Identifier les composants à protéger
Les déploiements Azure Virtual Desktop se composent de plusieurs composants. Alors que vous configurez la continuité d’activité et reprise d’activité (BCDR) pour Azure Virtual Desktop, il est important d’examiner chaque composant séparément.
Services Azure Virtual Desktop
Azure Virtual Desktop est une solution d’infrastructure de bureau virtuel (VDI) cloud flexible. Ce service :
- Fournit le répartiteur et l’orchestration des bureaux virtuels en tant que service géré.
- Active la gestion des machines virtuelles qui sont déployées dans votre abonnement Azure.
- Fournit une expérience de bureau virtuel et des applications distantes à n’importe quel appareil.
- Inclut la prise en charge des outils existants, tels que Microsoft Intune.
Microsoft gère les services Azure Virtual Desktop décrits dans le tableau suivant :
| Service | Description |
|---|---|
| Passerelle | Ce service connecte les clients distants à une passerelle, puis établit une connexion entre une machine virtuelle et la même passerelle. |
| Service Broker pour les connexions | Ce service assure l’équilibrage de charge et la reconnexion aux bureaux virtuels et aux applications distantes dans les sessions utilisateur existantes. |
| Diagnostics | Ce service journalise les événements d’actions sur le déploiement d’Azure Virtual Desktop en tant que réussite ou échec. Vous pouvez utiliser ces informations pour résoudre les erreurs. |
| Composants d’extensibilité | Ces composants permettent la prise en charge de la gestion d’Azure Virtual Desktop à partir de PowerShell, des API REST et de l’intégration à des outils tiers. |
| Accès web | Ce service vous permet d’accéder à vos ressources Azure Virtual Desktop en toute sécurité à partir d’un navigateur web sans le long processus d’installation. |
Les services d’infrastructure principale d’Azure Virtual Desktop sont entièrement gérés par Microsoft. En cas de panne régionale, vous n’avez pas besoin d’effectuer d’étapes supplémentaires pour que ce service fonctionne. Toute défaillance non planifiée lance le basculement du composant vers plusieurs emplacements. Cela permet de s’assurer que l’environnement client et les hôtes restent accessibles.
Identifiant Microsoft Entra
Vous allez utiliser l’ID Microsoft Entra pour la gestion des identités et des accès dans Azure Virtual Desktop. Cela inclut l'accès aux sessions à distance, aux éléments d'administration et à la configuration des utilisateurs. Azure Virtual Desktop utilise l’ID Microsoft Entra pour authentifier toute opération qui interagit avec les services qui s’exécutent dans Azure. Cela inclut les applications et les sites web que les utilisateurs utilisent pour déterminer les ressources disponibles.
AD DS
Les machines virtuelles Azure Virtual Desktop doivent joindre un service Active Directory Domain Services (AD DS) et le service doit être synchronisé avec l’ID Microsoft Entra pour associer des utilisateurs entre les deux services. Vous pouvez utiliser Microsoft Entra Connect pour intégrer AD DS à l’ID Microsoft Entra. Vous pouvez déployer Azure Virtual Desktop avec des identités provenant d’une organisation cloud uniquement ou dans un environnement avec des identités hybrides.
Toutefois, pour prendre en charge Azure Virtual Desktop, votre infrastructure doit répondre à des exigences spécifiques. Vous devez avoir :
- Une organisation Microsoft Entra.
- Contrôleur de domaine synchronisé avec l’ID Microsoft Entra. Vous pouvez déployer vos contrôleurs de domaine dans votre réseau local ou en tant que machines virtuelles s’exécutant dans un réseau virtuel Azure. Le déploiement de contrôleurs de domaine dans un réseau local nécessite une connectivité à un réseau virtuel Azure avec un VPN de site à site ou d’Azure ExpressRoute. Vous pouvez également utiliser AD DS, où Microsoft peut gérer vos contrôleurs de domaine au lieu de les déployer sur des machines virtuelles Azure.
- Un abonnement Azure qui contient un réseau virtuel qui a ou est connecté à AD DS ou Microsoft Entra Domain Services.
Il est essentiel de maintenir une disponibilité du contrôleur de domaine Active Directory lorsqu’une panne de la région primaire se produit. Sans contrôleur de domaine Active Directory accessible, les utilisateurs ne peuvent pas se connecter à leurs instances Azure Virtual Desktop et RemoteApp.
Réseau virtuel
Un réseau virtuel est un composant essentiel dans lequel Azure configure les machines virtuelles Azure Virtual Desktop et votre instance AD DS. En cas de panne, il est important que la connectivité réseau fonctionne correctement pour Azure Virtual Desktop. Pour un déploiement hybride Azure Virtual Desktop, vous devez utiliser un réseau privé virtuel de site à site (VPN) ou Azure ExpressRoute pour connecter le réseau virtuel à un réseau local. Cela nécessite une planification minutieuse de la connectivité réseau dans votre région secondaire et de la connectivité à votre réseau local.
Hôtes de session
Azure Virtual Desktop permet d’accéder aux hôtes de session qui exécutent les bureaux distants ou les applications distantes. Chaque hôte de session dispose d’un agent hôte Azure Virtual Desktop, qui inscrit la machine virtuelle dans le cadre de l’espace de travail ou du locataire Azure Virtual Desktop. Les hôtes de session doivent communiquer avec Microsoft Entra Domain Services ou AD DS. Du fait que les machines virtuelles peuvent devenir indisponibles ou que le système d’exploitation peut être endommagé, vous devez les inclure dans le plan BCDR pour Azure Virtual Desktop.
Des images
Lorsque vous configurez des hôtes de session avec des groupes d’applications, vous avez le choix entre les images. Vous pouvez choisir des images de système d’exploitation fournies par Microsoft dans les images de la Place de marché Azure, telles que :
- Windows 11 ou Windows 10 Entreprise pour plusieurs sessions, avec ou sans applications Microsoft 365.
- Windows Server 2022 ou 2019.
- Vos propres images personnalisées stockées dans une galerie Azure Compute Gallery.
Les images n’affectent pas directement la capacité d’un utilisateur à se connecter à une machine virtuelle hôte de session. Toutefois, ils sont essentiels lors de la configuration d’une nouvelle capacité d’hôte de session. Par conséquent, lorsque vous créez des hôtes, vous devez les sauvegarder et vous assurer qu’ils sont disponibles. Vous devez vous assurer que l’image est disponible dans la région secondaire.
Conseil
Bien qu’azure Compute Gallery assure une réplication globale, il ne s’agit pas d’une ressource globale. Pour les scénarios de récupération d’urgence, la meilleure pratique consiste à avoir au moins deux galeries, dans des régions différentes.
FSLogix
FSLogix est conçu pour les profils itinérants dans les environnements informatiques distants. Il stocke un profil utilisateur complet dans un conteneur unique sur un partage de fichiers du protocole Bloc de message serveur (SMB) (par exemple, Azure Files ou Azure NetApp Files). Lors de la connexion, Azure attache dynamiquement ce conteneur à l’environnement informatique en utilisant un disque dur virtuel (VHD) pris en charge en mode natif et un disque dur virtuel Hyper-V (VHDX).
Les profils FSLogix sont essentiels pour les environnements Azure Virtual Desktop. Ils doivent être disponibles chaque fois qu’un utilisateur doit se connecter à un bureau ou une application distante et travailler dessus. Par conséquent, les profils FSLogix doivent être répliqués et disponibles dans plusieurs régions.
Attachement d’application MSIX
L’attachement d’application MSIX stocke les fichiers d’application en tant qu’images MSIX (VHD/VHDX/CIM) distinctes du système d’exploitation. Lorsque vous ouvrez l’attachement d’application MSIX, les fichiers d’application sont accessibles à partir d’un disque VHD. Comme pour le traitement des profils FSLogix, vous devez envisager de répliquer l’attachement d’application MSIX dans une autre région.