Ideias de soluções
Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe com os requisitos específicos da sua carga de trabalho.
Esta ideia de solução ilustra como implantar rapidamente a Área de Trabalho Virtual do Azure em um produto mínimo viável (MVP) ou em um ambiente de prova de conceito (POC) com o uso dos Serviços de Domínio Microsoft Entra. Use essa ideia para estender identidades dos Serviços de Domínio Ative Directory (AD DS) de várias florestas locais para o Azure sem conectividade privada e oferecer suporte à autenticação herdada.
Potenciais casos de utilização
Essa ideia de solução também se aplica a fusões e aquisições, rebranding da organização e requisitos de identidades locais múltiplas.
Arquitetura
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de dados
As etapas a seguir mostram como os dados fluem nessa arquitetura na forma de identidade.
- Ambientes complexos híbridos locais do Ative Directory estão presentes, com duas ou mais florestas do Ative Directory. Os domínios vivem em florestas separadas, com sufixos UPN (Nome Principal do Usuário) distintos. Por exemplo, CompanyA.local com sufixo UPN CompanyA.com, CompanyB.local com sufixo UPN CompanyB.com e um sufixo UPN adicional, newcompanyAB.com.
- Em vez de usar controladores de domínio gerenciados pelo cliente, no local ou no Azure (ou seja, controladores de domínio IaaS (infraestrutura como serviço) do Azure), o ambiente usa os dois controladores de domínio gerenciados em nuvem fornecidos pelos Serviços de Domínio Microsoft Entra.
- O Microsoft Entra Connect sincroniza usuários do CompanyA.com e do CompanyB.com com o locatário do Microsoft Entra, newcompanyAB.onmicrosoft.com. A conta de usuário é representada apenas uma vez no Microsoft Entra ID e a conectividade privada não é usada.
- Em seguida, os usuários sincronizam da ID do Microsoft Entra com os Serviços de Domínio Microsoft Entra gerenciados como uma sincronização unidirecional.
- É criado um nome de domínio personalizado e roteável dos Serviços de Domínio Microsoft Entra, aadds.newcompanyAB.com. O domínio newcompanyAB.com é um domínio registrado que suporta certificados LDAP. Geralmente, recomendamos que você não use nomes de domínio não roteáveis, como contoso.local, porque isso pode causar problemas com a resolução de DNS.
- Os anfitriões de sessão do Ambiente de Trabalho Virtual do Azure juntam-se aos controladores de domínio dos Serviços de Domínio Microsoft Entra.
- Grupos de hosts e grupos de aplicativos podem ser criados em uma assinatura separada e em uma rede virtual falada.
- Os usuários são atribuídos aos grupos de aplicativos.
- Os usuários entram usando o aplicativo de Área de Trabalho Virtual do Azure ou o cliente Web, com um UPN em um formato como john@companyA.com, jane@companyB.comou joe@newcompanyAB.com, dependendo do sufixo UPN configurado.
- Os usuários são apresentados aos seus respetivos desktops virtuais ou aplicativos. Por exemplo, john@companyA.com é apresentado com áreas de trabalho virtuais ou aplicativos no pool de hosts A, jane@companyB é apresentado com áreas de trabalho virtuais ou aplicativos no pool de hosts B e joe@newcompanyAB é apresentado com áreas de trabalho virtuais ou aplicativos no pool de hosts AB.
- A conta de armazenamento (os Arquivos do Azure são usados para FSLogix) é associada ao domínio gerenciado AD DS. Os perfis de usuário FSLogix são criados em compartilhamentos do Azure Files.
Nota
- Para requisitos de Política de Grupo nos Serviços de Domínio Microsoft Entra, você pode instalar ferramentas de Gerenciamento de Diretiva de Grupo em uma máquina virtual do Windows Server que ingressou nos Serviços de Domínio Microsoft Entra.
- Para estender a infraestrutura de Política de Grupo para a Área de Trabalho Virtual do Azure a partir dos controladores de domínio locais, você precisa exportá-la e importá-la manualmente para os Serviços de Domínio Microsoft Entra.
Componentes
Você implementa essa arquitetura usando as seguintes tecnologias:
- Microsoft Entra ID
- Microsoft Entra Domain Services
- Ficheiros do Azure
- Azure Virtual Desktop
- Rede Virtual do Azure
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Tom Maher - Brasil | Engenheiro de Segurança e Identidade Sênior
Próximos passos
- Arquitetura de várias florestas do Ative Directory com a Área de Trabalho Virtual do Azure
- Área de Trabalho Virtual do Azure para empresas
- Topologias do Microsoft Entra Connect
- Comparar diferentes opções de identidade
- Documentação da Área de Trabalho Virtual do Azure