Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как использовать управление доступом на основе ролей Azure (RBAC) для управления удостоверениями и доступом в инфраструктуре виртуальных рабочих столов. Эффективное управление удостоверениями и доступом обеспечивает безопасные и эффективные операции для виртуального рабочего стола Azure.
Проектирование системы управления доступом, основанной на ролях (RBAC)
RBAC обеспечивает разделение обязанностей между командами и отдельными лицами, которые управляют развертыванием виртуального рабочего стола Azure. Это упрощает управление пользователями и повышает безопасность путем назначения ролей на основе обязанностей. Чтобы достичь этого, выполните следующие действия.
Определите назначения ролей. Определите назначения ролей и создайте соответствующие группы безопасности для каждой роли. Такой подход упрощает управление пользователями и обеспечивает четкое разделение обязанностей. Используйте встроенные роли Azure вместе с настраиваемыми ролями, адаптированными для виртуального рабочего стола Azure.
Объединение ролей для разрешений между службами. Объедините роли, относящиеся к виртуальному рабочему столу Azure, с другими ролями RBAC, чтобы предоставить пользователям необходимые разрешения в таких службах Azure, как виртуальные машины и сети. Дополнительные сведения см. в статье о встроенных ролях для виртуального рабочего стола Azure.
Единый вход
Единый вход в систему (SSO) для виртуального рабочего стола Azure с Microsoft Entra ID предлагает беспрерывный процесс аутентификации для пользователей, подключающихся к узлам сеансов. Единый вход улучшает пользовательский опыт и безопасность, обеспечивая проверку подлинности без пароля и поддерживая сторонних поставщиков удостоверений, федеративно связанных с Microsoft Entra ID. Чтобы реализовать SSO, выполните следующие шаги.
Включите SSO (единую систему аутентификации) для серверов-хостов сеансов. Настройте одноразовый вход (SSO), чтобы пользователи могли войти в Windows с помощью токена идентификатора Microsoft Entra. Эта настройка упрощает проверку подлинности и поддерживает ресурсы на основе идентификаторов Microsoft Entra в сеансе. Сведения о конфигурации см. в разделе "Настройка единого входа для виртуального рабочего стола Azure" с помощью идентификатора Microsoft Entra.
Интеграция сторонних поставщиков удостоверений. Используйте федеративные сторонние поставщики удостоверений с идентификатором Microsoft Entra ДЛЯ расширения возможностей проверки подлинности. Эта интеграция упрощает доступ для пользователей и повышает безопасность.
Рекомендации по проектированию виртуального рабочего стола Azure
В этом разделе описаны основные рекомендации по проектированию для развертывания виртуального рабочего стола Azure. Эти рекомендации помогут выбрать правильные стратегии удостоверений, проверки подлинности и присоединения к домену, чтобы обеспечить безопасный и надежный доступ для пользователей. Выполните следующие рекомендации, чтобы достичь оптимальной конфигурации:
Требовать проверку подлинности пользователя с помощью идентификатора Microsoft Entra. Пользователи должны аутентифицироваться с помощью Microsoft Entra ID для доступа к рабочим столам и приложениям на узлах сеансов. Идентификатор Microsoft Entra предоставляет централизованное управление облачными удостоверениями для виртуального рабочего стола Azure.
Выберите поддерживаемый параметр присоединения к домену для узлов сеансов. Присоедините ведущих сеанса к одному и тому же клиенту Microsoft Entra, доменным службам Active Directory (AD DS) или доменным службам Microsoft Entra. Виртуальный рабочий стол Azure не поддерживает учетные записи B2B или Майкрософт для присоединения к домену узла сеансов.
Используйте неинтерактивную учетную запись для операций присоединения к домену. Учетная запись присоединения к домену не должна требовать многофакторной проверки подлинности или интерактивных запросов. Дополнительные требования см. в разделе "Сведения о виртуальной машине".
Выберите соответствующую стратегию размещения. Выберите доменные службы Active Directory или доменные службы Microsoft Entra на основе требований организации.
Сведения об ограничениях доменных служб Microsoft Entra.Доменные службы Microsoft Entra — это поддерживаемый вариант, но необходимо включить синхронизацию хэша паролей. Гибридное подключение к виртуальным машинам Azure Virtual Desktop не поддерживается, что предотвращает беспрепятственный единый вход для служб Microsoft 365. Дополнительные сведения см. в разделе "Вопросы и ответы о доменных службах Microsoft Entra".
Назначьте правильные разрешения для присоединения к домену с помощью доменных служб Microsoft Entra. Учетная запись для присоединения к домену должна принадлежать группе администраторов Microsoft Entra DC, а пароль должен быть действителен в службах домена Microsoft Entra. Дополнительные сведения см. в разделе "Сведения о виртуальной машине".
Укажите организационные единицы, используя формат уникального имени. При определении подразделения используйте различающееся имя без кавычки.
Применение принципа наименьших привилегий. Назначьте только минимальные разрешения, необходимые пользователям для выполнения авторизованных задач.
Убедитесь, что согласовано имя основного пользователя (UPN). Имя субъекта-пользователя, используемое для подписки на виртуальный рабочий стол Azure, должно существовать в домене Active Directory, присоединенном к виртуальной машине узла сеанса. Сведения о требованиях пользователей см. в разделе "Требования к виртуальному рабочему столу Azure".
Включите проверку подлинности смарт-карты с помощью прямого подключения к контроллеру домена. Для проверки подлинности смарт-карты требуется прямое подключение к контроллеру домена Active Directory для проверки подлинности Kerberos. Инструкции по настройке см. в разделе "Настройка прокси-сервера Центра распространения ключей Kerberos".
Развертывание Windows Hello для бизнеса с использованием доверия к гибридному сертификату. Используйте модель доверия гибридных сертификатов для поддержки Windows Hello для бизнеса с виртуальным рабочим столом Azure. Инструкции по развертыванию см. в статье Microsoft Entra hybrid joined certificate trust deployment.
Поддержка входа с использованием Kerberos для расширенной аутентификации. Для проверки подлинности Windows Hello для бизнеса или смарт-карты убедитесь, что клиент может взаимодействовать с контроллером домена. Поддерживаемые методы см. в разделе "Поддерживаемые методы проверки подлинности".
Настройте единый вход в службы федерации Active Directory. Включите единый вход с помощью служб федерации Active Directory (AD FS) для улучшения удобства пользователей. Эта конфигурация поддерживается только в AD FS. Инструкции по настройке см. в статье "Настройка единого входа службы федерации Active Directory" для Виртуального рабочего стола Azure.
Поддерживаемые сценарии идентификации
В следующей таблице приведены сценарии идентификации, поддерживаемые виртуальным рабочим столом Azure:
| Сценарии идентификации | Хосты сеансов | Учетные записи пользователей |
|---|---|---|
| Идентификатор Microsoft Entra + AD DS | Подключено к AD DS | В Microsoft Entra ID и AD DS происходит синхронизация |
| Идентификатор Microsoft Entra + AD DS | Присоединено к идентификатору Microsoft Entra | В Microsoft Entra ID и AD DS происходит синхронизация |
| Идентификатор Microsoft Entra + Доменные службы Microsoft Entra | Присоединено к доменным службам Microsoft Entra | В Microsoft Entra ID и службах домена Microsoft Entra, синхронизация происходит |
| Идентификатор Microsoft Entra + Доменные службы Microsoft Entra + AD DS | Присоединено к доменным службам Microsoft Entra | В Microsoft Entra ID и AD DS происходит синхронизация |
| Идентификатор Microsoft Entra + Доменные службы Microsoft Entra | Присоединено к идентификатору Microsoft Entra | В Microsoft Entra ID и службах домена Microsoft Entra, синхронизация происходит |
| Только Microsoft Entra | Присоединено к идентификатору Microsoft Entra | В идентификаторе Microsoft Entra |
Рекомендации по проектированию
Выполните следующие рекомендации по проектированию, чтобы оптимизировать управление удостоверениями и доступом для виртуального рабочего стола Azure:
Синхронизация идентичностей. Используйте Microsoft Entra Connect для синхронизации всех идентичностей с одним клиентом Microsoft Entra. Дополнительные сведения см. в разделе "Что такое Microsoft Entra Connect?".
Убедитесь в наличии подключения к каталогу. Убедитесь, что узлы сеансов виртуального рабочего стола Azure могут взаимодействовать с доменными службами Microsoft Entra или доменными службами Active Directory.
Включите поддержку смарт-карт. Используйте решение прокси-сервера Центра распространения ключей Kerberos для прокси-трафика проверки подлинности смарт-карты и включения удаленного входа. Дополнительные сведения см. в статье Настройка прокси-сервера центра распространения ключей Kerberos.
Организация ведущих сеансов. Разделите виртуальные машины узлов сеансов на организационные подразделения Active Directory для каждого пула узлов, чтобы упростить управление политиками и работу с оставшимися объектами. Дополнительные сведения см. в разделе "Сведения о виртуальной машине".
Защита учетных записей локального администратора. Используйте такое решение, как решение для паролей локального администратора (LAPS), чтобы часто менять пароли локального администратора на узлах сеансов Виртуального рабочего стола Azure. Дополнительные сведения см. в статье Оценка безопасности: использование Microsoft LAPS.
Назначьте доступ с использованием RBAC. Предоставьте пользователю доступ к группам приложений Виртуального рабочего стола Azure, назначив встроенную роль "Пользователь виртуализации рабочего стола" соответствующим группам безопасности. Дополнительные сведения см. в статье Делегированный доступ в Виртуальном рабочем столе Azure.
Реализуйте условный доступ. Создайте политики условного доступа для виртуального рабочего стола Azure, чтобы обеспечить многофакторную проверку подлинности на основе таких условий, как рискованные входы. Дополнительные сведения см. в статье "Включение многофакторной проверки подлинности Microsoft Entra" для виртуального рабочего стола Azure.
Включите единый вход в AD FS. Настройте службу федерации Active Directory (AD FS), чтобы включить единый вход для пользователей в корпоративной сети.
Дальнейшие действия
Узнайте о топологии сети и подключаемости для сценария корпоративного уровня виртуального рабочего стола Azure.