Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure
Tento článek obsahuje odkazy na podrobné pokyny k nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 ve službách infrastruktury Azure s těmito virtuálními počítači:
Dva proxy servery webových aplikací
Dva servery Active Directory Federation Services (AD FS) (AD FS)
Dva řadiče domény repliky
Jeden server synchronizace adresářů se spuštěným Microsoft Entra Connect
Tady je konfigurace se zástupnými názvy pro každý server.
Federované ověřování s vysokou dostupností pro infrastrukturu Microsoftu 365 v Azure
Všechny virtuální počítače jsou v jedné virtuální síti Azure mezi různými místy.
Poznámka
Federované ověřování jednotlivých uživatelů nespoléhá na žádné místní prostředky. Pokud se ale připojení mezi místy stane nedostupným, řadiče domény ve virtuální síti nedostanou aktualizace uživatelských účtů a skupin provedené v místní Active Directory Doménové služby (AD DS). Pokud chcete zajistit, aby k tomu nedošlo, můžete nakonfigurovat vysokou dostupnost pro připojení mezi různými místy. Další informace najdete v tématu Vysoce dostupné připojení mezi různými místy a VNet-to-VNet.
Každá dvojice virtuálních počítačů pro určitou roli je ve své vlastní podsíti a skupině dostupnosti.
Poznámka
Vzhledem k tomu, že je tato virtuální síť připojená k místní síti, tato konfigurace nezahrnuje jumpbox ani monitorování virtuálních počítačů v podsíti pro správu. Další informace najdete v tématu Spouštění virtuálních počítačů s Windows pro n-vrstvou architekturu.
Výsledkem této konfigurace je, že budete mít federované ověřování pro všechny uživatele Microsoftu 365, ve kterém se můžou pomocí přihlašovacích údajů služby AD DS přihlásit místo svého účtu Microsoft 365. Infrastruktura federovaného ověřování používá redundantní sadu serverů, které se snadněji nasazují ve službách infrastruktury Azure než ve vaší místní hraniční síti.
Kusovník
Tato základní konfigurace vyžaduje následující sadu služeb a komponent Azure:
Sedm virtuálních počítačů
Jedna virtuální síť mezi místy se čtyřmi podsítěmi
Čtyři skupiny prostředků
Tři skupiny dostupnosti
Jedno předplatné Azure
Tady jsou virtuální počítače a jejich výchozí velikosti pro tuto konfiguraci.
Položka | Popis virtuálního počítače | Obrázek galerie Azure | Výchozí velikost |
---|---|---|---|
1. |
První řadič domény |
Windows Server 2016 Datacentrum |
D2 |
2. |
Druhý řadič domény |
Windows Server 2016 Datacentrum |
D2 |
3. |
Server Microsoft Entra Connect |
Windows Server 2016 Datacentrum |
D2 |
4. |
První server SLUŽBY AD FS |
Windows Server 2016 Datacentrum |
D2 |
5. |
Druhý server SLUŽBY AD FS |
Windows Server 2016 Datacentrum |
D2 |
6. |
První proxy server webových aplikací |
Windows Server 2016 Datacentrum |
D2 |
7. |
Druhý proxy server webových aplikací |
Windows Server 2016 Datacentrum |
D2 |
Pokud chcete vypočítat odhadované náklady na tuto konfiguraci, projděte si cenovou kalkulačku Azure.
Fáze nasazení
Tuto úlohu nasadíte v následujících fázích:
Fáze 1: Konfigurace Azure Create skupiny prostředků, účty úložiště, skupiny dostupnosti a virtuální síť mezi různými místy.
Fáze 2: Konfigurace řadičů domény Create a nakonfigurujte repliky řadičů domény SLUŽBY AD DS a serveru synchronizace adresářů.
Fáze 3: Konfigurace serverů SLUŽBY AD FS Create a nakonfigurujte dva servery SLUŽBY AD FS.
Fáze 4: Konfigurace proxy webových aplikací Create a nakonfigurujte dva proxy servery webových aplikací.
Fáze 5: Konfigurace federovaného ověřování pro Microsoft 365 Nakonfigurujte federované ověřování pro vaše předplatné Microsoft 365.
Tyto články poskytují podrobného průvodce fázemi pro předdefinovanou architekturu pro vytvoření funkčního federovaného ověřování s vysokou dostupností pro Microsoft 365 ve službách infrastruktury Azure. Mějte na paměti následující:
Pokud jste zkušený implementátor služby AD FS, můžete přizpůsobit pokyny ve fázích 3 a 4 a vytvořit sadu serverů, které nejlépe vyhovují vašim potřebám.
Pokud už máte existující nasazení hybridního cloudu Azure s existující virtuální sítí mezi různými místy, můžete přizpůsobit nebo přeskočit pokyny ve fázích 1 a 2 a umístit ad FS a proxy servery webových aplikací do příslušných podsítí.
Informace o vytvoření vývojového a testovacího prostředí nebo testování konceptu této konfigurace najdete v tématu Federovaná identita pro vývojové/testovací prostředí Microsoftu 365.
Další krok
Spusťte konfiguraci této úlohy pomocí fáze 1: Konfigurace Azure.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro