整合 Microsoft Entra ID 與 Active Directory 網域服務
現在您已設定 Microsoft Entra ID,您必須將其與內部部署 Active Directory 整合。
設定一致的登入體驗
如果您在內部部署 Active Directory Domain Services (AD DS) 環境中使用,建議您以相同的使用者名稱、密碼或多重要素驗證等控制方式,設定一致的登入體驗。 這可讓您的使用者使用一組認證來存取他們在 Azure 虛擬桌面和其他 Microsoft 雲端服務中的資源。
有幾個同步處理選項可供使用:
- 密碼哈希同步 - 密碼的用戶名稱和哈希會同步處理至 Microsoft Entra ID
- 傳遞驗證 - 您的內部部署目錄服務可以為 Microsoft 雲端服務執行簡單的驗證,您的網域控制站幾乎不需要內部部署設定
- Active Directory 同盟服務 - 這是更複雜的合作夥伴同盟、RSA 權杖和智慧卡驗證。 如果您使用此選項,將需要佈建額外的內部部署伺服器,並確保它們高度可用。
您可以使用 Microsoft Entra Connect 來設定同步處理。
設定 Azure 虛擬桌面的 Active Directory 網域服務
在 Azure 虛擬桌面中,您的遠端工作階段使用 AD DS 的方式,與內部部署上目前的虛擬和實體桌面環境在 VM 層進行工作階段登入的方式相同。 您有下列選項可以連線或佈建 Azure 虛擬桌面的 AD DS:
在 Azure 中執行的託管 Windows Server VM 中部署網域控制站。 網域控制站在虛擬網路中單獨執行,或與您的內部部署目錄服務連線。 這是最便宜的方法,但需要您管理虛擬機器(VM)。 您必須確定 VM 高度可用,且已連線到您的 Azure 虛擬桌面工作階段主機所連的同一虛擬網路。
布建 Microsoft Entra Domain Services。 這是服務式的 AD DS。 您不需要維護任何網域控制站 VM。 您可以將 Microsoft Entra Domain Services 連線到與 Azure 虛擬桌面環境相同的虛擬網路。 您可以使用 Microsoft Entra Domain Services 搭配或不使用本機 AD。 如果您將它連線到您的內部部署網域,其行為就像您目前的網域控制站,不需要負擔額外的管理。
將您的網路連線到 Azure,並在您的資料中心和 Azure 之間建立連結。 當您建立連線時,請確定您運作的網域控制站可讓 Azure 中執行的 Azure 虛擬桌面 VM 安全地存取。 您可以使用 VPN 連線,或使用 Azure ExpressRoute 取得連線能力。
