn echt optioneel of niet optioneel op het bord:
|
Volledig optioneel – alle Microsoft 365 hybriden |
Niet optioneel/vereist voor alle Microsoft 365 hybriden |
|
ADFS |
AAD Connect |
In een werk-hybride zijn er andere functies die in een grijs gebied vallen. Waarschijnlijk is het belangrijkste van dit de S2S-vertrouwensrelatie/OAuth. Deze vertrouwensrelatie wordt gemaakt door elke hybride wizard die in Microsoft is gemaakt, en de vertrouwensrelatie is standaard gebouwd, zelfs wanneer dit niet is vereist, om hybriden voor de toekomst te '. Wanneer u hybride keer via een wizard hebt gebruikt, wordt deze functie ingeschakeld. Maar (zoals u eerder hebt gezien) wordt het momenteel niet gebruikt in alle gevallen.
Er is een omkeerbare proxy (WA-P in ons voorbeeld) nodig wanneer er een ongevraagde aanvraag binnenkomt voor de klant organisatie voor gegevens of informatie (bijvoorbeeld wanneer u hybride BCS gebruikt, wanneer u Office Web apps of een Office Online-server voor het publiceren van documenten in een zoekopdracht publiceert resultaten). Het is ook nodig voor het publiceren van een eindpunt naar een DMZ van uw bedrijf, bijvoorbeeld wanneer Exchange gebruikmaakt van WA-P als een ADFS-proxy (dus wanneer u ADFS gebruikt in een Exchange-Hybrid, hebt u WA-P).
U hebt een Edge nodig om consistente communicatiekanalen voor voortdurende chats in Skype voor bedrijven hybride te behouden en kan worden gebruikt voor het routeren van SMTP-verkeer naar het netwerk vanaf een perimeternetwerk in een Exchange-Hybrid. Zoals besproken, wordt ADFS gebruikt voor eenmalige aanmelding.
|
Moet een omgekeerde proxy gebruiken |
Kan een omgekeerde proxy gebruiken (optioneel) |
Geen omgekeerde proxy nodig |
|
Hybride inkomende zoekactie van SharePoint Hybrid BCS van SharePoint Hybride versie van Skype voor Bedrijven |
Hybrid SharePoint Cloud (Cloud SSA) Hybride uitwisseling van Exchange via ADFS voor eenmalige aanmelding |
OneDrive voor bedrijven-omleiding Functies voor de hybride SharePoint-site Hybride SharePoint-profielen Hybrid-extranet omleiding |
Er zijn soortgelijke tabellen voor S2S, zoals deze tabel voor SharePoint-servers in hybride configuraties. Tabellen zoals dit kunt u maken met behulp van de logica van het S2S-protocol dat wordt gebruikt wanneer een serverbron aan de ene kant van de hybride verbinding moet handelen namens een gebruiker om toegang te krijgen tot bronnen op een andere server in de Cloud.
|
Hybride SharePoint-functies waarvoor OAuth moet worden gebruikt |
Hybride SharePoint-functies die geen OAuth gebruiken |
|
Hybride zoekactie (uitgaand + inkomend) Hybride zoeken voor de Cloud (Cloud SSA) met behulp van zoek weergaven Hybrid Business Connectivity service (BCS) Functies voor hybride sites Hybride profielen Hybrid Managed metagegevens |
Omleiding van OneDrive voor bedrijven * Hybrid-extranet * Hybride profielen * Hybride zoeken voor de Cloud (Cloud SSA) zonder gebruik van zoek overzichten |
* De hybride kiezer van SharePoint schakelt OAuth wel in, maar dit is alleen mogelijk voor toekomstige hybride configuraties.
