Implantar a autenticação federada de alta disponibilidade para o Microsoft 365 no Azure
Este artigo tem links para as instruções passo a passo para implantar a autenticação federada de alta disponibilidade para o Microsoft 365 nos serviços de infraestrutura do Azure com essas máquinas virtuais:
Dois servidores proxy de aplicativo Web
Dois servidores dos Serviços de Federação do Active Directory (AD FS)
Dois controladores de domínio de réplica
Um servidor de sincronização de diretório executando Microsoft Entra Connect
Aqui está a configuração, com nomes de espaço reservado para cada servidor.
Uma autenticação federada de alta disponibilidade para a infraestrutura do Microsoft 365 no Azure
Todas as máquinas virtuais estão em uma única rede virtual do Azure entre instalações (VNet).
Observação
A autenticação federada de usuários individuais não confia em nenhum recurso local. No entanto, se a conexão entre instalações ficar indisponível, os controladores de domínio na VNet não receberão atualizações para contas de usuário e grupos feitos no Active Directory local Domain Services (AD DS). Para garantir que isso não aconteça, você pode configurar a alta disponibilidade para sua conexão entre instalações. Veja mais informações em Conectividade VNet para VNet e entre instalações altamente disponível
Cada par de máquinas virtuais para uma função específica está em sua própria sub-rede e conjunto de disponibilidade.
Observação
Como esta VNet está conectada à rede local, essa configuração não inclui jumpbox ou monitoramento de máquinas virtuais em uma sub-rede de gerenciamento. Para saber mais, veja Executando VMs do Windows para uma arquitetura de N camadas.
O resultado dessa configuração é que você terá autenticação federada para todos os usuários do Microsoft 365, nos quais eles podem usar suas credenciais do AD DS para entrar em vez de sua conta do Microsoft 365. A infraestrutura de autenticação federada usa um conjunto redundante de servidores que são mais facilmente implantados em serviços de infraestrutura do Azure, em vez de em sua rede de borda local.
Lista de materiais
Essa configuração da linha de base requer o conjunto de serviços do Azure e os componentes a seguir:
Sete máquinas virtuais
Uma rede virtual entre locais com quatro sub-redes
Quatro grupos de recursos
Três conjuntos de disponibilidade
Uma assinatura do Azure
Veja as máquinas virtuais e seus respectivos tamanhos padrão para essa configuração.
| Item | Descrição da máquina virtual | Imagem da galeria do Azure | Tamanho padrão |
|---|---|---|---|
| 1. |
Primeiro controlador de domínio |
Windows Server 2016 Datacenter |
D2 |
| 2. |
Segundo controlador de domínio |
Windows Server 2016 Datacenter |
D2 |
| 3. |
servidor Microsoft Entra Connect |
Windows Server 2016 Datacenter |
D2 |
| 4. |
Primeiro servidor do AD FS |
Windows Server 2016 Datacenter |
D2 |
| 5. |
Segundo servidor do AD FS |
Windows Server 2016 Datacenter |
D2 |
| 6. |
Primeiro servidor proxy de aplicativo Web |
Windows Server 2016 Datacenter |
D2 |
| 7. |
Segundo servidor proxy de aplicativo Web |
Windows Server 2016 Datacenter |
D2 |
Para calcular os custos estimados para essa configuração, veja a Calculadora de preços do Azure.
Fases da implantação
Implante essa carga de trabalho nas seguintes fases:
Fase 1: configurar o Azure. Crie grupos de recursos, contas de armazenamento, conjuntos de disponibilidade e uma rede virtual entre locais.
Fase 2: configurar os controladores de domínio. Criar e configurar os controladores de domínio de réplica e o servidor de sincronização de diretório do AD DS.
Fase 3: configurar servidores do AD FS. Crie e configure os dois servidores do AD FS.
Fase 4: configurar proxies de aplicativo Web. Crie e configure os dois servidores proxy de aplicativo Web.
Fase 5: configurar a autenticação federada para o Microsoft 365. Configure a autenticação federada para sua assinatura do Microsoft 365.
Esses artigos fornecem um guia prescritivo, fase a fase, para uma arquitetura predefinida para criar uma autenticação federada funcional e de alta disponibilidade para o Microsoft 365 nos serviços de infraestrutura do Azure. Lembre-se do seguinte:
Se você for um implementador experiente do AD FS, sinta-se à vontade para adaptar as instruções nas fases 3 e 4 e criar o conjunto de servidores que melhor atenda às suas necessidades.
Se você já tiver uma implantação de nuvem híbrida do Azure com uma rede virtual entre instalações, fique à vontade para adaptar ou ignorar as instruções nas etapas 1 e 2 e coloque os servidores proxy de aplicativo Web e o AD FS nas sub-redes adequadas.
Para criar um ambiente de desenvolvimento/teste ou uma prova de conceito dessa configuração, consulte Identidade federada para seu ambiente de desenvolvimento/teste do Microsoft 365.
Próxima etapa
Inicie a configuração dessa carga de trabalho com Fase 1: Configurar o Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de