Concept de l’environnement hybride : l’idée que votre infrastructure locale peut vous brancher pour inclure des ressources dans Microsoft Cloud-existe dans de nombreux produits Microsoft. Le mode hybride est présent dans Microsoft 365 en raison de « charges de travail » comme Exchange Online, Skype Entreprise Online et SharePoint dans Microsoft 365. Il s’agit de charges de travail qui ont toutes un type de « miroir-image » ou « double », par exemple, Skype Entreprise Online a un fil local, Skype Entreprise Server 2015 et SharePoint dans Microsoft 365 a SharePoint Server 2016.
Lorsque je parle de Microsoft 365 hybrides dans le cadre de cet article, je parle de connexion de ces Twins pour qu’ils fonctionnent ensemble. C’est pourquoi nous allons parler des hybrides SharePoint, des hybrides Exchange et des hybrides Skype entreprise, qui s’étalent sur Microsoft 365 et sur site. L’objectif est de faire clairement le niveau de la technologie commune qui existe dans l’ensemble de ces Microsoft 365 hybrides. En d’autres termes, nous allons énumérer les blocs de construction des hybrides de Microsoft 365.
Environnements hybrides
Lorsque je parle de hybride, j’entends une coopération de technologies que les applications de partenariat vous appartiennent et que vous gérez dans votre entreprise avec celles que nous administrez dans nos Clouds Microsoft.
Ce problème fonctionne non seulement sur Azure, mais la plupart des charges de travail dans Microsoft 365. Si vous ne savez pas ce qu’est une charge de travail, il s’agit d’une application en cours d’exécution sur le Microsoft 365 de la plateforme Cloud (Skype entreprise Online, Exchange Online et SharePoint Online, par exemple). « Workload » est un moyen de garder le contact avec ses équivalents locaux, ce qui permet de rester confus et de rester confus.
Les composants hybrides peuvent utiliser toutes les ressources disponibles, quel que soit l’endroit où ils se trouvent.
Conseil : La technologie hybride est une technologie en perpétuelle évolution de la part de Microsoft, avec de nombreuses nouvelles possibilités de rognage, de sorte qu’il existe certaines parties de la configuration d’un environnement hybride plus avancé pour les autres. Les fonctionnalités de configurations hybrides sont susceptibles d’augmenter et de changer.
Ressources matérielles locaux en commun
Toutes les hybrides dont je parle ici connectent un environnement client sur Internet à Microsoft 365 (et au service Azure Active Directory-AAD) en arrière-plan, car il fait office de répertoire de Microsoft 365 ). L’infrastructure risque de rendre son infrastructure difficile à configurer. Malgré ce que vous pourriez entendre, il n’y a pas d’importance. En fait, la plupart des hybrides fonctionnent de la même manière que pour les mêmes exigences matérielles.
Dans 2016, Voici les éléments requis par tous les hybrides. Lorsque des éléments sont facultatifs, je le dis.
Toutes les charges de travail hybrides Microsoft 365 présentent les avantages suivants :
-
Certains serveurs locaux (par exemple, une batterie de serveurs SharePoint ou un environnement Skype entreprise);
-
Active Directory sur site où les utilisateurs résident ou sont « familiaux » (dans la terminologie de S4B).
-
Un serveur Azure Active Directory Connect (AAD Connect) (qui est en son état ou qui est associé à un autre serveur (par exemple, WA-P). Ce qui est représenté par l’icône « synchroniser », car l’utilisation de AAD Connect est utilisée pour synchroniser les comptes des locaux vers le Cloud dans un environnement hybride.
-
[Facultatif] Un serveur proxy inverse, qui, dans tous mes exemples, sera un serveur proxy d’application Web (WA-P).
-
[Facultatif] Vous pouvez également utiliser le serveur de fédération Active Directory (AD DS).
Remarque : Vous n’avez pas besoin d’utiliser ADFS. La connexion AAD vous permet d’utiliser la synchronisation de mot de passe pour le Cloud, en même temps que la réplication des identités des utilisateurs. Le mot de passe n’est pas envoyé sur Internet. Vous envoyez un hachage non réversible du mot de passe sur une connexion sécurisée TLS.
De plus, les assistants hybrides sont intégrés à chaque charge de travail pour vous aider à créer un partenariat avec votre Cloud afin que vous puissiez utiliser tous les outils à votre disposition (quel que soit l’endroit où ils se trouvent).
Si vous n’avez pas ADFS, ne soyez pas obligé à respecter la réglementation et ne souhaitez pas la complexité supplémentaire, ne l’utilisez pas. La fonction AAD Connect est conçue pour effectuer le travail (et l’intervalle de réplication est inférieur d’environ 3 heures à 30 minutes).
De nombreuses grandes entreprises disposent de certains de ces serveurs. Disposent de plusieurs contrôleurs de domaine Active Directory ou de serveurs ADFS. Si vous envisagez de configurer une connexion hybride, vous souhaiterez peut-être que d’autres administrateurs trouvent les ressources locales déjà présentes. Elle vous aide à déterminer si vous souhaitez utiliser des composants d’infrastructure existants ou nouveau.
Quels sont les serveurs en train de faire ?
Ignorez cette section si vous connaissez déjà ce que fait ces serveurs.
La plupart des personnes sont habituées aux opérations d’Active Directory (AD) : la façon dont elle énumère les utilisateurs et les objets d’un domaine ou d’une forêt (entre autres), et dans le cas de l’environnement hybride, il s’agit d’une base pour les utilisateurs qui seront répliqués sur le Cloud Microsoft. Les tâches de synchronisation (AAD Connect), d’ADFS et de WA-P (notre exemple de proxy inverse) sont un peu plus récentes et de plus en plus centrales pour le traitement des requêtes HTTPs et des identités hybrides, c’est pourquoi nous parlons de celles-ci.
ADF
Pour réviser, le travail des services de fédération Active Directory (AD DS) est d’aider les deux parties hybrides à reconnaître une autre et, par le biais de cela, Microsoft 365 va savoir et approuver le nom de domaine public (ou le cluster ADFS) auquel appartient un nom de domaine public vérifié. Cela permet une authentification unique. Cela signifie que lorsque les utilisateurs disposant d’un UPN associé apparaissent pour s’authentifier auprès de ressources en ligne, Microsoft 365 se familiarisera avec leur nom d’utilisateur principal et le serveur ADFS correspondant pour lui envoyer une authentification. Lorsque Heidi@contoso.com passe par le processus de connexion à Exchange Online, Microsoft 365 envoie une demande à votre local de sorte que l’utilisateur puisse s’authentifier auprès de l’authentification et soit confirmer qu’il est le personne qu’il prétend ou lui refuser. Cela peut se produire rapidement si le réseau et la configuration le permettent. Les services ADFS permettent de tirer parti de l’authentification unique : une fois que les utilisateurs se connectent à une session ADFS, le serveur ADFS intercepte en silence toutes les autres invites d’authentification (comme dans le cas d’un changement de charge de travail, par exemple) pour rappeler Microsoft 365 que vous êtes toujours le personne qui vous dit. Dans la mesure où certains services informatiques disposent de paramètres de conformité ou de sécurité des informations qui requièrent que les mots de passe restent en local, et non, les services ADFS sont facultatifs.
Remarque : Quelle que soit la charge de travail hybride, la fonction ADFS est utilisée uniquement lorsqu’il est nécessaire d’utiliser l’authentification unique ou qu’elle n’est pas conforme aux normes ou que le client a besoin de déplacer un hachage de mot de passe sur Internet et dans un répertoire extérieur au pare-feu de l’entreprise. Il est important de noter que la synchronisation de mot de passe est activée par défaut par l’Assistant Connexion AAD dans Exchange hybrides. Les réponses d’ADFS aux annuaires utilisateurs Active Directory ou ADAM (Active Directory Application Mode).
Proxy inverse
Web Access-proxy est un proxy inverse (RP) qui a été intégré aux systèmes d’exploitation Windows Server depuis la sortie 2012 R2. Un proxy inverse représente votre point de sortie pour agir au nom de votre batterie de serveurs. C’est un’côté’qui fait face à Internet et qui connaît le nom de domaine public de votre Microsoft 365 hybride, et un « côté » qui fait face à votre intranet ou votre réseau de périmètre et qui connaît le nom de domaine de vos ressources internes (comme votre URL de site SharePoint, par exemple). Elle intercepte toutes les demandes envoyées dans votre entreprise et vous permet de bloquer les ports, de limiter le trafic que vous acceptez sur Internet et de masquer les adresses internes et les URL de votre réseau dans le monde extérieur. Comme tous les RPs, il s’agit d’un proxy pour les serveurs internes sur votre réseau lorsque les utilisateurs en dehors du réseau essaient d’accéder à une ressource.
Hybrides SharePoint 2013 utilisez un proxy inverse comme WA-P pour intercepter le trafic entrant (des utilisateurs dans SPO, qui effectue des requêtes sur un index de recherche sur locaux dans le cadre de la Fédération de recherche), mais les hybrides du Cloud SharePoint 2016 placent l’index complet dans le Cloud. la nouvelle génération n’a plus besoin d’une nouvelle génération (c’est la raison pour laquelle elle est marquée comme étant facultative dans les diagrammes). Mais SharePoint 2013 n’est pas le seul endroit où vous verrez un proxy inverse utilisé pour intercepter le trafic non sollicité provenant d’Internet. Skype entreprise 2016 utilise l’une de ses configurations Edge et Exchange 2016 en utilise également une sur son bord. Dans la mesure où certaines situations le nécessitent, WA-P est facultatif.
Remarques :
-
WA-P est utilisé dans les hybrides SharePoint (2013 fédérés hybrides) pour publier un point de terminaison SharePoint par le biais du bord d’une entreprise. WA-P intercepte les appels de SPO pour afficher les documents dans les résultats de recherche, ou les éléments à afficher dans les listes qui sont optimisées par BCS ou SAP. Dans le cadre de la recherche hybride dans le Cloud, le WA-P n’est nécessaire que si vous souhaitez obtenir des aperçus de recherche dans vos résultats de recherche (vous devez publier un point de terminaison pour Office Web Apps Server via le bord). Dans Skype entreprise, WA-P est utilisé pour intercepter les messages instantanés et les téléconférences en dehors de l’entreprise et les rediriger vers le service de messagerie instantanée Skype entreprise pour davantage de traitement.
-
Exchange hybride utilise l’outil connexion AAD au cours de son assistant hybride pour permettre aux clients d’installer et de configurer automatiquement les services ADFS et WA-P pour une utilisation hybride, afin de réduire la complexité de la configuration d’un environnement hybride. Ni le programme d’installation et de configuration, ni l’inscription de certificats ADFS n’est automatique pour les autres charges de travail hybrides.
Synchroniser
Le graphique que j’utilise montre « synchroniser » pour Azure Active Directory Connect. En fait, la synchronisation réalisée par AAD Connect implique le transit en continu des utilisateurs et/ou des informations utilisateur provenant de votre local et dans le Cloud. Le service AAD Connect peut faire deux choses : il réplique les comptes d’utilisateurs dans Microsoft 365 (réplication) et peut synchroniser les informations de mot de passe dans Microsoft 365 (il n’y a pas de synchronisation du mot de passe, mais un hachage non réversible qui représente le mot de passe-synchronisation). Il n’est pas nécessaire de synchroniser votre mot de passe, mais il synchronise toujours (réplique) vos comptes d’utilisateurs à partir d’Active Directory (ou d’une version filtrée de votre annuaire d’utilisateurs local).
La connexion AAD fonctionne avec des contrôleurs de domaine sains dans votre domaine Active Directory pour autoriser la connexion unique au lieu d’utiliser l’authentification unique d’ADFS. Même si vous vous connectez, vous pouvez vous connecter avec le même mot de passe que si ADFS intervient pour toutes les invites de votre session, vous vous connectez avec le même mot de passe que sur locaux (et, de manière présumée, sélectionner l’option de conservation de votre connexion afin de réduire le nombre d’invites qui résultat de la navigation sur plusieurs charges de travail). La connexion AAD pour la synchronisation n’est pas facultative.
Remarques :
-
Quelle que soit la charge de travail hybride, tous requièrent AAD Connect. Dans tous les cas, vous devez disposer d’une réplication et de la synchronisation de mot de passe facultative de vos utilisateurs vers Microsoft 365 (et l’Azure AD derrière).
-
Dans d’autres cas, la synchronisation de mot de passe (utilisée pour la même connexion) nécessite également de définir des modifications de l’annuaire répliqué et de répliquer les modifications de l’annuaire dans les domaines Active Directory qui sont synchronisés : procédez ainsi pour le compte local. utilisé par AAD Connect et que vous avez besoin de faire une entrée d’hôte DNS A ou AAAA pour le nom du service de Fédération d’un serveur ADFS utilisé pour l’authentification unique de sorte que WA-P puisse résoudre l’adresse du serveur ADFS en interne.
Internet et Internet : parties hybrides disponibles en commun
En plus des serveurs locaux dans votre Microsoft 365 hybride et sur Internet est le Cloud de Microsoft, où, quelle que soit la charge de Microsoft 365, vous utiliserez des technologies familières. Il s’agit des éléments suivants :
-
Enregistrements DNS publics
-
Autorités de certification publiques
-
Azure Active Directory (AAD)
-
Microsoft 365 (licences/subs) et Microsoft 365 Assistant hybride
-
Approbation de serveur à serveur (S2S)
-
Acheminement rapide et/ou trafic Internet
-
Modules PowerShell
Les bureaux d’enregistrement DNS publics, tels que GoDaddy, gèrent et permettent d’inscrire les noms de domaine. Si vous souhaitez utiliser la fonction hybride, vous devez inscrire un nom de domaine auprès d’un DNS public (cela peut déjà être fait pour vous dans de grandes entreprises). Ce nom de domaine sera ajouté à Microsoft 365, ce qui permettra également de vérifier que vous êtes propriétaire du nom de domaine public que vous ajoutez.
En règle générale, ce nom de domaine public est identique au nom d’utilisateur principal Active Directory attaché aux utilisateurs hybrides en local, mais ils ne sont pas pris en main sur ce détail. Avec l’introduction de l’attribut « onpremisessecurityidentifier » dans PowerShell, qui mappe l’identité à la clé de registre locale, en faisant correspondre le domaine enregistré dans Microsoft 365 avec le nom d’utilisateur principal des utilisateurs sur-locaux, n’est plus aussi critique qu’il n’en existe une fois. Il est plus important de savoir que vous aurez besoin d’un nom de domaine public que vous pouvez vous présenter, ce nom de domaine public sera enregistré dans Microsoft 365 et représentera votre Microsoft 365 présence de chaque côté de la connexion hybride.
Les autorités de certification publiques vous fournissent des certificats SSL/TLS approuvés pour chiffrer le trafic réseau. Dans chaque charge de travail, la communication hybride intervient sur une connexion chiffrée. Vous aurez besoin d’un certificat provenant d’une autorité de certification publique sur Internet. Les certificats d’utilisation et de cryptage SSL/TLS sont des pratiques standard et il existe généralement des processus de certificat public dans de grandes entreprises pour en faciliter le fonctionnement. Dans les petites entreprises, il est possible que vous deviez consulter votre interlocuteur, Microsoft 365 documentation et votre FAI.
Remarque : Il est possible que vous n’ayez pas besoin d’appliquer vos certificats publics manuellement. L’Assistant Déploiement d’Exchange (EDA) pour Exchange hybride tire parti d’Azure AD Connect pour vous guider dans ce processus et inscrire des certificats pour votre serveur ADFS (si vous utilisez un fichier ADFS). Le EDA est conçu pour vous aider à rationaliser le processus de création hybride.
Azure Active Directory ou Azure AD est en arrière-plan lorsque vous synchronisez/répliquez des utilisateurs de votre abonnement local à votre Microsoft 365 (votre environnement dans le Cloud). Ce service est exactement le même que celui utilisé dans Azure. Puissant et facilement mélangé dans Microsoft 365. Vous gérerez vos utilisateurs et les licences utilisateur dans ce répertoire. La gestion des licences dans le Microsoft 365 n’est pas réalisée automatiquement par un Assistant hybride. Les licences sont le coût de l’argent pour les clients, de sorte que les personnes et le nombre de licences Get ne sont pas créées automatiquement.
Microsoft 365 est entièrement la moitié de votre hybride. Il inclut des assistants hybrides en ligne par charge de travail. Ce n’est pas très efficace, mais c’est la façon dont le fonctionnement hybride fonctionne à partir de 2016 (ou, en d’autres termes, à la publication de SharePoint Server 2016, Exchange Server 2016 et Skype entreprise Server 2015, en local). C’est toutefois le moyen le plus simple de configurer tous les éléments d’un environnement hybride. Un Assistant hybride unique qui permettra aux clients de choisir les charges de travail à rendre hybride et de guider ce processus par charge de travail, ainsi qu’un centre de commandes hybride (tableau de bord d’administration Microsoft 365 ), qui peut signaler si les technologies utilisées par chaque hybride sont saines et/ou déjà en place n’existe pas encore.
Qu’est-ce que cela signifie ? Cela signifie que chaque Assistant effectue les mêmes étapes et souvent plusieurs fois. Chaque assistant active le protocole OAuth (approbation S2S) (par exemple, nous allons parler de OAuth plus tard). Certains assistants, tels que le sélecteur d’environnement hybride de la charge de travail SharePoint Online, s’installent OAuth quel que soit le bouton sur lequel vous cliquez (pour chaque sélection), qu’OAuth soit requis pour votre scénario hybride. D’autres assistants, tels que l’Assistant Exchange hybride, configurent le protocole OAuth en arrière-plan et une seule fois.
Une approbation S2S n’a pas besoin de traverser Internet, mais dans le cas d’une relation hybride, cette approbation doit. Un S2S ne ressemble pas à une approbation de domaine ou de forêt. Il n’y a pas de grand nombre de ports à ouvrir, et aucune intégration plus approfondie ne peut être créée entre les annuaires actifs. S2S crée une connexion approuvée entre votre batterie de serveurs SharePoint locale et une partie du Microsoft 365 Cloud appelé service de contrôle d’accès ou ACS (un serveur d’autorisation). La relation d’approbation repose sur un certificat SSL/TLS qui signe les jetons émis pour le compte des utilisateurs, que votre environnement local et le Microsoft 365 ACS s’engagent à être dignes de confiance : considérez-les comme un cinquième (et le service proxy ACS) et ACS de Azure pour chaque utilisateur valide qui accède au service. La communication sur l’identité des utilisateurs (raison de cette approbation) est accomplie via HTTP/443.
Remarque : À l’instar d’Azure AD, Microsoft 365 dispose d’une confiance avec la fonction ACS de Azure.
Les hybrides peuvent utiliser ici des certificats auto-signés ou publics. De nombreuses grandes entreprises choisissent des certificats publics en raison de leurs normes InfoSec, principalement en raison du fait que le trafic traverse/risque de traverser Internet, segment non fiable. S’il s’agit de SharePoint hybrides, il peut s’agir d’un nouveau certificat auto-signé ou d’une extraction du certificat de signature de jetons du SP STS local. (Si vous avez utilisé un nouveau certificat (public ou auto-signé) dans un environnement hybride SharePoint, vous devez remplacer le certificat de signature de jetons STS du SP sur tous les nœuds de la batterie de serveurs SharePoint.)
Le trafic d’une entreprise hybride quitte une entreprise d’un client, une entreprise, une connexion Internet et entre le Cloud Organization/Microsoft Microsoft 365 Cloud. Il existe un moyen de contourner ce segment non approuvé et non contrôlé, et c’est en utilisant un itinéraire rapide basé sur un fournisseur tiers de votre entreprise ou organisation dans le Cloud Microsoft 365. L’itinéraire rapide ignore Internet en proposant une connexion WAN privée au Cloud Microsoft. Néanmoins, il est important de savoir qu’en cas d’échec, le basculement est toujours Internet.
Tous les hybrides utilisent des modules PowerShell pour des parties de l’ensemble de la gestion ou de la configuration. Les modules dont vous aurez besoin seront probablement inclus dans l' Assistant de connexion de Microsoft Online Serviceset le module Azure Active Directory pour Windows PowerShell. Vous pouvez préparer des serveurs pour la configuration et la gestion de vos hybrides à l’avance en installant ces modules PowerShell fréquemment utilisés.
Communs aux ports et protocoles
Les hybrides sont 1/2 de votre Microsoft 365 et 1/2 (les hybrides Azure SaaS ou PaaS ne sont pas abordés dans ce document). Il est très probable que les deux moitiés s’exécutent sur HTTPs, mais au moins, la moitié de l' Microsoft 365 est d’une durée de 100% https/chiffrée par des certificats TLS, ce qui signifie qu’elle s’exécute via le port standard 443. Vous devez également vous assurer qu’un certificat public est associé au trafic sortant de votre point de sortie. C’est-à-dire que vous devez installer un certificat sur l’ordinateur qui parle de conversation sur le bord de votre réseau, ce trafic sera exécuté sur 443 et sera crypté.
Remarque : Dans le cadre de l’utilisation d’ADFS, vous avez besoin de trois certificats, dont l’un d’eux sera émis publiquement et utilisé pour la communication de services (il sera publié sur votre serveur de messagerie de WA-P si vous choisissez d’utiliser ADFS), deux d’entre eux seront des certificats auto-signés lors de l’installation d’ADFS. , soumis au renouvellement automatique, et sont les certificats de signature de jetons et de déchiffrement de jeton utilisés pour la signature de tous les jetons qu’a ADFS effectue. Outre les certificats requis par un AD FS facultatif, tous les hybrides doivent disposer d’un certificat S2S (parfois appelé certificat d’approbation ACS de S2S, dont le nom est trop long).
Par défaut, tous les hybrides utilisent 443 (HTTPs) et 53 (DNS) pour le trafic hybride. D’autres utiliseront des ports supplémentaires comme le port 25 (SMTP). Toutefois, le cas le plus complexe de charges de travail hybrides pour les ports est Skype entreprise. Heureusement, les ports sont décrits.
Le protocole standout utilisé par tous les hybrides (hormis les tests de performance utilisés pour la recherche DNS, le trafic HTTPs et les autres normes) est OAuth (autorisation d’ouverture), qui est également utilisé dans la bibliothèque d’authentification Active Directory. Elle est utilisée quand une ressource serveur située sur un côté de la connexion doit agir de la part d’un utilisateur pour accéder aux ressources sur un autre serveur, souvent dans le Cloud. C’est un moyen par le biais duquel le niveau d’accès d’un fichier ou d’une ressource peut être utilisé pour l’utilisateur authentifié. Il s’agit également de l’authentification moderne (bien qu’OAuth désigne l’autorisation).
Toutes les charges de travail utilisent OAuth/S2S dans un environnement hybride (mais pas pour chaque fonctionnalité hybride). Les assistants hybrides configurent généralement ce protocole utile. Néanmoins, il n’y a pas d’unification de ces efforts sur les charges de travail, sans rapport avec l’État OAuth au client et sans moyen centralisé de gérer cette ressource universelle à partir d' 2016.
Dans certains cas, les assistants hybrides activent la fonction OAuth lorsque celle-ci n’est pas nécessaire (par exemple, quand le sélecteur d’environnement hybride de SharePoint active la redirection de OneDrive entreprise vers le Cloud) ou lors de chaque sélection d’une option hybride de l’Assistant (de nouveau, voir le sélecteur d’environnement hybride SharePoint) , ou même en dehors du sélecteur d’environnement hybride dans les scripts d’installation personnalisés, par exemple avec la recherche hybride dans le Cloud.
Remarque : Vous pouvez considérer le lynchpin de l’environnement hybride comme une approbation de serveur à serveur (S2S) entre l’environnement local et le Cloud. Il peut être utile de savoir que S2S est le nom de Microsoft pour son implémentation de OAuth. Sous-jacente S2S/OAuth dans toutes nos charges de travail, les couches d’identité et d’identité, qui utilisent l’authentification par revendications.
Tableau des éléments communs dans Microsoft 365 hybrides
Nous disposons maintenant d’une liste d’éléments communs qui ressemble à ce qui suit :
|
Éléments communs aux charges de travail hybrides |
|
|
Matériel locaux |
Applications locales qui s’associent à des charges de travail dans Microsoft 365 (par exemple, Exchange Server vers Exchange Online) Connexion AAD Proxy inverse (si nécessaire) ADFS (facultatif) |
|
Éléments Internet |
Enregistrements DNS publics Autorités de certification publiques Azure Active Directory (AAD est l’annuaire de l’utilisateur dans Microsoft 365 ) Microsoft 365 (E1, E3, E5 abonnements) Microsoft 365 des assistants hybrides Approbation de serveur à serveur (S2S) |
|
Ports et protocoles |
HTTPS DNS S2S/OAuth |
Le plus souvent, quelle que soit la charge de travail, l’objectif est de faire en sorte que les utilisateurs soient les mêmes dans toutes les limites, afin que nous puissions simplifier les deux principales fonctions d’un environnement hybride : Découvrez l’identité de votre utilisateur et ce qu’il est autorisé à faire avec les informations qu’il est autorisé à voir.
Une remarque sur « facultatif ».
Certains de ces éléments sont définis sur « facultatif », mais comment savoir si c’est nécessaire ? Certains éléments dans Microsoft 365 hybrides sont totalement facultatifs ou facultatifs dans le tableau :
|
Entièrement facultatif-tous Microsoft 365 hybrides |
Non facultatif/requis par tous les Microsoft 365 hybrides |
|
ADF |
Connexion AAD |
À l’intérieur d’une hybride de travail, il existe d’autres fonctionnalités qui se trouvent dans une zone grise. Le plus important est probablement l’approbation S2S/OAuth. Cette approbation est conçue par chaque Assistant hybride créé à l’intérieur de Microsoft, et la relation d’approbation est créée par défaut, même si elle n’est pas requise, pour les hybrides d’une plus proche. Lorsque vous alliez hybride via un Assistant, cette fonctionnalité est activée. Or (comme nous l’avons vu plus haut), il n’est pas utilisé pour le moment dans tous les cas.
Un proxy inverse (WA-P dans notre exemple) est requis chaque fois qu’une demande non sollicitée est entrante dans l’organisation du client pour les données ou les informations (par exemple, lors de l’utilisation du BCS hybride, lors de la publication d’Office Web Apps ou d’Office Online Server pour l’aperçu des documents dans la recherche résultats). C’est également nécessaire lors de la publication d’un point de terminaison dans une DMZ de votre entreprise, par exemple lorsque Exchange utilise le serveur de la société avec un proxy ADFS (si vous utilisez les services ADFS dans un environnement Exchange hybride, vous aurez besoin de WA-P).
Des bords sont nécessaires pour maintenir des canaux de communication cohérents pour les discussions en cours dans Skype entreprise hybride et peuvent être utilisés pour acheminer le trafic SMTP vers le réseau à partir d’un périmètre dans un environnement Exchange hybride. Comme indiqué plus haut, le complément ADFS est utilisé pour l’authentification unique.
|
Doit utiliser un proxy inverse |
Possibilité d’utiliser un proxy inverse (facultatif) |
Aucun besoin de proxy inverse |
|
Recherche entrante SharePoint hybride BCS SharePoint hybride Skype Entreprise hybride |
SharePoint Cloud hybride (Cloud SSA) Exchange hybride à l’aide d’ADFS pour l’authentification unique |
Redirection de OneDrive entreprise Fonctionnalités de site hybride SharePoint Redirection des profils SharePoint hybrides Redirection extranet hybride |
Il existe des tables similaires pour S2S, telles que ce tableau pour les serveurs SharePoint dans des configurations hybrides. Les tableaux comme celui-ci peuvent être créés à l’aide de la logique du protocole S2S, qui est utilisée quand une ressource serveur située d’un côté de la connexion hybride doit agir au nom d’un utilisateur pour accéder aux ressources sur un autre serveur dans le Cloud.
|
Fonctionnalités hybrides de SharePoint qui doivent utiliser OAuth |
Fonctionnalités hybrides de SharePoint qui n’utilisent pas OAuth |
|
Recherche hybride (sortant + entrant) Recherche hybride dans le Cloud (Cloud SSA) avec utilisation des aperçus de recherche Service Business Connectivity Service (BCS) hybride Fonctionnalités de site hybride Profils hybrides Métadonnées gérées hybrides |
Redirection OneDrive entreprise * Extranet hybride * Profils hybrides * Recherche hybride dans le Cloud (Cloud SSA) sans utilisation des aperçus de recherche |
* Le sélecteur d’environnement hybride SharePoint doit toujours être activé, mais il s’agit d’une configuration hybride future.
