Pomysły dotyczące rozwiązań
W tym artykule opisano pomysł rozwiązania. Architekt chmury może użyć tych wskazówek, aby ułatwić wizualizowanie głównych składników dla typowej implementacji tej architektury. Skorzystaj z tego artykułu jako punktu wyjścia, aby zaprojektować dobrze zaprojektowane rozwiązanie zgodne z konkretnymi wymaganiami obciążenia.
Ten pomysł rozwiązania ilustruje, jak szybko wdrożyć usługę Azure Virtual Desktop w minimalnym opłacalnym produkcie (MVP) lub środowisku weryfikacji koncepcji (POC) przy użyciu usług Microsoft Entra Domain Services. Użyj tego pomysłu, aby rozszerzyć lokalne tożsamości usług AD DS z wieloma lasami na platformę Azure bez łączności prywatnej i obsługiwać starsze uwierzytelnianie.
Potencjalne przypadki użycia
Ten pomysł rozwiązania dotyczy również fuzji i przejęć, rebrandingu organizacji i wielu wymagań dotyczących tożsamości lokalnych.
Architektura
Pobierz plik programu Visio z tą architekturą.
Przepływ danych
W poniższych krokach pokazano, jak dane przepływa w tej architekturze w postaci tożsamości.
- Istnieją złożone środowiska hybrydowe lokalna usługa Active Directory z co najmniej dwoma lasami usługi Active Directory. Domeny żyją w oddzielnych lasach z unikatowymi sufiksami głównej nazwy użytkownika (UPN). Na przykład CompanyA.local z sufiksem nazwy UPN CompanyA.com, CompanyB.local z sufiksem nazwy UPN CompanyB.com i dodatkowym sufiksem nazwy UPN newcompanyAB.com.
- Zamiast używać kontrolerów domeny zarządzanych przez klienta, lokalnych lub na platformie Azure (czyli kontrolerów domeny infrastruktury jako usługi (IaaS) platformy Azure, środowisko korzysta z dwóch kontrolerów domeny zarządzanych przez chmurę udostępnianych przez usługi Microsoft Entra Domain Services.
- Program Microsoft Entra Connect synchronizuje użytkowników zarówno z CompanyA.com , jak i CompanyB.com z dzierżawą firmy Microsoft Entra, newcompanyAB.onmicrosoft.com. Konto użytkownika jest reprezentowane tylko raz w identyfikatorze Entra firmy Microsoft, a łączność prywatna nie jest używana.
- Następnie użytkownicy synchronizują się z identyfikatorem Entra firmy Microsoft z zarządzanymi usługami Microsoft Entra Domain Services jako jednokierunkową synchronizacją.
- Zostanie utworzona niestandardowa i routingowa nazwa domeny usług Microsoft Entra Domain Services, aadds.newcompanyAB.com. Domena newcompanyAB.com jest zarejestrowaną domeną, która obsługuje certyfikaty LDAP. Ogólnie zaleca się , aby nie używać nazw domen niezwiązanych z routingiem, takich jak contoso.local, ponieważ może to powodować problemy z rozpoznawaniem nazw DNS.
- Hosty sesji usługi Azure Virtual Desktop dołączają do kontrolerów domeny usług Microsoft Entra Domain Services.
- Pule hostów i grupy aplikacji można utworzyć w oddzielnej subskrypcji i sieci wirtualnej będącej szprychą.
- Użytkownicy są przypisywani do grup aplikacji.
- Użytkownicy logują się przy użyciu aplikacji usługi Azure Virtual Desktop lub klienta internetowego z nazwą UPN w formacie, takim jak john@companyA.com, jane@companyB.comlub joe@newcompanyAB.com, w zależności od skonfigurowanego sufiksu nazwy UPN.
- Użytkownicy są prezentowani przy użyciu odpowiednich pulpitów wirtualnych lub aplikacji. Na przykład john@companyA.com jest wyświetlany pulpity wirtualne lub aplikacje w puli hostów A, jane@companyB jest prezentowany z pulpitami wirtualnymi lub aplikacjami w puli hostów B, a joe@newcompanyAB jest prezentowana pulpitom wirtualnym lub aplikacjom w ab puli hostów.
- Konto magazynu (usługa Azure Files jest używana dla produktu FSLogix) jest przyłączone do domeny zarządzanej usług AD DS. Profile użytkowników FSLogix są tworzone w udziałach usługi Azure Files.
Uwaga
- W przypadku wymagań zasad grupy w usługach Microsoft Entra Domain Services można zainstalować narzędzia do zarządzania zasadami grupy na maszynie wirtualnej z systemem Windows Server, która jest przyłączona do usług Microsoft Entra Domain Services.
- Aby rozszerzyć infrastrukturę zasad grupy dla usługi Azure Virtual Desktop z lokalnych kontrolerów domeny, należy ręcznie wyeksportować i zaimportować ją do usług Microsoft Entra Domain Services.
Składniki
Tę architekturę należy zaimplementować przy użyciu następujących technologii:
- Tożsamość Microsoft Entra
- Usługi domenowe Microsoft Entra
- Azure Files
- Azure Virtual Desktop
- Azure Virtual Network
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Tom Maher | Starszy inżynier ds. zabezpieczeń i tożsamości
Następne kroki
- Architektura wielu lasów usługi Active Directory z usługą Azure Virtual Desktop
- Usługa Azure Virtual Desktop dla przedsiębiorstw
- Topologie programu Microsoft Entra Connect
- Porównanie różnych opcji tożsamości
- Dokumentacja usługi Azure Virtual Desktop