Services et considérations Azure pour l’hébergement de postes de travail

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Les sections suivantes décrivent les services d’infrastructure Azure.

Portail Azure

Une fois que le fournisseur crée un abonnement Azure, le portail Azure peut servir à créer manuellement l’environnement de chaque client. Ce processus peut également être automatisé avec des scripts PowerShell.

Pour plus d’informations, visitez le site Web de Microsoft Azure.

Équilibreur de charge Azure

Les composants du locataire s’exécutent sur des machines virtuelles communiquant entre elles sur un réseau isolé. Pendant le processus de déploiement, vous pouvez accéder à ces machines virtuelles de façon externe via l’équilibreur de charge Azure à l’aide de points de terminaison du protocole RDP ou d’un point de terminaison PowerShell à distance. Une fois le déploiement terminé, ces points de terminaison seront généralement supprimés pour réduire la surface d’attaque. Les seuls points de terminaison seront les points de terminaison HTTPS et UDP créés pour la machine virtuelle exécutant les composants RD Web et RD Gateway. Cela permet aux clients sur internet de se connecter à des sessions exécutées depuis le service d’hébergement de postes de travail du locataire. Si un utilisateur ouvre une application qui se connecte à internet, comme un navigateur web, les connexions sont transmises via l’équilibreur de charge Azure.

Pour plus d’informations, voir Qu’est-ce que l’équilibreur de charge Azure ?

Éléments à prendre en compte en matière de sécurité

Ce guide d’architecture de référence pour l’hébergement de postes de travail Azure est conçu pour fournir un environnement hautement sécurisé et isolé pour chaque locataire. La sécurité du système dépend également de dispositifs de protection établis par le fournisseur au cours du déploiement et du fonctionnement du service hébergé. La liste suivante décrit certaines considérations que le fournisseur doit avoir à l’esprit pour conserver leur solution d’hébergement de postes de travail basée sur cette architecture de référence sécurisée.

• Tous les mots de passe d’administration doivent être forts, idéalement générés de façon aléatoire, fréquemment modifiés et enregistrés dans un emplacement central sécurisé et accessible uniquement à quelques administrateurs du fournisseur.
• Lors de la réplication de l’environnement du locataire pour de nouveaux locataires, évitez d’utiliser des mots de passe d’administration identiques ou faibles.
• L’URL du site RD Web Access, le nom et les certificats doivent être uniques et reconnaissables pour chaque client afin d’empêcher les attaques d’usurpation d’identité.
• Pendant le fonctionnement normal du service d’hébergement de postes de travail, toutes les adresses IP publiques doivent être supprimées pour toutes les machines virtuelles à l’exception de la machine virtuelle RD Web et RD Gateway qui permet aux utilisateurs de se connecter en toute sécurité à un service cloud d’hébergement de postes de travail du locataire. Des adresses IP publiques peuvent être temporairement ajoutées si nécessaire pour les tâches de gestion, mais elles doivent toujours être supprimées ensuite.

Pour plus d’informations, consultez les articles suivants :

• Sécurité et protection
• Meilleures pratiques de sécurité pour IIS 8

Considérations de conception

Il est important de prendre en compte les contraintes des services d’infrastructure Microsoft Azure lors de la conception d’un service d’hébergement de postes de travail mutualisé. La liste suivante décrit les considérations que le fournisseur doit avoir à l’esprit pour obtenir une solution d’hébergement de postes de travail fonctionnelle et économique, basée sur cette architecture de référence.

• Un abonnement Azure dispose d’un nombre maximal de réseaux virtuels, de cœurs de machines virtuelles et de services cloud utilisables. Si un fournisseur a besoin de davantage de ressources, plusieurs abonnements seront nécessaires.
• Un service cloud Azure dispose d’un nombre maximal de machines virtuelles utilisables. Le fournisseur devra peut-être créer plusieurs services cloud pour les locataires plus volumineux et dépassant la limite.
• Les coûts de déploiement Azure sont partiellement basés sur le nombre de machines virtuelles et sur leur taille. Le fournisseur doit optimiser le nombre et la taille des machines virtuelles pour chaque locataire afin d’offrir un environnement d’hébergement de postes de travail fonctionnel et hautement sécurisé, à moindre coût.
• Les ressources de l’ordinateur physique dans le centre de données Azure sont virtualisées à l’aide de Hyper-V. Les hôtes Hyper-V ne sont pas configurés dans les clusters hôtes, par conséquent, la disponibilité des machines virtuelles dépend de celle des serveurs individuels utilisés dans l’infrastructure Azure. Pour offrir une meilleure disponibilité, plusieurs instances de machine virtuelle de chaque service de rôle peuvent être créées dans un groupe à haute disponibilité, puis le clustering invité peut être implémenté au sein des machines virtuelles.
• Dans une configuration de stockage classique, un fournisseur de services aura un seul compte de stockage avec plusieurs conteneurs (par exemple, un pour chaque locataire) et plusieurs disques dans chaque conteneur. Toutefois, il existe une limite pour le stockage total et les performances atteignables pour un seul compte de stockage. Pour les fournisseurs de services qui prennent en charge de nombreux locataires ou des locataires avec un stockage haute capacité et des exigences de performances, le fournisseur de services pourrait avoir besoin de créer plusieurs comptes de stockage.

Pour plus d’informations, consultez les articles suivants :

• Tailles pour les services cloud
• Détails de tarification des machines virtuelles Microsoft Azure
• Vue d’ensemble d’Hyper-V
• Objectifs de performance et d’extensibilité du stockage Azure

Proxy d’application Microsoft Entra

Le proxy d'application Microsoft Entra est un service fourni dans les UGS payantes de Microsoft Entra ID qui permet aux utilisateurs de se connecter à des applications internes par le biais du service de proxy inverse d'Azure. Ainsi, les points de terminaison RD Web et RD Gateway peuvent être masqués à l’intérieur du réseau virtuel, en éliminant la nécessité d’exposition à internet par une adresse IP publique. Les hébergeurs peuvent utiliser Microsoft Entra application proxy pour condenser le nombre de machines virtuelles dans l'environnement du locataire tout en maintenant un déploiement complet. Le proxy d'application Microsoft Entra permet également de bénéficier de nombreux avantages offerts par Microsoft Entra ID, tels que l'accès conditionnel et l'authentification multifactorielle.

Pour plus d’informations, consultez Prise en main du proxy d’application et installation du connecteur.