Implementar la autenticación federada de alta disponibilidad para Microsoft 365 en Azure
En este artículo se incluyen vínculos a las instrucciones paso a paso para implementar la autenticación federada de alta disponibilidad para Microsoft 365 en los servicios de infraestructura de Azure con estas máquinas virtuales:
Dos servidores proxy de aplicación web
Dos servidores de Servicios de federación de Active Directory (AD FS)
Dos controladores de dominio de réplica
Un servidor de sincronización de directorios que ejecuta Microsoft Entra Connect
Esta es la configuración, con nombres de marcador de posición para cada servidor.
Una autenticación federada de alta disponibilidad para la infraestructura de Microsoft 365 en Azure
Todas las máquinas virtuales forman parte de una única red virtual entre locales de Azure (VNet).
Nota:
La autenticación federada de los usuarios individuales no se basa en los recursos locales. Sin embargo, si la conexión entre locales deja de estar disponible, los controladores de dominio de la red virtual no recibirán actualizaciones de las cuentas de usuario y los grupos realizados en el Active Directory local Servicios de dominio (AD DS). Para asegurarse de que esto no sucede, puede configurar la alta disponibilidad para la conexión entre locales. Para obtener más información, consulte Conectividad de red virtual a red virtual y con alta disponibilidad entre locales
Cada par de máquinas virtuales asignado a un rol específico forma parte de su propia subred y de su propio conjunto de disponibilidad.
Nota:
Debido a que esta red virtual está conectada a la red local, la configuración no incluye máquinas virtuales intermedias ni de supervisión en una subred de administración. Para obtener más información, consulte Running Windows VMs for an N-tier architecture.
El resultado de esta configuración es que tendrá autenticación federada para todos los usuarios de Microsoft 365, en la que pueden usar sus credenciales de AD DS para iniciar sesión en lugar de su cuenta de Microsoft 365. La infraestructura de autenticación federada utiliza un conjunto redundante de servidores que se implementan más fácilmente en servicios de la infraestructura de Azure en lugar de en la red perimetral en local.
Lista de materiales
Esta configuración de línea base requiere el siguiente conjunto de componentes y servicios de Azure:
Siete máquinas virtuales
Una red virtual entre locales con cuatro subredes
Cuatro grupos de recursos
Tres conjuntos de disponibilidad
Una suscripción a Azure
Estas son las máquinas virtuales y sus tamaños predeterminados para esta configuración.
| Elemento | Descripción de la máquina virtual | Imagen de la galería de Azure | Tamaño predeterminado |
|---|---|---|---|
| 1. |
Primer controlador de dominio |
Windows Server 2016 Datacenter |
D2 |
| 2. |
Segundo controlador de dominio |
Windows Server 2016 Datacenter |
D2 |
| 3. |
servidor de Microsoft Entra Connect |
Windows Server 2016 Datacenter |
D2 |
| 4. |
Primer servidor de AD FS |
Windows Server 2016 Datacenter |
D2 |
| 5. |
Segundo servidor de AD FS |
Windows Server 2016 Datacenter |
D2 |
| 6. |
Primer servidor proxy de aplicación web |
Windows Server 2016 Datacenter |
D2 |
| 7. |
Segundo servidor proxy de aplicación web |
Windows Server 2016 Datacenter |
D2 |
Para calcular los costos estimados para esta configuración, consulte la Calculadora de precios de Azure.
Fases de implementación
Implementará esta carga de trabajo en las fases siguientes:
Fase 1: Configuración de Azure. Creación de grupos de recursos, cuentas de almacenamiento, conjuntos de disponibilidad y una red virtual entre locales.
Fase 2: Configurar controladores de dominio. Cree y configure controladores de dominio de AD DS réplica y el servidor de sincronización de directorios.
Fase 3: Configuración de servidores de AD FS. Creación y configuración de los dos servidores de AD FS.
Fase 4: Configuración de servidores proxy de aplicaciones web. Creación y configuración de los dos servidores proxy de aplicación web.
Fase 5: Configuración de la autenticación federada para Microsoft 365. Configure la autenticación federada para la suscripción de Microsoft 365.
En estos artículos se proporciona una guía prescriptiva y fase a fase para una arquitectura predefinida con el fin de crear una autenticación federada funcional y de alta disponibilidad para Microsoft 365 en los servicios de infraestructura de Azure. Tenga en cuenta lo siguiente:
Si es un implementador experimentado de AD FS, no dude en adaptar las instrucciones de las fases 3 y 4 y crear el conjunto de servidores que mejor se adapte a sus necesidades.
Si ya tiene una implementación existente de nube híbrida de Azure con una red virtual entre locales existente, no dude en adaptar u omitir las instrucciones que aparecen en las fases 1 y 2 y colocar los servidores proxy de aplicación web y AD FS en las subredes adecuadas.
Para crear un entorno de desarrollo y pruebas o una prueba de concepto de esta configuración, consulte Identidad federada para el entorno de desarrollo y pruebas de Microsoft 365.
Siguiente paso
Inicie la configuración de esta carga de trabajo con la Fase 1: Configurar Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de