Mnoho organizací chce využít výhod Služby Azure Virtual Desktop k vytváření prostředí, která mají více místní Active Directory doménových struktur.
Tento článek se zaměřuje na architekturu popsanou v článku Azure Virtual Desktop v podnikovém měřítku . Má vám pomoct pochopit, jak integrovat více domén a Azure Virtual Desktop pomocí služby Microsoft Entra Connect k synchronizaci uživatelů z místních služeb Doména služby Active Directory Services (AD DS) do Microsoft Entra ID.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Tok dat
V této architektuře tok identity funguje takto:
- Microsoft Entra Connect synchronizuje uživatele z CompanyA.com i CompanyB.com do tenanta Microsoft Entra (NewCompanyAB.onmicrosoft.com).
- Fondy hostitelů, pracovní prostory a skupiny aplikací se vytvářejí v samostatných předplatných a paprskových virtuálních sítích.
- Uživatelům se přiřadí skupiny aplikací.
- Hostitelé relací služby Azure Virtual Desktop ve fondech hostitelů připojují domény CompanyA.com a CompanyB.com pomocí řadičů domény v Azure.
- Uživatelé se přihlašují pomocí aplikace Azure Virtual Desktop nebo webového klienta s hlavním názvem uživatele (UPN) v následujícím formátu: user@NewCompanyA.com, user@CompanyB.comnebo user@NewCompanyAB.comv závislosti na jejich nakonfigurované příponě hlavního názvu uživatele (UPN).
- Uživatelům se zobrazí příslušná virtuální plocha nebo aplikace. Například uživatelům v CompanyA se zobrazí virtuální plocha nebo aplikace v pracovním prostoru A, fond hostitelů 1 nebo 2.
- Profily uživatelů FSLogix se vytvářejí ve sdílených složkách Azure Files v odpovídajících účtech úložiště.
- Objekty zásad skupiny (GPO), které se synchronizují z místního prostředí, se použijí pro uživatele a hostitele relací služby Azure Virtual Desktop.
Komponenty
Tato architektura používá stejné komponenty jako komponenty uvedené ve službě Azure Virtual Desktop v architektuře na podnikové úrovni.
Tato architektura navíc používá následující komponenty:
Microsoft Entra Connect v pracovním režimu: Přípravný server pro topologie Microsoft Entra Connect poskytuje další redundanci pro instanci Microsoft Entra Connect.
Předplatná Azure, pracovní prostory Azure Virtual Desktopu a fondy hostitelů: Pro hranice správy a obchodní požadavky můžete použít více předplatných, pracovních prostorů Služby Azure Virtual Desktop a fondů hostitelů.
Podrobnosti scénáře
Tento diagram architektury představuje typický scénář, který obsahuje následující prvky:
- Tenant Microsoft Entra je k dispozici pro novou společnost s názvem NewCompanyAB.onmicrosoft.com.
- Microsoft Entra Connect synchronizuje uživatele z místní služby AD DS do Microsoft Entra ID.
- Společnost A a společnost B mají samostatná předplatná Azure. Mají také předplatné sdílených služeb, které se v diagramu označuje jako předplatné 1 .
- Hvězdicová architektura Azure se implementuje s virtuální sítí centra sdílených služeb.
- Komplexní hybridní místní Active Directory prostředí jsou přítomna se dvěma nebo více doménovými strukturami služby Active Directory. Domény jsou živé v samostatných doménových strukturách, z nichž každá má jinou příponu UPN. Například CompanyA.local s příponou UPN CompanyA.com, CompanyB.local s příponou UPN CompanyB.com a další příponou hlavního názvu uživatele ( UPN) NewCompanyAB.com.
- Řadiče domény pro obě doménové struktury se nacházejí místně i v Azure.
- Ověřené domény se nacházejí v Azure pro CompanyA.com, CompanyB.com a NewCompanyAB.com.
- Používá se objekt zásad zásad zabezpečení a starší verze ověřování, jako je Kerberos, NTLM (Windows New Technology LAN Manager) a LDAP (Lightweight Directory Access Protocol).
- Pro prostředí Azure, která stále mají místní infrastrukturu, je mezi místním prostředím a Azure ExpressRoute nastaveno privátní připojení (VPN typu Site-to-Site nebo Azure ExpressRoute).
- Prostředí Služby Azure Virtual Desktop se skládá z pracovního prostoru Služby Azure Virtual Desktop pro každou obchodní jednotku a dva fondy hostitelů na pracovní prostor.
- Hostitelé relací služby Azure Virtual Desktop jsou připojení k řadičům domény v Azure. To znamená, že hostitelé relace CompanyA se připojují k doméně CompanyA.local a hostitelé relace CompanyB se připojují k doméně CompanyB.local.
- Účty Azure Storage můžou používat profily Azure Files for FSLogix. Jeden účet se vytvoří pro každou doménu společnosti (tj. CompanyA.local a CompanyB.local) a účet se připojí k odpovídající doméně.
Poznámka:
Doména služby Active Directory Services je samoobslužná místní komponenta v mnoha hybridních prostředích a Služba Microsoft Entra Domain Services poskytuje spravované doménové služby s podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos/NTLM. Podrobné porovnání těchto komponent najdete v tématu Porovnání samoobslužných služeb AD DS, Microsoft Entra ID a spravovaných služeb Microsoft Entra Domain Services.
Myšlenka řešení Více doménových struktur Azure Virtual Desktopu pomocí služby Microsoft Entra Domain Services popisuje architekturu, která používá cloudovou službu Microsoft Entra Domain Services.
Potenciální případy použití
Tady je několik relevantních případů použití pro tuto architekturu:
- Fúze a akvizice, rebranding organizace a více místních identit
- Složitá místní prostředí služby Active Directory (více doménová struktura, více domén, požadavky zásad skupiny (nebo objekt zásad skupiny) a starší ověřování)
- Místní infrastruktura objektů zásad zásad služby s Využitím služby Azure Virtual Desktop
Důležité informace
Při navrhování úloh na základě této architektury mějte na paměti následující nápady.
Objekty zásad skupiny
Pokud chcete rozšířit infrastrukturu objektů zásad zásad služby Azure Virtual Desktop, měly by se místní řadiče domény synchronizovat s řadiči domény Infrastruktury Azure jako služby (IaaS).
Rozšíření infrastruktury objektů zásad zásad služby na řadiče domény Azure IaaS vyžaduje privátní připojení.
Síť a možnosti připojení
Řadiče domény jsou sdílené komponenty, takže je potřeba je nasadit ve virtuální síti centra sdílených služeb v této hvězdicové architektuře.
Hostitelé relací služby Azure Virtual Desktop se připojují k řadiči domény v Azure přes příslušný partnerský vztah virtuální sítě hvězdicové virtuální sítě.
Azure Storage
Následující aspekty návrhu platí pro kontejnery profilů uživatelů, kontejnery cloudové mezipaměti a balíčky MSIX :
V tomto scénáři můžete použít Soubory Azure i Azure NetApp Files . Zvolíte správné řešení na základě faktorů, jako je očekávaný výkon, náklady atd.
Účty Azure Storage i Azure NetApp Files jsou omezené na připojení k jedné službě AD DS najednou. V těchto případech se vyžaduje více účtů Azure Storage nebo instancí Azure NetApp Files.
Microsoft Entra ID
Ve scénářích s uživateli ve více místní Active Directory doménových strukturách je k tenantovi Microsoft Entra Connect připojen pouze jeden server Microsoft Entra Connect Sync. Výjimkou je server Microsoft Entra Connect, který se používá v pracovním režimu.
Podporují se následující topologie identit:
- Více místní Active Directory doménových struktur.
- Jedna nebo více doménových struktur prostředků důvěřuje všem doménových strukturám účtů.
- Úplná síťová topologie umožňuje uživatelům a prostředkům být v libovolné doménové struktuře. Mezi doménovými strukturami se běžně používají obousměrné vztahy důvěryhodnosti.
Další podrobnosti najdete v části Přípravný server topologií Microsoft Entra Connect.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Tom Maher | Vedoucí technik zabezpečení a identit
Další kroky
Další informace najdete v následujících článcích:
- Topologie Microsoft Entra Connect
- Porovnání různých možností identity: samoobslužné služby Doména služby Active Directory Services (AD DS), ID Microsoft Entra a Microsoft Entra Domain Services
- Dokumentace ke službě Azure Virtual Desktop