Интеграция доменных служб Azure AD в среду развертываемых служб удаленных рабочих столов

Используйте доменные службы Azure AD (Azure AD DS) в развертывании служб удаленных рабочих столов вместо Windows Server Active Directory. Доменные службы Azure AD позволяют использовать существующие удостоверения Azure AD в классических рабочих нагрузках Windows.

С помощью доменных служб Azure AD можно:

  • создать среду Azure с локальным доменом для полностью облачных организаций;
  • создать изолированную среду Azure с теми же удостоверениями, которые используются для локальной и онлайн-среды без необходимости создания соединения ExpressRoute или VPN-соединения типа "сеть-сеть".

Когда интеграция доменных служб Azure AD со службой удаленных рабочих столов завершится, архитектура будет иметь следующий вид.

An architecture diagram showing RDS with Azure AD DS

Чтобы сравнить эту архитектуру с другими сценариями развертывания служб удаленных рабочих столов, см. статью Архитектура служб удаленных рабочих столов.

Чтобы лучше понять доменные службы Azure AD, ознакомьтесь со статьями Обзор доменных служб Azure AD и Как определить, подходит ли доменные службы Azure AD для вашего варианта использования.

Используйте следующие сведения для использования доменных служб Azure AD со службой удаленных рабочих столов.

Предварительные условия

Прежде чем использовать удостоверения из Azure AD для развертывания служб удаленных рабочих столов, настройте Azure AD для сохранения хэшированных паролей для удостоверений пользователей. Облачные организации не требуют внесения никаких дополнительных изменений в каталог. Тем не менее, локальные организации должны разрешить синхронизацию и сохранение хэшированных паролей в доменных службах Azure, что приемлемо не для всех организаций. Пользователи вынуждены сбрасывать свои пароли после смены настроек.

Развертывание доменных служб Azure AD и служб удаленных рабочих столов

Выполните следующие действия для развертывания доменных служб Azure AD и служб удаленных рабочих столов.

  1. Включите доменные службы Azure AD. Обратите внимание, что статья по ссылке охватывает следующие действия:

    • создание соответствующих групп доменных служб Azure для управления доменом;
    • определение момента, когда пользователям необходима смена пароля, чтобы их учетные записи могли работать с доменными службами Azure AD.
  2. Задайте настройки службы удаленных рабочих столов. Вы можете использовать шаблон Azure или развернуть службу удаленных рабочих столов вручную.

    • Используйте существующий шаблон доменных служб. Не забудьте задать следующие настройки.

      • Параметры

        • Группа ресурсов Используйте группу ресурсов, в которой вы хотите создать ресурсы служб удаленных рабочих столов.

          Примечание

          Это должна быть та же группа ресурсов, в которой существует виртуальная сеть диспетчера ресурсов Azure.

        • Префикс DNS-имени Введите URL-адрес, который пользователи должны использовать для веб-доступа к удаленным рабочим столам.

        • Имя домена AD Введите полное имя экземпляра Azure AD, например "contoso.onmicrosoft.com" или "contoso.com".

        • Имя виртуальной сети AD и Имя подсети AD Введите те же значения, которые вы использовали при создании виртуальной сети диспетчера ресурсов Azure. Это подсеть, к которой будут подключаться ресурсы служб удаленных рабочих столов.

        • Имя пользователя администратора и Пароль администратора: Введите учетные данные администратора, который является членом группы Администраторы AAD DC в Azure AD.

      • Шаблон

        • Удалите все свойства dnsServers: выбрав команду Изменить шаблон на странице шаблона быстрого запуска Azure найдите запись dnsServers и удалите свойство.

          Например, перед удалением свойства dnsServers:

          Azure quickstart template with dnsSettings property

          Здесь тот же файл после удаления свойства:

          Azure quickstart template with dnsSettings property removed

    • Развертывание служб удаленных рабочих столов вручную.