Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Virtual Desktop to usługa infrastruktury pulpitu wirtualnego w chmurze (VDI), która działa na platformie Azure. Gdy użytkownik końcowy łączy się z Azure Virtual Desktop, jego sesja jest obsługiwana przez hosta sesji w puli hostów. Pula hostów to kolekcja maszyn wirtualnych platformy Azure, które rejestrują się w usłudze Azure Virtual Desktop jako hosty sesji. Te maszyny wirtualne działają w sieci wirtualnej i podlegają mechanizmom kontroli zabezpieczeń sieci wirtualnej. Potrzebują wychodzącego dostępu do Internetu do usługi Azure Virtual Desktop, aby działały prawidłowo i mogą również wymagać wychodzącego dostępu do Internetu dla użytkowników końcowych. Usługa Azure Firewall może pomóc w zablokowaniu środowiska i filtrowaniu ruchu wychodzącego.
Postępuj zgodnie z wytycznymi w tym artykule, aby zapewnić dodatkową ochronę puli hostów usługi Azure Virtual Desktop przy użyciu usługi Azure Firewall.
Wymagania wstępne
- Wdrożone środowisko usługi Azure Virtual Desktop i pula hostów. Aby uzyskać więcej informacji, zobacz Wdrażanie usługi Azure Virtual Desktop.
- Usługa Azure Firewall wdrożona z co najmniej jedną polityką menedżera zapory sieciowej.
- DNS i serwer proxy DNS włączone w polityki zapory, aby używać FQDN w regułach sieci.
Aby dowiedzieć się więcej na temat terminologii usługi Azure Virtual Desktop, zobacz Terminologia usługi Azure Virtual Desktop.
Ostrzeżenie
Rozłączenia usługi Azure Virtual Desktop mogą wystąpić podczas skalowania usługi Azure Firewall, jeśli cały ruch jest kierowany do usługi Azure Firewall przy użyciu trasy domyślnej. Zalecamy bezpośredni dostęp do bramy i brokera dla usługi Azure Virtual Desktop, aby uniknąć tych rozłączeń. Aby rozwiązać ten problem, dodaj trasę do tabeli tras zastosowanej do podsieci usługi Azure Virtual Desktop, z typem docelowym , ustawionym na, tagiem usługi Service, usługi docelowej ustawioną na WindowsVirtualDesktop, i następnym przeskokiem ustawionym na Internet.
Dostęp wychodzący puli hostów do usługi Azure Virtual Desktop
Maszyny wirtualne platformy Azure tworzone dla usługi Azure Virtual Desktop muszą mieć dostęp do kilku w pełni kwalifikowanych nazw domen (FQDN), aby działały prawidłowo. Usługa Azure Firewall używa tagu WindowsVirtualDesktop FQDN usługi Azure Virtual Desktop, aby uprościć tę konfigurację. Należy utworzyć zasady usługi Azure Firewall i utworzyć kolekcje reguł dla reguł sieci i reguł aplikacji. Nadaj kolekcji reguł priorytet i akcję zezwalania lub odmowy.
Należy utworzyć reguły dla każdego wymaganego FQDN i punktu końcowego. Lista jest dostępna w sekcji Wymagane nazwy FQDN i punkty końcowe dla usługi Azure Virtual Desktop. Aby zidentyfikować określoną pulę hostów jako Źródło, można utworzyć grupę IP z każdym hostem sesji, aby ją reprezentować.
Ważne
Zalecamy, aby nie używać inspekcji protokołu TLS w usłudze Azure Virtual Desktop. Aby uzyskać więcej informacji, zobacz wytyczne dotyczące serwera proxy.
Przykładowe zasady usługi Azure Firewall
Wszystkie obowiązkowe i opcjonalne reguły wymienione wcześniej można łatwo wdrożyć w jednej usłudze Azure Firewall Policy przy użyciu szablonu opublikowanego w witrynie https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Przed wdrożeniem w środowisku produkcyjnym zalecamy przejrzenie wszystkich zdefiniowanych reguł sieci i aplikacji, zapewnienie zgodności z oficjalną dokumentacją i wymaganiami dotyczącymi zabezpieczeń usługi Azure Virtual Desktop.
Dostęp wychodzący puli hostów do Internetu
W zależności od potrzeb organizacji możesz włączyć bezpieczny wychodzący dostęp do Internetu dla użytkowników końcowych. Jeśli lista dozwolonych miejsc docelowych jest dobrze zdefiniowana (na przykład w przypadku dostępu do platformy Microsoft 365), możesz użyć aplikacji usługi Azure Firewall i reguł sieciowych, aby skonfigurować wymagany dostęp. Spowoduje to skierowanie ruchu użytkowników końcowych bezpośrednio do Internetu w celu uzyskania najlepszej wydajności. Jeśli chcesz zezwolić na łączność sieciową dla systemu Windows 365 lub Intune, zobacz Wymagania dotyczące sieci dla punktów końcowych systemu Windows 365 i sieci dla usługi Intune.
Jeśli chcesz filtrować wychodzący ruch internetowy użytkowników przy użyciu istniejącej lokalnej bezpiecznej bramy internetowej, możesz skonfigurować przeglądarki internetowe lub inne aplikacje działające w puli hostów usługi Azure Virtual Desktop z jawną konfiguracją serwera proxy. Na przykład zobacz Jak używać opcji wiersza polecenia przeglądarki Microsoft Edge do konfigurowania ustawień serwera proxy. Te ustawienia serwera proxy mają wpływ tylko na dostęp do Internetu przez użytkownika końcowego, zezwalając na ruch wychodzący platformy Azure Virtual Desktop bezpośrednio za pośrednictwem usługi Azure Firewall.
Kontrolowanie dostępu użytkownika do sieci Web
Administratorzy mogą zezwalać na dostęp użytkowników do różnych kategorii witryn internetowych lub odmawiać dostępu do nich. Dodaj regułę do swojej kolekcji aplikacji z określonego adresu IP dla kategorii sieci Web, do których chcesz zezwolić lub odmówić dostępu. Przejrzyj wszystkie kategorie sieci Web.
Następny krok
- Dowiedz się więcej o usłudze Azure Virtual Desktop: Co to jest usługa Azure Virtual Desktop?