为 Azure 虚拟桌面 部署启用安全服务
作为负责评估 Azure 虚拟桌面的首席系统工程师和 Azure 管理员,你需要了解其体系结构和安全功能。 你还需要清楚地了解 Microsoft 和客户的责任。
Azure 虚拟桌面体系结构
Azure 虚拟桌面是在 Azure 中运行的桌面和应用虚拟化服务。 该项服务:
- 将虚拟化基础结构作为托管服务提供。
- 支持在 Azure 订阅中部署的虚拟机 (VMs) 的管理。
- 使用 Microsoft Entra ID 管理标识服务。
- 包含对现有工具的支持,例如 Microsoft Endpoint Manager。
下图展示了典型的企业部署体系结构的组成内容。
将 Azure 虚拟桌面部署在分层工作区。 在传统的本地虚拟桌面基础设施 (VDI) 部署中,客户负责安全的所有方面。 Azure 虚拟桌面将这项责任分摊到了客户和 Microsoft Coporation 身上。
Microsoft 帮助保护物理数据中心、物理网络和 Azure 运行的物理主机的安全。 Microsoft 还负责确保虚拟化控制平面的安全,其中包括在 Azure 中运行的 Azure 虚拟桌面服务。
使用 Azure 虚拟桌面时,你必须了解 Microsoft 已经帮助确保了某些服务的安全。 每个客户都需要配置其他区域以适应其组织的安全需求。 但如果需要,Microsoft 可以为其客户提供他们负责的服务的最佳实践指导。
Microsoft 托管服务
Microsoft 管理下表中描述的 Azure 虚拟桌面服务。
| 服务 | 说明 |
|---|---|
| Azure Web Access | 此服务使 Azure 虚拟桌面用户能够通过与 HTMLv5 兼容的 web 浏览器访问虚拟桌面和远程应用。 |
| 网关 | 此服务将远程客户端连接到网关,然后建立从 VM 返回到同一网关的连接。 |
| Broker | Broker 服务在现有用户会话中提供负载平衡和对虚拟桌面和远程应用的重新连接。 |
| 诊断 | 远程桌面诊断服务将 Azure 虚拟桌面部署上的操作事件记录为成功或失败。 该信息对疑难解答错误有用。 |
| Azure 基础结构服务 | Microsoft Corporation 管理网络、存储和计算 Azure 基础设施服务。 |
用户管理
客户管理以下组件以成功部署 Azure 虚拟桌面。
| 组件 | 说明 |
|---|---|
| 用户配置管理 | FSLogix 和 Azure 文件存储通过容器化用户配置文件为用户提供快速和状态化的体验。 |
| 用户主机访问 | 在创建主机池时,负载平衡类型定义为深度或广度。 |
| VM 的大小调整和伸缩策略 | VM 大小调整组件包括支持 GPU 的虚拟机。 |
| 伸缩策略 | 与 Azure 虚拟机伸缩组集成的会话主机池管理一组负载平衡的虚拟机。 |
| 网络策略 | 客户定义并分配网络安全组 (NSG) 来过滤网络流量。 |
保护 Azure 虚拟桌面凭据
Azure 虚拟桌面需要与 Microsoft Entra ID 集成。 它允许合并 Microsoft Entra ID 中的标识和访问功能。
这种与 Microsoft Entra ID 的集成是分层 零信任 安全模型中的关键。 零信任安全模型删除了“围墙花园”的概念。此模型假定每个服务、用户、应用程序和系统都对 Internet 开放。 这种方法专注于建立强大的身份验证、授权和加密,同时提供更好的操作敏捷性。
安全流程和组件有助于此 Microsoft Entra 标识即服务 (IaaS) 体系结构。 建议改为:
- 使用静态和动态条件访问策略。
- 使用由多重身份验证增强的认证。
- 订阅 Microsoft Defender for Cloud 或 Microsoft Defender 进行集成的漏洞评估。
- 使用强大的凭据管理服务和策略。
Azure 虚拟桌面中提供了以下负载均衡方法。 宽度优先负载均衡和深度优先负载均衡允许自定义 Azure 虚拟桌面主机池,以满足部署需求。
- 宽度优先是默认配置,用于将用户会话均匀分布在主机池中的会话主机上。 广度优先负载均衡方法允许分配用户连接以优化此方案。 此方法非常适合希望为连接到其共用虚拟桌面环境的用户提供最佳体验的组织。
- 深度优先将新用户会话连接到多会话主机,直到达到最多连接。 使用此方法,可以一次使一个会话主机饱和,以针对纵向缩减方案进行优化。 深度优先负载均衡通常用于降低成本,并对为主机池分配的虚拟机数量启用更精细的控制。
一些远程桌面客户端和最受欢迎的合作伙伴 OS 设备都支持 Azure 虚拟桌面。 Windows 桌面版和 Microsoft Store 客户端是两个包含此支持的远程桌面客户端。 可执行下列操作:
- 访问 Windows 10 企业版多会话、Windows Server 2012 R2 和更新版本的完整桌面,以及 Windows 7 企业版(完整桌面),实现向后兼容。
- 仅从主机池中的预配置应用程序组访问应用程序。 使用 Microsoft Entra ID 和基于角色的访问控制提供精细授权。
注意
Azure 虚拟桌面需要 Active Directory 域服务 (AD DS)。 已加入 AD DS 域的会话主机利用 Microsoft Entra 安全功能。 这些功能包括有条件访问、多重身份验证和 Intelligent Security Graph。