Várias florestas com o AD DS e o Microsoft Entra ID

Muitas organizações desejam aproveitar a Área de Trabalho Virtual do Azure para criar ambientes que tenham várias florestas locais do Active Directory.

Este artigo expande a arquitetura descrita no artigo Área de Trabalho Virtual do Azure em escala empresarial. O objetivo é ajudá-lo a entender como integrar vários domínios e a Área de Trabalho Virtual do Azure usando o Microsoft Entra Connect para sincronizar usuários dos Serviços de Domínio Active Directory (AD DS) locais com a ID do Microsoft Entra.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de dados

Nessa arquitetura, o fluxo de identidade funciona da seguinte maneira:

1. O Microsoft Entra Connect sincroniza usuários de CompanyA.com e CompanyB.com com um locatário do Microsoft Entra (NewCompanyAB.onmicrosoft.com).
2. Pools de hosts, espaços de trabalho e grupos de aplicativos são criados em assinaturas separadas e redes virtuais de spoke.
3. Os usuários são atribuídos aos grupos de aplicativos.
4. Os hosts de sessão da Área de Trabalho Virtual do Azure nos pools de hosts ingressam nos domínios CompanyA.com e CompanyB.com usando os controladores de domínio no Azure.
5. Os usuários entram usando o aplicativo de Área de Trabalho Virtual do Azure ou o cliente Web com um Nome Principal de Usuário (UPN) no seguinte formato: user@NewCompanyA.com, user@CompanyB.comou user@NewCompanyAB.com, dependendo do sufixo UPN configurado.
6. Os usuários são apresentados com suas respectivas áreas de trabalho virtuais ou aplicativos. Por exemplo, os usuários na EmpresaA recebem uma área de trabalho virtual ou um aplicativo no Espaço de Trabalho A, pool de hosts 1 ou 2.
7. Os perfis de usuário do FSLogix são criados nos compartilhamento de Arquivos do Azure nas contas de armazenamento correspondentes.
8. Os GPOs (Objetos de Política de Grupo) sincronizados no local são aplicados a usuários e hosts de sessão da Área de Trabalho Virtual do Azure.

Componentes

Essa arquitetura usa os mesmos componentes listados na área de trabalho virtual do Azure na arquitetura de escala empresarial.

Além disso, essa arquitetura usa os seguintes componentes:

• Microsoft Entra Connect no modo de preparo: O servidor de preparo para topologias do Microsoft Entra Connect fornece redundância adicional para a instância do Microsoft Entra Connect.

• Assinaturas do Azure, espaços de trabalho da Área de Trabalho Virtual do Azure e pools de host: você pode usar várias assinaturas, espaços de trabalho da Área de Trabalho Virtual do Azure e pools de hosts para limites de administração e requisitos de negócios.

Detalhes do cenário

Este diagrama de arquitetura representa um cenário típico que contém os seguintes elementos:

• O locatário do Microsoft Entra está disponível para uma nova empresa chamada NewCompanyAB.onmicrosoft.com.
• O Microsoft Entra Connect sincroniza usuários do AD DS local com o Microsoft Entra ID.
• A Empresa A e a Empresa B têm assinaturas separadas do Azure. Eles também têm uma assinatura de serviços compartilhados, conhecida como Assinatura 1 no diagrama.
• Uma arquitetura hub-spoke do Azure é implementada com uma rede virtual de hub de serviços compartilhados.
• Ambientes híbridos complexos do Active Directory local estão presentes com duas ou mais florestas do Active Directory. Os domínios estão em florestas separadas, cada um com um sufixo UPN diferente. Por exemplo, CompanyA.local com o sufixo UPN CompanyA.com, CompanyB.local com o sufixo UPN CompanyB.com e um sufixo UPN adicional, NewCompanyAB.com.
• Os controladores de domínio para as duas florestas se encontram no local e no Azure.
• Os domínios verificados estão presentes no Azure para CompanyA.com, CompanyB.com e NewCompanyAB.com.
• GPO e autenticação herdada, como Kerberos, NTLM (Windows New Technology LAN Manager) e LDAP (Lightweight Directory Access Protocol), são usados.
• Para ambientes do Azure que ainda têm infraestrutura local de dependência, a conectividade privada (VPN site a site ou Azure ExpressRoute) é configurada entre o local e o Azure.
• O ambiente de Área de Trabalho Virtual do Azure consiste em um espaço de trabalho da Área de Trabalho Virtual do Azure para cada unidade de negócios e dois pools de host por espaço de trabalho.
• Os hosts de sessão da Área de Trabalho Virtual do Azure são associados a controladores de domínio no Azure. Ou seja, os hosts de sessão CompanyA ingressam no domínio CompanyA.local e os hosts de sessão CompanyB ingressam no domínio CompanyB.local.
• As contas de armazenamento do Azure podem usar os Arquivos do Azure para perfis FSLogix. Uma conta é criada por domínio da empresa (ou seja, CompanyA.local e CompanyB.local) e a conta é associada ao domínio correspondente.

Possíveis casos de uso

Aqui estão alguns casos de uso relevantes para essa arquitetura:

• Fusões e aquisições, rebranding da organização e várias identidades locais
• Ambientes complexos do Active Directory local (várias florestas, vários domínios, requisitos de diretiva de grupo (ou GPO) e autenticação herdada)
• Infraestrutura de GPO local com a Área de Trabalho Virtual do Azure

Considerações

Ao projetar sua carga de trabalho com base nessa arquitetura, lembre-se das seguintes ideias.

Objetos de Política de Grupo

• Para estender a infraestrutura de GPO para a Área de Trabalho Virtual do Azure, os controladores de domínio locais devem sincronizar com os controladores de domínio de infraestrutura como serviço (IaaS) do Azure.

• A extensão da infraestrutura de GPO para controladores de domínio IaaS do Azure requer conectividade privada.

Rede e conectividade

• Os controladores de domínio são componentes compartilhados, portanto, precisam ser implantados em uma rede virtual de hub de serviços compartilhados nessa arquitetura hub-spoke.

• Os anfitriões de sessão do Ambiente de Trabalho Virtual do Azure associam-se ao controlador de domínio no Azure através do respetivo emparelhamento de rede virtual hub-spoke.

Armazenamento do Azure

As seguintes considerações sobre design se aplicam aos contêineres de perfil do usuário, aos contêineres de cache de nuvem e aos pacotes MSIX:

• Você pode usar os Arquivos do Azure e os Arquivos do Azure NetApp nesse cenário. Você escolhe a solução certa com base em fatores como desempenho esperado, custo e assim por diante.

• As contas de armazenamento do Azure e os Arquivos NetApp do Azure estão limitados a ingressar em um único AD DS por vez. Nesses casos, várias contas de armazenamento do Azure ou instâncias do Azure NetApp Files são necessárias.

Microsoft Entra ID

Em cenários com usuários em várias florestas locais do Active Directory, apenas um servidor do Microsoft Entra Connect Sync está conectado ao locatário do Microsoft Entra. Uma exceção a isso é um servidor Microsoft Entra Connect que é usado no modo de preparo.

Há suporte para as seguintes topologias de identidade:

• Várias florestas do Active Directory local.
• Uma ou mais florestas de recursos confiam em todas as florestas da conta.
• Uma topologia de malha completa permite que os usuários e os recursos estejam em qualquer floresta. Normalmente, há relações de confiança bidirecionais entre as florestas.

Para obter mais detalhes, consulte a seção Servidor de preparo das topologias do Microsoft Entra Connect.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Tom Maher - Brasil | Engenheiro de Segurança e Identidade Sênior

Próximas etapas

Para obter mais informações, consulte os seguintes artigos:

• Topologia do Microsoft Entra Connect
• Compare diferentes opções de identidade: Serviços de Domínio Active Directory (AD DS) autogerenciados, ID do Microsoft Entra e Serviços de Domínio Microsoft Entra (Serviços de Domínio Microsoft Entra)
• Documentação da Área de Trabalho Virtual do Azure

Recursos relacionados

• Área de Trabalho Virtual do Azure para empresas
• Ideia de solução: várias florestas com os Serviços de Domínio do Microsoft Entra