Overwegingen voor identiteits- en toegangsbeheer voor Azure Virtual Desktop
Azure Virtual Desktop is een beheerde service die een Microsoft-besturingsvlak biedt voor uw virtuele bureaubladinfrastructuur. Identiteits- en toegangsbeheer voor Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer (RBAC) van Azure, met bepaalde voorwaarden die in dit artikel worden beschreven.
RBAC-ontwerp
RBAC ondersteunt de scheiding van taken voor de verschillende teams en personen die de implementatie van Azure Virtual Desktop beheren. Als onderdeel van het ontwerp van de landingszone moet u bepalen wie de verschillende rollen gaat aannemen. Vervolgens moet u voor elke rol een beveiligingsgroep maken om het toevoegen en verwijderen van gebruikers uit en uit rollen te vereenvoudigen.
Azure Virtual Desktop biedt aangepaste Azure-rollen die zijn ontworpen voor elk functioneel gebied. Zie Ingebouwde rollen voor Azure Virtual Desktop voor informatie over hoe deze rollen worden geconfigureerd.
Ingebouwde Azure-rollen kunnen worden gemaakt en gedefinieerd als onderdeel van het Cloud Adoption Framework voor Azure-implementatie. RBAC-rollen die specifiek zijn voor Azure Virtual Desktop moeten mogelijk worden gecombineerd met andere Azure RBAC-rollen om de volledige set machtigingen te bieden die gebruikers nodig hebben voor Azure Virtual Desktop en voor andere Azure-services, zoals virtuele machines en netwerken.
Ontwerpoverwegingen voor Azure Virtual Desktop
- Voor toegang tot desktops en toepassingen vanaf uw sessiehosts moeten uw gebruikers zich kunnen verifiëren. Microsoft Entra ID is de gecentraliseerde cloudidentiteitsservice van Microsoft die deze mogelijkheid mogelijk maakt. Microsoft Entra-id wordt altijd gebruikt om gebruikers te verifiëren voor Azure Virtual Desktop. Sessiehosts kunnen worden toegevoegd aan dezelfde Microsoft Entra-tenant of aan een Active Directory-domein met behulp van Active Directory-domein Services (AD DS) of Microsoft Entra Domain Services, zodat u een keuze hebt uit flexibele configuratieopties.
Notitie
Azure Virtual Desktop biedt geen ondersteuning voor B2B- of Microsoft-accounts.
- Het account dat wordt gebruikt voor domeindeelname kan geen meervoudige verificatie of andere interactieve prompts hebben en er zijn andere vereisten. Zie de details van de virtuele machine voor meer informatie.
- Azure Virtual Desktop vereist een hostingstrategie voor domeinservices. Kies AD DS of Microsoft Entra Domain Services.
- Microsoft Entra Domain Services is een ondersteunde optie, maar er zijn beperkingen:
- U moet wachtwoord-hashsynchronisatie inschakelen.
- U kunt hybrid join niet gebruiken voor azure Virtual Desktop-VM's om naadloze eenmalige aanmelding van Microsoft Entra in te schakelen voor Microsoft 365-services.
Zie Veelgestelde vragen (FAQ) over Microsoft Entra Domain Services voor meer informatie.
- Wanneer u deelneemt aan een Domein van Microsoft Entra Domain Services, moet het account deel uitmaken van de Microsoft Entra DC-beheerdersgroep en moet het accountwachtwoord werken in Microsoft Entra Domain Services. Zie de details van de virtuele machine voor meer informatie.
- Wanneer u een organisatie-eenheid opgeeft, gebruikt u de DN-naam zonder aanhalingstekens.
- Volg het principe van minimale bevoegdheden door de minimale machtigingen toe te wijzen die nodig zijn voor geautoriseerde taken.
- De principal-naam van de gebruiker die wordt gebruikt om u te abonneren op Azure Virtual Desktop, moet aanwezig zijn in het Active Directory-domein waaraan de virtuele machine van de sessiehost is gekoppeld. Zie Vereisten voor Azure Virtual Desktop voor meer informatie over gebruikersvereisten.
- Wanneer u smartcards gebruikt, is een directe verbinding (gezichtslijn) met een Active Directory-domeincontroller voor Kerberos-verificatie vereist. Zie Een Kerberos Key Distribution Center-proxy configureren voor meer informatie.
- Als u Windows Hello voor Bedrijven gebruikt, moet het vertrouwensmodel voor hybride certificaten compatibel zijn met Azure Virtual Desktop. Zie de implementatie van de hybride certificaatvertrouwensrelatie van Microsoft Entra voor meer informatie.
- Wanneer u Windows Hello voor Bedrijven of smartcardverificatie gebruikt, moet de initiërende client kunnen communiceren met de domeincontroller, omdat met deze verificatiemethoden Kerberos wordt gebruikt om u aan te melden. Zie Ondersteunde verificatiemethoden voor meer informatie.
- Eenmalige aanmelding kan de gebruikerservaring verbeteren, maar hiervoor is extra configuratie vereist en wordt alleen ondersteund met Active Directory Federation Services. Zie Eenmalige aanmelding voor AD FS configureren voor Azure Virtual Desktop voor meer informatie.
Ondersteunde identiteitsscenario's
De volgende tabel bevat een overzicht van identiteitsscenario's die momenteel door Azure Virtual Desktop worden ondersteund:
| Identiteitsscenario | Sessiehosts | Gebruikersaccounts |
|---|---|---|
| Microsoft Entra ID + AD DS | Toegevoegd aan AD DS | Gesynchroniseerd in Microsoft Entra ID en AD DS |
| Microsoft Entra ID + AD DS | Toegevoegd aan Microsoft Entra-id | Gesynchroniseerd in Microsoft Entra ID en AD DS |
| Microsoft Entra ID + Microsoft Entra Domain Services | Toegevoegd aan Microsoft Entra Domain Services | Gesynchroniseerd in Microsoft Entra ID en Microsoft Entra Domain Services |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Toegevoegd aan Microsoft Entra Domain Services | Gesynchroniseerd in Microsoft Entra ID en AD DS |
| Microsoft Entra ID + Microsoft Entra Domain Services | Toegevoegd aan Microsoft Entra-id | Gesynchroniseerd in Microsoft Entra ID en Microsoft Entra Domain Services |
| Alleen Microsoft Entra | Toegevoegd aan Microsoft Entra-id | In Microsoft Entra-id |
Ontwerpaanaanvelingen
- Gebruik Microsoft Entra Verbinding maken om alle identiteiten te synchroniseren met één Microsoft Entra-tenant. Zie Wat is Microsoft Entra Verbinding maken? voor meer informatie.
- Zorg ervoor dat azure Virtual Desktop-sessiehosts kunnen communiceren met Microsoft Entra Domain Services of AD DS.
- Gebruik de Kerberos Key Distribution Center-proxyoplossing om verificatieverkeer van smartcards te proxyn en externe aanmelding in te schakelen. Zie Een Kerberos Key Distribution Center-proxy configureren voor meer informatie.
- Virtuele machines van afzonderlijke sessies hosten in Active Directory-organisatie-eenheden voor elke hostgroep, zodat het eenvoudiger is om beleidsregels en zwevende objecten te beheren. Zie de details van de virtuele machine voor meer informatie.
- Gebruik een oplossing zoals Local Beheer istrator Password Solution (LAPS) om regelmatig lokale beheerderswachtwoorden te roteren op Azure Virtual Desktop-sessiehosts. Zie Beveiligingsevaluatie: Microsoft LAPS-gebruik voor meer informatie.
- Wijs voor gebruikers de ingebouwde rol Bureaubladvirtualisatiegebruiker toe aan beveiligingsgroepen om toegang te verlenen tot Azure Virtual Desktop-toepassingsgroepen. Zie Gedelegeerde toegang in Azure Virtual Desktop voor meer informatie.
- Maak beleid voor voorwaardelijke toegang voor Azure Virtual Desktop. Met dit beleid kan meervoudige verificatie worden afgedwongen op basis van voorwaarden zoals riskante aanmeldingen om het beveiligingspostuur van uw organisatie te vergroten. Zie Microsoft Entra-meervoudige verificatie inschakelen voor Azure Virtual Desktop voor meer informatie.
- Configureer AD FS om eenmalige aanmelding in te schakelen voor gebruikers in het bedrijfsnetwerk.
Volgende stappen
Meer informatie over netwerktopologie en connectiviteit voor een scenario op ondernemingsniveau van Azure Virtual Desktop.