你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以根据许多因素(如最终用户、部署服务的组织的现有基础结构等)来部署 Azure 虚拟桌面,使其符合你的要求。 如何确保满足组织的需求?
本文提供有关 Azure 虚拟桌面部署结构的指南。 本文中列出的示例并不是部署 Azure 虚拟桌面的唯一可能方法。 但是,我们确实涵盖了用于内部或外部商业目的的两种最基本的部署类型。
为内部目的部署 Azure 虚拟桌面
如果要为组织内部的用户进行 Azure 虚拟桌面部署,则可以在同一 Azure 租户中托管所有用户和资源。 还可以使用 Azure 虚拟桌面当前支持的标识管理方法来保护用户的安全。
这些组件是 Azure 虚拟桌面部署的最基本要求,该部署可为组织中的用户提供桌面和应用程序:
- 一个主机池用于托管用户会话
- 一个用于托管主机池的 Azure 订阅
- 一个 Azure 租户是订阅和标识管理的拥有租户
但是,还可以部署具有多个主机池的 Azure 虚拟桌面,这些池为不同的用户组提供不同的应用程序。
某些客户选择创建单独的 Azure 订阅来存储每个 Azure 虚拟桌面部署。 通过这种做法,可以根据每个部署提供资源的子组织来区分每个部署的成本。 其他人选择使用 Azure 计费范围来更精细地区分成本。 若要了解详细信息,请参阅 了解和使用范围。
许可 Azure 虚拟桌面的方式与内部和外部商业目的不同。 如果要为内部商业目的提供 Azure 虚拟桌面访问权限,则必须为访问 Azure 虚拟桌面的每个用户购买符合条件的许可证。 不能将每用户访问定价用于内部商业目的。 若要详细了解不同的许可选项,请参阅 许可 Azure 虚拟桌面。
为外部目的部署 Azure 虚拟桌面
如果 Azure 虚拟桌面部署为组织外部的最终用户提供服务,尤其是通常不使用 Windows 或无权访问组织内部资源的用户,则需要考虑额外的安全建议。
Azure 虚拟桌面当前不支持外部标识,包括企业到企业 (B2B) 或企业到客户端 (B2C) 用户。 需要手动创建和管理这些标识,并自行向用户提供凭据。 然后,用户使用这些标识访问 Azure 虚拟桌面中的资源。
若要为客户提供安全解决方案,Microsoft强烈建议为每个客户创建一个Microsoft Entra租户和订阅,其中包含自己的专用 Active Directory。 这种分离意味着你必须为每个组织创建一个单独的 Azure 虚拟桌面部署,这些部署与其他部署及其资源隔离。 每个组织使用的虚拟机不应能够访问其他公司的资源,以确保信息安全。 可以通过结合使用 Active Directory 域服务 (AD DS) 和 Microsoft Entra Connect 或使用 Microsoft Entra 域服务 来设置这些单独的部署。
如果要为外部商业目的提供 Azure 虚拟桌面访问权限,则每用户访问定价允许你代表外部用户为 Azure 虚拟桌面访问权限付费。 必须注册每用户访问定价,才能为外部用户生成合规的部署。 可以通过 Azure 订阅为每个用户的访问定价付费。 若要详细了解不同的许可选项,请参阅 许可 Azure 虚拟桌面。
后续步骤
- 若要了解有关许可 Azure 虚拟桌面的详细信息,请参阅 许可 Azure 虚拟桌面。
- 了解如何 在每用户访问定价中注册。
- 了解和估算 Azure 虚拟桌面的成本。