Fas 1 med hög tillgänglighet för federerad autentisering: Konfigurera Azure
I den här fasen skapar du resursgrupper, virtuellt nätverk (VNet) och tillgänglighetsuppsättningar i Azure som ska vara värd för de virtuella maskinerna i faserna 2, 3 och 4. Du måste slutföra den här fasen innan du går vidare till Fas 2: Konfigurera domänkontrollanter. Se Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure för alla faser.
Azure måste tillhandahållas med följande grundläggande komponenter:
Resursgrupper
Ett virtuellt Azure-nätverk (VNet) på plats med undernät som värd för virtuella Azure-datorer
Nätverkssäkerhetsgrupper för att utföra undernätsisolering
Tillgänglighetsuppsättningar
Konfigurera Azure-komponenter
Innan du börjar konfigurera Azure-komponenter fyller du i följande tabeller. Skriv ut det här avsnittet och skriv ned den information som behövs eller kopiera avsnittet till ett dokument och fyll i det som behövs för att hjälpa dig med procedurerna för konfiguration av Azure. För inställningarna för VNet fyller du i Tabell V.
| Objekt | Konfigurationsinställning | Beskrivning | Värde |
|---|---|---|---|
| 1. |
VNet-namn |
Ett namn att tilldela till VNet (exempel FedAuthNet). |
|
| 2. |
VNet-plats |
Det regionala Azure-datacenter som kommer att innehålla det virtuella nätverket. |
|
| 3. |
IP-adress för VPN-enhet |
Den offentliga IPv4-adressen till VPN-enhetens gränssnitt på Internet. |
|
| 4. |
VNet-adressutrymme |
Adressutrymmet för det virtuella nätverket. Ta reda på adressutrymmet tillsammans med IT-avdelningen. |
|
| 5. |
Delad IPsec-nyckel |
En slumpmässig alfanumerisk sträng med 32 tecken som används för att autentisera båda sidorna av VPN-anslutningen mellan webbplatser. Arbeta med IT- eller säkerhetsavdelningen för att fastställa det här nyckelvärdet. Alternativt kan du gå till Skapa en slumpmässig sträng för en fördelsnyckel för IPsec. |
|
Tabell V: Konfiguration av virtuellt nätverk på flera platser
Fyll sedan i Tabell S för undernäten för den här lösningen. Alla adress blanksteg ska vara i CIDR-format (Classless Interdomain Routing), även kallat nätverksprefixformat. Ett exempel är 10.24.64.0/20.
För de första tre undernäten anger du ett namn och ett enda IP-adressutrymme baserat på det virtuella nätverksadressutrymmet. För gatewayundernätet bestämmer du 27-bitarsadressutrymmet (med prefixlängden /27) för Azure Gateway-undernätet med följande:
Ange de variabla bitarna i adressutrymmet för VNet till 1, upp till de bitar som används av gatewayundernätet, och ange sedan 0 för återstående bitar.
Konvertera de resulterande bitarna till decimalt och uttryck det som ett adressutrymme med prefixlängden inställd på storleken på gatewayundernätet.
Se Adressutrymmeskalkylatorn för Azure Gateway-undernät för ett PowerShell-kommandoblock och C# eller Python-konsolprogram som utför den här beräkningen åt dig.
Arbeta med IT-avdelningen för att fastställa dessa adressutrymmen från det virtuella nätverksadressutrymmet.
| Objekt | Undernätsnamn | Adressutrymme för undernät | Syfte |
|---|---|---|---|
| 1. |
|
|
Undernätet som används av AD DS-domänkontrollanten (Active Directory Domain Services) och katalogsynkroniseringsserverns virtuella maskiner (VMs). |
| 2. |
|
|
Undernätet som används av AD FS VMs. |
| 3. |
|
|
Undernätet som används av virtuella proxyservrar för webbprogram. |
| 4. |
GatewaySubnet |
|
Undernätet som används av virtuella maskiner för Azure Gateway. |
Tabell S: Undernät i det virtuella nätverket
Fyll sedan i Tabell I för de statiska IP-adresserna som tilldelats virtuella maskiner och belastningsutjämningsinstanser.
| Objekt | Syfte | IP-adress i undernätet | Värde |
|---|---|---|---|
| 1. |
Statisk IP-adress för den första domänkontrollanten |
Den fjärde möjliga IP-adressen för adressutrymmet för undernätet som definierats i objekt 1 i tabell S. |
|
| 2. |
Statisk IP-adress för den andra domänkontrollanten |
Den femte möjliga IP-adressen för adressutrymmet för undernätet som definieras i objekt 1 i Tabell S. |
|
| 3. |
Statisk IP-adress för katalogsynkroniseringsservern |
Den sjätte möjliga IP-adressen för adressutrymmet för undernätet som definierats i objekt 1 i Tabell S. |
|
| 4. |
Statisk IP-adress för den interna belastningsutjämaren för AD FS-servrarna |
Den fjärde möjliga IP-adressen för adressutrymmet för undernätet som definieras i objekt 2 i tabell S. |
|
| 5. |
Statisk IP-adress för den första AD FS-servern |
Den femte möjliga IP-adressen för adressutrymmet för undernätet som definieras i objekt 2 i Tabell S. |
|
| 6. |
Statisk IP-adress för den andra AD FS-servern |
Den sjätte möjliga IP-adressen för adressutrymmet för undernätet som definierats i objekt 2 i Tabell S. |
|
| 7. |
Statisk IP-adress för den första proxyservern för webbprogrammet |
Den fjärde möjliga IP-adressen för adressutrymmet för undernätet som definieras i objekt 3 i Tabell S. |
|
| 8. |
Statisk IP-adress för den andra webbprogramproxyservern |
Den femte möjliga IP-adressen för adressutrymmet för undernätet som definieras i objekt 3 i Tabell S. |
|
Tabell I: Statiska IP-adresser i det virtuella nätverket
För två DNS-servrar (Domain Name System) i det lokala nätverket som du vill använda när du först bestäm om domänkontrollanterna i det virtuella nätverket fyller du i Tabell D. Ta reda på listan tillsammans med IT-avdelningen.
| Objekt | Eget namn för DNS-server | IP-adress för DNS-server |
|---|---|---|
| 1. |
|
|
| 2. |
|
|
Tabell D: Lokala DNS-servrar
Om du vill dirigera paket från det lokala nätverket till organisationens nätverk via VPN-anslutningen mellan webbplatser måste du konfigurera det virtuella nätverket med ett lokalt nätverk som har en lista över adressutrymmena (i CIDR-notation) för alla platser som kan nås i organisationens lokala nätverk. Listan med adressutrymmen som definierar ditt lokala nätverk måste vara unik och får inte överlappa det adressutrymme som används för andra virtuella nätverk eller andra lokala nätverk.
För de lokala nätverksadressutrymmena fyller du i Tabell L. Observera att tre tomma poster visas, men du behöver vanligtvis mer. Ta reda på listan med adressutrymmen tillsammans med IT-avdelningen.
| Objekt | Lokalt nätverksadressutrymme |
|---|---|
| 1. |
|
| 2. |
|
| 3. |
|
Tabell L: Adressprefix för det lokala nätverket
Nu börjar vi bygga Azure-infrastrukturen för din externa autentisering för att Microsoft 365.
Anteckning
Följande kommandouppsättningar använder den senaste versionen av Azure PowerShell. Se Komma igång med Azure PowerShell.
Börja med att Azure PowerShell och logga in på ditt konto.
Connect-AzAccount
Tips
Om du vill skapa PowerShell-kommandoblock som är färdiga att köra baserat på dina anpassade inställningar använder du den här Microsoft Excel konfigurationsarbetsboken.
Hämta ditt prenumerationsnamn med följande kommando.
Get-AzSubscription | Sort Name | Select Name
För äldre versioner av Azure PowerShell ska du använda det här kommandot i stället.
Get-AzSubscription | Sort Name | Select SubscriptionName
Ange din Azure-prenumeration. Ersätt allt inom citattecknen, inklusive < and >-tecknen med rätt namn.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
Skapa sedan de nya resursgrupperna. Om du vill ta reda på en unik uppsättning namn på resursgrupper använder du det här kommandot för att lista de befintliga resursgrupperna.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Fyll i följande tabell för uppsättningen unika resursgruppnamn.
| Objekt | Resursgruppnamn | Syfte |
|---|---|---|
| 1. |
|
Domänkontrollanter |
| 2. |
|
AD FS-servrar |
| 3. |
|
Proxyservrar för webbprogram |
| 4. |
|
Infrastrukturelement |
Tabell R: Resursgrupper
Skapa de nya resursgrupperna med dessa kommandon.
$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
Därefter skapar du det virtuella Azure-nätverket och dess undernät.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix
# Create the virtual network
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers
Därefter skapar du nätverkssäkerhetsgrupper för varje undernät som har virtuella datorer. Om du vill isolera undernät kan du lägga till regler för specifika typer av trafik som tillåts eller nekas till nätverkssäkerhetsgruppen för ett undernät.
# Create network security groups
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
New-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Använd sedan dessa kommandon för att skapa gateways för VPN-anslutningen mellan webbplatser.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Anteckning
Federerad autentisering av enskilda användare är inte beroende av några lokala resurser. Men om den här VPN-anslutningen mellan webbplatser blir otillgänglig kommer domänkontrollanterna på VNet inte att få uppdateringar för användarkonton och grupper som görs i den lokala Active Directory Domain Services. Du kan se till att det inte sker genom att konfigurera hög tillgänglighet för VPN-anslutningen mellan webbplatser. Mer information finns i Mycket tillgänglig, tvärlokal anslutning och VNet-till-VNet-anslutning
Spela sedan in den offentliga IPv4-adressen för Azure VPN-gatewayen för ditt virtuella nätverk från visningen av det här kommandot:
Get-AzPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName
Sedan konfigurerar du din lokala VPN-enhet för att ansluta till Azure VPN-gatewayen. Mer information finns i Konfigurera din VPN-enhet.
För att konfigurera din lokala VPN-enhet behöver du följande:
Den offentliga IPv4-adressen för Azure VPN-gatewayen.
IPsec-fördelade nyckeln för VPN-anslutningen mellan webbplatser (Tabell V - Objekt 5 - Värdekolumnen).
Se sedan till att adressutrymmet i det virtuella nätverket kan nås från ditt lokala nätverk. Det görs vanligtvis genom att lägga till en route som motsvarar det virtuella nätverksadressutrymmet på din VPN-enhet och sedan annonsera den till resten av routningsinfrastrukturen i ditt organisationsnätverk. Ta reda på hur du ska göra det med IT-avdelningen.
Definiera sedan namnen på tre tillgänglighetsuppsättningar. Fyll i Tabell A.
| Objekt | Syfte | Namn på tillgänglighetsuppsättning |
|---|---|---|
| 1. |
Domänkontrollanter |
|
| 2. |
AD FS-servrar |
|
| 3. |
Proxyservrar för webbprogram |
|
Tabell A: Tillgänglighetsuppsättningar
Du behöver dessa namn när du skapar de virtuella maskinerna i faserna 2, 3 och 4.
Skapa de nya tillgänglighetsuppsättningarna med dessa Azure PowerShell kommandon.
$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
Det här är konfigurationen som är ett resultat av att den här fasen har slutförts.
Fas 1: Azure-infrastrukturen för federerad autentisering med hög tillgänglighet för Microsoft 365

Nästa steg
Använd fas 2: Konfigurera domänkontrollanter så att de kan fortsätta konfigurera den här arbetsbelastningen.
Se även
Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure
Federerad identitet för Microsoft 365 utvecklings-/testmiljö