Aspekty správy identit a přístupu pro Azure Virtual Desktop
Azure Virtual Desktop je spravovaná služba, která poskytuje řídicí rovinu Microsoftu pro vaši infrastrukturu virtuálních klientských počítačů. Správa identit a přístupu pro Azure Virtual Desktop používá řízení přístupu na základě role (RBAC) Azure s určitými podmínkami popsanými v tomto článku.
Návrh RBAC
RBAC podporuje oddělení povinností pro různé týmy a jednotlivce, kteří spravují nasazení služby Azure Virtual Desktop. V rámci návrhu cílové zóny musíte rozhodnout, kdo předpokládá různé role. Potom musíte vytvořit skupinu zabezpečení pro každou roli, abyste zjednodušili přidávání a odebírání uživatelů do a z rolí.
Azure Virtual Desktop poskytuje vlastní role Azure, které jsou navržené pro každou funkční oblast. Informace o konfiguraci těchto rolí najdete v tématu Předdefinované role pro Azure Virtual Desktop.
Předdefinované role Azure je možné vytvořit a definovat jako součást architektury přechodu na cloud pro nasazení Azure. Role RBAC, které jsou specifické pro Azure Virtual Desktop, může být potřeba kombinovat s jinými rolemi Azure RBAC, aby uživatelům s úplnými oprávněními, které uživatelé potřebují pro Azure Virtual Desktop, a pro další služby Azure, jako jsou virtuální počítače a sítě.
Aspekty návrhu služby Azure Virtual Desktop
- Aby uživatelé mohli přistupovat k desktopům a aplikacím z hostitelů relací, musí být schopni provést ověření. Microsoft Entra ID je centralizovaná cloudová služba identit od Microsoftu, která tuto funkci umožňuje. ID Microsoft Entra se vždy používá k ověřování uživatelů pro Azure Virtual Desktop. Hostitelé relací se můžou připojit ke stejnému tenantovi Microsoft Entra nebo k doméně služby Active Directory pomocí služby Doména služby Active Directory Services (AD DS) nebo služby Microsoft Entra Domain Services a poskytnout vám možnost volby flexibilní konfigurace.
Poznámka:
Azure Virtual Desktop nepodporuje účty B2B ani Microsoft.
- Účet použitý pro připojení k doméně nemůže mít vícefaktorové ověřování ani jiné interaktivní výzvy a existují další požadavky. Další informace najdete v tématu Podrobnosti o virtuálním počítači.
- Azure Virtual Desktop vyžaduje strategii hostování pro doménové služby. Zvolte službu AD DS nebo Microsoft Entra Domain Services.
- Microsoft Entra Domain Services je podporovaná možnost, ale existují omezení:
- Je nutné povolit synchronizaci hodnot hash hesel.
- Hybridní připojení k virtuálním počítačům Azure Virtual Desktop nemůžete použít k povolení bezproblémového jednotného přihlašování Microsoft Entra pro služby Microsoft 365.
Další informace najdete v tématu Nejčastější dotazy týkající se služby Microsoft Entra Domain Services.
- Při připojování k doméně služby Microsoft Entra Domain Services musí být účet součástí skupiny správců domény Microsoft Entra DC a heslo účtu musí fungovat ve službě Microsoft Entra Domain Services. Další informace najdete v tématu Podrobnosti o virtuálním počítači.
- Při zadávání organizační jednotky použijte rozlišující název bez uvozovek.
- Přiřaďte minimální oprávnění potřebná pro autorizované úlohy podle principu nejnižšího oprávnění.
- Hlavní název uživatele používaný k přihlášení k odběru služby Azure Virtual Desktop musí existovat v doméně služby Active Directory, kde je připojený virtuální počítač hostitele relace. Další informace opožadavch
- Při použití čipových karet se vyžaduje přímé připojení (dohled) s řadičem domény služby Active Directory pro ověřování protokolem Kerberos. Další informace najdete v tématu Konfigurace proxy centra distribuce klíčů Kerberos.
- Použití Windows Hello pro firmy vyžaduje, aby model důvěryhodnosti hybridních certifikátů byl kompatibilní s Azure Virtual Desktopem. Další informace naleznete v tématu Nasazení důvěryhodnosti hybridního certifikátu Microsoft Entra.
- Při použití Windows Hello pro firmy nebo ověřování pomocí čipové karty musí být iniciační klient schopný komunikovat s řadičem domény, protože tyto metody ověřování používají k přihlášení protokol Kerberos. Další informace naleznete v tématu Podporované metody ověřování.
- Jednotné přihlašování může zlepšit uživatelské prostředí, ale vyžaduje další konfiguraci a podporuje se pouze pomocí Active Directory Federation Services (AD FS). Další informace najdete v tématu Konfigurace jednotného přihlašování služby AD FS pro Azure Virtual Desktop.
Podporované scénáře identit
Následující tabulka shrnuje scénáře identit, které Azure Virtual Desktop aktuálně podporuje:
| Scénář identity | Hostitelé relací | Uživatelské účty |
|---|---|---|
| Microsoft Entra ID + AD DS | Připojeno ke službě AD DS | V Microsoft Entra ID a AD DS, synchronizované |
| Microsoft Entra ID + AD DS | Připojeno k Microsoft Entra ID | V Microsoft Entra ID a AD DS, synchronizované |
| Microsoft Entra ID + Microsoft Entra Domain Services | Připojeno ke službě Microsoft Entra Domain Services | V Microsoft Entra ID a Microsoft Entra Domain Services synchronizované |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Připojeno ke službě Microsoft Entra Domain Services | V Microsoft Entra ID a AD DS, synchronizované |
| Microsoft Entra ID + Microsoft Entra Domain Services | Připojeno k Microsoft Entra ID | V Microsoft Entra ID a Microsoft Entra Domain Services synchronizované |
| Pouze Microsoft Entra | Připojeno k Microsoft Entra ID | V Microsoft Entra ID |
Doporučení k návrhu
- Pomocí nástroje Microsoft Entra Připojení synchronizujte všechny identity do jednoho tenanta Microsoft Entra. Další informace naleznete v tématu Co je Microsoft Entra Připojení?.
- Ujistěte se, že hostitelé relací služby Azure Virtual Desktop můžou komunikovat se službou Microsoft Entra Domain Services nebo AD DS.
- Použijte řešení proxy centra pro distribuci klíčů Kerberos k přenosu ověřování pomocí čipové karty a povolte vzdálené přihlašování. Další informace najdete v tématu Konfigurace proxy centra distribuce klíčů Kerberos.
- Oddělení virtuálních počítačů hostitele relace do organizačních jednotek služby Active Directory pro každý fond hostitelů, aby bylo snazší spravovat zásady a osamocené objekty. Další informace najdete v tématu Podrobnosti o virtuálním počítači.
- Pomocí řešení, jako je místní Správa istrator password Solution (LAPS), můžete často obměňovat hesla místních správců na hostitelích relací služby Azure Virtual Desktop. Další informace naleznete v tématu Posouzení zabezpečení: Využití Microsoft LAPS.
- Uživatelům přiřaďte předdefinované role Uživatele virtualizace plochy ke skupinám zabezpečení a udělte tak přístup ke skupinám aplikací služby Azure Virtual Desktop. Další informace najdete v tématu Delegovaný přístup ve službě Azure Virtual Desktop.
- Vytvořte zásady podmíněného přístupu pro Azure Virtual Desktop. Tyto zásady můžou vynutit vícefaktorové ověřování na základě podmínek, jako jsou rizikové přihlášení, aby se zvýšil stav zabezpečení vaší organizace. Další informace najdete v tématu Povolení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop.
- Nakonfigurujte službu AD FS tak, aby umožňovala jednotné přihlašování pro uživatele v podnikové síti.
Další kroky
Seznamte se s topologií sítě a připojením pro scénář podnikového škálování služby Azure Virtual Desktop.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro