솔루션 아이디어
이 문서는 솔루션 아이디어 설명입니다. 클라우드 설계자는 이 지침을 사용하여 이 아키텍처의 일반적인 구현을 위한 주요 구성 요소를 시각화할 수 있습니다. 이 문서를 시작점으로 사용하여 워크로드의 특정 요구 사항에 맞는 잘 설계된 솔루션을 디자인할 수 있습니다.
이 솔루션 아이디어는 Microsoft Entra Domain Services를 사용하여 MVP(실행 가능한 최소 제품) 또는 POC(개념 증명) 환경에서 Azure Virtual Desktop을 신속하게 배포하는 방법을 보여 줍니다. 이 아이디어를 사용하여 프라이빗 연결 없이 온-프레미스 AD DS(다중 포리스트 Active Directory 도메인 Services) ID를 Azure로 확장하고 레거시 인증을 지원합니다.
잠재적인 사용 사례
이 솔루션 아이디어는 인수 합병, 조직 리브랜딩 및 여러 온-프레미스 ID 요구 사항에도 적용됩니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
데이터 흐름
다음 단계에서는 ID의 형태로 이 아키텍처에서 데이터가 흐르는 방법을 보여 줍니다.
- 복잡한 하이브리드 온-프레미스 Active Directory 환경에는 두 개 이상의 Active Directory 포리스트가 있습니다. 도메인은 고유한 UPN(사용자 계정 이름) 접미사를 갖는 별도의 포리스트에 있습니다. 예를 들어 UPN 접미사가 CompanyA.com인 CompanyA.local, UPN 접미사가 CompanyB.com인 CompanyB.local 그리고 추가 UPN 접미사인 newcompanyAB.com입니다.
- 온-프레미스 또는 Azure(즉, Azure IaaS(Infrastructure as a Service) 도메인 컨트롤러)에서 고객 관리형 도메인 컨트롤러를 사용하는 대신, 환경은 Microsoft Entra Domain Services에서 제공하는 두 개의 클라우드 관리형 도메인 컨트롤러를 사용합니다.
- Microsoft Entra Connect는 CompanyA.com 및 CompanyB.com 사용자를 Microsoft Entra 테넌트 newcompanyAB.onmicrosoft.com 동기화합니다. 사용자 계정은 Microsoft Entra ID에서 한 번만 표시되며 프라이빗 연결은 사용되지 않습니다.
- 그런 다음 사용자는 Microsoft Entra ID에서 관리되는 Microsoft Entra Domain Services로 단방향 동기화로 동기화합니다.
- 사용자 지정 및 라우팅 가능한 Microsoft Entra Domain Services 도메인 이름( aadds.newcompanyAB.com)이 만들어집니다. newcompanyAB.com 도메인은 LDAP 인증서를 지원하는 등록된 도메인입니다. 일반적으로 DNS 확인에 문제가 발생할 수 있으므로 라우팅할 수 없는 도메인 이름(예: contoso.local)을 사용하지 않는 것이 좋습니다.
- Azure Virtual Desktop 세션 호스트는 Microsoft Entra Domain Services 도메인 컨트롤러에 가입합니다.
- 호스트 풀 및 앱 그룹은 별도의 구독 및 스포크 가상 네트워크에서 만들 수 있습니다.
- 사용자는 앱 그룹에 할당됩니다.
- 사용자는 구성된 UPN 접미사에 따라 john@companyA.com, jane@companyB.com 또는 joe@newcompanyAB.com 형식의 UPN과 함께 Azure Virtual Desktop 애플리케이션 또는 웹 클라이언트를 사용하여 로그인합니다.
- 사용자에게는 해당 가상 데스크톱 또는 앱이 표시됩니다. 예를 들어 john@companyA.com은 호스트 풀 A의 가상 데스크톱 또는 앱이 표시되고, jane@companyB 호스트 풀 B의 가상 데스크톱 또는 앱이 표시되고, joe@newcompanyAB 호스트 풀 AB의 가상 데스크톱 또는 앱이 표시됩니다.
- 스토리지 계정(Azure Files는 FSLogix에 사용됨)은 관리되는 도메인 AD DS에 조인됩니다. FSLogix 사용자 프로필은 Azure Files 공유에서 만들어집니다.
참고 항목
- Microsoft Entra Domain Services의 그룹 정책 요구 사항의 경우 Microsoft Entra Domain Services에 가입된 Windows Server 가상 머신에 그룹 정책 관리 도구를 설치할 수 있습니다.
- 온-프레미스 도메인 컨트롤러에서 Azure Virtual Desktop에 대한 그룹 정책 인프라를 확장하려면 수동으로 내보내고 Microsoft Entra Domain Services로 가져와야 합니다.
구성 요소
이 아키텍처는 다음 기술을 사용하여 구현합니다.
- Microsoft Entra ID
- Microsoft Entra Domain Services
- Azure 파일
- Azure Virtual Desktop
- Azure Virtual Network
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- Tom Maher | 선임 보안 및 ID 엔지니어
다음 단계
- Azure Virtual Desktop을 사용하는 여러 Active Directory 포리스트 아키텍처
- 엔터프라이즈용 Azure Virtual Desktop
- Microsoft Entra Connect 토폴로지
- 다른 ID 옵션 비교
- Azure Virtual Desktop 설명서