Azure 虚拟桌面是一种托管服务,可为虚拟桌面基础结构提供 Microsoft 控制平面。 Azure 虚拟桌面的标识和访问管理使用 Azure 基于角色的访问控制 (RBAC),本文中所述的某些条件。
RBAC 设计
RBAC 支持为管理 Azure 虚拟桌面部署的各种团队和个人分离职责。 作为登陆区域设计的一部分,你需要确定谁承担各种角色。 然后,需要为每个角色创建一个安全组,以简化向/从角色中添加和删除用户。
Azure 虚拟桌面提供针对每个功能区域设计的自定义 Azure 角色。 有关如何配置这些角色的信息,请参阅 Azure 虚拟桌面的内置角色。
可以创建 Azure 内置角色并将其定义为适用于 Azure 部署的云采用框架的一部分。 特定于 Azure 虚拟桌面的 RBAC 角色可能需要与其他 Azure RBAC 角色结合,以提供用户对 Azure 虚拟机和其他 Azure 服务(如虚拟机和网络)的完整权限集。
Azure 虚拟桌面设计注意事项
- 若要从会话主机访问桌面和应用程序,用户需要能够进行身份验证。 Microsoft Entra ID 是 Microsoft 的集中式云标识服务,可以实现此功能。 始终使用 Microsoft Entra ID 对 Azure 虚拟桌面的用户进行身份验证。 可将会话主机加入同一个 Microsoft Entra 租户,或者使用 Active Directory 域服务 (AD DS) 或 Microsoft Entra 域服务将其加入 Active Directory 域,这样你就可以获得灵活的配置选项。
注意
Azure 虚拟桌面不支持 B2B 或 Microsoft 帐户。
- 用于加入域的帐户不能具有多重身份验证或其他交互提示,还存在其他要求。 有关详细信息,请参阅虚拟机详细信息。
- Azure 虚拟桌面需要域服务的托管策略。 选择 AD DS 或 Microsoft Entra 域服务。
- Microsoft Entra 域服务 是受支持的选项,但存在限制:
- 必须 启用密码哈希同步。
- 不能对 Azure 虚拟桌面 VM 使用混合联接来为 Microsoft 365 服务启用 Microsoft Entra 无缝单一登录。
有关详细信息,请参阅 有关 Microsoft Entra 域服务的常见问题解答(常见问题解答)。
- 加入 Microsoft Entra 域服务域时,该帐户必须是 Microsoft Entra DC 管理员组的一部分,帐户密码必须在 Microsoft Entra 域服务中工作。 有关详细信息,请参阅虚拟机详细信息。
- 指定组织单位时,请使用不带引号的可分辨名称。
- 通过分配授权任务所需的最小权限,遵循最低权限原则。
- 用于订阅 Azure 虚拟桌面的用户主体名称必须存在于加入会话主机虚拟机的 Active Directory 域中。 有关用户要求的详细信息,请参阅 Azure 虚拟桌面需求。
- 使用智能卡时,需要与 Active Directory 域控制器直接连接以进行 Kerberos 身份验证。 有关详细信息,请参阅配置 Kerberos 密钥发行中心代理。
- 使用 Windows Hello 企业版要求混合证书信任模式与 Azure 虚拟桌面兼容。 有关详细信息,请参阅 Microsoft Entra 混合联接证书信任部署。
- 使用 Windows Hello 企业版或进行智能卡身份验证时,启动客户端必须能够与域控制器通信,因为这些身份验证方法使用 Kerberos 登录。 有关详细信息,请参阅支持的身份验证方法。
- 单一登录可改进用户体验,但它需要额外配置,并且仅支持使用 Active Directory 联合身份验证服务。 有关详细信息,请参阅为 Azure 虚拟桌面配置 AD FS 单一登录。
支持的标识方案
下表汇总了 Azure 虚拟桌面目前支持的标识方案:
| 标识方案 | 会话主机 | 用户帐户 |
|---|---|---|
| Microsoft Entra ID + AD DS | 加入 AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + AD DS | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 | 已加入 Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 + AD DS | 已加入 Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步 |
| 仅限 Microsoft Entra | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 中 |
设计建议
- 使用 Microsoft Entra 连接将所有标识同步到单个 Microsoft Entra 租户。 要了解详情,请参阅什么是 Microsoft Entra Connect 一文。
- 确保 Azure 虚拟桌面会话主机可以与 Microsoft Entra 域服务或 AD DS 通信。
- 使用 Kerberos 密钥分发中心代理解决方案来代理智能卡身份验证流量并启用远程登录。 有关详细信息,请参阅配置 Kerberos 密钥发行中心代理。
- 将会话主机虚拟机隔离到每个主机池的 Active Directory 组织单元中,以便更轻松地管理策略和孤立对象。 有关详细信息,请参阅虚拟机详细信息。
- 使用本地管理员istrator 密码解决方案(LAPS)等解决方案经常轮换 Azure 虚拟桌面会话主机上的本地管理员密码。 有关更多信息,请参阅安全评估:Microsoft LAPS 使用情况。
- 对于用户,请将桌面虚拟化用户内置角色分配到安全组,以向 Azure 虚拟桌面应用程序组授予访问权限。 有关详细信息,请参阅 Azure 虚拟桌面中的委托访问。
- 创建 Azure 虚拟桌面的条件性访问策略。 这些策略可以根据风险登录等条件强制实施多重身份验证,以提高组织的安全状况。 有关详细信息,请参阅 为 Azure 虚拟桌面启用 Microsoft Entra 多重身份验证。
- 配置 AD FS 为企业网络上的用户启用单一登录。
后续步骤
了解 Azure 虚拟桌面企业规模方案的网络拓扑和连接。