Share via

Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure

  • Článek

Tento článek obsahuje odkazy na podrobné pokyny k nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 ve službách infrastruktury Azure s těmito virtuálními počítači:

  • Dva proxy servery webových aplikací

  • Dva servery Active Directory Federation Services (AD FS) (AD FS)

  • Dva řadiče domény repliky

  • Jeden server synchronizace adresářů se spuštěným Microsoft Entra Connect

Tady je konfigurace se zástupnými názvy pro každý server.

Federované ověřování s vysokou dostupností pro infrastrukturu Microsoftu 365 v Azure

Konečná konfigurace vysoce dostupné infrastruktury federovaného ověřování Microsoftu 365 v Azure

Všechny virtuální počítače jsou v jedné virtuální síti Azure mezi různými místy.

Poznámka

Federované ověřování jednotlivých uživatelů nespoléhá na žádné místní prostředky. Pokud se ale připojení mezi místy stane nedostupným, řadiče domény ve virtuální síti nedostanou aktualizace uživatelských účtů a skupin provedené v místní Active Directory Doménové služby (AD DS). Pokud chcete zajistit, aby k tomu nedošlo, můžete nakonfigurovat vysokou dostupnost pro připojení mezi různými místy. Další informace najdete v tématu Vysoce dostupné připojení mezi různými místy a VNet-to-VNet.

Každá dvojice virtuálních počítačů pro určitou roli je ve své vlastní podsíti a skupině dostupnosti.

Poznámka

Vzhledem k tomu, že je tato virtuální síť připojená k místní síti, tato konfigurace nezahrnuje jumpbox ani monitorování virtuálních počítačů v podsíti pro správu. Další informace najdete v tématu Spouštění virtuálních počítačů s Windows pro n-vrstvou architekturu.

Výsledkem této konfigurace je, že budete mít federované ověřování pro všechny uživatele Microsoftu 365, ve kterém se můžou pomocí přihlašovacích údajů služby AD DS přihlásit místo svého účtu Microsoft 365. Infrastruktura federovaného ověřování používá redundantní sadu serverů, které se snadněji nasazují ve službách infrastruktury Azure než ve vaší místní hraniční síti.

Kusovník

Tato základní konfigurace vyžaduje následující sadu služeb a komponent Azure:

  • Sedm virtuálních počítačů

  • Jedna virtuální síť mezi místy se čtyřmi podsítěmi

  • Čtyři skupiny prostředků

  • Tři skupiny dostupnosti

  • Jedno předplatné Azure

Tady jsou virtuální počítače a jejich výchozí velikosti pro tuto konfiguraci.

Položka Popis virtuálního počítače Obrázek galerie Azure Výchozí velikost
1.
 První řadič domény
 Windows Server 2016 Datacentrum
 D2
2.
 Druhý řadič domény
 Windows Server 2016 Datacentrum
 D2
3.
 Server Microsoft Entra Connect
 Windows Server 2016 Datacentrum
 D2
4.
 První server SLUŽBY AD FS
 Windows Server 2016 Datacentrum
 D2
5.
 Druhý server SLUŽBY AD FS
 Windows Server 2016 Datacentrum
 D2
6.
 První proxy server webových aplikací
 Windows Server 2016 Datacentrum
 D2
7.
 Druhý proxy server webových aplikací
 Windows Server 2016 Datacentrum
 D2

Pokud chcete vypočítat odhadované náklady na tuto konfiguraci, projděte si cenovou kalkulačku Azure.

Fáze nasazení

Tuto úlohu nasadíte v následujících fázích:

Tyto články poskytují podrobného průvodce fázemi pro předdefinovanou architekturu pro vytvoření funkčního federovaného ověřování s vysokou dostupností pro Microsoft 365 ve službách infrastruktury Azure. Mějte na paměti následující:

  • Pokud jste zkušený implementátor služby AD FS, můžete přizpůsobit pokyny ve fázích 3 a 4 a vytvořit sadu serverů, které nejlépe vyhovují vašim potřebám.

  • Pokud už máte existující nasazení hybridního cloudu Azure s existující virtuální sítí mezi různými místy, můžete přizpůsobit nebo přeskočit pokyny ve fázích 1 a 2 a umístit ad FS a proxy servery webových aplikací do příslušných podsítí.

Informace o vytvoření vývojového a testovacího prostředí nebo testování konceptu této konfigurace najdete v tématu Federovaná identita pro vývojové/testovací prostředí Microsoftu 365.

Další krok

Spusťte konfiguraci této úlohy pomocí fáze 1: Konfigurace Azure.