Permiso del acceso de red saliente para Azure Virtual Desktop
Al planear una implementación de Azure Firewall para proteger una carga de trabajo, como Azure Virtual Desktop, debe saber qué reglas implementar para permitir el tráfico de red adecuado.
Recuerde que, como hemos visto en el ejemplo de la empresa de contabilidad, no puede tener ningún tráfico de red no autorizado en el entorno de Azure Virtual Desktop. Se recomienda limitar el tráfico de red saliente para Azure Virtual Desktop mediante Azure Firewall.
Para que Azure Virtual Desktop funcione, el grupo de hosts necesita acceso saliente en Internet al servicio Azure Virtual Desktop. Es posible que el grupo de hosts también necesite acceso saliente en Internet para los usuarios.
Creación de reglas de firewall
Con el fin de permitir el tráfico de red adecuado para Azure Virtual Desktop, necesitará crear reglas de aplicación y red. Debe permitir que el grupo de hosts acceda a la red saliente para Azure Virtual Desktop y los servicios de soporte. En función de las necesidades de su organización, es posible que quiera habilitar un acceso seguro de salida a Internet para los usuarios finales.
Configurar reglas aplicación
Para permitir el acceso de red saliente al grupo de hosts para Azure Virtual Desktop, cree una colección de reglas de aplicación con las dos reglas siguientes:
| Regla | Descripción |
|---|---|
| Permiso de Azure Virtual Desktop | Use la etiqueta FQDN WindowsVirtualDesktop para permitir el tráfico desde la red virtual del grupo de hosts. |
| Permiso de las cuentas de almacenamiento y de Service Bus | Use FQDN de destino para permitir el acceso desde la red virtual del grupo de hosts hasta el conjunto de cuentas de almacenamiento y Service Bus que usa el grupo de hosts. Use FQDN con caracteres comodín para habilitar el acceso necesario o, para restringir aún más las opciones, agregue los FQDN exactos. |
En la tabla siguiente, se muestran las opciones de destino que puede usar para crear una regla que permita cuentas de almacenamiento y Service Bus:
| Opciones | FQDN que se usarán |
|---|---|
| FQDN con caracteres comodín | *xt.blob.core.windows.net, *eh.servicebus.windows.net |
| FQDN exactos | Use la siguiente consulta de Log Analytics en los registros de Azure Monitor para enumerar los FQDN exactos necesarios que usa el grupo de hosts. |
AzureDiagnostics
| where Category == "AzureFirewallApplicationRule"
| search "Deny"
| search "gsm*eh.servicebus.windows.net" or "gsm*xt.blob.core.windows.net"
| parse msg_s with Protocol " request from " SourceIP ":" SourcePort:int " to " FQDN ":" *
| project TimeGenerated,Protocol,FQDN
Al agregar ambas reglas, la colección de reglas tendrá un aspecto similar al de la captura de pantalla siguiente:
Seguirá los pasos específicos para crear la colección de reglas de aplicación en el ejercicio siguiente.
Configuración de reglas de red
Para permitir que Azure Virtual Desktop funcione, deberá agregar reglas de Azure Firewall para DNS y el servicio de activación de Windows.
Cree una colección de reglas de red y agregue las siguientes reglas:
| Regla | Descripción |
|---|---|
| Permiso de DNS | Permita el tráfico desde su dirección IP privada de Active Directory Domain Server hasta * para los puertos TCP y UDP 53. Es posible que algunas implementaciones no necesiten reglas de DNS. Por ejemplo, Microsoft Entra Domain Services reenvía consultas de DNS a Azure DNS en la dirección 168.63.129.16. |
| Permiso de KMS | Permita el tráfico desde sus máquinas virtuales de Azure Virtual Desktop hasta el puerto TCP 1688 del servicio de activación de Windows. |
Al agregar ambas reglas de red, la colección de reglas tendrá un aspecto similar al de la captura de pantalla siguiente:
Seguirá los pasos específicos para crear una colección de reglas de red en el ejercicio siguiente.
Permiso del acceso saliente seguro a Internet para los usuarios
Es posible que deba crear más reglas de aplicación y red de Azure Firewall cuando quiera permitir a los usuarios el acceso saliente a Internet.
Si tiene una lista bien definida de destinos permitidos, como Microsoft 365, use reglas de aplicación y de red de Azure Firewall para enrutar el tráfico de los usuarios finales directamente a los destinos. Para información sobre el servicio web de URL y dirección IP de Office 365, consulte los recursos enumerados en la sección Resumen de este módulo.
Es posible que quiera filtrar el tráfico saliente de Internet de los usuarios mediante una puerta de enlace web existente, local y segura. Para ello, puede configurar exploradores web u otras aplicaciones que se ejecuten en el grupo de hosts de Azure Virtual Desktop con una configuración de proxy explícita. Por ejemplo, puede usar las opciones de línea de comandos de Microsoft Edge para establecer la configuración de proxy. Esta configuración de proxy solo afecta al acceso a Internet para los usuarios y permite el tráfico saliente del servicio Azure Virtual Desktop directamente por medio de Azure Firewall. Para más información, consulte los recursos enumerados en la sección Resumen de este módulo.