Pertimbangan manajemen identitas dan akses untuk Azure Virtual Desktop
Azure Virtual Desktop adalah layanan terkelola yang menyediakan sarana kontrol Microsoft untuk infrastruktur desktop virtual Anda. Manajemen identitas dan akses untuk Azure Virtual Desktop menggunakan kontrol akses berbasis peran Azure (RBAC), dengan kondisi tertentu yang dijelaskan dalam artikel ini.
Desain RBAC
RBAC mendukung pemisahan tugas untuk berbagai tim dan individu yang mengelola penyebaran Azure Virtual Desktop. Sebagai bagian dari desain zona pendaratan, Anda perlu memutuskan siapa yang mengambil berbagai peran. Anda kemudian perlu membuat grup keamanan untuk setiap peran untuk menyederhanakan penambahan dan penghapusan pengguna ke dan dari peran.
Azure Virtual Desktop menyediakan peran Azure kustom yang dirancang untuk setiap area fungsi. Untuk informasi tentang bagaimana peran ini dikonfigurasi, lihat Peran bawaan untuk Azure Virtual Desktop.
Peran bawaan Azure dapat dibuat dan didefinisikan sebagai bagian dari penerapan Cloud Adoption Framework for Azure. Peran RBAC yang khusus untuk Azure Virtual Desktop mungkin perlu dikombinasikan dengan peran Azure RBAC lainnya untuk menyediakan set lengkap izin yang dibutuhkan pengguna untuk Azure Virtual Desktop dan untuk layanan Azure lainnya seperti mesin virtual dan jaringan.
Pertimbangan desain Azure Virtual Desktop
- Untuk mengakses desktop dan aplikasi dari host sesi Anda, pengguna Anda harus dapat mengautentikasi. MICROSOFT Entra ID adalah layanan identitas cloud terpusat Microsoft yang memungkinkan kemampuan ini. ID Microsoft Entra selalu digunakan untuk mengautentikasi pengguna untuk Azure Virtual Desktop. Host sesi dapat digabungkan ke penyewa Microsoft Entra yang sama, atau ke domain Direktori Aktif menggunakan Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services, memberi Anda pilihan opsi konfigurasi yang fleksibel.
Catatan
Azure Virtual Desktop tidak mendukung akun B2B atau Microsoft.
- Akun yang digunakan untuk bergabung dengan domain tidak dapat memiliki autentikasi multifaktor atau petunjuk interaktif lainnya, dan ada persyaratan lain. Untuk info selengkapnya, lihat Detail Mesin Virtual.
- Azure Virtual Desktop memerlukan strategi {i>hosting
- Microsoft Entra Domain Services adalah opsi yang didukung, tetapi ada batasan:
- Anda harus mengaktifkan sinkronisasi hash kata sandi.
- Anda tidak dapat menggunakan gabungan hibrid untuk VM Azure Virtual Desktop untuk mengaktifkan akses menyeluruh Tanpa Hambatan Microsoft Entra untuk layanan Microsoft 365.
Untuk informasi selengkapnya, lihat Tanya jawab umum (FAQ) tentang Microsoft Entra Domain Services.
- Saat bergabung ke domain Microsoft Entra Domain Services, akun harus menjadi bagian dari grup administrator Microsoft Entra DC dan kata sandi akun harus berfungsi di Microsoft Entra Domain Services. Untuk info selengkapnya, lihat Detail Mesin Virtual.
- Saat menentukan unit organisasi, gunakan nama khusus tanpa tanda kutip.
- Ikuti prinsip hak istimewa paling sedikit dengan menetapkan izin minimum yang diperlukan untuk tugas yang diotorisasi.
- Nama prinsipal pengguna yang digunakan untuk berlangganan Azure Virtual Desktop harus ada di domain Active Directory tempat mesin virtual {i>host
- Saat menggunakan kartu pintar, diperlukan koneksi langsung (garis pandang) dengan pengendali domain Active Directory untuk autentikasi Kerberos. Untuk informasi selengkapnya, lihat Mengonfigurasi proksi Pusat Distribusi Utama Kerberos.
- Menggunakan Windows Hello untuk Bisnis mengharuskan model kepercayaan sertifikat hibrid kompatibel dengan Azure Virtual Desktop. Untuk informasi selengkapnya, lihat Penyebaran kepercayaan sertifikat gabungan hibrid Microsoft Entra.
- Saat menggunakan Windows Hello untuk Bisnis atau autentikasi kartu pintar, klien yang memulai harus dapat berkomunikasi dengan pengendali domain karena metode autentikasi ini menggunakan Kerberos untuk masuk. Untuk mengetahui informasi selengkapnya, lihat Metode autentikasi yang didukung.
- Single sign-on dapat meningkatkan pengalaman pengguna, tetapi memerlukan konfigurasi tambahan dan hanya didukung menggunakan Active Directory Federation Services. Untuk informasi selengkapnya, lihat Mengonfigurasi SSO Layanan Federasi Direktori Aktif untuk Azure Virtual Desktop.
Skenario identitas yang didukung
Tabel berikut merangkum skenario identitas yang saat ini didukung Azure Virtual Desktop:
| Skenario identitas | Host sesi | Akun pengguna |
|---|---|---|
| Microsoft Entra ID + AD DS | Bergabung ke AD DS | Di ID Microsoft Entra dan AD DS, disinkronkan |
| Microsoft Entra ID + AD DS | Bergabung ke ID Microsoft Entra | Di ID Microsoft Entra dan AD DS, disinkronkan |
| Microsoft Entra ID + Microsoft Entra Domain Services | Bergabung ke Microsoft Entra Domain Services | Di ID Microsoft Entra dan Microsoft Entra Domain Services, disinkronkan |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Bergabung ke Microsoft Entra Domain Services | Di ID Microsoft Entra dan AD DS, disinkronkan |
| Microsoft Entra ID + Microsoft Entra Domain Services | Bergabung ke ID Microsoft Entra | Di ID Microsoft Entra dan Microsoft Entra Domain Services, disinkronkan |
| Microsoft Entra-only | Bergabung ke ID Microsoft Entra | Di ID Microsoft Entra |
Rekomendasi desain
- Gunakan Microsoft Entra Koneksi untuk menyinkronkan semua identitas ke satu penyewa Microsoft Entra. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Koneksi?.
- Pastikan host sesi Azure Virtual Desktop dapat berkomunikasi dengan Microsoft Entra Domain Services atau AD DS.
- Gunakan solusi proksi Kerberos Key Distribution Center untuk mem-proksi lalu lintas autentikasi kartu pintar dan untuk mengaktifkan masuk jarak jauh. Untuk informasi selengkapnya, lihat Mengonfigurasi proksi Pusat Distribusi Utama Kerberos.
- Memisahkan komputer virtual host sesi ke unit organisasi Direktori Aktif untuk setiap kumpulan host agar lebih mudah mengelola kebijakan dan objek tanpa institusi. Untuk info selengkapnya, lihat Detail Mesin Virtual.
- Gunakan solusi seperti Solusi Kata Sandi Administrator Lokal (LAPS) untuk sering memutar kata sandi administrator lokal pada host sesi Azure Virtual Desktop. Untuk informasi selengkapnya, lihat Penilaian keamanan: Penggunaan Microsoft LAPS.
- Untuk pengguna, tetapkan peran bawaan Pengguna Virtualisasi Desktop ke grup keamanan untuk memberikan akses ke grup aplikasi Azure Virtual Desktop. Untuk informasi selengkapnya, lihat Akses yang didelegasikan di Azure Virtual Desktop.
- Buat kebijakan akses bersyarat untuk Azure Virtual Desktop. Kebijakan ini dapat memberlakukan autentikasi multifaktor berdasarkan kondisi seperti proses masuk berisiko untuk meningkatkan postur keamanan organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi multifaktor Microsoft Entra untuk Azure Virtual Desktop.
- Konfigurasikan AD FS untuk mengaktifkan single sign-on untuk pengguna di jaringan perusahaan.
Langkah berikutnya
Pelajari tentang topologi dan konektivitas jaringan untuk skenario skala perusahaan Azure Virtual Desktop.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk