Banyak organisasi ingin memanfaatkan Azure Virtual Desktop untuk membuat lingkungan yang memiliki beberapa forest Active Directory lokal.
Artikel ini memperluas arsitektur yang dijelaskan dalam artikel Azure Virtual Desktop di skala perusahaan. Ini dimaksudkan untuk membantu Anda memahami cara mengintegrasikan beberapa domain dan Azure Virtual Desktop dengan menggunakan Microsoft Entra Koneksi untuk menyinkronkan pengguna dari Active Directory Domain Services (AD DS) lokal ke ID Microsoft Entra.
Sistem
Unduh file Visio arsitektur ini.
Aliran data
Dalam arsitektur ini, alur identitas berfungsi sebagai berikut:
- Microsoft Entra Koneksi menyinkronkan pengguna dari CompanyA.com dan CompanyB.com ke penyewa Microsoft Entra (NewCompanyAB.onmicrosoft.com).
- Kumpulan host, ruang kerja, dan grup aplikasi dibuat dalam langganan terpisah dan jaringan virtual spoke.
- Pengguna ditetapkan ke dalam grup aplikasi.
- Host sesi Azure Virtual Desktop di kumpulan host bergabung dengan domain CompanyA.com dan CompanyB.com dengan menggunakan pengendali domain (DC) di Azure.
- Pengguna masuk dengan menggunakan aplikasi Azure Virtual Desktop atau klien web dengan Nama Prinsipal Pengguna (UPN) dalam format berikut: user@NewCompanyA.com, , user@CompanyB.comatau user@NewCompanyAB.com, tergantung pada akhiran UPN yang dikonfigurasi.
- Pengguna disajikan dengan desktop atau aplikasi virtual masing-masing. Misalnya, pengguna di CompanyA disajikan dengan desktop virtual atau aplikasi di Ruang Kerja A, kumpulan host 1 atau 2.
- Profil pengguna FSLogix dibuat di Azure Files berbagi di akun penyimpanan yang sesuai.
- Objek Kebijakan Grup (GPO) yang disinkronkan dari lokal diterapkan ke pengguna dan host sesi Azure Virtual Desktop.
Komponen
Arsitektur ini menggunakan komponen yang sama dengan yang tercantum di Azure Virtual Desktop pada arsitektur skala perusahaan.
Selain itu, arsitektur ini menggunakan komponen berikut:
Microsoft Entra Koneksi dalam mode penahapan: Topologi Server penahapan untuk Microsoft Entra Koneksi menyediakan redundansi tambahan untuk instans Microsoft Entra Koneksi.
Langganan Azure, ruang kerja Azure Virtual Desktop, dan kumpulan host: Anda dapat menggunakan beberapa langganan, ruang kerja Azure Virtual Desktop, dan kumpulan host untuk batas administrasi dan persyaratan bisnis.
Detail skenario
Diagram arsitektur ini mewakili skenario umum yang berisi elemen berikut:
- Penyewa Microsoft Entra tersedia untuk perusahaan baru bernama NewCompanyAB.onmicrosoft.com.
- Microsoft Entra Koneksi menyinkronkan pengguna dari AD DS lokal ke ID Microsoft Entra.
- Perusahaan A dan Perusahaan B memiliki langganan Azure terpisah. Mereka juga memiliki langganan layanan bersama, disebut sebagai Langganan 1 dalam diagram.
- Arsitektur azure hub-spoke diimplementasikan dengan jaringan virtual hub layanan bersama.
- Lingkungan Active Directory lokal hibrid kompleks hadir dengan dua atau beberapa forest Direktori Aktif. Domain hidup di hutan yang terpisah, masing-masing dengan sufiks UPN yang berbeda. Misalnya, CompanyA.local dengan akhiran UPN CompanyA.com, CompanyB.local dengan akhiran UPN CompanyB.com, dan akhiran UPN tambahan, NewCompanyAB.com.
- Pengendali domain untuk kedua hutan terletak di lokal dan di Azure.
- Domain terverifikasi ada di Azure untuk CompanyA.com, CompanyB.com, dan NewCompanyAB.com.
- GPO dan autentikasi warisan, seperti Kerberos, NTLM (Windows New Technology LAN Manager), dan LDAP (Lightweight Directory Access Protocol), digunakan.
- Untuk lingkungan Azure yang masih memiliki infrastruktur lokal dependensi, konektivitas privat (VPN situs-ke-situs atau Azure ExpressRoute) disiapkan antara lokal dan Azure.
- Lingkungan Azure Virtual Desktop terdiri dari ruang kerja Azure Virtual Desktop untuk setiap unit bisnis dan dua kumpulan host per ruang kerja.
- Host sesi Azure Virtual Desktop digabungkan ke pengontrol domain di Azure. Artinya, host sesi CompanyA bergabung dengan domain CompanyA.local, dan host sesi CompanyB bergabung dengan domain CompanyB.local.
- Akun penyimpanan Azure dapat menggunakan Azure Files untuk profil FSLogix. Satu akun dibuat per domain perusahaan (yaitu, CompanyA.local dan CompanyB.local), dan akun digabungkan ke domain yang sesuai.
Catatan
Active Directory Domain Services adalah komponen lokal yang dikelola sendiri di banyak lingkungan hibrid, dan Microsoft Entra Domain Services menyediakan layanan domain terkelola dengan subset fitur AD DS tradisional yang sepenuhnya kompatibel seperti gabungan domain, kebijakan grup, LDAP, dan autentikasi Kerberos/NTLM. Untuk perbandingan terperinci dari komponen ini, lihat Membandingkan AD DS yang dikelola sendiri, ID Microsoft Entra, dan Layanan Domain Microsoft Entra terkelola.
Ide solusi Beberapa forest Azure Virtual Desktop menggunakan Microsoft Entra Domain Services membahas arsitektur yang menggunakan Microsoft Entra Domain Services yang dikelola cloud.
Kemungkinan kasus penggunaan
Berikut adalah beberapa kasus penggunaan yang relevan untuk arsitektur ini:
- Merger dan akuisisi, rebranding organisasi, dan beberapa identitas lokal
- Lingkungan direktori aktif lokal yang kompleks (persyaratan multi-forest, multi-domain, kebijakan grup (atau GPO), dan autentikasi warisan)
- Infrastruktur GPO lokal dengan Azure Virtual Desktop
Pertimbangan
Saat Anda merancang beban kerja berdasarkan arsitektur ini, ingatlah ide-ide berikut.
Objek Kebijakan Grup
Untuk memperluas infrastruktur GPO untuk Azure Virtual Desktop, pengendali domain lokal harus disinkronkan ke pengontrol domain infrastruktur sebagai layanan (IaaS) Azure.
Memperluas infrastruktur GPO ke pengontrol domain Azure IaaS memerlukan konektivitas privat.
Jaringan dan Konektivitas
Pengontrol domain adalah komponen bersama, sehingga perlu disebarkan di jaringan virtual hub layanan bersama dalam arsitektur hub-spoke ini.
Host sesi Azure Virtual Desktop bergabung dengan pengontrol domain di Azure melalui peering jaringan virtual hub-spoke masing-masing.
Azure Storage
Pertimbangan desain berikut berlaku untuk kontainer profil pengguna, kontainer cache cloud, dan paket MSIX :
Anda dapat menggunakan Azure Files dan Azure NetApp Files dalam skenario ini. Anda memilih solusi yang tepat berdasarkan faktor-faktor seperti performa yang diharapkan, biaya, dan sebagainya.
Akun penyimpanan Azure dan Azure NetApp Files terbatas untuk bergabung ke satu AD DS satu per satu. Dalam kasus ini, diperlukan beberapa akun penyimpanan Azure atau instans Azure NetApp Files.
Microsoft Entra ID
Dalam skenario dengan pengguna di beberapa forest Active Directory lokal, hanya satu server Microsoft Entra Koneksi Sync yang tersambung ke penyewa Microsoft Entra. Pengecualian untuk ini adalah server Microsoft Entra Koneksi yang digunakan dalam mode penahapan.
Berikut adalah beberapa topologi identitas yang didukung:
- Beberapa hutan Active Directory lokal.
- Satu atau lebih hutan sumber daya mempercayai semua hutan akun.
- Topologi cloud lengkap memungkinkan pengguna dan sumber daya untuk ditempatkan di forest mana pun. Umumnya, ada kepercayaan dua arah di antara forest.
Untuk detail selengkapnya, lihat bagian Server penahapan topologi Microsoft Entra Koneksi.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Tom Maher | Insinyur Keamanan dan Identitas Senior
Langkah berikutnya
Untuk informasi lebih lanjut, baca artikel berikut:
- Topologi Microsoft Entra Koneksi
- Membandingkan berbagai opsi identitas: Active Directory Domain Services (AD DS) yang dikelola sendiri, ID Microsoft Entra, dan Microsoft Entra Domain Services
- Dokumentasi Azure Virtual Desktop