将 Microsoft Entra ID 与 Active Directory 域服务集成
设置 Microsoft Entra ID 后,需要将其与本地 Active Directory 集成。
配置一致的登录体验
我们建议使用与本地 Active Directory 域服务 (AD DS) 环境中使用的相同用户名、密码或多重身份验证控件配置一致的登录体验。 这样,用户可以使用一组凭据来访问其在 Azure 虚拟桌面和其他 Microsoft 云服务中的资源。
下面介绍几种可用的同步选项:
- 密码哈希同步 - 密码的用户名和哈希同步到 Microsoft Entra ID
- 直通身份验证 – 本地目录服务可以为 Microsoft 云服务执行简单的身份验证,只需要在域控制器上进行很少的本地配置
- Active Directory 联合身份验证服务 – 更复杂的合作伙伴联合身份验证、RSA 令牌和智能卡身份验证。 如果使用此选项,则需要预配其他本地服务器,并确保它们具有高可用性。
可以使用 Microsoft Entra Connect 设置同步。
配置适用于 Azure 虚拟桌面的 Active Directory 域服务
在 Azure 虚拟桌面中,远程会话使用 AD DS 的方式与当前本地虚拟和物理桌面环境在 VM 层上进行会话登录的方式相同。 可以使用以下选项来连接或预配 Azure 虚拟桌面的 AD DS:
在 Azure 中运行的托管 Windows Server VM 中部署域控制器。 域控制器在虚拟网络中独立运行,或者与本地目录服务连接。 这是最便宜的方法,但需要您管理虚拟机 (VM)。 你需要确保 VM 高度可用,并且已连接到你的 Azure 虚拟桌面会话主机所连接的同一虚拟网络。
预配 Microsoft Entra 域服务。 这是 AD DS 即服务。 无需维护任何域控制器 VM。 将 Microsoft Entra 域服务连接到与 Azure 虚拟桌面环境相同的虚拟网络。 可以使用具有或不使用本地 AD 的 Microsoft Entra 域服务。 如果将其连接到本地域,则其行为类似于当前的域控制器,而没有管理开销。
将网络连接到 Azure,并在数据中心和 Azure 之间建立连接。 建立连接时,请确保所操作的域控制器可安全地用于 Azure 中运行的 Azure 虚拟桌面 VM。 可以使用 VPN 连接或使用 Azure ExpressRoute 进行连接。
