具有 AD DS、Microsoft Entra ID 和 Microsoft Entra Domain Services 的多個樹系

此解決方案概念說明如何使用 Microsoft Entra Domain Services，在最低可行產品 （MVP） 或概念證明 （POC） 環境中快速部署 Azure 虛擬桌面。 使用此概念將內部部署多樹系 AD DS 身分識別延伸至 Azure，而不需要私人連線，也支援 舊版驗證。

潛在使用案例

此解決方案構想也適用於合併和收購、組織重新命名，以及多個內部部署身分識別需求。

架構

下載此架構的 Visio 檔案。

資料流程

下列步驟示範此架構中的數據如何以身分識別的形式流動。

1. 複雜的混合式 內部部署的 Active Directory 環境存在，具有兩個以上的Active Directory樹系。 網域位於不同的樹系中，具有不同的用戶主體名稱 （UPN） 後綴。 例如，具有 UPN 後綴的 CompanyA.local CompanyA.com、具有 UPN 後綴的 CompanyB.local CompanyB.com，以及額外的 UPN 後綴 newcompanyAB.com。
2. 環境 會使用 Microsoft Entra Domain Services 所提供的兩個雲端受控域控制器，而不是使用內部部署或 Azure 上的客戶管理的域控制器（也就是 Azure 基礎結構即服務（IaaS） 域控制器。
3. Microsoft Entra Connect 會將使用者從 CompanyA.com 和 CompanyB.com 同步至 Microsoft Entra 租使用者，newcompanyAB.onmicrosoft.com。 用戶帳戶只會在 Microsoft Entra ID 中表示一次，而且不會使用私人連線。
4. 然後，使用者會將Microsoft Entra標識符同步至受控Microsoft Entra Domain Services 做為單向同步處理。
5. 系統會建立自定義且 可 路由傳送Microsoft Entra Domain Services 功能變數名稱 ，aadds.newcompanyAB.com。 newcompanyAB.com 網域是支援LDAP憑證的已註冊網域。 我們通常建議您 不要 使用無法路由傳送的功能變數名稱，例如 contoso.local，因為它可能會導致 DNS 解析的問題。
6. Azure 虛擬桌面會話主機會加入 Microsoft Entra Domain Services 域控制器。
7. 主機集區和應用程式群組可以在不同的訂用帳戶和輪輻虛擬網路中建立。
8. 使用者會指派給應用程式群組。
9. 使用者會使用 Azure 虛擬桌面應用程式 或 Web 用戶端登入，其格式為 john@companyA.com、 jane@companyB.com、 或 joe@newcompanyAB.com，視其設定的 UPN 後綴而定。
10. 使用者會看到各自的虛擬桌面或應用程式。 例如， john@companyA.com 會在主機集區 A 中呈現虛擬桌面或應用程式，jane@companyB會顯示主機集區 B 中的虛擬桌面或應用程式，而joe@newcompanyAB則會在主機集區 AB 中呈現虛擬桌面或應用程式。
11. 記憶體帳戶 （Azure 檔案儲存體 用於 FSLogix） 會加入受控網域 AD DS。 FSLogix 使用者配置檔會在 Azure 檔案儲存體 共用中建立。

元件

您可以使用下列技術來實作此架構：

• Microsoft Entra ID
• Microsoft Entra Domain Services
• Azure 檔案
• Azure 虛擬桌面
• Azure 虛擬網路

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者：

• Tom Maher |高級安全性與身分識別工程師

下一步

• 使用 Azure 虛擬桌面的多個 Active Directory 樹系架構
• 適用於企業的 Azure 虛擬桌面
• Microsoft Entra Connect 拓撲
• 比較不同的身分識別選項
• Azure 虛擬桌面文件

相關資源

• 混合架構設計
• 具有 AD DS 和 Microsoft Entra 識別碼的多個樹系