Office 365 搭配 SSO 與 Azure 虛擬機器時的風險及降低風險方式

 

適用版本: Office 365

上次修改主題的時間: 2015-04-27

摘要:說明在 Azure 虛擬機器上執行 Office 365 目錄整合元件的風險。

我們聽到了您的意見,目前正在整合我們所有的 Office 365 部署內容。在 2015 年 7 月 1 日,本手冊中的所有資訊都會移動到 https://support.office.com/,並且將從 TechNet 移除這些頁面。當您檢閱仍在 TechNet 的內容時,您會發現許多內容有連結指向已在 https://support.office.com/ 的新內容。

若要瀏覽 https://support.office.com/ 上的可用內容,請從商務用 Office 365 - 管理員說明頁面開始。

在 Azure 虛擬機器上執行全部或部分 Office 365 目錄整合元件時的風險,和在內部部署執行這些元件時很像,而且減輕原則也相同。大部分風險是因部分或全部伺服器當機或無法使用而起。

建議您至少使用跟在內部部署執行目錄整合元件時一樣的減輕技術來解決問題。其中包含下列各項:

  • 針對所有部署的角色,部署兩部或兩部以上的 Active Directory Federation Services (AD FS) 伺服器。

  • 準備一套萬一安裝失敗,重新安裝 Azure Active Directory 同步處理工具的計劃

下表列出在虛擬機器上裝載 Office 365 目錄整合元件時必須考量的額外風險和可能減輕方式。所指出的服務衰退等級適用於 Office 365 整合元件主要是在 Azure 作用中的案例。

 

風險 嚴重性 服務衰退 減輕方式

虛擬私人網路 (VPN) 暫時中斷

複寫流量暫時受到影響。

使用者可以繼續登入。

必須部署網路控制站至 Azure。

必須設定 Federation Services 以使用外部 AD FS 端點。

監視內部部署與 Azure 之間的連線。

單一虛擬機器中斷 (AD FS、AD FS Proxy)

沒有影響。

必須採取步驟來還原失敗的虛擬機器。

如果單一虛擬機器無法使用,可以藉由部署伺服器的多個執行個體來減輕影響。

使用「可用性設定集」和「容錯網域」以避免備援執行個體同時受到影響。

單一虛擬機器中斷 (目錄同步處理)

目錄同步處理中斷。

系統在監視目錄同步處理服務時,如果在預設複寫期間未偵測到更新,則預設會傳送電子郵件給租用戶系統管理員。

客戶可以實作更多監視。

多個虛擬機器 (AD FS、AD FS Proxy)

(整個容錯網域或可用性設定組)

嚴重

使用者無法再登入 Office 365。

服務組中的每個伺服器都應該部署至唯一的容錯網域中,以便隔離單一機架失敗的效果。

Azure 資料中心服務中斷

嚴重

使用者無法再登入 Office 365。

Azure 採取數個步驟以確保服務的可用性。如需詳細資訊,請參閱管理虛擬機器的可用性

此外,Azure 也允許部署範圍橫跨多個資料中心,以減輕這類中斷的影響。

強烈建議您確保 VPN 連線每天 24 小時、每週 7 天全時作用中。您將必須像在監視其他站台間網路連線一樣來監視此連線。如果連線無法使用,系統無法繼續複寫目錄至 Azure 中的網域控制站;目錄的變更就不會受到同步處理。如此一來,您的使用者就無法登入。

根據預設,能從網際網路存取到的只有遠端桌面通訊協定 (RDP) 端點,此點使得對網域控制站的遠端桌面存取得以進行。您在設定 VPN 之後,應該停用對網域控制站上 RDP 端點的存取,而改為僅透過 VPN 來管理網域控制站。這樣會封鎖所有從外部對 Azure 中之網域控制站進行的存取。

管理虛擬機器上的網域控制站,類似於管理內部部署網路上的網域控制站。在您開始前,以下是一些基本建議:

  • 不要在非必要的情況下將任何端點公開至網際網路。從組態中移除預設的遠端桌面端點。僅允許透過 VPN 通道來連線到網域控制站。

  • 監視安全性事件日誌,看是否有可疑的登入模式。如需關於如何監視及偵測潛在攻擊的詳細資訊,請參閱<安全性稽核概觀>。

  • 使用增強式密碼原則,這不僅適用於網域帳戶,也適用於 Active Directory 服務復原帳戶。

重要重要事項:
為安全起見,絕對不要在未使用 Proxy 解決方案的情況下,直接將 AD FS 伺服器公開到網際網路上。要發佈 Federation Services,就必須透過 AD FS Proxy 進行。

建議使用針對 Windows Server 作業系統而發行的 Windows Server 安全性產品基準。這些基準與 Microsoft Security Compliance Manager (SCM) 工具搭配使用時,可讓您定義 Windows Server 的自訂基準。如需詳細資訊,請參閱<Microsoft Security Compliance Manager>。

如需關於保護 Windows Server 的詳細資訊,請參閱 Secure Windows Server 2012

 
顯示: