Várias florestas com o AD DS e o Microsoft Entra ID

Muitas organizações desejam aproveitar a Área de Trabalho Virtual do Azure para criar ambientes que tenham várias florestas locais do Active Directory.

Este artigo expande a arquitetura descrita no artigo Área de Trabalho Virtual do Azure em escala empresarial. O objetivo é ajudar você a entender como integrar vários domínios e a Área de Trabalho Virtual do Azure usando o Microsoft Entra Connect para sincronizar usuários dos Serviços de Domínio Active Directory (AD DS) locais ao Microsoft Entra ID.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de dados

Nessa arquitetura, o fluxo de identidade funciona conforme mostrado a seguir:

1. O Microsoft Entra Connect sincroniza os usuários tanto de CompanyA.com quanto de CompanyB.com ao locatário do Microsoft Entra (NewCompanyAB.onmicrosoft.com).
2. Os pools de host, os workspaces e os grupos de aplicativos são criados nas assinaturas separadas e redes virtuais spoke.
3. Os usuários são atribuídos aos grupos de aplicativos.
4. Os hosts de sessão do Azure Virtual Desktop nos pools de host ingressam nos domínios CompanyA.com e CompanyB.com usando controladores de domínio (DCs) no Azure.
5. Os usuários entram usando o aplicativo de Área de Trabalho Virtual do Azure ou o cliente Web com um Nome Principal de Usuário (UPN) no seguinte formato: user@NewCompanyA.com, user@CompanyB.comou user@NewCompanyAB.com, dependendo do sufixo UPN configurado.
6. Os usuários recebem as respectivas áreas de trabalho virtuais ou os aplicativos. Por exemplo, os usuários da CompanyA recebem áreas de trabalho virtuais ou aplicativos no Workspace A, no pool de host 1 ou 2.
7. Os perfis de usuário do FSLogix são criados nos compartilhamento de Arquivos do Azure nas contas de armazenamento correspondentes.
8. Os Objetos de Política de Grupo (GPOs) sincronizados no local são aplicados a usuários e hosts de sessão da Área de Trabalho Virtual do Azure.

Componentes

Essa arquitetura usa os mesmos componentes listados enaArquitetura da Área de Trabalho Virtual do Azure em escala empresarial.

Além disso, a arquitetura usa os seguintes componentes:

• Microsoft Entra Connect no modo de preparo: O servidor de preparo para topologias do Microsoft Entra Connect fornece redundância adicional para a instância do Microsoft Entra Connect.

• Assinaturas do Azure, espaços de trabalho da Área de Trabalho Virtual do Azure e pools de host: você pode usar várias assinaturas, espaços de trabalho da Área de Trabalho Virtual do Azure e pools de hosts para limites de administração e requisitos de negócios.

Detalhes do cenário

Este diagrama de arquitetura representa um cenário típico que contém os seguintes elementos:

• O locatário do Microsoft Entra está disponível para uma nova empresa chamada NewCompanyAB.onmicrosoft.com.
• O Microsoft Entra Connect sincroniza usuários do AD DS local com o Microsoft Entra ID.
• Company A e Company B têm assinaturas separadas do Azure. Elas também têm uma assinatura de serviços compartilhados conhecida como Assinatura 1 no diagrama.
• Uma arquitetura hub-spoke do Azure é implementada com uma rede virtual de hub de serviços compartilhados.
• Os ambientes híbridos complexos do Active Directory local estão presentes com duas ou mais florestas do Active Directory. Os domínios estão em florestas separadas, cada um com um sufixo UPN diferente. Por exemplo, CompanyA.local com o sufixo UPN CompanyA.com, CompanyB.local com o sufixo UPN CompanyB.com e um sufixo UPN adicional NewCompanyAB.com.
• Os controladores de domínio para as duas florestas se encontram no local e no Azure.
• Os domínios verificados estão presentes no Azure para CompanyA.com, CompanyB.com e NewCompanyAB.com.
• GPO e autenticação herdada, como Kerberos, NTLM (Windows New Technology LAN Manager) e LDAP (Lightweight Directory Access Protocol), são usados.
• Os ambientes do Azure que ainda têm uma infraestrutura local de dependência, conectividade privada (VPN site a site ou Azure ExpressRoute) estão configurados entre o local e o Azure.
• O ambiente de Área de Trabalho Virtual do Azure consiste em um espaço de trabalho da Área de Trabalho Virtual do Azure para cada unidade de negócios e dois pools de host por espaço de trabalho.
• Os hosts de sessão da Área de Trabalho Virtual do Azure são associados a controladores de domínio no Azure. Ou seja, os hosts de sessão CompanyA ingressam no domínio CompanyA.local, e os hosts de sessão CompanyB ingressam no domínio CompanyB.local.
• As contas do Armazenamento do Azure podem usar os Arquivos do Azure para perfis do FSLogix. Uma conta é criada por domínio da empresa (ou seja, CompanyA.local e CompanyB.local) e ingressada no domínio correspondente.

Possíveis casos de uso

Aqui estão alguns casos de uso relevantes para essa arquitetura:

• Fusões e aquisições, reformulação da identidade visual da organização e identidades múltiplas locais
• Ambientes complexos do Active Directory local (várias florestas, vários domínios, requisitos de política de grupo (ou GPO) e autenticação herdada)
• Infraestrutura de GPO local com a Área de Trabalho Virtual do Azure

Considerações

Ao projetar sua carga de trabalho com base nessa arquitetura, tenha em mente as ideias a seguir.

Objetos de Política de Grupo

• Para estender a infraestrutura de GPO para a Área de Trabalho Virtual do Azure, os controladores de domínio locais devem sincronizar com os controladores de domínio de infraestrutura como serviço (IaaS) do Azure.

• A extensão da infraestrutura de GPO para controladores de domínio de IaaS do Azure exige conectividade privada.

Rede e conectividade

• Os controladores de domínio são componentes compartilhados, ou seja, precisam ser implantados em uma rede virtual de hub de serviços compartilhados nesta arquitetura hub-spoke.

• Os hosts de sessão do Ambiente de Trabalho Virtual do Azure associam-se ao controlador de domínio no Azure por meio do respectivo emparelhamento de rede virtual hub-spoke.

Armazenamento do Azure

As seguintes considerações sobre design se aplicam aos contêineres de perfil do usuário, aos contêineres de cache de nuvem e aos pacotes MSIX:

• Você pode usar Arquivos do Azure e o Azure NetApp Files nesse cenário. Escolha a solução certa com base em fatores como desempenho esperado, custo etc.

• As contas de Armazenamento do Azure e o Azure NetApp Files estão limitados a ingressar em um único AD DS por vez. Nesses casos, várias contas do Armazenamento do Azure ou instâncias do Azure NetApp Files serão necessárias.

Microsoft Entra ID

Nos cenários com usuários em várias florestas do Active Directory local, apenas um servidor da Sincronização do Microsoft Entra Connect é conectado ao locatário do Microsoft Entra. Uma exceção a isso é um servidor do Microsoft Entra Connect que é usado no modo de preparo.

Há suporte para as seguintes topologias de identidade:

• Várias florestas do Active Directory local.
• Uma ou mais florestas de recursos confiam em todas as florestas da conta.
• Uma topologia de malha completa permite que os usuários e os recursos estejam em qualquer floresta. Normalmente, há relações de confiança bidirecionais entre as florestas.

Para obter mais detalhes, leia a seção Servidor de preparo de Topologias do Microsoft Entra Connect.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Tom Maher | Engenheiro de Segurança e Identidade Sênior

Próximas etapas

Para obter mais informações, consulte os seguintes artigos:

• Topologia do Microsoft Entra Connect
• Compare diferentes opções de identidade: Serviços de Domínio do Active Directory (AD DS) autogerenciado, Microsoft Entra ID e Serviços de Domínio do Microsoft Entra
• Documentação da Área de Trabalho Virtual do Azure

Recursos relacionados

• Área de Trabalho Virtual do Azure para empresas
• Ideia de solução: Várias florestas com os Serviços de Domínio do Microsoft Entra