إعداد الهويات المُدارة
نظرا لأن Azure Virtual Desktop لا يدعم حاليا ملفات التعريف الخارجية أو "الهويات"، فلن يتمكن المستخدمون من الوصول إلى التطبيقات التي تستضيفها باستخدام بيانات اعتماد الشركة الخاصة بهم. بدلا من ذلك، ستحتاج إلى إنشاء هويات لهم في مجال Active Directory الذي ستستخدمه لدفق التطبيقات عن بعد ومزامنة كائنات المستخدم مع مستأجر Azure Active Directory (Azure AD) المقترن.
في هذه المقالة، سنشرح كيف يمكنك إدارة هويات المستخدمين لتوفير بيئة آمنة لعملائك. سنتحدث أيضا عن الأجزاء المختلفة التي تشكل الهوية.
المتطلبات
تحتاج الهويات التي تنشئها إلى اتباع الإرشادات التالية:
- يجب أن تكون الهويات هويات مختلطة، مما يعني أنها موجودة في كل من Active Directory (AD) وAzure Active Directory (Azure AD). يمكنك استخدام خدمات مجال Active Directory (AD DS) أو خدمات مجال Azure Active Directory (Azure AD DS) لإنشاء هذه الهويات. لمعرفة المزيد حول كل طريقة، راجع مقارنة حلول الهوية.
- يجب عليك الاحتفاظ بالمستخدمين من مؤسسات مختلفة في مستأجري Azure AD منفصلين لمنع حدوث خروقات أمنية. نوصي بإنشاء مجال Active Directory واحد ومستأجر Azure Active Directory لكل مؤسسة عميل. يجب أن يكون لدى هذا المستأجر اشتراك Azure AD DS أو AD DS المرتبط به مخصص لهذا العميل.
سيخبرك القسمان التاليان بكيفية إنشاء هويات باستخدام AD DS وAzure AD DS. لاتباع إرشادات الأمان للتطبيقات عبر المؤسسات، ستحتاج إلى تكرار العملية لكل عميل.
إدارة المستخدمين باستخدام خدمات مجال Active Directory
في هذه الطريقة، ستقوم بإعداد الهويات المختلطة باستخدام وحدة تحكم مجال Active Directory لإدارة هويات المستخدمين ومزامنتها مع Azure AD.
تتضمن هذه الطريقة إعداد وحدات تحكم مجال Active Directory لإدارة هويات المستخدمين ومزامنة المستخدمين مع Azure AD لإنشاء هويات مختلطة. يمكن بعد ذلك استخدام هذه الهويات للوصول إلى التطبيقات المستضافة في Azure Virtual Desktop. في هذا التكوين، تتم مزامنة المستخدمين من Active Directory إلى Azure AD ويتم ضم الأجهزة الظاهرية لمضيف الجلسة إلى مجال AD DS.
لإعداد هوية في AD DS:
قم بإنشاء مستأجر Azure AD واشتراك لعميلك.
قم بتثبيت خدمات مجال Active Directory على الجهاز الظاهري لخادم Windows (VM) الذي تستخدمه للعميل.
قم بتثبيت Azure AD الاتصال وتكوينه على جهاز ظاهري منفصل مرتبط بالمجال لمزامنة حسابات المستخدمين من Active Directory إلى Azure Active Directory.
إذا كنت تخطط لإدارة الأجهزة الظاهرية باستخدام Intune، فقم بتمكين الأجهزة المختلطة المرتبطة ب Azure AD باستخدام Azure AD الاتصال.
بمجرد تكوين البيئة، قم بإنشاء مستخدمين جدد في Active Directory. يجب مزامنة هؤلاء المستخدمين تلقائيا مع Azure AD.
عند نشر مضيفات جلسات العمل في تجمع المضيفين، استخدم اسم مجال Active Directory للانضمام إلى الأجهزة الظاهرية والتأكد من أن مضيفي جلسات العمل لديهم خط رؤية إلى وحدة تحكم المجال.
سيمنحك هذا التكوين مزيدا من التحكم في بيئتك ، ولكن تعقيدها يمكن أن يجعلها أقل سهولة في الإدارة. ومع ذلك، يتيح لك هذا الخيار تزويد المستخدمين بالتطبيقات المستندة إلى Azure AD. كما يتيح لك إدارة الأجهزة الظاهرية للمستخدمين باستخدام Intune.
إدارة المستخدمين باستخدام خدمات مجال Azure Active Directory
يتم تخزين هويات Azure AD DS في نظام أساسي Active Directory مدار من Microsoft كخدمة (PaaS) حيث تدير Microsoft وحدتي تحكم مجال AD اللتين تتيحان للمستخدمين استخدام AD DS ضمن اشتراكات Azure الخاصة بهم. في هذا التكوين، تتم مزامنة المستخدمين من Azure AD إلى Azure AD DS، ويتم ضم مضيفي جلسات العمل إلى مجال Azure AD DS. يسهل إدارة هويات Azure AD DS، ولكنها لا توفر قدرا كبيرا من التحكم مثل هويات AD DS العادية. يمكنك فقط الانضمام إلى الأجهزة الظاهرية لسطح المكتب Azure إلى مجال Azure AD DS، ولا يمكنك إدارتها باستخدام Intune.
لإنشاء هوية باستخدام Azure AD DS:
قم بإنشاء مستأجر Azure AD واشتراك لعميلك.
نشر خدمات دليل Azure AD في اشتراك المستخدم.
بمجرد الانتهاء من تكوين البيئة، قم بإنشاء مستخدمين جدد في Azure Active Directory. ستتم مزامنة كائنات المستخدم هذه تلقائيا مع Azure AD DS.
عند نشر مضيفات الجلسات في تجمع مضيف، استخدم اسم مجال Azure AD DS للانضمام إلى الأجهزة الظاهرية.
الخطوات التالية
إذا كنت ترغب في معرفة المزيد حول اعتبارات الأمان لإعداد الهويات والمستأجرين، فراجع إرشادات الأمان للتطبيقات عبر المؤسسات.