Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальный рабочий стол Azure — это облачная служба инфраструктуры виртуальных рабочих столов (VDI), которая выполняется в Azure. Когда конечный пользователь подключается к виртуальному рабочему столу Azure, его сеанс поступает от хоста сеансов в пуле хостов. Пул узлов — это коллекция виртуальных машин Azure, которые регистрируются в виртуальном рабочем столе Azure в качестве узлов сеансов. Эти виртуальные машины работают в вашей виртуальной сети и подчиняются элементам управления безопасностью виртуальной сети. Для правильной работы службы виртуального рабочего стола Azure им нужен исходящий доступ к Интернету, а также для конечных пользователей может потребоваться исходящий доступ к Интернету. Брандмауэр Azure поможет заблокировать окружение и фильтровать исходящий трафик.
Следуйте инструкциям из этой статьи, чтобы обеспечить дополнительную защиту для пула узлов виртуального рабочего стола Azure с помощью брандмауэра Azure.
Предварительные условия
- Развернутая среда виртуального рабочего стола Azure и пул узлов. Дополнительные сведения см. в статье "Развертывание виртуального рабочего стола Azure".
- Брандмауэр Azure, развернутый по крайней мере с одной политикой Firewall Manager.
- DNS и DNS-прокси активированы в политике брандмауэра для использования полного доменного имени в сетевых правилах.
Дополнительные сведения о терминологии виртуального рабочего стола Azure см. в терминологии Azure Virtual Desktop.
Предупреждение
Отключение виртуального рабочего стола Azure может происходить во время масштабирования брандмауэра Azure, если вы направляете весь трафик в брандмауэр Azure с помощью маршрута по умолчанию. Чтобы избежать этих отключений, убедитесь, что у вас есть прямой доступ к шлюзу и брокеру для виртуального рабочего стола Azure. Используйте один из следующих вариантов в зависимости от развертывания:
- Концентратор и периферийный сервер. Добавьте маршрут в таблицу маршрутов, примененную к подсети Виртуального рабочего стола Azure, с заданным типом назначения тегом службы, целевой службой , установленной для WindowsVirtualDesktop, и следующим прыжком , заданным в Интернете.
- Виртуальная глобальная сеть Azure: добавьте маршрут в таблицу маршрутов, примененную к подсети (периферийной виртуальной сети), в которую размещаются рабочие нагрузки Виртуального рабочего стола Azure с типом назначения , заданным для тега службы, целевой службой , заданной для WindowsVirtualDesktop, и следующим прыжком , установленным в Интернете.
Исходящий доступ пула серверов к Azure Virtual Desktop
Виртуальные машины Azure, создаваемые для виртуального рабочего стола Azure, должны иметь доступ к нескольким полным доменным именам (FQDN) для правильной работы. Брандмауэр Azure использует тег WindowsVirtualDesktop полного доменного имени виртуального рабочего стола Azure для упрощения этой конфигурации. Необходимо создать политику брандмауэра Azure и создать коллекции правил для сетевых правил и правил приложения. Присвойте коллекции правил приоритет и выберите действие разрешить или запретить.
Необходимо создать правила для каждой из необходимых полных доменных имен и конечных точек. Список доступен в списке обязательных полных доменных имен и конечных точек для виртуального рабочего стола Azure. Чтобы определить определенный пул узлов как источник, можно создать группу IP с каждым узлом сеанса, чтобы представить его.
Внимание
Не используйте проверку TLS с виртуальным рабочим столом Azure. Дополнительные сведения см. в рекомендациях по использованию прокси-серверов.
Пример политики брандмауэра Azure
Вы можете развернуть все обязательные и необязательные правила, упомянутые ранее в одной политике брандмауэра Azure, с помощью шаблона, опубликованного в AzureFirewallPolicyForAVD. Перед развертыванием в рабочей среде просмотрите все правила сети и приложения, определенные для обеспечения соответствия требованиям к официальной документации и безопасности виртуального рабочего стола Azure.
Исходящий доступ пула хостов в Интернет
В зависимости от потребностей вашей организации может потребоваться включить безопасный исходящий интернет-доступ для конечных пользователей. Если список разрешенных назначений хорошо определен (например, для доступа к Microsoft 365), используйте приложение брандмауэра Azure и правила сети для настройки требуемого доступа. Эта конфигурация направляет трафик конечных пользователей непосредственно в Интернет для повышения производительности. Если необходимо разрешить сетевое подключение для Windows 365 или Intune, см. раздел Сетевые требования для Windows 365 и Конечные точки в сети для Intune.
Чтобы отфильтровать исходящий интернет-трафик пользователей с помощью существующего локального безопасного веб-шлюза, вы можете настроить браузер или другие приложения, работающие в пуле узлов виртуального рабочего стола Azure, используя явную конфигурацию прокси-сервера. Примеры см. в статье Использование параметров командной строки в Microsoft Edge для настройки параметров прокси-сервера. Эти параметры прокси-сервера влияют только на доступ пользователей к Интернету, разрешая исходящий трафик платформы виртуального рабочего стола Azure напрямую через брандмауэр Azure.
Управление доступом пользователей к веб-службам
Администраторы могут разрешать или запрещать доступ пользователей к различным категориям веб-сайтов. Добавьте правило в вашу коллекцию приложений для вашего конкретного IP-адреса, чтобы разрешить или запретить определенные категории веб-сайтов. Просмотрите все категории веб-сайтов.
Следующий шаг
- Дополнительные сведения о виртуальном рабочем столе Azure см. в статье "Что такое виртуальный рабочий стол Azure"?