Integrieren einer Azure Virtual Desktop-Workload in Azure-Zielzonen
Das Migrieren von Endbenutzerdesktops einer Organisation zur Cloud ist ein häufiges Szenario bei Cloudmigrationen. Auf diese Weise können Sie die Mitarbeiterproduktivität verbessern und die Migration verschiedener Workloads beschleunigen, um die Benutzerfreundlichkeit der Organisation zu unterstützen. Jede organization verwaltet Workloads und betreibt ihre Cloudumgebung eindeutig. Die gängigen Cloudbetriebsmodelle sind dezentralisiert, zentral, unternehmensweite und verteilt.
Der wichtigste Unterschied zwischen den verschiedenen Modellen ist die Besitzebene. Im dezentralen Modell verfügen Workloadbesitzer über Autonomie ohne zentrale IT-Aufsicht für die Governance. Beispielsweise verwalten sie ihre eigenen Netzwerk-, Überwachungs- und Identitätsanforderungen. Am anderen Ende des Spektrums befindet sich das zentralisierte Modell, bei dem die Workloadbesitzer die Governanceanforderungen einhalten, die die zentralen IT-Teams festlegen.
Eine ausführliche Erläuterung der Modelle finden Sie unter Überprüfen und Vergleichen allgemeiner Cloudbetriebsmodelle.
Als Workloadbesitzer sollten Sie sich mit dem Betriebsmodell vertraut machen, das Ihr organization verwendet. Diese Wahl beeinflusst die technischen Entscheidungen, für die Sie verantwortlich sind, und die technischen Anforderungen, die Sie für Ihre zentralen Teams erzwingen.
Um die Features und Funktionen von Azure Virtual Desktop optimal nutzen zu können, sollten Sie bewährte Methoden nutzen, die für Organisationen gelten. Die Plattform bietet Anpassungsfähigkeit und Flexibilität, die Ihre Azure Virtual Desktop-Umgebung dabei unterstützt, zukünftiges Wachstum zu bewältigen.
Wichtig
Dieser Artikel ist Teil der Azure Well-Architected Framework Azure Virtual Desktop-Workloadreihe . Wenn Sie mit dieser Reihe nicht vertraut sind, empfehlen wir Ihnen, mit Was ist eine Azure Virtual Desktop-Workload zu beginnen.
Azure-Zielzonen
Eine Azure-Zielzone ist eine konzeptionelle Architektur, die den Gesamtabdruck der Cloud für eine organization darstellt. Es verfügt über mehrere Abonnements mit jeweils einem eindeutigen Zweck. Zentrale Teams besitzen einige der Abonnements, z. B . Azure-Plattformzielzonen.
Informationen zum Kennenlernen des Konzepts von Azure-Zielzonen finden Sie unter Was ist eine Azure-Zielzone?.
Wichtig
Azure Virtual Desktop hat spezifische Überlegungen und Anforderungen, insbesondere solche, die sich auf Integrationen mit Azure-Diensten beziehen. Die Zielzonenbeschleunigung von Azure Virtual Desktop und die Azure Well-Architected Framework-Anleitungen für Azure Virtual Desktop sollen diese erforderlichen Anpassungen hervorheben. Diese Ressourcen enthalten auch Cloud Adoption Framework Perspektiven für einen ganzheitlichen Ansatz für die Cloudbereitschaft.
Laden Sie eine Visio-Datei dieser Architektur herunter.
Plattformzielzonen
Azure Virtual Desktop muss mit mehreren externen Diensten interagieren. Zentrale Teams besitzen möglicherweise einige dieser Dienste als Teil von Plattformzielzonen. Beispiele für diese Dienste sind Identitätsdienste, Netzwerkkonnektivität und Sicherheitsdienste. Die Interaktion mit diesen externen Diensten ist ein grundlegendes Anliegen. Um voll funktionsfähig zu sein, benötigt eine Azure Virtual Desktop-Workload das Plattformteam und das Workloadteam, um die gleiche Verantwortung zu teilen.
Eine Demonstration der Plattformzielzonen, die Sie für die Ausführung einer Azure Virtual Desktop-Workload benötigen, finden Sie unter Azure-Zielzonenüberprüfung für Microsoft Azure Virtual Desktop. In diesem Artikel wird eine solide Plattformbasis beschrieben, die die Migration von einer lokalen Umgebung zu einer privaten Azure Virtual Desktop-Cloud beschleunigt.
Anwendungszielzonen
Es gibt ein separates Abonnement, das auch als Zielzone für Azure-Anwendungen bezeichnet wird und für Workloadbesitzer vorgesehen ist. In dieser Anwendungszielzone stellen Sie Ihre Azure Virtual Desktop-Workload bereit. Es hat Zugriff auf Plattformzielzonen, die die grundlegende Infrastruktur bereitstellen, die Sie zum Ausführen Ihrer Workload benötigen. Beispiele hierfür sind Netzwerk, Identitätszugriffsverwaltung, Richtlinie und Überwachungsinfrastruktur.
Anleitungen zu Anwendungszielzonen gelten für Azure Virtual Desktop-Workloads. Weitere Informationen finden Sie unter Plattformzielzonen im Vergleich zu Anwendungszielzonen. Dieser Leitfaden enthält Empfehlungen zum effizienten Steuern und Verwalten Ihrer Workload.
Eine Demonstration einer Anwendungszielzone für eine Azure Virtual Desktop-Workload finden Sie in der Basisreferenzarchitektur unter Beispielarchitekturen für Azure Virtual Desktop.
Integration des Entwurfsbereichs
In diesem Abschnitt wird die solide Grundlage hervorgehoben, die die Plattform bietet. Die Diskussion umfasst auch die Bereiche der gemeinsamen Verantwortung zwischen dem Plattformteam und dem Workloadteam.
Plattformverantwortung
Das Azure Virtual Desktop-Plattformteam stellt sicher, dass die Infrastruktur für die Erstellung von Workloadteams bereit ist. Zu den gängigen Aufgaben gehören:
- Verwalten der Kapazität durch Festlegen von Abonnement- und regionalen Kontingenten, die für die Bereitstellung ausreichen.
- Schützen und Optimieren der Konnektivität mit lokalen Systemen, Azure und dem Internet. Diese Aufgabe umfasst das Routing, das Einrichten von Firewalleinträgen und die Verwaltung zentralisierter Netzwerkgeräte.
- Verwalten von Azure-Integrationen, z. B. Integrationen mit Azure Storage, Azure Monitor, Log Analytics, Microsoft Entra ID und Azure Key Vault.
Gemeinsame Verantwortung
Das Workloadteam und das Plattformteam haben unterschiedliche Zuständigkeiten. Beide Teams arbeiten jedoch häufig eng zusammen, um die Verfügbarkeit und Wiederherstellbarkeit von Workloads zu gewährleisten. Die Teams koordinieren die Bemühungen für den Gesamterfolg der Workloads, die in Azure Virtual Desktop ausgeführt werden. Eine effektive Zusammenarbeit zwischen den Plattform- und Anwendungsteams ist für die erfolgreiche Bereitstellung von Azure Virtual Desktop von entscheidender Bedeutung.
Die Entwurfsbereiche der Plattform- und Anwendungszielzonen sind eng gekoppelt.
- Eine Beschreibung der Änderungen an Plattformressourcen, die für eine Workload erforderlich sind, finden Sie unter Azure Virtual Desktop Azure-Zielzonenüberprüfung.
- Eine Beschreibung der technischen Spezifikation einer Workload finden Sie unter Was sind die wichtigsten Entwurfsbereiche?.
Entwurfsbereich – Unternehmensregistrierung
Das Cloudplattformteam muss vorhandene Unternehmensregistrierungs- oder Microsoft Entra Mandantenentscheidungen verstehen.
Entwurfsbereich – Identitäts- und Zugriffsverwaltung (IAM)
Identität ist für die Azure Virtual Desktop-Funktionalität von entscheidender Bedeutung, da Benutzer authentifiziert werden müssen, um den Dienst verwenden zu können. Das Plattformteam ist für das Entwerfen einer Identitätslösung verantwortlich, die Microsoft Entra ID, Microsoft Entra Domain Services oder Active Directory Domain Services (AD DS) umfassen kann. Das Plattformteam stellt außerdem sicher, dass die Azure Virtual Desktop-Umgebung eine Sichtlinie zu Identitätsdiensten aufrechterhält.
| Verantwortlichkeiten des Plattformteams | Aufgaben des Workloadteams |
|---|---|
| – Entwerfen von Identitätsdiensten für Microsoft Entra ID, Domain Services, AD DS und Microsoft Entra Connect – Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) zur Implementierung der Aufgabentrennung – Konfigurieren Microsoft Entra Richtlinien für bedingten Zugriff – Verwalten von Active Directory-Organisationseinheiten und Gruppenrichtlinien |
– Verwenden von RBAC-Zuweisungen zum Steuern des Zugriffs auf Azure Virtual Desktop-Sitzungen und -Infrastruktur zu Verwaltungszwecken |
Entwurfsbereich : Netzwerk und Konnektivität
Plattformdienstekonnektivität ist ein wichtiges Netzwerkkonzept. Das Plattformteam ist dafür verantwortlich, sicherzustellen, dass die Azure Virtual Desktop-Umgebung über eine ordnungsgemäße Konnektivität verfügt:
- Identitätsdienste für die Authentifizierung.
- Das Domain Name System (DNS) für die richtige Auflösung.
- Andere Workloads in einer Hybridumgebung.
Zu den Aufgaben des Plattformteams gehören:
- Konfigurieren privater Endpunkte und privater DNS-Zonen
- Sicherstellen, dass Bandbreiten-, Latenz- und Dienstqualitätsaspekte berücksichtigt werden.
- Implementieren von Netzwerksicherheitsrichtlinien.
- Sicherstellen des Zugriffs auf erforderliche Internetendpunkte.
- Planen von Geschäftskontinuität und Notfallwiederherstellung.
Entwurfsbereich – Ressourcen organization
Zu den Aufgaben des Plattformteams gehört das Strukturieren von Verwaltungsgruppen und Ressourcengruppen, um die Zugriffsverwaltung zu vereinfachen. Diese Verantwortung umfasst das Definieren von Benennungs- und Kennzeichnungsstandards. Das Workloadteam stellt die Einhaltung dieser Standards sicher.
Entwurfsbereich – Verwaltung
| Verantwortlichkeiten des Plattformteams | Aufgaben des Workloadteams |
|---|---|
| - Planung und Entwicklung einer Überwachungsstrategie – Verwenden von Azure Policy zur Erzwingung der Compliance auf Unternehmensniveau - Entwicklung einer Kostenmanagementstrategie |
– Konfigurieren der Azure Virtual Desktop-Bereitstellung für die Überwachung – Verwalten des Benutzerzugriffs – Überwachen von Azure Virtual Desktop und Zusammenarbeit mit dem Plattformteam an Überwachungsanforderungen – Festlegen von Budgets und Warnungen – Verwalten der Benutzererfahrung und des Supports - Sicherstellen der Einhaltung von Plattform- und Überwachungsrichtlinien |
Entwurfsbereich – Geschäftskontinuität und Notfallwiederherstellung
| Verantwortlichkeiten des Plattformteams | Aufgaben des Workloadteams |
|---|---|
| - Entwerfen einer Strategie für Geschäftskontinuität und Notfallwiederherstellung, einschließlich der Festlegung von RPO-Zielen (Recovery Point Objective) und Recovery Time Objective (RTO) - Koordination mit dem Workloadteam, um die Ausrichtung der Geschäftskontinuität und Notfallwiederherstellung sicherzustellen |
– Konfigurieren der Azure Virtual Desktop-Infrastruktur und -Komponenten zur Anpassung an die Strategie für Geschäftskontinuität und Notfallwiederherstellung – Implementieren von Notfallwiederherstellungsverfahren – Schulung von Benutzern bei der geeigneten Verwendung von Azure Virtual Desktop |
Entwurfsbereich – Sicherheit und Governance
| Verantwortlichkeiten des Plattformteams | Aufgaben des Workloadteams |
|---|---|
| - Verstehen, was der organization muss, um gesetzliche Anforderungen wie den Health Insurance Portability and Accountability Act (HIPAA), NIST-Standards (National Institute of Standards and Technology) und PCI-Standards (Payment Card Industry) zu erfüllen, und verwenden Microsoft Defender für Cloud, um Compliancestandards anzuwenden – Sicherstellen, dass Ressourcen auf Verwaltungsebene in geografischen Regionen so bereitgestellt werden, dass die Anforderungen an die Datenresidenz erfüllt sind. – Verwenden von Microsoft Entra Richtlinien für bedingten Zugriff und mehrstufige Authentifizierung zum Schützen des Benutzerzugriffs – Sicherstellen, dass ein SIEM-Tool (Security Information and Event Management) wie Microsoft Sentinel verwendet wird, um Benutzer- und Administratoraktivitätsdaten zu sammeln und zu überwachen – Aktivieren Bedrohungs- und Sicherheitsrisikomanagement Bewertungen für instance durch Integration in Defender für Cloud oder eine Drittanbieterlösung für das Sicherheitsrisikomanagement – Konfigurieren einer Firewall und Verwenden von Diensttags und Anwendungssicherheitsgruppen zum Definieren von Netzwerkzugriffsregeln – Erstellen einer dedizierten Organisationseinheit in Active Directory für Azure Virtual Desktop-Sitzungshosts – Verwenden von Azure Policy Gastkonfigurationen zum Überwachen und Härten von Sitzungshostbetriebssystemen – Aktivieren der Datenträgerverschlüsselung - Überwachung des Netzwerkdatenverkehrs und Implementieren des DDoS-Schutzes (Distributed Denial-of-Service) |
– Verwenden des Prinzips des Zugriffs mit den geringsten Rechten und Azure RBAC zum Einrichten von Administrator-, Betriebs- und Entwicklungsrollen – Anwenden einer dedizierten Gruppenrichtlinie auf Azure Virtual Desktop-Organisationseinheiten – Verwalten der Patches und Härtung von Sitzungshosts – Überwachen und Verwalten von Benutzeraktivitäten |
Entwurfsbereich – Überlegungen zur Plattformautomatisierung und DevOps
| Verantwortlichkeiten des Plattformteams | Aufgaben des Workloadteams |
|---|---|
| - Entwicklung von Infrastructure-as-Code-Strategien (IaC) und DevOps | – Erstellen von Bildern – Verwalten einer Imagebuildpipeline – Aktualisieren von Hostpools - Installieren von Anwendungen – Verwalten von Sprachbereitstellungen |
Entwurfsbereich – Betriebliche Verfahren
Betriebliche Verfahren tragen dazu bei, die Sicherheit von Anwendungen zu gewährleisten, die in Azure Virtual Desktop ausgeführt werden. Operative Verfahren helfen auch im Bereich der Zugangskontrolle.
| Verantwortlichkeiten des Plattformteams | Aufgaben des Workloadteams |
|---|---|
| Steuern des Zugriffs auf die Plattform durch Definieren von Benutzerrollen und Berechtigungen in der Azure Virtual Desktop-Umgebung | – Analysieren der Leistung und Latenz von Azure Virtual Desktop-Bereitstellungen, um Erkenntnisse zu möglichen Verbesserungsbereichen zu erhalten – Aktualisieren von Betriebssystem, Anwendungen und FSLogix – Verwalten von Schlüsseln – Verwalten von FSLogix und Analysieren von Daten, um zu bestimmen, wann Anpassungen vorgenommen werden sollen |
Nächste Schritte
Verwenden Sie das Bewertungstool, um Ihre Entwurfsentscheidungen auszuwerten.