Интеграция Microsoft Entra ID с доменными службами Active Directory

  • 3 мин

Теперь, когда у вас настроен идентификатор Microsoft Entra, необходимо интегрировать его с локальной службой Active Directory.

Настройка однородной процедуры единого входа

Рекомендуем настроить однородную процедуру единого входа с такими же именами пользователей, паролями или элементами управления многофакторной проверки подлинности, как в локальной среде доменных служб Active Directory (AD DS). Это позволит вашим пользователям применять один набор учетных данных для доступа к своим ресурсам в виртуальном рабочем столе Azure и других облачных службах Майкрософт.

Доступны несколько вариантов синхронизации:

  • Синхронизация хэша паролей — имена пользователей и хэши паролей синхронизируются с идентификатором Microsoft Entra
  • Сквозная проверка подлинности — локальная служба каталогов может выполнять простую проверку подлинности в облачных службах Майкрософт и требует незначительной локальной конфигурации на контроллерах домена.
  • Службы федерации Active Directory — более сложная федерация партнера, маркеры RSA и проверка подлинности смарт-карты. При использовании этого варианта необходимо подготовить дополнительные локальные серверы и убедиться в их высокой доступности.

Для настройки синхронизации можно использовать Microsoft Entra Connect.

Настройка доменных служб Active Directory для виртуального рабочего стола Azure

В инфраструктуре виртуальных рабочих столов Azure службы AD DS будут использоваться вашими удаленными сеансами таким же образом, каким эти службы используются существующей локальной средой виртуальных рабочих столов и физических компьютеров для входа сеансов на уровне виртуальных машин. Существует несколько вариантов подключения к службе AD DS или ее подготовки для виртуальных рабочих столов Azure.

  • Разверните контроллер домена в размещенной виртуальной машине Windows Server, работающей в Azure. Контроллер домена может работать в виртуальной сети самостоятельно или подключаться к службе каталогов в локальной среде. Это наиболее простой способ, но в этом случае потребуется управлять этой виртуальной машиной (ВМ). Необходимо обеспечить высокую доступность этой ВМ и подключить ее к той же виртуальной сети, к которой подключены узлы сеансов виртуальных рабочих столов Azure.

    Иллюстрация сервера домена Active Directory, размещенного на виртуальном компьютере Azure, виртуальная сеть которого связана с виртуальным рабочим столом Azure.

  • Подготовка доменных служб Microsoft Entra. Это AD DS в виде службы. Нет необходимости поддерживать виртуальные машины контроллера домена. Вы подключаете доменные службы Microsoft Entra к той же виртуальной сети, что и среда Виртуального рабочего стола Azure. Вы можете использовать доменные службы Microsoft Entra с локальной службой AD или без нее. Если вы подключаете ее к локальному домену, она ведет себя как текущие контроллеры домена и не требует дополнительных усилий по управлению.

    Иллюстрация доменных служб Microsoft Entra с виртуальной сетью, которая имеет пиринг к Виртуальному рабочему столу Azure. .

  • Подключите сеть к Azure и установите подключение между вашим центром обработки данных и Azure. При создании подключения убедитесь, что используемые контроллеры домена безопасно доступны для виртуальных машин виртуального рабочего стола Azure, которые работают в Azure. Вы можете использовать VPN или службу Azure ExpressRoute для подключения.

    Иллюстрация локальной службы Active Directory, подключенной к Microsoft Entra ID с помощью Azure ExpressRoute и Microsoft Entra Connect.