Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Virtual Desktop je služba VDI (Cloud Virtual Desktop Infrastructure), která běží v Azure. Když se koncový uživatel připojí k Azure Virtual Desktopu, jeho relace pochází ze serveru pro hostování relací ve fondu hostitelů. Fond hostitelů je kolekce virtuálních počítačů Azure, které se registrují k Azure Virtual Desktopu jako hostitelé relací. Tyto virtuální počítače běží ve vaší virtuální síti a podléhají kontrolním mechanismům zabezpečení virtuální sítě. Potřebují odchozí internetový přístup ke službě Azure Virtual Desktop, aby fungovaly správně, a můžou také potřebovat odchozí přístup k internetu pro koncové uživatele. Azure Firewall vám může pomoct uzamknout prostředí a filtrovat odchozí provoz.
Postupujte podle pokynů v tomto článku, abyste zajistili dodatečnou ochranu fondu hostitelů služby Azure Virtual Desktop pomocí služby Azure Firewall.
Požadavky
- Nasazené prostředí Služby Azure Virtual Desktop a fond hostitelů. Další informace najdete v tématu Nasazení služby Azure Virtual Desktop.
- Azure Firewall nasazený s alespoň jednou zásadou správy brány firewall pomocí Firewall Manager.
- Systém DNS a proxy server DNS jsou povoleny v zásadách brány firewall pro použití plně kvalifikovaného názvu domény v pravidlech sítě.
Další informace o terminologii služby Azure Virtual Desktop najdete v terminologii služby Azure Virtual Desktop.
Výstraha
Odpojení služby Azure Virtual Desktop může nastat během škálování služby Azure Firewall, pokud se veškerý provoz směruje do služby Azure Firewall pomocí výchozí trasy. Doporučujeme mít přímý přístup k bráně a zprostředkovateli pro Azure Virtual Desktop, abyste se těmto odpojením vyhnuli. Pokud chcete tento problém vyřešit, přidejte trasu do směrovací tabulky přiřazené k podsíti Azure Virtual Desktop s cílovým typem nastaveným na značka služby, cílovou službou nastavenou na WindowsVirtualDesktop a dalším segmentem směrování nastaveným na Internet.
Odchozí přístup poolu hostitelů ke službě Azure Virtual Desktop
Virtuální počítače Azure, které vytvoříte pro Azure Virtual Desktop, musí mít přístup k několika plně kvalifikovaným názvům domén , aby správně fungovaly. Azure Firewall používá značku FQDN služby Azure Virtual Desktop ke zjednodušení této konfigurace. Potřebujete vytvořit zásady služby Azure Firewall a vytvořit kolekce pravidel pro pravidla sítě a aplikace. Udělte kolekci pravidel prioritu a akci povolit nebo odepřít.
Musíte vytvořit pravidla pro každý z požadovaných plně kvalifikovaných názvů domén a koncových bodů. Seznam je k dispozici v Požadované plně kvalifikované názvy domén a koncové body pro Azure Virtual Desktop. Pokud chcete identifikovat konkrétní fond hostitelů jako zdroj, můžete vytvořit skupinu IP adres s každým hostitelem relace, který ho bude reprezentovat.
Důležité
Doporučujeme nepoužívat kontrolu protokolu TLS ve službě Azure Virtual Desktop. Další informace najdete v pokynech k proxy serveru.
Ukázka zásad služby Azure Firewall
Všechna povinná a volitelná pravidla uvedená dříve je možné snadno nasadit v jedné zásadě služby Azure Firewall pomocí šablony publikované na adrese https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Před nasazením do produkčního prostředí doporučujeme zkontrolovat všechna definovaná pravidla sítě a aplikací a zajistit soulad s oficiální dokumentací a požadavky na zabezpečení služby Azure Virtual Desktop.
Odchozí přístup fondu hostitelů k internetu
V závislosti na potřebách vaší organizace můžete chtít koncovým uživatelům povolit zabezpečený odchozí internetový přístup. Pokud je seznam povolených cílů dobře definovaný (například pro přístup k Microsoftu 365), můžete ke konfiguraci požadovaného přístupu použít aplikaci Azure Firewall a pravidla sítě. Směřuje tím provoz koncových uživatelů přímo na internet pro dosažení nejlepšího výkonu. Pokud potřebujete povolit síťové připojení pro Windows 365 nebo Intune, přečtěte si požadavky na síť pro Windows 365 a koncové body sítě pro Intune.
Pokud chcete filtrovat odchozí internetový provoz uživatelů pomocí existující místní zabezpečené webové brány, můžete nakonfigurovat webové prohlížeče nebo jiné aplikace spuštěné ve fondu hostitelů služby Azure Virtual Desktop s explicitní konfigurací proxy serveru. Podívejte se například na postup použití možností příkazového řádku Microsoft Edge ke konfiguraci nastavení proxy serveru. Tato nastavení proxy serveru ovlivňují pouze přístup k internetu koncového uživatele, což umožňuje odchozí provoz platformy Azure Virtual Desktop přímo přes Azure Firewall.
Řízení přístupu uživatelů k webu
Správci můžou uživatelům povolit nebo odepřít přístup k různým kategoriím webů. Přidejte do kolekce aplikací pravidlo z vaší konkrétní IP adresy do webových kategorií, které chcete povolit nebo odepřít. Zkontrolujte všechny webové kategorie.
Další krok
- Další informace o Službě Azure Virtual Desktop: Co je Azure Virtual Desktop?