你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

推荐用于为内部或外部商业目的部署 Azure 虚拟桌面

可以根据要求部署 Azure 虚拟桌面,具体取决于许多因素,例如最终用户、组织部署服务的现有基础结构,等等。 如何确保满足组织的需求?

本文提供有关 Azure 虚拟桌面部署结构的指南。 本文中列出的示例并非部署 Azure 虚拟桌面的唯一可能方法。 但是,我们确实涵盖了用于内部或外部商业目的的两种最基本的部署类型。

出于内部目的部署 Azure 虚拟桌面

如果要为组织内部的用户进行 Azure 虚拟桌面部署,可以在同一 Azure 租户中托管所有用户和资源。 还可使用 Azure 虚拟桌面当前支持的标识管理方法来保护用户的安全。

这些组件是 Azure 虚拟桌面部署的最基本要求,可为组织中的用户提供桌面和应用程序:

  • 一个用于托管用户会话的主机池
  • 一个用于托管主机池的 Azure 订阅
  • 一个 Azure 租户,其为订阅和标识管理的拥有租户

但是,还可以部署具有多个主机池的 Azure 虚拟桌面,这些主机池为不同的用户组提供不同的应用程序。

某些客户选择创建单独的 Azure 订阅来存储每个 Azure 虚拟桌面部署。 通过这种做法,可以根据使用资源的子组织来区分每个部署的成本。 其他客户选择使用 Azure 计费范围来更精细地区分成本。 若要了解详细信息,请参阅了解并使用范围

对于内部和外部商业目的,Azure 虚拟桌面的许可方式有所不同。 如果要为内部商业目的提供 Azure 虚拟桌面访问权限,则必须为访问 Azure 虚拟桌面的每个用户购买符合条件的许可证。 不能将按用户访问定价用于内部商业目的。 若要详细了解不同的许可选项,请参阅 “许可 Azure 虚拟桌面”。

为外部目的部署 Azure 虚拟桌面

如果 Azure 虚拟桌面部署为组织外部的最终用户提供服务,尤其是通常不使用 Windows 或无权访问组织内部资源的用户,则需要考虑额外的安全建议。

Azure 虚拟桌面目前不支持外部标识,包括企业对企业 (B2B) 或企业对客户 (B2C) 用户。 需要手动创建和管理这些标识,并自行向用户提供凭据。 然后,用户使用这些标识访问 Azure 虚拟桌面中的资源。

要向客户提供安全的解决方案,Microsoft 强烈建议使用每个客户专用的 Active Directory 为其创建 Microsoft Entra 租户和订阅。 这种分离意味着必须为每个独立于其他部署及其资源的组织创建单独的 Azure 虚拟桌面部署。 每个组织使用的虚拟机无法访问其他公司的资源,这样才能确保信息的安全。 可以通过结合使用 Active Directory 域服务 (AD DS) 和 Microsoft Entra Connect,或者通过使用 Microsoft Entra 域服务来设置这些单独的部署。

如果要为外部商业目的提供 Azure 虚拟桌面访问权限,则按用户访问定价允许代表外部用户支付 Azure 虚拟桌面访问权限。 必须注册按用户访问定价,为外部用户构建合规的部署。 通过 Azure 订阅支付按用户访问定价。 若要详细了解不同的许可选项,请参阅 “许可 Azure 虚拟桌面”。

后续步骤