Azure 虛擬桌面的身分識別和存取管理考慮
Azure 虛擬桌面是一項受控服務,可為虛擬桌面基礎結構提供 Microsoft 控制平面。 Azure 虛擬桌面的身分識別和存取管理會使用 Azure 角色型存取控制 (RBAC),並具有本文所述的特定條件。
RBAC 設計
RBAC 支援管理 Azure 虛擬桌面部署的各種小組和個人的職責區隔。 在登陸區域設計中,您必須決定誰擔任各種角色。 接著,您必須為每個角色建立安全組,以簡化新增和移除角色的使用者。
Azure 虛擬桌面提供針對每個功能區域設計的自定義 Azure 角色。 如需如何設定這些角色的資訊,請參閱 Azure 虛擬桌面的內建角色。
您可以建立 Azure 內建角色,並將其定義為 Azure 部署 雲端採用架構 的一部分。 Azure 虛擬桌面特定的 RBAC 角色可能需要與其他 Azure RBAC 角色結合,以提供 Azure 虛擬桌面和其他 Azure 服務所需的完整許可權集,例如虛擬機和網路。
Azure 虛擬桌面設計考慮
- 若要從會話主機存取桌面和應用程式,您的使用者必須能夠進行驗證。 Microsoft Entra ID 是 Microsoft 的集中式雲端身分識別服務,可啟用這項功能。 Microsoft Entra ID 一律用來驗證 Azure 虛擬桌面的使用者。 會話主機可以加入相同的 Microsoft Entra 租使用者,或使用 Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services 的 Active Directory 網域,為您提供彈性組態選項的選擇。
注意
Azure 虛擬桌面不支援 B2B 或 Microsoft 帳戶。
- 用於加入網域的帳戶不能有多重要素驗證或其他互動式提示,而且還有其他需求。 如需詳細資訊,請參閱 虛擬機詳細數據。
- Azure 虛擬桌面需要網域服務的裝載策略。 選擇 AD DS 或 Microsoft Entra Domain Services。
- Microsoft Entra Domain Services 是支持的選項,但有下列限制:
- 您必須 啟用密碼哈希同步處理。
- 您無法針對 Azure 虛擬桌面 VM 使用混合式加入,以啟用 Microsoft 365 服務的 Microsoft Entra 無縫單一登錄。
如需詳細資訊,請參閱 Microsoft Entra Domain Services 的常見問題(FAQ)。
- 加入 Microsoft Entra Domain Services 網域時,帳戶必須是 Microsoft Entra DC 系統管理員群組的一部分,而且帳戶密碼必須在 Microsoft Entra Domain Services 中運作。 如需詳細資訊,請參閱 虛擬機詳細數據。
- 指定組織單位時,請使用不含引號的辨別名稱。
- 指派授權工作所需的最低許可權,以遵循最低許可權原則。
- 用來訂閱 Azure 虛擬桌面的用戶主體名稱必須存在於已加入工作階段主機虛擬機的 Active Directory 網域中。 如需使用者需求的詳細資訊,請參閱 Azure 虛擬桌面需求。
- 使用智慧卡時,需要使用 Active Directory 域控制器進行 Kerberos 驗證的直接連線(視線)。 如需詳細資訊,請參閱 設定 Kerberos 金鑰發佈中心 Proxy。
- 使用 Windows Hello 企業版 需要混合式憑證信任模型與 Azure 虛擬桌面相容。 如需詳細資訊,請參閱 Microsoft Entra 混合式聯結憑證信任部署。
- 使用 Windows Hello 企業版 或智慧卡驗證時,起始客戶端必須能夠與域控制器通訊,因為這些驗證方法會使用 Kerberos 登入。 如需詳細資訊,請參閱 支援的驗證方法。
- 單一登錄可以改善用戶體驗,但它需要額外的設定,而且只支援使用 Active Directory 同盟服務。 如需詳細資訊,請參閱 設定 Azure 虛擬桌面的 AD FS 單一登錄。
支援的身分識別案例
下表摘要說明 Azure 虛擬桌面目前支援的身分識別案例:
| 身分識別案例 | 工作階段主機 | 使用者帳戶 |
|---|---|---|
| Microsoft Entra ID + AD DS | 已加入AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步處理 |
| Microsoft Entra ID + AD DS | 已加入 Microsoft Entra 識別碼 | 在 Microsoft Entra ID 和 AD DS 中,已同步處理 |
| Microsoft Entra ID + Microsoft Entra Domain Services | 已加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步處理 |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | 已加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 AD DS 中,已同步處理 |
| Microsoft Entra ID + Microsoft Entra Domain Services | 已加入 Microsoft Entra 識別碼 | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步處理 |
| 僅限 Microsoft Entra | 已加入 Microsoft Entra 識別碼 | 在 Microsoft Entra ID 中 |
設計建議
- 使用 Microsoft Entra 連線 將所有身分識別同步處理至單一 Microsoft Entra 租使用者。 如需詳細資訊,請參閱什麼是 Microsoft Entra 連線?。
- 確定 Azure 虛擬桌面會話主機可以與 Microsoft Entra Domain Services 或 AD DS 通訊。
- 使用 Kerberos 金鑰發佈中心 Proxy 解決方案來 Proxy 智慧卡驗證流量,並啟用遠端登錄。 如需詳細資訊,請參閱 設定 Kerberos 金鑰發佈中心 Proxy。
- 將會話主機虛擬機隔離至每個主機集區的 Active Directory 組織單位,以便更輕鬆地管理原則和孤立物件。 如需詳細資訊,請參閱 虛擬機詳細數據。
- 使用本機 管理員 istrator 密碼解決方案 (LAPS) 之類的解決方案,經常在 Azure 虛擬桌面會話主機上輪替本機系統管理員密碼。 如需詳細資訊,請參閱 安全性評估:Microsoft LAPS 使用量。
- 針對使用者,將桌面虛擬化用戶內建角色指派給安全組,以授與 Azure 虛擬桌面應用程式群組的存取權。 如需詳細資訊,請參閱 Azure 虛擬桌面中的委派存取。
- 建立 Azure 虛擬桌面的條件式存取原則。 這些原則可以根據風險性登入等條件強制執行多重要素驗證,以增加組織的安全性狀態。 如需詳細資訊,請參閱 啟用 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證。
- 設定AD FS為公司網路上的使用者啟用單一登錄。
下一步
瞭解 Azure 虛擬桌面企業級案例的網路拓撲和連線能力。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應