Condividi tramite


Considerazioni sulla gestione delle identità e degli accessi per Desktop virtuale Azure

Desktop virtuale Azure è un servizio gestito che fornisce un piano di controllo Microsoft per l'infrastruttura di desktop virtuali. La gestione delle identità e degli accessi per Desktop virtuale Azure usa il controllo degli accessi in base al ruolo di Azure, con determinate condizioni descritte in questo articolo.

Progettazione del controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo supporta la separazione dei compiti per i vari team e singoli utenti che gestiscono la distribuzione di Desktop virtuale Azure. Come parte della progettazione della zona di destinazione, è necessario decidere chi assume i vari ruoli. È quindi necessario creare un gruppo di sicurezza per ogni ruolo per semplificare l'aggiunta e la rimozione di utenti da e verso i ruoli.

Desktop virtuale Azure offre ruoli di Azure personalizzati progettati per ogni area funzionale. Per informazioni sulla configurazione di questi ruoli, vedere Ruoli predefiniti per Desktop virtuale Azure.

I ruoli predefiniti di Azure possono essere creati e definiti come parte del Cloud Adoption Framework per la distribuzione di Azure. I ruoli di controllo degli accessi in base al ruolo specifici di Desktop virtuale Azure potrebbero dover essere combinati con altri ruoli simili di Azure per fornire il set completo di autorizzazioni necessarie agli utenti per Desktop virtuale Azure e per altri servizi di Azure, ad esempio macchine virtuali e rete.

Considerazioni sulla progettazione di Desktop virtuale Azure

  • Per accedere a desktop e applicazioni dagli host di sessione, gli utenti devono essere in grado di eseguire l'autenticazione. Microsoft Entra ID è il servizio di gestione delle identità cloud centralizzato di Microsoft che consente questa funzionalità. Microsoft Entra ID viene sempre usato per autenticare gli utenti per Desktop virtuale Azure. Gli host di sessione possono essere aggiunti allo stesso tenant di Microsoft Entra o a un dominio di Active Directory usando Dominio di Active Directory Services (AD DS) o Microsoft Entra Domain Services, offrendo una scelta di opzioni di configurazione flessibili.

    Nota

    Desktop virtuale Azure non supporta account B2B o Microsoft.

  • L'account usato per l'aggiunta al dominio non può avere l'autenticazione a più fattori o altre richieste interattive e sono anche presenti altri requisiti. Per altre informazioni, vedere Dettagli sulle macchine virtuali.
  • Desktop virtuale Azure richiede una strategia di hosting per i servizi di dominio. Scegliere Servizi di dominio Active Directory o Microsoft Entra Domain Services.
  • Microsoft Entra Domain Services è un'opzione supportata, ma esistono limitazioni:
  • Quando si aggiunge a un dominio di Microsoft Entra Domain Services, l'account deve far parte del gruppo administrators di Microsoft Entra DC e la password dell'account deve funzionare in Microsoft Entra Domain Services. Per altre informazioni, vedere Dettagli sulle macchine virtuali.
  • Quando si specifica un'unità organizzativa, usare il nome distinto senza virgolette.
  • Seguire il principio dei privilegi minimi assegnando le autorizzazioni minime necessarie per le attività autorizzate.
  • Il nome dell'entità utente usato per sottoscrivere Desktop virtuale Azure deve esistere nel dominio di Active Directory in cui viene unita la macchina virtuale dell'host di sessione. Per altre informazioni sui requisiti utente, vedere Requisiti di Desktop virtuale Azure.
  • Quando si usano smart card, è necessaria una connessione diretta (line-of-sight) con un controller di dominio Active Directory per l'autenticazione Kerberos. Per altre informazioni, vedere Configurare un proxy Centro distribuzione chiavi Kerberos.
  • L'utilizzo di Windows Hello for Business richiede che il modello di attendibilità del certificato ibrido sia compatibile con Desktop virtuale Azure. Per altre informazioni, vedere Distribuzione dell'attendibilità dei certificati aggiunti a Microsoft Entra ibrida.
  • Quando si usa Windows Hello for Business per l'autenticazione tramite smart card, il client di avvio deve essere in grado di comunicare con il controller di dominio perché questi metodi di autenticazione usano Kerberos per l'accesso. Per altre informazioni, vedere Metodi di autenticazione supportati.
  • L'accesso Single Sign-On può migliorare l'esperienza utente, ma richiede una configurazione aggiuntiva ed è supportato solo da Active Directory Federation Services. Per altre informazioni, vedere Configurare Single Sign-On in AD FS per Desktop virtuale Azure.

Scenari di identità supportati

La tabella seguente riepiloga gli scenari di identità attualmente supportati da Desktop virtuale Azure:

Scenario di gestione delle identità Host di sessione Account utente
Microsoft Entra ID + ACTIVE Directory Domain Services Aggiunto ad Active Directory Domain Services In Microsoft Entra ID e Servizi di dominio Active Directory sincronizzati
Microsoft Entra ID + ACTIVE Directory Domain Services Aggiunto a Microsoft Entra ID In Microsoft Entra ID e Servizi di dominio Active Directory sincronizzati
Microsoft Entra ID + Microsoft Entra Domain Services Aggiunto a Servizi di dominio Microsoft Entra In Microsoft Entra ID e Microsoft Entra Domain Services, sincronizzato
Microsoft Entra ID + Microsoft Entra Domain Services + ACTIVE Directory Domain Services Aggiunto a Servizi di dominio Microsoft Entra In Microsoft Entra ID e Servizi di dominio Active Directory sincronizzati
Microsoft Entra ID + Microsoft Entra Domain Services Aggiunto a Microsoft Entra ID In Microsoft Entra ID e Microsoft Entra Domain Services, sincronizzato
Solo Entra di Microsoft Aggiunto a Microsoft Entra ID In Microsoft Entra ID

Suggerimenti per la progettazione

  • Usare Microsoft Entra Connessione per sincronizzare tutte le identità in un singolo tenant di Microsoft Entra. Per altre informazioni, vedere Che cos'è Microsoft Entra Connessione?.
  • Assicurarsi che gli host di sessione di Desktop virtuale Azure possano comunicare con Microsoft Entra Domain Services o Servizi di dominio Active Directory.
  • Usare la soluzione proxy del Centro distribuzione chiavi Kerberos per proxyre il traffico di autenticazione tramite smart card e abilitare l'accesso remoto. Per altre informazioni, vedere Configurare un proxy Centro distribuzione chiavi Kerberos.
  • Separare le macchine virtuali host di sessione in unità organizzative di Active Directory per ogni pool di host per semplificare la gestione dei criteri e degli oggetti orfani. Per altre informazioni, vedere Dettagli sulle macchine virtuali.
  • Usare una soluzione come Soluzione password locale Amministrazione istrator (L piattaforma di strumenti analitici) per ruotare frequentemente le password di amministratore locale in host di sessione di Desktop virtuale Azure. Per altre informazioni, vedere Valutazione della sicurezza: Utilizzo di Microsoft L piattaforma di strumenti analitici.
  • Per gli utenti, assegnare il ruolo predefinito Utente di virtualizzazione desktop ai gruppi di sicurezza per concedere l'accesso ai gruppi di applicazioni Desktop virtuale Azure. Per altre informazioni, vedere Accesso delegato in Desktop virtuale Azure.
  • Creare criteri di accesso condizionale per Desktop virtuale Azure. Questi criteri possono applicare l'autenticazione a più fattori in base a condizioni come gli accessi a rischio per aumentare il comportamento di sicurezza dell'organizzazione. Per altre informazioni, vedere Abilitare l'autenticazione a più fattori Di Microsoft Entra per Desktop virtuale Azure.
  • Configurare AD FS per abilitare l'accesso Single Sign-On per gli utenti nella rete aziendale.

Passaggi successivi

Informazioni sulla topologia di rete e sulla connettività per uno scenario su scala aziendale di Desktop virtuale Azure.