Considerações sobre gerenciamento de identidade e acesso para a Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure é um serviço gerenciado que fornece um painel de controle da Microsoft para sua infraestrutura de área de trabalho virtual. O gerenciamento de identidade e acesso para a Área de Trabalho Virtual do Azure usa o RBAC (controle de acesso baseado em função) do Azure, com determinadas condições descritas neste artigo.
Design do RBAC
O RBAC dá suporte à separação de tarefas para as várias equipes e indivíduos que gerenciam a implantação da Área de Trabalho Virtual do Azure. Como parte do design da zona de pouso, você precisa decidir quem assume as várias funções. Em seguida, você precisa criar um grupo de segurança para cada função para simplificar a adição e remoção de usuários de e para funções.
A Área de Trabalho Virtual do Azure fornece funções personalizadas do Azure projetadas para cada área funcional. Para obter informações sobre como essas funções são configuradas, consulte Funções internas para a Área de Trabalho Virtual do Azure.
As funções internas do Azure podem ser criadas e definidas como parte da implantação do Cloud Adoption Framework pra o Azure. As funções RBAC específicas da Área de Trabalho Virtual do Azure podem precisar ser combinadas com outras funções RBAC do Azure para fornecer o conjunto completo de permissões que os usuários precisam para a Área de Trabalho Virtual do Azure e para outros serviços do Azure, como máquinas virtuais e rede.
Considerações de design da Área de Trabalho Virtual do Azure
- Para acessar áreas de trabalho e aplicativos de seus hosts de sessão, os usuários precisam ser capazes de se autenticar. O Microsoft Entra ID é o serviço de identidade de nuvem centralizado da Microsoft que habilita essa capacidade. O Microsoft Entra ID é sempre usado para autenticar usuários para a Área de Trabalho Virtual do Azure. Os hosts da sessão podem ser ingressados no mesmo locatário do Microsoft Entra ou em um domínio do Active Directory usando o AD DS (Active Directory Domain Services) ou o Microsoft Entra Domain Services, fornecendo opções de configuração flexíveis.
Observação
A Área de Trabalho Virtual do Azure não dá suporte a contas B2B nem Microsoft.
- A conta usada para ingresso no domínio não pode ter autenticação multifator ou outros prompts interativos, além de outros requisitos. Para obter mais informações, consulte os Detalhes da máquina virtual.
- A Área de Trabalho Virtual do Azure requer uma estratégia de hospedagem para serviços de domínio. Escolha AD DS ou Serviços de Domínio Microsoft Entra.
- Os Serviços de Domínio Microsoft Entra são uma opção suportada, mas existem limitações:
- Você deve habilitar a sincronização de hash de senha.
- Você não pode usar a associação híbrida para VMs de Área de Trabalho Virtual do Azure para habilitar o logon único contínuo do Microsoft Entra para serviços do Microsoft 365.
Para obter mais informações, consulte Perguntas frequentes sobre os Serviços de Domínio Microsoft Entra.
- Ao ingressar em um domínio dos Serviços de Domínio Microsoft Entra, a conta deve fazer parte do grupo de administradores do Microsoft Entra DC e a senha da conta deve funcionar nos Serviços de Domínio Microsoft Entra. Para obter mais informações, consulte os Detalhes da máquina virtual.
- Ao especificar uma unidade organizacional, use o nome diferenciado sem aspas.
- Siga o princípio de privilégios mínimos atribuindo as permissões mínimas necessárias para tarefas autorizadas.
- O nome UPN usado para assinar a Área de Trabalho Virtual do Azure deve existir no domínio do Active Directory em que a máquina virtual do host da sessão está ingressada. Para obter mais informações sobre os requisitos do usuário, consulte Requisitos da Área de Trabalho Virtual do Azure.
- Ao usar cartões inteligentes, será necessária uma conexão direta (linha de visão) com um controlador de domínio do Active Directory para autenticação Kerberos. Para obter mais informações, consulte Configurar um proxy do centro de distribuição de chaves Kerberos.
- Usar o Windows Hello para Empresas exige que o modelo de confiança do certificado híbrido seja compatível com a Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Implantação de confiança de certificado associado híbrido do Microsoft Entra.
- Ao usar o Windows Hello para Empresas ou a autenticação de cartão inteligente, o cliente iniciador deve ser capaz de se comunicar com o controlador de domínio porque esses métodos de autenticação usam Kerberos para entrar. Para obter mais informações, consulte Métodos de autenticação com suporte.
- O login único pode melhorar a experiência do usuário, mas requer configuração adicional e só tem suporte usando os Serviços de Federação do Active Directory (AD FS). Saiba mais em Configurar o logon único do AD FS para a Área de Trabalho Virtual do Azure.
Cenários de identidade com suporte
A tabela a seguir resume os cenários de identidade aos quais a Área de Trabalho Virtual do Azure dá suporte atualmente:
| Cenário de identidade | Hosts de sessão | Contas de usuário |
|---|---|---|
| Microsoft Entra ID + AD DS | Ingressado em AD DS | No Microsoft Entra ID e no AD DS, sincronizado |
| Microsoft Entra ID + AD DS | Ingressado no Microsoft Entra ID | No Microsoft Entra ID e no AD DS, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services | Ingressado no Microsoft Entra Domain Services | No Microsoft Entra ID e no Microsoft Entra Domain Services, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Ingressado no Microsoft Entra Domain Services | No Microsoft Entra ID e no AD DS, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services | Ingressado no Microsoft Entra ID | No Microsoft Entra ID e no Microsoft Entra Domain Services, sincronizado |
| Somente Microsoft Entra | Ingressado no Microsoft Entra ID | No Microsoft Entra ID |
Recomendações sobre design
- Use o Microsoft Entra Connect para sincronizar todas as identidades com um único locatário do Microsoft Entra. Para obter mais informações, consulte O que é o Microsoft Entra Connect?.
- Verifique se os hosts de sessão da Área de Trabalho Virtual do Azure podem se comunicar com os Serviços de Domínio do Microsoft Entra ou com o AD DS.
- Use a solução de proxy do Centro de Distribuição de Chaves Kerberos para fazer proxy do tráfego de autenticação de cartão inteligente e habilitar a entrada remota. Para obter mais informações, consulte Configurar um proxy do centro de distribuição de chaves Kerberos.
- Segregar máquinas virtuais de host de sessão em unidades organizacionais do Active Directory para cada pool de hosts para facilitar o gerenciamento de políticas e objetos órfãos. Para obter mais informações, consulte os Detalhes da máquina virtual.
- Use uma solução como LAPS (Local Administrator Password Solution) para girar frequentemente senhas de administrador local em hosts de sessão da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Avaliação de segurança: uso do Microsoft LAPS.
- Para usuários, atribua a função interna Usuário de Virtualização de Área de Trabalho a grupos de segurança a fim de conceder acesso aos grupos de aplicativos da Área de Trabalho Virtual do Azure. Para obter mais informações, confira Acesso delegado na Área de Trabalho Virtual do Azure.
- Criar políticas de acesso condicional para a Área de Trabalho Virtual do Azure. Essas políticas podem impor a autenticação multifator com base em condições como entradas arriscadas para aumentar a postura de segurança da sua organização. Para obter mais informações, consulte Habilitar a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure.
- Configure AD FS para habilitar o logon único para usuários na rede corporativa.
Próximas etapas
Saiba mais sobre topologia de rede e conectividade para um cenário de escala empresarial da Área de Trabalho Virtual do Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de