安全網路存取

已完成

如先前所述，Azure 虛擬桌面是共用服務供應項目。 Microsoft 會代表客戶管理服務的部分，並提供安全端點來連線用戶端和工作階段主機。

Azure 虛擬桌面會使用遠端桌面通訊協定 (RDP) 透過網路連線提供遠端顯示和輸入功能。 Azure 虛擬桌面的連線資料流程會從最接近 Azure 資料中心的 DNS 查詢開始。

1. 在 Microsoft Entra ID 中驗證時，令牌會傳回給遠端桌面服務用戶端。
2. 閘道會檢查權杖與連線代理人。
3. 代理人會查詢 Azure SQL 資料庫，以尋找指派給使用者的資源。
4. 閘道和代理人會選取已連線用戶端的工作階段主機。
5. 工作階段主機會使用 Azure 虛擬桌面閘道來建立與用戶端的反向連線。

未開啟任何傳入連接埠。 在這個版本中，閘道會作為智慧型反向 Proxy。 閘道會管理所有工作階段連線，只有像素可以到達用戶端。 下圖顯示在 Azure 中執行之 Azure 虛擬桌面的五個步驟連線程序。

使用 NSG 服務標記限制 Azure 虛擬桌面流量

服務標記可簡化 Azure VM 的安全性。 因為 Azure 虛擬網路是用於 Azure 虛擬桌面部署，所以服務標記可輕鬆將網路存取限制為只有 Azure 服務。 您可以在網路安全性群組 (NSG) 規則中使用服務標記，全域或對每個 Azure 區域允許或拒絕特定 Azure 服務的流量。

NSG

NSG 是安全性規則的集合，可授與或拒絕網路流量進出 Azure 資源。 每個規則可以指定下列屬性：名稱、優先順序、來源或目的地、通訊協定、方向、連接埠範圍和動作。 NSG 是第 3 層及第 4 層網路安全性服務。

服務標記

服務標記代表來自 Azure 服務的 IP 位址首碼群組。 它有助於將網路安全性規則頻繁更新的複雜性降至最低。 Microsoft 會管理服務標記包含的位址首碼，並會在位址變更時自動更新服務標記。 Azure 系統管理員無法建立自己的服務標記，或指定哪些 IP 位址包含在標記中。

在 NSG 規則中使用服務標記，以在全域或每個地區微調 Azure 虛擬桌面服務的網路流量。 您可以在網路規則的 [目的地] 欄位中，使用 Azure 防火牆服務標記。 您可以使用它們來取代特定 IP 位址。

應用程式層級保護的 Azure 防火牆

Azure 虛擬桌面主機集區的 VM 受到虛擬網路安全性控制。 他們需要對 Azure 虛擬桌面服務進行輸出網際網路存取，以正常運作。 使用者可能也需要輸出網際網路存取。 您可以使用 Azure 防火牆來鎖定您的環境並篩選輸出流量。

若要正常運作，Azure 虛擬桌面主機需要存取完整網域名稱 (FQDN)。 Azure 防火牆提供 Azure 虛擬桌面 FQDN 標記以簡化此組態。

允許輸出流量和設定防火牆規則的步驟超出本課程模組的範圍。 本課程模組摘要包含詳細資訊的連結。