使用 Azure 防火牆來保護 Azure 虛擬桌面部署

Azure 虛擬桌面是在 Azure 上執行的雲端虛擬桌面基礎結構 (VDI) 服務。 當終端使用者連線到 Azure 虛擬桌面時，其工作階段來自主機集區中的工作階段主機。 主機集區是 Azure 虛擬機器的集合，這些虛擬機器會向 Azure 虛擬桌面註冊為工作階段主機。 這些虛擬機器會在您的虛擬網路中執行，並受到虛擬網路安全性控管機制所約束。 虛擬主機需要 Azure 虛擬桌面服務的輸出網際網路存取才能正常運作，而且可能需要為終端使用者提供輸出網際網路存取。 Azure 防火牆可協助您鎖定環境，並篩選輸出流量。

請遵循本文中的指導方針，使用 Azure 防火牆進一步保護 Azure 虛擬桌面主機集區。

必要條件

• 已部署的 Azure 虛擬桌面環境和主機集區。 如需詳細資訊，請參閱部署 Azure 虛擬桌面。
• 至少部署一項防火牆管理員原則的 Azure 防火牆。
• 在防火牆原則中啟用 DNS 和 DNS Proxy，以在網路規則中使用 FQDN。

若要深入了解 Azure 虛擬桌面術語，請參閱 Azure 虛擬桌面術語。

Azure 虛擬桌面的主機集區輸出存取

您為 Azure 虛擬桌面建立的 Azure 虛擬機器必須能夠存取數個完整網域名稱 (FQDN) 才能正常運作。 Azure 防火牆會使用 Azure 虛擬桌面 FQDN 標籤 WindowsVirtualDesktop，以簡化此設定。 您必須建立 Azure 防火牆原則，並建立網路規則和應用程式規則的規則集合。 為規則集合指定優先順序和允許或拒絕動作。

您必須為每個必要的 FQDN 和端點建立規則。 此清單位於 Azure 虛擬桌面的必要 FQDN 和端點。 若要將特定主機集區識別為 來源，您可以使用每個會話主機建立 IP群組 來表示它。

重要

建議您不要搭配 Azure 虛擬桌面使用 TLS 檢查。 如需詳細資訊，請參閱 Proxy 伺服器指南。

Azure 防火牆原則範例

使用發行於https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD的範本，即可輕鬆地在單一 Azure 防火牆 原則中部署先前所述的所有強制和選擇性規則。 在部署到生產環境之前，建議您檢閱定義的所有網路和應用程式規則，確保與 Azure 虛擬桌面官方檔和安全性需求保持一致。

對網際網路的主機集區輸出存取

視組織的需求而定，您可以為終端使用者啟用安全的輸出網際網路存取。 如果允許的目的地清單已妥善定義 (例如，Microsoft 365 存取)，則您可以使用 Azure 防火牆應用程式和網路規則來設定必要的存取。 這會將終端使用者流量直接路由傳送至網際網路，以獲得最佳效能。 如果您需要允許 Windows 365 或 Intune 的網路連線，請參閱 Windows 365 的網路需求和 Intune 的網路端點。

若您想要使用現有的內部部署安全 Web 閘道來篩選輸出使用者網際網路流量，請使用明確的 Proxy 設定，以便您可以設定在 Azure 虛擬桌面主機集區上執行的網頁瀏覽器或其他應用程式。 例如，請參閱如何使用 Microsoft Edge 命令列選項來設定 Proxy 設定。 這些 Proxy 設定只會影響您的終端使用者網際網路存取，讓 Azure 虛擬桌面平台的輸出流量可直接通過 Azure 防火牆。

控制使用者對網頁的存取

系統管理員可以允許或拒絕使用者存取不同的網站類別。 將規則從特定 IP 位址新增至應用程式集合，以新增至您想要允許或拒絕的網頁類別。 檢閱所有的網頁類別。

後續步驟

• 深入瞭解 Azure 虛擬桌面：什麼是 Azure 虛擬桌面？