Integración del identificador de Microsoft Entra con Active Directory Domain Services
Ahora que tiene microsoft Entra ID configurado, debe integrarlo con su Instancia de Active Directory local.
Configurar una experiencia de inicio de sesión coherente
Se recomienda configurar una experiencia de inicio de sesión coherente con los mismos nombres de usuario, contraseñas o controles de autenticación multifactor que usa en el entorno de Active Directory local Domain Services (AD DS). Esto permite a los usuarios usar un conjunto de credenciales para acceder a los recursos de Azure Virtual Desktop y otros Servicios en la nube de Microsoft.
Hay varias opciones de sincronización disponibles:
- Sincronización de hash de contraseña : los nombres de usuario y los hashes de las contraseñas se sincronizan con el identificador de Microsoft Entra
- Autenticación de paso a través: el servicio de directorio local puede realizar una autenticación simple para los servicios en la nube de Microsoft, y requiere poca configuración local en los controladores de dominio.
- Servicios de federación de Active Directory: federación de asociados más compleja, tokens de RSA y autenticación de tarjeta inteligente. Si usa esta opción, tiene que aprovisionar servidores locales adicionales y asegurarse de que estén altamente disponibles.
Puede usar Microsoft Entra Connect para configurar la sincronización.
Configurar Active Directory Domain Services para Azure Virtual Desktop
En Azure Virtual Desktop, las sesiones remotas usan AD DS de la misma forma en que lo hace el entorno de escritorio virtual y físico actual local para los inicios de sesión en la capa de máquina virtual. Dispone de las siguientes opciones para conectarse o aprovisionar AD DS para Azure Virtual Desktop:
Implementar un controlador de dominio en una máquina virtual de Windows Server hospedada que se ejecute en Azure. El controlador de dominio se ejecuta de forma independiente en una red virtual o se conecta con el servicio de directorio local. Este es el método menos costoso, pero requiere que usted administre la máquina virtual (VM). Debe asegurarse de que la máquina virtual está disponible y conectada a la misma red virtual que los hosts de sesión de Azure Virtual Desktop.
Aprovisionar Microsoft Entra Domain Services. Esto es AD DS como servicio. No es necesario mantener ninguna máquina virtual de controlador de dominio. Conecte Microsoft Entra Domain Services a la misma red virtual que el entorno de Azure Virtual Desktop. Puede usar Microsoft Entra Domain Services con o sin un AD local. Si lo conecta al dominio local, se comporta como los controladores de dominio actuales, sin la sobrecarga de administración.
Conectar la red a Azure y establecer una conexión entre el centro de datos y Azure. Al realizar la conexión, asegúrese de que los controladores de dominio que administra estén disponibles de forma segura para las máquinas virtuales de Azure Virtual Desktop que se ejecutan en Azure. Puede usar una conexión VPN o Azure ExpressRoute para la conectividad.