通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面工作负载的安全、标识和访问管理 (IAM) 注意事项

  • 项目

本文讨论 Azure 虚拟桌面工作负载的安全性和 IAM 设计领域。 Azure 虚拟桌面 是一项托管服务,可为虚拟桌面基础结构提供 Microsoft 控制平面。 Azure 虚拟桌面使用 Azure 基于角色的访问控制 (RBAC) 来控制标识和管理访问权限。 作为工作负荷所有者,还可以应用适合组织要求的其他零信任原则。 示例包括 验证显式 原则和 最低特权访问 原则。

重要

本文是 Azure Well-Architected Framework Azure 虚拟桌面工作负载 系列的一部分。 如果不熟悉本系列,建议从什么是 Azure 虚拟桌面工作负载开始。

使用 RBAC

影响:安全性、卓越运营

RBAC 支持管理 Azure 虚拟桌面部署的各个团队和个人 的职责分离 。 作为登陆区域设计的一部分,你需要决定谁承担各种角色。 然后,需要为每个角色创建一个安全组,以简化在角色中添加和删除用户。

Azure 虚拟桌面提供针对每个功能区域设计的自定义 Azure 角色。 有关如何配置这些角色的信息,请参阅 Azure 虚拟桌面的内置角色。 还可以创建和定义 Azure 自定义角色作为 Azure 部署云采用框架的一部分。 可能需要将特定于 Azure 虚拟桌面的 RBAC 角色与其他 Azure RBAC 角色组合在一起。 此方法为 Azure 虚拟桌面和其他 Azure 服务(例如虚拟机 (VM) 和网络)提供用户所需的完整权限集。

建议
  • 为管理 Azure 虚拟桌面部署的团队和个人定义角色。
  • 定义 Azure 内置角色,以分离主机池、应用程序组和工作区的管理责任。
  • 为每个角色创建安全组。

增强会话主机的安全性

影响:安全性

Azure 虚拟桌面使用远程桌面协议 (RDP) 在终端服务器或会话主机与最终用户客户端之间进行通信。

RDP 是一种多通道协议,可以允许和拒绝携带以下信息的单独虚拟通道:

  • 演示文稿数据
  • 串行设备通信
  • 许可信息
  • 高度加密的数据,例如键盘和鼠标活动

若要提高安全性,可以在 Azure 虚拟桌面中集中配置连接的 RDP 属性。

建议
  • 通过隐藏本地和远程驱动器映射来限制 Windows 资源管理器访问权限。 此策略可防止用户发现有关系统配置和用户的敏感信息。
  • 防止意外软件在会话主机上运行。 可以在会话主机上启用 AppLocker 以实现额外的安全性。 此功能有助于确保只有指定的应用才能在主机上运行。
  • 使用屏幕捕获保护和水印来帮助防止在客户端终结点上捕获敏感信息。 启用屏幕捕获保护后,远程内容会自动在屏幕截图和屏幕共享中被阻止或隐藏。 远程桌面客户端还会隐藏捕获屏幕的恶意软件的内容。
  • 使用 Microsoft Defender 防病毒来帮助保护 VM。 有关详细信息,请参阅在远程桌面或虚拟桌面基础结构环境中配置Microsoft Defender防病毒
  • 打开Windows Defender应用程序控制。 为驱动程序和应用程序定义策略,无论是否信任它们。
  • 当用户处于非活动状态时注销,以保留资源并防止未经授权的访问。 有关详细信息,请参阅 建立最长非活动时间和断开连接策略
  • (CSPM) 启用云安全态势管理Microsoft Defender。 有关详细信息,请参阅在 Microsoft 365 Defender 中加入非持久性虚拟桌面基础结构 (VDI) 设备

中心平台、标识和网络团队的设计注意事项

影响:安全性

标识 是 Azure 虚拟桌面的基本设计原则。 标识也是一个关键设计领域,应在体系结构过程中将其视为一流的关注点。

Azure 虚拟桌面的标识设计

Azure 虚拟桌面支持不同类型的标识,用于访问公司资源和应用程序。 作为工作负载所有者,可以根据业务和组织需求从各种类型的标识提供者中进行选择。 查看本部分中的标识设计区域,以评估最适合工作负荷的内容。

标识设计 摘要
Active Directory 域服务 (AD DS) 标识 用户必须可通过Microsoft Entra ID 发现才能访问 Azure 虚拟桌面。 因此,不支持仅存在于 AD DS 中的用户标识。 也不支持使用 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。
混合标识 Azure 虚拟桌面通过Microsoft Entra ID(包括使用 AD FS 联合的标识)支持混合标识。 可以在 AD DS 中管理这些用户标识,并使用 Microsoft Entra Connect 将它们同步到Microsoft Entra ID。 还可以使用Microsoft Entra ID 来管理这些标识并将其同步到 AD DS
纯云标识 使用使用 Microsoft Entra ID 联接的 VM 时,Azure 虚拟桌面支持仅限云的标识。 这些用户直接在Microsoft Entra ID 中创建和管理。

重要

Azure 虚拟桌面不支持企业到企业帐户、Microsoft 帐户或 外部标识

有关选择和实现标识和身份验证策略的详细信息,请参阅 支持的标识和身份验证方法

建议
  • 创建具有最低特权的专用用户帐户。 部署会话主机时,使用此帐户将会话主机加入Microsoft Entra 域服务或 AD DS 域。
  • 要求进行多重身份验证。 若要提高整个部署的安全性,请在 Azure 虚拟桌面中对所有用户和管理员强制实施多重身份验证。 若要了解详细信息,请参阅使用条件访问对 Azure 虚拟桌面强制实施Microsoft Entra ID 多重身份验证
  • 打开Microsoft Entra ID 条件访问。 使用条件访问时,可以在向用户授予对 Azure 虚拟桌面环境的访问权限之前管理风险。 在决定向哪些用户授予访问权限的过程中,还应考虑每个用户是谁、他们登录的方式以及他们使用的设备。

Azure 虚拟桌面的安全网络设计

如果不采取网络安全措施,攻击者就可以访问你的资产。 若要保护资源,必须对网络流量进行控制。 适当的网络安全控制有助于检测和阻止进入云部署的攻击者。

建议
  • 使用中心辐射型体系结构。 区分共享服务和 Azure 虚拟桌面应用程序服务至关重要。 中心辐射型体系结构是实现安全性的好方法。 应将特定于工作负载的资源保留在其自己的虚拟网络中,该虚拟网络独立于中心的共享服务。 共享服务的示例包括管理和域名系统 (DNS) 服务。
  • 使用网络安全组。 可以使用网络安全组筛选传入和传出 Azure 虚拟桌面工作负载的网络流量。 服务标记和网络安全组规则提供了一种允许或拒绝访问 Azure 虚拟桌面应用程序的方法。 例如,可以允许从本地 IP 地址范围访问 Azure 虚拟桌面应用程序端口,并且可以拒绝从公共 Internet 访问。 有关详细信息,请参阅网络安全组。 若要部署 Azure 虚拟桌面并使其可供用户使用,必须允许会话主机 VM 随时可以访问的特定 URL。 有关这些 URL 的列表,请参阅 Azure 虚拟桌面的必需 URL
  • 通过将每个主机池放置在单独的虚拟网络中来隔离主机池。 将网络安全组与 Azure 虚拟桌面为每个子网所需的 URL 一起使用。
  • 强制实施网络和应用程序安全性。 网络和应用程序安全控制是每个 Azure 虚拟桌面工作负载的基线安全措施。 Azure 虚拟桌面会话主机网络和应用程序需要严格的安全审查和基线控制。
  • 通过禁用或阻止 RDP 端口,避免对环境中的会话主机进行直接 RDP 访问。 如果需要直接 RDP 访问权限以进行管理或故障排除,请使用 Azure Bastion 连接到会话主机。
  • 将 Azure 专用链接 与 Azure 虚拟桌面配合使用,将流量保留在 Microsoft 网络中并帮助提高安全性。 创建 专用终结点时,虚拟网络和服务之间的流量将保留在 Microsoft 网络上。 不再需要向公共 Internet 公开服务。 还可以使用虚拟专用网络 (VPN) 或 Azure ExpressRoute,以便使用远程桌面客户端的用户可以连接到虚拟网络。
  • 使用 Azure 防火墙 来帮助保护 Azure 虚拟桌面。 Azure 虚拟桌面会话主机在虚拟网络中运行,并受虚拟网络安全控制。 如果应用程序或用户需要出站 Internet 访问,建议使用Azure 防火墙来帮助保护它们并锁定环境。

加密传输中的数据

影响:安全性

传输中加密适用于从一个位置移动到另一个位置的数据的状态。 可以通过多种方式加密传输中的数据,具体取决于连接的性质。 有关详细信息,请参阅 传输中的数据加密

对于从客户端和会话主机到 Azure 虚拟桌面基础结构组件启动的所有连接,Azure 虚拟桌面使用传输层安全性 (TLS) 版本 1.2。 Azure 虚拟桌面使用与 Azure Front Door 相同的 TLS 1.2 密码。 请务必确保客户端计算机和会话主机能够使用这些密码。 对于反向连接传输,客户端和会话主机将连接到 Azure 虚拟桌面网关。 然后,客户端和会话主机 (TCP) 连接建立传输控制协议。 接下来,客户端和会话主机验证 Azure 虚拟桌面网关证书。 RDP 用于建立基本传输。 然后,RDP 使用会话主机证书在客户端和会话主机之间建立嵌套 TLS 连接。

有关网络连接的详细信息,请参阅 了解 Azure 虚拟桌面网络连接

建议
  • 了解 Azure 虚拟桌面如何加密传输中的数据。
  • 确保客户端计算机和会话主机可以使用 Azure Front Door 使用的 TLS 1.2 密码。

使用机密计算来加密正在使用的数据

影响:安全性、性能效率

在受监管行业(如政府、金融服务和医疗保健机构)中运营时,使用机密计算来保护使用的数据。

可以将机密 VM 用于 Azure 虚拟桌面。 机密 VM 通过保护正在使用的数据来提高数据隐私和安全性。 Azure DCasv5 和 ECasv5 机密 VM 系列提供基于硬件的受信任执行环境 (TEE) 。 此环境具有高级微型设备 (AMD) 安全加密 Virtualization-Secure 嵌套分页 (SEV-SNP) 安全功能。 这些功能强化了来宾保护,以拒绝虚拟机监控程序和其他主机管理代码访问 VM 内存和状态。 它们还有助于防止操作员访问,并加密正在使用的数据。

机密 VM 支持版本 22H1、22H2 和Windows 11的未来版本。 计划对Windows 10的机密 VM 支持。 机密操作系统磁盘加密可用于机密 VM。 此外,在为机密 VM 预配 Azure 虚拟桌面主机池期间,可以使用完整性监视。

有关详细信息,请参阅以下资源:

建议
  • 使用机密计算来保护正在使用的数据。
  • 使用 Azure DCasv5 和 ECasv5 机密 VM 系列构建基于硬件的 TEE。

后续步骤

现在,你已了解了保护 Azure 虚拟桌面的最佳做法,请调查实现卓越业务的操作管理过程。

操作过程

使用评估工具评估设计选项。

评估