Udrul organisationsnetværksgodkendelse med høj tilgængelighed til Microsoft 365 i Azure
Denne artikel indeholder links til den trinvise vejledning i installation af samlet godkendelse med høj tilgængelighed til Microsoft 365 i Azure-infrastrukturtjenester med disse virtuelle maskiner:
To webprogramproxyservere
To AD FS-servere (Active Directory Federation Services)
To replikadomænecontrollere
En katalogsynkroniseringsserver, der kører Microsoft Entra Opret forbindelse
Her er konfigurationen med pladsholdernavne for hver server.
En samlet godkendelse med høj tilgængelighed til Microsoft 365-infrastruktur i Azure
Alle de virtuelle maskiner befinder sig i et enkelt virtuelt Azure-netværk på tværs af det lokale miljø (VNet).
Bemærk!
Godkendelse i organisationsnetværket af individuelle brugere er ikke afhængig af ressourcer i det lokale miljø. Men hvis forbindelsen på tværs af det lokale miljø bliver utilgængelig, modtager domænecontrollerne i VNet ikke opdateringer til brugerkonti og grupper, der er oprettet i Active Directory i det lokale miljø domæneservices (AD DS). Hvis du vil sikre, at dette ikke sker, kan du konfigurere høj tilgængelighed for din forbindelse i det lokale miljø. Du kan få flere oplysninger under Yderst tilgængelig på tværs af det lokale miljø og VNet-til-VNet-forbindelse
Hvert par af virtuelle maskiner for en bestemt rolle er i sit eget undernet og tilgængelighedssæt.
Bemærk!
Da denne VNet er forbundet til netværket i det lokale miljø, omfatter denne konfiguration ikke jumpbox eller overvågning af virtuelle maskiner på et administrationsundernet. Du kan få flere oplysninger under Kørsel af Windows VM'er for en N-niveau-arkitektur.
Resultatet af denne konfiguration er, at du har organisationsnetværksgodkendelse for alle dine Microsoft 365-brugere, hvor de kan bruge deres AD DS-legitimationsoplysninger til at logge på i stedet for deres Microsoft 365-konto. Den sammenkædede godkendelsesinfrastruktur bruger et redundant sæt servere, der nemmere kan udrulles i Azure-infrastrukturtjenester i stedet for i dit edge-netværk i det lokale miljø.
Materialefortegnelse
Denne grundlæggende konfiguration kræver følgende sæt Azure-tjenester og -komponenter:
Syv virtuelle maskiner
Ét virtuelt netværk på tværs af det lokale miljø med fire undernet
Fire ressourcegrupper
Tre tilgængelighedssæt
Ét Azure-abonnement
Her er de virtuelle maskiner og deres standardstørrelser for denne konfiguration.
Element | Beskrivelse af virtuel maskine | Billede af Azure-galleri | Standardstørrelse |
---|---|---|---|
1. |
Første domænecontroller |
Windows Server 2016 Datacenter |
D2 |
2. |
Anden domænecontroller |
Windows Server 2016 Datacenter |
D2 |
3. |
Microsoft Entra Forbindelsesserver |
Windows Server 2016 Datacenter |
D2 |
4. |
Første AD FS-server |
Windows Server 2016 Datacenter |
D2 |
5. |
Anden AD FS-server |
Windows Server 2016 Datacenter |
D2 |
6. |
Første proxyserver for webprogram |
Windows Server 2016 Datacenter |
D2 |
7. |
Anden webprogramproxyserver |
Windows Server 2016 Datacenter |
D2 |
Hvis du vil beregne de anslåede omkostninger for denne konfiguration, skal du se Azure-prisberegneren.
Udrulningsfaser
Du udruller denne arbejdsbelastning i følgende faser:
Fase 1: Konfigurer Azure. Create ressourcegrupper, lagerkonti, tilgængelighedssæt og et virtuelt netværk på tværs af det lokale miljø.
Fase 2: Konfigurer domænecontrollere. Create og konfigurer replika-AD DS-domænecontrollere og katalogsynkroniseringsserveren.
Fase 3: Konfigurer AD FS-servere. Create og konfigurer de to AD FS-servere.
Fase 4: Konfigurer proxyer for webprogrammer. Create og konfigurer de to webprogramproxyservere.
Fase 5: Konfigurer godkendelse i organisationsnetværket for Microsoft 365. Konfigurer godkendelse i organisationsnetværket for dit Microsoft 365-abonnement.
Disse artikler indeholder en præskriptiv, fase for fase-vejledning til en foruddefineret arkitektur for at oprette en funktionel samlet godkendelse med høj tilgængelighed til Microsoft 365 i Azure-infrastrukturtjenester. Vær opmærksom på følgende:
Hvis du er en erfaren AD FS-implementer, er du velkommen til at tilpasse vejledningen i fase 3 og 4 og bygge det sæt servere, der passer bedst til dine behov.
Hvis du allerede har en eksisterende Azure Hybrid Cloud-udrulning med et eksisterende virtuelt netværk på tværs af det lokale miljø, er du velkommen til at tilpasse eller springe vejledningen over i fase 1 og 2 og placere AD FS- og webprogramproxyserverne på de relevante undernet.
Hvis du vil oprette et udviklings-/testmiljø eller en blåstempling af denne konfiguration, skal du se Organisationsnetværksidentitet for dit Microsoft 365-udviklings-/testmiljø.
Næste trin
Start konfigurationen af denne arbejdsbelastning med fase 1: Konfigurer Azure.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om