Freigeben über


Identitäts- und Zugriffsverwaltungsaspekte für Azure Virtual Desktop

Azure Virtual Desktop ist ein verwalteter Dienst, der eine Microsoft-Steuerungsebene für Ihre virtuelle Desktopinfrastruktur bereitstellt. Die Identitäts- und Zugriffsverwaltung für Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung (RBAC) von Azure mit bestimmten Bedingungen, die in diesem Artikel beschrieben werden.

RBAC-Entwurf

RBAC unterstützt die Aufgabentrennung für die verschiedenen Teams und Einzelpersonen, die die Bereitstellung von Azure Virtual Desktop verwalten. Im Rahmen des Zielzonenentwurfs müssen Sie entscheiden, wer die verschiedenen Rollen übernimmt. Anschließend müssen Sie eine Sicherheitsgruppe für jede Rolle erstellen, um das Hinzufügen und Entfernen von Benutzern zu und aus Rollen zu vereinfachen.

Azure Virtual Desktop bietet benutzerdefinierte Azure-Rollen, die für jeden Funktionsbereich entworfen wurden. Informationen zum Konfigurieren dieser Rollen finden Sie unter Integrierte Rollen für Azure Virtual Desktop.

Integrierte Azure-Rollen können als Teil des Cloud Adoption Frameworks für die Azure-Bereitstellung erstellt und definiert werden. RBAC-Rollen, die für Azure Virtual Desktop spezifisch sind, müssen möglicherweise mit anderen Azure RBAC-Rollen kombiniert werden, um den vollständigen Berechtigungssatz zur Verfügung zu stellen, den Benutzer für Azure Virtual Desktop und für andere Azure-Dienste wie virtuelle Computer und Netzwerke benötigen.

Überlegungen zum Entwurf von Azure Virtual Desktop

  • Um von Ihren Sitzungshosts aus auf Desktops und Anwendungen zugreifen zu können, müssen sich Ihre Benutzer authentifizieren können. Microsoft Entra ID ist der zentralisierte Cloudidentitätsdienst von Microsoft, der diese Funktion ermöglicht. Microsoft Entra ID wird immer verwendet, um Benutzer*innen für Azure Virtual Desktop zu authentifizieren. Sitzungshosts können mit demselben Microsoft Entra-Mandanten oder einer Active Directory-Domäne mithilfe von Active Directory Domain Services (AD DS) oder Microsoft Entra Domain Services verbunden werden, was Ihnen eine Auswahl flexibler Konfigurationsoptionen bietet.

    Hinweis

    Azure Virtual Desktop unterstützt keine B2B- oder Microsoft-Konten.

  • Das für den Domänenbeitritt verwendete Konto darf keine mehrstufige Authentifizierung oder andere interaktive Eingabeaufforderungen aufweisen. Zudem gibt es weitere Anforderungen. Weitere Informationen finden Sie unter Details zum virtuellen Computer.
  • Azure Virtual Desktop erfordert eine Hostingstrategie für Domänendienste. Wählen Sie entweder AD DS oder Microsoft Entra Domain Services aus.
  • Microsoft Entra Domain Services ist eine unterstützte Option. Sie hat jedoch Einschränkungen:
  • Wenn Sie eine Verknüpfung mit einer Domäne von Microsoft Entra Domain Services herstellen, muss das Konto Teil der Microsoft Entra DC-Administratorgruppe sein, und das Kontokennwort muss in Microsoft Entra Domain Services funktionieren. Weitere Informationen finden Sie unter Details zum virtuellen Computer.
  • Wenn Sie eine Organisationseinheit angeben, verwenden Sie den Distinguished Name ohne Anführungszeichen.
  • Befolgen Sie das Prinzip der geringsten Rechte, indem Sie die Mindestberechtigungen zuweisen, die für autorisierte Aufgaben erforderlich sind.
  • Der Benutzerprinzipalname, der zum Abonnieren von Azure Virtual Desktop verwendet wird, muss in der Active Directory-Domäne vorhanden sein, der der virtuelle Sitzungshostcomputer beigetreten ist. Weitere Informationen zu Benutzeranforderungen finden Sie unter Anforderungen.
  • Bei Verwendung von Smartcards ist eine direkte Verbindung (Sichtverbindung) mit einem Active Directory-Domänencontroller für die Kerberos-Authentifizierung erforderlich. Weitere Informationen finden Sie unter Konfigurieren eines Kerberos-Schlüsselverteilungscenter-Proxys.
  • Die Verwendung von Windows Hello for Business erfordert das Hybridmodell von Zertifikatsvertrauensstellungen, um mit Azure Virtual Desktop kompatibel zu sein. Weitere Informationen finden Sie unter Hybrid verknüpfte Zertifikatvertrauensbereitstellung von Microsoft Entra.
  • Bei der Verwendung von Windows Hello for Business oder der Smartcard-Authentifizierung muss der initiierende Client in der Lage sein, mit dem Domänencontroller zu kommunizieren, da diese Authentifizierungsmethoden Kerberos zur Anmeldung verwenden. Weitere Informationen finden Sie unter Unterstützte Authentifizierungsmethoden.
  • Einmaliges Anmelden kann die Benutzerfreundlichkeit verbessern, erfordert jedoch eine zusätzliche Konfiguration und wird nur über Active Directory-Verbunddienste (AD FS) unterstützt. Weitere Informationen finden Sie unter Konfigurieren des einmaligen Anmeldens für AD FS für Azure Virtual Desktop.

Unterstützte Identitätsszenarien

In der folgenden Tabelle werden die derzeit von Azure Virtual Desktop unterstützten Identitätsszenarien zusammengefasst:

Identitätsszenario Sitzungshosts Benutzerkonten
Microsoft Entra ID + AD DS Verknüpft mit AD DS Synchronisiert in Microsoft Entra ID und AD DS
Microsoft Entra ID + AD DS Mitglied der Microsoft Entra ID Synchronisiert in Microsoft Entra ID und AD DS
Microsoft Entra ID + Microsoft Entra Domain Services Verbunden mit Microsoft Entra Domain Services Synchronisierte Microsoft Entra ID und Microsoft Entra Domain Services
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS Verbunden mit Microsoft Entra Domain Services Synchronisiert in Microsoft Entra ID und AD DS
Microsoft Entra ID + Microsoft Entra Domain Services Mitglied der Microsoft Entra ID Synchronisierte Microsoft Entra ID und Microsoft Entra Domain Services
Nur Microsoft Entra Mitglied der Microsoft Entra ID In Microsoft Entra ID

Entwurfsempfehlungen

  • Verwenden Sie Microsoft Entra Connect, um alle Identitäten mit einem einzelnen Microsoft Entra-Mandanten zu synchronisieren. Weitere Informationen finden Sie unter Was ist Microsoft Entra Connect?.
  • Stellen Sie sicher, dass Azure Virtual Desktop-Sitzungshosts mit Microsoft Entra Domain Services oder AD DS kommunizieren können.
  • Verwenden Sie die Proxylösung „Kerberos-Schlüsselverteilungscenter“, um den Datenverkehr der Smartcard-Authentifizierung über einen Proxy zu leiten und die Remoteanmeldung zu ermöglichen. Weitere Informationen finden Sie unter Konfigurieren eines Kerberos-Schlüsselverteilungscenter-Proxys.
  • Trennen Sie virtuelle Sitzungshostcomputer in Active Directory-Organisationseinheiten für jeden Hostpool, um Richtlinien und verwaiste Objekte einfacher zu verwalten. Weitere Informationen finden Sie unter Details zum virtuellen Computer.
  • Verwenden Sie eine Lösung wie Local Administrator Password Solution (LAPS), um lokale Administratorkennwörter regelmäßig auf Azure Virtual Desktop-Sitzungshosts zu rotieren. Weitere Informationen finden Sie unter Sicherheitsbewertung: Verwendung von Microsoft LAPS.
  • Weisen Sie für Benutzer die integrierte Rolle „Desktopvirtualisierungsbenutzer“ den Sicherheitsgruppen zu, um Zugriff auf Azure Virtual Desktop-Anwendungsgruppen zu gewähren. Weitere Informationen finden Sie unter Delegierter Zugriff in Azure Virtual Desktop.
  • Erstellen Sie Richtlinien für bedingten Zugriff für Azure Virtual Desktop. Diese Richtlinien können eine mehrstufige Authentifizierung auf der Grundlage von Bedingungen wie riskanten Anmeldungen erzwingen, um den Sicherheitsstatus Ihres Unternehmens zu verbessern. Weitere Informationen finden Sie unter Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra für Azure Virtual Desktop.
  • Konfigurieren Sie AD FS, um das einmalige Anmelden für Benutzer im Unternehmensnetzwerk zu aktivieren.

Nächste Schritte

Erfahren Sie mehr über die Netzwerktopologie und -konnektivität für ein unternehmensweites Azure Virtual Desktop-Szenario.