Ideias de soluções
Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.
Esta ideia de solução ilustra como implantar a Área de Trabalho Virtual do Azure rapidamente em um ambiente de produto viável mínimo (MVP) ou de prova de conceito (POC) com o uso dos Serviços de Domínio do Microsoft Entra. Use essa ideia para estender identidades locais do Active Directory Domain Services (AD DS) de várias florestas locais para o Azure sem conectividade privada e também para oferecer suporte à autenticação herdada.
Possíveis casos de uso
Essa ideia de solução também se aplica a fusões e aquisições, à redefinição da marca da organização e a vários requisitos de identidades locais.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Fluxo de dados
As etapas a seguir mostram como os dados fluem nessa arquitetura na forma de identidade.
- Os ambientes híbridos complexos do Active Directory local estão presentes com duas ou mais florestas do Active Directory. Os domínios vivem em florestas separadas, com sufixos UPN (Nome Principal do Usuário) distintos. Por exemplo, CompanyA.local com o sufixo UPN CompanyA.com, CompanyB.local com o sufixo UPN CompanyB.com e um sufixo UPN adicional newcompanyAB.com.
- Em vez de usar controladores de domínio gerenciados pelo cliente, no local ou no Azure (ou seja, controladores de domínio de infraestrutura como serviço (IaaS) do Azure), o ambiente usa os dois controladores de domínio gerenciados na nuvem fornecidos pelos Serviços de Domínio do Microsoft Entra.
- O Microsoft Entra Connect sincroniza os usuários tanto de CompanyA.com e CompanyB.com ao locatário do Microsoft Entra (newcompanyAB.onmicrosoft.com). A conta de usuário é representada apenas uma vez no Microsoft Entra ID, e não é usada conectividade privada.
- Em seguida, os usuários sincronizam o Microsoft Entra ID para os Serviços de Domínio do Microsoft Entra gerenciados como uma sincronização unidirecional.
- Um nome de domínio personalizado e roteável dos Serviços de Domínio do Microsoft Entra, aadds.newcompanyAB.com, é criado. O newcompanyAB.com é um domínio registrado para dar suporte a certificados LDAP. Geralmente, recomendamos não usar nomes de domínio não roteáveis (com, contoso.local), pois isso pode causar problemas com a resolução do DNS.
- Os hosts de sessão da Área de Trabalho Virtual do Azure ingressam nos controladores de domínio dos Serviços de Domínio do Microsoft Entra.
- Podem ser criados pools de hosts e grupos de aplicativos em uma assinatura separada e em uma rede virtual spoke.
- Os usuários são atribuídos aos grupos de aplicativos.
- Os usuários entram usando o aplicativo de Área de Trabalho Virtual do Azure ou o cliente Web com um UPN no seguinte formato: john@companyA.com, jane@companyB.comou joe@newcompanyAB.com, dependendo do sufixo UPN configurado.
- Os usuários recebem as respectivas áreas de trabalho virtuais ou os aplicativos. Por exemplo, john@companyA.com será apresentado com áreas de trabalho virtuais ou aplicativos no pool de host A, jane@companyB será apresentado com áreas de trabalho virtuais ou aplicativos no pool de host B, e joe@newcompanyAB será apresentado com áreas de trabalho virtuais ou aplicativos no pool de host AB.
- A conta de armazenamento (Arquivos do Azure usados para FSLogix) é unida ao domínio gerenciado do AD DS. Os perfis de usuário do FSLogix são criados nos compartilhamentos de arquivos do Azure.
Observação
- Para requisitos de Política de Grupo nos Serviços de Domínio do Microsoft Entra, você pode instalar ferramentas de Gerenciamento de Política de Grupo em uma máquina virtual do Windows Server que ingressou nos Serviços de Domínio do Microsoft Entra.
- Para estender a infraestrutura de Política de Grupo para a Área de Trabalho Virtual do Azure a partir dos controladores de domínio locais, você precisa exportá-la e importá-la manualmente para os Serviços de Domínio do Microsoft Entra.
Componentes
Você implementa essa arquitetura usando as seguintes tecnologias:
- Microsoft Entra ID
- Serviços de Domínio do Microsoft Entra
- Arquivos do Azure
- Área de Trabalho Virtual do Azure
- Rede Virtual do Azure
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Tom Maher | Engenheiro de Segurança e Identidade Sênior
Próximas etapas
- Arquitetura de várias florestas do Active Directory com a Área de Trabalho Virtual do Azure
- Área de Trabalho Virtual do Azure para empresas
- Topologias do Microsoft Entra Connect
- Comparar diferentes opções de identidade
- Documentação da Área de Trabalho Virtual do Azure