Foreste multiple con AD DS, Microsoft Entra ID e Microsoft Entra Domain Services

Questa soluzione illustra come distribuire Rapidamente Desktop virtuale Azure in un prodotto minimo funzionante (MVP) o un ambiente modello di verifica (POC) con l'uso di Microsoft Entra Domain Services. Usare questa idea per estendere le identità locali di servizi multi-foresta Dominio di Active Directory Services (AD DS) ad Azure senza connettività privata e supportare l'autenticazione legacy.

Potenziali casi d'uso

Questa idea per soluzione si applica anche alle fusioni e acquisizioni, al rebranding di organizzazioni e a più requisiti di identità locali.

Architettura

Scaricare un file di Visio di questa architettura.

Flusso di dati

La procedura seguente illustra il flusso dei dati in questa architettura sotto forma di identità.

1. Sono presenti ambienti ibridi Active Directory locale complessi, con due o più foreste di Active Directory. I domini risiedono in foreste separate, con suffissi UPN (User Principal Name) distinti. Ad esempio, CompanyA.local con suffisso UPN CompanyA.com, CompanyB.local con suffisso UPN CompanyB.com e un suffisso UPN aggiuntivo, newcompanyAB.com.
2. Invece di usare controller di dominio gestiti dal cliente, in locale o in Azure ,ovvero i controller di dominio IaaS (Infrastructure as a Service), l'ambiente usa i due controller di dominio gestiti dal cloud forniti da Microsoft Entra Domain Services.
3. Microsoft Entra Connect sincronizza gli utenti sia da CompanyA.com che da CompanyB.com al tenant di Microsoft Entra, newcompanyAB.onmicrosoft.com. L'account utente è rappresentato una sola volta nell'ID Entra Microsoft e la connettività privata non viene usata.
4. Gli utenti sincronizzano quindi da Microsoft Entra ID all'istanza gestita di Microsoft Entra Domain Services come sincronizzazione unidirezionale.
5. Viene creato un nome di dominio personalizzato e instradabile di Microsoft Entra Domain Services, aadds.newcompanyAB.com. Il dominio newcompanyAB.com è un dominio registrato che supporta i certificati LDAP. In genere è consigliabile non usare nomi di dominio non instradabili, ad esempio contoso.local, perché possono causare problemi con la risoluzione DNS.
6. La sessione desktop virtuale Azure ospita l'aggiunta ai controller di dominio di Microsoft Entra Domain Services.
7. È possibile creare pool di host e gruppi di app in una sottoscrizione separata e in una rete virtuale spoke.
8. Gli utenti vengono assegnati ai gruppi di app.
9. Gli utenti accedono usando l'applicazione Desktop virtuale Azure o il client Web, con un UPN in un formato come john@companyA.com, jane@companyB.como joe@newcompanyAB.com, a seconda del suffisso UPN configurato.
10. Gli utenti vengono fatti accedere ai rispettivi desktop virtuali o alle rispettive app. Ad esempio, john@companyA.com viene presentato con desktop virtuali o app nel pool di host A, jane@companyB viene presentato con desktop virtuali o app nel pool di host B e joe@newcompanyAB viene presentato con desktop virtuali o app nel pool di host AB.
11. L'account di archiviazione (File di Azure viene usato per FSLogix) viene aggiunto al dominio gestito di Active Directory Domain Services. I profili utente FSLogix vengono creati nelle condivisioni di File di Azure.

Componenti

Questa architettura viene implementata usando le tecnologie seguenti:

• Microsoft Entra ID
• Microsoft Entra Domain Services
• File di Azure
• Desktop virtuale Azure
• Rete virtuale di Azure

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Tom Maher | Senior Security and Identity Engineer

Passaggi successivi

• Architettura di più foreste di Active Directory con Desktop virtuale Azure
• Desktop virtuale Azure per le aziende
• Topologie di Microsoft Entra Connect
• Confrontare diverse opzioni di identità
• Documentazione di Desktop virtuale Azure

Risorse correlate

• Design dell'architettura ibrida
• Foreste multiple con AD DS e Microsoft Entra ID