Federatieve verificatie met hoge beschikbaarheid implementeren voor Microsoft 365 in Azure
Dit artikel bevat koppelingen naar de stapsgewijze instructies voor het implementeren van federatieve verificatie met hoge beschikbaarheid voor Microsoft 365 in Azure-infrastructuurservices met deze virtuele machines:
Twee proxyservers voor webtoepassingen
Twee Active Directory Federation Services (AD FS)-servers
Twee replicadomeincontrollers
Eén adreslijstsynchronisatieserver waarop Microsoft Entra Connect wordt uitgevoerd
Dit is de configuratie, met tijdelijke aanduidingen voor elke server.
Een federatieve verificatie met hoge beschikbaarheid voor Microsoft 365-infrastructuur in Azure
Alle virtuele machines bevinden zich in één cross-premises virtueel Azure-netwerk (VNet).
Opmerking
Federatieve verificatie van afzonderlijke gebruikers is niet afhankelijk van on-premises resources. Als de cross-premises verbinding echter niet meer beschikbaar is, ontvangen de domeincontrollers in het VNet geen updates voor gebruikersaccounts en groepen die zijn gemaakt in de on-premises Active Directory Domeinservices (AD DS). Om ervoor te zorgen dat dit niet gebeurt, kunt u hoge beschikbaarheid configureren voor uw cross-premises verbinding. Zie Maximaal beschikbare cross-premises en VNet-naar-VNet-connectiviteit voor meer informatie
Elk paar virtuele machines voor een specifieke rol bevindt zich in een eigen subnet en beschikbaarheidsset.
Opmerking
Omdat dit VNet is verbonden met het on-premises netwerk, omvat deze configuratie geen jumpbox of het bewaken van virtuele machines in een beheersubnet. Zie Windows-VM's uitvoeren voor een architectuur met meerdere lagen voor meer informatie.
Het resultaat van deze configuratie is dat u federatieve verificatie hebt voor al uw Microsoft 365-gebruikers, waarin ze hun AD DS-referenties kunnen gebruiken om zich aan te melden in plaats van hun Microsoft 365-account. De infrastructuur voor federatieve verificatie maakt gebruik van een redundante set servers die eenvoudiger kunnen worden geïmplementeerd in Azure-infrastructuurservices in plaats van in uw on-premises edge-netwerk.
Stuklijst
Voor deze basislijnconfiguratie is de volgende set Azure-services en -onderdelen vereist:
Zeven virtuele machines
Eén cross-premises virtueel netwerk met vier subnetten
Vier resourcegroepen
Drie beschikbaarheidssets
Eén Azure-abonnement
Dit zijn de virtuele machines en hun standaardgrootten voor deze configuratie.
Item | Beschrijving van virtuele machine | Installatiekopieën van Azure-galerie | Standaardgrootte |
---|---|---|---|
1. |
Eerste domeincontroller |
Windows Server 2016 Datacenter |
D2 |
2. |
Tweede domeincontroller |
Windows Server 2016 Datacenter |
D2 |
3. |
Microsoft Entra Connect-server |
Windows Server 2016 Datacenter |
D2 |
4. |
Eerste AD FS-server |
Windows Server 2016 Datacenter |
D2 |
5. |
Tweede AD FS-server |
Windows Server 2016 Datacenter |
D2 |
6. |
Eerste webtoepassingsproxyserver |
Windows Server 2016 Datacenter |
D2 |
7. |
Tweede webtoepassingsproxyserver |
Windows Server 2016 Datacenter |
D2 |
Als u de geschatte kosten voor deze configuratie wilt berekenen, raadpleegt u de Azure-prijscalculator.
Implementatiefasen
U implementeert deze workload in de volgende fasen:
Fase 1: Azure configureren. Creatie resourcegroepen, opslagaccounts, beschikbaarheidssets en een cross-premises virtueel netwerk.
Fase 2: Domeincontrollers configureren. Creatie en configureer replica AD DS-domeincontrollers en de adreslijstsynchronisatieserver.
Fase 3: AD FS-servers configureren. Creatie en configureer de twee AD FS-servers.
Fase 4: webtoepassingsproxy's configureren. Creatie en configureer de twee proxyservers voor webtoepassingen.
Fase 5: Federatieve verificatie configureren voor Microsoft 365. Federatieve verificatie configureren voor uw Microsoft 365-abonnement.
Deze artikelen bevatten een stapsgewijze handleiding voor een vooraf gedefinieerde architectuur voor het maken van een functionele, federatieve verificatie met hoge beschikbaarheid voor Microsoft 365 in Azure-infrastructuurservices. Houd het volgende in gedachten:
Als u een ervaren AD FS-implementator bent, kunt u de instructies in fase 3 en 4 aanpassen en de set servers bouwen die het beste bij uw behoeften past.
Als u al een bestaande hybride Azure-cloudimplementatie hebt met een bestaand cross-premises virtueel netwerk, kunt u de instructies in fase 1 en 2 aanpassen of overslaan en de AD FS- en webtoepassingsproxyservers op de juiste subnetten plaatsen.
Zie Federatieve identiteit voor uw Microsoft 365-ontwikkel-/testomgeving voor het bouwen van een ontwikkel-/testomgeving of een proof-of-concept van deze configuratie.
Volgende stap
Start de configuratie van deze workload met fase 1: Azure configureren.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor