Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure

Den här artikeln innehåller länkar till stegvisa instruktioner för distribution av federerad autentisering med hög tillgänglighet för Microsoft Microsoft 365 i Azure-infrastrukturtjänster med dessa virtuella datorer:

  • Två proxyservrar för webbprogram

  • Två AD FS-servrar (Active Directory Federation Services)

  • Två replika domänkontrollanter

  • En katalogsynkroniseringsserver som kör Azure AD Anslut

Här är konfigurationen med platshållarnamn för varje server.

En federerad autentisering med hög tillgänglighet för Microsoft 365 infrastruktur i Azure

Den slutliga konfigurationen av infrastrukturen för Microsoft 365 för federerad autentisering i Azure.

Alla virtuella maskiner finns i ett enda virtuellt Azure-nätverk (VNet).

Anteckning

Federerad autentisering av enskilda användare är inte beroende av några lokala resurser. Men om den tvärlokala anslutningen blir otillgänglig kommer domänkontrollanterna i det virtuella nätverket inte att få uppdateringar för användarkonton och grupper som gjorts i ad ds (Active Directory Domain Services) lokalt. Du kan se till att det inte sker genom att konfigurera hög tillgänglighet för den lokala anslutningen. Mer information finns i Mycket tillgänglig, tvärlokal anslutning och VNet-till-VNet-anslutning

Varje par virtuella maskiner för en viss roll är i en egen undernät och tillgänglighetsuppsättning.

Anteckning

Eftersom det här VNet är anslutet till det lokala nätverket inkluderar den här konfigurationen inte jumpbox eller övervakning av virtuella maskiner på ett hanteringsundernät. Mer information finns i Köra Windows virtuella maskiner för en N-nivåarkitektur.

Resultatet av den här konfigurationen är att du har federerad autentisering för alla dina Microsoft 365-användare, där de kan använda sina AD DS-autentiseringsuppgifter för att logga in i stället för sitt Microsoft 365 konto. Den externa autentiseringsinfrastrukturen använder en redundant uppsättning servrar som enklare distribueras i Azure-infrastrukturtjänster, i stället för i ditt lokala gränsnätverk.

Strukturlista

Den här baslinjekonfigurationen kräver följande uppsättning Azure-tjänster och -komponenter:

  • Sju virtuella datorer

  • Ett virtuellt korslokalt nätverk med fyra undernät

  • Fyra resursgrupper

  • Tre tillgänglighetsuppsättningar

  • En Azure-prenumeration

Här är de virtuella maskinerna och deras standardstorlekar för den här konfigurationen.

Objekt Beskrivning av virtuell dator Azure-galleribild Standardstorlek
1.
Första domänkontrollanten
Windows Server 2016 Datacenter
D2
2.
Andra domänkontrollanten
Windows Server 2016 Datacenter
D2
3.
Azure AD Anslut server
Windows Server 2016 Datacenter
D2
4.
First AD FS server
Windows Server 2016 Datacenter
D2
5.
Second AD FS server
Windows Server 2016 Datacenter
D2
6.
First web application proxy server
Windows Server 2016 Datacenter
D2
7.
Andra webbprogramproxyservern
Windows Server 2016 Datacenter
D2

Information om hur du beräknar de uppskattade kostnaderna för den här konfigurationen finns i Azure-priskalkylatorn

Faser i distributionen

Du distribuerar arbetsbelastningen i följande faser:

De här artiklarna innehåller en vägledning för fas för fas för en fördefinierad arkitektur för att skapa en funktionell, federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure-infrastrukturtjänster. Tänk på följande:

  • Om du är en erfaren AD FS-implementerare kan du anpassa instruktionerna i fas 3 och 4 och bygga den uppsättning servrar som bäst passar dina behov.

  • Om du redan har en befintlig Azure-hybridmolndistribution med ett befintligt virtuellt korslokalt nätverk kan du anpassa eller hoppa över instruktionerna i faserna 1 och 2 och placera AD FS- och webbprogramproxyservrarna på lämpliga undernät.

Information om hur du skapar en utvecklings-/testmiljö eller ett koncepttest för den här konfigurationen finns i Federerad identitet för Microsoft 365 utvecklings-/testmiljö.

Nästa steg

Börja konfigurationen av den här arbetsbelastningen med steg 1: Konfigurera Azure.