Azure に Microsoft 365 の高可用性フェデレーション認証を展開する
この記事では、次の仮想マシンを使用して Azure インフラストラクチャ サービスに Microsoft 365 の高可用性フェデレーション認証をデプロイする手順へのリンクを示します。
2 つの Web アプリケーション プロキシ サーバー
2 つの Active Directory フェデレーション サービス (AD FS) サーバー
2 つのレプリカ ドメイン コントローラー
connect を実行している 1 つのディレクトリ同期サーバー Microsoft Entra
各サーバーのプレースホルダー名を含む構成を次に示します。
Azure での Microsoft 365 インフラストラクチャの高可用性フェデレーション認証
すべての仮想マシンが単一のクロスプレミス Azure 仮想ネットワーク (VNet) に入っています。
注:
個々のユーザーのフェデレーション認証は、オンプレミスのリソースには依存しません。 ただし、クロスプレミス接続が使用できなくなった場合、VNet 内のドメイン コントローラーは、オンプレミスの Active Directory Domain Services (AD DS) で行われたユーザー アカウントとグループの更新を受け取りません。 これを回避するために、クロスプレミス接続で高可用性を構成できます。 詳細については、「高可用性のクロスプレミス接続および VNet 間接続」を参照してください。
特定の役割を持つ仮想マシンの各ペアが独自のサブネットと可用性セットに入っています。
注:
この VNet はオンプレミスのネットワークに接続されているため、この構成に管理サブネット上の jumpbox や仮想マシンの監視は含まれません。 詳細については、N 層のアーキテクチャで Windows VM を実行するを参照してください。
この構成の結果、すべての Microsoft 365 ユーザーに対してフェデレーション認証が行われます。このユーザーは、Microsoft 365 アカウントではなく AD DS 資格情報を使用してサインインできます。 フェデレーション認証インフラストラクチャでは、オンプレミスの境界ネットワークよりも Azure インフラストラクチャ サービスでより簡単に展開できるサーバーの冗長セットが使用されます。
部品表
このベースライン構成には、Azure のサービスおよびコンポーネントの次のセットが必要です。
7 つの仮想マシン
4 つのサブネットを持つ 1 つのクロスプレミス仮想ネットワーク
4 つのリソース グループ
3 つの可用性セット
1 つの Azure サブスクリプション
仮想マシンと、この構成用の既定サイズを次に示します。
| アイテム | 仮想マシンの説明 | Azure ギャラリー イメージ | 既定のサイズ |
|---|---|---|---|
| 1. |
1 つ目のドメイン コントローラー |
Windows Server 2016 Datacenter |
D2 |
| 2. |
2 つ目のドメイン コントローラー |
Windows Server 2016 Datacenter |
D2 |
| 3. |
Microsoft Entra Connect サーバー |
Windows Server 2016 Datacenter |
D2 |
| 4. |
1 つ目の AD FS サーバー |
Windows Server 2016 Datacenter |
D2 |
| 5. |
2 つ目の AD FS サーバー |
Windows Server 2016 Datacenter |
D2 |
| 6. |
1 つ目の Web アプリケーション プロキシ サーバー |
Windows Server 2016 Datacenter |
D2 |
| 7. |
2 つ目の Web アプリケーション プロキシ サーバー |
Windows Server 2016 Datacenter |
D2 |
この構成の見積もりコストを計算するには、Azure 料金計算ツールを参照してください。
展開のフェーズ
次のフェーズでは、このワークロードを展開します。
フェーズ 1: Azure を構成する。 リソース グループ、ストレージ アカウント、可用性セット、クロスプレミスの仮想ネットワークを作成します。
フェーズ 2: ドメイン コントローラーを構成する。 レプリカの AD DS ドメイン コントローラーとディレクトリ同期サーバーを作成して構成します。
フェーズ 3: AD FS サーバーを構成します。 2 つの AD FS サーバーを作成して構成します。
フェーズ 4: Web アプリケーション プロキシを構成する。 2 つの Web アプリケーション プロキシ サーバーを作成して構成します。
フェーズ 5: Microsoft 365 のフェデレーション認証を構成する。 Microsoft 365 サブスクリプションのフェデレーション認証を構成します。
これらの記事では、Azure インフラストラクチャ サービスで Microsoft 365 の機能的で高可用性のフェデレーション認証を作成するための、定義済みのアーキテクチャの規範的なフェーズバイフェーズ ガイドを提供します。 以下の点にご注意ください:
経験豊富な AD FS 実装者の場合は、フェーズ 3 と 4 の手順を自由に適応させ、ニーズに最も適したサーバーのセットを構築してください。
既存のクロスプレミスの仮想ネットワークを使用した既存の Azure ハイブリッド クラウド展開がある場合は、フェーズ 1 と 2 の手順を自由に適応させるかスキップして、AD FS と Web アプリケーション プロキシ サーバーを適切なサブネットに配置できます。
開発/テスト環境またはこの構成の概念実証を構築するには、「 Microsoft 365 開発/テスト環境のフェデレーション ID」を参照してください。
次の手順
このワークロードの構成を「フェーズ 1: Azure を構成する」から開始します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示