Интеграция доменных служб Microsoft Entra с развертыванием RDS

Доменные службы Microsoft Entra можно использовать в развертывании служб удаленных рабочих столов вместо Windows Server Active Directory. Доменные службы Microsoft Entra позволяют использовать существующие удостоверения Microsoft Entra в классических рабочих нагрузках Windows.

С помощью доменных служб Microsoft Entra вы можете:

• создать среду Azure с локальным доменом для полностью облачных организаций;
• создать изолированную среду Azure с теми же удостоверениями, которые используются для локальной и онлайн-среды без необходимости создания соединения ExpressRoute или VPN-соединения типа "сеть-сеть".

После завершения интеграции доменных служб Microsoft Entra в развертывание удаленного рабочего стола архитектура будет выглядеть примерно так:

Чтобы сравнить эту архитектуру с другими сценариями развертывания служб удаленных рабочих столов, см. статью Архитектура служб удаленных рабочих столов.

Чтобы лучше понять доменные службы Microsoft Entra, проверка обзор доменных служб Microsoft Entra и как решить, подходит ли доменные службы Microsoft Entra для вашего варианта использования.

Используйте следующие сведения для развертывания доменных служб Microsoft Entra с помощью RDS.

Необходимые компоненты

Прежде чем вы сможете перенести удостоверения из идентификатора Microsoft Entra для использования в развертывании RDS, настройте идентификатор Microsoft Entra, чтобы сохранить хэшированные пароли для удостоверений пользователей. Организации, родившиеся в облаке, не должны вносить дополнительные изменения в каталоге; однако локальным организациям необходимо разрешить синхронизацию хэшей паролей и хранить их в идентификаторе Microsoft Entra, что может быть недопустимо для некоторых организаций. Пользователи вынуждены сбрасывать свои пароли после смены настроек.

Развертывание доменных служб Microsoft Entra и RDS

Чтобы развернуть доменные службы Microsoft Entra и RDS, выполните следующие действия.

1. Включите доменные службы Microsoft Entra. Обратите внимание, что статья по ссылке охватывает следующие действия:

   • Пошаговое руководство по созданию соответствующих групп Microsoft Entra для администрирования домена.
   • Выделите, когда пользователям может потребоваться изменить пароль, чтобы учетные записи могли работать с доменными службами Microsoft Entra.

2. Задайте настройки службы удаленных рабочих столов. Вы можете использовать шаблон Azure или развернуть службу удаленных рабочих столов вручную.

   • Используйте существующий шаблон доменных служб. Не забудьте задать следующие настройки.

     • Параметры

       • Группа ресурсов. Используйте группу ресурсов, в которой требуется создать ресурсы RDS.

         Примечание.

         Это должна быть та же группа ресурсов, в которой существует виртуальная сеть диспетчера ресурсов Azure.

       • Префикс метки DNS: введите URL-адрес, который пользователи будут использовать для доступа к интернету удаленных рабочих столах.

       • Доменное имя ad: введите полное имя экземпляра Microsoft Entra, например "contoso.onmicrosoft.com" или "contoso.com".

       • Имя виртуальной сети Ad и имя подсети Ad. Введите те же значения, которые использовались при создании виртуальной сети Azure resource manager. Это подсеть, к которой будут подключаться ресурсы служб удаленных рабочих столов.

       • Администратор имя пользователя и пароль Администратор: введите учетные данные для пользователя администратора, являющегося членом группы Администратор istratorов контроллера домена AAD в идентификаторе Microsoft Entra.

     • Шаблон

       • Удалите все свойства dnsServers: выбрав команду Изменить шаблон на странице шаблона быстрого запуска Azure найдите запись dnsServers и удалите свойство.

         Например, перед удалением свойства dnsServers:

         

         Здесь тот же файл после удаления свойства:

         

   • Развертывание служб удаленных рабочих столов вручную.