Consideraciones sobre la administración de identidades y acceso para Azure Virtual Desktop
Azure Virtual Desktop es un servicio administrado que proporciona un plano de control de Microsoft para la infraestructura del escritorio virtual. La administración de identidades y acceso de Azure Virtual Desktop usa el control de acceso basado en rol (RBAC) de Azure con ciertas condiciones que se describen en este artículo.
Diseño de RBAC
RBAC admite la separación de obligaciones de los distintos equipos e individuos que administran la implementación de Azure Virtual Desktop. Como parte del diseño de la zona de aterrizaje, es necesario decidir quién asume los distintos roles. Además, se deberá crear un grupo de seguridad para cada rol a fin de simplificar la adición y eliminación de roles para los usuarios.
Azure Virtual Desktop proporciona roles de Azure personalizados diseñados para cada área funcional. Para información sobre cómo se configuran estos roles, consulte Roles de Azure Virtual Desktop integrados.
Los roles integrados de Azure se pueden crear y definir como parte de Cloud Adoption Framework para la implementación de Azure. Es posible que los roles RBAC específicos de Azure Virtual Desktop deban combinarse con otros roles RBAC de Azure para proporcionar el conjunto completo de permisos que los usuarios necesitan para Azure Virtual Desktop y para otros servicios de Azure, como máquinas virtuales y redes.
Consideraciones de diseño de Azure Virtual Desktop
- Para acceder a los escritorios y las aplicaciones desde los hosts de sesión, los usuarios deben poder autenticarse. Microsoft Entra ID es el servicio de identidad en la nube centralizado de Microsoft que permite esta funcionalidad. Microsoft Entra ID siempre se usa para autenticar a los usuarios para Azure Virtual Desktop. Los hosts de sesión se pueden unir al mismo inquilino de Microsoft Entra o a un dominio de Active Directory mediante Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services (Microsoft Entra Domain Services), lo que le proporciona una opción de opciones de configuración flexibles.
Nota:
Azure Virtual Desktop no admite cuentas B2B o de Microsoft.
- La cuenta usada para la unión a un dominio no puede tener autenticación multifactor ni otros avisos interactivos, y hay otros requisitos. Para más información, consulte Detalles de la máquina virtual.
- Azure Virtual Desktop requiere una estrategia de hospedaje para los servicios de dominio. Elija AD DS o Microsoft Entra Domain Services.
- Microsoft Entra Domain Services es una opción admitida, pero hay limitaciones:
- Debe habilitar la sincronización de hash de contraseña.
- No puede usar la unión híbrida en máquinas virtuales de Azure Virtual Desktop para habilitar el inicio de sesión único sin interrupción de Microsoft Entra en los servicios de Microsoft 365.
Para obtener más información, consulte Preguntas más frecuentes (P+F) sobre Microsoft Entra Domain Services.
- Al unirse a un dominio de Microsoft Entra Domain Services, la cuenta debe formar parte del grupo administradores de Microsoft Entra DC y la contraseña de la cuenta debe funcionar en Microsoft Entra Domain Services. Para más información, consulte Detalles de la máquina virtual.
- Al especificar una unidad organizativa, use el nombre distintivo (DN) sin comillas.
- Siga el principio de privilegio mínimo mediante la asignación de los permisos mínimos necesarios para las tareas autorizadas.
- El nombre principal de usuario que se usa para suscribirse a Azure Virtual Desktop debe existir en el dominio de Active Directory al que está unida la máquina virtual de host de sesión. Para obtener más información sobre los requisitos de usuarios, consulte Requisitos de Azure Virtual Desktop.
- Cuando se usan tarjetas inteligentes, se requiere una conexión directa (línea de visión) con un controlador de dominio de Active Directory para la autenticación Kerberos. Para obtener más información, consulte Configuración de un proxy del Centro de distribución de claves de Kerberos.
- El uso de Windows Hello para empresas requiere que el modelo de confianza de certificado híbrido sea compatible con Azure Virtual Desktop. Para obtener más información, consulte Implementación de confianza del certificado unido a Microsoft Entra híbrido.
- Al usar la autenticación de tarjetas inteligentes o Windows Hello para empresas, el cliente de iniciación debe poder comunicarse con el controlador de dominio, ya que estos métodos de autenticación usan Kerberos para iniciar sesión. Para más información, consulte Métodos de autenticación admitidos.
- El inicio de sesión único puede mejorar la experiencia del usuario, pero requiere una configuración adicional y solo se admite mediante Servicios de federación de Active Directory (AD FS). Para más información, consulte Configuración del inicio de sesión único de AD FS para Azure Virtual Desktop.
Escenarios de identidad admitidos
En la tabla siguiente se resumen los escenarios de identidad que admite actualmente Azure Virtual Desktop:
| Escenario de identidad | Hosts de sesión | Cuentas de usuario |
|---|---|---|
| Microsoft Entra ID + AD DS | Unidos a AD DS | En Microsoft Entra ID y AD DS, sincronizado |
| Microsoft Entra ID + AD DS | Unido a Microsoft Entra ID | En Microsoft Entra ID y AD DS, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services | Unido a Microsoft Entra Domain Services | En Microsoft Entra ID y Microsoft Entra Domain Services, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Unido a Microsoft Entra Domain Services | En Microsoft Entra ID y AD DS, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services | Unido a Microsoft Entra ID | En Microsoft Entra ID y Microsoft Entra Domain Services, sincronizado |
| Solo Microsoft Entra | Unido a Microsoft Entra ID | En Microsoft Entra ID |
Recomendaciones de diseño
- Use Microsoft Entra Connect para sincronizar todas las identidades con un único inquilino de Microsoft Entra. Para más información, consulte ¿Qué es Microsoft Entra Connect?
- Asegúrese de que los hosts de sesión de Azure Virtual Desktop puedan comunicarse con Microsoft Entra Domain Services o AD DS.
- Use la solución de proxy del Centro de distribución de claves de Kerberos para redirigir mediante proxy el tráfico de autenticación con tarjeta inteligente e iniciar sesión de forma remota. Para obtener más información, consulte Configuración de un proxy del Centro de distribución de claves de Kerberos.
- Separe las máquinas virtuales de host de sesión en unidades organizativas de Active Directory para cada grupo de hosts a fin de administrar más fácilmente directivas y objetos huérfanos. Para más información, consulte Detalles de la máquina virtual.
- Use una solución como la Solución de contraseña de administrador local (LAPS) para rotar con frecuencia las contraseñas de administrador local en los hosts de sesión de Azure Virtual Desktop. Para obtener más información, vea Evaluación de seguridad: Uso de Microsoft LAPS.
- Para los usuarios, asigne el rol integrado Usuario de Desktop Virtualization a grupos de seguridad para conceder acceso a grupos de aplicaciones de Azure Virtual Desktop. Para más información, consulte Acceso delegado en Azure Virtual Desktop.
- Cree directivas de acceso condicional para Azure Virtual Desktop. Estas directivas pueden exigir la autenticación multifactor en función de determinadas condiciones, como inicios de sesión de riesgo, para aumentar la posición de seguridad de una organización. Para obtener más información, consulte Habilitación de la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop.
- Configure AD FS para habilitar el inicio de sesión único para los usuarios de la red corporativa.
Pasos siguientes
Aprenda sobre la topología de red y la conectividad en un escenario de escala empresarial de Azure Virtual Desktop.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de