Överväganden för identitets- och åtkomsthantering för Azure Virtual Desktop
Azure Virtual Desktop är en hanterad tjänst som tillhandahåller ett Microsoft-kontrollplan för din virtuella skrivbordsinfrastruktur. Identitets- och åtkomsthantering för Azure Virtual Desktop använder rollbaserad åtkomstkontroll i Azure (RBAC) med vissa villkor som beskrivs i den här artikeln.
RBAC-design
RBAC stöder uppdelning av uppgifter för de olika team och individer som hanterar distributionen av Azure Virtual Desktop. Som en del av designen för landningszonen måste du bestämma vem som ska ta på sig de olika rollerna. Sedan måste du skapa en säkerhetsgrupp för varje roll för att förenkla tillägg och borttagning av användare till och från roller.
Azure Virtual Desktop tillhandahåller anpassade Azure-roller som är utformade för varje funktionsområde. Information om hur dessa roller konfigureras finns i Inbyggda roller för Azure Virtual Desktop.
Inbyggda Azure-roller kan skapas och definieras som en del av Cloud Adoption Framework för Azure-distribution. RBAC-roller som är specifika för Azure Virtual Desktop kan behöva kombineras med andra Azure RBAC-roller för att tillhandahålla den fullständiga uppsättning behörigheter som användarna behöver för Azure Virtual Desktop och för andra Azure-tjänster som virtuella datorer och nätverk.
Designöverväganden för Azure Virtual Desktop
- För att få åtkomst till skrivbord och program från sessionsvärdarna måste användarna kunna autentisera. Microsoft Entra ID är Microsofts centraliserade molnidentitetstjänst som möjliggör den här funktionen. Microsoft Entra-ID används alltid för att autentisera användare för Azure Virtual Desktop. Sessionsvärdar kan anslutas till samma Microsoft Entra-klientorganisation eller till en Active Directory-domän med hjälp av Active Directory-domän Services (AD DS) eller Microsoft Entra Domain Services, vilket ger dig ett val av flexibla konfigurationsalternativ.
Kommentar
Azure Virtual Desktop stöder inte B2B- eller Microsoft-konton.
- Kontot som används för domänanslutning kan inte ha multifaktorautentisering eller andra interaktiva frågor, och det finns andra krav. Mer information finns i Information om virtuella datorer.
- Azure Virtual Desktop kräver en värdstrategi för domäntjänster. Välj antingen AD DS eller Microsoft Entra Domain Services.
- Microsoft Entra Domain Services är ett alternativ som stöds, men det finns begränsningar:
- Du måste aktivera synkronisering av lösenordshash.
- Du kan inte använda hybridanslutning för virtuella Azure Virtual Desktop-datorer för att aktivera sömlös enkel inloggning med Microsoft Entra för Microsoft 365-tjänster.
Mer information finns i Vanliga frågor och svar om Microsoft Entra Domain Services.
- När du ansluter till en Microsoft Entra Domain Services-domän måste kontot ingå i gruppen Microsoft Entra DC-administratörer och kontolösenordet måste fungera i Microsoft Entra Domain Services. Mer information finns i Information om virtuella datorer.
- När du anger en organisationsenhet använder du det unika namnet utan citattecken.
- Följ principen om minsta behörighet genom att tilldela de minsta behörigheter som krävs för auktoriserade uppgifter.
- Användarens huvudnamn som används för att prenumerera på Azure Virtual Desktop måste finnas i Active Directory-domänen där sessionsvärdens virtuella dator är ansluten. Mer information om användarkrav finns i Krav för Azure Virtual Desktop.
- När du använder smartkort krävs en direktanslutning (siktlinje) med en Active Directory-domänkontrollant för Kerberos-autentisering. Mer information finns i Konfigurera en Kerberos Key Distribution Center-proxy.
- Om du använder Windows Hello för företag krävs att hybridcertifikatförtroendemodellen är kompatibel med Azure Virtual Desktop. Mer information finns i Microsoft Entra hybrid-ansluten distribution av certifikatförtroende.
- När du använder Windows Hello för företag- eller smartkortautentisering måste den initierande klienten kunna kommunicera med domänkontrollanten eftersom dessa autentiseringsmetoder använder Kerberos för att logga in. Mer information finns i autentiseringsmetoder som stöds.
- Enkel inloggning kan förbättra användarupplevelsen, men kräver ytterligare konfiguration och stöds endast med hjälp av Active Directory Federation Services (AD FS). Mer information finns i Konfigurera enkel inloggning med AD FS för Azure Virtual Desktop.
Identitetsscenarier som stöds
I följande tabell sammanfattas identitetsscenarier som Azure Virtual Desktop stöder för närvarande:
Identitetsscenario | Sessionsvärdar | Användarkonton |
---|---|---|
Microsoft Entra ID + AD DS | Ansluten till AD DS | Synkroniserat i Microsoft Entra ID och AD DS |
Microsoft Entra ID + AD DS | Ansluten till Microsoft Entra-ID | Synkroniserat i Microsoft Entra ID och AD DS |
Microsoft Entra ID + Microsoft Entra Domain Services | Ansluten till Microsoft Entra Domain Services | Synkroniserat i Microsoft Entra ID och Microsoft Entra Domain Services |
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Ansluten till Microsoft Entra Domain Services | Synkroniserat i Microsoft Entra ID och AD DS |
Microsoft Entra ID + Microsoft Entra Domain Services | Ansluten till Microsoft Entra-ID | Synkroniserat i Microsoft Entra ID och Microsoft Entra Domain Services |
Endast Microsoft Entra | Ansluten till Microsoft Entra-ID | I Microsoft Entra-ID |
Designrekommendationer
- Använd Microsoft Entra Anslut för att synkronisera alla identiteter till en enda Microsoft Entra-klientorganisation. Mer information finns i Vad är Microsoft Entra Anslut?.
- Se till att Azure Virtual Desktop-sessionsvärdar kan kommunicera med Microsoft Entra Domain Services eller AD DS.
- Använd proxylösningen Kerberos Key Distribution Center för att skicka autentiseringstrafik med smartkort och för att aktivera fjärrinloggning. Mer information finns i Konfigurera en Kerberos Key Distribution Center-proxy.
- Separera virtuella sessionsvärddatorer i Active Directory-organisationsenheter för varje värdpool så att det blir enklare att hantera principer och överblivna objekt. Mer information finns i Information om virtuella datorer.
- Använd en lösning som Local Administrator Password Solution (LAPS) för att ofta rotera lokala administratörslösenord på Azure Virtual Desktop-sessionsvärdar. Mer information finns i Säkerhetsbedömning: Microsoft LAPS-användning.
- För användare tilldelar du den inbyggda rollen Skrivbordsvirtualiseringsanvändare till säkerhetsgrupper för att bevilja åtkomst till Azure Virtual Desktop-programgrupper. Mer information finns i Delegerad åtkomst i Azure Virtual Desktop.
- Skapa principer för villkorlig åtkomst för Azure Virtual Desktop. Dessa principer kan framtvinga multifaktorautentisering baserat på villkor som riskfyllda inloggningar för att öka organisationens säkerhetsstatus. Mer information finns i Aktivera Microsoft Entra multifaktorautentisering för Azure Virtual Desktop.
- Konfigurera AD FS för att aktivera enkel inloggning för användare i företagsnätverket.
Nästa steg
Lär dig mer om nätverkstopologi och anslutning för ett scenario i företagsskala i Azure Virtual Desktop.