Tillämpa Nulta pouzdanost principer på en Azure Virtual Desktop-distribution

Slutförd

Den här lektionen går igenom stegen för att tillämpa principerna för Nulta pouzdanost i referensarkitekturen för Azure Virtual Desktop.

Steg 1: Skydda dina identiteter med Nulta pouzdanost

Så här tillämpar du Nulta pouzdanost principer på de identiteter som används i Azure Virtual Desktop:

• Azure Virtual Desktop stöder olika typer av identiteter. Använd informationen i Skydda identitet med Nulta pouzdanost för att säkerställa att dina valda identitetstyper följer Nulta pouzdanost principer.
• Skapa ett dedikerat användarkonto med minst behörighet att ansluta sessionsvärdar till en Microsoft Entra Domain Services- eller AD DS-domän under distributionen av sessionsvärden.

Steg 2: Skydda dina slutpunkter med Nulta pouzdanost

Slutpunkter är de enheter genom vilka användare får åtkomst till Azure Virtual Desktop-miljön och sessionsvärd för virtuella datorer. Använd anvisningarna i översikten över slutpunktsintegrering och använd Microsoft Defender za krajnju tačku och Microsoft Endpoint Manager för att säkerställa att dina slutpunkter följer dina säkerhets- och efterlevnadskrav.

Steg 3: Tillämpa Nulta pouzdanost principer på Azure Virtual Desktop-lagringsresurser

Implementera stegen i Tillämpa Nulta pouzdanost principer på Lagring i Azure för de lagringsresurser som används i din Azure Virtual Desktop-distribution. Dessa steg säkerställer att du:

• Skydda dina Azure Virtual Desktop-data i vila, under överföring och i bruk.
• Verifiera användare och kontrollera åtkomsten till lagringsdata med minsta möjliga behörighet.
• Implementera privata slutpunkter för lagringskonton.
• Logiskt avgränsa kritiska data med nätverkskontroller. Till exempel separata lagringskonton för olika värdpooler och andra syften, till exempel med MSIX-appens bifoga filresurser.
• Använd Defender för Storage för automatiserat skydd mot hot.

Steg 4: Tillämpa Nulta pouzdanost principer på virtuella hubb- och ekernätverk i Azure Virtual Desktop

Ett virtuellt navnätverk är en central anslutningspunkt för flera virtuella ekernätverk. Implementera stegen i Tillämpa Nulta pouzdanost principer på ett virtuellt hubbnätverk i Azure för det virtuella hubbnätverket som används för att filtrera utgående trafik från dina sessionsvärdar.

Ett virtuellt ekernätverk isolerar Azure Virtual Desktop-arbetsbelastningen och innehåller sessionsvärdens virtuella datorer. Implementera stegen i Tillämpa Nulta pouzdanost principer på virtuella ekernätverk i Azure för det virtuella ekernätverket som innehåller sessionsvärden/de virtuella datorerna.

Isolera olika värdpooler på separata virtuella nätverk med hjälp av NSG med den url som krävs för Azure Virtual Desktop för varje undernät. När du distribuerar de privata slutpunkterna placerar du dem i lämpligt undernät i det virtuella nätverket baserat på deras roll.

Azure Firewall eller en nva-brandvägg (network virtual appliance) kan användas för att styra och begränsa utgående trafik för Azure Virtual Desktop-sessionsvärdar. Använd anvisningarna här för Azure Firewall för att skydda sessionsvärdar. Tvinga trafiken genom brandväggen med användardefinierade vägar (UDR) länkade till värdpoolens undernät. Granska den fullständiga listan över nödvändiga Azure Virtual Desktop-URL:er för att konfigurera brandväggen. Azure Firewall tillhandahåller en FQDN-tagg för Azure Virtual Desktop för att förenkla den här konfigurationen.

Steg 5: Tillämpa Nulta pouzdanost principer på Azure Virtual Desktop-sessionsvärdar

Sessionsvärdar är virtuella datorer som körs i ett virtuellt ekernätverk. Implementera stegen i Tillämpa Nulta pouzdanost principer på virtuella datorer i Azure för de virtuella datorer som skapas för dina sessionsvärdar.

Värdpooler bör ha avgränsade organisationsenheter (OUs) om de hanteras av grupprinciper på Usluge domena aktivnog direktorijuma (AD DS).

Microsoft Defender za krajnju tačku är en säkerhetsplattform för företagsslutpunkter som är utformad för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och svara på avancerade hot. Du kan använda Microsoft Defender za krajnju tačku för sessionsvärdar. Mer information finns i VDI-enheter (Virtual Desktop Infrastructure).

Steg 6: Distribuera säkerhet, styrning och efterlevnad med Azure Virtual Desktop

Med Azure Virtual Desktop-tjänsten kan du använda Azure Private Link för att ansluta privat till dina resurser genom att skapa privata slutpunkter.

Azure Virtual Desktop har inbyggda avancerade säkerhetsfunktioner för att skydda sessionsvärdar. Se dock följande artiklar för att förbättra säkerhetsförsvaret för din Azure Virtual Desktop-miljö och sessionsvärdar:

• Metodtips för Azure Virtual Desktop-säkerhet
• Azure-säkerhetsbaslinje för Azure Virtual Desktop

Se dessutom viktiga designöverväganden och rekommendationer för säkerhet, styrning och efterlevnad i Azure Virtual Desktop-landningszoner i enlighet med Microsofts Cloud Adoption Framework.

Steg 7: Distribuera säker hantering och övervakning till Azure Virtual Desktop

Hantering och kontinuerlig övervakning är viktiga för att säkerställa att din Azure Virtual Desktop-miljö inte ägnar sig åt skadligt beteende. Använd Azure Virtual Desktop Insights för att logga data och rapportera diagnostik- och användningsdata.

Se följande ytterligare artiklar:

• Granska rekommendationer från Azure Advisor för Azure Virtual Desktop.
• Använd Microsoft Intune för detaljerad principhantering.
• Granska och ange RDP-egenskaper för detaljerade inställningar på värdpoolsnivå.