Upravit

Více doménových struktur se službou AD DS a Microsoft Entra ID

Azure Virtual Desktop
Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Storage

Mnoho organizací chce využít výhod Služby Azure Virtual Desktop k vytváření prostředí, která mají více místní Active Directory doménových struktur.

Tento článek se zaměřuje na architekturu popsanou v článku Azure Virtual Desktop v podnikovém měřítku . Účelem je pomoct vám pochopit, jak integrovat více domén a Azure Virtual Desktop pomocí microsoft Entra Připojení k synchronizaci uživatelů z místního Doména služby Active Directory Services (AD DS) do Microsoft Entra ID.

Architektura

Diagram znázorňující integraci služby Azure Virtual Desktop se službou Doména služby Active Directory Services

Stáhněte si soubor aplikace Visio s touto architekturou.

Tok dat

V této architektuře tok identity funguje takto:

  1. Microsoft Entra Připojení synchronizuje uživatele z CompanyA.com i CompanyB.com do tenanta Microsoft Entra (NewCompanyAB.onmicrosoft.com).
  2. Fondy hostitelů, pracovní prostory a skupiny aplikací se vytvářejí v samostatných předplatných a paprskových virtuálních sítích.
  3. Uživatelům se přiřadí skupiny aplikací.
  4. Hostitelé relací služby Azure Virtual Desktop ve fondech hostitelů se připojují k doménám CompanyA.com a CompanyB.com pomocí řadičů domény v Azure.
  5. Uživatelé se přihlašují pomocí aplikace Azure Virtual Desktop nebo webového klienta s hlavním názvem uživatele (UPN) v následujícím formátu: user@NewCompanyA.com, user@CompanyB.comnebo user@NewCompanyAB.comv závislosti na jejich nakonfigurované příponě hlavního názvu uživatele (UPN).
  6. Uživatelům se zobrazí příslušná virtuální plocha nebo aplikace. Například uživatelům v CompanyA se zobrazí virtuální plocha nebo aplikace v pracovním prostoru A, fond hostitelů 1 nebo 2.
  7. Profily uživatelů FSLogix se vytvářejí ve sdílených složkách Azure Files v odpovídajících účtech úložiště.
  8. Objekty zásad skupiny (GPO), které se synchronizují z místního prostředí, se použijí pro uživatele a hostitele relací služby Azure Virtual Desktop.

Komponenty

Tato architektura používá stejné komponenty jako komponenty uvedené ve službě Azure Virtual Desktop v architektuře na podnikové úrovni.

Tato architektura navíc používá následující komponenty:

  • Microsoft Entra Připojení v pracovním režimu: Přípravný server pro topologie Microsoft Entra Připojení poskytuje další redundanci pro instanci Microsoft Entra Připojení.

  • Předplatná Azure, pracovní prostory Azure Virtual Desktopu a fondy hostitelů: Pro hranice správy a obchodní požadavky můžete použít více předplatných, pracovních prostorů Služby Azure Virtual Desktop a fondů hostitelů.

Podrobnosti scénáře

Tento diagram architektury představuje typický scénář, který obsahuje následující prvky:

  • Tenant Microsoft Entra je k dispozici pro novou společnost s názvem NewCompanyAB.onmicrosoft.com.
  • Microsoft Entra Připojení synchronizuje uživatele z místní služby AD DS do Microsoft Entra ID.
  • Společnost A a společnost B mají samostatná předplatná Azure. Mají také předplatné sdílených služeb, které se v diagramu označuje jako předplatné 1 .
  • Hvězdicová architektura Azure se implementuje s virtuální sítí centra sdílených služeb.
  • Komplexní hybridní místní Active Directory prostředí jsou přítomna se dvěma nebo více doménovými strukturami služby Active Directory. Domény jsou živé v samostatných doménových strukturách, z nichž každá má jinou příponu UPN. Například CompanyA.local s příponou UPN CompanyA.com, CompanyB.local s příponou UPN CompanyB.com a další příponou hlavního názvu uživatele ( UPN) NewCompanyAB.com.
  • Řadiče domény pro obě doménové struktury se nacházejí místně i v Azure.
  • Ověřené domény se nacházejí v Azure pro CompanyA.com, CompanyB.com a NewCompanyAB.com.
  • Používá se objekt zásad zásad zabezpečení a starší verze ověřování, jako je Kerberos, NTLM (Windows New Technology LAN Manager) a LDAP (Lightweight Directory Access Protocol).
  • Pro prostředí Azure, která stále mají místní infrastrukturu, je mezi místním prostředím a Azure ExpressRoute nastaveno privátní připojení (VPN typu Site-to-Site nebo Azure ExpressRoute).
  • Prostředí Služby Azure Virtual Desktop se skládá z pracovního prostoru Služby Azure Virtual Desktop pro každou obchodní jednotku a dva fondy hostitelů na pracovní prostor.
  • Hostitelé relací služby Azure Virtual Desktop jsou připojení k řadičům domény v Azure. To znamená, že hostitelé relace CompanyA se připojují k doméně CompanyA.local a hostitelé relace CompanyB se připojují k doméně CompanyB.local.
  • Účty úložiště Azure můžou používat profily Azure Files for FSLogix. Jeden účet se vytvoří pro každou doménu společnosti (tj. CompanyA.local a CompanyB.local) a účet se připojí k odpovídající doméně.

Poznámka:

Doména služby Active Directory Services je samoobslužná místní komponenta v mnoha hybridních prostředích a služba Microsoft Entra Domain Services (Microsoft Entra Domain Services) poskytuje spravované doménové služby s podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos/NTLM. Podrobné porovnání těchto komponent najdete v tématu Porovnání samoobslužných služeb AD DS, Microsoft Entra ID a spravovaných služeb Microsoft Entra Domain Services.

Myšlenka řešení Více doménových struktur Azure Virtual Desktopu pomocí služby Microsoft Entra Domain Services popisuje architekturu, která používá cloudovou službu Microsoft Entra Domain Services.

Potenciální případy použití

Tady je několik relevantních případů použití pro tuto architekturu:

Důležité informace

Při navrhování úloh na základě této architektury mějte na paměti následující nápady.

Objekty zásad skupiny

  • Pokud chcete rozšířit infrastrukturu objektů zásad zásad služby Azure Virtual Desktop, měly by se místní řadiče domény synchronizovat s řadiči domény Infrastruktury Azure jako služby (IaaS).

  • Rozšíření infrastruktury objektů zásad zásad služby na řadiče domény Azure IaaS vyžaduje privátní připojení.

Síť a možnosti připojení

  • Řadiče domény jsou sdílené komponenty, takže je potřeba je nasadit ve virtuální síti centra sdílených služeb v této hvězdicové architektuře.

  • Hostitelé relací služby Azure Virtual Desktop se připojují k řadiči domény v Azure přes příslušný partnerský vztah virtuální sítě hvězdicové virtuální sítě.

Azure Storage

Následující aspekty návrhu platí pro kontejnery profilů uživatelů, kontejnery cloudové mezipaměti a balíčky MSIX :

  • V tomto scénáři můžete použít Soubory Azure i Azure NetApp Files . Zvolíte správné řešení na základě faktorů, jako je očekávaný výkon, náklady atd.

  • Účty úložiště Azure i Azure NetApp Files jsou omezené na připojení k jedné službě AD DS najednou. V těchto případech se vyžaduje více účtů úložiště Azure nebo instancí Azure NetApp Files.

Microsoft Entra ID

Ve scénářích s uživateli ve více místní Active Directory doménových strukturách je k tenantovi Microsoft Entra připojen pouze jeden server Microsoft Entra Připojení Sync. Výjimkou je server Microsoft Entra Připojení, který se používá v pracovním režimu.

Diagram znázorňující varianty návrhu pro více doménových struktur Active Directory pro Azure Virtual Desktop

Podporují se následující topologie identit:

  • Více místní Active Directory doménových struktur.
  • Jedna nebo více doménových struktur prostředků důvěřuje všem doménových strukturám účtů.
  • Úplná síťová topologie umožňuje uživatelům a prostředkům být v libovolné doménové struktuře. Mezi doménovými strukturami se běžně používají obousměrné vztahy důvěryhodnosti.

Další podrobnosti najdete v části Přípravný server v topologiích Microsoft Entra Připojení.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

  • Tom Maher | Vedoucí technik zabezpečení a identit

Další kroky

Další informace najdete v následujících článcích: