將 零信任 原則套用至 Azure 虛擬桌面部署

本文提供以下列方式將 零信任 原則套用至 Azure 虛擬桌面部署的步驟：

零信任 原則	定義	符合者
明確驗證	一律根據所有可用的資料點進行驗證及授權。	確認 Azure 虛擬桌面使用者的身分識別和端點，並安全地存取會話主機。
使用最低權限存取	使用 Just-In-Time 和 Just-Enough-Access （JIT/JEA）、風險型調適型原則和數據保護來限制使用者存取。	限制對會話主機及其數據的存取。 儲存體：保護三種模式中的數據：待用數據、傳輸中的數據、使用中的數據。 虛擬網路 （VNet）：指定具有 Azure 防火牆 的中樞和輪輻 VNet 之間的允許網路流量。 虛擬機：使用角色型 存取控制 （RBAC）。
假設缺口	將爆炸半徑和區段存取降至最低。 確認端對端加密，運用分析來提升資訊透明度與威脅偵測，並改善防禦。	隔離 Azure 虛擬桌面部署的元件。 儲存體：使用適用於 儲存體 的Defender進行自動化威脅偵測和保護。 VNet：防止工作負載與 Azure 防火牆 之間的流量流動。 虛擬機：針對端對端加密使用雙重加密、在主機啟用加密、虛擬機的安全維護，以及用於威脅偵測的 Microsoft Defender。 Azure 虛擬桌面：使用 Azure 虛擬桌面安全性、治理、管理和監視功能來改善防禦，並收集會話主機分析。

如需如何在 Azure IaaS 環境中套用 零信任 原則的詳細資訊，請參閱將 零信任 原則套用至 Azure IaaS 概觀。

參考架構

在本文中，我們會使用中樞和輪輻的下列參考架構來示範常用的環境，以及如何針對具有使用者透過因特網存取權的 Azure 虛擬桌面套用 零信任 原則。 除了使用適用於 Azure 虛擬桌面的 RDP Shortpath，透過受控網路進行私人存取之外，也支援 Azure 虛擬 WAN 架構。

適用於 Azure 虛擬桌面的 Azure 環境包括：

元件	描述
A	Azure 儲存體 Azure 虛擬桌面使用者配置檔的服務。
B	線上中樞 VNet。
C	具有 Azure 虛擬桌面會話主機虛擬機型工作負載的輪輻 VNet。
D	Azure 虛擬桌面控制平面。
E	Azure 虛擬桌面管理平面。
F	相依的 PaaS 服務，包括 Microsoft Entra ID、適用於雲端的 Microsoft Defender、角色型訪問控制 （RBAC） 和 Azure 監視器。
G	Azure 計算資源庫。

存取 Azure 環境的用戶或系統管理員可以源自因特網、辦公室位置或內部部署數據中心。

參考架構符合 Azure 虛擬桌面 雲端採用架構 企業級登陸區域中所述的架構。

邏輯架構

在此圖中，Azure 虛擬桌面部署的 Azure 基礎結構包含在 Entra ID 租用戶內。

邏輯架構的元素如下：

• Azure 虛擬桌面的 Azure 訂用帳戶

  您可以在多個訂用帳戶中散發資源，其中每個訂用帳戶可以保留不同的角色，例如網路訂用帳戶或安全性訂用帳戶。 這會在 雲端採用架構和 Azure 登陸區域中說明。 不同的訂用帳戶也可能保留不同的環境，例如生產環境、開發和測試環境。 這取決於您想要如何分隔環境，以及您在每個環境中擁有的資源數目。 您可以使用管理群組一起管理一或多個訂用帳戶。 這可讓您將具有 RBAC 和 Azure 原則的許可權套用至訂用帳戶群組，而不是個別設定每個訂用帳戶。

• Azure 虛擬桌面資源群組

  Azure 虛擬桌面資源群組會隔離 金鑰保存庫、Azure 虛擬桌面服務物件和私人端點。

• 儲存體資源群組

  記憶體資源群組會隔離 Azure 檔案儲存體 服務私人端點和數據集。

• 會話主機虛擬機資源群組

  專用資源群組會隔離其會話主機的虛擬機，虛擬機器、磁碟加密集和應用程式安全組。

• 輪輻 VNet 資源群組

  專用資源群組會隔離輪輻 VNet 資源和網路安全組，讓組織中的網路專家可以管理。

本文的內容為何？

本文將逐步解說在 Azure 虛擬桌面參考架構中套用 零信任 原則的步驟。

步驟	Task	零信任 原則（s） 已套用
1	使用 零信任保護您的身分識別。	明確驗證
2	使用 零信任 保護您的端點。	明確驗證
3	將 零信任 原則套用至 Azure 虛擬桌面記憶體資源。	明確驗證 使用最低許可權存取 假設缺口
4	將 零信任 原則套用至中樞和輪輻 Azure 虛擬桌面 VNet。	明確驗證 使用最低許可權存取 假設缺口
5	將 零信任 原則套用至 Azure 虛擬桌面工作階段主機。	明確驗證 使用最低許可權存取 假設缺口
6	將安全性、治理和合規性部署至 Azure 虛擬桌面。	假設缺口
7	將安全管理和監視部署至 Azure 虛擬桌面。	假設缺口

步驟 1：使用 零信任 保護您的身分識別

若要將 零信任 原則套用至 Azure 虛擬桌面中使用的身分識別：

• Azure 虛擬桌面支援不同類型的 身分識別。 使用保護身分識別與 零信任 中的資訊，以確保您選擇的身分識別類型遵守 零信任 原則。
• 建立具有最低許可權的專用用戶帳戶，以在會話主機部署期間將會話主機加入 Microsoft Entra Domain Services 或 AD DS 網域。

步驟 2：使用 零信任 保護您的端點

端點是使用者存取 Azure 虛擬桌面環境和工作階段主機虛擬機的裝置。 使用端點整合概觀中的指示，並使用 適用於端點的 Microsoft Defender 和 Microsoft 端點管理員來確保端點符合安全性和合規性需求。

步驟 3：將 零信任 原則套用至 Azure 虛擬桌面記憶體資源

針對 Azure 虛擬桌面部署中使用的記憶體資源，實作將 零信任 原則套用至 Azure 中的 儲存體 步驟。 這些步驟可確保您：

• 保護您的 Azure 虛擬桌面待用數據、傳輸中和使用中。
• 驗證使用者，並控制以最低許可權存取記憶體數據。
• 實作記憶體帳戶的私人端點。
• 以邏輯方式分隔具有網路控制的重要數據。 例如，不同主機集區的個別記憶體帳戶和其他用途，例如使用 MSIX 應用程式附加檔案共用。
• 使用適用於 儲存體的Defender進行自動化威脅防護。

注意

在某些設計中， Azure NetApp 檔案 是透過 SMB 共用為 Azure 虛擬桌面 FSLogix 配置檔選擇的記憶體服務。 Azure NetApp Files 提供內建的安全性功能，包括 委派的 子網和安全性 效能評定。

步驟 4：將 零信任 原則套用至中樞和輪輻 Azure 虛擬桌面 VNet

中樞 VNet 是多個輪輻虛擬網路的連線中心點。 針對用來篩選會話主機輸出流量的中樞 VNet，實作將 零信任 原則套用至 Azure 中樞虛擬網路中的步驟。

輪輻 VNet 會隔離 Azure 虛擬桌面工作負載，並包含會話主機虛擬機。 針對包含會話主機/虛擬機的輪輻 VNet，實作將 零信任 原則套用至 Azure 中的輪輻虛擬網路中的步驟。

使用 NSG 隔離不同 VNet 上的不同主機集區，其中包含每個子網的 Azure 虛擬桌面所需的必要 URL。 部署私人端點時，會根據其角色，將它們放在 VNet 的適當子網中。

Azure 防火牆 或網路虛擬設備 （NVA） 防火牆可用來控制及限制輸出流量 Azure 虛擬桌面會話主機。 使用這裡的指示，Azure 防火牆 來保護會話主機。 使用連結至主機集區子網的用戶定義路由 （UDR） 強制通過防火牆的流量。 檢閱必要 Azure 虛擬桌面 URL 的完整清單，以設定您的防火牆。 Azure 防火牆 提供 Azure 虛擬桌面FQDN 標記可簡化此設定。

步驟 5：將 零信任 原則套用至 Azure 虛擬桌面會話主機

會話主機是在輪輻 VNet 內執行的虛擬機。 針對為會話主機建立的虛擬機，實作將 零信任 原則套用至 Azure 中的虛擬機中的步驟。

如果主機集區是由 Active Directory 網域服務 （AD DS） 上的組策略所管理，則主機集區應該有分隔的組織單位（OU）。

適用於端點的 Microsoft Defender 是企業端點安全性平台，其設計目的是協助企業網路防範、偵測、調查及回應進階威脅。 您可以針對會話主機使用 適用於端點的 Microsoft Defender。 如需詳細資訊，請參閱 虛擬桌面基礎結構 （VDI） 裝置。

步驟 6：將安全性、治理和合規性部署至 Azure 虛擬桌面

Azure 虛擬桌面服務可讓您建立私人端點，使用 Azure Private Link 私下連線到您的資源。

Azure 虛擬桌面具有內建的進階安全性功能，可保護會話主機。 不過，請參閱下列文章，以改善 Azure 虛擬桌面環境和會話主機的安全性防禦：

• Azure 虛擬桌面安全性最佳做法
• Azure 虛擬桌面的 Azure 安全性基準

此外，請參閱根據 Microsoft 雲端採用架構，在 Azure 虛擬桌面登陸區域中的安全性、治理和合規性的重要設計考慮和建議。

步驟 7：將安全管理和監視部署至 Azure 虛擬桌面

管理和持續監視很重要，以確保您的 Azure 虛擬桌面環境不會參與惡意行為。 使用 Azure 虛擬桌面深入解析 來記錄數據和報告診斷和使用方式數據。

請參閱下列其他文章：

• 檢閱 Azure Advisor for Azure 虛擬桌面的建議。
• 使用 Microsoft Intune 進行細微的原則管理或 組策略管理。
• 檢閱並設定 RDP 屬性 ，以取得主機集區層級的細微設定。

建議的訓練

保護 Azure 虛擬桌面部署的安全

訓練	保護 Azure 虛擬桌面部署
	瞭解 Microsoft 安全性功能，以協助在 Microsoft Azure 虛擬桌面部署中保護您的應用程式和數據安全。

開始 >

使用 Azure 保護您的 Azure 虛擬桌面部署

訓練	使用 Azure 保護您的 Azure 虛擬桌面部署
	部署 Azure 防火牆、通過 Azure 防火牆路由傳送所有網路流量，並設定規則。 透過 Azure 防火牆，將輸出網路流量從 Azure 虛擬桌面主機集區路由傳送至服務。

開始 >

管理 Azure 虛擬桌面的存取和安全性

訓練	管理 Azure 虛擬桌面的存取和安全性
	了解如何規劃和實作 Azure 虛擬桌面的 Azure 角色，以及針對遠端連線實作條件式存取原則。 本學習路徑與測驗「AZ-140：設定與操作 Microsoft Azure 虛擬桌面」一致。

開始 >

使用者身分識別和設定檔的設計

訓練	使用者身分識別和配置檔的設計
	您的使用者需要在內部部署環境和雲端存取那些應用程式。 您必須使用適用於 Windows 桌面的遠端桌面用戶端，從不同的 Windows 裝置遠端存取 Windows 應用程式和桌面。

開始 >

如需 Azure 中安全性的更多訓練，請參閱 Microsoft 目錄中的這些資源：
Azure 中的安全性

後續步驟

請參閱下列其他文章，以將 零信任 原則套用至 Azure：

• Azure IaaS 概觀
  • Azure 儲存體
  • 虛擬機器
  • 輪輻虛擬網路
  • 使用 Azure PaaS 服務的輪輻虛擬網路
  • 中樞虛擬網路
• Azure 虛擬 WAN
• Amazon Web Services 中的 IaaS 應用程式
• Microsoft Sentinel 和 Microsoft Defender 全面偵測回應

技術圖例

您可以下載本文中使用的圖例。 使用 Visio 檔案修改這些圖例以供您自己的使用。

PDF | Visio

如需其他技術圖例，請按兩下 這裡。

參考資料

請參閱下列連結，以瞭解本文所述的各種服務和技術。

• 什麼是 Azure - Microsoft 雲端服務
• Azure 基礎結構即服務 （IaaS）
• 適用於 Linux 和 Windows 的 虛擬機器 （VM）
• Azure 儲存體 簡介 - Azure 上的雲端記憶體
• Azure 虛擬網路
• Azure 安全性簡介 \(部分機器翻譯\)
• 零信任 實作指導方針
• Microsoft 雲端安全性基準概觀
• Azure 的安全性基準概觀
• 使用 Azure 安全性服務建置第一層防禦 - Azure 架構中心
• Microsoft 網路安全性參考結構 - 安全性文件