Ideas de solución
En este artículo se describe una idea de solución. El arquitecto de la nube puede usar esta guía para ayudar a visualizar los componentes principales de una implementación típica de esta arquitectura. Use este artículo como punto de partida para diseñar una solución bien diseñada que se adapte a los requisitos específicos de la carga de trabajo.
En esta idea de solución se muestra cómo se puede implementar Azure Virtual Desktop rápidamente en un mínimo producto viable (MVP) o un entorno de prueba de concepto (POC) con el uso de Microsoft Entra Domain Services (Microsoft Entra Domain Services). Use esta idea tanto para ampliar las identidades de Active Directory Domain Services (AD DS) de varios bosques locales a Azure sin conectividad privada como para admitir la autenticación heredada.
Posibles casos de uso
Esta idea de la solución también se aplica a las fusiones y adquisiciones, a la personalización de marca de la organización y a varios requisitos de identidades locales.
Arquitectura
Descargue un archivo Visio de esta arquitectura.
Flujo de datos
En los pasos siguientes se muestra cómo fluyen los datos en esta arquitectura en forma de identidad.
- Existen complejos entornos locales de Active Directory híbridos con dos o más bosques de Active Directory. Los dominios residen en bosques independientes, con sufijos de nombre principal de usuario (UPN) distintos. Por ejemplo, CompanyA.local con el sufijo de UPN CompanyA.com, CompanyB.local con el sufijo de UPN CompanyB.com y el sufijo de UPN adicional newcompanyAB.com.
- En lugar de usar controladores de dominio administrados por el cliente, ya sea de forma local o en Azure (es decir, controladores de dominio de infraestructura como servicio (IaaS) de Azure), se usan los dos controladores de dominio administrados en la nube que proporciona Microsoft Entra Domain Services.
- Microsoft Entra Connect sincroniza los usuarios de CompanyA.com y CompanyB.com con el inquilino de Microsoft Entra newcompanyAB.onmicrosoft.com. La cuenta de usuario solo se representa una vez en Microsoft Entra ID y no se usa la conectividad privada.
- A continuación, los usuarios se sincronizan desde Microsoft Entra ID a Microsoft Entra Domain Services como una sincronización unidireccional.
- Se crea un nombre de dominio de Microsoft Entra Domain Services personalizado y enrutable, aadds.newcompanyAB.com. El dominio newcompanyAB.com es un dominio registrado para admitir certificados LDAP. Por lo general, recomendamos no usar nombres de dominio no enrutables, por ejemplo, contoso.local, ya que pueden provocar problemas con la resolución de DNS.
- Los hosts de sesión de Azure Virtual Desktop se unen a los controladores de dominio de Microsoft Entra Domain Services.
- Los grupos de hosts y los grupos de aplicaciones se pueden crear en una suscripción individual y una red virtual de radio.
- Los usuarios se asignan a los grupos de aplicaciones.
- Los usuarios inician sesión o bien mediante la aplicación de Azure Virtual Desktop o el cliente web con un UPN en un formato como john@companyA.com, jane@companyB.como joe@newcompanyAB.com, en función de su sufijo UPN configurado.
- A los usuarios se les presentan sus respectivas aplicaciones o escritorios virtuales. Por ejemplo, john@companyA.com verá escritorios virtuales o aplicaciones del grupo de hosts A, jane@companyB, escritorios virtuales o aplicaciones del grupo de hosts B y joe@newcompanyAB, escritorios virtuales o aplicaciones del grupo de hosts AB.
- La cuenta de almacenamiento (Azure Files se usa para FSLogix) está unida a la instancia de AD DS del dominio administrado. Los perfiles de usuario de FSLogix se crean en recursos compartidos de Azure Files.
Nota:
- En el caso de los requisitos de directiva de grupo de Microsoft Entra Domain Services, puede instalar Herramientas de administración de directiva de grupo en una máquina virtual de Windows Server que esté unida a Microsoft Entra Domain Services.
- Para ampliar la infraestructura de directiva de grupo para Azure Virtual Desktop desde los controladores de dominio locales, debe exportarlo e importarlo manualmente a Microsoft Entra Domain Services.
Componentes
Esta arquitectura se implementa mediante las siguientes tecnologías:
- Microsoft Entra ID
- Servicios de dominio de Microsoft Entra
- Archivos de Azure
- Azure Virtual Desktop
- Azure Virtual Network
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Tom Maher | Ingeniero sénior de seguridad e identidad
Pasos siguientes
- Arquitectura de varios bosques de Active Directory con Azure Virtual Desktop
- Azure Virtual Desktop para empresas
- Topologías de Microsoft Entra Connect
- Compare las diferentes opciones de identidad
- Documentación de Azure Virtual Desktop