Pomysły dotyczące rozwiązań
W tym artykule opisano pomysł rozwiązania. Architekt chmury może użyć tych wskazówek, aby ułatwić wizualizowanie głównych składników dla typowej implementacji tej architektury. Skorzystaj z tego artykułu jako punktu wyjścia, aby zaprojektować dobrze zaprojektowane rozwiązanie zgodne z konkretnymi wymaganiami obciążenia.
Ten pomysł rozwiązania ilustruje, jak szybko wdrożyć usługę Azure Virtual Desktop w minimalnym opłacalnym produkcie (MVP) lub środowisku weryfikacji koncepcji (POC) przy użyciu usług Microsoft Entra Domain Services. Użyj tego pomysłu, aby rozszerzyć lokalne tożsamości usług domena usługi Active Directory Services (AD DS) na platformę Azure bez łączności prywatnej i obsługiwać starsze uwierzytelnianie.
Potencjalne przypadki użycia
Ten pomysł rozwiązania dotyczy również fuzji i przejęć, rebrandingu organizacji i wielu wymagań dotyczących tożsamości lokalnych.
Architektura
Pobierz plik programu Visio z tą architekturą.
Przepływ danych
W poniższych krokach pokazano, jak dane przepływa w tej architekturze w postaci tożsamości.
- Istnieją złożone środowiska hybrydowe lokalna usługa Active Directory z co najmniej dwoma lasami usługi Active Directory. Domeny żyją w oddzielnych lasach z unikatowymi sufiksami głównej nazwy użytkownika (UPN). Na przykład CompanyA.local z sufiksem nazwy UPN CompanyA.com, CompanyB.local z sufiksem nazwy UPN CompanyB.com i dodatkowym sufiksem nazwy UPN newcompanyAB.com.
- Zamiast używać kontrolerów domeny zarządzanych przez klienta, lokalnych lub na platformie Azure (czyli kontrolerów domeny infrastruktury jako usługi (IaaS) platformy Azure, środowisko korzysta z dwóch kontrolerów domeny zarządzanych przez chmurę udostępnianych przez usługi Microsoft Entra Domain Services.
- Program Microsoft Entra Connect synchronizuje użytkowników zarówno z CompanyA.com , jak i CompanyB.com z dzierżawą firmy Microsoft Entra, newcompanyAB.onmicrosoft.com. Konto użytkownika jest reprezentowane tylko raz w identyfikatorze Entra firmy Microsoft, a łączność prywatna nie jest używana.
- Następnie użytkownicy synchronizują się z identyfikatorem Entra firmy Microsoft z zarządzanymi usługami Microsoft Entra Domain Services jako jednokierunkową synchronizacją.
- Zostanie utworzona niestandardowa i routingowa nazwa domeny usług Microsoft Entra Domain Services, aadds.newcompanyAB.com. Domena newcompanyAB.com jest zarejestrowaną domeną, która obsługuje certyfikaty LDAP. Ogólnie zaleca się , aby nie używać nazw domen niezwiązanych z routingiem, takich jak contoso.local, ponieważ może to powodować problemy z rozpoznawaniem nazw DNS.
- Hosty sesji usługi Azure Virtual Desktop dołączają do kontrolerów domeny usług Microsoft Entra Domain Services.
- Pule hostów i grupy aplikacji można utworzyć w oddzielnej subskrypcji i sieci wirtualnej będącej szprychą.
- Użytkownicy są przypisywani do grup aplikacji.
- Użytkownicy logują się przy użyciu aplikacji usługi Azure Virtual Desktop lub klienta internetowego z nazwą UPN w formacie, takim jak john@companyA.com, jane@companyB.comlub joe@newcompanyAB.com, w zależności od skonfigurowanego sufiksu nazwy UPN.
- Użytkownicy są prezentowani przy użyciu odpowiednich pulpitów wirtualnych lub aplikacji. Na przykład john@companyA.com jest wyświetlany pulpity wirtualne lub aplikacje w puli hostów A, jane@companyB jest prezentowany z pulpitami wirtualnymi lub aplikacjami w puli hostów B, a joe@newcompanyAB jest prezentowana pulpitom wirtualnym lub aplikacjom w ab puli hostów.
- Konto magazynu (usługa Azure Files jest używana dla produktu FSLogix) jest przyłączone do domeny zarządzanej usług AD DS. Profile użytkowników FSLogix są tworzone w udziałach usługi Azure Files.
Uwaga
- W przypadku wymagań zasad grupy w usługach Microsoft Entra Domain Services można zainstalować narzędzia do zarządzania zasadami grupy na maszynie wirtualnej z systemem Windows Server, która jest przyłączona do usług Microsoft Entra Domain Services.
- Aby rozszerzyć infrastrukturę zasad grupy dla usługi Azure Virtual Desktop z lokalnych kontrolerów domeny, należy ręcznie wyeksportować i zaimportować ją do usług Microsoft Entra Domain Services.
Składniki
Tę architekturę należy zaimplementować przy użyciu następujących technologii:
- Tożsamość Microsoft Entra
- Usługi domenowe Microsoft Entra
- Azure Files
- Azure Virtual Desktop
- Azure Virtual Network
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Tom Maher | Starszy inżynier ds. zabezpieczeń i tożsamości
Następne kroki
- Architektura wielu lasów usługi Active Directory z usługą Azure Virtual Desktop
- Usługa Azure Virtual Desktop dla przedsiębiorstw
- Topologie programu Microsoft Entra Connect
- Porównanie różnych opcji tożsamości
- Dokumentacja usługi Azure Virtual Desktop