Lösungsmöglichkeiten
In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.
Dieser Lösungsvorschlag veranschaulicht, wie Sie Azure Virtual Desktop innerhalb kurzer Zeit in einer MVP-Umgebung (Minimum Viable Product) oder POC-Umgebung (Proof of Concept) unter Verwendung von Microsoft Entra Domain Services bereitstellen können. Verwenden Sie diese Idee, um lokale AD DS-Identitäten (Active Directory Domain Services) mit mehreren Gesamtstrukturen auf Azure ohne private Konnektivität zu erweitern und die Legacy-Authentifizierung zu unterstützen.
Mögliche Anwendungsfälle
Sie können die Ideen ebenfalls bei Fusionen und Übernahmen, Rebrandings von Unternehmen und für die Anforderungen mehrerer lokaler Identitäten verwenden.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
Datenfluss
Nachfolgend wird erläutert, wie die Daten in dieser Architektur in Form von Identitäten verlaufen.
- Es sind komplexe hybride lokale Active Directory-Umgebungen mit zwei oder mehr Active Directory-Gesamtstrukturen vorhanden. Domänen befinden sich in separaten Gesamtstrukturen mit unterschiedlichen UPN-Suffixen (User Principal Name). Beispielsweise CompanyA.local mit dem UPN-Suffix CompanyA.com, CompanyB.local mit dem UPN-Suffix CompanyB.com und ein zusätzliches UPN-Suffix namens newcompanyAB.com.
- Es werden keine kundenseitig verwalteten Domänencontroller (lokal oder in Azure in Form von Azure-IaaS-Domänencontrollern) verwendet, sondern die Umgebung nutzt die beiden in der Cloud verwalteten Domänencontroller, die von Microsoft Entra Domain Services bereitgestellt werden.
- Microsoft Entra Connect synchronisiert Benutzer*innen von CompanyA.com und CompanyB.com mit einem Microsoft Entra-Mandanten, newcompanyAB.onmicrosoft.com. Das Benutzerkonto wird nur einmal in Microsoft Entra ID dargestellt, und private Konnektivität wird nicht verwendet.
- Benutzer*innen werden dann unidirektional von Microsoft Entra ID mit der verwalteten Microsoft Entra Domain Services-Instanz synchronisiert.
- Ein benutzerdefinierter und routingfähiger Microsoft Entra Domain Services-Domänenname, aadds.newcompanyAB.com, wird erstellt. Die Domäne newcompanyAB.com ist eine registrierte Domäne, die LDAP-Zertifikate unterstützt. Wir empfehlen generell, keine nicht routingfähigen Domänennamen wie contoso.local zu verwenden, da dies zu Problemen mit der DNS-Auflösung führen kann.
- Die Azure Virtual Desktop-Sitzungshosts treten den Microsoft Entra Domain Services-Domänencontrollern bei.
- Hostpools und App-Gruppen können in einem separaten Abonnement und einem eigenen virtuellen Spokenetzwerk erstellt werden.
- Die Benutzer werden App-Gruppen zugewiesen.
- Benutzer melden sich mit der Azure Virtual Desktop-Anwendung oder dem Webclient mit einem Benutzerprinzipalnamen (UPN) im folgenden Format an: john@companyA.com, jane@companyB.com, oder joe@newcompanyAB.com, je nach konfiguriertem UPN-Suffix.
- Den Benutzern werden die entsprechenden virtuellen Desktops oder Apps angezeigt. Beispielsweise wird john@companyA.com mit virtuellen Desktops oder Apps in Hostpool A dargestellt, jane@companyB mit virtuellen Desktops oder Apps in Hostpool B und joe@newcompanyAB mit virtuellen Desktops oder Apps in Hostpool AB.
- Das Storage-Konto (Azure Files für FSLogix) ist mit der verwalteten Domäneninstanz von AD DS verknüpft. Die FSLogix-Benutzerprofile werden in Azure Files-Freigaben erstellt.
Hinweis
- Bei Gruppenrichtlinienanforderungen in Microsoft Entra Domain Services können Sie Tools zur Verwaltung von Gruppenrichtlinien auf einem virtuellen Windows Server-Computer installieren, der mit Microsoft Entra Domain Services verknüpft ist.
- Um die Gruppenrichtlinieninfrastruktur für Azure Virtual Desktop von den lokalen Domänencontrollern zu erweitern, müssen Sie sie manuell exportieren und in Microsoft Entra Domain Services importieren.
Komponenten
Sie implementieren diese Architektur, indem Sie die folgenden Technologien verwenden:
- Microsoft Entra ID
- Microsoft Entra Domain Services
- Azure Files
- Azure Virtual Desktop
- Azure Virtual Network
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Tom Maher | Senior Security and Identity Engineer
Nächste Schritte
- Architektur mit mehreren AD-Gesamtstrukturen mit Azure Virtual Desktop
- Azure Virtual Desktop für Unternehmen
- Microsoft Entra Connect-Topologien
- Vergleichen von verschiedenen Identitätsoptionen
- Dokumentation zu Azure Virtual Desktop