Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure
Den här artikeln innehåller länkar till stegvisa instruktioner för distribution av federerad autentisering med hög tillgänglighet för Microsoft Microsoft 365 i Azure-infrastrukturtjänster med dessa virtuella datorer:
Två proxyservrar för webbprogram
Två AD FS-servrar (Active Directory Federation Services)
Två replika domänkontrollanter
En katalogsynkroniseringsserver som kör Azure AD Anslut
Här är konfigurationen med platshållarnamn för varje server.
En federerad autentisering med hög tillgänglighet för Microsoft 365 infrastruktur i Azure

Alla virtuella maskiner finns i ett enda virtuellt Azure-nätverk (VNet).
Anteckning
Federerad autentisering av enskilda användare är inte beroende av några lokala resurser. Men om den tvärlokala anslutningen blir otillgänglig kommer domänkontrollanterna i det virtuella nätverket inte att få uppdateringar för användarkonton och grupper som gjorts i ad ds (Active Directory Domain Services) lokalt. Du kan se till att det inte sker genom att konfigurera hög tillgänglighet för den lokala anslutningen. Mer information finns i Mycket tillgänglig, tvärlokal anslutning och VNet-till-VNet-anslutning
Varje par virtuella maskiner för en viss roll är i en egen undernät och tillgänglighetsuppsättning.
Anteckning
Eftersom det här VNet är anslutet till det lokala nätverket inkluderar den här konfigurationen inte jumpbox eller övervakning av virtuella maskiner på ett hanteringsundernät. Mer information finns i Köra Windows virtuella maskiner för en N-nivåarkitektur.
Resultatet av den här konfigurationen är att du har federerad autentisering för alla dina Microsoft 365-användare, där de kan använda sina AD DS-autentiseringsuppgifter för att logga in i stället för sitt Microsoft 365 konto. Den externa autentiseringsinfrastrukturen använder en redundant uppsättning servrar som enklare distribueras i Azure-infrastrukturtjänster, i stället för i ditt lokala gränsnätverk.
Strukturlista
Den här baslinjekonfigurationen kräver följande uppsättning Azure-tjänster och -komponenter:
Sju virtuella datorer
Ett virtuellt korslokalt nätverk med fyra undernät
Fyra resursgrupper
Tre tillgänglighetsuppsättningar
En Azure-prenumeration
Här är de virtuella maskinerna och deras standardstorlekar för den här konfigurationen.
| Objekt | Beskrivning av virtuell dator | Azure-galleribild | Standardstorlek |
|---|---|---|---|
| 1. |
Första domänkontrollanten |
Windows Server 2016 Datacenter |
D2 |
| 2. |
Andra domänkontrollanten |
Windows Server 2016 Datacenter |
D2 |
| 3. |
Azure AD Anslut server |
Windows Server 2016 Datacenter |
D2 |
| 4. |
First AD FS server |
Windows Server 2016 Datacenter |
D2 |
| 5. |
Second AD FS server |
Windows Server 2016 Datacenter |
D2 |
| 6. |
First web application proxy server |
Windows Server 2016 Datacenter |
D2 |
| 7. |
Andra webbprogramproxyservern |
Windows Server 2016 Datacenter |
D2 |
Information om hur du beräknar de uppskattade kostnaderna för den här konfigurationen finns i Azure-priskalkylatorn
Faser i distributionen
Du distribuerar arbetsbelastningen i följande faser:
Fas 1: Konfigurera Azure. Skapa resursgrupper, lagringskonton, tillgänglighetsuppsättningar och ett virtuellt nätverk på flera platser.
Fas 2: Konfigurera domänkontrollanter. Skapa och konfigurera replika AD DS-domänkontrollanter och katalogsynkroniseringsservern.
Fas 3: Konfigurera AD FS-servrar. Skapa och konfigurera de två AD FS-servrarna.
Fas 4: Konfigurera proxyprogram för webbprogram. Skapa och konfigurera de två proxyservrarna för webbprogram.
Fas 5: Konfigurera federerad autentisering för Microsoft 365. Konfigurera federerad autentisering för Microsoft 365 prenumeration.
De här artiklarna innehåller en vägledning för fas för fas för en fördefinierad arkitektur för att skapa en funktionell, federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure-infrastrukturtjänster. Tänk på följande:
Om du är en erfaren AD FS-implementerare kan du anpassa instruktionerna i fas 3 och 4 och bygga den uppsättning servrar som bäst passar dina behov.
Om du redan har en befintlig Azure-hybridmolndistribution med ett befintligt virtuellt korslokalt nätverk kan du anpassa eller hoppa över instruktionerna i faserna 1 och 2 och placera AD FS- och webbprogramproxyservrarna på lämpliga undernät.
Information om hur du skapar en utvecklings-/testmiljö eller ett koncepttest för den här konfigurationen finns i Federerad identitet för Microsoft 365 utvecklings-/testmiljö.
Nästa steg
Börja konfigurationen av den här arbetsbelastningen med steg 1: Konfigurera Azure.