編集

次の方法で共有

AD DS、Microsoft Entra ID、Microsoft Entra Domain Services を使った複数のフォレスト

Microsoft Entra ID
Microsoft Entra
Azure Files
Azure Virtual Desktop

ソリューションのアイデア

この記事ではソリューションのアイデアについて説明します。 クラウド アーキテクトはこのガイダンスを使用すると、このアーキテクチャの一般的な実装の主要コンポーネントを視覚化しやすくなります。 ワークロードの特定の要件に適合する、適切に設計されたソリューションを設計するための出発点として、この記事を使用してください。

このソリューションのアイデアは、Microsoft Entra Domain Services を使用して、MVP (Minimum Viable Product) または、概念実証 (POC) 環境で迅速に Azure Virtual Desktop をデプロイすり方法を示しています。 このアイデアを使用すると、プライベート接続なしでオンプレミスの複数フォレストの Active Directory Domain Services (AD DS) ID を Azure に拡張するとともに、レガシ認証をサポートできます。

考えられるユース ケース

このソリューションのアイデアは、合併と買収、組織のブランド変更、複数のオンプレミス ID の要件にも適用されます。

Architecture

Azure Virtual Desktop と Microsoft Entra Domain Services の図。

このアーキテクチャの Visio ファイルをダウンロードします。

データフロー

次の手順は、このアーキテクチャでデータが ID の形でどのように流れるかを示しています。

  1. 2 つ以上の Active Directory フォレストがある、複雑なハイブリッド オンプレミスの Active Directory 環境があります。 ドメインは、異なるユーザー プリンシパル名 (UPN) サフィックスを使用して、別々のフォレストに存在します。 たとえば、CompanyA.local は UPN サフィックスとして CompanyA.com を使用し、CompanyB.local は UPN サフィックスとして CompanyB.com を使用します。また、追加の UPN サフィックスとして newcompanyAB.com も使用されます。
  2. 環境は、オンプレミスまたは Azure (つまり、Azure Infrastructure as a Service (IaaS)) のいずれかのカスタマー マネージド ドメイン コントローラーを使用するのではなく、Microsoft Entra Domain Services が指定した 2 つのクラウド マネージド ドメイン コントローラーを使用します。
  3. Microsoft Entra Connect は、CompanyA.comCompanyB.com の両方のユーザーを Microsoft Entra テナント newcompanyAB.onmicrosoft.com に同期します。 ユーザー アカウントは Microsoft Entra ID で 1 回だけ示され、プライベート接続は使用されません。
  4. その後、ユーザーは Microsoft Entra ID から、マネージド Microsoft Entra Domain Services に一方向の同期として同期します。
  5. カスタムの "ルーティング可能な" Microsoft Entra Domain Services ドメイン名 (aadds.newcompanyAB.com) が作成されます。 newcompanyAB.com ドメインは、LDAP 証明書をサポートする登録済みドメインです。 DNS 解決に関する問題が発生する可能性があるため、一般に、ルーティング不可能なドメイン名 (contoso.local など) は使用しないことをお勧めします。
  6. Azure Virtual Desktop セッション ホストは、Microsoft Entra Domain Services ドメイン コントローラーに参加します。
  7. ホスト プールとアプリ グループは、個別のサブスクリプションおよびスポーク仮想ネットワークに作成できます。
  8. ユーザーがアプリ グループに割り当てられます。
  9. ユーザーは、構成された UPN サフィックスに応じて、john@companyA.com、jane@companyB.com、joe@newcompanyAB.com などの形式で、Azure Virtual Desktop アプリケーションまたは Web クライアントを使用してサインインします。
  10. ユーザーには、それぞれの仮想デスクトップまたはアプリが表示されます。 たとえば、ホスト プール A では仮想デスクトップとアプリに john@companyA.com が、ホスト プール B では jane@companyB が、ホスト プール AB では joe@newcompanyAB が表示されます。
  11. ストレージ アカウント (Azure Files は FSLogix に使用される) は、マネージド ドメインの AD DS に参加しています。 FSLogix ユーザー プロファイルは、Azure Files 共有に作成されます。

Note

  • Microsoft Entra Domain Services のグループ ポリシー要件については、Microsoft Entra Domain Services に参加している Windows Server 仮想マシンに、グループ ポリシー管理ツールをインストールできます。
  • オンプレミスのドメイン コントローラーから Azure Virtual Desktop のインフラストラクチャ グループ ポリシー拡張するには、手動で Microsoft Entra Domain Services にエクスポートしてインポートする必要があります。

コンポーネント

このアーキテクチャは、次のテクノロジを使用して実装します。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

  • Tom Maher | シニア セキュリティおよび ID エンジニア

次のステップ