混合的概念(即你的本地基础结构可以分支到其中包括 Microsoft 云中的资源)的概念-许多 Microsoft 产品中存在。 由于 "工作负荷" (如 Exchange Online 、 Skype for Business Online 和 Microsoft 365 中的 SharePoint ), Microsoft 365 中存在混合。 这些工作负荷均具有各种类型的 "镜像-映像" 或 "双子" 的工作负荷,例如, Skype for Business Online 具有本地超文本、 Skype for Business Server 2015 和 Microsoft 365 中的 SharePointSharePoint Server 2016 。
当我谈论本文与中的 Microsoft 365 混合时,我正在谈论连接这些,以便它们协同工作。 因此,我们将讨论 SharePoint 混合、Exchange 混合和 Skype for business 混合-在这里 Microsoft 365 和本地的内容。 目标是清除所有这些 Microsoft 365 混合中存在的技术公共基础。 换句话说,我们将列出 Microsoft 365 混合的构建基块。
混合
当我说 "混合" 时,我的意思是,在您的企业中使用与我们在 Microsoft Cloud 中管理的人员合作的和管理合作伙伴的技术。
此定义不仅适用于 Azure,也适用于 Microsoft 365 中的大多数工作负荷。 如果你不知道工作负荷的方式,则是在 Microsoft 365 云平台上运行的应用程序-Skype for business Online、Exchange Online 和 SharePoint Online 均为示例。 "工作量" 是将其与本地对应项保持不同的方式,这对于防止写作和对话变得混乱非常有用。
混合 outfits 无论生活在何处,都可以使用所有资源。
提示: 混合是 Microsoft 的一项不断发展的技术,有很多新的功能需要进行裁剪,因此有一些部分可用于配置对其他人更高级的混合。 混合配置的功能可能会在此处增大和更改。
通用硬件资源本地
我所谈论的所有混合都将 Internet 上的客户环境连接到 Microsoft 365 (以及 Azure Active Directory-AAD),因为它充当 Microsoft 365 的目录。 配置基础结构可能听起来很难。 尽管你可能会听到,但它不会占用 "任何-ology" 的度数。 实际上,大多数混合的工作方式相同(在大多数情况下)相同的硬件要求。
从2016到目前为止,所有混合都需要的元素。 如果内容是可选的,我将会说。
所有 Microsoft 365 混合工作负载都具有以下良好的用途:
-
某些本地服务器(如 SharePoint 场或 Skype for business 环境)。
-
用户实时或 "托管" (在 S4B 术语中)的 Active Directory。
-
Azure Active Directory Connect (AAD Connect)服务器(可能独立于另一台服务器或与另一台服务器结合使用,如 WA-P)。 这由 "Sync" 图标表示,因为 AAD 连接用于将帐户从本地同步到混合中的云。
-
[可选]反向代理服务器(在所有我的示例中)将是 Web 应用程序代理(WA-P)服务器。
-
[可选]您也可以使用 Active Directory 联合服务器(或 ADF)。
注意: 无需使用 ADFS。 AAD 连接将允许你与云的 "密码同步" 一起复制用户标识。 但实际上您并不是通过互联网发送密码。 您正在通过 TLS 安全连接发送密码的不可还原哈希。
此外,混合向导内置于每个工作负荷中,以帮助你与云合作,以便你可以随时使用所有工具(无论它们的实际使用)。
如果你没有 ADFS,没有需要它的合规性要求,并且不需要额外的复杂性,请不要使用它。 AAD 连接旨在完成作业(并且复制间隔从大约3小时减少到30分钟,这是一种有帮助的改进。
许多大型公司都有一些这样的服务器。 许多拥有 Active Directory 域控制器,或者可能安装了 ADFS 服务器。 如果你考虑设置混合,你可能希望与其他管理员进行核对,以查明哪些本地资源已准备好。 它将帮助您确定是要使用现有的基础结构片段还是新的。
这些服务器执行哪些操作?
如果您已经知道这些服务器正在执行的操作,请跳过本部分。
大多数人习惯于 Active Directory (AD)的操作-它枚举域或林中的用户和对象(以及其他功能),在混合情况下,它是将复制到 Microsoft Cloud 的用户的主基。 同步的作业(AAD 连接)、ADFS 和 WA-P (我们的反向代理)是较新的,并且更趋重要的是处理混合 HTTPS 请求和标识,让我们来谈谈这些请求和标识。
ADF
若要查看,Active Directory 联合身份验证服务的作业旨在帮助混合双方互相识别彼此,并且按照我的意思, Microsoft 365 将了解并信任已验证的公共域名所属的 ADFS (或 ADFS 群集)。 这允许进行单点登录。 这意味着,当使用关联的 UPN 的用户显示对联机资源的身份验证时, Microsoft 365 将了解其 UPN 以及将用户发送到哪些特定的 ADFS 服务器以进行身份验证。 当 Heidi@contoso.com 通过 Exchange Online 的登录过程时, Microsoft 365 将向你的本地发送请求,以便 ADFS 可以在身份验证中进行干预,并确认她的声明或拒绝她。 如果网络和配置允许,则会快速发生此情况。 如果你想要利用单一登录,则使用 ADFS:一旦用户登录到 ADFS 会话,ADFS 服务器将以静默方式截获所有其他身份验证提示(例如,切换工作负荷时发生),以提醒 Microsoft 365 你仍然是你所说的人。 由于某些 IT 部门具有要求密码保持在本地的合规性或信息安全设置,因此 ADFS 是可选的。
注意: 无论混合工作负载如何,仅当需要单一登录或不符合标准或客户需要将密码哈希移动到公司的边缘防火墙之外的目录中时,才会使用 ADFS。 请务必注意,默认情况下,默认情况下,"默认情况下,密码同步" 处于启用状态。 用户目录广告或 ADAM (Active Directory 应用程序模式)上的 ADFS 回复。
反向代理
Web Access-代理是自发布 2012 R2 以来内置于 Windows Server 操作系统中的反向代理(RP)。 反向代理代表你的出局点,以便代表你的服务器场执行操作。 它有一个面向 internet 的 "端",知道你的 Microsoft 365 混合的公共域名,还有一个面向你的 intranet 或外围网络的 "端",并且知道你的内部资源的域名(如 SharePoint 网站 URL)。 它将截获所有进入您企业的请求,并允许您阻止端口、缩小您从 Internet 接收的流量,以及隐藏来自外部世界的网络的内部地址和 Url。 与所有 RPs 一样,当网络外部的用户尝试访问某个资源时,它是网络上内部服务器的代理。
SharePoint 2013 混合使用反向代理(如 WA-P)截获入站流量(从 SPO 中的用户在搜索联合的情况下对本地搜索索引进行查询),但由于 SharePoint 2016 云混合将整个索引放置在云中,下一代不再需要一个(这是其在图表中标记为 "可选" 的唯一原因)。 但是,SharePoint 2013 不是您将看到用于截获来自 internet 的未经请求的流量的反向代理的唯一位置。 Skype for Business 2016 使用其边缘配置,并且 Exchange 2016 也会在其边缘上使用一种。 由于某些情况需要它,WA-P 是可选的。
注意:
-
WA-P 在 SharePoint 混合(2013联合混合)中使用,以通过公司的边缘发布 SharePoint 终结点。 WA-P 从 SPO 中截取要在搜索结果中显示的文档,或从 BCS 或 SAP 支持的列表中显示的项目。 在云混合搜索中,仅当你希望搜索结果中的搜索预览时才需要 WA-P (你必须通过 edge 发布 Office Web Apps 服务器的终结点)。 在 Skype for Business 中,WA-P 用于从公司外部截取 IM 和会议流量,并将其重定向到 Skype for Business Edge 进行进一步处理。
-
Exchange 混合在其混合向导期间使用 AAD 连接工具,向客户提供自动安装和配置 ADFS 和 WA-P for Exchange 混合使用的选项,从而减少了设置混合时所面临的复杂性。 任何其他混合工作负荷均不会自动设置和配置,也不会自动注册 ADFS 证书。
同步
我使用的图形显示了 Azure Active Directory Connect 的 "同步"。 实际上,AAD 连接完成的同步涉及到本地和/或用户的本地和/或用户信息在本地和云中的传输。 AAD 连接可以执行两项操作:将用户帐户复制到 Microsoft 365 (复制),并且可以将密码信息同步到 Microsoft 365 中(这是因为它不同步密码,而是表示密码的不可逆哈希-同步)。 它不需要 "同步你的密码",但它始终从 Active Directory (或本地用户目录的某些筛选版本)同步(复制)你的用户帐户!
AAD 连接与你的 Active Directory 域中的状态良好的域控制器配合使用,以允许 "相同登录",而不是 ADFS 的 "单一登录"。 相同的登录意味着,你可以使用与本地相同的密码进行登录,而不是一次登录,而是使用与在上的所有提示进行登录(但最好是,选择让自己登录的选项,以便减少出现的提示数导航多个工作负荷的结果)。 用于同步的 AAD 连接不是可选的。
注意:
-
无论混合工作负载如何,所有这些都需要 AAD 连接。 在所有情况下都需要 Microsoft 365 用户(以及它背后的 Azure 广告)的复制和可选密码同步。
-
其他相似之处包括密码同步(用于相同登录)还要求你在已同步的 Active Directory 域中设置复制目录更改和复制目录更改–针对本地帐户执行此操作由 AAD 连接使用,并且你需要为用于 SSO 的 ADFS 服务器的联合身份验证服务名称创建 DNS A 或 AAAA 主机条目,以便 WA-P 可以在内部解析 ADFS 服务器地址。
互联网和互联网可用的混合部件共用
与你的 Microsoft 365 混合和 Internet 上的本地服务器相反,Microsoft 云是 Microsoft 云,其中-无论 Microsoft 365 工作负荷,你都将使用一些熟悉的技术。 分别是:
-
公共 DNS 记录
-
公共证书颁发机构
-
Azure Active Directory (AAD)
-
Microsoft 365 (许可证/子例程)和 Microsoft 365 混合向导
-
服务器到服务器(S2S)信任
-
快速路由和/或 Internet 流量
-
PowerShell 模块
公共 DNS 注册机构(如 GoDaddy、管理和允许域名的注册)。 如果你想要使用 "混合",你将需要使用公共 DNS 注册域名(可能已在大型公司中完成此操作)。 此域名将添加到 Microsoft 365 ,这还将验证你是否拥有你添加的公共域名。
过去,此公共域名与附加到本地混合用户的 Active Directory UPN 相同,但不会捕获此详细信息。 在 PowerShell 中出现 "onpremisessecurityidentifier" 属性(该属性将标识映射到本地 SID)时,与 Microsoft 365 中的已注册域匹配的已注册域与本地用户的 UPN 不再重要。 更重要的是,如果你需要自己证明的公共域名,此公共域名将在 Microsoft 365 中注册,并且将在混合连接的任意一侧代表你的 Microsoft 365 状态。
公共证书颁发机构为您提供可信 SSL/TLS 证书以加密您的网络流量。 在每个工作负荷中,混合通信会通过加密连接进行。 您需要从 Internet 上的公共证书颁发机构申请证书。 获取和 SSL/TLS 证书是一种标准做法,并且大型公司通常都有公共的证书处理过程来为此提供便利。 在较小的公司中,您可能需要与 IT 人员、 Microsoft 365 文档和您的 ISP 联系。
注意: 您可能不需要手动应用您的公共证书。 Exchange 混合版 Exchange 部署助理(EDA)可利用 Azure AD Connect 来引导你完成此过程,并为 ADFS 服务器注册证书(应使用 ADFS)。 EDA 旨在帮助简化走向混合的过程。
将用户从本地同步/复制到 Microsoft 365 订阅(云本地)时,azure Active Directory 或 Azure AD 处于后台。 它是在较大的 Azure 中使用的完全相同的 Active Directory。 功能强大,无缝地混合到 Microsoft 365 。 你将在此目录中管理你的用户和用户许可证。 在 Microsoft 365 中管理许可证不会由任何混合向导自动完成。 许可证成本客户金额,因此不会自动为谁和获取许可证的人员做出决定。
Microsoft 365 完全是混合的一半。 它具有每个工作负荷的联机混合向导。 这并不是非常高效,但这是混合工作的方式,在2016(或换句话说,从 SharePoint Server 2016、Exchange Server 2016 和 Skype for business Server 2015、本地)发布起。 但这并不是配置混合中的所有元素的最简单方法。 一种混合向导,允许客户选择要进行混合使用的工作负荷,并浏览每个工作负荷的进程,以及混合命令中心( Microsoft 365 管理仪表板),它可以报告每个混合使用的技术是否正常运行和/或已存在的技术是否存在。
这意味着什么? 这意味着每个向导都执行相同的步骤,并且通常不止一次。 每个向导都会激活 OAuth (S2S 信任)例如(我们稍后将讨论 OAuth)。 某些向导(如 SharePoint Online 工作负荷的混合选取器)无论你单击哪个按钮(对于你所做的每个选择),都安装 OAuth,无论你的混合方案是否需要 OAuth。 其他向导(如 Exchange 混合向导)在后台设置 OAuth,并且只需一次。
S2S 信任不需要跨 internet,但在混合情况下,此信任必须。 S2S 不像域或林信任。 没有要打开的大量端口,没有更深入的集成可在活动目录之间创建。 S2S 将在您的本地 SharePoint 场和 Microsoft 365 云(名为 "访问控制服务" 或 "ACS" (授权服务器))之间建立受信任的连接。 该信任基于 SSL/TLS 证书,该证书对代表用户颁发的令牌进行签名,而你的本地和 Microsoft 365 ACS 均可信赖-本地 SharePoint (及其 ACS 代理服务)和 Azure ACS (对于访问该服务的每个有效用户)都是如此之高。 有关用户身份(此信任的原因)的通信是通过 HTTP/443 完成的。
注意: 与 Azure AD 一样, Microsoft 365 与 Azure ACS 有信任关系。
混合可在此处使用自签名或公共证书。 由于其 InfoSec 标准,许多大型公司都将选择公共证书,这主要是因为在网络上交叉的通信量或不受信任的网段。 对于 SharePoint 混合,此证书可以是新的自签名证书,也可以是从本地的 SP STS 令牌签名证书提取的证书。 (如果你在 SharePoint 混合中使用新证书(公共证书或自签名),你需要在 SharePoint 场中的所有节点上替换 SP STS 令牌签名证书。)
混合中的流量离开客户端公司/组织,通过 internet 进行交叉,并进入 Microsoft 组织/Microsoft Microsoft 365 云。 有一种方法可绕过此不受信任和非受控制的段,使用基于第三方提供商的公司或组织的快速路由进入 Microsoft 365 云。 快速路由通过提供与 Microsoft 云的专用 WAN 连接来绕过 internet。 但是,在 WAN 出现故障的情况下,请务必注意,回退仍然是 Internet。
所有混合都为管理或配置部分使用了 PowerShell 模块。 你将需要的大多数模块都可能包括Microsoft Online Services 登录助手和适用于 Windows PowerShell 的 Azure Active Directory 模块。 通过安装这些常用的 PowerShell 模块,你可以提前为你的混合配置和管理准备服务器。
公用端口和协议
混合是本地1/2 和 1/2 Microsoft 365 (本文档未涉及 Azure SaaS 或 PaaS 混合)。 这很可能是在 HTTPs 上运行的,但至少 Microsoft 365 一半是 100% HTTPs/TLS 证书加密的,这意味着它在标准端口443上运行。 您需要确保公共证书与外出外出的流量有关联。 也就是说,你需要在计算机边缘上安装证书,这种流量将通过443运行,并进行加密。
注意: 如果使用 ADFS,实际上需要三个证书,其中一个证书将被公开颁发并用于服务通信(如果你选择使用 ADFS,它将在你的 WA-P 代理上有效),其中两个将是在安装 ADFS 时创建的自签名证书可自动续订,并且是用于签署 ADFS 所进行的所有令牌的令牌签名和令牌解密证书。 除了可选 ADFS 所需的证书之外,所有混合都需要具有 S2S 证书(有时称为 S2S ACS 信任证书,该证书的名称太长)。
默认情况下,所有混合都将使用443(HTTPS)和53(DNS)进行混合通信。 某些将使用端口25(SMTP)之类的其他端口。 但端口的混合工作负荷最复杂的情况是 Skype for business。 幸运的是,这些端口已记录下来。
所有混合使用的 standout 协议(除了用于 DNS 查找、HTTPS 流量、SMTP 和其他标准之外的测试)是 OAuth (开放授权),它还在 Active Directory 身份验证库中使用。 当连接一端的服务器资源必须代表用户进行操作以访问另一台服务器上的资源时,通常在云中使用。 它是一种可用于为经过身份验证的用户的用户访问文件或资源的级别的方法。 gauged 这也称为 "新式身份验证" (虽然 OAuth 指授权)。
所有工作负荷在混合时使用 OAuth/S2S (虽然并非针对每种混合功能)。 混合向导通常会自动设置此有用的协议。 但是,在工作负载中不会有任何统一的工作,不会向客户报告 OAuth 状态,也没有在2016中管理此通用资源的集中方式。
在某些情况下,混合向导会在不需要时打开 OAuth (类似于 SharePoint 混合选取器为 OneDrive for business 重定向到云),或者在向导中每次选择混合选项时,请参阅 SharePoint 混合选取器。,甚至在自定义安装程序脚本(如云混合搜索)中的混合选取器外部。
注意: 你可以将混合的 lynchpin 视为本地和云之间的服务器到服务器(S2S)信任。 请注意,该 S2S 是其 OAuth 实现的 Microsoft 名称。 我们所有工作负荷中的基础 S2S/OAuth 都是身份验证和标识层,两者都使用声明身份验证。
Microsoft 365 混合中的常用元素表
现在,我们提供了如下所示的常见元素的列表:
|
混合工作负载的常见用途 |
|
|
本地硬件 |
与 Microsoft 365 中的工作负荷合作的本地应用程序(例如 Exchange Server 到 Exchange Online) AAD 连接 反向代理(根据需要) ADFS (可选) |
|
Internet 项目 |
公共 DNS 记录 公共证书颁发机构 Azure Active Directory (AAD 是 Microsoft 365 中的用户目录) Microsoft 365 (E1、E3、E5 订阅) Microsoft 365 混合向导 服务器到服务器(S2S)信任 |
|
端口和协议 |
HTTPS DNS-SRV S2S/OAuth |
最终,跨所有工作负载目标是让用户在边界内保持一致,以便我们可以简化混合所执行的两个最重要的功能,即用户的身份,以及她允许查看的信息。
"可选" 的备注
其中一些元素设置为 "可选",但你如何知道它们是否需要? Microsoft 365 混合中的某些元素是真正的可选或不可选的。
|
完全可选-所有 Microsoft 365 混合 |
不可选/不是所有 Microsoft 365 混合所必需的 |
|
ADF |
AAD 连接 |
在工作混合内,有其他功能属于灰色区域。 这可能最重要的是 S2S 信任/OAuth。 此信任由 Microsoft 内部创建的每个混合向导构建,默认情况下会生成信任,即使不是必需的,也是如此。 通过向导转到混合后,此功能将处于打开。 但是(正如你以前看到的那样)它当前不在任何情况下使用。
每当有未经请求的请求传入客户组织的数据或信息时(例如使用混合 BCS 时),反向代理(在我们的示例中)都需要使用反向代理(例如使用混合 BCS 时)在 "搜索" 中发布 Office Web Apps 或 Office Online Server 以进行文档预览结果)。 将终结点发布到公司的 DMZ 时也是必需的,例如当 Exchange 将 WA 用作 ADFS 代理时(如果你在 Exchange 混合版中使用 ADFS,将需要 WA-P)。
需要使用边缘在 Skype for business 混合版中保持持续聊天的一致通信通道,并可用于将 SMTP 流量从 Exchange 混合中的外围路由到网络。 如文所述,ADFS 用于单点登录。
|
必须使用反向代理 |
可以使用反向代理(可选) |
无需反向代理 |
|
SharePoint 混合入站搜索 SharePoint 混合 BCS Skype for Business 混合 |
SharePoint 云混合(云 SSA) 使用适用于 SSO 的 ADFS 进行 Exchange 混合 |
OneDrive for Business 重定向 SharePoint 混合网站功能 SharePoint 混合配置文件重定向 混合 extranet 重定向 |
存在类似于 S2S 的表,如混合配置中的 SharePoint 服务器表。 此类表可以使用 S2S 协议的逻辑生成,当混合连接一侧的服务器资源必须代表用户访问云中的其他服务器上的资源时使用。
|
必须使用 OAuth 的 SharePoint 混合功能 |
不使用 OAuth 的 SharePoint 混合功能 |
|
混合搜索(出站 + 入站) 云混合搜索(云 SSA),使用搜索预览 混合商务连接服务(BCS) 混合网站功能 混合配置文件 混合托管元数据 |
OneDrive for Business 重定向 * 混合 Extranet * 混合配置文件 * 云混合搜索(云 SSA),不使用搜索预览 |
* SharePoint 混合选取器仍将打开 OAuth,但这适用于任何未来的混合配置。
