混合式概念的概念,即您的內部部署基礎結構可以分支到包含 Microsoft 雲端中的資源(在許多 Microsoft 產品中都存在)。 混合式存在於 Microsoft 365 中,因為「工作負載」就像是 Exchange Online、 商務用 Skype Online和 Microsoft 365 中的 SharePoint。 這些工作負荷是所有類型都有 "mirror 影像" 或 "雙子" (內部部署)的工作負荷,例如, 商務用 Skype Online 具有內部部署的雙子 商務用 Skype Server 2015,而 Microsoft 365 中的 SharePoint 已 SharePoint Server 2016。
當我在本文中討論 Microsoft 365 混合作業時,我正在談論連接這些 twins,讓它們共同合作。 我們將討論 SharePoint 混合式、Exchange 混合式及商務用 Skype 的混合式,這些都是在 Microsoft 365 和內部部署中的內容。 我們的目標是要清除所有這些 Microsoft 365 混合中所存在的技術共同基礎。 換句話說,我們會列出 Microsoft 365 混合式的組建區塊。
混合
當我說「混合式」時,我代表與您在企業中擁有的合作夥伴應用程式,以及由我們在 Microsoft 雲端管理的人員共同管理的技術共同合作。
這個定義不僅可跨 Azure 使用,也能在 Microsoft 365中大部分的工作負載。 如果您不知道工作負荷是由何種方式執行,在 Microsoft 365 雲端平臺上執行的應用程式(商務用 Skype Online、Exchange Online 和 SharePoint Online)都是範例。 [工作量] 是將它們與內部部署的對應專案保持不變的一種方式,這對於防止撰寫和交談避免混亂。
混合式 outfits 無論身在何處,都可以使用所有資源。
提示: 混合式在 Microsoft 是一種不斷發展的技術,有許多新功能可能會被裁上,所以有幾個部分可以設定混合式,更適合其他人。 混合式設定的功能可能會在這裡增加並變更。
常見的內部部署硬體資源
我正在談論的所有混合式都會將客戶環境從網際網路連線至 Microsoft 365 (以及 Azure Active Directory (AAD),因為它充當 Microsoft 365的目錄)。 基礎結構可能聽起來很難設定。 雖然您可能會聽到這種情況,但它不會佔用「任何 ology」的角度。 事實上,大多數混合的運作方式與相同的硬體需求(在大部分情況下)相同。
從2016到這裡是所有混合所需的元素。 如果有選擇性,我將會說。
所有 Microsoft 365 混合式工作負載都有以下良好的用途:
-
某些內部部署伺服器(例如 SharePoint 伺服器陣列或商務用 Skype 環境)。
-
Active Directory 內部部署,其中的使用者是 [即時] 或 [託管的] (在 S4B 的術語中)。
-
Azure Active Directory Connect (AAD Connect)伺服器(可能是獨立的或與另一個伺服器結合,例如 WA-P)。 這是由「Sync」圖示所代表,因為 AAD Connect 是用來將帳戶從內部部署同步處理到雲端的混合式。
-
[選用]反向 proxy 伺服器(在所有範例中)就會是 Web 應用程式 Proxy (WA-P)伺服器。
-
[選用]您也可以使用 Active Directory 同盟伺服器(或 ADFS)。
附註: 您不需要使用 ADFS。 AAD 連線將允許您在複製使用者身分識別的情況下,與雲端進行 [密碼同步處理]。 但您並不是真正在網際網路上傳送密碼。 您正在透過 TLS 安全連線傳送不可逆的密碼雜湊。
此外,混合式嚮導也會內置於每個工作負載中,以協助您與雲端合作,讓您隨時都可以使用所有工具(無論實際在何處)。
如果您沒有 ADFS,就不會有任何需要的合規性要求,而且不需要額外的複雜性,請不要使用它。 AAD 連接的設計目的是為了完成工作(且複製間隔會從大約3小時到30分鐘,這是一種很有説明的改進)。
許多大型公司都有一些這些伺服器在適當的地方。 許多擁有 Active Directory 網網域控制站,或可能有 ADFS 伺服器。 如果您想要設定混合式,您可能會想要與其他系統管理員確認已準備好哪些內部部署資源。 它將協助您判斷您想要使用現有的基礎結構元件,還是新的專案。
這些伺服器的作用是什麼?
如果您已經知道這些伺服器的作用,請略過本節。
大部分的人都習慣使用 Active Directory (AD)的操作,即它列舉網域或樹林中的使用者和物件的方式,以及在混合式的情況下,它是將被覆制到 Microsoft 雲端的使用者的主要基礎。 同步處理(AAD 連線)、ADFS 和 WA-P (我們的範例反向 Proxy)的工作稍有更新,且有更多的核心,可處理混合式 HTTPS 要求與身分識別,讓我們談談這些作業。
ADFS
若要查看,Active Directory 同盟服務的作業是協助混合式雙方互相辨識,而且根據這個意思, Microsoft 365 要知道並信任已驗證的公用功能變數名稱所屬的 ADFS (或 ADFS 群集)。 這可讓您進行單一登入。 這表示當擁有相關的 UPN 的使用者在線上資源上顯示時, Microsoft 365 會知道他們的 UPN,以及要傳送使用者以進行驗證的特定 ADFS 伺服器。 當 Heidi@contoso.com 透過 Exchange Online 的登入程式時, Microsoft 365 會將要求傳送給您的內部部署,讓 ADFS 可以在驗證中干預,或者確認她是索賠或拒絕她。 如果網路和設定允許,就會快速地發生這種情況。 如果您想要利用單一登入:使用者登入 ADFS 會話之後,ADFS 伺服器會悄悄地攔截所有其他驗證提示(例如,切換工作負荷時),提醒 Microsoft 365 您仍是您所說的人。 由於某些 IT 部門的合規性或資訊安全設定需要密碼保持在內部部署,而有些不是,所以 ADFS 是選擇性的。
附註: 不論混合式工作負載為何,只要需要單一登入,或者它不符合標準,或客戶需要將密碼雜湊移至公司的邊緣防火牆以外的目錄,就會使用 ADFS。 請務必注意,預設會透過 Exchange 混合中的 AAD 連接嚮導開啟 [密碼同步處理]。 使用者目錄 AD 或 ADAM 的 ADFS 回復(Active Directory 應用程式模式)。
反向 Proxy
Web Access-Proxy 是自 2012 R2 發行之後,已內置至 Windows Server 作業系統的反向 Proxy (RP)。 反向 proxy 代表您的出口點,代表您的伺服器陣列進行動作。 它的「端」是指網際網路,並知道您 Microsoft 365 混合式的公用功能變數名稱,而「端」則代表您的內部網路或周邊網路,並知道您的內部資源(例如,您的 SharePoint 網站 URL)的功能變數名稱。 它會截獲所有進入您企業的要求,並允許您封鎖埠、縮小您要從網際網路接收的流量,以及隱藏外部世界中您網路的內部位址和 Url。 就像所有 RPs 一樣,只要網路外部的使用者嘗試取得資源,就是網路上內部伺服器的 proxy。
SharePoint 2013 混合式使用反向 proxy (例如 WA-P)來截獲入站流量(從 SPO 中的使用者在搜尋同盟中,針對針對內部部署搜尋索引進行查詢),但由於 SharePoint 2016 雲端混合功能將整個索引放在雲端中,因此下次代不再需要一個(這是其在圖表中標示為 [選擇性] 的唯一原因)。 但 SharePoint 2013 不是唯一的位置,您可以在這裡看到一個反向 proxy,用來攔截來自網際網路的未經許可的交通。 商務用 Skype 2016 會使用它的邊緣設定,而 Exchange 2016 也會在它的邊緣使用一種。 由於某些情況需要它,所以 WA-P 是選擇性的。
附註:
-
WA-P 是在 SharePoint 混合式(2013同盟混合式)中使用,以透過公司的邊緣發佈 SharePoint 端點。 WA-P 會截獲 SPO 中要顯示在搜尋結果中的檔,或從 BCS 或 SAP 所支援的清單中顯示的專案。 在雲端混合式搜尋中,如果您想要搜尋結果中的搜尋預覽(您必須透過 edge 發佈 Office Web Apps server 的端點),才需要使用 WA-P。 在商務用 Skype 中,WA 是用來從公司外部攔截 IM 和會議流量,然後將它重新導向至商務用 Skype Edge 以進行進一步處理。
-
[Exchange 混合式] 會在其混合式嚮導中使用 AAD 連接工具,為客戶提供自動安裝和設定適用于 Exchange 混合使用的 ADFS 和 WA-P,減少設定混合式時所面臨的複雜性。 沒有設定和設定,也沒有任何其他混合式工作負載的 ADFS 憑證註冊會自動進行。
同步處理
我使用的圖形會顯示 Azure Active Directory Connect 的 [同步處理]。 實際上,AAD Connect 所完成的同步處理涉及從內部部署到雲端的使用者和/或使用者資訊的持續傳輸。 AAD 連接可以執行兩個動作:將使用者帳戶複製到 Microsoft 365 (複製),並將密碼資訊同步處理到 Microsoft 365 (這是因為它不同步處理密碼,但代表密碼同步處理的不可逆雜湊)。 它不一定要 [同步處理您的密碼」,但它永遠會從 Active Directory (或您的內部部署使用者目錄的一些篩選版本)同步處理(複製)您的使用者帳戶!
AAD Connect 與 Active Directory 網域中健康的網網域控制站搭配使用,以允許「相同的登錄」,而不是 ADFS 的「單一登入」。 相同的登錄表示,不需要登入一次,而是讓 ADFS 針對您的會話的所有提示進行登入,您可以使用與內部部署相同的密碼登入(當然,您也可以選取選項來讓自己登入以減少提示數量流覽多個工作負載的結果)。 AAD 連線以進行同步處理是不選用的。
附註:
-
不論混合式工作負載為何,都需要 AAD Connect。 在任何情況下,都需要在您的使用者(以及它後面的 Azure AD)上 Microsoft 365 進行複製與選用密碼同步處理。
-
其他相似之處包括密碼同步處理(用於相同登錄)也要求您在已同步處理的 Active Directory 網域中設定複製目錄變更和複製目錄變更(針對內部部署的帳戶執行此動作)。由 AAD Connect 使用,而且您需要為用於 SSO 的 ADFS 伺服器的識別身分同盟服務名稱建立 DNS A 或 AAAA 主項目目,讓 WA-P 能在內部解析 ADFS 伺服器位址。
常見的網際網路和網際網路可用混合式元件
在您 Microsoft 365 混合式和網際網路的內部部署伺服器都是 Microsoft 雲端,其中,不論 Microsoft 365 的工作量為何,您都可以使用一些熟悉的技術。 例如:
-
公用 DNS 記錄
-
公用憑證授權單位
-
Azure Active Directory (AAD)
-
Microsoft 365 (授權/副程式)及 Microsoft 365 混合式嚮導
-
伺服器對伺服器(S2S)信任
-
快速路線和/或網際網路流量
-
PowerShell 模組
公用 DNS 註冊機構,例如 GoDaddy、管理和允許功能變數名稱的註冊。 如果您想要使用 [混合式],您將需要在公用 DNS 中註冊功能變數名稱(這可能已在大型公司中完成)。 此功能變數名稱會新增至 Microsoft 365,也會確認您擁有您所新增的公用功能變數名稱。
在傳統上,這個公用功能變數名稱與附加至混合式使用者內部部署的 Active Directory UPN 相同,但不會出現這種詳細資料。 在 PowerShell 中,將身分識別到內部部署 SID 的 [onpremisessecurityidentifier] 屬性的出現,在 Microsoft 365 中與已註冊的網域相符,而與內部部署使用者的 UPN,就不再像一次一樣重要。 更重要的是,您必須知道您需要自己證明的公用功能變數名稱,才會在 Microsoft 365 中註冊此公用功能變數名稱,並代表混合式連線的任一側的 Microsoft 365 目前狀態。
公用憑證授權單位可為您提供可信 SSL/TLS 憑證,以加密您的網路流量。 在每個工作負載中,混合式通訊會透過加密連線進行。 您將需要網際網路上公用憑證授權單位的憑證。 取得和 SSL/TLS 憑證是一個標準的做法,通常是大型公司中的公用證書處理常式,以協助進行這項作業。 在較小的公司中,您可能需要諮詢 IT 人員、 Microsoft 365 檔和您的 ISP。
附註: 您可能不需要手動套用您的公用憑證。 Exchange 混合版的 Exchange 部署小幫手(EDA)會利用 Azure AD Connect,逐步引導您完成此程式,並為您的 ADFS 伺服器註冊證書(如果您使用的是 ADFS)。 EDA 的設計目的是協助簡化混合式的程式。
當您將內部部署中的使用者同步處理/複製到您的 Microsoft 365 訂閱(雲端部署)時,會在背景中使用 azure Active Directory 或 Azure AD。 它是在較大的 Azure 中使用的相同 Active Directory。 功能強大且無縫地混合到 Microsoft 365。 您將會在此目錄中管理您的使用者和使用者授權。 管理 Microsoft 365 中的授權不會自動由任何混合式嚮導完成。 授權成本客戶款項,所以決定誰以及多少取得授權不會自動進行。
Microsoft 365 完全是混合式的一半形。 它的每個工作負載都有線上混合式嚮導。 這並不是很有效率,但這是混合式運作方式(換句話說,在 SharePoint Server 2016、Exchange Server 2016 和商務用 Skype Server 2015、內部部署中)2016的方式。 但這並不是設定混合式中所有元素的最簡單方式。 單一混合式嚮導可讓客戶選擇要進行混合使用的工作負荷,以及逐份工作,以及混合式命令中心( Microsoft 365 管理儀表板),這可能會報告每個混合式所使用的技術是否健康且/或已存在於目前的位置。
這是什麼意思? 它表示每個嚮導執行相同的步驟,且通常會超過一次。 每個嚮導都會啟用 OAuth (S2S 信任),例如(我們稍後會討論 OAuth)。 某些嚮導(例如 SharePoint Online 工作負載的混合式選擇器)會安裝 OAuth,無論您按一下的是哪個按鈕(針對您所做的每個選取專案),不論您的混合式案例是否需要 OAuth。 其他嚮導(例如 [Exchange 混合式嚮導])會在背景中設定 OAuth,且只能設定一次。
S2S 信任不需要穿越網際網路,但在混合式的情況下,這個信任必須。 S2S 不像網域或林信任。 沒有要開啟的大量埠,而且沒有更深入的整合可在 Active 目錄之間建立。 S2S 會在您的內部部署 SharePoint 伺服器陣列與 Microsoft 365 雲端(稱為存取控制服務或 ACS (授權伺服器))之間建立信任的連線。 信任是以簽署代表使用者所頒發權杖的 SSL/TLS 憑證為基礎,您的內部部署和 Microsoft 365 ACS 都可信任,這就像是在內部部署 SharePoint (以及其 ACS proxy 服務)與 Azure ACS 之間,對於每個存取服務的有效使用者而言,都是一種很好的方式。 關於使用者身分識別(此信任的原因)的通訊是在 HTTP/443 上完成。
附註: 就像使用 Azure AD 一樣, Microsoft 365 有 Azure ACS 的信任。
混合式可以在這裡使用自行簽署或公用的證書。 由於其 InfoSec 標準,許多大型公司會選擇公用憑證,主要是因為流量交叉/可能穿越網際網路,所以不受信任的區段。 針對 SharePoint 混合式,此憑證可以是新的自我簽署憑證,或是從 SP STS 權杖簽署證書內部部署提取的憑證。 (如果您在 SharePoint 混合版中使用新的憑證(公開或自行簽署),您需要在 SharePoint 伺服器陣列中的所有節點上取代 SP STS 權杖簽署憑證。
混合式中的交通會離開用戶端公司/組織、交叉網際網路,並進入 Microsoft 組織/Microsoft Microsoft 365 雲端。 您可以略過此不受信任和不受控制的區段,並使用從貴公司或組織的協力廠商提供者快速路由到 Microsoft 365 雲端。 透過將私人 WAN 連線提供給 Microsoft 雲端,Express Route 會繞過網際網路。 不過,在 WAN 遭到失敗的情況下,請務必認識,該回退仍是網際網路。
所有混合使用 PowerShell 模組,以取得管理或配置的各個部分。 大多數您需要的模組,都可能會包含Microsoft Online Services 登入小幫手,以及適用于 Windows PowerShell 的 Azure Active Directory 模組。 您可以安裝這些常用的 PowerShell 模組,預先準備伺服器以進行混合配置和管理混合。
常見的埠和通訊協定
混合式是您內部部署的1/2,而 1/2 Microsoft 365 (本檔未涵蓋 Azure SaaS 或 PaaS 混合式)。 它很可能是在 HTTPs 上執行,但至少 Microsoft 365 半是 100% HTTPs/TLS 憑證加密,這表示它是透過標準埠443執行。 您必須確定公用憑證是否與來自您出口點的流量產生關聯。 也就是說,您必須在執行網路邊緣的電腦上安裝憑證,這項流量將會在443上執行,並經過加密。
附註: 如果使用 ADFS,您實際上需要三個憑證,其中一個會受到公開頒發並用於服務通訊(如果您選擇使用 ADFS,就會將它放在您的 WA-P proxy 上),其中兩個將是當 ADFS 安裝時所進行的自我簽署證書受自動續約,且是用來簽署 ADFS 所做的所有權杖的權杖簽署與權杖解密憑證。 但除了選用 ADFS 所需的憑證之外,所有混合需要擁有 S2S 憑證(有時也稱為 S2S ACS 信任證書,該證書太長)。
預設情況下,所有混合式都會使用443(HTTPS)和53(DNS)來進行混合式流量。 有些會使用埠25(SMTP)等其他埠。 但埠混合式工作負載最複雜的情況是商務用 Skype。 幸運的是,這些埠都有記錄。
所有混合使用的 standout 通訊協定(除了用於 DNS 查閱的準則、HTTPS 流量、SMTP 及其他標準)都是 OAuth (開放授權),也會在 Active Directory 驗證庫中使用。 當連接一端的伺服器資源必須代表使用者來存取另一個伺服器(通常是雲端)中的資源時,就會使用它。 這是一種方式,可以讓使用者存取檔案或資源的等級對經過驗證的使用者而言是 gauged 的。 這也稱為「新式驗證」(雖然 OAuth 是指授權)。
所有工作負載在混合式中都使用 OAuth/S2S (但並非針對每個混合式功能)。 混合式嚮導通常會自動設定這個有用的通訊協定。 不過,不會對工作負載進行這項工作,也不會將 OAuth 狀態報表給客戶,也沒有任何集中方式管理此通用資源(2016)。
在某些情況下,混合式嚮導會在不需要時開啟 OAuth (例如,SharePoint 混合式選擇器針對商務用 OneDrive 重新導向雲端),或在嚮導中的每一種混合式選項上選取(同樣地,請參閱 SharePoint 混合式選擇器)在自訂安裝程式腳本(例如雲端混合式搜尋)中,或甚至在混合式選擇器外。
附註: 您可以將混合式的 lynchpin 考慮為在內部部署與雲端之間的伺服器對伺服器(S2S)信任。 您可能會注意到 S2S 是其 OAuth 實現的 Microsoft 名稱。 我們所有工作負載中的基礎 S2S/OAuth 都是驗證與身分識別層,兩者都使用宣告驗證。
Microsoft 365 混合中的常見元素表格
現在,我們有一個常見元素清單,看起來像這樣:
|
混合式工作負載的共同點 |
|
|
內部部署硬體 |
與 Microsoft 365 中的工作負荷共同合作的內部部署應用程式(例如,Exchange Server to Exchange Online) AAD Connect 反向 Proxy (視需要) ADFS (選用) |
|
網際網路專案 |
公用 DNS 記錄 公用憑證授權單位 Azure Active Directory (AAD 是 Microsoft 365中的使用者目錄) Microsoft 365 (E1、E3、E5 訂閱) Microsoft 365 混合式嚮導 伺服器對伺服器(S2S)信任 |
|
埠與通訊協定 |
IP-HTTPS DN S2S/OAuth |
最後,在所有工作負載中,目標是讓使用者在整個邊界中都是相同的,因此我們可以簡化混合式所能執行的兩項最重要的功能:找出您的使用者身分識別,以及她所允許的處理方式。
[選用] 的記事
某些元素已設定為 [optional],但您如何知道是否需要它們? 在各個版面中, Microsoft 365 混合中的某些元素是真正的選擇性或不需要的:
|
完全選用-所有 Microsoft 365 混合式 |
並非所有 Microsoft 365 混合選用/必要 |
|
ADFS |
AAD Connect |
在正常運作的混合式中,有其他功能屬於灰色區域。 最重要的可能就是 S2S 信任/OAuth。 這個信任是由在 Microsoft 中建立的每一個混合式嚮導所建立,而且根據預設建立信任(即使不需要的話),才能成為「經得起未來考驗」的混合式。 透過嚮導進行混合後,此功能將會開啟。 但(正如您先前所見),目前並非在任何情況下都使用它。
當您在 [搜尋] 中發佈 Office Web Apps 或 Office Online Server 以進行檔預覽時,如果有任何未經授權的要求收到給客戶組織中的資料或資訊(例如使用混合式 BCS 時),就需要反向 Proxy (在我們的範例中是 WA-P)。結果)。 當您將端點發佈至公司的 DMZ 時(例如,當 Exchange 使用 WA 作為 ADFS proxy 時,如您在 Exchange 混合式中使用 ADFS,您將需要 WA-P)。
若要在商務用 Skype 混合式商務用 Skype 中維護一致的溝通通道,以及將 SMTP 流量從 Exchange 混合式的周長路由到網路,則需要使用邊緣。 如前文所述,ADFS 是用來進行單一登入。
|
必須使用反向 Proxy |
可以使用反向 Proxy (選用) |
不需要反向 Proxy |
|
SharePoint 混合式入站搜尋 SharePoint 混合式 BCS 商務用 Skype 混合式 |
SharePoint 雲端混合式(雲端 SSA) 將 ADFS 與 SSO 混合使用的 Exchange 混合式 |
商務用 OneDrive 重新導向 SharePoint 混合式網站功能 SharePoint 混合式設定檔重新導向 混合式外部網路重新導向 |
在混合式設定中,以下是適用于 S2S 的清單,例如 SharePoint 伺服器的這個表格。 例如,您可以使用 S2S 通訊協定的邏輯來建立此類表格,當混合式連接一側的伺服器資源必須代表使用者來存取雲端中另一台伺服器上的資源時,就會使用這種方式。
|
必須使用 OAuth 的 SharePoint 混合式功能 |
不使用 OAuth 的 SharePoint 混合式功能 |
|
混合式搜尋(出站 + 輸入) 使用搜尋預覽的雲端混合式搜尋(雲端 SSA) 混合式 Business Connectivity Service (BCS) 混合式網站功能 混合式設定檔 混合式管理中繼資料 |
商務用 OneDrive 重新導向 * 混合式外部網路 * 混合式設定檔 * 雲端混合式搜尋(雲端 SSA),不使用搜尋預覽 |
* SharePoint 混合式選擇器仍會開啟 OAuth,但這適用于未來任何混合式設定。
