Date post: | 21-Jul-2015 |
Category: |
Technology |
Upload: | microsoft-technet-france |
View: | 490 times |
Download: | 0 times |
Exchange / Office 365 comment faire un déploiement hybride
Lionel Constantin (Microsoft)
Hakim Taoussi (Nelite) MVP
tech.days 2015#mstechdays
Office 365
Exchange Online
Conclusion
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdaysExchange / Office 365 comment faire un déploiement hybride
Composant Description Remarques
Identity Provider:
Active Directory
Federation Services
(AD FS) ou Shibboleth
pour Office 365
Infrastructure d’authentification avec single
sign-on (SSO); Les utilisateurs finaux
accèdent aux services Office 365 avec leur
identifiant On-premises (non obligatoire
mais conseillé pour Exchange Online)
https://technet.microsoft.com
/en-us/library/jj916641.aspx
Microsoft Online
(MSOL) Tools
MSOL Sign-In Assistant
MSOL Module for Windows PowerShell
(MSOL PS)
http://onlinehelp.microsoft.co
m/fr-fr/office365-
enterprises/ff652560.aspx
Office 365 DirSync ou
FIM Office 365 MA
Synchronisation de l’Active Directory On-
premises avec Office 365
http://technet.microsoft.com/
en-us/library/hh967642.aspx
tech.days 2015#mstechdays
Pour disposer d’un login unifié (SSO), vous avez besoin d’un fournisseur d’identité fédéré tel qu’ADFS
Il faut :
Tous les utilisateurs doivent avoir un UPN d’un domaine enregistré (Pas de “.local” ou similaire)
Vous aurez besoin d’outils de MS Online (MSOL) :
Microsoft Online Services Sign-In Assistant
Microsoft Online Services Module for Windows PowerShell (MSOL PS)
Le Directory Synchronization Tool(DirSync)
La mise en œuvre de DirSync et du trust SSO est typiquement réalisée sur son propre serveur
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
Installer le snap-in MSOL PS sur un serveur local; qui peut être le
même que celui utilise pour DirSync
Configurer la fédération entre Office 365 et ADFS en utilisant MSOL
PS
Ou :
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdaysExchange / Office 365 comment faire un déploiement hybride
Office 365 Built-in Security
Office 365 Customer Controls
Office 365 Independent Verification
and Compliance
24 Hour
Monitored
Physical
Hardware
Isolated
Customer Data
Secure
NetworkEncrypted Data
Automated
operations
Microsoft
security best
practices
Information regarding Office 365
security, privacy, compliance,
transparency, and service
continuity can be found in the
Office 365 Trust Center and in the
document Security in Office 365.
The graphic to the left illustrates all
the security elements of Office 365
(Built-in security features, Security
controls, Scalable security) as well
as all certifications that Office 365
complies to protect data privacy
(ISO 27001, FISMA, HIPAA BAA, EU
Model Clauses and Cloud Security
Alliance)
o The details informations can be
found in Office 365 mapping of
CSA Security, Compliance and
Privacy Cloud Control Matrix
requirements – Document set
and in Multi-Factor
Authentication for Office 365
document
tech.days 2015#mstechdays
Chiffrement des données “at rest” avec Rights Management Services
Facilité à sélectionner les éléments que le client veut chiffrerPeux aussi permettre le chiffrement des emails envoyés à l’extérieur de l’organisationEXO RMS emails peuvent être accédés par les utilisateurs authentifiés depuis Outlook, OWA, ou un téléphone.SPO peut utiliser RMS sur des librairies de documents. Les documents téléchargés héritent des attributs RMS de la librairie.
Exchange / Office 365 comment faire un déploiement hybride
Risque de sécurité
Rogue Admin
Technologie de contournement
RMS, BitLocker, LockBox, Physical Facilitymonitoring
Data Loss Prevention(DLP)
RMS; DLP Stratégies Exchange 2013
Portable volé/perdu BitLocker
BitLockerTéléphone volé/perdu
tech.days 2015#mstechdays
Accès utilisateurs
Exchange / Office 365 comment faire un déploiement hybride
Intégré avec Active Directory, Azure Active Directory et Active Directory Federation Services
Activer des mécanismes d’authentification additionnels:• Authentication forte – y compris par téléphone (acquisition de PhoneFactor)
• Client-Based Access Control based on devices/locations
• Role-Based Access Control (RBAC)
tech.days 2015#mstechdaysExchange / Office 365 comment faire un déploiement hybride
• L’authentification déléguée pour vos services on-premises/cloud
• Active Free/busy, partage de calendriers, suivi de messages & Archive
Online
• OAUTH / DAUTH
Fédération
• Gérer l’ensemble des fonctionnalités Exchange, cloud ou on-premises
depuis une seule interface; Exchange Administration Center
Administration
centralisée
• Déplacement des BAL en ligne et vers Online
• Garde le profil Outlook et les fichiers hors ligne
• Exploite la technologie Mailbox Replication Service (MRS)
Déplacement de
BAL
• Routage authentifié et crypté des mails entre les environnements on-premises et
cloud
• Preserves the internal Exchange messages headers, seamless end user experience
• Support for compliance mail flow scenarios (centralized transport)
Routage de mail
sécurisé
tech.days 2015#mstechdays
Toutes les étapes de configuration dans un seul assistant
Amélioration de la configuration du transport
Activation du MRSProxy
Intégration du support du rôle Edge Transport Server
Logs plus détaillés et plus explicitesExchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
Futur standard
Disponible pour que pour les déploiements SP1
Pour les autres MFG encore utilisé
Requis pour :
http://technet.microsoft.com/fr-fr/library/dn497703(v=exchg.150).aspx
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdaysEXO
On-premises Exchange organization
Existing Exchange
environment
(Exchange 2007
or later)
Users, Contacts & Groups via dirsync
Secure Mail Flow
Office 365
Office 365 Active
Directory
Synchronization
Sharing (free/busy, MailTips, archive, etc.)
Mailbox Data via Mailbox Replication Service (MRS)
Exchange 2013 Client
Access & Mailbox Server
Can I use AADSync?AADSync is designed to simplify the multi-forest process, but it has not yet been validated for Hybrid environments.
Can I have multiple tenants with one on-premises org?
You would be able to go into hybrid with only one, but with proper filtering you could split the on-premises org between two tenants
Common Multi Forest questions
Exchange 2013 RTM
Single Forest Model: Accounts and Mailboxes in single forest
Resource Forest Model: Multiple Account Forests, Single Resource Forest
1:1 relationship between Exchange Organization and single O365 tenant
Exchange 2013 Service Pack 1
Supports multiple Exchange Organizations configured against a single O365 tenant
Multiple forests, each containing accounts and Exchange organizations
Multi-Org Hybrid Support
N:1 relationship between Exchange Organization and single O365 tenant
contoso.com fabrikam.comcontoso.com
Office 365
Hybrid
Office 365
Hybrid Hybrid
R R R
tech.days 2015#mstechdaysExchange / Office 365 comment faire un déploiement hybride
Sign up for
Office 365
Register
your
domains
with Office
365
Deploy
Office 365
Directory
Sync
Install
Exchange
2013 CAS &
MBX Servers
(Edge opt)
Publish the
CAS Server
(Assign SSL
certificate,
firewall
rules)
Run the
Hybrid
Wizard
tech.days 2015#mstechdays
2. Déployer les serveurs Exchange 2013
Installer E2013 MBX et CAS servers
Configurer ExternalUrl
Exchange / Office 365 comment faire un déploiement hybride
E2010 or
2007 Hub
Internet facing site
Intranet site
Exchange 2010
or 2007 Servers
1. Préparation
Installer Exchange SP et/ou les MAJ à travers ORG
Préparer le schéma AD pour E2013
4. Publier les services Exchange
Créer les enregistrements DNS publique (A) pour EWS
et SMTP
Exécuter Remote Connectivity Analyzer
5. Basculer autodiscover vers E2013 CAS
6. Exécutez Hybrid Configuration Wizard
E2013
CAS
3. Déployer le Certificat
Déployer le certificat publique sur les serveurs E2013
MBX et CAS
Clientsautodiscover.contoso.com
mail.contoso.com
1 2
3
45
6
E2010 or
2007 CAS
E2010
or 2007
MBX
E2013
MBX
SP/RU
SP/RU
Office 365
7. Déplacer les BAL
EWS
SMTP
7
tech.days 2015#mstechdays
2. Déployer les serveurs Exchange 2013
Installer E2013 MBX et CAS servers
Configurer ExternalUrl
Install E2010 or E2013 EDGE servers
Exchange / Office 365 comment faire un déploiement hybride
E2010 or
2007 Hub
Internet facing site
Intranet site
Exchange 2010
or 2007 Servers
1. Préparation
Installer Exchange SP et/ou les MAJ à travers ORG
Préparer le schéma AD pour E2013
4. Publier les services Exchange
E2013
CAS
3. Déployer le Certificat
Déployer le certificat publique sur les serveurs E2013
MBX et CAS & E2010 or E2013 EDGE servers
Clientsautodiscover.contoso.com
mail.contoso.com
1 2
3
4
5
6
E2010 or
2007 CAS
E2010
or 2007
MBX
E2013
MBX
SP/RU
SP/RU
Office 365
EWS
SMTP
E2010
EDGE
7
5. Basculer autodiscover vers E2013 CAS
6. Exécutez Hybrid Configuration Wizard
7. Déplacer les BAL
tech.days 2015#mstechdays
Fichiers de logs de l’assistant de configuration
Vérifier les informations de fédération
Revue des informations OrganizationRelationShips
Dépannages des problèmes de connexions (AutoDiscover…)
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
IMA
P
mig
rati
on
Cu
tover
mig
rati
on
Sta
ged
mig
rati
on
Hyb
rid
Exchange 5.5 X
Exchange 2000 X
Exchange 2003 X X X X*
Exchange 2007 X X X X
Exchange 2010 X X X
Exchange 2013 X X X
Notes/Domino X
GroupWise X
Other X
Mig
rati
on
Hyb
rid
IMAP migrationCouvre large scope de plateforme de mails
Migration des mails uniquement
Cutover Exchange migration
Conviens à des migrations rapide
Pas de MAJ des serveurs On-Premises à prévoir
Staged Exchange migration
Pas de MAJ des serveurs On-Premises à prévoir
Fédération d’identité avec On-premises (DirSync, ADFS)
Déploiement Hybride
Géstion des utilisateurs On-premises and Online
Partage des calendriers, déplacement des BAL et retour arrière facilité.
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdaysExchange / Office 365 comment faire un déploiement hybride
Small Medium Large
Organizational Size in Users
Cutover
Staged
Hybrid
Migration
Solutions
<1 Week 2 Weeks 3 Weeks Several Months
Features
None Mailflow/GalSync Free/Busy, Archive in Cloud
Time For Migration incl. Planning
tech.days 2015#mstechdays
Exchange Administration Center (EAC) est votre seul point d’entré pour la gestion d’Exchange Server 2013 on-premises, Exchange Online tenant, hybride settings et migration des BAL
EAC est disponible à 100% depuis un navigateur, vous pouvez gérer les environnements on-premises et/ou cloud depuis n’importe où
Propose une vue unique de l’ensemble des objets destinataires pour le support (Help-Desk)
Hybride dépend de Office 365 Directory Synchronisation. Cela veut dire que vous créer les nouvelles BAL Office 365 via EAC
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
Tous les scénarios de migration sont supporté depuis Exchange Administration Center
Les déplacements sont depuis on-premises vers le cloud. Vous pouvez programmer les migration depuis le cloud
Tous les scénarios de migration supportent la nouvelle architecture « batch ». Ceci facilite la création et gestion des déplacements multiples.
Comme Exchange 2010, le mode hybride supporte le retour arrière; Cloud vers On-Premises
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
AutoDiscover non configuré ou pas correctement Certificats
SSO ne fonctionnant par correctement
Problèmes de Free/Busy Ajout de plusieurs domaines dans le HCW Format de langue du système d’exploitation Problèmes relatifs à Outlook (non à jour…) Filtrage IP & Firewall
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
Exchange 2013 et Office 365 supportent un grand nombre de scénarios de migration; cutover et hybride
Hybride est maintenant encore plus souple et plus facile à déployer
Exchange Administration Center est votre seule interface pour toutes les taches d’administration Exchange 2013 et Office 365
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdays
Avant toute chose, mettez à jour vos serveurs (ex: Ex2010 SP3 et le dernier RU ) et terminer vos migrations en cours.
Préparer le déploiement des certificats
Déployer le socle commun :
Enfin, mettez en place le mode hybride.
Exchange / Office 365 comment faire un déploiement hybride
tech.days 2015#mstechdaysExchange / Office 365 comment faire un déploiement hybride
Task Details
Deploy DirSync on-premises
Tenants created in Office 365 Need to provision new tenants
Add vanity domains for hybrid Create TXT/CNAME record that Office 365 completes
verification
Activate for vanity domain for DirSync Activate step in the tenant admin experience
Certificates for on-premises AD FS Get necessary certificates for AD FS to work against
Office 365:
SN: sts.<vanitydomain>
SAN: additional sts, one for each vanity domain
DNS records for AD FS Publish A record for <sts.vanitydomain> pointing to
on-premises AD FS