Office 365 lai có gì chung?

Lai

Khi tôi nói hỗn hợp, tôi có phải nghĩa là một tác công nghệ đó đối tác ứng dụng bạn sở hữu và quản lý trong doanh nghiệp của bạn với những chúng tôi quản lý trong Microsoft Cloud(s) của chúng tôi.

Định nghĩa này hoạt động qua không chỉ Azure mà hầu hết các khối lượng công việc trong Office 365. Nếu bạn không biết những gì khối lượng công việc là, bằng cách, đó là một ứng dụng chạy trên nền tảng điện toán đám mây Office 365 – Skype for Business Online, Exchange Online và SharePoint Online là ví dụ. 'Khối lượng công việc' là cách để giữ chúng khác với đối tác tại chỗ của họ, hữu ích để giữ văn bản và các hội thoại từ bắt gây nhầm lẫn.

Trang phục hỗn hợp sử dụng tất cả tài nguyên ở bàn tay, bất kể chúng nằm ở đâu.

Tại cơ sở phần cứng tài nguyên chung

Tất cả các lai mà tôi đang nói về đây kết nối một môi trường khách hàng trên Internet vào Office 365 (và Azure Active Directory – AAD – trong nền vì nó hoạt động như thư mục cho Office 365). Cơ sở hạ tầng âm thanh có thể thật khó khăn để cấu hình. Cho dù có những gì bạn có thể có nghe, có một mức độ trong 'bất cứ điều gì-ology'. Thực tế, hầu hết các lai hoạt động giống nhau (cho hầu hết các phần) cùng một yêu cầu phần cứng.

Thời 2016 dưới đây là các yếu tố mà tất cả lai cần. Nơi mọi thứ được tùy chọn, tôi sẽ nói như vậy.

Tất cả khối lượng công việc hỗn hợp Office 365 có những tốt điều này:

1. Một số máy chủ tại cơ sở (như một cụm máy chủ SharePoint hoặc Skype for Business môi trường).

2. Active Directory tại cơ sở nơi người dùng trực tiếp hoặc 'tài khoản tại' (trong thuật ngữ S4B).

3. Máy chủ Azure Active Directory kết nối (kết nối AAD) (mà có thể xuất hiện trên riêng của nó hoặc kết hợp với máy chủ khác, chẳng hạn như WA-P). Điều này được thể hiện bằng biểu tượng 'Đồng bộ' vì AAD kết nối được dùng để đồng bộ hóa tài khoản từ các cơ sở với đám mây trong hỗn hợp.

4. [Tùy chọn] Một đảo ngược máy chủ proxy, có trong tất cả các ví dụ của tôi, sẽ là máy chủ Proxy ứng dụng Web (WA-P).

5. [Tùy chọn] Bạn cũng có thể dùng máy chủ liên kết Active Directory (hoặc ADFS).

Ngoài ra, trình hướng dẫn hỗn hợp được dựng sẵn vào mỗi khối lượng công việc để giúp bạn cộng tác với điện toán đám mây của bạn để bạn có thể dùng tất cả các công cụ sẵn sàng (bất kể chúng nằm ở đâu).

Nếu bạn không có ADFS, có không yêu cầu tuân thủ yêu cầu đó, và không muốn mức độ phức tạp bổ sung, không sử dụng nó. AAD kết nối được thiết kế để làm việc trên (và khoảng lặp là xuống từ xấp xỉ 3 giờ đến 30 phút, mà là cải thiện hữu ích để thực hiện).

Nhiều công ty lớn có một số của những máy chủ tại chỗ. Nhiều có bộ điều khiển tên miền Active Directory, hoặc có thể có máy chủ ADFS. Nếu bạn đang nghĩ về cách thiết lập hỗn hợp, bạn có thể muốn kiểm tra với người quản trị khác để tìm hiểu những gì tài nguyên tại chỗ đã có trong vị trí. Nó sẽ giúp bạn quyết định xem liệu bạn muốn sử dụng phần cơ sở hạ tầng hiện có, hoặc mới.

Những máy chủ đang làm gì?

Bỏ qua phần này nếu bạn đã biết những máy chủ cách thực hiện.

Hầu hết mọi người là quen với các hoạt động của Active Directory (AD)--cách nó liệt kê người dùng và các đối tượng trong một tên miền hoặc rừng (trong số những thứ khác)--và trong trường hợp hỗn hợp, nó là một cơ sở nhà cho người dùng sẽ được sao chép tới Microsoft Cloud. Việc đồng bộ (AAD kết nối), ADFS và WA-P (ví dụ của chúng tôi đảo ngược Proxy) mới hơn một chút, và nhiều trung để xử lý hỗn hợp HTTPS yêu cầu và căn cước vì vậy hãy nói về những.

ADFS

Để xem lại, công việc của dịch vụ liên kết Active Directory là để giúp cả hai mặt của hỗn hợp nhận nhau và bằng mà tôi có phải nghĩa là, Office 365 sắp biết và tin cậy vào ADFS (hoặc ADFS cụm) tên đã xác nhận tên miền công cộng của. Điều này cho phép một lần-đăng nhập. Đó có nghĩa là rằng khi người dùng với một liên kết UPN Hiển thị xác thực đối với tài nguyên trực tuyến, Office 365 sắp biết UPN của họ và máy chủ ADFS cụ thể nào để gửi cho người dùng để cho xác thực. Khi Heidi@contoso.com đi qua quy trình đăng nhập cho Exchange Online, Office 365 sẽ gửi yêu cầu cho cơ sở của bạn nhằm ADFS có thể can thiệp vào xác thực và một trong hai xác nhận cô ấy đã cô ấy tuyên bố hoặc từ chối cô ấy. Điều này có thể xảy ra nhanh chóng nếu mạng và cấu hình cho phép điều này. ADFS được sử dụng nếu bạn muốn tận dụng đăng nhập đơn: sau khi người dùng đăng nhập vào một phiên ADFS, máy chủ ADFS không gây tiếng ồn chặn tất cả các lời nhắc xác thực (như xảy ra khi chuyển đổi giữa các khối lượng công việc, ví dụ) để nhắc Office 365 rằng bạn vẫn còn ai bạn nói rằng bạn. Vì một số bộ phận CNTT có tuân thủ hoặc thiết đặt bảo mật thông tin yêu cầu mật khẩu sẽ giữ tại chỗ và một số không, ADFS là tùy chọn.

Đảo ngược Proxy

Proxy truy nhập web là một proxy đảo ngược (RP) có được dựng sẵn vào hệ điều hành máy chủ Windows kể từ 2012 R2 phát hành. Đảo ngược proxy là tại điểm đầu ra của bạn để hoạt động hơi thay mặt cho cụm máy chủ của bạn. Nó có một 'bên' khuôn mặt internet và biết tên cộng miền hỗn hợp Office 365 của bạn, và một 'bên' khuôn mặt mạng nội bộ hoặc chu vi mạng của bạn và biết tên miền nội bộ tài nguyên của mình (chẳng hạn như URL SharePoint của bạn site, ví dụ). Nó chặn tất cả yêu cầu sắp ra thành công việc của bạn và cho phép bạn chặn cổng, thu hẹp lưu lượng bạn sẽ chấp nhận từ Internet và ẩn nội bộ địa chỉ và URL cho mạng của bạn từ bên ngoài trên thế giới. Chẳng hạn như tất cả RPs, đó là một proxy cho các máy chủ nội bộ trên mạng của bạn bất cứ khi nào người dùng bên ngoài vào mạng thử để đến một tài nguyên.

SharePoint 2013 Hybrid sử dụng một proxy đảo ngược như WA-P để chặn lưu lượng đến (từ người dùng trong SPO thực hiện truy vấn đối với một chỉ mục tìm kiếm trên cơ sở trong trường hợp liên kết tìm kiếm), nhưng vì SharePoint 2016 điện toán đám mây lai đặt chỉ mục toàn bộ trong điện toán đám mây, các tiếp theo hệ không còn cần một (đây là lý do duy nhất tại sao nó đã đánh dấu tùy chọn trong sơ đồ). Nhưng SharePoint 2013 không chỉ chỗ mà bạn sẽ thấy một proxy đảo ngược được dùng để chặn không mong muốn lưu lượng đến từ internet. Skype for Business 2016 sử dụng với các cấu hình đường biên của nó và Exchange 2016 sử dụng một trên các cạnh của nó. Vì một số trường hợp yêu cầu đó, WA-P là tùy chọn.

Đồng bộ

Đồ họa tôi sử dụng cho thấy 'Đồng bộ hóa' cho kết nối Azure Active Directory. Thực sự, thực hiện bởi AAD kết nối đồng bộ hóa bao gồm chuyển đang diễn ra của người dùng và/hoặc thông tin người dùng của bạn tại cơ sở và vào điện toán đám mây. AAD kết nối có thể làm hai việc sau: nó sẽ tái tạo tài khoản người dùng vào Office 365 (lặp), và nó có thể đồng bộ hóa mật khẩu thông tin vào Office 365 (thực sự nghĩa là nó không đồng bộ mật khẩu, nhưng một băm không thể đảo ngược đại diện cho mật khẩu – đồng bộ hóa). Nó không có ' đồng bộ hóa mật khẩu của bạn ', nhưng nó luôn đồng bộ (sao chép) tài khoản người dùng của bạn từ Active Directory (hoặc một số phiên bản đã lọc của thư mục người dùng tại chỗ của bạn)!

Kết nối AAD hoạt động với điều khiển tên miền mạnh trong tên miền Active Directory của bạn để cho phép cho 'đăng trên cùng một' chứ không phải là của ADFS 'đăng nhập đơn'. Đăng nhập cùng một có nghĩa là, thay vì đăng nhập một thời gian duy nhất và gặp ADFS can thiệp cho tất cả lời nhắc cho phiên làm việc của bạn, bạn đăng nhập với cùng một mật khẩu như trên cơ sở (và, có lẽ, chọn tùy chọn để giữ cho chính bạn đăng nhập để giảm số lượng nhắc mà kết quả từ dẫn hướng khối lượng công việc nhiều). AAD kết nối cho đồng bộ không phải là tùy chọn.

Internet và sẵn sàng Internet phần hỗn hợp trong chung

Đối diện với các máy chủ tại chỗ trong O365 hỗn hợp của bạn và trên Internet là Microsoft Cloud, mà – bất kể khối lượng công việc Office 365 – bạn sẽ sử dụng một số công nghệ quen thuộc. Đây là:

• Bản ghi DNS công cộng

• Cơ quan cấp chứng chỉ công cộng

• Azure Active Directory (AAD)

• Office 365 (giấy phép/dự bị) và trình hướng dẫn hỗn hợp Office 365

• Tin cậy máy chủ với máy chủ (S2S)

• Nhận định tuyến và/hoặc lưu lượng Internet

• Mô-đun PowerShell

Cộng DNS cơ quan đăng ký, chẳng hạn như GoDaddy, quản lý và cho phép đăng ký tên miền. Nếu bạn muốn dùng hỗn hợp, bạn sẽ cần phải đăng ký tên miền với cộng DNS (điều này có thể đã được thực hiện cho bạn trong các công ty lớn). Tên miền này sẽ được thêm vào Office 365, trong đó cũng sẽ xác nhận rằng bạn sở hữu tên miền công cộng mà bạn thêm.

Truyền thống, tên cộng miền này là giống như Active Directory UPN đính kèm với người dùng hỗn hợp tại chỗ, nhưng không bắt trên chi tiết này. Với advent thuộc tính 'onpremisessecurityidentifier' trong PowerShell, mà bản đồ căn cước để tại cơ sở SID, khớp với tên miền đăng ký trong O365 với UPN của người dùng tại cơ sở không còn quan trọng như đó một lần. Đó là thêm quan trọng cần biết bạn sẽ cần một tên cộng miền mà bạn có thể chứng minh sở hữu, tên cộng miền này sẽ được đăng ký trong Office 365 và sẽ đại diện cho Office 365 hiện diện của bạn trên cả hai bên của kết nối hỗn hợp.

Cơ quan cấp chứng chỉ công cộng cung cấp cho bạn đáng tin cậy chứng chỉ SSL/TLS để mã hóa lưu lượng truy nhập mạng của bạn. Trong mỗi khối lượng công việc, hỗn hợp giao tiếp diễn ra qua kết nối được mã hóa. Bạn sẽ cần một chứng chỉ từ một cơ quan cấp chứng chỉ công cộng trên Internet. Tìm và SSL/TLS chứng chỉ là một thực hành tiêu chuẩn và có là chứng chỉ thường cộng quy trình trong các công ty lớn để tạo điều kiện này. Trong công ty nhỏ hơn, bạn có thể cần tham khảo tài liệu Office 365, ISP của bạn và người CNTT của bạn.

Azure Active Directory, hoặc Azure AD, nằm trong nền khi bạn đồng bộ hóa / tái tạo người dùng của bạn tại cơ sở để thuê bao Office 365 của bạn (cơ sở điện toán đám mây của bạn). Đó là chính xác cùng Active Directory được sử dụng trong nhiều Azure. Mạnh mẽ, và một cách liền mạch pha trộn vào Office 365. Bạn sẽ quản lý người dùng và giấy phép người dùng trong thư mục này. Quản lý giấy phép trong Office 365 không thực hiện tự động bởi bất kỳ trình hướng dẫn hỗn hợp. Giấy phép tiền chi phí khách hàng, để quyết định ai và số lượng nhận giấy phép không được thực hiện tự động.

Office 365 là một nửa đầy đủ của hỗn hợp của bạn. Nó có trình hướng dẫn trực tuyến hỗn hợp cho mỗi khối lượng công việc. Điều này không phải là rất có hiệu quả, nhưng đây là cách hoạt động hỗn hợp đời 2016 (hoặc, nói cách khác, tính từ bản phát hành SharePoint Server 2016, Exchange Server 2016 và Skype for Business Server 2015, tại cơ sở). Nhưng đây không phải là một cách đơn giản nhất để cấu hình tất cả các thành phần trong hỗn hợp. Trình hướng dẫn đơn hỗn hợp sẽ cho phép các khách hàng để chọn khối lượng công việc nào để làm cho hỗn hợp, và hướng dẫn xử lý cho mỗi khối lượng công việc, cũng như một trung tâm lệnh kết hợp – một bảng điều khiển quản trị O365 – mà có thể báo cáo hay không công nghệ mà dùng bởi mỗi hỗn hợp được mạnh và/hoặc trong vị trí không chưa tồn tại.

Điều này nghĩa là gì? Nó có nghĩa là tất cả trình hướng dẫn thực hiện các bước tương tự, và mức độ thường xuyên hơn một lần. Mỗi trình hướng dẫn kích hoạt OAuth (S2S tin cậy) ví dụ (chúng ta sẽ nói về OAuth sau này). Một số trình hướng dẫn, chẳng hạn như bộ chọn hỗn hợp của khối lượng công việc SharePoint Online, cài đặt OAuth không có vấn đề gì nút bạn bấm (cho mỗi vùng chọn, bạn hãy), cho dù OAuth là cần thiết cho kịch bản hỗn hợp của bạn. Trình hướng dẫn khác, chẳng hạn như hướng dẫn hỗn hợp Exchange, thiết lập OAuth trong nền và chỉ một lần.

Thông tin cậy S2S không cần phải qua internet, nhưng trong trường hợp hỗn hợp, tin cậy này phải. Một S2S không giống như một tên miền hoặc rừng tin cậy. Không có số lượng lớn các cổng để mở và không tích hợp chuyên sâu hơn để tạo giữa các thư mục hiện hoạt. S2S xây dựng một kết nối tin cậy giữa cụm máy chủ SharePoint tại cơ sở và một phần của điện toán đám mây Office 365 được gọi là dịch vụ truy cập điều khiển hoặc ACS (một máy chủ ủy quyền). Tin cậy được dựa trên một chứng chỉ SSL/TLS đăng nhập mã thông báo đưa ra thay mặt cho người dùng, tại chỗ của bạn và của O365 ACS cả hai đồng ý là đáng tin cậy-suy nghĩ của nó như một hoan hô giữa SharePoint tại cơ sở (và dịch vụ proxy ACS) và của Azure ACS đối với mỗi hợp lệ người dùng truy nhập vào dịch vụ. Liên lạc về căn cước của người dùng (lý do để tin cậy này) được thực hiện qua HTTP/443.

Lai có thể dùng Certs hàng tự ký hoặc công cộng ở đây. Nhiều công ty lớn sẽ chọn công cộng chứng chỉ do tiêu chuẩn của họ InfoSec – phần lớn vì giao thông qua/tháng qua Internet, một phân đoạn không được tin cậy. Cho SharePoint lai, chứng chỉ này có thể là một chứng chỉ tự ký mới hoặc một trích xuất các SP STS ký mã thông báo chứng chỉ trên cơ sở. (Nếu bạn đã sử dụng chứng chỉ mới (công cộng hoặc tự ký) trong SharePoint hỗn hợp bạn cần phải thay thế chứng chỉ ký mã thông báo STS SP trên tất cả các nút trong cụm máy chủ SharePoint.)

Lưu lượng truy nhập trong hỗn hợp rời khỏi một công ty khách/tổ chức, giao nhau với internet và nhập Microsoft tổ chức/Microsoft điện toán đám mây Office 365. Có một cách để bỏ qua phân đoạn này không được tin cậy và không kiểm soát và mà có bằng cách sử dụng một nhà cung cấp bên thứ 3 dựa trên định tuyến Express từ công ty hoặc tổ chức vào đám mây Office 365 của bạn. Nhận định tuyến Mạch rẽ internet bằng cách cung cấp kết nối WAN riêng tư cho Microsoft Cloud. Tuy nhiên, đó là quan trọng để nhận ra rằng trong trường hợp nơi WAN bị một lỗi, dự phòng vẫn Internet.

Tất cả lai hãy sử dụng PowerShell mô-đun cho phần quản lý hoặc cấu hình. Mô-đun hầu hết bạn sẽ cần có thể sẽ bao gồm Microsoft Online Services đăng nhập bộ trợ giúpvà Azure Active Directory Module cho Windows PowerShell. Bạn có thể chuẩn bị máy chủ cho cấu hình và quản lý của bạn lai trước thời gian bằng cách cài đặt những mục này thường sử dụng mô-đun PowerShell.

Cổng và giao thức chung

Lai là ½ tại chỗ của bạn, và ½ Office 365 (Azure SaaS hoặc PaaS lai không được đề cập trong tài liệu này). Có thể rất cả hai nửa chạy trên HTTPs, nhưng ít nhất, Office 365 nửa là 100% https/mã hóa bằng TLS chứng chỉ, sau đó có nghĩa là nó sẽ chạy qua chuẩn cổng 443. Bạn sẽ cần phải đảm bảo rằng một chứng chỉ công cộng được liên kết với lưu lượng cách đi từ điểm đầu ra của bạn nữa. Có nghĩa là, bạn sẽ cần phải cài đặt chứng chỉ trên máy làm nói trên cạnh mạng của bạn-lưu lượng này sẽ chạy trên 443 và được mã hóa.

Tất cả lai sẽ sử dụng 443 (HTTPS) và 53 (DNS), theo mặc định, đối với lưu lượng hỗn hợp. Một số sẽ sử dụng cổng thông tin bổ sung chẳng hạn như cổng 25 (SMTP). Nhưng các trường hợp nhất phức tạp trong khối lượng công việc hỗn hợp cho cổng thông tin là Skype for Business. May mắn, các cổng là lưu lại.

Giao thức nổi bật, được sử dụng tất cả lai (ngoài chuẩn được sử dụng cho tra cứu DNS, lưu lượng HTTPS, SMTP và tiêu chuẩn khác), là OAuth (ủy quyền mở), cũng được dùng trong thư viện xác thực của Active Directory. Nó được dùng khi tài nguyên máy chủ bên một kết nối có để hoạt động thay mặt cho người dùng để truy nhập tài nguyên trên máy chủ khác, thông thường, trong điện toán đám mây. Nó là một phương tiện mà mức người dùng truy nhập vào một tệp hoặc tài nguyên có thể được đo cho người dùng được xác thực. Điều này cũng được gọi là 'Xác thực hiện đại' (dù OAuth tham chiếu đến ủy quyền).

Tất cả khối lượng công việc dùng OAuth/S2S khi trong hỗn hợp (mặc dù không cho mọi tính năng hỗn hợp). Trình hướng dẫn hỗn hợp thường giao thức hữu ích này tự động thiết lập. Tuy nhiên, bạn sẽ không thống nhất nỗ lực này qua khối lượng công việc, không có báo cáo trạng thái OAuth cho khách hàng và không có cách tập trung để quản lý tài nguyên chung này đời 2016.

Trong một số trường hợp, trình hướng dẫn hỗn hợp bật OAuth khi nó không cần thiết (chẳng hạn như khi bộ chọn hỗn hợp SharePoint bật này cho OneDrive for Business chuyển hướng đến điện toán đám mây), hoặc trên mỗi vùng chọn một tùy chọn hỗn hợp trong trình hướng dẫn (một lần nữa, hãy xem bộ chọn hỗn hợp SharePoint) , hoặc thậm chí bên ngoài bộ chọn hỗn hợp trong kịch bản thiết lập tùy chỉnh, chẳng hạn như với điện toán đám mây hỗn hợp tìm kiếm.

Bảng các thành phần phổ biến trong Office 365 lai

Vì vậy bây giờ, chúng tôi có danh sách các thành phần thường trông như thế này:

Cuối cùng, trong các khối lượng công việc tất cả mục tiêu là để người dùng có cùng qua ranh giới sao cho chúng tôi có thể đơn giản hóa hai hàm quan trọng nhất hỗn hợp nào – tìm hiểu về căn cước của người dùng của bạn và những gì cô ấy có cho phép để thực hiện với cô ấy đã cho phép để xem thông tin.

Ghi chú trên 'Tùy chọn'

Một số phần tử này được thiết lập 'tùy chọn', nhưng làm thế nào bạn sẽ biết nếu chúng cần? Một số thành phần trong O365 lai là tùy chọn thực sự lại hoặc tùy chọn không trong các bảng thảo luận:

Bên trong hỗn hợp làm việc có các tính năng khác rơi vào vùng xám. Có thể quan trọng nhất trong số này là tin cậy S2S / OAuth. Tin cậy này được xây dựng bằng trình hướng dẫn hỗn hợp mỗi được tạo bên trong Microsoft và tin cậy được xây dựng theo mặc định, ngay cả khi nó đã không bắt buộc, theo thứ tự để 'tương lai bằng chứng lai. Sau khi bạn đi hỗn hợp thông qua trình hướng dẫn, tính năng này sẽ xuất hiện trên. Nhưng (như bạn thấy phiên bản cũ hơn) nó hiện đang không sử dụng trong tất cả các trường hợp.

Đảo ngược Proxy (WA-P trong ví dụ của chúng tôi) cần bất cứ khi nào không có một yêu cầu không mong muốn thư đến để tổ chức khách hàng cho dữ liệu hoặc thông tin (chẳng hạn như khi dùng hỗn hợp BCS, khi phát hành Office Web Apps hoặc máy chủ Office Web App cho bản xem trước tài liệu trong tìm kiếm kết quả). Cũng có thể cần thiết khi phát hành điểm cuối vào DMZ của công ty của bạn, chẳng hạn như khi Exchange dùng WA-P dưới dạng một proxy ADFS (vì vậy nếu bạn đang dùng ADFS trong một hỗn hợp Exchange, bạn sẽ cần WA-P).

Cạnh cần có để duy trì kênh liên lạc nhất quán cho đang diễn ra trò chuyện trong Skype for Business hỗn hợp, và có thể dùng để định tuyến hướng truyền SMTP vào mạng từ một chu vi trong một hỗn hợp Exchange. Như được thảo luận, ADFS được dùng cho một lần-đăng nhập.

Không có tương tự như bảng cho S2S, chẳng hạn như bảng này cho máy chủ SharePoint trong cấu hình hỗn hợp. Bảng như thế này có thể được xây dựng bằng cách dùng lô-gic của giao thức S2S, được dùng khi tài nguyên máy chủ bên một nối kết hợp có để thao tác thay mặt cho người dùng để truy nhập tài nguyên trên máy chủ khác trong điện toán đám mây

* Bộ chọn hỗn hợp SharePoint sẽ vẫn bật OAuth, nhưng đây là vì bất kỳ cấu hình hỗn hợp trong tương lai.