識別要保護的元件
Azure 虛擬桌面部署由多個元件組成。 當您為 Azure 虛擬桌面進行商務持續性與災害復原 (BCDR) 時,個別考慮每個元件非常重要。
Azure 虛擬桌面服務
Azure 虛擬桌面是彈性的雲端虛擬桌面基礎結構, (VDI) 解決方案。 這個服務可以:
- 作為受管理的服務,代理和協調虛擬桌面。
- 啟用 Azure 訂用帳戶中所部署虛擬機器 (VM) 的管理。
- 將虛擬桌面體驗和遠端應用程式傳遞至任何裝置。
- 包含現有工具的支援,例如 Microsoft Intune。
Microsoft 會管理下表所述的 Azure 虛擬桌面服務:
| Service | 描述 |
|---|---|
| 閘道 | 此服務將遠端用戶端連線到閘道,然後從 VM 建立回到同一閘道的連線。 |
| 連線代理人 | 這個服務提供負載平衡,並讓您重新連線到現有使用者工作階段中的虛擬桌面和遠端應用程式。 |
| 診斷 | 此服務會將 Azure 虛擬桌面部署上的動作事件記錄為成功或失敗。 您可以使用此資訊來針對錯誤進行疑難解答。 |
| 擴充性元件 | 這些元件支援從 PowerShell、REST API 管理 Azure 虛擬桌面,以及與第三方工具整合。 |
| Web 存取 | 此服務可讓您從網頁瀏覽器安全地存取 Azure 虛擬桌面資源,而不需要冗長的安裝程式。 |
Azure 虛擬桌面的核心基礎結構服務完全由 Microsoft 管理。 如果發生地區性中斷,您不需要採取任何額外的步驟來讓此服務持續運作。 任何非計劃性失敗會起始元件故障轉移至多個位置。 這可協助確保租用戶的環境與主機仍然可供存取。
Microsoft Entra ID
您將在 Azure 虛擬桌面中使用 Microsoft Entra ID 進行身分識別和存取管理。 這包含存取遠端工作階段、系統管理元素及使用者設定。 Azure 虛擬桌面會使用 Microsoft Entra ID 來驗證與 Azure 中執行之服務互動的任何作業。 這包含使用者用於判斷可用資源的應用程式和網站。
AD DS
Azure 虛擬桌面 VM 必須將 Active Directory 網域服務 (AD DS) 服務加入網域,而且服務必須與 Microsoft Entra ID 同步,才能將兩個服務之間的用戶產生關聯。 您可以使用 Microsoft Entra Connect 來整合 AD DS 與 Microsoft Entra ID。 您可以搭配來自純雲端式組織的身分識別,或是在具有混合式身分識別的環境下,部署 Azure 虛擬桌面。
然而,若要支援 Azure 虛擬桌面,您的基礎結構必須符合特定需求。 您必須具備下列條件:
- Microsoft Entra 組織。
- 與 Microsoft Entra ID 同步的域控制器。 您可以將網域控制站部署在內部部署網路中,或是部署為 Azure 虛擬網路中執行的 VM。 在內部部署網路中部署網域控制站需要使用站台對站台 VPN 或 Azure ExpressRoute 來連線至 Azure 虛擬網路。 您也可以使用 AD DS,Microsoft 可以在其中管理您的網域控制站,而不必將網域控制站部署在 Azure VM 中。
- Azure 訂用帳戶,其中包含已或已連線至 AD DS 或 Microsoft Entra Domain Services 的虛擬網路。
如果發生主要地區中斷問題,維持 Active Directory 網域控制站的可用性非常重要。 如果沒有可存取的 Active Directory 網域控制站,使用者將無法登入其 Azure 虛擬桌面和 RemoteApp 執行個體。
虛擬網路
虛擬網路是 Azure 設定 Azure 虛擬桌面 VM 和 AD DS 執行個體兩者的重要元件。 在中斷期間,Azure 虛擬桌面的網路連線正常運作非常重要。 若是 Azure 虛擬桌面混合式部署,您必須使用站台對站台的虛擬私人網路 (VPN) 或 Azure ExpressRoute,將虛擬網路與內部部署網路連線。 這需要仔細規劃次要區域中的網路連線,以及與內部部署網路的連線能力。
工作階段主機
Azure 虛擬桌面可以存取執行遠端桌面或遠端應用程式的工作階段主機。 每個工作階段主機都有 Azure 虛擬桌面主機代理程式,其將 VM 註冊為 Azure 虛擬桌面工作區或租用戶的一部分。 會話主機必須與 Microsoft Entra Domain Services 或 AD DS 通訊。 因為 VM 會變為無法使用或作業系統可能損毀,您必須將其包含在 Azure 虛擬桌面的 BCDR 計畫中。
影像
當您設定工作階段主機及應用程式群組時,您可以選擇映像。 您可以選擇 Microsoft 在 Azure Marketplace 映射中提供的操作系統映射,例如:
- 適用於多重會話的 Windows 11 或 Windows 10 企業版,無論是否使用 Microsoft 365 應用程式。
- Windows Server 2022 或 2019。
- 您自己的自定義映像儲存在 Azure 計算資源庫中。
映像不會直接影響用戶連線到會話主機 VM 的能力。 但是在設定新的工作階段主機容量時卻至關重要。 因此,建立主機時,您必須備份主機,並確保主機可供使用。 您必須確定映像可在次要區域中使用。
提示
雖然 Azure 計算資源庫提供全域複寫,但它不是全域資源。 針對災害復原案例,最佳做法是在不同的區域中至少有兩個資源庫。
FSLogix
FSLogix 是設計來漫遊遠端運算環境中的配置檔。 此功能會在服器訊息區 (SMB) 通訊協定檔案共用 (如 Azure 檔案儲存體或 Azure NetApp 檔案) 上的單一容器中儲存一份完整的使用者設定檔。 在登入時,Azure 會使用原生支援的虛擬硬碟 (VHD) 和 Hyper-V 虛擬硬碟 (VHDX) ,以動態方式將此容器連結至運算環境。
FSLogix 設定檔對 Azure 虛擬桌面環境至關重要。 每當使用者需要連線並在桌上型電腦或在 RemoteApp 上工作時,都必須可以使用這些設定檔。 因此,FSLogix 設定檔必須進行複製,並且可以在多個地區中使用。
MSIX 應用程式連結
MSIX 應用程式連結將應用程式檔案儲存為 MSIX 映像 (VHD/VHDX/CIM),與作業系統分開。 當您開啟 MSIX 應用程式連結時,會從 VHD 存取應用程式檔案。 如同處理 FSLogix 設定檔一樣,您應該考慮在其他地區中複製 MSIX 應用程式連結。