AD DS, Microsoft Entra Id ve Microsoft Entra Domain Services ile birden çok orman

Microsoft Entra ID
Microsoft Entra
Azure Files
Azure Virtual Desktop

Çözüm fikirleri

Bu makalede bir çözüm fikri açıklanmaktadır. Bulut mimarınız bu mimarinin tipik bir uygulaması için ana bileşenleri görselleştirmeye yardımcı olmak için bu kılavuzu kullanabilir. İş yükünüzün özel gereksinimlerine uygun iyi tasarlanmış bir çözüm tasarlamak için bu makaleyi başlangıç noktası olarak kullanın.

Bu çözüm fikri, Azure Sanal Masaüstü'nü en düşük uygulanabilir üründe (MVP) veya Microsoft Entra Domain Services kullanımıyla kavram kanıtı (POC) ortamında hızla dağıtmayı göstermektedir. Bu fikri hem şirket içi çok ormanlı Active Directory Etki Alanı Hizmetleri (AD DS) kimliklerini özel bağlantı olmadan Azure'a genişletmek hem de eski kimlik doğrulamasını desteklemek için kullanın.

Olası kullanım örnekleri

Bu çözüm fikri, birleştirmeler ve alımlar, kuruluş yeniden markalama ve birden çok şirket içi kimlik gereksinimleri için de geçerlidir.

Mimari

Microsoft Entra Domain Services ile Azure Sanal Masaüstü diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

Veri akışı

Aşağıdaki adımlar, verilerin bu mimaride kimlik biçiminde nasıl aktığını gösterir.

  1. İki veya daha fazla Active Directory ormanı içeren karmaşık karma şirket içi Active Directory ortamları vardır. Etki alanları ayrı ormanlarda, ayrı Kullanıcı Asıl Adı (UPN) sonekleri ile yaşar. Örneğin, UPN soneki CompanyA.com CompanyA.local, UPN soneki CompanyB.com companyB.local ve ek bir UPN soneki newcompanyAB.com.
  2. Şirket içinde veya Azure'da (hizmet olarak Azure altyapısı (IaaS) etki alanı denetleyicileri) müşteri tarafından yönetilen etki alanı denetleyicileri kullanmak yerine, ortam Microsoft Entra Domain Services tarafından sağlanan iki bulut tarafından yönetilen etki alanı denetleyicisini kullanır.
  3. Microsoft Entra Connect, kullanıcıları hem CompanyA.com hem de CompanyB.com Microsoft Entra kiracısına newcompanyAB.onmicrosoft.com eşitler. Kullanıcı hesabı Microsoft Entra Id'de yalnızca bir kez temsil edilir ve özel bağlantı kullanılmaz.
  4. Kullanıcılar daha sonra Microsoft Entra Id'den yönetilen Microsoft Entra Domain Services ile tek yönlü eşitleme olarak eşitlenir.
  5. Özel ve yönlendirilebilir bir Microsoft Entra Domain Services etki alanı adı ( aadds.newcompanyAB.com) oluşturulur. newcompanyAB.com etki alanı, LDAP sertifikalarını destekleyen kayıtlı bir etki alanıdır. DNS çözümlemesiyle ilgili sorunlara neden olabileceği için genellikle contoso.local gibi yönlendirilebilir olmayan etki alanı adları kullanmamanızı öneririz.
  6. Azure Sanal Masaüstü oturum konakları, Microsoft Entra Domain Services etki alanı denetleyicilerine katılır.
  7. Konak havuzları ve uygulama grupları ayrı bir abonelik ve uç sanal ağında oluşturulabilir.
  8. Kullanıcılar uygulama gruplarına atanır.
  9. Kullanıcılar, yapılandırılmış UPN sonekine bağlı olarak , veya gibi john@companyA.comjane@companyB.combir biçimde bir UPN ile Azure Sanal Masaüstü uygulamasını veya joe@newcompanyAB.comweb istemcisini kullanarak oturum açar.
  10. Kullanıcılara ilgili sanal masaüstleri veya uygulamaları sunulur. Örneğin, john@companyA.com A konak havuzundaki sanal masaüstleri veya uygulamalar, jane@companyB B konak havuzundaki sanal masaüstleri veya uygulamalar ile sunulur ve joe@newcompanyAB konak havuzu AB'deki sanal masaüstleri veya uygulamalarla sunulur.
  11. Depolama hesabı (Azure Dosyalar FSLogix için kullanılır) yönetilen AD DS etki alanına katılır. FSLogix kullanıcı profilleri Azure Dosyalar paylaşımlarda oluşturulur.

Not

Bileşenler

Bu mimariyi aşağıdaki teknolojileri kullanarak uygularsınız:

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

  • Tom Maher | Üst Düzey Güvenlik ve Kimlik Mühendisi

Sonraki adımlar