Поделиться через


Рекомендации по управлению удостоверениями и доступом для Виртуального рабочего стола Azure

Виртуальный рабочий стол Azure — это управляемая служба, которая предоставляет уровень управления Майкрософт для инфраструктуры виртуальных рабочих столов. Управление удостоверениями и доступом для Виртуального рабочего стола Azure использует управление доступом на основе ролей Azure (RBAC) с определенными условиями, описанными в этой статье.

Проектирование RBAC

RBAC поддерживает разделение обязанностей для различных команд и отдельных лиц, которые управляют развертыванием виртуального рабочего стола Azure. В рамках проектирования целевой зоны необходимо решить, кто принимает различные роли. Затем необходимо создать группу безопасности для каждой роли, чтобы упростить добавление и удаление пользователей из ролей.

Виртуальный рабочий стол Azure предоставляет пользовательские роли Azure, предназначенные для каждой функциональной области. Сведения о настройке этих ролей см. в статье "Встроенные роли" для виртуального рабочего стола Azure.

Встроенные роли Azure можно создать и определить в рамках Cloud Adoption Framework для развертывания Azure. Роли RBAC, относящиеся к Виртуальному рабочему столу Azure, могут быть объединены с другими ролями Azure RBAC, чтобы предоставить полный набор разрешений, необходимых пользователям для работы с Виртуальным рабочим столом Azure, а также для других служб Azure, таких как виртуальные машины и сеть.

Рекомендации по проектированию виртуального рабочего стола Azure

  • Чтобы получить доступ к рабочим столам и приложениям с узлов сеансов, пользователям необходимо иметь возможность проходить проверку подлинности. Идентификатор Microsoft Entra — это централизованная облачная служба удостоверений Майкрософт, которая обеспечивает эту возможность. Идентификатор Microsoft Entra всегда используется для проверки подлинности пользователей для виртуального рабочего стола Azure. Узлы сеансов можно присоединить к одному клиенту Microsoft Entra или домену Active Directory с помощью служб домен Active Directory (AD DS) или доменных служб Microsoft Entra, предоставляя вам варианты гибкой конфигурации.

    Примечание.

    Виртуальный рабочий стол Azure не поддерживает учетные записи B2B или Майкрософт.

  • Учетная запись, используемая для присоединения к домену, не может иметь многофакторную проверку подлинности или другие интерактивные запросы. Для нее существуют другие требования. См. дополнительные сведения о виртуальных машинах.
  • Для Виртуального рабочего стола Azure требуется стратегия размещения для доменных служб. Выберите доменные службы AD DS или Microsoft Entra.
  • Доменные службы Microsoft Entra — это поддерживаемый вариант, но существуют ограничения.
  • При присоединении к домену доменных служб Microsoft Entra учетная запись должна быть частью группы администраторов контроллера домена Майкрософт, а пароль учетной записи должен работать в доменных службах Microsoft Entra. См. дополнительные сведения о виртуальных машинах.
  • При указании подразделения используйте различающееся имя без кавычек.
  • Следуйте принципу минимальных привилегий, назначая минимальные разрешения, необходимые для выполнения разрешенных задач.
  • Имя участника-пользователя, используемое для подписки на Виртуальный рабочий стол Azure, должно существовать в домене Active Directory, в котором находится виртуальная машина узла сеансов. Дополнительные сведения о требованиях к пользователям см. в статье Требования Виртуального рабочего стола Azure.
  • При использовании смарт-карт требуется прямое соединение с контроллером домена Active Directory для проверки подлинности Kerberos. Дополнительные сведения см. в статье Настройка прокси-сервера центра распространения ключей Kerberos.
  • Использование Windows Hello для бизнеса требует, чтобы модель доверия для гибридных сертификатов была совместима с Виртуальным рабочим столом Azure. Дополнительные сведения см. в статье microsoft Entra hybrid joined certificate trust deployment.
  • При использовании Windows Hello для бизнеса для проверки подлинности смарт-карты клиент-инициатор должен иметь возможность взаимодействовать с контроллером домена, так как эти методы проверки подлинности используют Kerberos для входа. Дополнительные сведения см. в разделе Поддерживаемые методы проверки подлинности.
  • Единый вход может повысить удобство работы для пользователя, но он требует дополнительной настройки и поддерживается только при использовании службы федерации Active Directory (AD FS). Дополнительные сведения см. в статье Настройка единого входа с использованием AD FS для Виртуального рабочего стола Azure.

Поддерживаемые сценарии идентификации

В следующей таблице перечислены сценарии идентификации, которые сейчас поддерживает Виртуальный рабочий стол Azure:

Сценарии идентификации Узлы сеансов Учетные записи пользователей
Идентификатор Microsoft Entra + AD DS С присоединением к AD DS В microsoft Entra ID и AD DS синхронизированы
Идентификатор Microsoft Entra + AD DS Присоединено к идентификатору Microsoft Entra В microsoft Entra ID и AD DS синхронизированы
Идентификатор Microsoft Entra + Доменные службы Microsoft Entra Присоединено к доменным службам Microsoft Entra В идентификаторе Microsoft Entra и доменных службах Microsoft Entra синхронизированы
Идентификатор Microsoft Entra + Доменные службы Microsoft Entra + AD DS Присоединено к доменным службам Microsoft Entra В microsoft Entra ID и AD DS синхронизированы
Идентификатор Microsoft Entra + Доменные службы Microsoft Entra Присоединено к идентификатору Microsoft Entra В идентификаторе Microsoft Entra и доменных службах Microsoft Entra синхронизированы
Только Microsoft Entra Присоединено к идентификатору Microsoft Entra В идентификаторе Microsoft Entra

Рекомендации по проектированию

  • Используйте microsoft Entra Подключение для синхронизации всех удостоверений с одним клиентом Microsoft Entra. Дополнительные сведения см. в разделе "Что такое Microsoft Entra Подключение?".
  • Убедитесь, что узлы сеансов виртуального рабочего стола Azure могут взаимодействовать с доменными службами Microsoft Entra или AD DS.
  • Используйте решение прокси-сервера Центра распространения ключей Kerberos для прокси-карта трафика проверки подлинности и включения удаленного входа. Дополнительные сведения см. в статье Настройка прокси-сервера центра распространения ключей Kerberos.
  • Разделение виртуальных машин узла сеансов на подразделения Active Directory для каждого пула узлов, чтобы упростить управление политиками и потерянными объектами. См. дополнительные сведения о виртуальных машинах.
  • Используйте такое решение, как локальное решение Администратор istrator Password Solution (LAPS), чтобы часто менять пароли локального администратора на узлах сеансов Виртуального рабочего стола Azure. Дополнительные сведения см. в статье "Оценка безопасности: использование Microsoft LAPS".
  • Для пользователей назначьте встроенную роль пользователя виртуализации рабочего стола группам безопасности, чтобы предоставлять доступ к группам приложений Виртуального рабочего стола Azure. Дополнительные сведения см. в статье Делегированный доступ в Виртуальном рабочем столе Azure.
  • Создайте политики условного доступа для Виртуального рабочего стола Azure. Эти политики могут применять многофакторную проверку подлинности на основе таких условий, как рискованные входы, чтобы повысить уровень безопасности вашей организации. Дополнительные сведения см. в статье "Включение многофакторной проверки подлинности Microsoft Entra" для виртуального рабочего стола Azure.
  • Настройте AD FS, чтобы включить единый вход для пользователей в корпоративной сети.

Следующие шаги

Сведения о топологии сети и подключении для сценария корпоративного масштабирования виртуального рабочего стола Azure.