Flera skogar med AD DS, Microsoft Entra ID och Microsoft Entra Domain Services

Den här lösningsidén visar hur du snabbt distribuerar Azure Virtual Desktop i en MVP-miljö (Minimum Viable Product) eller en POC-miljö (Proof of Concept) med hjälp av Microsoft Entra Domain Services. Använd den här idén för att både utöka lokala AD DS-identiteter (multi-forest Active Directory-domän Services) till Azure utan privat anslutning och stödja äldre autentisering.

Potentiella användningsfall

Den här lösningsidén gäller även för fusioner och förvärv, organisationsomprofilering och flera lokala identitetskrav.

Arkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

Följande steg visar hur data flödar i den här arkitekturen i form av identitet.

1. Komplexa hybridmiljöer lokal Active Directory finns, med två eller flera Active Directory-skogar. Domäner finns i separata skogar med distinkta UPN-suffix (User Principal Name). Till exempel CompanyA.local med UPN-suffixet CompanyA.com, CompanyB.local med UPN-suffixet CompanyB.com och ytterligare ett UPN-suffix newcompanyAB.com.
2. I stället för att använda kundhanterade domänkontrollanter, antingen lokalt eller i Azure (dvs. Domänkontrollanter för Azure-infrastruktur som en tjänst (IaaS), använder miljön de två molnhanterade domänkontrollanterna som tillhandahålls av Microsoft Entra Domain Services.
3. Microsoft Entra Connect synkroniserar användare från både CompanyA.com och CompanyB.com till Microsoft Entra-klientorganisationen newcompanyAB.onmicrosoft.com. Användarkontot representeras bara en gång i Microsoft Entra-ID och privata anslutningar används inte.
4. Användare synkroniserar sedan från Microsoft Entra-ID till hanterade Microsoft Entra Domain Services som en enkelriktad synkronisering.
5. Ett anpassat och dirigerbart Microsoft Entra Domain Services-domännamn, aadds.newcompanyAB.com, skapas. Den newcompanyAB.com domänen är en registrerad domän som stöder LDAP-certifikat. Vi rekommenderar vanligtvis att du inte använder icke-dirigerbara domännamn, till exempel contoso.local, eftersom det kan orsaka problem med DNS-matchning.
6. Azure Virtual Desktop-sessionsvärdarna ansluter till Domänkontrollanterna för Microsoft Entra Domain Services.
7. Värdpooler och appgrupper kan skapas i en separat prenumeration och ett virtuellt ekernätverk.
8. Användare tilldelas till appgrupperna.
9. Användare loggar in med antingen Azure Virtual Desktop-programmet eller webbklienten, med ett UPN i ett format som john@companyA.com, jane@companyB.comeller joe@newcompanyAB.com, beroende på deras konfigurerade UPN-suffix.
10. Användarna får sina respektive virtuella skrivbord eller appar. Visas till exempel john@companyA.com med virtuella skrivbord eller appar i värdpool A, jane@companyB visas med virtuella skrivbord eller appar i värdpool B och joe@newcompanyAB visas med virtuella skrivbord eller appar i värdpoolEN AB.
11. Lagringskontot (Azure Files används för FSLogix) är anslutet till den hanterade domänen AD DS. FSLogix-användarprofilerna skapas i Azure Files-resurser.

Komponenter

Du implementerar den här arkitekturen med hjälp av följande tekniker:

• Microsoft Entra ID
• Microsoft Entra Domain Services
• Azure Files
• Azure Virtual Desktop
• Azure Virtual Network

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Tom Maher | Senior säkerhets- och identitetstekniker

Nästa steg

• Arkitektur för flera Active Directory-skogar med Azure Virtual Desktop
• Azure Virtual Desktop för företag
• Microsoft Entra Connect-topologier
• Jämföra olika identitetsalternativ
• Dokumentation om Azure Virtual Desktop

Relaterade resurser

• Hybrid arkitekturdesign
• Flera skogar med AD DS och Microsoft Entra ID