Udostępnij za pośrednictwem


Zagadnienia dotyczące zarządzania tożsamościami i dostępem w usłudze Azure Virtual Desktop

Azure Virtual Desktop to usługa zarządzana, która zapewnia płaszczyznę sterowania firmy Microsoft dla infrastruktury pulpitu wirtualnego. Zarządzanie tożsamościami i dostępem w usłudze Azure Virtual Desktop korzysta z kontroli dostępu opartej na rolach (RBAC) platformy Azure z pewnymi warunkami opisanymi w tym artykule.

Projekt kontroli dostępu opartej na rolach

Kontrola dostępu oparta na rolach obsługuje rozdzielenie obowiązków dla różnych zespołów i osób, które zarządzają wdrożeniem usługi Azure Virtual Desktop. W ramach projektu strefy docelowej musisz zdecydować, kto przyjmuje różne role. Następnie należy utworzyć grupę zabezpieczeń dla każdej roli, aby uprościć dodawanie i usuwanie użytkowników z ról i z nich.

Usługa Azure Virtual Desktop udostępnia niestandardowe role platformy Azure przeznaczone dla każdego obszaru funkcjonalnego. Aby uzyskać informacje o sposobie konfigurowania tych ról, zobacz Wbudowane role dla usługi Azure Virtual Desktop.

Wbudowane role platformy Azure można tworzyć i definiować jako część przewodnika Cloud Adoption Framework dla wdrożenia platformy Azure. Role RBAC specyficzne dla usługi Azure Virtual Desktop mogą wymagać połączenia z innymi rolami RBAC platformy Azure w celu zapewnienia pełnego zestawu uprawnień wymaganych przez użytkowników usługi Azure Virtual Desktop i innych usług platformy Azure, takich jak maszyny wirtualne i sieć.

Zagadnienia dotyczące projektowania usługi Azure Virtual Desktop

  • Aby uzyskać dostęp do komputerów stacjonarnych i aplikacji z hostów sesji, użytkownicy muszą mieć możliwość uwierzytelniania. Microsoft Entra ID to scentralizowana usługa tożsamości w chmurze firmy Microsoft, która umożliwia korzystanie z tej funkcji. Identyfikator Entra firmy Microsoft jest zawsze używany do uwierzytelniania użytkowników w usłudze Azure Virtual Desktop. Hosty sesji można dołączyć do tej samej dzierżawy firmy Microsoft Entra lub do domeny usługi Active Directory przy użyciu usług domena usługi Active Directory Services (AD DS) lub Microsoft Entra Domain Services, zapewniając wybór elastycznych opcji konfiguracji.

    Uwaga

    Usługa Azure Virtual Desktop nie obsługuje kont B2B ani Microsoft.

  • Konto używane na potrzeby przyłączania do domeny nie może mieć uwierzytelniania wieloskładnikowego ani innych interakcyjnych monitów i istnieją inne wymagania. Aby uzyskać więcej informacji, zobacz Szczegóły maszyny wirtualnej.
  • Usługa Azure Virtual Desktop wymaga strategii hostingu dla usług domenowych. Wybierz usługi AD DS lub Microsoft Entra Domain Services.
  • Microsoft Entra Domain Services jest obsługiwaną opcją, ale istnieją ograniczenia:
  • Podczas dołączania do domeny usług Microsoft Entra Domain Services konto musi należeć do grupy administratorów microsoft Entra DC, a hasło konta musi działać w usługach Microsoft Entra Domain Services. Aby uzyskać więcej informacji, zobacz Szczegóły maszyny wirtualnej.
  • Podczas określania jednostki organizacyjnej użyj nazwy wyróżniającej bez cudzysłowów.
  • Przestrzegaj zasady najniższych uprawnień, przypisując minimalne uprawnienia wymagane do autoryzowanych zadań.
  • Główna nazwa użytkownika używana do subskrybowania usługi Azure Virtual Desktop musi istnieć w domenie usługi Active Directory, w której jest przyłączona maszyna wirtualna hosta sesji. Aby uzyskać więcej informacji na temat wymagań użytkownika, zobacz Wymagania usługi Azure Virtual Desktop.
  • W przypadku korzystania z kart inteligentnych wymagane jest bezpośrednie połączenie (linia wzroku) z kontrolerem domeny usługi Active Directory na potrzeby uwierzytelniania Kerberos. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy centrum dystrybucji kluczy Kerberos.
  • Użycie Windows Hello dla firm wymaga, aby model zaufania certyfikatu hybrydowego był zgodny z usługą Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz Wdrożenie zaufania certyfikatu przyłączonego hybrydowego do firmy Microsoft firmy Microsoft.
  • W przypadku korzystania z uwierzytelniania Windows Hello dla firm lub karty inteligentnej inicjowanie klienta musi być w stanie komunikować się z kontrolerem domeny, ponieważ te metody uwierzytelniania używają protokołu Kerberos do logowania. Aby uzyskać więcej informacji, zobacz Obsługiwane metody uwierzytelniania.
  • Logowanie jednokrotne może poprawić środowisko użytkownika, ale wymaga dodatkowej konfiguracji i jest obsługiwane tylko przy użyciu usług Active Directory Federation Services. Aby uzyskać więcej informacji, zobacz Konfigurowanie logowania jednokrotnego usług AD FS dla usługi Azure Virtual Desktop.

Obsługiwane scenariusze tożsamości

W poniższej tabeli przedstawiono podsumowanie scenariuszy tożsamości obsługiwanych obecnie przez usługę Azure Virtual Desktop:

Scenariusz dotyczący tożsamości Hosty sesji Konta użytkowników
Microsoft Entra ID + AD DS Przyłączone do usług AD DS W usłudze Microsoft Entra ID i AD DS zsynchronizowano
Microsoft Entra ID + AD DS Dołączono do identyfikatora Entra firmy Microsoft W usłudze Microsoft Entra ID i AD DS zsynchronizowano
Microsoft Entra ID + Microsoft Entra Domain Services Przyłączone do usług Microsoft Entra Domain Services W usłudze Microsoft Entra ID i Microsoft Entra Domain Services zsynchronizowano
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS Przyłączone do usług Microsoft Entra Domain Services W usłudze Microsoft Entra ID i AD DS zsynchronizowano
Microsoft Entra ID + Microsoft Entra Domain Services Dołączono do identyfikatora Entra firmy Microsoft W usłudze Microsoft Entra ID i Microsoft Entra Domain Services zsynchronizowano
Microsoft Entra-only Dołączono do identyfikatora Entra firmy Microsoft W identyfikatorze Entra firmy Microsoft

Zalecenia dotyczące projektowania

  • Użyj usługi Microsoft Entra Połączenie, aby zsynchronizować wszystkie tożsamości z jedną dzierżawą firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Co to jest microsoft Entra Połączenie?.
  • Upewnij się, że hosty sesji usługi Azure Virtual Desktop mogą komunikować się z usługami Microsoft Entra Domain Services lub AD DS.
  • Użyj rozwiązania serwera proxy centrum dystrybucji kluczy Kerberos do ruchu uwierzytelniania za pomocą karty inteligentnej serwera proxy i w celu włączenia logowania zdalnego. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy centrum dystrybucji kluczy Kerberos.
  • Rozdzielanie maszyn wirtualnych hostów sesji do jednostek organizacyjnych usługi Active Directory dla każdej puli hostów, aby ułatwić zarządzanie zasadami i oddzielonymi obiektami. Aby uzyskać więcej informacji, zobacz Szczegóły maszyny wirtualnej.
  • Aby często wymieniać hasła administratora lokalnego na hostach sesji usługi Azure Virtual Desktop, użyj rozwiązania lokalnego, takiego jak Lokalne Administracja istrator Password Solution (LAPS, Local Administracja istrator Password Solution). Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: użycie rozwiązania Microsoft LAPS.
  • W przypadku użytkowników przypisz wbudowaną rolę Użytkownika wirtualizacji pulpitu do grup zabezpieczeń w celu udzielenia dostępu do grup aplikacji usługi Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz Dostęp delegowany w usłudze Azure Virtual Desktop.
  • Tworzenie zasad dostępu warunkowego dla usługi Azure Virtual Desktop. Te zasady mogą wymuszać uwierzytelnianie wieloskładnikowe na podstawie warunków, takich jak ryzykowne logowania w celu zwiększenia poziomu zabezpieczeń organizacji. Aby uzyskać więcej informacji, zobacz Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop.
  • Skonfiguruj usługi AD FS, aby włączyć logowanie jednokrotne dla użytkowników w sieci firmowej.

Następne kroki

Dowiedz się więcej o topologii sieci i łączności dla scenariusza w skali przedsiębiorstwa usługi Azure Virtual Desktop.