Varios bosques con AD DS, Microsoft Entra ID y Microsoft Entra Domain Services

En esta idea de solución se muestra cómo se puede implementar Azure Virtual Desktop rápidamente en un mínimo producto viable (MVP) o un entorno de prueba de concepto (PoC) con el uso de Microsoft Entra Domain Services (Microsoft Entra Domain Services). Use esta idea tanto para ampliar las identidades de AD DS de varios bosques locales a Azure sin conectividad privada como para admitir la autenticación heredada.

Posibles casos de uso

Esta idea de la solución también se aplica a las fusiones y adquisiciones, a la personalización de marca de la organización y a varios requisitos de identidades locales.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de datos

En los pasos siguientes se muestra cómo fluyen los datos en esta arquitectura en forma de identidad.

1. Existen complejos entornos locales de Active Directory híbridos con dos o más bosques de Active Directory. Los dominios residen en bosques independientes, con sufijos de nombre principal de usuario (UPN) distintos. Por ejemplo, CompanyA.local con el sufijo de UPN CompanyA.com, CompanyB.local con el sufijo de UPN CompanyB.com y el sufijo de UPN adicional newcompanyAB.com.
2. En lugar de usar controladores de dominio administrados por el cliente, ya sea de forma local o en Azure (es decir, controladores de dominio de infraestructura como servicio [IaaS] de Azure), se usan los dos controladores de dominio administrados en la nube que proporciona Microsoft Entra Domain Services.
3. Microsoft Entra Connect sincroniza los usuarios de CompanyA.com y CompanyB.com con el inquilino de Microsoft Entra newcompanyAB.onmicrosoft.com. La cuenta de usuario solo se representa una vez en Microsoft Entra ID y no se usa la conectividad privada.
4. A continuación, los usuarios se sincronizan desde Microsoft Entra ID a Microsoft Entra Domain Services como una sincronización unidireccional.
5. Se crea un nombre de dominio de Microsoft Entra Domain Services personalizado y enrutable, aadds.newcompanyAB.com. El dominio newcompanyAB.com es un dominio registrado para admitir certificados LDAP. Por lo general, recomendamos no usar nombres de dominio no enrutables, por ejemplo, contoso.local, ya que pueden provocar problemas con la resolución de DNS.
6. Los hosts de sesión de Azure Virtual Desktop se unen a los controladores de dominio de Microsoft Entra Domain Services.
7. Los grupos de hosts y los grupos de aplicaciones se pueden crear en una suscripción individual y una red virtual de radio.
8. Los usuarios se asignan a los grupos de aplicaciones.
9. Los usuarios inician sesión o bien mediante la aplicación de Azure Virtual Desktop o el cliente web con un UPN en un formato como john@companyA.com, jane@companyB.como joe@newcompanyAB.com, en función de su sufijo UPN configurado.
10. A los usuarios se les presentan sus respectivas aplicaciones o escritorios virtuales. Por ejemplo, john@companyA.com verá escritorios virtuales o aplicaciones del grupo de hosts A, jane@companyB, escritorios virtuales o aplicaciones del grupo de hosts B y joe@newcompanyAB, escritorios virtuales o aplicaciones del grupo de hosts AB.
11. La cuenta de almacenamiento (Azure Files se usa para FSLogix) está unida a la instancia de AD DS del dominio administrado. Los perfiles de usuario de FSLogix se crean en recursos compartidos de Azure Files.

Componentes

Esta arquitectura se implementa mediante las siguientes tecnologías:

• Microsoft Entra ID
• Servicios de dominio de Microsoft Entra
• Archivos de Azure
• Azure Virtual Desktop
• Azure Virtual Network

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Tom Maher | Ingeniero sénior de seguridad e identidad

Pasos siguientes

• Arquitectura de varios bosques de Active Directory con Azure Virtual Desktop
• Azure Virtual Desktop para empresas
• Topologías de Microsoft Entra Connect
• Compare las diferentes opciones de identidad
• Documentación de Azure Virtual Desktop

Recursos relacionados

• Diseño de arquitectura híbrida
• Varios bosques con AD DS y Microsoft Entra ID