將零信任原則套用至 Azure 虛擬桌面部署

  • 4 分鐘

本單元會逐步解說在 Azure 虛擬桌面參考架構中套用零信任原則的步驟。

步驟 1:使用零信任保護您的身分識別

若要將零信任原則套用至 Azure 虛擬桌面中使用的身分識別:

  • Azure 虛擬桌面支援不同類型的身分識別。 使用使用零信任保護身分識別中的資訊,以確保您選擇的身分識別類型遵守零信任原則。
  • 建立具有最低權限的專用使用者帳戶,以在工作階段主機部署期間,將工作階段主機加入 Microsoft Entra Domain Services 或 AD DS 網域。

步驟 2:使用零信任保護您的端點

端點是使用者存取 Azure 虛擬桌面環境和工作階段主機虛擬機器的裝置。 使用端點整合概觀中的指示,並使用適用於端點的 Microsoft Defender 和 Microsoft Endpoint Manager,以確保您的端點符合安全性和合規性需求。

步驟 3:將零信任原則套用至 Azure 虛擬桌面儲存體資源

針對 Azure 虛擬桌面部署中使用的儲存體資源,實作將零信任原則套用至 Azure 中的儲存體步驟。 這些步驟可確保您:

  • 保護您的 Azure 虛擬桌面待用資料、傳輸中和使用中。
  • 驗證使用者,並控制以最低權限存取儲存體資料。
  • 實作儲存體帳戶的私人端點。
  • 以邏輯方式分隔具有網路控制的重要資料。 例如,不同主機集區的個別儲存體帳戶和其他用途,例如使用 MSIX 應用程式附加檔案共用。
  • 使用適用於儲存體的 Defender 進行自動化威脅防護。

步驟 4:將零信任原則套用至中樞和支點 Azure 虛擬桌面 VNet

中樞 VNet 是多個支點虛擬網路的連線中心點。 針對用來篩選工作階段主機輸出流量的中樞 VNet,實作將零信任原則套用至 Azure 中樞虛擬網路中的步驟。

支點 VNet 會隔離 Azure 虛擬桌面工作負載,並包含工作階段主機虛擬機器。 針對包含工作階段主機/虛擬機器的支點 VNet,實作將零信任原則套用至 Azure 中的支點虛擬網路中的步驟。

使用 NSG 隔離不同 VNet 上的不同主機集區,其中包含每個子網路的 Azure 虛擬桌面所需的必要 URL。 部署私人端點時,會根據其角色,將它們放在 VNet 的適當子網路中。

Azure 防火牆或網路虛擬設備 (NVA) 防火牆可用來控制及限制輸出流量 Azure 虛擬桌面工作階段主機。 使用此處的 Azure 防火牆指示來保護工作階段主機。 使用連結至主機集區子網路的使用者定義路由 (UDR) 強制通過防火牆的流量。 檢閱必要 Azure 虛擬桌面 URL 的完整清單,以設定您的防火牆。 Azure 防火牆會提供 Azure 虛擬桌面 FQDN 標籤來簡化此設定。

步驟 5:將零信任原則套用至 Azure 虛擬桌面工作階段主機

工作階段主機是在支點 VNet 內執行的虛擬機器。 針對要為工作階段主機建立的虛擬機器,實作將零信任原則套用至 Azure 中的虛擬機器中的步驟。

主機集區如果由 Active Directory 網域服務 (AD DS) 上的群組原則所管理,則應具有分隔的組織單位 (OU)。

適用於端點的 Microsoft Defender 是企業端點安全性平台,其設計目的是協助企業網路防範、偵測、調查及回應進階威脅。 您可以使用適用於工作階段主機的適用於端點的 Microsoft Defender。 如需詳細資訊,請參閱虛擬桌面基礎結構 (VDI) 裝置

步驟 6:使用 Azure 虛擬桌面部署安全性、治理和合規性

Azure 虛擬桌面服務可讓您建立私人端點,使用 Azure Private Link 私下連線到您的資源。

Azure 虛擬桌面具有內建的進階安全性功能,可保護工作階段主機。 不過,請參閱下列文章,以改善 Azure 虛擬桌面環境和工作階段主機的安全性防禦:

此外,請參閱 Azure 虛擬桌面登陸區域中根據 Microsoft 雲端採用架構的安全性、治理和合規性的重要設計考慮和建議。

步驟 7:將安全管理和監視部署至 Azure 虛擬桌面

管理和持續監視很重要,以確保您的 Azure 虛擬桌面環境不會參與惡意行為。 使用 Azure 虛擬桌面深入解析來記錄資料和報告診斷和使用方式資料。

請參閱下列其他文章: