Több erdő az AD DS-vel, a Microsoft Entra ID-val és a Microsoft Entra Domain Services szolgáltatással

Ez a megoldási ötlet bemutatja, hogyan lehet gyorsan üzembe helyezni az Azure Virtual Desktopot egy minimálisan működőképes termékben (MVP) vagy egy megvalósíthatósági igazolási (POC) környezetben a Microsoft Entra Domain Services használatával. Ezzel az ötlettel a helyszíni többerdős Active Directory tartományi szolgáltatások (AD DS) identitásokat is kiterjesztheti az Azure-ra privát kapcsolat nélkül, és támogathatja az örökölt hitelesítést.

Lehetséges használati esetek

Ez a megoldási ötlet az egyesülésekre és felvásárlásokra, a szervezet újraszervezésére és több helyszíni identitásra is vonatkozik.

Architektúra

Töltse le az architektúra Visio-fájlját.

Adatfolyam

Az alábbi lépések bemutatják, hogyan haladnak az adatok ebben az architektúrában identitás formájában.

1. Összetett hibrid helyi Active Directory környezetek találhatók két vagy több Active Directory-erdővel. A tartományok külön erdőkben élnek, külön egyszerű felhasználónévvel (UPN) utótagokkal. Például a CompanyA.local az UPN utótaggal CompanyA.com, a CompanyB.local és az UPN utótag CompanyB.com, valamint egy további UPN-utótag, newcompanyAB.com.
2. Az ügyfél által felügyelt tartományvezérlők használata helyett a környezet a Microsoft Entra Domain Services által biztosított két felhőalapú tartományvezérlőt használja ahelyett, hogy a helyszíni vagy az Azure-beli (azaz az Azure-infrastruktúra szolgáltatáskénti (IaaS-) tartományvezérlőket használnám.
3. A Microsoft Entra Connect szinkronizálja a felhasználókat CompanyA.com és CompanyB.com a Microsoft Entra bérlőjével, newcompanyAB.onmicrosoft.com. A felhasználói fiók csak egyszer jelenik meg a Microsoft Entra-azonosítóban, és a privát kapcsolat nem használatos.
4. A felhasználók ezután szinkronizálódnak a Microsoft Entra-azonosítóról a felügyelt Microsoft Entra Domain Services szolgáltatásba egyirányú szinkronizálásként.
5. Létrejön egy egyéni és módosítható Microsoft Entra Domain Services-tartománynév, aadds.newcompanyAB.com. A newcompanyAB.com tartomány olyan regisztrált tartomány, amely támogatja az LDAP-tanúsítványokat. Általában azt javasoljuk, hogy ne használjon nem módosítható tartományneveket( például contoso.local), mert az problémákat okozhat a DNS-feloldással kapcsolatban.
6. Az Azure Virtual Desktop munkamenet-gazdagépei csatlakoznak a Microsoft Entra Domain Services tartományvezérlőihez.
7. A gazdagépkészletek és alkalmazáscsoportok külön előfizetésben és küllős virtuális hálózaton hozhatók létre.
8. A felhasználók az alkalmazáscsoportokhoz vannak rendelve.
9. A felhasználók az Azure Virtual Desktop-alkalmazással vagy a webes ügyfélalkalmazással jelentkeznek be egy UPN-sel a konfigurált UPN-utótagjuktól függően.john@companyA.comjane@companyB.comjoe@newcompanyAB.com
10. A felhasználók a megfelelő virtuális asztalokkal vagy alkalmazásokkal jelennek meg. Az A gazdagépkészletben például john@companyA.com virtuális asztalok vagy alkalmazások jelennek meg, jane@companyB a B gazdagépkészletben található virtuális asztalok vagy alkalmazások jelennek meg, joe@newcompanyAB pedig az AB gazdagépkészletben található virtuális asztalokkal vagy alkalmazásokkal.
11. A tárfiók (az Azure Files az FSLogixhoz használatos) a felügyelt tartományhoz csatlakozik az AD DS-hez. Az FSLogix felhasználói profilok Azure Files-megosztásokban jönnek létre.

Összetevők

Ezt az architektúrát a következő technológiákkal valósíthatja meg:

• Microsoft Entra ID
• Microsoft Entra Domain Services
• Azure Files
• Azure Virtual Desktop
• Azure Virtual Network

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Tom Maher | Vezető biztonsági és identitásszakértő

Következő lépések

• Több Active Directory-erdő architektúra az Azure Virtual Desktoppal
• Azure Virtual Desktop nagyvállalatoknak
• Microsoft Entra Connect-topológiák
• Különböző identitásbeállítások összehasonlítása
• Az Azure Virtual Desktop dokumentációja

Kapcsolódó erőforrások

• Hibrid architektúra tervezése
• Több erdő AD DS-vel és Microsoft Entra-azonosítóval