Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure虚拟桌面是在 Azure 上运行的云虚拟桌面基础结构 (VDI) 服务。 当最终用户连接到Azure虚拟桌面时,其会话来自主机池中的会话主机。 主机池是一组 Azure 虚拟机,这些虚拟机注册为 Azure 虚拟桌面的会话主机。 这些虚拟机在您的虚拟网络中运行,并受虚拟网络安全控制的约束。 他们需要出站互联网访问以使用 Azure 虚拟桌面服务正常运行,并且可能还需要为终端用户提供出站互联网访问。 Azure Firewall可帮助锁定环境并筛选出站流量。
按照本文中的准则,使用 Azure Firewall 为 Azure 虚拟桌面主机池提供额外的保护。
先决条件
- 部署Azure虚拟桌面环境和主机池。 有关详细信息,请参阅 Deploy Azure 虚拟桌面。
- Azure Firewall 部署时至少包含一个防火墙管理器策略。
- 防火墙策略中启用了 DNS 和 DNS 代理,以便在 网络规则中使用 FQDN。
若要详细了解Azure虚拟桌面术语,请参阅 Azure 虚拟桌面术语。
警告
如果所有流量都使用默认路由路由到 Azure Firewall,那么在 Azure Firewall 横向缩减期间,Azure 虚拟桌面可能会断开连接。 建议直接访问网关和代理,以避免Azure虚拟桌面发生断开连接。 若要解决此问题,请将路由添加到应用于 Azure 虚拟桌面子网的路由表中,将 destination type 设置为 Service tag,将 destination service 设置为 WindowsVirtualDesktop,并将 next hop 设置为 Internet。
Azure虚拟桌面的主机池出站访问
为 Azure 虚拟桌面创建的 Azure 虚拟机必须访问多个完全限定域名(FQDN)才能正常运行。 Azure Firewall使用 Azure 虚拟桌面 FQDN 标记 WindowsVirtualDesktop来简化此配置。 需要创建Azure Firewall策略,并为网络规则和应用程序规则创建规则集合。 为规则集合设置优先级,并指定允许或拒绝操作。
需要为每个所需的 FQDN 和终结点创建规则。 可在 Azure 虚拟桌面所需的 FQDN 和终结点 的列表中找到。 若要将特定主机池标识为 源,可以创建一个 IP 组 ,其中包含每个会话主机来表示它。
重要
建议不要对 Azure 虚拟桌面使用 TLS 检查。 有关详细信息,请参阅 代理服务器指南。
Azure Firewall策略示例
可以使用在 https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD 上发布的模板,在单个Azure Firewall策略中轻松部署前面提到的所有必需和可选规则。 在部署到生产环境之前,建议查看定义的所有网络和应用程序规则,确保与Azure虚拟桌面官方文档和安全要求保持一致。
主机池出站访问到互联网
根据您组织的需求,您可能希望为用户启用安全的出站互联网访问。 如果允许的目标列表定义良好(例如,对于 Microsoft 365 访问),则可以使用 Azure 防火墙的应用程序和网络规则来配置所需的访问。 这会将最终用户流量直接路由到 Internet,以获得最佳性能。 如果需要为 Windows 365 或 Intune 开启网络连接,请参阅Windows 365 的网络要求和Intune 的网络终结点。
如果要使用现有的本地安全 Web 网关筛选出站用户 Internet 流量,可以使用显式代理配置来配置在Azure虚拟桌面主机池上运行的 Web 浏览器或其他应用程序。 这些代理设置仅影响最终用户的互联网访问,并允许 Azure 虚拟桌面平台的出站流量直接通过 Azure 防火墙。
控制用户访问 Web
管理员可以允许或禁止用户对不同的网站种类进行访问。 将规则添加到应用程序集合中,可以从特定 IP 地址到要允许或拒绝的 Web 类别。 查看所有 Web 类别。
后续步骤
- 详细了解 Azure 虚拟桌面:什么是 Azure 虚拟桌面?