Ideias de soluções
Esse artigo é uma ideia de solução. Caso deseje que ampliemos o conteúdo com mais informações, como possíveis casos de uso, serviços alternativos, considerações sobre implementação ou diretrizes de preços, fale conosco enviando seus comentários no GitHub.
Esta ideia de solução ilustra como implantar a Área de Trabalho Virtual do Azure rapidamente em um produto mínimo viável (MVP) ou um ambiente de prova de conceito (PoC) com o uso dos Serviços de Domínio Microsoft Entra (Serviços de Domínio Microsoft Entra). Use essa ideia para estender identidades do AD DS de várias florestas locais para o Azure sem conectividade privada e oferecer suporte à autenticação herdada.
Possíveis casos de uso
Essa ideia de solução também se aplica a fusões e aquisições, à redefinição da marca da organização e a vários requisitos de identidades locais.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Fluxo de dados
As etapas a seguir mostram como os dados fluem nessa arquitetura na forma de identidade.
- Ambientes híbridos complexos do Active Directory local estão presentes, com duas ou mais florestas do Active Directory. Os domínios vivem em florestas separadas, com sufixos UPN (Nome Principal do Usuário) distintos. Por exemplo, CompanyA.local com sufixo UPN CompanyA.com, CompanyB.local com sufixo UPN CompanyB.com e um sufixo UPN adicional, newcompanyAB.com.
- Em vez de usar controladores de domínio gerenciados pelo cliente, no local ou no Azure (ou seja, controladores de domínio de infraestrutura como serviço [IaaS] do Azure), o ambiente usa os dois controladores de domínio gerenciados na nuvem fornecidos pelos Serviços de Domínio do Microsoft Entra.
- O Microsoft Entra Connect sincroniza usuários de CompanyA.com e CompanyB.com com o locatário do Microsoft Entra, newcompanyAB.onmicrosoft.com. A conta de usuário é representada apenas uma vez na ID do Microsoft Entra e a conectividade privada não é usada.
- Em seguida, os usuários sincronizam da ID do Microsoft Entra para os Serviços de Domínio do Microsoft Entra gerenciados como uma sincronização unidirecional.
- Um nome de domínio personalizado e roteável dos Serviços de Domínio Microsoft, aadds.newcompanyAB.com, é criado. O domínio newcompanyAB.com é um domínio registrado que oferece suporte a certificados LDAP. Geralmente, recomendamos que você não use nomes de domínio não roteáveis, como contoso.local, porque isso pode causar problemas com a resolução de DNS.
- Os hosts de sessão da Área de Trabalho Virtual do Azure ingressam nos controladores de domínio dos Serviços de Domínio Microsoft Entra.
- Podem ser criados pools de hosts e grupos de aplicativos em uma assinatura separada e em uma rede virtual spoke.
- Os usuários são atribuídos aos grupos de aplicativos.
- Os usuários entram usando o aplicativo de Área de Trabalho Virtual do Azure ou o cliente Web, com um UPN em um formato como john@companyA.com, jane@companyB.comou joe@newcompanyAB.com, dependendo do sufixo UPN configurado.
- Os usuários recebem as respectivas áreas de trabalho virtuais ou os aplicativos. Por exemplo, john@companyA.com é apresentado com áreas de trabalho virtuais ou aplicativos no pool de hosts A, jane@companyB é apresentado com áreas de trabalho virtuais ou aplicativos no pool de hosts B e joe@newcompanyAB é apresentado com áreas de trabalho virtuais ou aplicativos no pool de hosts AB.
- A conta de armazenamento (os Arquivos do Azure são usados para FSLogix) é associada ao domínio gerenciado AD DS. Os perfis de usuário do FSLogix são criados nos compartilhamentos de arquivos do Azure.
Observação
- Para requisitos de Diretiva de Grupo nos Serviços de Domínio Microsoft Entra, você pode instalar ferramentas de Gerenciamento de Diretiva de Grupo em uma máquina virtual do Windows Server que ingressou nos Serviços de Domínio Microsoft Entra.
- Para estender a infraestrutura de Política de Grupo para a Área de Trabalho Virtual do Azure a partir dos controladores de domínio locais, você precisa exportá-la e importá-la manualmente para os Serviços de Domínio Microsoft Entra.
Componentes
Você implementa essa arquitetura usando as seguintes tecnologias:
- Microsoft Entra ID
- Serviços de Domínio do Microsoft Entra
- Arquivos do Azure
- Área de Trabalho Virtual do Azure
- Rede Virtual do Azure
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Tom Maher - Brasil | Engenheiro de Segurança e Identidade Sênior
Próximas etapas
- Arquitetura de várias florestas do Active Directory com a Área de Trabalho Virtual do Azure
- Área de Trabalho Virtual do Azure para empresas
- Topologias do Microsoft Entra Connect
- Comparar diferentes opções de identidade
- Documentação da Área de Trabalho Virtual do Azure