解決方案構想
本文說明解決方案概念。 您的雲端架構設計人員可以使用本指南,協助可視化此架構的一般實作的主要元件。 使用本文作為起點,設計符合您工作負載特定需求的架構良好解決方案。
此解決方案概念說明如何使用 Microsoft Entra Domain Services,在最低可行產品 (MVP) 或概念證明 (POC) 環境中快速部署 Azure 虛擬桌面。 使用此概念將內部部署多樹系 AD DS 身分識別延伸至 Azure,而不需要私人連線,也支援 舊版驗證。
潛在使用案例
此解決方案構想也適用於合併和收購、組織重新命名,以及多個內部部署身分識別需求。
架構
資料流程
下列步驟示範此架構中的數據如何以身分識別的形式流動。
- 複雜的混合式 內部部署的 Active Directory 環境存在,具有兩個以上的Active Directory樹系。 網域位於不同的樹系中,具有不同的用戶主體名稱 (UPN) 後綴。 例如,具有 UPN 後綴的 CompanyA.local CompanyA.com、具有 UPN 後綴的 CompanyB.local CompanyB.com,以及額外的 UPN 後綴 newcompanyAB.com。
- 環境 會使用 Microsoft Entra Domain Services 所提供的兩個雲端受控域控制器,而不是使用內部部署或 Azure 上的客戶管理的域控制器(也就是 Azure 基礎結構即服務(IaaS) 域控制器。
- Microsoft Entra Connect 會將使用者從 CompanyA.com 和 CompanyB.com 同步至 Microsoft Entra 租使用者,newcompanyAB.onmicrosoft.com。 用戶帳戶只會在 Microsoft Entra ID 中表示一次,而且不會使用私人連線。
- 然後,使用者會將Microsoft Entra標識符同步至受控Microsoft Entra Domain Services 做為單向同步處理。
- 系統會建立自定義且 可 路由傳送Microsoft Entra Domain Services 功能變數名稱 ,aadds.newcompanyAB.com。 newcompanyAB.com 網域是支援LDAP憑證的已註冊網域。 我們通常建議您 不要 使用無法路由傳送的功能變數名稱,例如 contoso.local,因為它可能會導致 DNS 解析的問題。
- Azure 虛擬桌面會話主機會加入 Microsoft Entra Domain Services 域控制器。
- 主機集區和應用程式群組可以在不同的訂用帳戶和輪輻虛擬網路中建立。
- 使用者會指派給應用程式群組。
- 使用者會使用 Azure 虛擬桌面應用程式 或 Web 用戶端登入,其格式為 john@companyA.com、 jane@companyB.com、 或 joe@newcompanyAB.com,視其設定的 UPN 後綴而定。
- 使用者會看到各自的虛擬桌面或應用程式。 例如, john@companyA.com 會在主機集區 A 中呈現虛擬桌面或應用程式,jane@companyB會顯示主機集區 B 中的虛擬桌面或應用程式,而joe@newcompanyAB則會在主機集區 AB 中呈現虛擬桌面或應用程式。
- 記憶體帳戶 (Azure 檔案儲存體 用於 FSLogix) 會加入受控網域 AD DS。 FSLogix 使用者配置檔會在 Azure 檔案儲存體 共用中建立。
注意
- 針對 Microsoft Entra Domain Services 中的組策略需求,您可以在 已加入 Microsoft Entra Domain Services 的 Windows Server 虛擬機上安裝組策略管理工具 。
- 若要從內部部署域控制器擴充 Azure 虛擬桌面的組策略基礎結構,您必須手動匯出並匯入至 Microsoft Entra Domain Services。
元件
您可以使用下列技術來實作此架構:
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- Tom Maher |高級安全性與身分識別工程師
下一步
- 使用 Azure 虛擬桌面的多個 Active Directory 樹系架構
- 適用於企業的 Azure 虛擬桌面
- Microsoft Entra Connect 拓撲
- 比較不同的身分識別選項
- Azure 虛擬桌面文件