Интеграция доменных служб Microsoft Entra с развертыванием RDS

Доменные службы Microsoft Entra можно использовать в развертывании служб удаленных рабочих столов вместо Windows Server Active Directory. Доменные службы Microsoft Entra позволяют использовать существующие удостоверения Microsoft Entra в классических рабочих нагрузках Windows.

С помощью доменных служб Microsoft Entra вы можете:

• Создайте среду Azure с локальным доменом для организаций, родившихся в облаке.
• Создайте изолированную среду Azure с теми же удостоверениями, которые используются для локальной и онлайн среды, не создавая межсайтовый VPN или ExpressRoute.

После завершения интеграции доменных служб Microsoft Entra в развертывание удаленного рабочего стола архитектура будет выглядеть примерно так:

Чтобы узнать, как эта архитектура сравнивается с другими сценариями развертывания удаленных рабочих столов, ознакомьтесь с архитектурами служб удаленных рабочих столов.

Чтобы лучше понять доменные службы Microsoft Entra, ознакомьтесь с обзором доменных служб Microsoft Entra и узнайте, подходит ли доменные службы Microsoft Entra для вашего варианта использования.

Используйте следующие сведения для развертывания доменных служб Microsoft Entra с помощью RDS.

Prerequisites

Прежде чем вы сможете перенести удостоверения из идентификатора Microsoft Entra для использования в развертывании RDS, настройте идентификатор Microsoft Entra, чтобы сохранить хэшированные пароли для удостоверений пользователей. Организации, родившиеся в облаке, не должны вносить дополнительные изменения в каталоге; однако локальным организациям необходимо разрешить синхронизацию хэшей паролей и хранить их в идентификаторе Microsoft Entra, что может быть недопустимо для некоторых организаций. После изменения конфигурации пользователям придется сбросить пароли.

Развертывание доменных служб Microsoft Entra и RDS

Чтобы развернуть доменные службы Microsoft Entra и RDS, выполните следующие действия.

1. Включите доменные службы Microsoft Entra. Обратите внимание, что связанная статья выполняет следующие действия:

   • Пошаговое руководство по созданию соответствующих групп Microsoft Entra для администрирования домена.
   • Выделите, когда пользователям может потребоваться изменить пароль, чтобы учетные записи могли работать с доменными службами Microsoft Entra.

2. Настройка RDS. Вы можете использовать шаблон Azure или развернуть RDS вручную.

   • Используйте существующий шаблон AD. Обязательно настройте следующее:

     • Settings

       • Группа ресурсов. Используйте группу ресурсов, в которой требуется создать ресурсы RDS.

         Note

         Сейчас это должна быть та же группа ресурсов, где существует виртуальная сеть Azure Resource Manager.

       • Префикс метки DNS: Введите URL-адрес, который пользователи будут использовать для доступа к RD Web.

       • Доменное имя AD: Введите полное имя экземпляра Microsoft Entra, например "contoso.onmicrosoft.com" или "contoso.com".

       • Имя виртуальной сети Ad и имя подсети Ad. Введите те же значения, которые использовались при создании виртуальной сети Azure resource manager. Это подсеть, к которой будут подключаться ресурсы RDS.

       • Имя администратора и пароль администратора. Введите учетные данные для пользователя администратора, являющегося членом группы администраторов контроллера домена AAD в идентификаторе Microsoft Entra ID.

     • Template

       • Удалите все свойства dnsServers: выбрав "Изменить шаблон " на странице шаблона быстрого запуска Azure, найдите dnsServers и удалите свойство.

         Например, перед удалением свойства dnsServers :

         

         И вот тот же файл после удаления свойства:

         

   • Развертывание RDS вручную.