Развертывание федеративной проверки подлинности для обеспечения высокой доступности Microsoft 365 в Azure
В этой статье содержатся ссылки на пошаговые инструкции по развертыванию федеративной проверки подлинности с высоким уровнем доступности для Microsoft Microsoft 365 в службах инфраструктуры Azure с помощью следующих виртуальных машин:
два прокси-сервера веб-приложений;
два сервера служб федерации Active Directory (AD FS);
две реплики контроллеров домена;
Один сервер синхронизации каталогов под управлением Microsoft Entra Connect
Ниже приводится конфигурация с именами-заполнителями для каждого сервера.
Федеративная проверка подлинности с высоким уровнем доступности для инфраструктуры Microsoft 365 в Azure
Все виртуальные машины находятся в единой виртуальной сети Azure из распределенного развертывания.
Примечание.
Федеративная проверка подлинности для отдельных пользователей не зависит от локальных ресурсов. Однако если локальное подключение становится недоступным, контроллеры домена в виртуальной сети не будут получать обновления для учетных записей пользователей и групп, выполненных в локальная служба Active Directory Доменные службы (AD DS). Чтобы этого не произошло, настройте высокую доступность для распределенного подключения. Дополнительные сведения см. в статье Высокодоступные подключения между локальными и виртуальными сетями.
Каждая пара виртуальных машин для определенной роли находится в отдельной подсети или группе доступности.
Примечание.
Поскольку эта виртуальная сеть соединена с локальной, в конфигурацию не входят виртуальные машины jumpbox и виртуальные машины наблюдения в подсети управления. Дополнительные сведения см. в статье Запуск виртуальных машин Windows для N-уровневой архитектуры.
В результате такой конфигурации вы получите федеративную проверку подлинности для всех пользователей Microsoft 365, в которой они могут использовать свои учетные данные AD DS для входа, а не свою учетную запись Microsoft 365. Инфраструктура федеративной проверки подлинности включает группу избыточных серверов, которые проще развертывать в службах инфраструктуры Azure, чем в локальной сети периметра.
Перечень компонентов
Для этой базовой конфигурации требуется следующий набор служб Azure и компонентов:
семь виртуальных машин;
одна нелокальная виртуальная сеть с четырьмя подсетями;
четыре группы ресурсов;
три группы доступности;
одна подписка Azure.
Ниже приводится список виртуальных машин, необходимых для данной конфигурации, а также их размеры по умолчанию.
Элемент | Описание виртуальной машины | Изображение коллекции Azure | Размер по умолчанию |
---|---|---|---|
1. |
Первый контроллер домена |
Windows Server 2016 Datacenter |
D2 |
2. |
Второй контроллер домена |
Windows Server 2016 Datacenter |
D2 |
3. |
сервер Microsoft Entra Connect |
Windows Server 2016 Datacenter |
D2 |
4. |
Первый сервер AD FS |
Windows Server 2016 Datacenter |
D2 |
5. |
Второй сервер AD FS |
Windows Server 2016 Datacenter |
D2 |
6. |
Первый прокси-сервер веб-приложений |
Windows Server 2016 Datacenter |
D2 |
7. |
Второй прокси-сервер веб-приложений |
Windows Server 2016 Datacenter |
D2 |
Рассчитать примерные затраты на эту конфигурацию можно с помощью калькулятора цен Azure.
Этапы развертывания
Эта рабочая нагрузка развертывается на следующих этапах:
Этап 1. Настройка Azure. Создание групп ресурсов, учетных записей хранения, групп доступности и нелокальной виртуальной сети.
Этап 2. Настройка контроллеров домена. Создание и настройка реплики контроллеров домена AD DS и сервера синхронизации каталогов.
Этап 3. Настройка серверов AD FS. Создание и настройка двух серверов AD FS.
Этап 4. Настройка прокси-серверов веб-приложений. Создание и настройка двух прокси-серверов веб-приложений.
Этап 5. Настройка федеративной проверки подлинности для Microsoft 365. Настройте федеративную проверку подлинности для подписки На Microsoft 365.
В этих статьях представлено пошаговое руководство по предопределенной архитектуре для создания функциональной федеративной проверки подлинности с высоким уровнем доступности для Microsoft 365 в службах инфраструктуры Azure. Учитывайте следующее:
Если у вас уже есть опыт развертывания AD FS, можете скорректировать инструкции на этапах 3 и 4 и создать группу серверов для своих нужд.
Если у вас уже есть гибридное облачное развертывание Azure с нелокальной виртуальной сетью, можете скорректировать или пропустить инструкции на этапах 1 и 2 и разместить серверы AD FS и прокси-серверы веб-приложений в соответствующих подсетях.
Сведения о создании среды разработки и тестирования или подтверждении концепции этой конфигурации см. в статье Федеративное удостоверение для среды разработки и тестирования Microsoft 365.
Следующий шаг
Начните настройку этой рабочей нагрузки с этапа 1: настройка Azure.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по