Azure Sanal Masaüstü için kimlik ve erişim yönetimiyle ilgili dikkat edilmesi gerekenler
Azure Sanal Masaüstü, sanal masaüstü altyapınız için bir Microsoft denetim düzlemi sağlayan yönetilen bir hizmettir. Azure Sanal Masaüstü için kimlik ve erişim yönetimi, bu makalede açıklanan belirli koşullarla Birlikte Azure rol tabanlı erişim denetimini (RBAC) kullanır.
RBAC tasarımı
RBAC, Azure Sanal Masaüstü dağıtımını yöneten çeşitli ekipler ve bireyler için görev ayrımını destekler. Giriş bölgesi tasarımının bir parçası olarak, çeşitli rolleri kimin üstlendiğine karar vermeniz gerekir. Ardından, rollere kullanıcı ekleme ve rollerden kullanıcı kaldırma işlemlerini basitleştirmek için her rol için bir güvenlik grubu oluşturmanız gerekir.
Azure Sanal Masaüstü, her işlevsel alan için tasarlanmış özel Azure rolleri sağlar. Bu rollerin nasıl yapılandırıldığı hakkında bilgi için bkz . Azure Sanal Masaüstü için yerleşik roller.
Azure yerleşik rolleri, Azure dağıtımı için Bulut Benimseme Çerçevesi bir parçası olarak oluşturulabilir ve tanımlanabilir. Kullanıcıların Azure Sanal Masaüstü ve sanal makineler ve ağ gibi diğer Azure hizmetleri için ihtiyaç duyduğu tüm izinleri sağlamak için Azure Sanal Masaüstü'ne özgü RBAC rollerinin diğer Azure RBAC rolleriyle birleştirilmesi gerekebilir.
Azure Sanal Masaüstü tasarımında dikkat edilmesi gerekenler
- Oturum konaklarınızdan masaüstlerine ve uygulamalara erişmek için kullanıcılarınızın kimlik doğrulaması yapabilmesi gerekir. Microsoft Entra ID , Microsoft'un bu özelliği etkinleştiren merkezi bulut kimliği hizmetidir. Microsoft Entra Id her zaman Azure Sanal Masaüstü için kullanıcıların kimliğini doğrulamak için kullanılır. Oturum konakları, Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Domain Services kullanılarak aynı Microsoft Entra kiracısına veya bir Active Directory etki alanına eklenebilir ve size çeşitli esnek yapılandırma seçenekleri sunar.
Not
Azure Sanal Masaüstü B2B veya Microsoft hesaplarını desteklemez.
- Etki alanına katılım için kullanılan hesapta çok faktörlü kimlik doğrulaması veya başka etkileşimli istemler olamaz ve başka gereksinimler de vardır. Daha fazla bilgi için bkz . Sanal makine ayrıntıları.
- Azure Sanal Masaüstü, etki alanı hizmetleri için bir barındırma stratejisi gerektirir. AD DS veya Microsoft Entra Domain Services'ı seçin.
- Microsoft Entra Domain Services desteklenen bir seçenektir, ancak sınırlamalar vardır:
- Parola karması eşitlemesini etkinleştirmeniz gerekir.
- Microsoft 365 hizmetlerinde Microsoft Entra sorunsuz çoklu oturum açmayı etkinleştirmek için Azure Sanal Masaüstü VM'leri için karma birleştirme kullanamazsınız.
Daha fazla bilgi için bkz . Microsoft Entra Domain Services hakkında sık sorulan sorular (SSS).
- Bir Microsoft Entra Domain Services etki alanına katılırken hesabın Microsoft Entra DC yöneticiler grubunun bir parçası olması ve hesap parolasının Microsoft Entra Domain Services'da çalışması gerekir. Daha fazla bilgi için bkz . Sanal makine ayrıntıları.
- Bir kuruluş birimi belirtirken, tırnak işaretleri olmadan ayırt edici adı kullanın.
- Yetkili görevler için gereken en düşük izinleri atayarak en az ayrıcalık ilkesini izleyin.
- Azure Sanal Masaüstü'ne abone olmak için kullanılan kullanıcı asıl adı, oturum ana bilgisayarı sanal makinesinin katıldığı Active Directory etki alanında bulunmalıdır. Kullanıcı gereksinimleri hakkında daha fazla bilgi için bkz . Azure Sanal Masaüstü gereksinimleri.
- Akıllı kartlar kullanılırken, Kerberos kimlik doğrulaması için Active Directory etki alanı denetleyicisine sahip bir doğrudan bağlantı (görüş hattı) gerekir. Daha fazla bilgi için bkz . Kerberos Anahtar Dağıtım Merkezi ara sunucusunu yapılandırma.
- İş İçin Windows Hello kullanmak için karma sertifika güven modelinin Azure Sanal Masaüstü ile uyumlu olması gerekir. Daha fazla bilgi için bkz . Microsoft Entra karma katılmış sertifika güven dağıtımı.
- İş İçin Windows Hello veya akıllı kart kimlik doğrulaması kullanılırken, bu kimlik doğrulama yöntemleri oturum açmak için Kerberos kullandığından, başlatan istemcinin etki alanı denetleyicisiyle iletişim kurabilmesi gerekir. Daha fazla bilgi için bkz . Desteklenen kimlik doğrulama yöntemleri.
- Çoklu oturum açma, kullanıcı deneyimini geliştirebilir, ancak ek yapılandırma gerektirir ve yalnızca Active Directory Federasyon Hizmetleri (AD FS) kullanılarak desteklenir. Daha fazla bilgi için bkz . Azure Sanal Masaüstü için AD FS çoklu oturum açmayı yapılandırma.
Desteklenen kimlik senaryoları
Aşağıdaki tabloda, Azure Sanal Masaüstü'nin şu anda desteklediği kimlik senaryoları özetlemektedir:
| Kimlik senaryosu | Oturum konakları | Kullanıcı hesapları |
|---|---|---|
| Microsoft Entra ID + AD DS | AD DS'ye katıldı | Microsoft Entra Id ve AD DS'de eşitlenmiş |
| Microsoft Entra ID + AD DS | Microsoft Entra Id'ye katıldı | Microsoft Entra Id ve AD DS'de eşitlenmiş |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra Domain Services'a katıldı | Microsoft Entra Id ve Microsoft Entra Domain Services'da eşitlenmiş |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Microsoft Entra Domain Services'a katıldı | Microsoft Entra Id ve AD DS'de eşitlenmiş |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra Id'ye katıldı | Microsoft Entra Id ve Microsoft Entra Domain Services'da eşitlenmiş |
| Microsoft Entra-only | Microsoft Entra Id'ye katıldı | Microsoft Entra Id'de |
Tasarım önerileri
- Tüm kimlikleri tek bir Microsoft Entra kiracısına eşitlemek için Microsoft Entra Bağlan kullanın. Daha fazla bilgi için bkz. Microsoft Entra Bağlan nedir?.
- Azure Sanal Masaüstü oturum konaklarının Microsoft Entra Domain Services veya AD DS ile iletişim kuraadığından emin olun.
- Kerberos Anahtar Dağıtım Merkezi proxy çözümünü kullanarak akıllı kart kimlik doğrulama trafiğine ara sunucu ve uzaktan oturum açmayı etkinleştirin. Daha fazla bilgi için bkz . Kerberos Anahtar Dağıtım Merkezi ara sunucusunu yapılandırma.
- İlkeleri ve yalnız bırakılmış nesneleri yönetmeyi kolaylaştırmak için oturum konak sanal makinelerini her konak havuzu için Active Directory kuruluş birimlerine ayırın. Daha fazla bilgi için bkz . Sanal makine ayrıntıları.
- Azure Sanal Masaüstü oturum konaklarında yerel yönetici parolalarını sık sık döndürmek için Yerel Yönetici istrator Parola Çözümü (LAPS) gibi bir çözüm kullanın. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Microsoft LAPS kullanımı.
- Kullanıcılar için, Azure Sanal Masaüstü uygulama gruplarına erişim vermek için güvenlik gruplarına Masaüstü Sanallaştırma Kullanıcısı yerleşik rolünü atayın. Daha fazla bilgi için bkz . Azure Sanal Masaüstü'nde temsilci erişimi.
- Azure Sanal Masaüstü için koşullu erişim ilkeleri oluşturun. Bu ilkeler, kuruluşunuzun güvenlik duruşunu artırmak için riskli oturum açma işlemleri gibi koşullara göre çok faktörlü kimlik doğrulamasını zorunlu kılabilir. Daha fazla bilgi için bkz . Azure Sanal Masaüstü için Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirme.
- AD FS'yi kurumsal ağdaki kullanıcılar için çoklu oturum açmayı etkinleştirecek şekilde yapılandırın.
Sonraki adımlar
Azure Sanal Masaüstü kurumsal ölçekli senaryo için ağ topolojisi ve bağlantısı hakkında bilgi edinin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin