Intégrer une charge de travail Azure Virtual Desktop à des zones d’atterrissage Azure
La migration vers le cloud des postes de travail des utilisateurs finaux d’une organisation est un scénario courant dans les migrations vers le cloud. Elle permet d’améliorer la productivité des collaborateurs et d’accélérer la migration de différentes charges de travail pour soutenir l’expérience utilisateur de l’organisation. Chaque organization gère les charges de travail et exploite son environnement cloud de manière unique. Les modèles d’exploitation cloud courants sont décentralisés, centralisés, d’entreprise et distribués.
La différence la plus importante entre les différents modèles est le niveau de propriété. Dans le modèle décentralisé, les propriétaires de charge de travail disposent d’une autonomie sans aucune supervision informatique centrale pour la gouvernance. Par exemple, ils gèrent leurs propres exigences en matière de mise en réseau, de supervision et d’identité. À l’autre extrémité du spectre se trouve le modèle centralisé, où les propriétaires de charge de travail respectent les exigences de gouvernance définies par les équipes informatiques centrales.
Pour une présentation détaillée des modèles, consultez Passer en revue et comparer les modèles d’exploitation cloud courants.
En tant que propriétaire de charge de travail, vous devez comprendre le modèle d’exploitation utilisé par votre organization. Ce choix influence les décisions techniques dont vous êtes responsable et les exigences techniques que vous appliquez pour vos équipes centrales.
Pour tirer le meilleur parti des fonctionnalités et fonctionnalités d’Azure Virtual Desktop, vous devez tirer parti des meilleures pratiques qui s’appliquent aux organisations. La plateforme offre adaptabilité et flexibilité, ce qui permet à votre environnement Azure Virtual Desktop de prendre en charge la croissance future.
Important
Cet article fait partie de la série de charges de travail Azure Well-Architected Framework Azure Virtual Desktop . Si vous n’êtes pas familiarisé avec cette série, nous vous recommandons de commencer par Qu’est-ce qu’une charge de travail Azure Virtual Desktop ?.
Zones d’atterrissage Azure
Une zone d’atterrissage Azure est une architecture conceptuelle qui représente l’empreinte cloud globale d’un organization. Il a plusieurs abonnements, chacun avec un objectif unique. Les équipes centrales possèdent certains des abonnements, tels que les zones d’atterrissage de la plateforme Azure.
Pour vous familiariser avec le concept de zones d’atterrissage Azure, consultez Qu’est-ce qu’une zone d’atterrissage Azure ?.
Important
Azure Virtual Desktop a des considérations et des exigences spécifiques, en particulier celles liées aux intégrations aux services Azure. L’accélérateur de zone d’atterrissage Azure Virtual Desktop et les instructions Azure Well-Architected Framework pour Azure Virtual Desktop visent à mettre en évidence ces personnalisations nécessaires. Ces ressources intègrent également Cloud Adoption Framework perspectives pour une approche holistique de la préparation au cloud.
Téléchargez un fichier Visio de cette architecture.
Zones d’atterrissage de plateforme
Azure Virtual Desktop doit interagir avec plusieurs services externes. Les équipes centrales peuvent posséder certains de ces services dans le cadre de zones d’atterrissage de plateforme. Les services d’identité, la connectivité réseau et les services de sécurité sont des exemples de ces services. L’interaction avec ces services externes est une préoccupation fondamentale. Pour être entièrement fonctionnelle, une charge de travail Azure Virtual Desktop a besoin de l’équipe de la plateforme et de l’équipe de charge de travail pour partager le même état d’esprit de responsabilité.
Pour une démonstration des zones d’atterrissage de plateforme dont vous avez besoin pour qu’une charge de travail Azure Virtual Desktop s’exécute, consultez Révision des zones d’atterrissage Azure pour Microsoft Azure Virtual Desktop. Cet article décrit une base de plateforme solide qui accélère la migration d’un environnement local vers un cloud privé Azure Virtual Desktop.
Zones d’atterrissage d’applications
Il existe un abonnement distinct, également appelé zone d’atterrissage d’application Azure, destiné aux propriétaires de charge de travail. Cette zone d’atterrissage d’application est l’endroit où vous déployez votre charge de travail Azure Virtual Desktop. Il a accès aux zones d’atterrissage de plateforme qui fournissent l’infrastructure de base dont vous avez besoin pour exécuter votre charge de travail. Les exemples incluent la mise en réseau, la gestion de l’accès aux identités, la stratégie et l’infrastructure de surveillance.
Les conseils sur les zones d’atterrissage d’application s’appliquent aux charges de travail Azure Virtual Desktop. Pour plus d’informations, consultez Zones d’atterrissage de plateforme et zones d’atterrissage d’application. Ces conseils incluent des recommandations pour gérer et gérer efficacement votre charge de travail.
Pour une démonstration d’une zone d’atterrissage d’application pour une charge de travail Azure Virtual Desktop, consultez l’architecture de référence de référence dans Exemples d’architectures pour Azure Virtual Desktop.
Intégration de la zone de conception
Cette section met en évidence la base solide que fournit la plateforme. La discussion couvre également les domaines de responsabilité partagée entre l’équipe de la plateforme et l’équipe de charge de travail.
Responsabilités de la plateforme
L’équipe de plateforme Azure Virtual Desktop s’assure que l’infrastructure est prête pour la génération des équipes de charge de travail. Voici quelques tâches courantes :
- Gestion de la capacité en définissant des quotas d’abonnement et régionaux suffisants pour le déploiement.
- Sécurisation et optimisation de la connectivité aux systèmes locaux, à Azure et à Internet. Cette tâche inclut le routage, la configuration des entrées de pare-feu et la gestion des appliances réseau centralisées.
- Gestion des intégrations Azure, telles que les intégrations avec Stockage Azure, Azure Monitor, Log Analytics, Microsoft Entra ID et Azure Key Vault.
Responsabilités partagées
L’équipe de charge de travail et l’équipe de plateforme ont des responsabilités distinctes. Mais les deux équipes travaillent souvent en étroite collaboration pour garantir la disponibilité et la récupération des charges de travail. Les équipes coordonnent les efforts pour la réussite globale des charges de travail qui s’exécutent dans Azure Virtual Desktop. Une collaboration efficace entre les équipes de plateforme et d’application est essentielle pour réussir le déploiement d’Azure Virtual Desktop.
Les zones de conception des zones d’atterrissage de la plateforme et de l’application sont étroitement couplées.
- Pour obtenir une description des modifications apportées aux ressources de plateforme nécessaires pour une charge de travail, consultez Révision de la zone d’atterrissage Azure Azure Virtual Desktop.
- Pour obtenir une description de la spécification technique d’une charge de travail, consultez Quels sont les domaines de conception clés ?.
Zone de conception – Inscription d’entreprise
L’équipe de plateforme cloud doit comprendre les décisions existantes en matière d’inscription d’entreprise ou de Microsoft Entra client.
Zone de conception – Gestion des identités et des accès (IAM)
L’identité est essentielle aux fonctionnalités d’Azure Virtual Desktop, car les utilisateurs doivent être authentifiés pour pouvoir utiliser le service. L’équipe de plateforme est responsable de la conception d’une solution d’identité, qui peut impliquer Microsoft Entra ID, Microsoft Entra Domain Services ou services de domaine Active Directory (AD DS). L’équipe de plateforme s’assure également que l’environnement Azure Virtual Desktop maintient une ligne de vue sur les services d’identité.
| Responsabilités de l’équipe de plateforme | Responsabilités de l’équipe de charge de travail |
|---|---|
| - Conception de services d’identité pour Microsoft Entra ID, Domain Services, AD DS et Microsoft Entra Connect - Utilisation du contrôle d’accès en fonction du rôle (RBAC) pour implémenter la séparation des tâches - Configuration des stratégies d’accès conditionnel Microsoft Entra - Gestion des unités organisationnelles Et des stratégies de groupe Active Directory |
- Utilisation des affectations RBAC pour contrôler l’accès à l’infrastructure et aux sessions Azure Virtual Desktop à des fins de gestion |
Zone de conception - Mise en réseau et connectivité
La connectivité des services de plateforme est un concept de mise en réseau clé. L’équipe de plateforme est chargée de s’assurer que l’environnement Azure Virtual Desktop dispose d’une connectivité appropriée à :
- Services d’identité pour l’authentification.
- Dns (Domain Name System) pour une résolution appropriée.
- Autres charges de travail dans un environnement hybride.
Les responsabilités de l’équipe de plateforme sont les suivantes :
- Configuration de points de terminaison privés et de zones DNS privées.
- S’assurer que les considérations relatives à la bande passante, à la latence et à la qualité du service sont prises en compte.
- Implémentation de stratégies de sécurité réseau.
- Garantir l’accès aux points de terminaison Internet requis.
- Planification de la continuité d’activité et de la reprise d’activité.
Zone de conception – Organization de ressources
Les responsabilités de l’équipe de plateforme incluent la structuration des groupes d’administration et des groupes de ressources pour simplifier la gestion des accès. Cette responsabilité inclut la définition de normes de nommage et de balisage. L’équipe de charge de travail garantit la conformité à ces normes.
Zone de conception – Gestion
| Responsabilités de l’équipe de plateforme | Responsabilités de l’équipe de charge de travail |
|---|---|
| - Planification et développement d’une stratégie de surveillance - Utilisation de Azure Policy pour appliquer la conformité à l’échelle de l’entreprise - Développement d’une stratégie de gestion des coûts |
- Configuration du déploiement d’Azure Virtual Desktop pour la surveillance - Gestion de l’accès utilisateur - Supervision d’Azure Virtual Desktop et collaboration avec l’équipe de la plateforme sur les besoins de supervision - Définition des budgets et des alertes - Gestion de l’expérience utilisateur et du support - Garantir la conformité avec les directives de plateforme et de surveillance |
Zone de conception – Continuité d’activité et reprise d’activité
| Responsabilités de l’équipe de plateforme | Responsabilités de l’équipe de charge de travail |
|---|---|
| - Conception d’une stratégie de continuité d’activité et de reprise d’activité, notamment l’établissement d’objectifs de point de récupération (RPO) et d’objectifs de délai de récupération (RTO) - Coordination avec l’équipe de charge de travail pour garantir la continuité d’activité et l’alignement de la reprise d’activité |
- Configuration de l’infrastructure et des composants Azure Virtual Desktop pour qu’ils s’alignent sur la stratégie de continuité d’activité et de reprise d’activité - Implémentation de procédures de récupération d’urgence - Formation des utilisateurs sur l’utilisation appropriée d’Azure Virtual Desktop |
Zone de conception – Sécurité et gouvernance
| Responsabilités de l’équipe de plateforme | Responsabilités de l’équipe de charge de travail |
|---|---|
| - Comprendre ce que le organization doit respecter les exigences réglementaires telles que la loi HIPAA (Health Insurance Portability and Accountability Act), les normes NIST (National Institute of Standards and Technology) et les normes PCI (Payment Card Industry), et utilisation de Microsoft Defender pour le cloud pour appliquer des normes de conformité - S’assurer que les ressources du plan de gestion sont déployées dans des zones géographiques d’une manière qui répond aux exigences de résidence des données - Utilisation de stratégies d’accès conditionnel Microsoft Entra et de l’authentification multifacteur pour sécuriser l’accès utilisateur - S’assurer qu’un outil SIEM (Security Information and Event Management) tel que Microsoft Sentinel est utilisé pour collecter et surveiller les données d’activité des utilisateurs et des administrateurs - Activation des évaluations Gestion des menaces et des vulnérabilités, pour instance, en s’intégrant à Defender pour le cloud ou à une solution de gestion des vulnérabilités tierce - Configuration d’un pare-feu et utilisation d’étiquettes de service et de groupes de sécurité d’application pour définir des règles d’accès réseau - Création d’une unité d’organisation dédiée dans Active Directory pour les hôtes de session Azure Virtual Desktop - Utilisation Azure Policy configurations d’invités pour auditer et renforcer les systèmes d’exploitation hôtes de session - Activation du chiffrement de disque - Surveillance du trafic réseau et implémentation de la protection contre le déni de service distribué (DDoS) |
- Utilisation du principe d’accès le moins privilégié et du RBAC Azure pour établir des rôles d’administration, d’opérations et d’ingénierie - Application d’une stratégie de groupe dédiée aux unités d’organisation Azure Virtual Desktop - Gestion des correctifs et renforcement des hôtes de session - Surveillance et gestion de l’activité des utilisateurs |
Zone de conception – Considérations relatives à l’automatisation de la plateforme et à DevOps
| Responsabilités de l’équipe de plateforme | Responsabilités de l’équipe de charge de travail |
|---|---|
| - Développement de stratégies d’infrastructure en tant que code (IaC) et DevOps | - Création d’images - Maintenance d’un pipeline de génération d’images - Mise à jour des pools d’hôtes - Installation d’applications - Gestion des déploiements linguistiques |
Zone de conception – Procédures opérationnelles
Les procédures opérationnelles permettent de garantir la sécurité des applications qui s’exécutent dans Azure Virtual Desktop. Les procédures opérationnelles aident également dans le domaine du contrôle d’accès.
| Responsabilités de l’équipe de plateforme | Responsabilités de l’équipe de charge de travail |
|---|---|
| Contrôle de l’accès à la plateforme en définissant des rôles d’utilisateur et des autorisations dans l’environnement Azure Virtual Desktop | - Analyse des performances et de la latence des déploiements d’Azure Virtual Desktop pour obtenir des informations sur les domaines d’amélioration possibles - Mise à jour du système d’exploitation, des applications et de FSLogix - Gestion des clés - Gestion de FSLogix et analyse des données pour déterminer quand effectuer des ajustements |
Étapes suivantes
Utilisez l’outil d’évaluation pour évaluer vos choix de conception.