共用方式為


安全性和控管

本文根據Microsoft 雲端採用架構,提供 Azure 虛擬桌面登陸區域中安全性、治理和合規性的重要設計考慮和建議。

請檢閱下列各節,以尋找 Azure 虛擬桌面登陸區域的建議安全性控制與控管。

身分識別

  • 使用 Microsoft Entra 多重要素驗證或合作夥伴多重要素驗證工具來建立Microsoft Entra 條件式存取原則,以保護使用者對 Azure 虛擬桌面的存取。 請考慮使用者的位置、裝置和登入行為,並視需要新增 額外的控件 ,以根據其存取模式。 如需為 Azure 虛擬桌面啟用 Azure 多重要素驗證的詳細資訊,請參閱 啟用 Azure 虛擬桌面的 Azure 多重要素驗證。

  • 將系統管理、作業和工程角色定義為 Azure RBAC 角色所需的最低許可權。 若要限制存取 Azure 虛擬桌面登陸區域內的高許可權角色,請考慮與 Azure Privileged Identity Management (PIM) 整合。 維護小組負責每個特定系統管理區域的知識,可協助您判斷 Azure 角色型存取控制 (RBAC) 角色和設定。

  • 使用 Azure 受控識別或服務主體搭配適用於 Azure 虛擬桌面的自動化和服務憑證認證。 將最低許可權指派給自動化帳戶,並限制為 Azure 虛擬桌面登陸區域的範圍。 您可以使用 Azure 金鑰保存庫 搭配 Azure 受控識別,讓運行時間環境(例如 Azure 函式)可以從密鑰保存庫擷取自動化認證。

  • 請確定您收集Microsoft Entra ID 和 Azure 虛擬桌面登陸區域的使用者和系統管理員活動記錄。 使用您的安全性資訊和事件管理 (SIEM) 工具監視這些記錄。 您可以從各種來源收集記錄,例如:

  • 在指派 Azure 虛擬桌面應用程式群組的存取權時,請使用Microsoft Entra 群組,而不是個別使用者。 請考慮使用對應至組織內商務功能的現有安全組,這可讓您重複使用現有的使用者布建和取消布建程式。

網路

  • 為您的 Azure 虛擬桌面登陸區域布建或重複使用專用虛擬網路。 規劃IP位址空間以容納會話主機的規模。 根據每個主機集區的會話主機數目下限和上限,建立基準子網大小。 將您的業務單位需求對應至主機集區。

  • 使用網路安全組(NSG)和/或 Azure 防火牆(或第三方防火牆設備)來建立微分割。 使用 Azure 虛擬網絡 服務標籤和應用程式服務群組 (ASG) 來定義網路安全組的網路存取控制,或為您的 Azure 虛擬桌面資源設定 Azure 防火牆。 確認 Proxy 會略過會話主機對必要 URL 的連出存取權(如果在會話主機內使用)和 Azure 防火牆(或第三方防火牆設備)。

  • 根據您的應用程式和企業分割策略,透過安全組規則或大規模 Azure 防火牆(或第三方防火牆設備)限制會話主機與內部資源之間的流量。

  • 針對 Azure 防火牆(或第三方防火牆設備)啟用 Azure DDoS 標準保護,以協助保護您的 Azure 虛擬桌面登陸區域。

  • 如果您使用 Proxy 從工作階段主機輸出因特網存取:

    • 在與 Azure 虛擬桌面工作階段主機和用戶端相同的地理位置中設定 Proxy 伺服器(如果使用雲端 Proxy 提供者)。
    • 請勿使用 TLS 檢查。 在 Azure 虛擬桌面中,流量預設會在 傳輸 中加密。
    • 避免需要使用者驗證的 Proxy 設定。 工作階段主機上的 Azure 虛擬桌面元件會在作業系統的內容中執行,因此不支援需要驗證的 Proxy 伺服器。 您必須啟用全系統 Proxy,才能在會話主機上設定主機層級 Proxy。
  • 確認您的終端使用者可存取 Azure 虛擬桌面用戶端 URL。 如果您的使用者的裝置上使用 Proxy 代理程式/組態,請確定您也略過 Azure 虛擬桌面用戶端 URL。

  • 使用 Just-In-Time 存取 進行管理,並針對會話主機進行疑難解答。 避免將直接 RDP 存取權授與會話主機。 AVD 會話主機會使用反向連線傳輸來建立遠端會話。

  • 使用 適用於雲端的 Microsoft Defender 中的自適性網路強化功能來尋找網路安全組設定,以限制埠和來源IP,並參考外部網路流量規則。

  • 使用 Azure 監視器或合作夥伴監視解決方案收集您的 Azure 防火牆(或第三方防火牆設備)記錄。 您也應該使用Microsoft Sentinel 或類似的服務,依 SIEM 監視記錄。

  • 只針對 FSLogix 配置檔容器所使用的 Azure 檔案使用私人端點。

  • 設定 RDP Shortpath 以補充反向連線傳輸。

工作階段主機

如需 Azure 虛擬桌面會話主機安全性最佳做法的詳細資訊,請參閱 會話主機安全性最佳做法

如需 Azure VM 安全性最佳做法的詳細清單,請參閱 Azure 中虛擬機的安全性建議。

資料保護

  • Microsoft Azure 會加密待用數據,以防止「頻外」攻擊,例如嘗試存取 基礎記憶體。 此加密可協助確保攻擊者無法輕易讀取或修改您的數據。 Microsoft啟用待用數據的兩層加密的方法包括:

    • 使用客戶管理的金鑰進行磁碟加密。 使用者提供自己的金鑰進行磁碟加密。 他們可以將自己的金鑰帶到其 金鑰保存庫(稱為 BYOK – 攜帶您自己的金鑰),或在 Azure 金鑰保存庫 中產生新的金鑰,以加密所需的資源(包括會話主機磁碟)。
    • 使用平台代控金鑰進行基礎結構加密。 根據預設,磁碟會自動透過平臺管理的加密密鑰進行待用加密。
    • VM 主機 的加密(VM 配置給的 Azure 伺服器)。 每個虛擬機的暫存磁碟和OS/資料磁碟快取數據都會儲存在VM主機上。 啟用 VM 主機上的加密時,該數據會在待用時加密,並加密至要保存的記憶體服務。
  • 部署資訊保護解決方案,例如 Microsoft Purview 資訊保護 或第三方解決方案,以確保機密資訊會由貴組織的技術系統安全地儲存、處理和傳輸。

  • 使用適用於 Microsoft 365 Apps 企業版 的安全策略建議程式來改善 Office 部署安全性。 此工具會識別您可以套用至部署以取得更多安全性的原則,同時也會根據原則對安全性和生產力的影響來建議原則。

  • 透過 內部部署的 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services,為 FSLogix 使用者配置檔所使用的 Azure 檔案儲存體 設定身分識別型驗證。 設定NTFS許可權,讓授權的使用者可以存取您的 Azure 檔案儲存體。

成本管理

資源一致性

檢閱 Azure 虛擬桌面 的安全性最佳做法,作為您環境內安全性的起點。

法規遵循

幾乎所有的組織都必須遵守各種政府或產業法規政策。 請檢閱您的合規性小組的任何此類原則,並針對特定 Azure 虛擬桌面登陸區域實作正確的控件。 例如,如果您的組織遵循其架構,您應該考慮特定原則的控制措施,例如支付卡產業數據安全性標準(PCI DSS)或 1996 年健康保險可移植性和責任法案。

  • 如有必要,請使用 適用於雲端的 Microsoft Defender 將額外的合規性標準套用至 Azure 虛擬桌面登陸區域。 適用於雲端的 Microsoft Defender 可透過其法規合規性儀錶板,協助您簡化符合法規合規性需求的程式。 您可以將內建或自定義的相容性標準新增至儀錶板。 您可以新增的內建法規標準包括:

    • PCI-DSS v3.2.1:2018
    • SOC TSP
    • NIST SP 800-53 R4
    • NIST SP 800 171 R2
    • UK OFFICIAL 與 UK NHS
    • 加拿大聯邦 PBMM
    • Azure CIS 1.1.0
    • HIPAA/HITRUST
    • SWIFT CSP CSCF v2020
    • ISO 27001:2013
    • 紐西蘭 ISM 受限
    • CMMC 第 3 級
    • Azure CIS 1.3.0
    • NIST SP 800-53 R5
    • FedRAMP H
    • FedRAMP M
  • 如果您的組織系結於數據落地需求,請考慮將 Azure 虛擬桌面資源(工作區、應用程式群組和主機集區)的部署限制在下列地理位置:

    • 美國
    • 歐洲
    • 英國
    • Canada

    限制這些地理位置的部署可協助您確保 Azure 虛擬桌面元數據會儲存在 Azure 虛擬桌面資源地理位置的區域,因為您的會話主機可以部署到全球以容納您的使用者基底。

  • 使用組策略和裝置管理工具,例如 Intune 和 Microsoft Endpoint Configuration Manager,為您的會話主機維護完整的安全性和合規性做法。

  • 適用於雲端的 Microsoft Defender 中設定警示自動化回應,以確保 Azure 虛擬桌面登陸區域的整體合規性。

  • 檢閱 Microsoft安全分數 ,以測量下列產品的整體組織安全性狀態:

    • Microsoft 365 (含 Exchange Online)
    • Microsoft Entra ID
    • 適用於端點的 Microsoft Defender
    • 適用於身分識別的 Microsoft Defender
    • 適用於雲端應用程式的 Defender
    • Microsoft Teams
  • 閱 適用於雲端的 Microsoft Defender 安全分數,以改善 Azure 虛擬登陸區域的整體安全性合規性。

下一步

瞭解 Azure 虛擬桌面企業級案例的平臺自動化和 DevOps。