Идеи решения
В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.
Эта идея решения иллюстрирует быстрое развертывание виртуального рабочего стола Azure в минимально жизнеспособном продукте (MVP) или проверке концепции (POC) с использованием доменных служб Microsoft Entra. Используйте эту идею для расширения локальных удостоверений домен Active Directory служб (AD DS) в Azure без частного подключения и поддержки устаревшей проверки подлинности.
Потенциальные варианты использования
Эта идея решения также применима к слиянию и приобретению, изменению фирменной символики организации и требованиями к нескольким локальным удостоверениям.
Архитектура
Скачайте файл Visio для этой архитектуры.
Поток данных
В следующих шагах показано, как передаются данные в этой архитектуре в форме удостоверения.
- Сложные гибридные локальная служба Active Directory среды присутствуют с двумя или более лесами Active Directory. Домены живут в отдельных лесах с суффиксами имени участника-пользователя (UPN). Например, CompanyA.local с суффиксом имени участника-участника CompanyA.com, CompanyB.local с CompanyB.com имени участника-участника и дополнительным суффиксом имени участника-участника,newcompanyAB.com.
- Вместо использования контроллеров домена, управляемых клиентом, локально или в Azure (т. е. в контроллерах домена iaaS) инфраструктуры Azure , среда использует два облачных контроллера домена, предоставляемые доменными службами Microsoft Entra.
- Microsoft Entra Connect синхронизирует пользователей с CompanyA.com и CompanyB.com с клиентом Microsoft Entra, newcompanyAB.onmicrosoft.com. Учетная запись пользователя представлена только один раз в идентификаторе Microsoft Entra, а частное подключение не используется.
- Затем пользователи синхронизируются с идентификатором Microsoft Entra с управляемыми доменными службами Microsoft Entra в качестве односторонняя синхронизация.
- Создается настраиваемое и routable доменное имя доменных служб Microsoft Entra, aadds.newcompanyAB.com. Домен newcompanyAB.com — это зарегистрированный домен, поддерживающий сертификаты LDAP. Как правило, рекомендуется не использовать неизменяемые доменные имена, такие как contoso.local, так как это может привести к проблемам с разрешением DNS.
- Узлы сеансов виртуального рабочего стола Azure присоединяются к контроллерам домена доменных служб Microsoft Entra.
- Пулы узлов и группы приложений можно создавать в отдельной подписке и в периферийной виртуальной сети.
- Пользователи назначаются группам приложений.
- Пользователи войдите с помощью приложения виртуального рабочего стола Azure или веб-клиента, используя имя участника-пользователя в формате, например john@companyA.com, jane@companyB.comили joe@newcompanyAB.comв зависимости от настроенного суффикса имени участника-пользователя.
- Пользователям будут представлены соответствующие виртуальные рабочие столы и приложения. Например, john@companyA.com представлены виртуальные рабочие столы или приложения в пуле узлов A, jane@companyB представлены виртуальными рабочими столами или приложениями в пуле узлов B, а joe@newcompanyAB представлены виртуальными рабочими столами или приложениями в пуле узлов AB.
- Учетная запись хранения (Файлы Azure используется для FSLogix) присоединяется к доменным доменным службам active Directory управляемого домена. Профили пользователей FSLogix создаются в общих папках Файлов Azure.
Примечание.
- Для требований к групповой политике в доменных службах Microsoft Entra можно установить средства управления групповыми политиками на виртуальной машине Windows Server, присоединенной к доменным службам Microsoft Entra.
- Чтобы расширить инфраструктуру групповой политики для виртуального рабочего стола Azure с локальных контроллеров домена, необходимо вручную экспортировать и импортировать ее в доменные службы Microsoft Entra.
Компоненты
Эта архитектура реализуется с помощью следующих технологий:
- Microsoft Entra ID
- Доменные службы Microsoft Entra
- Файлы Azure
- Виртуальный рабочий стол Azure
- Виртуальная сеть Azure
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.
Автор субъекта:
- Том Махер | Старший инженер по безопасности и идентификации
Следующие шаги
- Архитектура нескольких лесов Active Directory с виртуальным рабочим столом Azure
- Виртуальный рабочий стол Azure для предприятий
- Топологии Microsoft Entra Connect
- Сравнение различных параметров удостоверений
- Документация по виртуальному рабочему столу Azure