你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文根据 Microsoft 的云采用框架提供 Azure 虚拟桌面登陆区域中安全、治理和符合性的关键设计注意事项和建议。
查看以下部分,以查找适用于您的 Azure 虚拟桌面着陆区的建议安全控制措施和治理策略。
身份
通过建立需要多重身份验证或其他多重身份验证工具Microsoft Entra 条件访问策略来保护用户对 Azure 虚拟桌面的访问。 考虑用户的位置、设备和登录行为,并根据访问模式根据需要添加额外的控件。 有关为 Azure 虚拟桌面启用 Azure 多重身份验证的详细信息,请参阅 为 Azure 虚拟桌面启用 Azure 多重身份验证。
将定义管理、操作和工程角色所需的最低权限分配给 Azure RBAC 角色。 若要限制对 Azure 虚拟桌面登陆区域中高特权角色的访问,请考虑与 Privileged Identity Management(PIM)集成。 保持对每个特定管理区域负责的团队的知识有助于确定 Azure 基于角色的访问控制(RBAC)角色和配置。
使用 Azure 托管标识 或配置了证书凭据的服务主体来支持 Azure 虚拟桌面的自动化和服务。 将最小特权分配给自动化帐户,并将权限范围限制在 Azure 虚拟桌面着陆区。 可以将 Azure Key Vault 与 Azure 托管标识配合使用,以便运行时环境(如 Azure 函数)可以从密钥保管库检索自动化凭据。
确保为 Microsoft Entra ID 和 Azure 虚拟桌面登陆区域(s)收集用户和管理员活动日志记录。 使用安全信息和事件管理(SIEM)工具监视这些日志。 可以从各种源收集日志,例如:
在分配对 Azure 虚拟桌面应用程序组的访问权限时,请使用Microsoft Entra 组,而不是单个用户。 请考虑使用映射到组织内业务功能的现有安全组,这样就可以重复使用现有的用户预配和取消预配过程。
网络
为 Azure 虚拟桌面登陆区域预配或重复使用专用虚拟网络。 规划 IP 地址空间以适应会话主机的规模。 根据每个主机池的最小和最大会话主机数建立基线子网大小。 将业务部门要求映射到主机池。
使用网络安全组(NSG)和/或 Azure 防火墙 (或第三方防火墙设备)建立微分段。 使用 Azure 虚拟网络服务标记和应用程序服务组(ASG)在网络安全组或为 Azure 虚拟桌面资源配置的 Azure 防火墙上定义网络访问控制。 验证代理(如果在会话主机中使用)和 Azure 防火墙(或第三方防火墙设备)是否绕过会话主机对所需 URL 的传出访问。
根据应用程序和企业分段策略,通过安全组规则或 Azure 防火墙(或第三方防火墙设备)大规模限制会话主机与内部资源之间的流量。
为 Azure 防火墙(或第三方防火墙设备)启用 Azure DDoS 标准保护 ,以帮助保护 Azure 虚拟桌面登陆区域(s)。
如果使用代理从会话主机进行出站 Internet 访问:
- 在与 Azure 虚拟桌面会话主机和客户端相同的地理位置配置代理服务器(如果使用云代理提供程序)。
- 请勿使用 TLS 检查。 在 Azure 虚拟桌面中,流量默认 在传输中加密 。
- 避免需要用户身份验证的代理配置。 会话主机上的 Azure 虚拟桌面组件在其作系统的上下文中运行,因此它们不支持需要身份验证的代理服务器。 必须启用系统范围的代理,才能在会话主机上配置主机级别代理。
验证最终用户是否有权访问 Azure 虚拟桌面客户端 URL。 如果在用户的设备上使用代理/配置,请确保也绕过 Azure 虚拟桌面客户端 URL。
使用 实时访问 对会话主机进行管理和故障排除。 避免授予对会话主机的直接 RDP 访问权限。 AVD 会话主机使用反向连接传输建立远程会话。
使用 Microsoft Defender for Cloud 中的 自适应网络强化功能 查找限制端口和源 IP 的网络安全组配置,并引用外部网络流量规则。
使用 Azure Monitor 或合作伙伴监视解决方案收集 Azure 防火墙(或第三方防火墙设备)日志。 还应使用 Microsoft Sentinel 或类似服务监视 SIEM 的日志。
仅使用专用终结点来处理用于 FSLogix 配置文件容器 的 Azure 文件。
配置 RDP 短路径 以补充反向连接传输。
会话主机
在 Active Directory 中为 Azure 虚拟桌面会话主机创建专用组织单位(s) (OU)。 将专用组策略应用于会话主机以管理控件,例如:
- 启用屏幕捕获保护 以防止在客户端终结点上捕获敏感屏幕信息。
- 设置 最大非活动/断开连接时间策略 和 屏幕锁定。
- 在 Windows 资源管理器中隐藏本地和远程驱动器映射。
- (可选) FSLogix 配置文件容器 和 FSLogix 云缓存的配置参数。
控制会话主机的设备重定向。 通常禁用的设备包括本地硬盘驱动器访问和 USB 或端口限制。 限制相机重定向和远程打印有助于保护组织的数据。 禁用剪贴板重定向以防止将远程内容复制到终结点。
在会话主机上启用下一代防病毒 Endpoint Protection ,例如Microsoft Defender for Endpoint 。 如果使用合作伙伴终结点解决方案,请确保 Microsoft Defender for Cloud 能够验证它的状态。 还应包括防病毒排除项 FSLogix 配置文件容器。Microsoft Defender for Endpoint 直接与多个 Microsoft Defender 解决方案集成,包括:
启用威胁和漏洞管理评估。 将 Microsoft Defender for Endpoint 的威胁和漏洞管理解决方案与 Microsoft Defender for Cloud 或第三方漏洞管理解决方案集成。 Microsoft Defender for Cloud 原生集成 Qualys 漏洞评估解决方案。
通过 Windows Defender 应用程序控制(WDAC)或 AppLocker 使用应用程序控制来确保应用程序在执行前可信。 应用程序控制策略还可以阻止未签名的脚本和 MSIs,并限制 Windows PowerShell 在 受限语言模式下运行。
为 Gen2 Azure 虚拟机启用 受信任的启动 ,以启用安全启动、vTPM 和基于虚拟化的安全性(VBS)等功能。 Microsoft Defender for Cloud 可以监控那些启用了“受信任启动”特性的会话主机。
使用 Windows LAPS 随机化本地管理员密码,以防止传递哈希和横向遍历攻击。
通过事件中心验证会话主机是由 Azure Monitor 还是合作伙伴监控解决方案监视的。
为会话主机建立修补程序管理策略。 Microsoft Endpoint Configuration Manager 使 Azure 虚拟桌面会话主机能够自动接收更新。 至少每 30 天修补一次基础镜像。 请考虑使用 Azure 映像生成器(AIB)为 Azure 虚拟桌面基础映像建立自己的映像管道。
有关 Azure 虚拟桌面会话主机安全的最佳做法的详细信息,请参阅 会话主机安全最佳做法。
有关 Azure VM 安全性最佳做法的详细列表,请参阅 Azure 中虚拟机的安全建议。
数据保护
Microsoft Azure 可以加密静态数据以防止它遭到“带外”攻击,例如尝试访问基础存储。 此加密有助于确保攻击者无法轻松读取或修改数据。 Microsoft为静态数据启用两层加密的方法涉及:
- 使用客户管理的密钥进行磁盘加密。 用户提供自己的密钥进行磁盘加密。 他们可以将自己的密钥引入其 Key Vault(称为 BYOK - 自带密钥)或在 Azure Key Vault 中生成新密钥,以加密所需的资源(包括会话主机磁盘)。
- 使用平台管理的密钥进行基础结构加密。 默认情况下,磁盘通过平台管理的加密密钥自动进行静态加密。
- VM 主机上的加密 (VM 分配到的 Azure 服务器)。 每个虚拟机的临时磁盘和 OS/数据磁盘缓存数据存储在 VM 主机上。 启用 VM 主机上的加密后,该数据会静态加密,并将加密到要持久保存的存储服务。
部署信息保护解决方案(如 Microsoft Purview 信息保护 或第三方解决方案),确保敏感信息由组织的技术系统安全地存储、处理和传输。
使用 Microsoft 365 企业应用版的安全策略顾问 来提高 Office 部署安全性。 此工具标识可应用于部署的策略以提高安全性,并基于策略对安全性和工作效率的影响推荐策略。
为 Azure 文件存储配置基于标识的身份验证,通过本地 Active Directory 域服务 (AD DS) 和 Microsoft Entra 域服务用于 FSLogix 用户配置文件。 配置 NTFS 权限 ,以便授权用户可以访问 Azure 文件。
成本管理
使用 Azure 标记 来组织创建、管理和部署 Azure 虚拟桌面资源的成本。 若要确定 Azure 虚拟桌面的相关计算成本,请标记所有主机池和虚拟机。 标记 Azure 文件存储或 Azure NetApp 文件资源以跟踪与 FSLogix 用户配置文件容器、自定义 OS 映像和 MSIX 应用附加(如果使用)关联的存储成本。
在所有 Azure 虚拟桌面资源中设置 建议的最小标记 。 可以在部署期间或在预配后设置 Azure 标记。 请考虑使用 Azure Policy 内置定义 来强制实施标记规则。
在 Microsoft 成本管理中设置预算,以主动管理 Azure 使用成本。 超过你创建的预算阈值时,将触发通知。
创建成本管理警报 ,以监视 Azure 虚拟桌面登陆区域的 Azure 使用情况和支出。
配置 Connect 上的“开始 VM”功能 ,以便最终用户仅在需要 VM 时启用其 VM,从而节省成本。
资源一致性
使用 Intune 管理 Azure 虚拟桌面个人会话主机,可以应用现有配置或创建新配置,并通过符合性策略和条件访问来保护虚拟机。 Intune 管理与同一虚拟机的 Azure 虚拟桌面管理互不依赖,也互不干扰。
通过 Intune 管理多会话主机 允许你在 Intune 管理中心管理 Windows 10 或 Windows 11 企业版多会话远程桌面,管理方式与共享的 Windows 10 或 Windows 11 客户端设备相同。 管理此类虚拟机(VM)时,可以使用面向设备的配置或面向用户的配置。
使用Azure Policy 的机器配置审核并配置会话主机操作系统的强化。 使用 Windows 安全基线 作为保护 Windows 操作系统的出发点。
使用 Azure Policy 内置定义 为 Azure 虚拟桌面资源(例如工作区、应用程序组和主机池)配置诊断设置。
查看 Azure 虚拟桌面的安全最佳做法 ,作为环境中安全性的起点。
合规
几乎所有组织都必须遵守各种政府或行业监管政策。 与合规性团队一起查看任何此类策略,并为特定的 Azure 虚拟桌面登陆区域实施正确的控制。 例如,如果你的组织遵循其框架,应考虑对特定策略(如支付卡行业数据安全标准(PCI DSS)或 1996 年健康保险可移植性和责任法案(HIPAA)的控制。
如有必要,请使用 Microsoft Defender for Cloud 将额外的合规性标准应用到 Azure 虚拟桌面登陆区域。 Microsoft Defender for Cloud 可帮助简化流程,以通过其 法规合规性仪表板满足法规合规性要求。 可以将内置或自定义的符合性标准添加到仪表板。 可以添加的内置法规标准包括:
- PCI-DSS v3.2.1:2018
- SOC TSP
- NIST SP 800-53 R4
- NIST SP 800 171 R2
- 英国官方和英国 NHS
- 加拿大联邦 PBMM
- Azure CIS 1.1.0
- HIPAA/HITRUST
- SWIFT CSP CSCF v2020
- ISO 27001:2013
- 限制性的新西兰 ISM
- CMMC 级别 3
- Azure CIS 1.3.0
- NIST SP 800-53 R5
- FedRAMP H
- FedRAMP M
如果组织受数据驻留要求的约束,请考虑将 Azure 虚拟桌面资源(工作区、应用程序组和主机池)的部署限制为以下地理位置:
- 美国
- 欧洲
- 英国
- 加拿大
将部署限制在这些地理区域有助于确保 Azure 虚拟桌面的元数据存储在 Azure 虚拟桌面资源地理位置的区域,而您的会话主机可以部署到全球,以适应用户群体的需求。
使用组策略和设备管理工具(如 Intune 和 Microsoft Endpoint Configuration Manager)来维护会话主机的彻底安全性和合规性做法。
在 Microsoft Defender for Cloud 中配置 警报 和 自动响应 ,以确保 Azure 虚拟桌面登陆区域的总体符合性。
查看 Microsoft安全功能分数 ,以衡量以下产品的整体组织安全状况:
- Microsoft 365(包括 Exchange Online)
- Microsoft Entra 身份识别系统
- Microsoft Defender 端点版
- Microsoft Defender for Identity
- 云应用防御者
- Microsoft Teams
查看 Microsoft Defender for Cloud Secure Score ,以提高 Azure 虚拟登陆区域的整体安全合规性。
建议的安全最佳做法和基线
后续步骤
了解有关企业规模场景中 Azure 虚拟桌面平台自动化和 DevOps 的信息。