啟用 Azure 虛擬桌面部署的安全性服務
作為負責評估 Azure 虛擬桌面的主要系統工程師和 Azure 系統管理員,您必須了解其結構和安全性功能。 您也需要清楚了解 Microsoft 和客戶的責任。
Azure 虛擬桌面結構
Azure 虛擬桌面是在 Azure 中執行的桌面和應用程式虛擬化服務。 服務:
- Windows 虛擬桌面提供虛擬化基礎結構作為管理服務。
- 啟用 Azure 訂用帳戶中所部署虛擬機器 (VM) 的管理。
- 使用 Microsoft Entra ID 來管理身分識別服務。
- 包括現有工具的支援,例如 Microsoft 端點管理員。
下圖顯示一般企業部署結構的元件。
Azure 虛擬桌面在階層式工作區中部署。 在傳統的內部部署虛擬桌面基礎結構 (VDI) 部署中,客戶負責安全性的所有層面。 使用 Azure 虛擬桌面時,這些責任由客戶與 Microsoft 分擔。
Microsoft 可協助保護 Azure 執行所在的實體資料中心、實體網路,以及實體主機。 Microsoft 也負責保護虛擬化控制平面,其中包括在 Azure 中執行的 Azure 虛擬桌面服務。
使用 Azure 虛擬桌面時,必須了解 Microsoft 已協助保護某些服務。 每個客戶都需要設定其他區域,以符合其組織的安全性需求。 不過,如有需要,Microsoft 可以針對客戶所負責的服務,為這些客戶提供最佳做法指引。
Microsoft 受管理的服務
Microsoft 會管理下表所述的 Azure 虛擬桌面服務。
| 服務 | 描述 |
|---|---|
| Azure Web Access | 此服務可讓 Azure 虛擬桌面使用者透過與 HTMLv5 相容的網頁瀏覽器存取虛擬桌面和遠端應用程式。 |
| 閘道 | 此服務將遠端用戶端連線到閘道,然後從 VM 建立回到同一閘道的連線。 |
| 代理 | 代理服務提供負載平衡,並讓您重新連線到現有使用者工作階段中的虛擬桌面和遠端應用程式。 |
| 診斷 | 遠端桌面診斷服務會將 Azure 虛擬桌面部署上的動作事件記錄為成功或失敗。 此資訊對於疑難排解錯誤很有用。 |
| Azure 基礎結構服務 | Microsoft 會管理網路、儲存體和運算 Azure 基礎結構服務。 |
使用者管理
客戶會管理下列元件,以成功部署 Azure 虛擬桌面。
| 元件 | 描述 |
|---|---|
| 使用設定檔管理 | FSLogix 和 Azure 檔案透過容器化的使用者設定檔,為使用者提供快速且可設定狀態的體驗。 |
| 使用者主機存取 | 建立主機集區時,負載平衡的類型會定義為深度或廣度。 |
| VM 的調整大小原則 | VM 調整大小元件包括啟用 GPU 的 VM。 |
| 調整大小原則 | 與 Azure 虛擬機器規模集整合的工作階段主機集區可管理一組負載平衡的 VM。 |
| 網路原則 | 客戶定義並指派網路安全性群組 (NSG) 以篩選網路流量。 |
保護 Azure 虛擬桌面部署認證
Azure 虛擬桌面需要與 Microsoft Entra ID 整合。 它允許從 Microsoft Entra ID 納入身分識別和存取功能。
此與 Microsoft Entra ID 的整合是分層 零信任 安全性模型中的關鍵。 零信任安全性模型會移除「牆式菜地」的概念。此模型假設每個服務、使用者、應用程式和系統都開放至因特網。 此方法著重於建置增強式驗證、授權和加密,同時也提供更好的操作靈活度。
安全性程式和元件有助於此 Microsoft Entra 身分識別即服務 (IaaS) 架構。 考量:
- 使用靜態和動態條件式存取原則。
- 使用已利用多重要素驗證增強的驗證。
- 訂閱適用於雲端的 Microsoft Defender 或 Microsoft Defender 以進行整合型漏洞評估。
- 使用增強式認證管理服務和原則。
Azure 虛擬桌面提供下列負載平衡方法。 廣度優先負載平衡和深度優先負載平衡允許自訂 Azure 虛擬桌面主機集區,以符合您的部署需求。
- 廣度優先是預設設定,可在主機集區的工作階段主機上平均分配使用者工作階段。 廣度優先的負載平衡方法可讓您發佈使用者連線,以針對此案例最佳化。 此方法很適合想要為使用者的集區虛擬桌面環境連線提供最佳體驗的組織。
- 深度優先會將新的使用者工作階段連線至多重工作階段主機,直到達到連線數上限為止。 此方法可讓您一次將一個工作階段主機飽和,以最佳化規模縮小的案例。 深度優先負載平衡通常用來降低成本,並針對配置給主機集區的虛擬機器數目啟用更細微的控制。
數個遠端桌面用戶端和最熱門的合作夥伴 OS 裝置包括 Azure 虛擬桌面的支援。 Windows 桌面和 Microsoft Store 用戶端是包括此支援的兩個遠端桌面用戶端。 您可以:
- 在 Windows 10 企業版多重工作階段、Windows Server 2012 R2 及更新版本,以及 Windows 7 企業版 (完整桌面) 中存取完整桌面,以取得回溯相容性。
- 僅從主機集區中預先設定的應用程式群組存取應用程式。 使用 Microsoft Entra ID 和角色型訪問控制來提供更細緻的授權。
注意事項
Azure 虛擬桌面需要 Active Directory 網域服務 (AD DS)。 已加入 AD DS 網域的會話主機會利用 Microsoft Entra 安全性功能。 這些功能包括 [條件式存取]、多重要素驗證,以及 Intelligent Security Graph。