共用方式為

Azure 虛擬桌面工作負載的安全性與身分識別和存取管理 (IAM) 考慮

  • 發行項

本文討論 Azure 虛擬桌面工作負載的安全性和 IAM 設計區域。 Azure 虛擬桌面 是一項受控服務,可為虛擬桌面基礎結構提供 Microsoft 控制平面。 Azure 虛擬桌面使用 Azure 角色型存取控制 (RBAC) 來控制身分識別和管理存取。 身為工作負載擁有者,您也可以套用適用于組織需求的其他零信任原則。 範例包括 明確 原則和 最低許可權存取 原則。

重要

本文是 Azure Well-Architected Framework Azure 虛擬桌面工作負載 系列的一部分。 如果您不熟悉此系列,建議您從 什麼是 Azure 虛擬桌面工作負載開始?

使用 RBAC

影響:安全性、卓越營運

RBAC 支援針對管理 Azure 虛擬桌面部署的各種小組和個人, 區分職責 。 在登陸區域設計過程中,您必須決定誰擔任各種角色。 接著,您必須為每個角色建立安全性群組,以簡化新增和移除角色的使用者。

Azure 虛擬桌面提供針對每個功能區域設計的自訂 Azure 角色。 如需如何設定這些角色的資訊,請參閱 Azure 虛擬桌面的內建角色。 您也可以建立和定義Azure 自訂角色,作為 Azure 部署雲端採用架構的一部分。 您可能需要將 Azure 虛擬桌面專屬的 RBAC 角色與其他 Azure RBAC 角色結合。 此方法提供使用者需要 Azure 虛擬桌面和其他 Azure 服務的完整許可權集,例如虛擬機器 (VM) 和網路功能。

建議
  • 為管理 Azure 虛擬桌面部署的小組和個人定義角色。
  • 定義 Azure 內建角色,以分隔主機集區、應用程式群組和工作區的管理責任。
  • 為每個角色建立安全性群組。

增強工作階段主機的安全性

影響:安全性

Azure 虛擬桌面會使用遠端桌面通訊協定 (RDP) ,在終端機伺服器或工作階段主機與使用者用戶端之間進行通訊。

RDP 是一種多重通道通訊協定,可允許和拒絕具有下列資訊的個別虛擬通道:

  • 簡報資料
  • 序列裝置通訊
  • 授權資訊
  • 高度加密的資料,例如鍵盤和滑鼠活動

若要改善安全性,您可以在 Azure 虛擬桌面集中設定連線的 RDP 屬性。

建議
  • 隱藏本機和遠端磁碟機對應,限制 Windows 檔案總管存取權。 此策略可防止使用者探索系統設定和使用者的敏感性資訊。
  • 防止不必要的軟體在工作階段主機上執行。 您可以在工作階段主機上啟用 AppLocker,以取得額外的安全性。 此功能有助於確保只有您指定的應用程式可以在主機上執行。
  • 使用螢幕擷取保護和浮水印來協助防止在用戶端端點上擷取敏感性資訊。 當您開啟螢幕擷取保護時,遠端內容會在螢幕擷取畫面和螢幕擷取畫面中自動封鎖或隱藏。 遠端桌面用戶端也會隱藏擷取螢幕之惡意軟體的內容。
  • 使用Microsoft Defender防毒軟體來協助保護您的 VM。 如需詳細資訊,請參閱在遠端桌面或虛擬桌面基礎結構環境中設定Microsoft Defender防毒軟體
  • 開啟Windows Defender應用程式控制。 定義驅動程式和應用程式的原則,不論您是否信任它們。
  • 當使用者處於非作用中狀態以保留資源,並防止未經授權的存取時登出使用者。 如需詳細資訊,請參閱 建立非使用中時間上限和中斷連線原則
  • 開啟雲端安全性狀態管理的雲端Microsoft Defender (CSPM) 。 如需詳細資訊,請參閱在 Microsoft 365 Defender 中將非持續性虛擬桌面基礎結構上線 (VDI) 裝置

中央平臺、身分識別和網路小組的設計考慮

影響:安全性

身分識別 是 Azure 虛擬桌面的基本設計準則。 身分識別也是您應該視為架構程式內第一級考慮的重要設計領域。

Azure 虛擬桌面的身分識別設計

Azure 虛擬桌面支援不同類型的身分識別,以存取公司資源和應用程式。 身為工作負載擁有者,您可以根據您的商務和組織需求,從各種類型的身分識別提供者中選取。 檢閱本節中的身分識別設計區域,以評估最適合您工作負載的內容。

身分識別設計 摘要
Active Directory 網域服務 (AD DS) 身分識別 使用者必須可透過Microsoft Entra識別碼來探索,才能存取 Azure 虛擬桌面。 因此,不支援只存在於 AD DS 中的使用者身分識別。 也不支援使用 Active Directory 同盟服務 (AD FS) 的獨立 Active Directory 部署。
混合式身分識別 Azure 虛擬桌面透過Microsoft Entra識別碼支援混合式身分識別,包括使用 AD FS 同盟的身分識別。 您可以在 AD DS 中管理這些使用者身分識別,並使用Microsoft Entra Connect將它們同步處理至Microsoft Entra識別碼。 您也可以使用Microsoft Entra識別碼來管理這些身分識別,並將其同步處理至AD DS
僅限雲端的身分識別 當您使用已使用 Microsoft Entra 識別碼加入的 VM 時,Azure 虛擬桌面支援僅限雲端的身分識別。 這些使用者會直接在Microsoft Entra識別碼中建立和管理。

重要

Azure 虛擬桌面不支援企業對企業帳戶、Microsoft 帳戶或 外部身分識別

如需選取和實作身分識別和驗證策略的詳細資訊,請參閱支援的身 分識別和驗證方法

建議
  • 建立具有最低許可權的專用使用者帳戶。 當您部署工作階段主機時,使用此帳戶將工作階段主機加入Microsoft Entra Domain Services或 AD DS 網域。
  • 需要多重要素驗證。 若要改善整個部署的安全性,請在 Azure 虛擬桌面中為所有使用者和系統管理員強制執行多重要素驗證。 若要深入瞭解,請參閱使用條件式存取為 Azure 虛擬桌面強制執行Microsoft Entra識別碼多重要素驗證
  • 開啟Microsoft Entra識別碼條件式存取。 當您使用條件式存取時,您可以先管理風險,再將 Azure 虛擬桌面環境的存取權授與使用者。 在決定要授與存取權的使用者的過程中,您也應該考慮每位使用者是誰、他們登入的方式,以及他們所使用的裝置。

Azure 虛擬桌面的安全網路設計

若沒有網路安全性措施,攻擊者就可以存取您的資產。 若要保護您的資源,請務必將控制項放在網路流量上。 適當的網路安全性控制可協助您偵測並阻止進入雲端部署的攻擊者。

建議
  • 使用中樞輪輻架構。 請務必區分共用服務和 Azure 虛擬桌面應用程式服務。 中樞輪輻架構是安全性的好方法。 您應該將工作負載特定資源保留在自己的虛擬網路中,與中樞中的共用服務分開。 共用服務的範例包括管理和網域名稱系統 (DNS) 服務。
  • 使用網路安全性群組。 您可以使用網路安全性群組來篩選 Azure 虛擬桌面工作負載之間的網路流量。 服務標籤和網路安全性群組規則可讓您允許或拒絕存取 Azure 虛擬桌面應用程式。 例如,您可以允許從內部部署 IP 位址範圍存取 Azure 虛擬桌面應用程式埠,也可以拒絕來自公用網際網路的存取。 如需詳細資訊,請參閱網路安全性群組。 若要部署 Azure 虛擬桌面並將其提供給使用者,您必須允許工作階段主機 VM 隨時存取的特定 URL。 如需這些 URL 的清單,請參閱 Azure 虛擬桌面的必要 URL
  • 將每個主機集區放在不同的虛擬網路中,以隔離主機集區。 使用網路安全性群組搭配 Azure 虛擬桌面針對每個子網所需的 URL。
  • 強制執行網路和應用程式安全性。 網路和應用程式安全性控制是每個 Azure 虛擬桌面工作負載的基準安全性措施。 Azure 虛擬桌面工作階段主機網路和應用程式需要嚴格的安全性檢閱和基準控制。
  • 藉由停用或封鎖 RDP 埠,避免直接存取環境中的工作階段主機。 如果您需要直接 RDP 存取以進行系統管理或疑難排解,請使用 Azure Bastion 連線到工作階段主機。
  • 使用Azure Private Link搭配 Azure 虛擬桌面來保留 Microsoft 網路內的流量,並協助改善安全性。 當您建立 私人端點時,虛擬網路與服務之間的流量會保留在 Microsoft 網路上。 您不再需要向公用網際網路公開您的服務。 您也可以使用虛擬私人網路 (VPN) 或 Azure ExpressRoute,讓具有遠端桌面用戶端的使用者可以連線到您的虛擬網路。
  • 使用Azure 防火牆協助保護 Azure 虛擬桌面。 Azure 虛擬桌面工作階段主機會在虛擬網路中執行,而且受限於虛擬網路安全性控制。 如果您的應用程式或使用者需要輸出網際網路存取,建議您使用Azure 防火牆來協助保護它們並鎖定您的環境。

加密傳輸中的資料

影響:安全性

傳輸中的加密適用于從某個位置移至另一個位置的資料狀態。 您可以根據連線的本質,以數種方式加密傳輸中的資料。 如需詳細資訊,請參閱 傳輸中的資料加密

Azure 虛擬桌面會針對從用戶端和工作階段主機起始的所有連線使用傳輸層安全性 (TLS) 1.2 版。 Azure 虛擬桌面使用與 Azure Front Door 相同的 TLS 1.2 加密。 請務必確定用戶端電腦和工作階段主機可以使用這些加密。 針對反向連線傳輸,用戶端和工作階段主機會連線到 Azure 虛擬桌面閘道。 然後,用戶端和工作階段主機會建立傳輸控制通訊協定 (TCP) 連線。 接下來,用戶端和工作階段主機會驗證 Azure 虛擬桌面閘道憑證。 RDP 可用來建立基底傳輸。 RDP 接著會使用工作階段主機憑證,在用戶端和工作階段主機之間建立巢狀 TLS 連線。

如需網路連線的詳細資訊,請參閱 瞭解 Azure 虛擬網路連線能力。

建議
  • 瞭解 Azure 虛擬桌面如何加密傳輸中的資料。
  • 請確定用戶端電腦和您的工作階段主機可以使用 Azure Front Door 使用的 TLS 1.2 加密。

使用機密運算來加密使用中的資料

影響:安全性、效能效率

當您在政府、金融服務和醫療保健機構等受管制產業中運作時,請使用機密運算來保護使用中的資料。

您可以使用 Azure 虛擬桌面的機密 VM。 機密 VM 藉由保護使用中的資料來提升資料隱私權和安全性。 Azure DCasv5 和 ECasv5 機密 VM 系列提供硬體型信任的執行環境, (TEE) 。 此環境提供進階 Micro Devices (AMD) 安全加密 Virtualization-Secure 巢狀分頁 (SEV-SNP) 安全性功能。 這些功能強化客體保護,以拒絕 Hypervisor 和其他主機管理程式碼對 VM 記憶體和狀態的存取。 它們也會協助防止操作員存取,並加密使用中的資料。

機密 VM 支援版本 22H1、22H2 和未來版本的 Windows 11。 已規劃Windows 10的機密 VM 支援。 機密作業系統磁片加密適用于機密 VM。 此外,在 Azure 虛擬桌面主機集區布建機密 VM 期間,也提供完整性監視。

如需詳細資訊,請參閱下列資源:

建議
  • 使用機密運算來保護使用中的資料。
  • 使用 Azure DCasv5 和 ECasv5 機密 VM 系列來建置硬體型 TEE。

下一步

既然您已瞭解保護 Azure 虛擬桌面的最佳作法,請調查作業管理程式以達成業務卓越。

作業程序

使用評定工具來評估您的設計選擇。

評量