Oplossingsideeën
In dit artikel wordt een oplossingsidee beschreven. Uw cloudarchitect kan deze richtlijnen gebruiken om de belangrijkste onderdelen te visualiseren voor een typische implementatie van deze architectuur. Gebruik dit artikel als uitgangspunt om een goed ontworpen oplossing te ontwerpen die overeenkomt met de specifieke vereisten van uw workload.
Dit oplossingsidee illustreert hoe u Azure Virtual Desktop snel implementeert in een MVP (minimum viable product) of een POC-omgeving (Proof of Concept) met behulp van Microsoft Entra Domain Services. Gebruik dit idee om zowel on-premises AD DS-identiteiten met meerdere forests uit te breiden naar Azure zonder privéconnectiviteit en verouderde verificatie te ondersteunen.
Potentiële gebruikscases
Dit oplossingsidee is ook van toepassing op fusies en overnames, rebranding van organisaties en meerdere vereisten voor on-premises identiteiten.
Architectuur
Een Visio-bestand van deze architectuur downloaden.
Gegevensstroom
De volgende stappen laten zien hoe de gegevens in deze architectuur stromen in de vorm van identiteit.
- Complexe hybride on-premises Active Directory-omgevingen zijn aanwezig, met twee of meer Active Directory-forests. Domeinen bevinden zich in afzonderlijke forests, met afzonderlijke UPN-achtervoegsels (User Principal Name). Bijvoorbeeld CompanyA.local met UPN-achtervoegsel CompanyA.com, CompanyB.local met UPN-achtervoegsel CompanyB.com en een extra UPN-achtervoegsel, newcompanyAB.com.
- In plaats van door de klant beheerde domeincontrollers te gebruiken, on-premises of in Azure (dat wil gezegd, IaaS-domeincontrollers (Infrastructure as a Service), maakt de omgeving gebruik van de twee in de cloud beheerde domeincontrollers die worden geleverd door Microsoft Entra Domain Services.
- Microsoft Entra Connect synchroniseert gebruikers van zowel CompanyA.com alsCompanyB.com met de Microsoft Entra-tenant, newcompanyAB.onmicrosoft.com. Het gebruikersaccount wordt slechts eenmaal weergegeven in de Microsoft Entra-id en de privéconnectiviteit wordt niet gebruikt.
- Gebruikers synchroniseren vervolgens van Microsoft Entra ID naar de beheerde Microsoft Entra Domain Services als een eenrichtingssynchronisatie.
- Er wordt een aangepaste en routeerbare Domeinnaam van Microsoft Entra Domain Services, aadds.newcompanyAB.com, gemaakt. Het newcompanyAB.com domein is een geregistreerd domein dat LDAP-certificaten ondersteunt. Over het algemeen raden we u aan niet-routeerbare domeinnamen, zoals contoso.local, niet te gebruiken, omdat dit problemen met DNS-omzetting kan veroorzaken.
- De Azure Virtual Desktop-sessiehosts nemen deel aan de domeincontrollers van Microsoft Entra Domain Services.
- Hostgroepen en app-groepen kunnen worden gemaakt in een afzonderlijk abonnement en virtueel spoke-netwerk.
- Gebruikers worden toegewezen aan de app-groepen.
- Gebruikers melden zich aan met behulp van de Azure Virtual Desktop-toepassing of de webclient, met een UPN in een indeling zoals john@companyA.com, jane@companyB.comof joe@newcompanyAB.com, afhankelijk van hun geconfigureerde UPN-achtervoegsel.
- Gebruikers krijgen hun respectieve virtuele bureaubladen of apps te zien. Wordt bijvoorbeeld john@companyA.com weergegeven met virtuele bureaubladen of apps in hostgroep A, jane@companyB wordt weergegeven met virtuele bureaubladen of apps in hostgroep B en joe@newcompanyAB wordt gepresenteerd met virtuele bureaubladen of apps in hostgroep AB.
- Het opslagaccount (Azure Files wordt gebruikt voor FSLogix) wordt toegevoegd aan het beheerde domein AD DS. De FSLogix-gebruikersprofielen worden gemaakt in Azure Files-shares.
Notitie
- Voor groepsbeleidsvereisten in Microsoft Entra Domain Services kunt u Hulpprogramma's voor groepsbeleidsbeheer installeren op een virtuele Windows Server-machine die is toegevoegd aan Microsoft Entra Domain Services.
- Als u de infrastructuur voor Groepsbeleid voor Azure Virtual Desktop wilt uitbreiden vanaf de on-premises domeincontrollers, moet u deze handmatig exporteren en importeren in Microsoft Entra Domain Services.
Onderdelen
U implementeert deze architectuur met behulp van de volgende technologieën:
- Microsoft Entra ID
- Microsoft Entra Domain Services.
- Azure Files
- Azure Virtual Desktop
- Azure Virtual Network
Medewerkers
Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.
Hoofdauteur:
- Tom Maher | Senior Beveiligings- en identiteitstechnicus
Volgende stappen
- Architectuur van meerdere Active Directory-forests met Azure Virtual Desktop
- Azure Virtual Desktop voor ondernemingen
- Microsoft Entra Connect-topologieën
- Verschillende identiteitsopties vergelijken
- Documentatie voor Azure Virtual Desktop