Pojęcie hybrydowe — pomysł, że infrastruktura lokalna może rozgałęziać się w celu uwzględnienia zasobów w chmurze firmy Microsoft — istnieje w wielu produktach firmy Microsoft. Środowisko hybrydowe jest obecne w Microsoft 365 z powodu "obciążeń", takich jak Exchange Online, Skype dla firm Online i Program SharePoint na platformie Microsoft 365. Są to obciążenia, które mają charakter "Obraz lustrzany", lub "sznurek", lokalny, na przykład Skype dla firm Online ma lokalną sznurek, Skype dla firm Server 2015 i Program SharePoint na platformie Microsoft 365SharePoint Server 2016.
Gdy porozmawiam o Microsoft 365 mieszańcach w trakcie tego artykułu, rozmawiam przeze mnie, aby współpracowały z tymi Twins. Będziemy rozmawiać o hybrydach programu SharePoint, hybrydach programu Exchange i hybrydach programu Skype dla firm, które obejmują Microsoft 365 i lokalnie. Celem jest jasne wyznaczanie wspólnych technologii technicznych, które występują we wszystkich tych Microsoft 365 mieszańcach. Innymi słowy, wyświetlamy listę bloków konstrukcyjnych hybrydowych Microsoft 365.
Hybrydy
Gdy jestem w kontakcie ze światem, oznacza to, że współpracujemy nad aplikacjami partnerskimi, które są w Twojej firmie zarządzane, i zarządzamy nimi za pomocą osób, które administruje w naszych chmurach firmy Microsoft.
Ta definicja działa na nie tylko platformie Azure, ale większość zadań w Microsoft 365. Jeśli nie wiesz, co to jest obciążenie, to aplikacja działająca na platformie Microsoft 365 chmury — Skype dla firm Online, Exchange Online i SharePoint Online są przykładami. "Obciążenie" to sposób na zagwarantowanie, że różnią się od swoich lokalnych odpowiedników, co jest przydatne do zachowywania się w trakcie pisania i konwersacji.
Środowisko hybrydowe używa wszystkich dostępnych materiałów, niezależnie od tego, gdzie się znajdują.
Porada: Hybryda to kiedykolwiek rozwijająca się technologia w firmie Microsoft dzięki wielu nowym możliwościom przycinania, a więc istnieją pewne części konfiguracji hybrydowe, które są bardziej zaawansowane dla innych. Możliwości konfiguracji hybrydowych mogą się powiększyć i zmienić w tym miejscu.
Wspólne współśrodowiskue zasoby sprzętowe
Wszystkie hybrydy, z którymi rozmawiam, łączą środowisko klienta w Internecie z Microsoft 365 (oraz usługą Azure Active Directory — AAD — w tle, ponieważ działa jako katalog dla Microsoft 365 ). Konfiguracja infrastruktury może utrudnić dźwięk. Pomimo tego, co wysłuchuje, nie zajmie to więcej niż "cokolwiek — ology". Większość mieszańców działa w ten sam sposób z takimi samymi wymaganiami dotyczącymi sprzętu.
Na 2016 Oto elementy, które są potrzebne w przypadku wszystkich mieszańców. W przypadku gdy elementy są opcjonalne, powiedzę, że tak się stanie.
Wszystkie Microsoft 365 obciążenia hybrydowe mają następujące dobre funkcje:
-
Niektóre serwery na środowisku (takie jak farma programu SharePoint lub środowisko Skype dla firm).
-
Lokalna usługa Active Directory, w której użytkownicy mieszkają lub są użytkownikami "domową" (w terminologii S4B).
-
Serwer usługi Azure Active Directory Connect (AAD Connect), który może być własnym lub połączony z innym serwerem, na przykład WA-P). Jest to reprezentowane przez ikonę Synchronizuj, ponieważ do synchronizowania kont z chmury w środowisku hybrydowym jest używane połączenie z usługą AAD.
-
[Opcjonalnie] Serwer proxy odwrotny, który we wszystkich swoich przykładach będzie serwerem proxy aplikacji sieci Web (WA-P).
-
[Opcjonalnie] Możesz również używać programu Active Directory Federation Server (lub usług ADFS).
Uwaga: Nie musisz używać usług ADFS. Połączenie z usługą AAD umożliwi użytkownikowi "Synchronizowanie haseł" z chmurą podczas replikowania tożsamości użytkowników. Ale nie wysyłasz w rzeczywistości hasła przez Internet. Wysyłasz nieodwracalny skrót hasła przez połączenie zabezpieczone TLS.
Ponadto kreatorzy Hybrydowi są Wbudowani w poszczególne obciążenia, które ułatwiają współdziałanie z chmurą, dzięki czemu możesz korzystać ze wszystkich narzędzi w swoim posiadaniu (niezależnie od miejsca pobytu).
Jeśli nie masz usług ADFS, nie musisz wymagać zgodności, która go wymaga, a więc nie chcesz, aby ta złożoność była niezbędna, nie używaj jej. Połączenie z usługą AAD jest przeznaczone do wykonania zadania (a interwał replikacji wynosi od około 3 godzin do 30 minut, co jest to pomocne ulepszenie).
Wiele dużych firm ma niektóre z tych serwerów na miejscu. Wiele kontrolerów domeny usługi Active Directory lub może mieć serwery ADFS. Jeśli zastanawiasz się nad skonfigurowaniem środowiska hybrydowego, możesz skontaktować się z innymi administratorami, aby dowiedzieć się, jakie zasoby lokalne są już wprowadzone. Ułatwi to określenie, czy chcesz korzystać z istniejących części infrastruktury, czy nowych.
Co robią te serwery?
Pomiń tę sekcję, Jeśli wiesz już, co robią te serwery.
Większość użytkowników jest dodawana do operacji usługi Active Directory (AD) — sposób wyliczania użytkowników i obiektów w domenie lub lesie (między innymi) — a w przypadku hybrydy jest to podstawa dla użytkowników, którzy zostaną zreplikowana do usługi Microsoft Cloud. Zadania synchronizacji (AAD Connect), AD FS i WA-P (nasze przykładowe serwery proxy odwrotne) są nieco nowsze, a bardziej centralne do przetwarzania hybrydowych żądań HTTPS i tożsamości, aby porozmawiać o tych funkcjach.
USŁUGI
Do przejrzenia zadania usług federacyjnych Active Directory jest pomoc obu stron mieszańca, które będą rozpoznawać się nawzajem, i o tym co oznacza, Microsoft 365 ma znać i ufać usłudze ADFS (lub klastra ADFS), do której należy zweryfikowana nazwa domeny publicznej. Umożliwia to Logowanie jednokrotne. Oznacza to, że gdy użytkownicy, którzy mają skojarzoną główną nazwę użytkownika, będą mogli uwierzytelniać się za pomocą zasobów internetowych, Microsoft 365 znać swoją główną nazwę użytkownika i konkretny serwer ADFS, aby wysłać użytkownikom w celu uwierzytelnienia. Gdy Heidi@contoso.com przechodzi przez proces logowania w usłudze Exchange Online, Microsoft 365 wysyła żądanie do Twojego lokalu, aby usługa ADFS mogła interweniować w uwierzytelnianiu i potwierdzić, kto się do niego odmówi. Może się to zdarzyć szybko, jeśli sieć i konfiguracja to pozwala. Usługi ADFS są używane, jeśli użytkownik chce korzystać z logowania jednokrotnego: gdy użytkownicy zalogują się do sesji usług ADFS, serwer ADFS przechwytuje wszystkie inne monity o uwierzytelnienie (tak samo jak w przypadku przechodzenia między obciążeniami, na przykład w celu przypomnienia o tym, Microsoft 365 nadal jesteś użytkownikiem. Ponieważ niektóre działy INFORMATYCZNe mają wymagania dotyczące zgodności lub informacji, które wymagają, aby hasła były lokalne, a niektóre nie, ADFS są opcjonalne.
Uwaga: Niezależnie od obciążenia hybrydowego, usługi ADFS są używane tylko wtedy, gdy istnieje potrzeba jednokrotnego zarejestrowania się, lub gdy nie jest ono zgodne ze standardami lub klienci muszą przenieść skrót hasła w Internecie i do katalogu poza zaporą sieciową firmy Edge. Należy pamiętać, że synchronizacja haseł jest domyślnie włączona w Kreatorze łączenia usługi AAD w hybrydach programu Exchange. Odpowiedzi ADFS w przypadku katalogów użytkowników AD lub ADAM (tryb aplikacji Active Directory).
Zwrotny serwer proxy
Web Access-proxy to zwrotny serwer proxy (RP) wbudowany w systemy operacyjne Windows Server od 2012 R2. Serwer proxy odwrotny oznacza punkt wyjściowy do działania w imieniu farmy. Jest to "Strona", która jest stroną internetową i zna nazwę domeny publicznej swojego Microsoft 365 hybrydowego, a "Strona", która jest stroną intranetu lub sieci obwodowej i zna nazwę domeny zasobów wewnętrznych (na przykład adres URL witryny programu SharePoint). Przechwytuje ona wszystkie żądania wprowadzone do firmy i umożliwia zablokowanie portów, zawężenie ruchu, który będzie akceptowany z Internetu, oraz ukrycie adresów wewnętrznych i adresów URL Twojej sieci spoza świata zewnętrznego. Podobnie jak w przypadku wszystkich RPs, jest to serwer proxy dla serwerów wewnętrznych w sieci, ilekroć użytkownicy spoza sieci próbują uzyskać dostęp do zasobu.
Hybrydy programu SharePoint 2013 Użyj odwrotnego serwera proxy, takiego jak WA-P, aby przechwytywać ruch przychodzący (od użytkowników w usługi spo tworzenia zapytań za pomocą indeksu wyszukiwania środowisku w Federacji wyszukiwania), ale ponieważ hybrydowe środowiska programu SharePoint 2016 w chmurze umieszczają cały indeks w chmurze, Następna generacja nie potrzebuje już jednej (z tego powodu, dlaczego jest ona oznaczona jako opcjonalna na diagramach). Program SharePoint 2013 nie jest jedynym miejscem, w którym będzie widoczny odwrotny serwer proxy używany do przechwytywania niechcianych danych pochodzących z Internetu. Program Skype dla firm 2016 używa jednej z konfiguracji krawędzi, a program Exchange 2016 używa go również na jego krawędzi. Ponieważ niektóre sytuacje wymagają tego, argument WA-P jest opcjonalny.
Uwagi:
-
WA-P służy do publikowania punktu końcowego programu SharePoint za pomocą krawędzi firmy w hybrydach programu SharePoint (2013 hybrydy federacyjne). WA-P przechwytuje połączenia z usługi spo dla dokumentów wyświetlanych w wynikach wyszukiwania lub elementów wyświetlanych na listach, które są obsługiwane przez usługę BCS lub SAP. W funkcji wyszukiwania hybrydowego w chmurze element WA-P jest potrzebny tylko wtedy, gdy chcesz wyświetlić podgląd wyszukiwania w wynikach wyszukiwania (konieczne jest opublikowanie punktu końcowego dla serwera Office Web Apps za pośrednictwem tej przeglądarki). W programie Skype dla firm, WA-P służy do przechwytywania wiadomości błyskawicznych i komunikacji konferencyjnej poza firmą i przekierowania jej do programu Skype dla firm Edge w celu dalszego przetwarzania.
-
Funkcja hybrydowa programu Exchange korzysta z narzędzia do nawiązywania połączenia w usłudze AAD podczas korzystania z Kreatora hybrydowego w celu udostępnienia użytkownikom opcji automatycznego instalowania i konfigurowania usług ADFS oraz WA-P na potrzeby programu Exchange, zmniejszając stopień złożoności konfiguracji hybrydowej. Ani konfiguracja, konfiguracja, ani Rejestracja certyfikatów usług ADFS jest automatycznie dowolna od innych obciążeń hybrydowych.
Synchronizowanie
Używana przeze mnie grafika pokazuje "Sync" w usłudze Azure Active Directory Connect. Na pewno synchronizacja realizowana za pośrednictwem usługi AAD Connect wymaga trwającego tranzytu użytkowników i/lub informacji o użytkowniku z lokalnego i chmury. Połączenie z usługą AAD umożliwia wykonywanie dwóch czynności: replikuje konta użytkowników w Microsoft 365 (replikacja), a także umożliwia synchronizowanie informacji o hasłach w Microsoft 365 (co oznacza, że nie jest ono synchronizowane, ale nie jest to odwracalny skrót reprezentujący hasło — synchronizacja). Nie musi to być synchronizacja hasła, ale zawsze jest synchronizowana (replikuje) konta użytkowników z usługi Active Directory (lub z niektórymi wersjami filtrowanych lokalnych użytkowników)!
Usługa AAD Connect działa z działającymi na bieżąco kontrolerami domeny w domenie usługi Active Directory, aby umożliwić "jednoczesne logowanie", a nie "Logowanie jednokrotne usługi ADFS". To samo logowanie oznacza, że zamiast logowania się w jednej chwili i jeśli Program ADFS będzie interweniować we wszystkich monitach dotyczących sesji, logując się przy użyciu tego samego hasła, co na środowisku (i przypuszczalnie należy wybrać opcję zalogowania się w celu zmniejszenia liczby monitów wynik przechodzenia do wielu obciążeń. Połączenie z usługą AAD do synchronizacji nie jest opcjonalne.
Uwagi:
-
Niezależnie od obciążenia hybrydowego wszystko wymaga połączenia z usługą AAD. W każdym przypadku potrzebna jest replikacja i opcjonalna synchronizacja haseł użytkowników do Microsoft 365 (oraz usługi Azure AD znajdującej się za nią).
-
Inne podobieństwa obejmują, że synchronizacja haseł (używana do logowania jednokrotnego) wymaga również ustawienia replikacji zmian katalogów i replikowania zmian katalogów wszystkich w domenach usługi Active Directory, które są synchronizowane — zrób to dla lokalnego konta służy do nawiązywania połączenia z usługą AAD i należy utworzyć wpis hosta DNS A lub AAAA dla nazwy usługi federacyjnej serwera ADFS używanej do rejestracji jednokrotnej, aby funkcja WA-P mogła rozpoznać adres serwera ADFS wewnętrznie.
Wspólne składniki hybrydowe w Internecie i Internecie
W przeciwieństwie do serwerów lokalnych w hybrydach Microsoft 365 i w Internecie jest chmura firmy Microsoft, gdzie — bez względu na obciążenie Microsoft 365 — użytkownik będzie korzystać z kilku znanych technologii. Są one następujące:
-
Publiczne rekordy DNS
-
Publiczne urzędy certyfikacji
-
Usługa Azure Active Directory (AAD)
-
Microsoft 365 (licencje/Sub) i kreatorzy hybrydowe Microsoft 365
-
Zaufanie serwerowe od serwera (S2S)
-
Droga ekspresowa i/lub ruch internetowy
-
Moduły programu PowerShell
Publiczne rejestratory DNS, takie jak GoDaddy, zarządzanie i Zezwalanie na rejestrację nazw domen. Jeśli chcesz korzystać ze środowiska hybrydowego, musisz zarejestrować nazwę domeny za pomocą publicznego serwera DNS (może to już zrobić w przypadku dużych firm). Ta nazwa domeny zostanie dodana do Microsoft 365, co również sprawdzi, czy nazwa domeny publicznej została dodana.
Tradycyjna nazwa domeny publicznej jest taka sama, jak nazwa UPN usługi Active Directory powiązana z lokalnymi użytkownikami, ale nie jest ona przechwycona na tych szczegółach. Z Internecie w programie PowerShell, które mapują tożsamość na lokalny identyfikator SID, pasującą do domeny zarejestrowanej w Microsoft 365 przy użyciu nazwy UPN użytkowników w usłudze-środowisku nie jest już krytyczna. Znajomość nazwy domeny publicznej może być niezbędna, ale nazwa domeny publicznej będzie rejestrowana w Microsoft 365 i będzie reprezentować swoją Microsoft 365 po obu stronach połączenia hybrydowego.
Publiczne urzędy certyfikacji zapewniają wiarygodne certyfikaty SSL/TLS w celu zaszyfrowania ruchu sieciowego. W każdym obciążeniu, komunikacja hybrydowa odbywa się za pośrednictwem połączenia szyfrowanego. Potrzebny jest certyfikat od publicznego urzędu certyfikacji w Internecie. Protokoły pobierające i SSL/TLS są standardową praktyką, a w dużych firmach są zazwyczaj procesy certyfikatów publicznych, które ułatwią to. W mniejszych firmach może być konieczne zapoznania się z osobą z listy kontaktów, Microsoft 365 dokumentację i usługodawcą internetowym.
Uwaga: Być może nie trzeba ręcznie stosować certyfikatów publicznych. Asystent wdrażania programu Exchange (EDA) dla funkcji hybrydowych programu Exchange korzysta z usługi Azure AD Connect, aby przeprowadził Cię przez ten proces i zarejestrować certyfikaty dla serwera ADFS (Jeśli korzystasz z usług ADFS). W EDA jest zaprojektowana pomoc w celu usprawnienia procesu tworzenia hybrydy.
Usługa Azure Active Directory lub Azure AD jest w tle podczas synchronizacji/replikowania użytkowników z lokalnego miejsca na abonament Microsoft 365 (w chmurze). Jest to dokładna usługa Active Directory używana w szerszym systemie Azure. Wydajny i płynnie mieszany w Microsoft 365. Będziesz zarządzać użytkownikami i licencjami użytkowników w tym katalogu. Zarządzanie licencjami w Microsoft 365 nie jest wykonywane automatycznie przez kreatora hybrydowego. Licencje są kosztami, więc decyzja o tym, kto i ile licencji get nie jest automatycznie wprowadzana.
Microsoft 365 jest całkowicie połowa hybrydy. Oferuje on kreatorów hybrydowych online dla każdego obciążenia. Nie jest to bardzo efektywne, ale tak, jak w przypadku programu SharePoint Server 2016, programu Exchange Server 2016 i programu Skype dla firm Server 2015, lokalnego, ponieważ działa tak jak w programie 2016 (lub w innych słowach). Jednak nie jest to najprostszy sposób konfigurowania wszystkich elementów w hybrydowej. Pojedynczy Kreator hybrydowy, który umożliwia klientom wybranie, które obciążenia mają być tworzone jako hybrydowe, i przechodzenie do tego procesu na obciążenie, a także hybrydowego centrum poleceń — na Microsoft 365 administracyjny pulpit nawigacyjny, który może raportować, czy technologie, które są używane przez wszystkie hybrydy, są zdrowe i/lub już nie istnieją.
Co to oznacza? Oznacza to, że każdy Kreator wykonuje te same czynności i często więcej niż raz. Każdy Kreator uaktywnia uwierzytelnianie OAuth (zaufanie S2S) na przykład (będziemy rozmawiać na temat uwierzytelniania OAuth później). Niektóre kreatorzy, takie jak selektor hybrydowy środowiska usługi SharePoint Online, Instaluj OAuth bez względu na to, co przycisk zostanie kliknięty (dla każdego dokonanego wyboru), niezależnie od tego, czy dla Twojego scenariusza hybrydowego jest wymagany protokół OAuth. Inne kreatorzy, takie jak Kreator hybrydowy programu Exchange, Konfigurowanie uwierzytelniania OAuth w tle i tylko raz.
Zaufanie S2S nie musi przekroczyć Internetu, ale w przypadku hybrydowego tego zaufania musi. S2S nie przypomina domeny ani zaufania lasu. Nie ma żadnych dużych numerów portów do otwarcia i nie ma większej integracji, aby utworzyć połączenie między aktywnymi katalogami. Połączenie S2S umożliwia utworzenie zaufanego połączenia między lokalną farmą programu SharePoint a fragmentem chmury Microsoft 365 ej o nazwie Usługa kontroli dostępu lub ACS (serwer autoryzacji). Zaufanie jest oparte na certyfikacie SSL/TLS, który podpisuje tokeny wystawione w imieniu użytkowników, że Twoje lokalne i Microsoft 365 usługi ACS zgadzają się na wiarygodność — tak wygląda tak, jak w przypadku programu SharePoint w wersji środowisku (oraz jej usług proxy ACS) i usługi ACS Azure dla każdego prawidłowego użytkownika próbującego uzyskać dostęp do tej usługi. Komunikacja dotycząca tożsamości użytkowników (przyczyna tego zaufania) jest realizowana za pośrednictwem protokołu HTTP/443.
Uwaga: Podobnie jak w usłudze Azure AD, Microsoft 365 ma zaufanie do usługi ACS Azure.
Hybrydy mogą w tym miejscu używać certyfikatów z podpisem własnym lub publicznymi. Wiele dużych firm będzie wybierać certyfikaty publiczne ze względu na ich standardy InfoSec, ponieważ ruch przekroczy/może przekroczyć Internet, niezaufany segment. W przypadku hybrydowych aplikacji SharePoint ten certyfikat może być nowym certyfikatem z podpisem własnym lub wydzielonym z certyfikatu podpisywania tokena programu Service STS lokalnego. (Jeśli użyto nowego certyfikatu (publicznego lub samopodpisującego) w hybrydowym programie SharePoint, trzeba wymienić certyfikat podpisywania tokenu usługi STS na wszystkich węzłach w farmie programu SharePoint.
Ruch w hybrydie powoduje pozostawienie firmy/organizacji klienta, przecięcie z Internetem i przejście do chmury Microsoft Organization/Microsoft Microsoft 365. Istnieje możliwość ominięcia tego niezaufanego i niekontrolowanego segmentu oraz tego, że korzystasz z trasy Express opartej na dostawcy innej firmy lub organizacji w chmurze usługi Microsoft 365. Usługa Express Route pomija Internet przez oferowanie prywatnego połączenia WAN z chmurą firmy Microsoft. Ważne jest jednak, aby zdawać sobie sprawę, że w przypadku uszkodzenia sieci WAN, powrót do Internetu jest nadal możliwy.
Wszystkie hybrydy umożliwiają korzystanie z modułów programu PowerShell dla części zarządzania lub konfiguracji. Większość wymaganych modułów będzie prawdopodobnie zawierać Asystenta logowania w witrynie Microsoft Online Servicesoraz moduł Azure Active Directory dla programu Windows PowerShell. Za pomocą tych często używanych modułów programu PowerShell możesz przygotowywać serwery do konfiguracji i zarządzania swoimi hybrydami.
Często używane porty i protokoły
Hybrydy są 1/2e lokalnie i 1/2 Microsoft 365 (platforma Azure SaaS lub PaaS hybrydy nie są objęte tym dokumentem). Bardzo prawdopodobne jest, że obydwa połówki są uruchomione w protokole HTTPs, ale co najmniej Microsoft 365 połowa jest 100% https/zaszyfrowano za pomocą certyfikatów TLS, co oznacza, że jest on uruchamiany ponad portem standardowym 443. Należy się upewnić, że certyfikat publiczny jest powiązany z ruchem wychodzącym z punktu wyjściowego. Oznacza to, że konieczne będzie zainstalowanie na komputerze certyfikatu prowadzącego rozmowy na krawędzi sieci — ten ruch będzie przeprowadzony ponad 443 i będzie zaszyfrowany.
Uwaga: Jeśli korzystasz z usług AD FS, będziesz w rzeczywistości potrzebować trzech certyfikatów, z których jedna zostanie wydana publicznie i będzie używana do komunikacji usług (będzie ona dostępna na swoim serwerze proxy WA-P w przypadku wybrania opcji korzystania z usług ADFS), dwóch z nich będzie certyfikatami podpisanymi z podpisem własnym podczas instalacji usług ADFS , z zastrzeżeniem automatycznego odnawiania, oraz certyfikaty podpisywania tokenu i odszyfrowywania tokenów używane do podpisywania wszystkich tokenów wykonywanych przez usługi ADFS. Jednak oprócz certyfikatów wymaganych przez opcjonalną usługę ADFS, wszystkie hybrydy muszą mieć certyfikat S2S (czasami nazywany certyfikatem zaufania S2S, który jest zbyt długi).
W przypadku ruchu hybrydowego we wszystkich hybrydach są domyślnie używane funkcje 443 (HTTPS) i 53 (DNS). Niektóre z nich będą używać dodatkowych portów, takich jak port 25 (SMTP). Jednak najbardziej skomplikowaną sprawą w ramach obciążeń hybrydowych dla portów jest program Skype dla firm. Na szczęście porty są udokumentowane.
Protokół standout, wykorzystywany przez wszystkie hybrydy (oprócz testów używanych do wyszukiwania DNS, ruchu HTTPS, SMTP i innych standardów), to uwierzytelnianie OAuth (Open autoryzacja), które jest również używane w bibliotece uwierzytelniania usługi Active Directory. Jest on wykorzystywany, gdy zasób serwera po jednej stronie połączenia musi działać w imieniu użytkownika w celu uzyskania dostępu do zasobów na innym serwerze, często w chmurze. Jest to sposób, w jaki poziom dostępu użytkownika do pliku lub zasobu może być oznaczany przez uwierzytelnionego użytkownika. Jest to również nazywane "nowoczesnym uwierzytelnianiem" (chociaż autoryzacja OAuth odnosi się do autoryzacji).
Wszystkie obciążenia pracą używają uwierzytelniania OAuth/S2S, gdy w hybrydie jest używany (choć nie dla każdej funkcji hybrydowej). Kreatorzy hybrydowi generalnie konfigurują ten przydatny protokół automatycznie. Jednak nie ma możliwości ujednolicenia tego nakładu pracy w ramach obciążeń, żadnych raportów dotyczących stanu uwierzytelniania OAuth klienta i scentralizowanego sposobu zarządzania tym zasobem uniwersalnym na 2016.
W niektórych przypadkach kreatorzy hybrydowe włączają włączenie uwierzytelniania OAuth, gdy nie jest ono potrzebne (na przykład w przypadku selektora hybrydowego programu SharePoint w celu przekierowania w usłudze OneDrive dla firm do chmury) lub po każdym wybraniu opcji hybrydowej w Kreatorze (ponownie Zobacz selektor funkcji hybrydowych programu SharePoint). lub nawet poza selektorem funkcji hybrydowych w niestandardowych skryptach konfiguracji, na przykład w ramach wyszukiwania hybrydowego w chmurze.
Uwaga: Możesz traktować lynchpin mieszańca jako relację serwer-do-serwera (S2S) między lokalnym a chmurą. Może się to okazać pomocne, że S2S to nazwa firmy Microsoft służąca do implementacji uwierzytelniania OAuth. Podstawowym identyfikatorem S2S/OAuth we wszystkich naszych obciążeń są warstwy uwierzytelniania i tożsamości, w których są używane uwierzytelnienia oświadczeń.
Tabela typowych elementów w Microsoft 365 mieszańcach
Teraz mamy listę popularnych elementów wyglądających następująco:
|
Funkcje obsługi zadań hybrydowych są wspólne |
|
|
Sprzęt środowisku |
Lokalne aplikacje, które są partnerem o obciążeniach w Microsoft 365 (na przykład serwer Exchange do usługi Exchange Online) Połączenie z usługą AAD Odwrócony serwer proxy (w razie potrzeby) ADFS (opcjonalnie) |
|
Funkcje internetowe |
Publiczne rekordy DNS Publiczne urzędy certyfikacji Usługa Azure Active Directory (AAD jest katalogiem użytkowników w Microsoft 365 ) Microsoft 365 (E1, E3, abonamenty E5) Kreatorzy hybrydMicrosoft 365 Zaufanie serwerowe od serwera (S2S) |
|
Porty i protokoły |
HTTPS USŁUGĘ S2S/OAuth |
W końcu wszystkie obciążenia mają na celu przystąpienie użytkowników do tych samych granic, dzięki czemu można uprościć dwie najważniejsze funkcje, które odgrywają tożsamość użytkownika, i co to jest dozwolone, aby uzyskać dostęp do tych informacji.
Uwaga dotycząca pozycji opcjonalne
Niektóre z tych elementów mają ustawioną wartość "opcjonalnie", ale wiesz, czy są one potrzebne? Niektóre elementy hybrydowe Microsoft 365 są naprawdę opcjonalne lub nie są opcjonalne w całej tablicy:
|
Całkowicie opcjonalny — wszystkie Microsoft 365 hybrydowe |
Nie są opcjonalne/wymagane przez wszystkie hybrydy Microsoft 365 |
|
USŁUGI |
Połączenie z usługą AAD |
W działaniu hybrydowego środowiska są dostępne inne funkcje, które znajdują się w szarym obszarze. Najprawdopodobniej najważniejszymi z nich jest zaufanie S2S/OAuth. To zaufanie jest tworzone przez każdy Kreator hybrydowy utworzony w firmie Microsoft, a zaufanie jest domyślnie wbudowane, nawet jeśli nie jest wymagane, aby pozostały na przyszłość. Po przejściu do hybrydy za pomocą Kreatora ta funkcja będzie włączona. Ale (jak już się wykorzystano) nie jest on obecnie wykorzystywany we wszystkich przypadkach.
Zwrotny serwer proxy (WA-P w naszym przykładzie) jest potrzebny, ilekroć jest niepożądane żądanie przychodzące do organizacji klienta w celu uzyskania danych lub informacji (na przykład podczas korzystania z hybrydowych usług BCS podczas publikowania aplikacji Office Web Apps lub programu Office Online Server w celu wyświetlenia podglądu dokumentu w usłudze wyszukiwania. wyniki). Konieczne jest również opublikowanie punktu końcowego w obszarze DMZ firmy, na przykład wtedy, gdy program Exchange korzysta z funkcji WA-P jako serwera proxy usług ADFS (Jeśli korzystasz z usług AD FS w hybrydowej usłudze Exchange, będziesz potrzebować WA-P).
Krawędzie są potrzebne do prowadzenia spójnych kanałów komunikacji dla wiadomości błyskawicznych w programie Skype dla firm i mogą być używane do routowania ruchu SMTP do sieci z obwodu hybrydowego programu Exchange. Jak omówiono, usługi ADFS są używane do rejestracji jednokrotnej.
|
Należy użyć odwrotnego serwera proxy |
Może korzystać z odwrotnego serwera proxy (opcjonalnie) |
Nie trzeba wycofać serwera proxy |
|
Hybrydowe wyszukiwanie przychodzące programu SharePoint Hybrydowe usługi BCS programu SharePoint Wdrożenie hybrydowe programu Skype dla firm |
Środowisko hybrydowe programu SharePoint (Cloud SSA) Hybrydowe usługi Exchange korzystanie z usług rejestracji jednokrotnej |
Przekierowanie usługi OneDrive dla firm Funkcje hybrydowe witryny programu SharePoint Przekierowanie profilów hybrydowych programu SharePoint Przekierowanie hybrydowe ekstranetu |
Istnieją podobne tabele dla S2S, takie jak ta tabela dla serwerów programu SharePoint w konfiguracjach hybrydowych. Tabele, takie jak ta, można utworzyć przy użyciu logiki protokołu S2S, która jest używana, gdy zasób serwera po jednej stronie połączenia hybrydowego musi działać w imieniu użytkownika w celu uzyskania dostępu do zasobów na innym serwerze w chmurze.
|
Funkcje hybrydowe programu SharePoint, które muszą używać uwierzytelniania OAuth |
Funkcje hybrydowe programu SharePoint, które nie używają uwierzytelniania OAuth |
|
Wyszukiwanie hybrydowe (wychodzące + przychodzące) Wyszukiwanie hybrydowe w chmurze (Cloud SSA) z użyciem funkcji podglądu wyszukiwania Usługa łączności biznesowej hybrydowej (BCS) Funkcje hybrydowe witryny Profile hybrydowe Metadane zarządzane w środowisku hybrydowym |
Przekierowywanie usługi OneDrive dla firm * Ekstranet hybrydowy * Profile hybrydowe * Wyszukiwanie hybrydowe w chmurze (Cloud SSA) bez użycia funkcji podglądu wyszukiwania |
* Selektor funkcji hybrydowych programu SharePoint nadal będzie włączać uwierzytelnianie OAuth, ale jest to przeznaczone dla wszystkich przyszłych konfiguracji hybrydowych.
