整合 Azure 虛擬桌面工作負載與 Azure 登陸區域
將組織的使用者桌面移轉至雲端是常見的雲端移轉案例。 這麼做有助於提升員工的生產力,並加速各種工作負載的移轉,以支援組織的使用者體驗。 每個組織都會管理工作負載,並以唯一方式操作其雲端環境。 常見的雲端作業模型是 分散式、 集中式、 企業和 分散式。
各種模型之間的最重要差異是擁有權層級。 在分散式模型中,工作負載擁有者具有自主性,而不需要任何中央 IT 監督來管理。 例如,他們會管理自己的網路、監視和身分識別需求。 在頻譜的另一端是集中式模型,工作負載擁有者會遵循中央IT小組所設定的治理需求。
如需模型的詳細討論,請參閱 檢閱和比較常見的雲端作業模型。
身為工作負載擁有者,您應該瞭解貴組織所使用的作業模型。 該選擇會影響您負責的技術決策,以及針對中央小組強制執行的技術需求。
若要充分利用 Azure 虛擬桌面的功能,您應該利用適用於組織的最佳做法。 平臺提供可調整性和彈性,可協助您的 Azure 虛擬桌面環境因應未來的成長。
重要
本文是 Azure Well-Architected Framework Azure 虛擬桌面工作負載 系列的一部分。 如果您不熟悉此系列,建議您從 什麼是 Azure 虛擬桌面工作負載開始?。
Azure 登陸區域
Azure 登陸區域是描述組織整體雲端使用量的概念架構。 它有多個訂用帳戶,每個訂用帳戶都有唯一的用途。 中央小組擁有一些訂用帳戶,例如 Azure 平臺登陸區域。
若要熟悉 Azure 登陸區域的概念,請參閱 什麼是 Azure 登陸區域?。
重要
Azure 虛擬桌面有特定的考慮和需求,特別是與 Azure 服務整合相關的考慮和需求。 Azure 虛擬桌面登陸區域加速器和 Azure 虛擬桌面的 Azure Well-Architected Framework 指引旨在強調這些必要的自定義。 這些資源也會納入 雲端採用架構 觀點,以取得雲端整備的整體方法。
下載這個架構的 Visio 檔案 。
平臺登陸區域
Azure 虛擬桌面必須與多個外部服務互動。 中央小組可能會擁有其中一些服務作為平臺登陸區域的一部分。 這些服務的範例包括身分識別服務、網路連線和安全性服務。 與這些外部服務的互動是基本考慮。 若要完全運作,Azure 虛擬桌面工作負載需要平臺小組和工作負載小組,才能共用相同的責任思維。
如需執行 Azure 虛擬桌面工作負載所需的平臺登陸區域示範,請參閱 Microsoft Azure 虛擬桌面的 Azure 登陸區域檢閱。 本文說明一個穩固的平台基礎,可加速從內部部署環境移轉至 Azure 虛擬桌面私人雲端。
應用程式登陸區域
另外還有一個訂用帳戶,也稱為 Azure 應用程式登陸區域,適用於工作負載擁有者。 此應用程式登陸區域是您部署 Azure 虛擬桌面工作負載的位置。 其可存取平臺登陸區域,以提供執行工作負載所需的基本基礎結構。 範例包括網路、身分識別存取管理、原則和監視基礎結構。
關於應用程式登陸區域的指引適用於 Azure 虛擬桌面工作負載。 如需詳細資訊,請參閱 平臺登陸區域與應用程式登陸區域。 本指南包含有效率地控管和管理工作負載的建議。
如需 Azure 虛擬桌面工作負載的應用程式登陸區域的示範,請參閱 Azure 虛擬桌面的範例架構中的基準參考架構。
設計區域整合
本節強調平臺所提供的穩固基礎。 討論也涵蓋平臺小組與工作負載小組之間共同責任的領域。
平台責任
Azure 虛擬桌面平臺小組可確保基礎結構已準備好可供工作負載小組建置。 一些常見的工作包括:
- 藉由設定足以部署的訂用帳戶和區域配額來管理容量。
- 保護及優化 內部部署系統、Azure 和因特網的連線能力。 此工作包括路由、設定防火牆專案,以及管理集中式網路設備。
- 管理 Azure 整合,例如與 Azure 記憶體、Azure 監視器、Log Analytics、Microsoft Entra ID 和 Azure 金鑰保存庫 的整合。
共同責任
工作負載小組和平臺小組具有不同的責任。 但這兩個小組通常會密切合作,以確保工作負載可用性和可復原性。 小組會協調在 Azure 虛擬桌面中執行之工作負載的整體成功工作。 平臺與應用程式小組之間的有效共同作業對於成功部署 Azure 虛擬桌面而言非常重要。
平臺和應用程式登陸區域的設計區域緊密結合。
- 如需工作負載所需平臺資源變更的描述,請參閱 Azure 虛擬桌面 Azure 登陸區域檢閱。
- 如需工作負載技術規格的描述,請參閱 什麼是主要設計領域?。
設計區域 – 企業註冊
雲端平臺小組必須瞭解現有的企業註冊或 Microsoft Entra 租用戶決策。
設計區域 – IAM (身分識別和存取管理)
身分識別對於 Azure 虛擬桌面功能很重要,因為使用者必須經過驗證才能使用服務。 平臺小組負責設計可能涉及 Microsoft Entra ID、Microsoft Entra Domain Services 或 Active Directory 網域服務 (AD DS) 的身分識別解決方案。 平臺小組也可確保 Azure 虛擬桌面環境能夠維持身分識別服務的可見度。
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 設計適用於 Microsoft Entra ID、Domain Services、AD DS 和 Microsoft Entra Connect 的身分識別服務 - 使用角色型訪問控制 (RBAC) 來實作職責分離 - 設定 Microsoft Entra 條件式存取原則 - 管理 Active Directory 組織單位和組策略 |
- 使用 RBAC 指派來控制對 Azure 虛擬桌面工作階段和基礎結構的存取,以進行管理 |
設計區域 - 網路和連線能力
平臺服務連線是重要的網路概念。 平臺小組負責確保 Azure 虛擬桌面環境具有適當的連線能力:
- 用於驗證的身分識別服務。
- 功能變數名稱系統 (DNS) 以取得適當的解析。
- 混合式環境中的其他工作負載。
平臺小組責任包括:
- 設定私人端點和私人 DNS 區域。
- 確保已解決頻寬、延遲和服務質量考慮。
- 實作網路安全策略。
- 確保存取必要的因特網端點。
- 規劃商務持續性和災害復原。
設計區域 – 資源組織
平臺小組責任包括建構管理群組和資源群組,以簡化存取管理。 此責任包括定義命名和標記標準。 工作負載小組可確保符合這些標準。
設計區域 – 管理
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 規劃及開發監視策略 - 使用 Azure 原則 強制執行企業級合規性 - 開發成本管理策略 |
- 設定用於監視的 Azure 虛擬桌面部署 - 管理使用者存取 - 監視 Azure 虛擬桌面並與平臺小組共同作業,以取得監視需求 - 設定預算和警示 - 管理使用者體驗和支援 - 確保符合平臺和監視指導方針 |
設計區域 – 商務持續性和災害復原
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 設計商務持續性和災害復原策略,包括建立復原點目標 (RPO) 和復原時間目標 (RTO) 目標 - 與工作負載小組協調,以確保商務持續性和災害復原一致性 |
- 設定 Azure 虛擬桌面基礎結構和元件以符合商務持續性和災害復原策略 - 實作災害復原程式 - 訓練用戶適當地使用 Azure 虛擬桌面 |
設計區域 – 安全性和治理
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 瞭解組織必須符合法規需求,例如健康保險可移植性和責任法案 (HIPAA) 、國家標準與技術 (NIST) 標準,以及支付卡產業 (PCI) 標準,以及使用雲端 Microsoft Defender 來套用合規性標準 - 確保管理平面資源以符合數據落地需求的方式部署在地理位置 - 使用 Microsoft Entra 條件式存取原則和多重要素驗證來協助保護使用者存取 - 確保安全性資訊和事件管理 (SIEM) 工具,例如 Microsoft Sentinel 用來收集和監視使用者和系統管理員活動數據 - 藉由整合適用於雲端的Defender或第三方弱點管理解決方案,啟用威脅與弱點管理 評定 - 設定防火牆並使用服務標籤和應用程式安全組來定義網路存取規則 - 在 Azure 虛擬桌面會話主機的 Active Directory 中建立專用的組織單位 - 使用 Azure 原則 客體設定來稽核和強化會話主機操作系統 - 啟用磁碟加密 - 監視網路流量並實作分散式阻斷服務 (DDoS) 保護 |
- 使用最低許可權的存取原則和 Azure RBAC 來建立系統管理、作業和工程角色 - 將專用組策略套用至 Azure 虛擬桌面組織單位 - 管理會話主機的修補程序和強化 - 監視和管理用戶活動 |
設計區域 – 平臺自動化和 DevOps 考慮
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 開發基礎結構即程式代碼 (IaC) 和 DevOps 策略 | - 建立映像 - 維護映射組建管線 - 更新主機集區 - 安裝應用程式 - 管理語言部署 |
設計區域 – 作業程式
作業程式有助於確保 Azure 虛擬桌面中執行的應用程式安全性。 操作程式也有助於訪問控制領域。
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| 在 Azure 虛擬桌面環境中定義使用者角色和許可權,以控制平臺的存取權 | - 分析 Azure 虛擬桌面部署的效能和延遲,以深入瞭解可能改善的領域 - 更新作業系統、應用程式和 FSLogix - 管理金鑰 - 管理 FSLogix 並分析數據,以判斷何時進行調整 |
下一步
使用評定工具來評估您的設計選擇。