设计决策:用户身份验证注意事项

Active Directory 域服务 (AD DS):此服务是传统的本地Active Directory 基础架构,支持 GPO、Kerberos 身份验证和域加入。可以在云中的虚拟机上创建和托管新的 AD DS。或者,现有的 AD DS 基础结构可以变成混合模型,其中一些控制器位于 Azure 中,有些则在本地运行。在这两种部署方案中,都可以使用 Azure AD Connect 将 AD DS 域同步到 Azure Active Directory (AAD)。

Azure Active Directory(Azure AD):此服务是 Azure 基于云的身份验证和移动设备管理服务,提供用户身份验证。Azure AD 不支持设备身份验证、域加入或组策略对象 (GPO)。但是,Azure AD 可以与 Azure Active Director 域服务 (AAD DS) 配对,以在 Azure 中提供 Citrix 所需的最低支持级别。

Azure Active Directory 域服务(Azure AD DS):此服务是托管在云中的托管域服务。此服务支持 GPO、Kerberos 身份验证和域加入。Azure AD DS 和 AD DS 之间的区别在于 AD 域控制器是由Microsoft 而不是您管理的。Azure AD DS 直接与 Azure AD 集成,是基于云的 Citrix 部署的绝佳选择。

以下是您需要回答的有关 Active Directory 基础架构的问题:

我是否应该继续仅使用我的本地Active Directory 基础架构?

  • 只需安装 Cloud Connectors 并将其加入本地域即可轻松部署

  • 可以将 Citrix Cloud 配置为仅使用本地 AD 域

  • 不需要使用或同步到 Azure AD,因此 Azure AD 只能用作 Azure 管理的身份管理

  • 为防止域身份验证导致延迟,Citrix 建议将域控制器放置在 Citrix Virtual Delivery Agent (VDA) 主机和Cloud Connector附近

  • 在 Azure 中放置域控制器可能需要获得信息安全 (infosec) 的批准

  • 对于使用 Microsoft 365 且有用户登录该服务的 Azure AD 的部署,不建议这样做

我是否应该使用 Azure AD Connect 的混合模式扩展本地Active Directory?

  • 当您有现有的本地 AD 基础架构并且需要以下任一功能时,Microsoft 建议使用这种设计:
    • 架构扩展
    • 基于帐户的 Kerberos 约束委派
  • Cloud Connector和 VDA 应始终至少有一个 Active Directory 域控制器可用。此设计可防止组策略处理、域加入和身份验证事件期间出现任何身份验证瓶颈或延迟

  • 当 Citrix 工作负载仍在本地部署时,Citrix 推荐使用此模型

  • 如果要使用Endpoint Management 等 Citrix Cloud 服务,Citrix 建议使用此模型

  • 在 Azure 中放置至少两个域控制器,然后使用 Azure AD 连接通过 ExpressRoute 或 VPN 将 AAD 与 AD DS 同步

  • 在混合使用权益许可证下使用 Windows 10 要求计算机帐户和用户帐户位于同一 Azure 活动 目录中

  • 在 Azure 中放置域控制器可能需要获得信息安全 (infosec) 的批准

  • 如果使用智能卡,则必须在域控制器上启用 Kerberos

我应该建立一个新的 Azure Active Directory (AAD) 吗?

  • 当您使用纯云部署或没有现有的本地 AD 基础架构时,Microsoft 建议使用此模型

  • 当所有 Citrix 工作负载都在 Azure 中并使用以下服务之一时,Citrix 建议使用此设计:
    • Citrix DaaS
  • 计划使用 Azure AD Connect 将 Azure AD 与 Azure AD DS 同步并启用密码哈希同步

  • 如果使用智能卡,则必须为 Azure AD DS 启用 Kerberos

  • 在混合使用权益许可证下使用 Windows 10 要求计算机帐户和用户帐户位于同一 Azure Active Directory 中

  • Azure AD DS 不支持 Kerberos 的架构扩展、单向信任或基于帐户的受限委派

  • Azure AD DS 不支持域或企业管理员权限

我应该使用 Azure AD 作为Citrix Cloud 身份提供商吗?

  • Citrix Cloud 支持 Azure AD 和 AD DS 进行身份验证

  • 使用 Azure AD 作为 Citrix Cloud 身份提供商时,您可以保持对密码策略的控制,并且可以轻松禁用帐户

  • 使用 Azure AD 可提供多重身份验证 (MFA),以提高 Citrix Cloud 的安全状态

  • 当 Azure AD 被标记时,Citrix Cloud 会有一个品牌登录页面

  • Azure AD 扩展了 Citrix Cloud 以支持 Okta、Ping 或 ADFS 等联合身份选项

  • 需要全局管理员角色才能获得同意,才能允许 Citrix Cloud 连接到 Azure AD。如果无法访问此角色,请考虑使用其他身份提供程序,例如本地 AD 或默认 Citrix 身份提供商。

我是否应该在 Azure Active Directory 帐户上启用多重身份验证 (MFA)?

  • 对于通过 Internet 访问的任何资源, 始终 建议使用多重身份验证。多重身份验证减少了可用的攻击媒介,并提高了系统的安全状态。

  • Azure AD 使启用 MFA 变得简单,并且可以轻松地与 Citrix Cloud 身份提供商集成

  • 如果不使用 Azure AD for MFA,请考虑其他身份提供商(例如 Okta)来提供这种额外的安全性

其他资源链接

Azure Active Directory 以及 Citrix XenApp 和 XenDesktop

Azure Active Directory 混合标识设计注意事项

Citrix Cloud 身份和访问管理

Citrix 提示:关于 Azure 企业级着陆区的 Citrix 提示-第 2 部分

比较自我管理的 Active Directory 域服务、Azure Active Directory 和托管 Azure Active Directory 域服务

什么是 Azure Active Directory 的混合身份?

XenApp 和 XenDesktop 服务支持 Azure AD 域服务

设计决策:用户身份验证注意事项