編集

AD DS、Microsoft Entra ID、Microsoft Entra Domain Services を使った複数のフォレスト

Microsoft Entra ID
Microsoft Entra
Azure Files
Azure Virtual Desktop

ソリューションのアイデア

このアーティクルはソリューションのアイデアです。 このコンテンツにさらに多くの情報 (想定されるユース ケース、代替サービス、実装に関する考慮事項、価格ガイダンスなど) の掲載をご希望の方は、GitHub のフィードバックでお知らせください。

このソリューションのアイデアは、Microsoft Entra Domain Services (Microsoft Entra Domain Services) を使用して、"実用最小限の製品" (MVP) または "概念実証" (PoC) 環境に Azure Virtual Desktop を迅速にデプロイする方法を示しています。 このアイデアを使用して、プライベート接続なしでオンプレミスの複数フォレストの AD DS ID を Azure に両方拡張し、レガシ認証をサポートします。

考えられるユース ケース

このソリューションのアイデアは、合併と買収、組織のブランド変更、複数のオンプレミス ID の要件にも適用されます。

Architecture

Azure Virtual Desktop と Microsoft Entra Domain Services の図。

このアーキテクチャの Visio ファイルをダウンロードします。

データフロー

次の手順は、このアーキテクチャでデータが ID の形でどのように流れるかを示しています。

  1. 2 つ以上の Active Directory フォレストがある、複雑なハイブリッド オンプレミスの Active Directory 環境があります。 ドメインは、異なるユーザー プリンシパル名 (UPN) サフィックスを使用して、別々のフォレストに存在します。 たとえば、CompanyA.local は UPN サフィックスとして CompanyA.com を使用し、CompanyB.local は UPN サフィックスとして CompanyB.com を使用します。また、追加の UPN サフィックスとして newcompanyAB.com も使用されます。
  2. オンプレミスか Azure 上かに関係なく、顧客が管理するドメイン コントローラー (つまり、サービス [IaaS] としての Azure インフラストラクチャ) を使用するのではなく、Microsoft Entra Domain Services によって提供される、クラウドで管理される 2 つのドメイン コントローラーが環境で使用されます。
  3. Microsoft Entra Connect は、CompanyA.comCompanyB.com の両方のユーザーを Microsoft Entra テナント NewCompanyAB.onmicrosoft.com に同期します。 ユーザー アカウントは Microsoft Entra ID で 1 回だけ示され、プライベート接続は使用されません。
  4. その後、ユーザーは Microsoft Entra ID から、マネージド Microsoft Entra Domain Services に一方向の同期として同期します。
  5. カスタムの "ルーティング可能な" Microsoft Entra Domain Services ドメイン名 (aadds.newcompanyAB.com) が作成されます。 newcompanyAB.com ドメインは、LDAP 証明書をサポートする登録済みドメインです。 DNS 解決に関する問題が発生する可能性があるため、一般に、ルーティング不可能なドメイン名 (contoso.local など) は使用しないことをお勧めします。
  6. Azure Virtual Desktop セッション ホストは、Microsoft Entra Domain Services ドメイン コントローラーに参加します。
  7. ホスト プールとアプリ グループは、個別のサブスクリプションおよびスポーク仮想ネットワークに作成できます。
  8. ユーザーがアプリ グループに割り当てられます。
  9. ユーザーは、構成された UPN サフィックスに応じて、john@companyA.com、jane@companyB.com、joe@newcompanyAB.com などの形式で、Azure Virtual Desktop アプリケーションまたは Web クライアントを使用してサインインします。
  10. ユーザーには、それぞれの仮想デスクトップまたはアプリが表示されます。 たとえば、ホスト プール A では仮想デスクトップとアプリに john@companyA.com が、ホスト プール B では jane@companyB が、ホスト プール AB では joe@newcompanyAB が表示されます。
  11. ストレージ アカウント (Azure Files は FSLogix に使用される) は、マネージド ドメインの AD DS に参加しています。 FSLogix ユーザー プロファイルは、Azure Files 共有に作成されます。

Note

  • Microsoft Entra Domain Services のグループ ポリシー要件については、Microsoft Entra Domain Services に参加している Windows Server 仮想マシンに、グループ ポリシー管理ツールをインストールできます。
  • オンプレミスのドメイン コントローラーから Azure Virtual Desktop のインフラストラクチャ グループ ポリシー拡張するには、手動で Microsoft Entra Domain Services にエクスポートしてインポートする必要があります。

コンポーネント

このアーキテクチャは、次のテクノロジを使用して実装します。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

  • Tom Maher | シニア セキュリティおよび ID エンジニア

次のステップ