Integrare Microsoft Entra Services con la distribuzione di Servizi Desktop remoto

È possibile usare Microsoft Entra Domain Services in una distribuzione di Servizi Desktop remoto al posto di Windows Server Active Directory. Microsoft Entra Domain Services consente di usare le identità Microsoft Entra esistenti con carichi di lavoro di Windows classici.

Con Microsoft Entra Domain Services è possibile fare quanto segue:

• Creare un ambiente Azure con un dominio locale per organizzazioni nate nel cloud.
• Creare un ambiente Azure isolato con le stesse identità usate per l'ambiente locale e online, senza la necessità di creare una VPN da sito a sito o ExpressRoute.

Al termine dell'integrazione di Microsoft Entra Domain Services nella distribuzione di Desktop remoto, l'architettura avrà un aspetto simile al seguente:

Per confrontare questa architettura con altri scenari di distribuzione di Servizi Desktop remoto, vedi Architetture di Servizi Desktop remoto.

Per una migliore comprensione dei servizi di dominio Microsoft Entra, consultare la panoramica di Microsoft Entra Domain Services e Come decidere se Microsoft Entra Domain Services è adatto al caso di utilizzo.

Usare le informazioni seguenti per distribuire Microsoft Entra Domain Services con RDS.

Prerequisiti

Prima di usare le identità di Microsoft Entra ID in una distribuzione di Servizi Desktop remoto, configurare Microsoft Entra ID per salvare le password con hash per le identità degli utenti. Le organizzazioni nate nel cloud non devono apportare altre modifiche nella propria directory. Le organizzazioni locali tuttavia devono consentire la sincronizzazione delle password con hash e l'archiviazione in Microsoft Entra ID, operazioni che potrebbero non essere consentite per alcune organizzazioni. Gli utenti dovranno reimpostare le password dopo aver apportato questa modifica della configurazione.

Distribuire Servizi di dominio Microsoft Entra e RDS.

Usare la procedura seguente per distribuire Servizi di dominio Microsoft Entra e RDS.

1. Abilitare Microsoft Entra Domain Services. L'articolo accessibile dal collegamento fornisce le informazioni seguenti:

   • Fornisce una procedura dettagliata per creare gruppi Microsoft Entra appropriati per l'amministrazione del dominio.
   • Evidenzia quando potrebbe essere necessario imporre agli utenti di cambiare la password in modo che gli account possano funzionare con Microsoft Entra Domain Services.

2. Configura Servizi Desktop remoto. Puoi usare un modello di Azure o distribuire Servizi Desktop remoto manualmente.

   • Usa il modello di AD esistente. Personalizza quanto segue:

     • Impostazioni

       • Gruppo di risorse: Usare il gruppo di risorse in cui si desidera creare le risorse di Servizi Desktop remoto.

         Nota

         Attualmente deve essere lo stesso gruppo di risorse in cui è presente la rete virtuale di Azure Resource Manager.

       • Prefisso etichetta DNS: Immettere l'URL che si desidera usare per accedere al Web Desktop remoto.

       • Nome del dominio Ad: immettere il nome completo dell'istanza di Microsoft Entra, ad esempio "contoso.onmicrosoft.com" o "contoso.com".

       • Nome rete virtuale AD e Nome subnet AD: Immettere gli stessi valori usati per creare la rete virtuale di Azure Resource Manager. Si tratta della subnet a cui si connetteranno le risorse di Servizi Desktop remoto.

       • Nome utente amministratore e password amministratore: immettere le credenziali per un utente amministratore membro del gruppo AAD DC Administrators in Microsoft Entra ID.

     • Modello

       • Rimuovi tutte le proprietà di dnsServers: dopo aver selezionato Modifica modello dalla pagina del modello di avvio rapido di Azure, cerca "dnsServers" e rimuovi la proprietà.

         Ad esempio, prima di rimuovere la proprietà dnsServers:

         

         Ed ecco lo stesso file dopo la rimozione della proprietà:

         

   • Distribuisci Servizi Desktop remoto manualmente.