Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het migreren van het bureaublad van eindgebruikers in een organisatie naar de cloud is een veelvoorkomend scenario bij cloudmigraties. Dit helpt u de productiviteit van medewerkers te verbeteren en de migratie van verschillende werkbelasting te versnellen om de gebruikerservaring van de organisatie te ondersteunen. Elke organisatie beheert workloads en beheert de cloudomgeving op unieke wijze. De algemene operationele cloudmodellen zijn gedecentraliseerde, gecentraliseerde, bedrijfs- en gedistribueerde modellen.
Het belangrijkste verschil tussen de verschillende modellen is het eigendomsniveau. In het gedecentraliseerde model hebben eigenaren van workloads autonomie zonder centraal IT-toezicht op governance. Ze beheren bijvoorbeeld hun eigen netwerk-, bewakings- en identiteitsvereisten. Aan het andere uiteinde van het spectrum is het gecentraliseerde model, waarbij de eigenaren van workloads voldoen aan de governancevereisten die centrale IT-teams hebben ingesteld.
Zie Algemene operationele modellen in de cloud bekijken en vergelijken voor een gedetailleerde bespreking van de modellen.
Als eigenaar van een workload moet u het operationele model begrijpen dat uw organisatie gebruikt. Deze keuze beïnvloedt de technische beslissingen waarvoor u verantwoordelijk bent en de technische vereisten die u voor uw centrale teams afdwingt.
Als u optimaal gebruik wilt maken van de functies en mogelijkheden van Azure Virtual Desktop, moet u profiteren van aanbevolen procedures die van toepassing zijn op organisaties. Het platform biedt aanpassingsvermogen en flexibiliteit, wat uw Azure Virtual Desktop-omgeving helpt bij toekomstige groei.
Belangrijk
Dit artikel maakt deel uit van de Azure Well-Architected Framework Azure Virtual Desktop-workloadreeks . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met wat is een Azure Virtual Desktop-workload?
Azure landingszones
Een Azure-landingszone is een conceptuele architectuur die de algehele cloudvoetafdruk voor een organisatie weergeeft. Het heeft meerdere abonnementen, elk met een uniek doel. Centrale teams zijn eigenaar van een aantal abonnementen, zoals landingszones van het Azure-platform.
Als u vertrouwd wilt raken met het concept van Azure-landingszones, raadpleegt u Wat is een Azure-landingszone?
Belangrijk
Azure Virtual Desktop heeft specifieke overwegingen en vereisten, met name vereisten die betrekking hebben op integraties met Azure-services. De azure Virtual Desktop-landingszoneversneller en de Richtlijnen voor het Azure Well-Architected Framework voor Azure Virtual Desktop zijn erop gericht deze noodzakelijke aanpassingen te benadrukken. Deze resources bevatten ook Cloud Adoption Framework-perspectieven voor een holistische benadering van cloudgereedheid.
Een Visio-bestand van deze architectuur downloaden.
Platform landingszones
Azure Virtual Desktop moet communiceren met meerdere externe services. Centrale teams zijn mogelijk eigenaar van sommige van deze services als onderdeel van platformlandingszones. Voorbeelden van deze services zijn identiteitsservices, netwerkconnectiviteit en beveiligingsservices. Interactie met deze externe services is een fundamenteel probleem. Om volledig functioneel te zijn, heeft een Azure Virtual Desktop-workload het platformteam en het workloadteam nodig om dezelfde verantwoordelijkheidsmentaliteit te delen.
Voor een demonstratie van de platformlandingszones die u nodig hebt om een Azure Virtual Desktop-workload uit te voeren, raadpleegt u Azure-landingszonebeoordeling voor Microsoft Azure Virtual Desktop. In dit artikel wordt een solide platformbasis beschreven die de migratie van een on-premises omgeving naar een privécloud van Azure Virtual Desktop versnelt.
Landingszones voor toepassingen
Er is een afzonderlijk abonnement, ook wel een Azure-toepassingslandingszone genoemd, die bedoeld is voor eigenaren van workloads. In deze landingszone van de toepassing implementeert u uw Azure Virtual Desktop-workload. Het heeft toegang tot platformlandingszones die de basisinfrastructuur bieden die u nodig hebt om uw workload uit te voeren. Voorbeelden hiervan zijn netwerken, identiteitstoegangsbeheer, beleid en bewakingsinfrastructuur.
Richtlijnen voor toepassingslandingszones zijn van toepassing op Azure Virtual Desktop-workloads. Zie Platformlandingszones versus landingszones voor toepassingen voor meer informatie. Deze richtlijnen omvatten aanbevelingen voor het efficiënt beheren en beheren van uw workload.
Bekijk de basis referentiearchitectuur in voorbeeldarchitecturen voor Azure Virtual Desktop voor een demonstratie van een toepassing landingszone voor een Azure Virtual Desktop-workload.
Integratie van ontwerpgebied
In deze sectie wordt de solide basis uitgelicht die het platform biedt. De discussie behandelt ook de gebieden van gedeelde verantwoordelijkheid tussen het platformteam en het workloadteam.
Platformverantwoordelijkheden
Het Platformteam van Azure Virtual Desktop zorgt ervoor dat de infrastructuur gereed is voor workloadteams om te bouwen. Enkele veelvoorkomende taken zijn:
- Capaciteit beheren door abonnements- en regionale quota in te stellen die voldoende zijn voor implementatie.
- De connectiviteit met on-premises systemen, Azure en internet beveiligen en optimaliseren. Deze taak omvat routering, het instellen van firewallvermeldingen en het beheren van gecentraliseerde netwerkapparaten.
- Azure-integraties beheren, zoals integraties met Azure Storage, Azure Monitor, Log Analytics, Microsoft Entra ID en Azure Key Vault.
Gedeelde verantwoordelijkheden
Het workloadteam en het platformteam hebben verschillende verantwoordelijkheden. Maar beide teams werken vaak nauw samen om de beschikbaarheid en herstelbaarheid van workloads te garanderen. De teams coördineren de inspanningen voor het algehele succes van de workloads die worden uitgevoerd in Azure Virtual Desktop. Effectieve samenwerking tussen het platform- en toepassingsteam is essentieel voor het succesvol implementeren van Azure Virtual Desktop.
De ontwerpgebieden van het platform en de landingszones van toepassingen zijn nauw gekoppeld.
- Voor een beschrijving van wijzigingen in platformresources die nodig zijn voor een workload, zie Azure Virtual Desktop Azure landing zone review.
- Zie Wat zijn de belangrijkste ontwerpgebieden? voor een beschrijving van de technische specificatie van een workload.
Ontwerpgebied - Enterprise-registratie
Het cloudplatformteam moet inzicht hebben in bestaande enterprise-inschrijvingen of microsoft Entra-tenantbeslissingen.
Ontwerpgebied – Identiteits- en toegangsbeheer (IAM)
Identiteit is essentieel voor de functionaliteit van Azure Virtual Desktop, omdat gebruikers moeten worden geverifieerd om de service te kunnen gebruiken. Het platformteam is verantwoordelijk voor het ontwerpen van een identiteitsoplossing, die mogelijk betrekking heeft op Microsoft Entra ID, Microsoft Entra Domain Services of Active Directory Domain Services (AD DS). Het platformteam zorgt er ook voor dat de Azure Virtual Desktop-omgeving een zicht op identiteitsservices onderhoudt.
| Verantwoordelijkheden van platformteam | Verantwoordelijkheden van workloadteam |
|---|---|
| - Identiteitsservices ontwerpen voor Microsoft Entra ID, Domain Services, AD DS en Microsoft Entra Connect - Op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om scheiding van taken te implementeren - Beleid voor voorwaardelijke toegang van Microsoft Entra configureren - Organisatie-eenheden en groepsbeleid voor Active Directory beheren |
- RBAC-toewijzingen gebruiken om de toegang tot Azure Virtual Desktop-sessies en -infrastructuur te beheren voor beheerdoeleinden |
Ontwerpgebied - Netwerken en connectiviteit
Platformservicesconnectiviteit is een belangrijk netwerkconcept. Het platformteam is verantwoordelijk voor het garanderen dat de Azure Virtual Desktop-omgeving over de juiste connectiviteit beschikt met:
- Identiteitsservices voor verificatie.
- Het Domain Name System (DNS) voor de juiste resolutie.
- Andere workloads in een hybride omgeving.
De verantwoordelijkheden van het platformteam zijn onder andere:
- Privé-eindpunten en privé-DNS-zones configureren.
- Ervoor zorgen dat er rekening wordt gehouden met bandbreedte, latentie en kwaliteit van serviceoverwegingen.
- Netwerkbeveiligingsbeleid implementeren.
- Toegang tot vereiste interneteindpunten garanderen.
- Planning voor bedrijfscontinuïteit en herstel na noodgevallen.
Ontwerpgebied – Resourceorganisatie
De verantwoordelijkheden van het platformteam omvatten het structureren van beheergroepen en resourcegroepen om toegangsbeheer te vereenvoudigen. Deze verantwoordelijkheid omvat het definiëren van standaarden voor naamgeving en taggen. Het workloadteam zorgt ervoor dat deze standaarden worden nageleefd.
Ontwerpgebied – Beheer
| Verantwoordelijkheden van platformteam | Verantwoordelijkheden van workloadteam |
|---|---|
| - Plannen en ontwikkelen van een bewakingsstrategie - Azure Policy gebruiken om naleving op ondernemingsniveau af te dwingen - Een strategie voor kostenbeheer ontwikkelen |
- De configuratie van Azure Virtual Desktop voor monitoring - Gebruikerstoegang beheren - Azure Virtual Desktop monitoren en samenwerken met het platformteam aan monitoringsbehoeften - Budgetten en waarschuwingen instellen - De gebruikerservaring en ondersteuning beheren - Naleving van platform- en bewakingsrichtlijnen garanderen |
Ontwerpgebied : bedrijfscontinuïteit en herstel na noodgevallen
| Verantwoordelijkheden van platformteam | Verantwoordelijkheden van workloadteam |
|---|---|
| - Een strategie voor bedrijfscontinuïteit en herstel na noodgevallen ontwerpen, waaronder het vaststellen van RPO-doelen (Recovery Point Objective) en RTO-doelen (Recovery Time Objective) - Coördinatie met het workloadteam om de bedrijfscontinuïteit en herstel na noodgevallen te waarborgen |
- Infrastructuur en onderdelen van Azure Virtual Desktop configureren om te worden afgestemd op de strategie voor bedrijfscontinuïteit en herstel na noodgevallen - Procedures voor herstel na noodgevallen implementeren - Gebruikers trainen over het juiste gebruik van Azure Virtual Desktop |
Ontwerpgebied : beveiliging en governance
| Verantwoordelijkheden van platformteam | Verantwoordelijkheden van workloadteam |
|---|---|
| - Inzicht in wat de organisatie nodig heeft om te voldoen aan wettelijke vereisten zoals de HIPAA (Health Insurance Portability and Accountability Act), NIST-standaarden (National Institute of Standards and Technology) en PCI-standaarden (Payment Card Industry) en het gebruik van Microsoft Defender for Cloud om nalevingsstandaarden toe te passen - Ervoor zorgen dat resources van het beheervlak op een manier worden geïmplementeerd in geografische gebieden die voldoen aan de vereisten voor gegevenslocatie - Het gebruik van beleid voor voorwaardelijke toegang van Microsoft Entra en meervoudige verificatie om gebruikerstoegang te helpen beveiligen - Ervoor zorgen dat een SIEM-hulpprogramma (Security Information and Event Management), zoals Microsoft Sentinel, wordt gebruikt voor het verzamelen en bewaken van activiteitsgegevens van gebruikers en beheerders - Het inschakelen van evaluaties van bedreigings- en beveiligingsproblemenbeheer, bijvoorbeeld door integratie met Defender voor Cloud of een oplossing voor beveiligingsproblemen van derden - Een firewall configureren en servicetags en toepassingsbeveiligingsgroepen gebruiken om netwerktoegangsregels te definiëren - Een toegewezen organisatie-eenheid maken in Active Directory voor Azure Virtual Desktop-sessiehosts - Gastconfiguraties van Azure Policy gebruiken om besturingssystemen voor sessiehosts te controleren en te verharden - Schijfversleuteling inschakelen - Netwerkverkeer bewaken en DDoS-beveiliging (Distributed Denial-of-Service) implementeren |
- Het gebruik van het principe voor minst bevoorrechte toegang en Azure RBAC om administratieve, operationele en technische rollen tot stand te brengen - Een toegewezen groepsbeleid toepassen op Organisatie-eenheden van Azure Virtual Desktop - De patches en beveiliging van sessiehosts beheren - Gebruikersactiviteit bewaken en beheren |
Ontwerpgebied: overwegingen voor platformautomatisering en DevOps
| Verantwoordelijkheden van platformteam | Verantwoordelijkheden van workloadteam |
|---|---|
| - Ontwikkeling van infrastructuur als code (IaC) en DevOps-strategieën | - Afbeeldingen maken - Onderhoud van een build-pijplijn voor images - Hostgroepen bijwerken - Toepassingen installeren - Taalimplementaties beheren |
Ontwerpgebied – Operationele procedures
Operationele procedures zorgen voor de beveiliging van toepassingen die worden uitgevoerd in Azure Virtual Desktop. Operationele procedures helpen ook op het gebied van toegangsbeheer.
| Verantwoordelijkheden van platformteam | Verantwoordelijkheden van workloadteam |
|---|---|
| Toegang tot het platform beheren door gebruikersrollen en -machtigingen te definiëren in de Azure Virtual Desktop-omgeving | - Analyseren van de prestaties en latentie van Azure Virtual Desktop-implementaties voor inzichten over mogelijke verbeteringsgebieden - Het besturingssysteem, toepassingen en FSLogix bijwerken - Sleutels beheren - FSLogix beheren en gegevens analyseren om te bepalen wanneer er aanpassingen moeten worden aangebracht |
Volgende stappen
Gebruik het evaluatieprogramma om uw ontwerpkeuzen te evalueren.