Office 365 混合有何共同?

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

在多个 Microsoft 产品中存在的混合-您的本地基础结构可以分支出 Microsoft 云包含资源的想法-概念。混合在 Office 365 中演示,这是工作负载' Exchange Online、 Skype for Business Online和SharePoint Online等的。这些是工作负载,都有一种镜像,或同步,在本地,例如, Skype for Business Online本地同步, Skype for Business Server 2015,并且SharePoint Online有SharePoint Server 2016。

当我介绍Office 365混合在本文的过程中时,我讲述连接这些与选择,以便它们协同工作。所以我们将讨论 SharePoint 混合、 Exchange 混合和 Skype for Business 混合-跨越Office 365和本地-下面的内容。目标是要清除存在的共同技术的基础中的所有这些 Office 365 混合。换言之,我们将列出Office 365混合构建基块。

混合

当我说混合时,我的意思技术合作是您拥有或管理与我们我们 Microsoft 群中管理您的企业中的合作伙伴应用程序。

此定义跨 Azure 不仅大多数 Office 365 中的工作负荷正常工作。如果您不知道哪些工作负荷,另外,它是运行 Office 365 云平台-Skype for Business Online、 Exchange Online 和 SharePoint Online 上的应用程序是示例。工作负荷是,使其保持从其本地一样,这是有用保留编写和对话获取混乱从不同的方法。

混合外套无论他们在哪里使用,所有资源。

提示: 混合是在 Microsoft,与裁剪新的可能性很多不断发展技术,因此有更多高级给其他人的配置混合部分。混合配置的功能很可能增大,在其中进行更改。

本地中常见的硬件资源

有关此处所说的所有混合都连接到 Office 365 (和 Azure Active Directory-AAD-在后台,因为它是作为目录的 Office 365) internet 客户环境。基础结构听起来可能很难配置。即便什么您可能已经听说过,不需要度中任何术语。实际上,大部分混合工作 (在大多数情况下) 相同的硬件要求相同的方式。

2016 年下面是所有混合都需要的元素。其中操作是可选的我将说这样做。

所有混合都需要这些元素的本地服务器产品、 AAD 连接服务器、 本地 Active Directory、 可选 ADFS 和反向代理服务器。

所有 Office 365 混合工作负载都有很好的以下事项:

  1. (如 SharePoint 服务器场或 Skype for Business 环境中) 一些本地服务器。

  2. Active Directory 本地用户 live 或将托管 (在 S4B 术语) 的位置。

  3. Azure Active Directory 连接 (AAD 连接) 服务器 (这可能会在其自己或其他服务器,如 WA P 组合)。因为 AAD 连接用于同步帐户从本地混合在云中,它是通过同步图标表示。

  4. [可选]反向代理服务器,其在我所有示例中,将为 Web 应用程序代理 (WA P) 服务器。

  5. [可选]您还可以使用 Active Directory 联合身份验证服务器 (或 ADFS)。

注意: 您不需要使用 ADFS。AAD 连接将允许到云复制用户身份旁边的密码同步。但实际上不通过 internet 发送密码。您正在发送的跨 TLS 密码不可逆哈希安全的连接。

混合向导内置每个工作负荷以帮助此外,以便您可以使用所有工具 (无论他们保存在哪里) 随意使用您的云合作伙伴。

如果您没有 ADFS,有无法规遵从性要求需要它,并不需要额外的复杂程度越高,不使用它。AAD 连接旨在获取完成的作业 (并复制间隔为向下从大约 3 小时为 30 分钟,这是一个很有帮助的改进使)。

许多大型公司有一些这些服务器。许多 Active Directory 域控制器,或者可能具有 ADFS 服务器。如果您正在考虑设置混合,您可能希望与其他管理员,以了解已有哪些本地资源就地检查。它将帮助您确定您是否要使用现有基础结构,或新建。

这些服务器做什么?

如果您已经知道这些服务器执行跳过此部分。

大多数人是习惯于操作的 Active Directory (AD)-如何枚举用户和域或林等)-在对象和对于混合,它是开始基将被复制到 Microsoft 云的用户。同步 (AAD 连接)、 ADFS,和 WA P (我们反向代理服务器的示例) 作业略更高版本,,因此我们处理混合 HTTPS 请求和身份的更多核心谈论的那些。

ADFS

若要查看,Active Directory 联合身份验证服务作业帮助识别另一个混合的两面,并且该我指的是 Office 365 将要了解并信任 ADFS (或 ADFS 群集) 属于验证的公共域名。这样单登录。这意味着,当用户相关联的 UPN 与显示对联机资源进行身份验证,Office 365 将要知道其 UPN 和哪些特定 ADFS 服务器发送到身份验证的用户。当 Heidi@contoso.com 经历 Exchange online 的登录过程时,将 Office 365,以便 ADFS 可以干涉身份验证和或者确认她是谁她索赔,或拒绝她向您的本地人员发送请求。如果网络和配置允许,这可以快速实现。如果您想要利用单一登录,则使用 ADFS: 后用户登录到 ADFS 会话中的,在 ADFS 服务器安静地截获所有其他身份验证提示 (如例如工作负载,之间切换时,会发生此情况),提醒您是仍所说的人的 Office 365。由于某些 IT 部门有合规性或信息安全设置,要求密码保持本地,并且一些不,ADFS 是可选的。

注意: 混合工作量,无论 ADFS 时需要的单一登录,或不符合标准或客户的需求,以移动密码哈希跨 internet 和到外部公司的边缘防火墙目录时才使用。请务必请注意,密码同步处于打开默认情况下,通过 AAD 连接向导在 Exchange 混合。在用户目录 AD ADFS 答复或 ADAM (Active Directory 应用模式)。

反向代理

Web 访问代理服务器是自 2012 R2 发布内置于 Windows Server 操作系统反向代理 (RP)。反向代理代表您出口点行事代表您的服务器场。它具有端的面临 internet 并且知道您的 Office 365 混合部署、 公共域名和端' 所面对 intranet 或外围网络,并且知道您的内部资源 (如您 SharePoint 网站的 URL,例如) 的域名。它截获进入您的企业的所有请求,并使您可以阻止端口、 缩小您将从 Internet 接受和外部网络隐藏内部地址和 Url 的流量。所有 RPs,如网络外部的用户尝试访问资源任何时候都是用于在您的网络的内部服务器代理。

SharePoint 2013 混合使用反向代理服务器等 WA P intercept 入站的通信 (从用户 SPO 进行对本地搜索索引对于搜索联合查询中),但因为 SharePoint 2016 云混合将整个索引放置在云中下, 一代不再需要一个 (这是唯一的原因,为什么它已在关系图中标记可选)。但是,SharePoint 2013 不是唯一位置,您将看到用于 intercept 未经请求来自 internet 的通信反向代理服务器。Skype for Business 2016 使用一个其边缘配置,而 Exchange 2016 使用其边缘和上一个。由于某些情况下需要它,WA P 是可选的。

注释: 

  • 在 SharePoint 混合使用 WA P (2013年联盟混合) 以通过公司的边缘发布 SharePoint 终结点。华盛顿州 P 截获呼叫 spo 要显示在搜索结果中,或项目以显示提供技术支持 BCS 或 SAP 的列表中的文档。在云混合搜索,如果您希望搜索预览 (您将需要通过边缘发布有关 Office Web Apps server 终结点) 搜索结果中仅需要 WA-P。在 Skype for Business,WA P 用于 intercept 即时消息通信和会议将来自公司外部并重定向到 Skype for Business 边缘以进行进一步处理。

  • Exchange 混合利用 AAD 连接过程以为客户选项以自动安装和配置 Exchange 混合使用,降低混合设置时,您将面临的复杂性 ADFS 和 WA P 其混合向导的工具。设置和配置和注册的 ADFS 证书都没有其他混合的工作负荷自动。

同步

我使用的图形显示的 Azure Active Directory 连接的同步。事实上,完成 AAD 连接同步涉及用户和/或用户信息从您的本地和云到正在进行的传输。AAD 连接可以做两件事: 它将用户帐户复制到 Office 365 (复制),并且它可以同步密码信息导入到 Office 365 (实际上它未同步密码,但不可逆哈希表示密码 – 同步)。没有将同步您的密码,但它始终 (复制) 同步您的用户帐户,从 Active Directory (或本地用户目录一些筛选的版本) !

与您的 Active Directory 域而不是 ADFS 的单一登录允许相同登录' 中正常运行的域控制器 AAD 连接配合工作。同一登录意味着,,而不是在一次登录时遇到 ADFS 干预所有提示您会话,您使用相同的密码为 prem 上登录 (并且,可能是,选择该选项以防止自己登录以减少提示的结果导航多个工作负载)。同步 AAD 连接不是可选的。

注释: 

  • 无论混合工作量,所有要求 AAD 连接。在任何情况下需要复制和可选的密码同步到 Office 365 用户 (和其后面是 Azure AD)。

  • 其他的相似点包括 (用于上的相同符号) 的密码同步也要求您已同步的 Active Directory 域中设置复制目录更改,并复制目录更改所有-执行此操作通过 AAD 连接时,使用本地帐户,您需要进行联合身份验证服务,以便 WA P 内部可以解决 ADFS 服务器地址,可用于 SSO ADFS 服务器名称的 DNS A 或 AAAA 主机项。

在常用 Internet 和 Internet 可用混合部件

在 O365 混合和跨 Internet 的内部部署服务器背面是 Microsoft 云,其中-Office 365 的工作负荷-无论您将使用一些熟悉技术。以下是:

  • 公共 DNS 记录

  • 公共证书颁发机构

  • Azure Active Directory (AAD)

  • Office 365 (许可证/sub) 和 Office 365 混合向导

  • 服务器到服务器 (S2S) 信任

  • 快速通道和/或 Internet 流量

  • PowerShell 模块

公共 DNS 注册机构,如 GoDaddy,管理,并允许注册的域的名称。如果您想要使用混合,您需要与公共 (这可能已完成您的大型公司) 的 DNS 注册的域的名称。此域名将被添加到 Office 365,请将验证您拥有您所添加的公共域名。

过去,此公共域名是相同的 Active Directory UPN 附加到混合用户在本地,但切勿在此详细信息。随着 PowerShell 中的 onpremisessecurityidentifier 属性,将映射标识到本地 SID,匹配的用户现有本地 UPN 与 O365 中的已注册的域不再与一次为关键。很多个重要了解您将需要可以证明公共域名拥有,此公共域名将在 Office 365 中注册并且将表示您的 Office 365 状态混合连接任意一侧。

公共证书颁发机构提供了可信 SSL/TLS 证书加密网络流量。在每个工作负荷混合通信发生通过加密连接。您需要从 Internet 上公共证书颁发机构的证书。获取和 SSL/TLS 证书标准做法是: 和大公司,以方便这中没有通常公共证书的过程。在较小的公司可能需要请咨询您的 IT 人员、 Office 365 文档和你的 isp 联系。

注意: 您可能不需要手动应用您的公共证书。Exchange 部署助手 (EDA) 的 Exchange 混合利用 Azure AD Connect 引导您完成此过程,并注册 (应使用 ADFS) 在 ADFS 服务器的证书。EDA 旨在帮助简化日常混合的过程。

Azure Active Directory 或 Azure AD,是在后台时同步 / 将用户从您的本地复制到 Office 365 订阅 (您云本地)。 它是加宽 Azure 中使用完全相同的 Active Directory。强大、、 无缝的融入到 Office 365。您将管理您的用户和此目录中的用户许可证。管理 Office 365 中的许可证未自动完成由任何混合向导。许可证付费客户,以便不会自动做出谁和多少获得许可证的决策。

Office 365 是完全您混合的一半。它有每个工作负荷 online 混合向导。这不是很有效,但这是截至 2016年 (或者换言之,自发布 SharePoint Server 2016、 Exchange Server 2016 和 Skype for Business Server 2015,本地) 混合的工作方式。但这不是在混合配置的所有元素的最简单方法。允许用户选择的工作负荷以使混合部署、 和浏览流程的工作量,以及可以报告所使用的每个混合技术是否正常运行混合命令中心-O365 管理仪表板-每和/或已在位置尚不存在的一个单个混合向导。

这意味着什么?这意味着每个向导相同步骤,并经常多次。每个向导激活 OAuth (S2S 信任),例如 (谈谈 OAuth 更高版本)。某些向导,SharePoint Online 工作负荷混合选取器,安装 OAuth 无论什么按钮您单击 (适用于每个所做的选择),如 OAuth 是否需要为您的混合方案。其他向导,如 Exchange 混合向导中,在背景和仅一次设置 OAuth。

S2S 信任不需要跨 internet,但对于混合,必须信任此。S2S 不信任域或林一样。没有大量端口打开,以创建活动目录之间没有更深入地集成。S2S 生成本地 SharePoint 服务器场和一种 Office 365 云称为访问控制服务或 ACS (授权服务器) 之间的受信任的连接。信任基于签名令牌代表用户,颁发的 SSL/TLS 证书对您的本地和 O365 的 ACS 都同意是否可信-它认为如本地 SharePoint (和其 ACS 代理服务) 之间击掌和 Azure 的 ACS 每个有效用户访问服务。有关用户身份 (此信任的原因) 的通信都通过 HTTP/443 进行。

注意: 与 Azure AD,与 Office 365 有与 Azure 的 ACS 信任。

混合可以使用自签名或公共证书下面所示。许多大型公司将选择其 InfoSec 标准 – 由于公共证书主要是因为流量交叉/可能跨 Internet,而不受信任的段。SharePoint 混合此证书可以新的自签名的证书或从 SP STS 令牌签名证书本地提取的一个。(如果您使用新的证书 (公共或自签名) SharePoint 混合需要替换 SP STS 令牌签名证书 SharePoint 服务器场中的所有节点中。)

混合中的通信离开客户端公司/组织、 交叉 internet,并输入 Microsoft 组织/Microsoft Office 365 云。没有方法可以绕过此段中不受信任和不受控制,和的具有使用第三方提供商基于 Express 路由从您的公司或组织到 Office 365 云。通过提供专用 WAN 连接到 Microsoft 云 express 路由将绕过 internet。但是,务必意识到其中 WAN 会受到影响失败的情况下,备用仍 Internet。

所有混合都利用 PowerShell 模块的管理或配置部分。Microsoft Online Services 登录助手Azure Active Directory Module for Windows PowerShell,也会包括您需要的大多数模块。可以准备服务器配置和管理您提前通过经常安装这些混合使用 PowerShell 模块。

端口和协议共同

混合是 ½ 您在本地和 ½ Office 365 (Azure SaaS 或 PaaS 混合不涉及本文档中)。它是很有可能两个部分运行在 HTTPs,但至少,一半为 100 %https / 加密 TLS 证书,这意味着它在标准端口 443 上运行的 Office 365。您需要确保公共证书都与流量太传出从出口点相关联。也就是说,您将需要执行在您的网络边缘交谈的计算机上安装证书 – 此流量将运行超过 443 和加密。

注意: 如果使用 ADFS,您实际上需要三个证书,其中之一将公开颁发和使用的服务 (它将 live 在 WA P 代理服务器如果您选择使用 ADFS),其中两个将自签名的证书进行 ADFS 安装时,自动续订,遵循的通信,令牌签名和令牌解密用于 ADFS 进行的所有令牌进行签名的证书。但是,除了可选 ADFS 所需的证书,所有混合都需要具有 S2S 证书 (有时称为 S2S ACS 信任的证书,这是太长的名称)。

所有混合将都使用 443 (HTTPS) 和 53 (DNS),默认情况下,为混合通信。一些将使用其他端口,如端口 25 (SMTP)。但在端口的混合工作负载最复杂情况是 Skype for Business。幸运的是,端口是记录

使用 (除了基准用于 DNS 查找、 HTTPS 流量、 SMTP 和其他标准) 的所有混合的脱颖而出协议是 OAuth (打开授权),还都可在 Active Directory 身份验证库中。在一侧的连接的服务器资源有行事代表用户访问资源在另一个服务器上,通常情况下,在云中使用它。它是一的种依据的用户访问文件或资源级别可以相符身份验证的用户。这也称为现代身份验证 (尽管 OAuth 引用授权)。

所有工作负载使用 OAuth/S2S 混合中 (而不对于每个混合功能)。混合向导通常会自动设置此有用的协议。但是,跨 OAuth 状态的无报告给客户,并且没有集中的方式来管理截至 2016年此通用资源的工作负荷是没有统一的这项工作。

在某些情况下,混合向导启用 OAuth 时不需要 (如当 SharePoint 混合选取器开启此 onedrive for Business 重定向到云),或在每个选定的混合选项在向导中 (再次,请参阅 SharePoint 混合选取器),或者甚至在混合选取器中设置自定义脚本之外例如,与云混合搜索。

注意: 您可以考虑为本地和云之间的服务器到服务器 (S2S) 信任混合 lynchpin。它可能有助于请注意,S2S OAuth 其实现 Microsoft 的名称。基础 S2S/OAuth 所有我们工作负载中的身份验证和身份图层,这两种使用声明的身份验证。

在混合 Office 365 中的常见元素的表

现在,我们有公共元素的列表,如下所示:

内容混合工作负载共同具有的

本地硬件

内部部署的应用程序与 Office 365 (例如到 Exchange Online 的 Exchange Server) 中的工作负荷合作伙伴

AAD Connect

反向代理 (如有必要)

ADFS (可选)

Internet 内容

公共 DNS 记录

公共证书颁发机构

Azure Active Directory (AAD 是在 Office 365 中的用户目录)

Office 365 (E1、 E3、 E5 订阅)

Office 365 混合向导

服务器到服务器 (S2S) 信任

端口和协议

HTTPS

DNS

S2S / OAuth

最后,跨所有工作负载目标是以获取混合的用户可以在边界是相同的以便我们可以简化两个最重要的功能执行的操作-了解您的用户身份和她具有允许执行什么她有权查看的信息。

在可选便笺

这些元素的一些被设置为可选,但您如何知道是否需要这些?O365 混合中的某些元素都是真正可选的也不是可选版块:

完全可选-所有 Office 365 的混合

不可选/所需的所有 Office 365 的混合

ADFS

AAD Connect

使用混合内有到灰色区域的其他功能。可能最重要的这些是 S2S 信任 / OAuth。此信任生成的每个混合向导在 Microsoft 内, 创建和信任内置默认情况下,即使它不需要的未来混合到顺序。通过向导转混合时,将会在此功能。但是 (如前面所) 未目前在所有情况下使用。

只要未经请求的请求传入向客户组织数据或信息 (例如,当使用混合 BCS 时发布 Office Web Apps 或 Office Online 服务器文档预览,在搜索, 结果),则需要反向代理服务器 (在我们的示例 WA P)。此外,必要时发布到您的公司,例如当 Exchange 用作 WA P ADFS 代理 (因此,如果您在 Exchange 混合使用 ADFS 您将需要 WA P) DMZ 终结点。

保持一致沟通渠道在 Skype for Business 混合的持续聊天所需的边缘,并且可以用于将 SMTP 流量路由到从 Exchange 混合在外围网络。讨论,ADFS 用于单登录。

必须使用反向代理服务器

可以使用反向代理 (可选)

无需进行反向代理服务器

SharePoint 混合入站的搜索

SharePoint 混合 BCS

Skype for Business 混合

SharePoint 云混合 (云 SSA)

使用 SSO ADFS Exchange 混合

OneDrive for Business 重定向

SharePoint 混合网站功能

SharePoint 混合配置文件重定向

混合 extranet 重定向

有相似的 S2S,如该表中的 SharePoint 服务器中混合配置的表。可以使用 S2S 协议,它用来在一侧的混合连接的服务器资源具有行事代表用户访问资源在云中的另一个服务器上的逻辑建立如下所示的表

必须使用 OAuth 的 SharePoint 混合功能

不使用 OAuth 的 SharePoint 混合功能

混合搜索 (出站 + 入站)

使用搜索预览的云混合搜索 (云 SSA)

混合 Business Connectivity Service (BCS)

混合网站功能

混合配置文件

混合托管元数据

OneDrive for Business 重定向 *

混合 Extranet *

混合配置文件 *

不使用的搜索预览的云混合搜索 (云 SSA)

* SharePoint 混合选取器仍开启 OAuth,但这是为了任何未来的混合配置。

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×