Integrieren von Microsoft Entra ID in Active Directory Domain Services

  • 3 Minuten

Nachdem Sie microsoft Entra ID eingerichtet haben, müssen Sie es in Ihr lokales Active Directory integrieren.

Konfigurieren eines einheitlichen Anmeldeverhaltens

Wir empfehlen, dass Sie, wie bei der Verwendung Ihrer lokalen Active Directory Domain Services-Umgebung (AD DS), ein einheitliches Anmeldeverhalten mit denselben Benutzernamen, Kennwörtern oder Steuerelementen zur mehrstufigen Authentifizierung konfigurieren. Auf diese Weise können Ihre Benutzer ihre Anmeldeinformationen für den Zugriff auf ihre Ressourcen in Azure Virtual Desktop und anderen Microsoft Cloud Services-Instanzen verwenden.

Es stehen mehrere Synchronisierungsoptionen zur Verfügung:

  • Kennworthashsynchronisierung : Benutzernamen und Hashes von Kennwörtern werden mit Microsoft Entra ID synchronisiert.
  • Passthrough-Authentifizierung – Ihr lokaler Verzeichnisdienst kann eine einfache Authentifizierung für Microsoft Cloud Services durchführen, was eine geringe lokale Konfiguration auf Ihren Domänencontrollern erfordert.
  • Active Directory-Verbunddienste – komplexere Partnerföderation, RSA-Token und Smartcard-Authentifizierung. Wenn Sie diese Option verwenden, müssen Sie zusätzliche lokale Server bereitstellen und sicherstellen, dass diese hochgradig verfügbar sind.

Sie können Microsoft Entra Connect verwenden, um die Synchronisierung einzurichten.

Konfigurieren von Active Directory Domain Services für Azure Virtual Desktop

In Azure Virtual Desktop verwenden Ihre Remotesitzungen AD DS genauso wie Ihre aktuelle virtuelle und physische Desktopumgebung für Sitzungsanmeldungen auf der VM-Schicht. Sie verfügen über die folgenden Optionen für die Verbindung mit oder die Bereitstellung von AD DS für Azure Virtual Desktop:

  • Bereitstellen eines Domänencontrollers in einer gehosteten Windows Server-VM, der in Azure ausgeführt wird. Der Domänencontroller wird eigenständig in einem virtuellen Netzwerk ausgeführt oder stellt eine Verbindung mit Ihrem lokalen Verzeichnisdienst her. Dies ist die kostengünstigste Methode, bei der Sie aber den virtuellen Computer (Virtual Machine, VM) verwalten müssen. Sie müssen sicherstellen, dass die VM hoch verfügbar und mit demselben virtuellen Netzwerk verbunden ist, mit dem Ihre Azure Virtual Desktop-Sitzungshosts verbunden sind.

    Abbildung des Servers einer Active Directory-Domäne, der auf einem virtuellen Azure-Computer gehostet wird, dessen virtuelles Netzwerk mit Azure Virtual Desktop verknüpft ist.

  • Bereitstellen von Microsoft Entra Domain Services. Dies ist AD DS als Dienst. Sie müssen keine Domänencontroller-VMs verwalten. Sie verbinden Microsoft Entra Domain Services mit demselben virtuellen Netzwerk wie Ihre Azure Virtual Desktop-Umgebung. Sie können Microsoft Entra Domain Services mit oder ohne lokales AD verwenden. Wenn Sie die Verbindung mit der lokalen Domäne herstellen, verhält es sich wie Ihr aktueller Domänencontroller, nur ohne den Verwaltungsaufwand.

    Abbildung der Microsoft Entra Domain Services, deren virtuelles Netzwerk mit Azure Virtual Desktop mittels Peering verknüpft ist. .

  • Verbinden Ihres Netzwerks mit Azure, und Einrichten einer Verbindung zwischen Ihrem Rechenzentrum und Azure. Stellen Sie sicher, dass die von Ihnen betriebenen Domänencontroller für Azure Virtual Desktop VMs, die in Azure ausgeführt werden, sicher verfügbar sind. Sie können eine VPN-Verbindung oder Azure ExpressRoute zur Verbindungsherstellung verwenden.

    Abbildung eines lokalen Active Directory, das mit Microsoft Entra ID mit Azure ExpressRoute und Microsoft Entra Connect verbunden ist.