Общие сведения о гибридах Office 365

Гибридные среды

После того как я говорю о гибридности, я имею в виду технологии, которые соответственны за ваши бизнес-приложения, которыми вы владеете, и которыми вы управляете в Microsoft Cloud (ах).

Это определение работает не только в Azure, но и в большинстве рабочих нагрузок в Microsoft 365. Если вы не знаете, что такое Рабочая нагрузка, это приложение работает на Microsoft 365 облачной платформы — Skype для бизнеса Online, Exchange Online и SharePoint Online — примеры. "Рабочая нагрузка" — это способ сохранить их для разных локальных аналогов, что полезно для того, чтобы писать и общаться в чате.

Гибридное подходящее использование всех ресурсов, где бы они ни находились, независимо от того, где они находятся.

Общие аппаратные ресурсы в локальной системе

Все гибриды, о которых я говорю здесь, соединяют клиентскую среду по Интернету с Microsoft 365 (и Azure Active Directory — AAD — в фоновом режиме, так как он действует как каталог для Microsoft 365 ). Настройка инфраструктуры может усложнить настройку. Несмотря на то, что вы могли слышать, это не имеет степени в "каких-ологи". На самом деле большая часть гибридов работает так же, как и (в большинстве случаев) с одинаковыми аппаратными требованиями.

Как и в 2016 ниже указаны элементы, которые необходимы для всех гибридных элементов. Там, где это не обязательно, я буду говорить.

Все Microsoft 365 гибридные рабочие нагрузки обладают следующими хорошими задачами:

1. Некоторые локальный сервер (например, ферма SharePoint или среда Skype для бизнеса).

2. Локальная служба Active Directory, в которой пользователи работают в сети или находятся в папке "Сетевая" (в терминологии S4B).

3. Сервер Azure Active Directory Connect (AAD Connect) (который может находиться на отдельном или комбинированном сервере с другим сервером, например WA-P). Это значение представлено значком "Синхронизация", так как для синхронизации учетных записей из локальной сети с облаком в гибридной среде используется соединение AAD.

4. [Необязательно] Обратный прокси-сервер, который, во всех моих примерах, будет использоваться на сервере прокси для веб – приложения (WA-P).

5. [Необязательно] Вы также можете использовать сервер федерации Active Directory (или ADFS).

Кроме того, мастера гибридного развертывания встраиваются в каждую рабочую нагрузку, чтобы помочь вам в создании партнера с облаком, чтобы можно было использовать все инструменты, где бы вы ни находились.

Если у вас нет ADFS, не используйте требования соответствия требованиям, а не пользуйтесь ею. Соединение AAD разработано для выполнения задания (а интервал репликации — от 3 до 30 минут, что является полезным усовершенствованием).

Многие крупные компании имеют некоторые из этих серверов на своем компьютере. У многих есть контроллеры домена Active Directory или серверы ADFS. Если вы думаете о настройке гибридного развертывания, вы можете попытаться узнать, какие локальные ресурсы уже находятся на месте, с другими администраторами. Она поможет вам определить, нужно ли использовать существующие элементы инфраструктуры или создать новую.

Что это за серверы?

Пропустите этот раздел, если вы уже знаете, что именно делают эти серверы.

Большинство пользователей взаимодействуют с операциями Active Directory (AD) — так как она перечисляет пользователей и объекты в домене или лесе (среди прочего) — и в случае гибридного развертывания для пользователей, которые будут реплицированы в Microsoft Cloud, будет использоваться Главная база. Задания синхронизации (AAD Connect), ADFS и WA-P (наш пример обратной прокси-сервера) немного новее и больше всего удобнее для обработки гибридных запросов HTTPS и удостоверений, поэтому давайте поговорим о них.

СЛУЖБАМИ

Для проверки в службах федерации Active Directory рекомендуется, чтобы обе стороны гибридной среды рассмотрели друг друга, и это значит, что Microsoft 365 будет знать и доверять службе ADFS (или кластеру ADFS), к которой принадлежит проверенное доменное имя. Это позволяет использовать единый вход. Это означает, что когда пользователи со связанным UPN проверяются для проверки подлинности в Интернет-ресурсах, Microsoft 365 будет знать свой UPN и конкретный сервер ADFS для отправки пользователей на проверку подлинности. Когда Heidi@contoso.com проходит процесс входа в Exchange Online, Microsoft 365 отправляет запрос на ваш локальный доступ, чтобы ADFS мог пройти проверку подлинности и либо подтвердить, кто ее претендует, либо отклонить его. Это может быть удобно, если сеть и конфигурация допускают ее. ADFS используется, если вы хотите использовать единый вход: после входа пользователей в сеанс ADFS сервер ADFS перехватывает все прочие запросы на проверку подлинности (как это происходит при переключении между рабочими нагрузками), чтобы напомнить Microsoft 365 о том, что вы еще не являетесь. Так как у некоторых ИТ-отделов есть параметры соответствия или информационной безопасности, требующие использования пароля в локальной среде, а некоторые из них не являются обязательными.

Обратный прокси-сервер

Веб-сервер доступа — прокси — это обратный прокси-сервер (RP), который был встроен в операционные системы Windows Server с момента выпуска 2012 R2. Обратный прокси означает, что вы указываете на выход от имени вашей фермы. У него есть "Side", который является Интернетом, а также имя общедоступного домена для Microsoft 365 гибридной сети, а также "Side", который находится в интрасети или демилитаризованной зоне, и знает доменные имена внутренних ресурсов (например, URL-адрес сайта SharePoint). Она перехватывает все запросы, поступающие в бизнес-приложение, и позволяет блокировать порты, ограничивать трафик, принимаемый через Интернет, и скрывать внутренние адреса и URL-адреса для вашей сети из внешнего мира. Как и все RP, он является прокси для внутренних серверов в сети, когда пользователи за пределами сети пытаются получить доступ к ресурсу.

Гибридные функции SharePoint 2013 используют обратный прокси, например WA-P, для перехвата входящего трафика (от пользователей в SPO создание запросов на локальный поисковый индекс в случае использования Федерации поиска), но так как в среде SharePoint 2016 облачные гибриды размещаются весь индекс в облаке, для следующего поколения больше не требуется единица (это единственная причина, по которой она отмечена как необязательная на схемах). Но SharePoint 2013 — это единственное место, где вы увидите обратный прокси-сервер, который используется для перехвата нежелательного трафика, поступающего из Интернета. Skype для бизнеса 2016 использует один и тот же параметр, а Exchange 2016 — на ее стороне. Так как в некоторых ситуациях требуется, WA-P является необязательным.

Синхронизация

На рисунке показана команда "Синхронизация" для Azure Active Directory Connect. На самом деле, синхронизация, выполненная с помощью AAD Connect, включает в себя текущие пути пользователей и/или сведений о пользователях из локальной сети и в облако. С помощью AAD Connect можно выполнить два действия: она реплицирует учетные записи пользователей в Microsoft 365 (репликация) и может синхронизировать сведения о пароле с Microsoft 365 (это не синхронизация пароля, но необратимый хеш, представляющий пароль — синхронизация). Вам не нужно будет синхронизировать пароль, но он всегда синхронизирует (реплицирует) учетные записи пользователей из Active Directory (или с помощью фильтрованной версии локального каталога пользователей).

Приложение AAD Connect работает с работоспособными контроллерами домена в вашем домене Active Directory и допускает "единый вход", а не ADFS. Один и тот же вход означает, что вместо того, чтобы выполнять вход в Skype и использовать ADFS для всех приглашений вашего сеанса, вы входите в систему с тем же паролем, что и в локальной (и, возможно, в том случае, если вы хотите, чтобы вы ни находились, чтобы уменьшить количество приглашений, которые Результат перемещения по нескольким рабочим нагрузкам). Соединение AAD для синхронизации не является обязательным.

Общедоступные гибридные части Интернета и Интернет

В качестве противоположных локальных серверов в гибридной Microsoft 365 и в Интернете используется Microsoft Cloud, где – вне зависимости от Microsoft 365 рабочей нагрузки — вы будете пользоваться некоторыми привычными технологиями. Ниже указаны указанные ниже.

• Общедоступные DNS-записи

• Общедоступные центры сертификации

• Azure Active Directory (AAD)

• Microsoft 365 (лицензии) и мастеры Microsoft 365 гибридной среды

• Отношение "сервер-сервер" (S2S)

• Выразить маршрут и (или) трафик через Интернет

• Модули PowerShell

Регистраторы общедоступных DNS, например GoDaddy, управляют регистрацией доменных имен и разрешают их регистрацию. Если вы хотите использовать гибридное развертывание, вам нужно будет зарегистрировать доменное имя с общедоступным DNS (это может быть сделано в крупных компаниях). Это доменное имя будет добавлено в Microsoft 365, и вы также убедитесь, что вы владеете именем общедоступного домена, которое вы добавили.

Обычно это имя общедоступного домена совпадает с именем участника службы Active Directory, присоединенным к локальным пользователям, а не с помощью этих данных. С помощью атрибута "онпремисессекуритидентифиер" в PowerShell, который сопоставляет удостоверение с локальным идентификатором безопасности, соответствие зарегистрированному домену в Microsoft 365 с UPN пользователей в локальной системе больше не так важно, как если бы он ни находился. Важно знать, что вам понадобится собственное доменное имя, которое вы можете доказать, это имя общедоступного домена будет зарегистрировано в Microsoft 365, и оно будет представлять Microsoft 365 присутствие на обеих сторонах гибридного подключения.

Общедоступные центры сертификации предоставляют надежные сертификаты SSL/TLS для шифрования сетевого трафика. Во всех рабочих нагрузках Гибридная связь выполняется через зашифрованное соединение. Вам понадобятся сертификаты из общедоступного центра сертификации в Интернете. Сертификаты по протоколу SSL и TLS — это стандартная практика, и в крупных компаниях для облегчения работы с сертификатами обычно используются открытые процессы. В небольших организациях вам может потребоваться обратиться к ИТ – специалисту, Microsoft 365 документации и поставщику услуг Интернета.

Azure Active Directory или Azure AD находятся в фоновом режиме, когда вы синхронизируете и реплицируете пользователей из локальной сети в вашу подписку на Microsoft 365 (в облаке облака). Это именно тот же каталог Active Directory, который использовался в более широкой Azure. Широкие возможности и плавные переходы в Microsoft 365. Вы будете управлять пользователями и лицензиями пользователей в этом каталоге. Управление лицензиями в Microsoft 365 не выполняется автоматически с помощью любого мастера гибридного развертывания. Стоимость лицензий обеспечивается денежным лицом, поэтому решение о том, сколько лицензий не выполняется автоматически, не задается.

Microsoft 365 — это полная половина гибридного развертывания. У него есть сетевые мастера гибридного развертывания на рабочей нагрузке. Это не очень эффективно, но это то, что Гибридная версия работает на 2016 (или другими словами, на основе версии SharePoint Server 2016, сервера Exchange Server 2016 и Skype для бизнеса Server 2015, в локальной среде). Но это не самый простой способ настроить все элементы в гибридной среде. Мастер гибридного развертывания, который позволит клиентам выбирать рабочие нагрузки для гибридного развертывания, а также пошаговые инструкции для каждой рабочей нагрузки и гибридный центр команд — Microsoft 365 панель мониторинга администрирования, которая может сообщить, работают ли технологии, используемые для каждой гибридной среды, и/или уже есть.

Что это значит? Это означает, что все мастера выполняются один и тот же шаг и часто несколько раз. Каждый из мастеров активирует OAuth (отношение доверия S2S), например (мы поговорим о службе OAuth позже). Некоторые мастера, например средство выбора гибридной рабочей нагрузки SharePoint Online, устанавливаются с помощью OAuth независимо от того, какая кнопка нажата (для каждого сделанного выбора), требуется ли для гибридного сценария использование OAuth. Другие мастера, например мастер гибридного развертывания Exchange, настройте OAuth в фоновом режиме и только один раз.

Для доверительных отношений S2S не требуется пересекается с Интернетом, но в случае гибридного развертывания это отношение должно быть доверенным. S2S не нравится доверенному домену или лесу. Вы не можете открыть большое количество портов и более глубокая интеграция для создания между активными каталогами. S2S создает доверенное соединение между локальной фермой SharePoint и частью Microsoft 365 облака, называемой службой управления доступом или сервером ACS (сервер авторизации). Доверие основано на сертификате SSL/TLS, подпадающем на Подписывание маркеров, выданных от имени пользователей, а также о том, что ваша локальная служба и Microsoft 365 ACS будут надежно надежны — представьте ее как более 5 между локальными SharePoint (и ее прокси-службой ACS) и Azure для ACS для каждого действующего пользователя, который может получить доступ к службе. Связь с удостоверениями пользователей (основанием для этого отношения доверия) осуществляется через HTTP/443.

Гибридные функции могут использовать для этого собственные сертификаты с собственной подписью или общедоступными. Многие крупные компании выделять общедоступные сертификаты из-за их стандартов правилами — в основном, так как трафик пересекается и может переводиться в Интернет, а не в ненадежном сегменте. Для гибридных веб-служб SharePoint этот сертификат может быть новым самозаверяющим сертификатом, который был извлечен из сертификата токена STS для локальной подписи. (Если в гибридной среде SharePoint использовался новый сертификат (общедоступная или самозависимая), вам потребуется заменить сертификат для подписи токена STS для всех узлов фермы SharePoint.

Трафик в гибридной среде оставляет за собой клиентскую компанию или организацию, пересекается с Интернетом и входит в облако Microsoft Microsoft 365 облака Майкрософт. Вы можете обойти этот ненадежный и неуправляемый сегмент, и это можно сделать с помощью Экспресс-маршрута на основе поставщика из компании или организации в Microsoft 365 облако. Экспресс-маршрут обходит Интернет, предлагая частное подключение к глобальной сети в Microsoft Cloud. Тем не менее важно понимать, что в случаях, когда глобальная сеть снижает сбой, откат по-прежнему является Интернетом.

Для всех гибридных сред используются модули PowerShell для отдельных элементов управления или конфигурации. В большинстве модулей, которые вам понадобятся, скорее всего, будет использовать Помощник по входу в Microsoft Online Servicesи модуль Azure Active Directory для Windows PowerShell. Вы можете заранее подготовить серверы для настройки и управления гибридами, устанавливая эти часто используемые модули PowerShell.

Общие порты и протоколы

Гибридные сети — 1/2, а также 1/2 Microsoft 365 (в этом документе не рассматриваются гибриды служб Azure SaaS или PaaS). По-видимому, обе половины работают на HTTPs, но по крайней мере Microsoft 365 половина составляет 100% HTTPS/шифруется сертификатами TLS, и это означает, что он работает по стандартному порту 443. Необходимо убедиться в том, что общедоступный сертификат связан с трафиком, идущим из точки выхода. Таким образом, вам потребуется установить сертификат на компьютере, на котором выводится беседа по краю вашей сети – этот трафик будет запущен более чем в 443 и будет зашифрован.

Все гибриды по умолчанию будут использовать 443 (HTTPS) и 53 (DNS) для гибридного трафика. Некоторые из них будут использовать дополнительные порты, например порт 25 (SMTP). Но в гибридных рабочих нагрузках на портах есть Skype для бизнеса. К счастью, эти порты задокументированы.

Протокол стандаут, используемый всеми гибридными средами (за исключением тестов, используемых для поиска DNS, трафика HTTPS, SMTP и других стандартов), — это OAuth (открытая авторизация), который также используется в библиотеке проверки подлинности Active Directory. Он используется, когда серверный ресурс на одной стороне соединения должен действовать от имени пользователя для доступа к ресурсам другого сервера, часто в облаке. Это значит, что уровень доступа пользователей к файлу или ресурсу можно оценить для пользователя, прошедшего проверку подлинности. Это называется также "современной проверкой подлинности" (хотя для OAuth — авторизация).

Все рабочие нагрузки используют OAuth/S2S в гибридной среде (хотя и не для всех гибридных функций). Мастер гибридной конфигурации обычно автоматически настраивает этот полезный протокол. Тем не менее, в рамках рабочих нагрузок не существует никакого отчета о состоянии OAuth, а также централизованный способ управления этим универсальным ресурсом на 2016.

В некоторых случаях мастера развертывания не включаются, если он не нужен (как в средстве выбора гибридной среды SharePoint для перенаправления в OneDrive для бизнеса), или при каждом выборе гибридного варианта в мастере (опять же, в разделе выбора гибридной среды SharePoint). или даже за пределами средства выбора гибридной среды в настраиваемых сценариях настройки, например с облачным гибридным поиском.

Таблица стандартных элементов в гибридных Microsoft 365

Теперь у нас есть список распространенных элементов, который выглядит примерно так:

В конечном итоге, для всех рабочих нагрузок нужно сделать так, чтобы пользователи находились в разных границах, и мы сможем упростить два из наиболее важных функций, которые могут быть доступны в гибридной среде — это может посчитать идентификационные данные пользователя, а также указать, что она может сделать с помощью предоставленных ей сведений.

Заметка на необязательном

Для некоторых из этих элементов задано значение "необязательно", но как узнать, требуется ли они? Некоторые элементы в Microsoft 365 гибридных не являются обязательными или не являются обязательными на доске:

Внутри рабочей гибридной среды есть и другие функции, которые попадают в серую область. Скорее всего, наиболее важным из них является доверие S2S/OAuth. Это доверительное отношение строится каждым мастером гибридного развертывания, созданным внутри Microsoft, и доверие строится по умолчанию, даже если это не требуется для гибридного развертывания в будущем. После того как вы переходите к гибридной среде с помощью мастера, эта функция будет включена. Но (как вы увидели ранее) в настоящее время она не используется во всех случаях.

Обратный прокси (WA-P в нашем примере) необходим при наличии незапрошенного запроса, входящего в организацию данных клиента (например, при использовании гибридной службы BCS) при публикации Office Web Apps или Office Online для предварительного просмотра документов в поиске результатов). Это также необходимо при публикации конечной точки в DMZ вашей компании, например при использовании Exchange в качестве прокси-сервера ADFS (поэтому, если вы используете ADFS в гибридной среде Exchange, вам понадобится WA-P).

Края должны поддерживать единообразные каналы связи для текущих чатов в гибридной среде Skype для бизнеса, и их можно использовать для маршрутизации трафика SMTP в сеть с периметра в гибридном приложении Exchange. Как обсуждалось, ADFS используется для единого входа.

Существуют похожие таблицы для S2S, такие как таблица для серверов SharePoint в гибридных конфигурациях. Такие таблицы могут быть построены с использованием логики протокола S2S, который используется, когда ресурс сервера на одной стороне гибридного подключения должен действовать от имени пользователя для доступа к ресурсам другого сервера в облаке.

* Средство выбора гибридной среды SharePoint по-прежнему будет включать OAuth, но это необходимо для любых будущих гибридных конфигураций.