部署案例:在 Azure 中部署的 Office 365 目錄整合元件

 

適用版本: Office 365

上次修改主題的時間: 2015-04-27

摘要:說明將目錄整合元件部署在 Azure 虛擬機器上的 Office 365 部署案例。

我們聽到了您的意見,目前正在整合我們所有的 Office 365 部署內容。在 2015 年 7 月 1 日,本手冊中的所有資訊都會移動到 https://support.office.com/,並且將從 TechNet 移除這些頁面。當您檢閱仍在 TechNet 的內容時,您會發現許多內容有連結指向已在 https://support.office.com/ 的新內容。

若要瀏覽 https://support.office.com/ 上的可用內容,請從商務用 Office 365 - 管理員說明頁面開始。

在 Microsoft Azure 中部署 Office 365 目錄整合元件則是第二個部署案例。對現有的內部部署基礎結構的效果最微弱。但是,部署目錄整合元件較快,因為可以隨選部署 Azure 虛擬機器。此選項可讓您有效地支援 Office 365 同盟識別身分,而不需要在內部部署基礎結構中新增硬體。

建議想要進行目錄整合而且需要靈活線上部署這些元件的客戶使用此案例。客戶也必須可以管理 Azure 與其現有環境的整合。

下圖顯示此案例的高階架構。我們也有文章詳細解說如何在 Microsoft Azure 中部署 Office 365 目錄同步處理

圖 3. 在此案例中,將目錄元件部署於 Azure 的高階架構

在 Azure 中部署的目錄元件

在此拓撲中,客戶在 虛擬機器 上部署及經營 Office 365 目錄整合元件。AD FS 會透過 Azure 中的 AD FS Proxy 發佈到網際網路。用戶端驗證流量 (來自於從任何位置連接的使用者) 會由部署於 Azure 上的 AD FS 伺服器與 Proxy 處理。此拓撲包含 Office 365 目錄整合元件,如下表所示。

 

元件 數量 位置

Active Directory 網域控制站

每個 Active Directory 網域各兩個

Azure

目錄同步處理伺服器

一個

Azure

AD FS 伺服器

兩個以上

Azure

AD FS Proxy

兩個以上

Azure

虛擬私人網路 (VPN) 路由器

一或兩個

客戶公司網路

建議您至少有兩部伺服器來主控所有支援備援的元件,如上表所示。依您的伺服器容量需求,您可能需要更多虛擬伺服器。如需詳細資料,請參閱 AD FS 容量規劃

註記附註:
如果您的樹系包含多個網域,則需要針對每個網域至少將一個網域控制站部署至 Azure,確保服務存取不會中斷。基於備援原因,建議您針對每個 Active Directory 網域使用一對網域控制站。這也會減少周遊 VPN 通道的驗證流量。

我們強烈建議您設定同盟服務,讓內部使用者存取外部 AD FS Proxy 端點,而非內部 AD FS 端點。僅使用外部端點,會移除 VPN 連線做為內部使用者 Office 365 驗證的單一失敗點。僅使用外部端點,也表示使用者可能會有其他驗證提示,因為 AD FS 會將所有驗證要求視為來自網際網路上的使用者。

建議方式的替代方式是透過 VPN 直接或透過使用 DNS 記錄或虛擬 IP 來導向內部 AD FS 流量。這樣會移除其他驗證提示;不過,這不是我們建議的方式,因為它引進 VPN 作為驗證路徑中的單一失敗點。使用 DNS 記錄或虛擬 IP,將允許在 VPN 無法使用時快速補救。如需 VPN 無法使用時之服務容錯移轉的詳細資訊,請參閱部署案例:用於災害復原之 Azure 中的目錄整合元件

 
顯示: