Idées de solution
Cet article présente une idée de solution. Si vous souhaitez que nous développions le contenu avec d’autres informations, telles que des cas d’usage potentiels, d’autres services, des considérations d’implémentation ou un guide des prix, adressez-nous vos commentaires GitHub.
Cette idée de solution montre comment déployer Azure Virtual Desktop dans un environnement de produit minimum viable (MVP) ou de preuve de concept (PoC) à l’aide des services Microsoft Entra Domain Services (Microsoft Entra Domain Services). Utilisez cette idée pour étendre les identités AD DS locales à plusieurs forêts vers Azure sans connectivité privée et pour prendre en charge l’authentification héritée.
Cas d’usage potentiels
Cette idée de solution s’applique aux fusions et acquisitions, au changement d’image d’une organisation et aux exigences d’identités locales multiples.
Architecture
Téléchargez un fichier Visio de cette architecture.
Dataflow
Les étapes suivantes vous expliquent comment circulent les données dans cette architecture sous la forme d’une identité.
- Les environnements Active Directory locaux hybrides sont présents avec deux forêts Active Directory ou plus. Les domaines résident dans des forêts distinctes, chacun ayant son propre suffixe UPN (User Principal Name). Par exemple, companyA.local avec le suffixe UPN companyA.com, companyB.local avec le suffixe UPN CompanyB.com et un suffixe UPN supplémentaire newcompanyAB.com.
- Plutôt que des contrôleurs de domaine gérés par le client localement ou dans Azure (c’est-à-dire des contrôleurs de domaine Azure IaaS, Infrastructure as a Service), l’environnement utilise les deux contrôleurs de domaine gérés par le cloud fournis par Microsoft Entra Domain Services.
- Microsoft Entra Connect synchronise les utilisateurs de CompanyA.com et CompanyB.com vers un locataire Microsoft Entra, newcompanyAB.onmicrosoft.com. Le compte d’utilisateur est représenté une seule fois dans Microsoft Entra ID et la connectivité privée n’est pas utilisée.
- Les utilisateurs se synchronisent ensuite à partir de Microsoft Entra ID vers Microsoft Entra Domain Services géré en tant que synchronisation unidirectionnelle.
- Un nom de domaine Microsoft Entra Domain Services routable et personnalisé, aadds.newcompanyAB.com, est créé. Le domaine newcompanyAB.com est un domaine enregistré qui prend en charge les certificats LDAP. Il est généralement déconseillé d’utiliser des noms de domaine non-routables (par exemple, contoso.local), car ils peuvent entraîner des problèmes avec la résolution DNS.
- Les hôtes de session Azure Virtual Desktop rejoignent les contrôleurs de domaine Microsoft Entra Domain Services.
- Les pools d’hôtes et les groupes d’applications peuvent être créés dans un abonnement et un réseau virtuel spoke distincts.
- Les utilisateurs sont affectés aux groupes d’applications.
- Les utilisateurs se connectent à l’aide de l’application Azure Virtual Desktop ou du client web avec un UPN au format suivant john@companyA.com, jane@companyB.com ou joe@newcompanyAB.com, selon leur suffixe UPN configuré.
- Les applications ou bureaux virtuels sont présentés à leurs utilisateurs respectifs. Par exemple, les applications ou bureaux virtuels du pool d’hôtes A sont présentés à john@companyA.com, les applications ou bureaux virtuels du pool d’hôtes B sont présentés à jane@companyB et les applications ou bureaux virtuels du pool d’hôtes AB sont présentés à joe@newcompanyAB.
- Le compte de stockage (Azure Files utilisé pour FSLogix) est joint au service AD DS de domaine managé. Les profils d’utilisateurs FSLogix sont créés dans des partages Azure Files.
Remarque
- Pour les exigences de stratégie de groupe dans Microsoft Entra Domain Services, vous pouvez installer des outils de gestion des stratégies de groupe sur une machine virtuelle Windows Server jointe à Microsoft Entra Domain Services.
- Pour étendre l’infrastructure de stratégie de groupe pour Azure Virtual Desktop à partir des contrôleurs de domaine locaux, vous devez l’exporter manuellement et l’importer dans Microsoft Entra Domain Services.
Composants
Vous implémentez cette architecture à l’aide des technologies suivantes :
- Microsoft Entra ID
- Microsoft Entra Domain Services
- Azure Files
- Azure Virtual Desktop
- Réseau virtuel Azure
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Tom Maher | Ingénieur de sécurité et d’identité senior
Étapes suivantes
- Architecture à plusieurs forêts Active Directory avec Azure Virtual Desktop
- Azure Virtual Desktop pour les entreprises
- Topologies Microsoft Entra Connect
- Comparer les différentes options d’identité
- Documentation Azure Virtual Desktop