Federatieverificatie met hoge beschikbaarheid implementeren voor Microsoft 365 in AzureDeploy high availability federated authentication for Microsoft 365 in Azure

Dit artikel bevat koppelingen naar de stapsgewijs instructies voor het implementeren van federatieverificatie met hoge beschikbaarheid voor Microsoft-Microsoft 365 in Azure-infrastructuurservices met deze virtuele machines:This article has links to the step-by-step instructions for deploying high availability federated authentication for Microsoft Microsoft 365 in Azure infrastructure services with these virtual machines:

  • Twee proxyservers voor webtoepassingTwo web application proxy servers

  • Twee Ad FS-servers (Active Directory Federation Services)Two Active Directory Federation Services (AD FS) servers

  • Twee replicadomeincontrollersTwo replica domain controllers

  • Eén adreslijstsynchronisatieserver met Azure AD-Verbinding makenOne directory synchronization server running Azure AD Connect

Hier is de configuratie, met namen van tijdelijke aanduidingen voor elke server.Here is the configuration, with placeholder names for each server.

Een federatief hoge beschikbaarheid van verificatie voor Microsoft 365-infrastructuur in AzureA high availability federated authentication for Microsoft 365 infrastructure in Azure

De uiteindelijke configuratie van de hoge beschikbaarheid Microsoft 365 federatief verificatie-infrastructuur in Azure

Alle virtuele machines maken deel uit van één lokaal virtueel Azure-netwerk (VNet).All of the virtual machines are in a single cross-premises Azure virtual network (VNet).

Notitie

Federatief verificatie van afzonderlijke gebruikers is niet afhankelijk van on-premises bronnen.Federated authentication of individual users does not rely on any on-premises resources. Als de cross-premises verbinding echter niet beschikbaar wordt, ontvangen de domeincontrollers in het VNet geen updates voor gebruikersaccounts en groepen die zijn gemaakt in de on-premises Active Directory Domain Services (AD DS).However, if the cross-premises connection becomes unavailable, the domain controllers in the VNet will not receive updates to user accounts and groups made in the on-premises Active Directory Domain Services (AD DS). Om ervoor te zorgen dat dit niet gebeurt, kunt u een hoge beschikbaarheid configureren voor uw cross-premises verbinding.To ensure this does not happen, you can configure high availability for your cross-premises connection. Zie Zeer beschikbare cross-premises en VNet-to-VNet-connectiviteit voor meer informatie.For more information, see Highly Available Cross-Premises and VNet-to-VNet Connectivity

Elk paar virtuele machines voor een specifieke rol heeft een eigen subnet en beschikbaarheidsset.Each pair of virtual machines for a specific role is in its own subnet and availability set.

Notitie

Omdat dit VNet is verbonden met het on-premises netwerk, bevat deze configuratie geen jumpbox of het bewaken van virtuele machines op een beheerssubnet.Because this VNet is connected to the on-premises network, this configuration does not include jumpbox or monitoring virtual machines on a management subnet. Zie VM's uitvoeren Windows N-laagarchitectuurvoor meer informatie.For more information, see Running Windows VMs for an N-tier architecture.

Het resultaat van deze configuratie is dat u federatief verificatie hebt voor al uw Microsoft 365-gebruikers, waarin ze hun AD DS-referenties kunnen gebruiken om zich aan te melden in plaats van hun Microsoft 365 account.The result of this configuration is that you will have federated authentication for all of your Microsoft 365 users, in which they can use their AD DS credentials to sign in rather than their Microsoft 365 account. De federatief verificatie-infrastructuur maakt gebruik van een redundante set servers die gemakkelijker kunnen worden geïmplementeerd in Azure-infrastructuurservices, in plaats van in uw on-premises edge-netwerk.The federated authentication infrastructure uses a redundant set of servers that are more easily deployed in Azure infrastructure services, rather than in your on-premises edge network.

Factuur van materialenBill of materials

Voor deze basislijnconfiguratie is de volgende set Azure-services en -onderdelen vereist:This baseline configuration requires the following set of Azure services and components:

  • Zeven virtuele machinesSeven virtual machines

  • Eén cross-premises virtueel netwerk met vier subnettenOne cross-premises virtual network with four subnets

  • Vier resourcegroepenFour resource groups

  • Drie beschikbaarheidssetsThree availability sets

  • Eén Azure-abonnementOne Azure subscription

Hier zijn de virtuele machines en de standaardgrootten voor deze configuratie.Here are the virtual machines and their default sizes for this configuration.

ItemItem Beschrijving van virtuele machineVirtual machine description Afbeelding van azuregalerieAzure gallery image StandaardgrootteDefault size
1.1.
Eerste domeincontrollerFirst domain controller
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2
2.2.
Tweede domeincontrollerSecond domain controller
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2
3.3.
Azure AD Verbinding maken serverAzure AD Connect server
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2
4.4.
Eerste AD FS-serverFirst AD FS server
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2
5.5.
Tweede AD FS-serverSecond AD FS server
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2
6.6.
Eerste proxyserver voor webtoepassingFirst web application proxy server
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2
7.7.
Tweede proxyserver voor webtoepassingSecond web application proxy server
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
D2D2

Als u de geschatte kosten voor deze configuratie wilt berekenen, bekijkt u de Azure-prijsberekeningTo compute the estimated costs for this configuration, see the Azure pricing calculator

ImplementatiefasenPhases of deployment

U implementeert deze werkbelasting in de volgende fasen:You deploy this workload in the following phases:

Deze artikelen bevatten een prescriptieve, fase-voor-fase-handleiding voor een vooraf gedefinieerde architectuur om een functionele federatieve verificatie met hoge beschikbaarheid te maken voor Microsoft 365 in Azure-infrastructuurservices.These articles provide a prescriptive, phase-by-phase guide for a predefined architecture to create a functional, high availability federated authentication for Microsoft 365 in Azure infrastructure services. Houd het volgende in gedachten:Keep the following in mind:

  • Als u een ervaren AD FS-implementer bent, kunt u de instructies in fasen 3 en 4 aanpassen en de set servers maken die het beste bij uw behoeften passen.If you are an experienced AD FS implementer, feel free to adapt the instructions in phases 3 and 4 and build the set of servers that best suits your needs.

  • Als u al een bestaande hybride Azure-cloudimplementatie met een bestaand cross-premises virtueel netwerk hebt, kunt u de instructies in fasen 1 en 2 aanpassen of overslaan en de proxyservers voor AD FS en webtoepassing op de juiste subnetten plaatsen.If you already have an existing Azure hybrid cloud deployment with an existing cross-premises virtual network, feel free to adapt or skip the instructions in phases 1 and 2 and place the AD FS and web application proxy servers on the appropriate subnets.

Als u een dev/testomgeving of een proof-of-concept van deze configuratie wilt maken, zie Federatief identiteit voor uw Microsoft 365 v/testomgeving.To build a dev/test environment or a proof-of-concept of this configuration, see Federated identity for your Microsoft 365 dev/test environment.

Volgende stapNext step

Start de configuratie van deze werkbelasting met Fase 1: Azure configureren.Start the configuration of this workload with Phase 1: Configure Azure.