Korkean käytettävyyden ulkopuolisen todentamisen vaihe 1: Azuren määrittäminen
Tässä vaiheessa luot Azuressa resurssiryhmät, näennäisverkon (VNet) ja käytettävyysjoukot, jotka isännöivät näennäiskoneita vaiheissa 2, 3 ja 4. Sinun on suoritettava tämä vaihe, ennen kuin siirryt vaiheeseen 2: Toimialueen ohjauskoneiden määrittäminen. Katso Microsoft 365:n suuren käytettävyyden liitetyn todennuksen käyttöönotto Azuressa kaikissa vaiheissa.
Azure on valmisteltava seuraavilla perusosilla:
Resurssiryhmät
Paikallinen Azure-näennäisverkko (VNet), jossa on aliverkkoja Azure-näennäiskoneiden isännöintiin
Verkon käyttöoikeusryhmät aliverkon eristämistä varten
Käytettävyysjoukot
Azure-osien määrittäminen
Täytä seuraavat taulukot, ennen kuin aloitat Azure-komponenttien määrittämisen. Voit auttaa Azuren määrittämisessä tulostamalla tämän osan ja kirjoittamalla tarvittavat tiedot tai kopioimalla tämän osan asiakirjaan ja täyttämällä sen. Täytä VNet-asetukset taulukkoon V.
| Nimikkeen | Määritysasetus | Kuvaus | Arvo |
|---|---|---|---|
| 1. |
VNet-nimi |
Nimi, joka määritetään VNet:lle (esimerkki FedAuthNet). |
 |
| 2. |
VNet-sijainti |
Alueellinen Azure-palvelinkeskus, joka sisältää näennäisverkon. |
|
| 3. |
VPN-laitteen IP-osoite |
VPN-laitteesi internet-käyttöliittymän julkinen IPv4-osoite. |
|
| 4. |
VNet-osoitetila |
Näennäisverkon osoitetila. Määritä tämä osoitetila yhdessä IT-osastosi kanssa. |
|
| 5. |
Jaettu IPsec-avain |
32-merkkinen satunnainen aakkosnumeerinen merkkijono, jonka avulla todennetaan sivuston ja sivuston VPN-yhteyden molemmat puolet. Selvitä tämä avainarvo yhdessä IT- tai suojausosastosi kanssa. Vaihtoehtoisesti katso kohta Satunnaisen merkkijonon luominen IPsec-avaimelle, jolle on esijakattu avain. |
|
Taulukko V: Paikallisen näennäisverkon määritykset
Täytä seuraavaksi taulukko S tämän ratkaisun aliverkoille. Kaikkien osoitevälien on oltava CIDR (Classless Interdomain Routing) -muodossa, jota kutsutaan myös verkon etuliitemuodoksi. Esimerkki on 10.24.64.0/20.
Määritä kolmelle ensimmäiselle aliverkolle nimi ja yksi IP-osoitetila näennäisverkon osoitetilan perusteella. Määritä yhdyskäytävän aliverkossa 27-bittinen osoitetila (etuliitepituudella /27) Azure-yhdyskäytävän aliverkossa seuraavasti:
Määritä VNetin osoitetilan muuttujien bitit arvoon 1 yhdyskäytävän aliverkon käyttämiin bitteihin asti ja määritä sitten jäljellä olevien bittien arvoksi 0.
Muunna tulokseksi saatavat bitit desimaaliluvuiksi ja ilmaise ne osoitetilana, jonka etuliitteen pituudeksi on määritetty yhdyskäytävän aliverkon koko.
Katso Azure-yhdyskäytävän aliverkkojen Osoitetilalaskin PowerShell-komentolohkolle ja C#- tai Python-konsolisovellukselle, joka suorittaa tämän laskutoimituksen puolestasi.
Määritä nämä osoitevälit näennäisverkon osoitetilasta yhdessä IT-osastosi kanssa.
| Nimikkeen | Aliverkon nimi | Aliverkon osoitetila | Käyttötarkoitus |
|---|---|---|---|
| 1. |
|
|
Active Directory -toimialueen palvelut (AD DS) -toimialueen ohjauskoneen ja hakemiston synkronointipalvelimen näennäiskoneiden käyttämä aliverkko. |
| 2. |
|
|
AD FS -näennäiskoneiden käyttämä aliverkko. |
| 3. |
|
|
Verkkosovelluksen välityspalvelimen näennäiskoneiden käyttämä aliverkko. |
| 4. |
GatewaySubnet |
|
Azure-yhdyskäytävän näennäiskoneiden käyttämä aliverkko. |
Taulukko S: Näennäisverkon aliverkot
Täytä seuraavaksi taulukko I näennäiskoneisiin ja kuormituksentasaimen esiintymiin määritetyille staattisille IP-osoitteille.
| Nimikkeen | Käyttötarkoitus | IP-osoite aliverkossa | Arvo |
|---|---|---|---|
| 1. |
Ensimmäisen toimialueen ohjauskoneen staattinen IP-osoite |
Taulukko S:n kohdassa 1 määritetyn aliverkon osoitetilan neljäs mahdollinen IP-osoite. |
|
| 2. |
Toisen toimialueen ohjauskoneen staattinen IP-osoite |
Taulukon S kohdassa 1 määritetyn aliverkon osoitetilan viides mahdollinen IP-osoite. |
|
| 3. |
Hakemiston synkronointipalvelimen staattinen IP-osoite |
Taulukon S kohdassa 1 määritetyn aliverkon osoitetilan kuudes mahdollinen IP-osoite. |
|
| 4. |
Sisäisen kuormituksentasaimen staattinen IP-osoite AD FS -palvelimille |
Taulukko S:n kohdassa 2 määritetyn aliverkon osoitetilan neljäs mahdollinen IP-osoite. |
|
| 5. |
Ensimmäisen AD FS -palvelimen staattinen IP-osoite |
Taulukon S kohdassa 2 määritetyn aliverkon osoitetilan viides mahdollinen IP-osoite. |
|
| 6. |
Toisen AD FS -palvelimen staattinen IP-osoite |
Taulukon S kohdassa 2 määritetyn aliverkon osoitteen kuudes mahdollinen IP-osoite. |
|
| 7. |
Ensimmäisen verkkosovelluksen välityspalvelimen staattinen IP-osoite |
Taulukko S:n kohdassa 3 määritetyn aliverkon osoitetilan neljäs mahdollinen IP-osoite. |
|
| 8. |
Toisen verkkosovelluksen välityspalvelimen staattinen IP-osoite |
Taulukon S kohdassa 3 määritetyn aliverkon osoitetilan viides mahdollinen IP-osoite. |
|
Taulukko I: Staattiset IP-osoitteet näennäisverkossa
Jos käytössä on kaksi toimialueen nimijärjestelmän (DNS) palvelinta paikallisessa verkossa, joita haluat käyttää määrittäessäsi toimialueen ohjauskoneita näennäisverkkoosi, täytä taulukko D. Määritä tämä luettelo it-osastosi avulla.
| Nimikkeen | DNS-palvelimen kutsumanimi | DNS-palvelimen IP-osoite |
|---|---|---|
| 1. |
|
|
| 2. |
|
|
Taulukko D: Paikalliset DNS-palvelimet
Jotta voit reitittää paketteja paikallisesta verkosta organisaatiosi verkkoon sivuston ja sivuston välisen VPN-yhteyden kautta, sinun on määritettävä näennäisverkko paikallisessa verkossa, jossa on luettelo osoitetiloista (CIDR-merkintätavassa) kaikissa organisaatiosi paikallisessa verkossa olevissa sijainneissa. Paikallisen verkon määrittävien osoitevälien luettelon on oltava yksilöllinen, eikä se saa olla päällekkäin muiden näennäisverkkojen tai muiden paikallisten verkkojen osoitetilan kanssa.
Täytä paikallisen verkon osoitetilajoukolle taulukko L. Huomaa, että luettelossa on kolme tyhjää merkintää, mutta tarvitset yleensä enemmän. Määritä tämä osoitetilojen luettelo yhdessä IT-osastosi kanssa.
| Nimikkeen | Paikallisen verkon osoitetila |
|---|---|
| 1. |
|
| 2. |
|
| 3. |
|
Taulukko L: Paikallisen verkon osoiteetuliitteet
Aloitetaan nyt Azure-infrastruktuurin luominen Microsoft 365:n liitetyn todennuksen isännöimiseksi.
Huomautus
Seuraavissa komentojoukoissa käytetään Azure PowerShellin uusinta versiota. Katso Azure PowerShellin käytön aloittaminen.
Aloita ensin Azure PowerShell -kehote ja kirjaudu sisään tilillesi.
Connect-AzAccount
Vihje
Jos haluat luoda valmiita PowerShell-komentolohkoja mukautettujen asetusten perusteella, käytä tätä Microsoft Excelin määritystyökirjaa.
Hanki tilauksesi nimi käyttämällä seuraavaa komentoa.
Get-AzSubscription | Sort Name | Select Name
Käytä tätä komentoa Azure PowerShellin vanhemmissa versioissa.
Get-AzSubscription | Sort Name | Select SubscriptionName
Määritä Azure-tilauksesi. Korvaa kaikki lainausmerkeissä olevat tiedot, mukaan lukien - < ja > -merkit, oikealla nimellä.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
Luo seuraavaksi uudet resurssiryhmät. Jos haluat määrittää yksilöllisen resurssiryhmien nimien joukon, luettele nykyiset resurssiryhmäsi tällä komennolla.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Täytä seuraava taulukko yksilöllisten resurssiryhmien nimien joukolle.
| Nimikkeen | Resurssiryhmän nimi | Käyttötarkoitus |
|---|---|---|
| 1. |
|
Toimialueen ohjauskoneet |
| 2. |
|
AD FS -palvelimet |
| 3. |
|
Verkkosovelluksen välityspalvelimet |
| 4. |
|
Infrastruktuurielementit |
Taulukko R: Resurssiryhmät
Luo uudet resurssiryhmäsi näiden komentojen avulla.
$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
Seuraavaksi luot Azure-näennäisverkon ja sen aliverkot.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix
# Create the virtual network
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers
Seuraavaksi luot verkon käyttöoikeusryhmiä kullekin aliverkolle, jossa on näennäiskoneita. Aliverkon eristämiseksi voit lisätä sääntöjä tietyntyyppisille liikennetyypeille, jotka sallitaan tai jotka on estetty aliverkon verkon käyttöoikeusryhmälle.
# Create network security groups
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
New-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Luo seuraavaksi näiden komentojen avulla yhdyskäytävät sivustosta sivustoon -VPN-yhteydelle.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Huomautus
Yksittäisten käyttäjien liitetty todentaminen ei perustu paikallisiin resursseihin. Jos tämä sivustosta sivustoon -VPN-yhteys ei ole enää käytettävissä, VNetin toimialueen ohjauskoneet eivät saa päivityksiä paikallinen Active Directory Domain Services -palveluissa tehtyihin käyttäjätileihin ja ryhmiin. Voit varmistaa, ettei näin tapahdu, määrittämällä suuren käytettävyyden sivustosta sivustoon -VPN-yhteydelle. Lisätietoja on kohdassa Erittäin saatavilla olevat paikallisten ja VNet-VNet-verkkoyhteyksien yhteydet
Tallenna seuraavaksi näennäisverkkosi Azuren VPN-yhdyskäytävän julkinen IPv4-osoite tämän komennon näytöltä:
Get-AzPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName
Määritä seuraavaksi paikallinen VPN-laitteesi muodostamaan yhteys Azure VPN -yhdyskäytävään. Lisätietoja on kohdassa VPN-laitteen määrittäminen.
Jos haluat määrittää paikallisen VPN-laitteesi, tarvitset seuraavat:
Azuren VPN-yhdyskäytävän julkinen IPv4-osoite.
Sivuston ja sivuston VÄLISEN VPN-yhteyden IPsec-esijaetussa avaimessa (Taulukko V - Kohde 5 - Arvo-sarake).
Varmista seuraavaksi, että näennäisverkon osoitetila on tavoitettavissa paikallisesta verkostasi. Tämä tehdään yleensä lisäämällä näennäisverkon osoitetilaa vastaava reitti VPN-laitteeseesi ja mainostamalla sitten tätä reittiä organisaation verkon muuhun reititysinfrastruktuuriin. Määritä, miten tämä tehdään, yhdessä IT-osastosi kanssa.
Määritä seuraavaksi kolmen käytettävyysjoukon nimet. Täytä taulukko A.
| Nimikkeen | Käyttötarkoitus | Käytettävyysjoukon nimi |
|---|---|---|
| 1. |
Toimialueen ohjauskoneet |
|
| 2. |
AD FS -palvelimet |
|
| 3. |
Verkkosovelluksen välityspalvelimet |
|
Taulukko A: Käytettävyysjoukot
Tarvitset nämä nimet, kun luot näennäiskoneita vaiheissa 2, 3 ja 4.
Luo uudet käytettävyysjoukot näillä Azure PowerShell -komennoilla.
$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
Tämä on tämän vaiheen onnistuneen valmistumisen tuloksena syntyvä määritys.
Vaihe 1: Azure-infrastruktuuri suuren käytettävyyden federoidun todennuksen käyttöön Microsoft 365:lle
Seuraavat vaiheet
Käytä vaihetta 2: Määritä toimialueen ohjauskoneet jatkamaan tämän kuormituksen määritystä.
Katso myös
Korkean käytettävyyden liitetyn todennuksen käyttöönotto Microsoft 365:ssä Azuressa
Microsoft 365 dev/test -ympäristön liitetyt käyttäjätiedot
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle