Considerações de gerenciamento de identidade e acesso para a Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure é um serviço gerenciado que fornece um plano de controle da Microsoft para sua infraestrutura de área de trabalho virtual. O gerenciamento de identidade e acesso para a Área de Trabalho Virtual do Azure usa o RBAC (controle de acesso baseado em função) do Azure, com determinadas condições descritas neste artigo.
Projeto RBAC
O RBAC dá suporte à separação de tarefas para as várias equipes e indivíduos que gerenciam a implantação da Área de Trabalho Virtual do Azure. Como parte do design da zona de pouso, você precisa decidir quem assume as várias funções. Em seguida, você precisa criar um grupo de segurança para cada função para simplificar a adição e remoção de usuários de e para funções.
A Área de Trabalho Virtual do Azure fornece funções personalizadas do Azure que são projetadas para cada área funcional. Para obter informações sobre como essas funções são configuradas, consulte Funções internas para a Área de Trabalho Virtual do Azure.
As funções internas do Azure podem ser criadas e definidas como parte da Estrutura de Adoção de Nuvem para implantação do Azure. As funções RBAC específicas da Área de Trabalho Virtual do Azure podem precisar ser combinadas com outras funções RBAC do Azure para fornecer o conjunto completo de permissões que os usuários precisam para a Área de Trabalho Virtual do Azure e para outros serviços do Azure, como máquinas virtuais e rede.
Considerações de design da Área de Trabalho Virtual do Azure
- Para acessar áreas de trabalho e aplicativos de seus hosts de sessão, seus usuários precisam ser capazes de autenticar. O Microsoft Entra ID é o serviço centralizado de identidade na nuvem da Microsoft que permite esse recurso. A ID do Microsoft Entra é sempre usada para autenticar usuários para a Área de Trabalho Virtual do Azure. Os hosts de sessão podem ser associados ao mesmo locatário do Microsoft Entra ou a um domínio do Ative Directory usando os Serviços de Domínio Ative Directory (AD DS) ou os Serviços de Domínio Microsoft Entra, oferecendo opções de configuração flexíveis.
Nota
O Ambiente de Trabalho Virtual do Azure não suporta contas B2B ou Microsoft.
- A conta usada para ingresso no domínio não pode ter autenticação multifator ou outros prompts interativos, e há outros requisitos. Para obter mais informações, consulte Detalhes da máquina virtual.
- A Área de Trabalho Virtual do Azure requer uma estratégia de hospedagem para serviços de domínio. Escolha AD DS ou Serviços de Domínio Microsoft Entra.
- Os Serviços de Domínio Microsoft Entra são uma opção suportada, mas existem limitações:
- Você deve habilitar a sincronização de hash de senha.
- Não é possível usar a associação híbrida para VMs de Área de Trabalho Virtual do Azure para habilitar o logon único contínuo do Microsoft Entra para serviços do Microsoft 365.
Para obter mais informações, consulte Perguntas freqüentes sobre os Serviços de Domínio do Microsoft Entra.
- Ao ingressar em um domínio dos Serviços de Domínio Microsoft Entra, a conta deve fazer parte do grupo de administradores do Microsoft Entra DC e a senha da conta deve funcionar nos Serviços de Domínio Microsoft Entra. Para obter mais informações, consulte Detalhes da máquina virtual.
- Ao especificar uma unidade organizacional, use o nome distinto sem aspas.
- Siga o princípio do menor privilégio atribuindo as permissões mínimas necessárias para tarefas autorizadas.
- O nome principal do usuário usado para assinar a Área de Trabalho Virtual do Azure deve existir no domínio do Ative Directory onde a máquina virtual do host de sessão está associada. Para obter mais informações sobre os requisitos do usuário, consulte Requisitos da Área de Trabalho Virtual do Azure.
- Ao usar cartões inteligentes, é necessária uma conexão direta (linha de visão) com um controlador de domínio do Ative Directory para autenticação Kerberos. Para obter mais informações, consulte Configurar um proxy do Centro de Distribuição de Chaves Kerberos.
- Usar o Windows Hello for Business requer que o modelo de confiança de certificado híbrido seja compatível com a Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Implantação de confiança de certificado de ingresso híbrido do Microsoft Entra.
- Ao usar o Windows Hello for Business ou a autenticação de cartão inteligente, o cliente iniciador deve ser capaz de se comunicar com o controlador de domínio porque esses métodos de autenticação usam Kerberos para entrar. Para obter mais informações, consulte Métodos de autenticação suportados.
- O logon único pode melhorar a experiência do usuário, mas requer configuração adicional e só é suportado usando os Serviços de Federação do Ative Directory. Para obter mais informações, consulte Configurar o logon único do AD FS para a Área de Trabalho Virtual do Azure.
Cenários de identidade suportados
A tabela a seguir resume os cenários de identidade que a Área de Trabalho Virtual do Azure suporta atualmente:
| Cenário de identidade | Anfitriões de sessão | Contas de utilizador |
|---|---|---|
| Microsoft Entra ID + AD DS | Ingressou no AD DS | No Microsoft Entra ID e AD DS, sincronizado |
| Microsoft Entra ID + AD DS | Aderiu ao Microsoft Entra ID | No Microsoft Entra ID e AD DS, sincronizado |
| Microsoft Entra ID + Serviços de Domínio Microsoft Entra | Ingressou nos Serviços de Domínio do Microsoft Entra | Nos Serviços de Domínio Microsoft Entra ID e Microsoft Entra, sincronizados |
| Microsoft Entra ID + Serviços de Domínio Microsoft Entra + AD DS | Ingressou nos Serviços de Domínio do Microsoft Entra | No Microsoft Entra ID e AD DS, sincronizado |
| Microsoft Entra ID + Serviços de Domínio Microsoft Entra | Aderiu ao Microsoft Entra ID | Nos Serviços de Domínio Microsoft Entra ID e Microsoft Entra, sincronizados |
| Microsoft Entra-only | Aderiu ao Microsoft Entra ID | No Microsoft Entra ID |
Recomendações de design
- Use o Microsoft Entra Connect para sincronizar todas as identidades com um único locatário do Microsoft Entra. Para obter mais informações, consulte O que é o Microsoft Entra Connect?.
- Verifique se os hosts de sessão da Área de Trabalho Virtual do Azure podem se comunicar com os Serviços de Domínio Microsoft Entra ou o AD DS.
- Use a solução de proxy do Centro de Distribuição de Chaves Kerberos para fazer proxy do tráfego de autenticação de cartão inteligente e habilitar o logon remoto. Para obter mais informações, consulte Configurar um proxy do Centro de Distribuição de Chaves Kerberos.
- Separe máquinas virtuais de host de sessão em unidades organizacionais do Ative Directory para cada pool de hosts para facilitar o gerenciamento de políticas e objetos órfãos. Para obter mais informações, consulte Detalhes da máquina virtual.
- Use uma solução como a Solução de Senha de Administrador Local (LAPS) para alternar frequentemente senhas de administrador local em hosts de sessão da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Avaliação de segurança: uso do Microsoft LAPS.
- Para os usuários, atribua a função interna Usuário de Virtualização de Área de Trabalho a grupos de segurança para conceder acesso a grupos de aplicativos da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Acesso delegado na Área de Trabalho Virtual do Azure.
- Crie políticas de acesso condicional para a Área de Trabalho Virtual do Azure. Essas políticas podem impor a autenticação multifator com base em condições como entradas arriscadas para aumentar a postura de segurança da sua organização. Para obter mais informações, consulte Habilitar a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure.
- Configure o AD FS para habilitar o logon único para usuários na rede corporativa.
Próximos passos
Saiba mais sobre topologia de rede e conectividade para um cenário de escala empresarial da Área de Trabalho Virtual do Azure.