针对内部或外部商业目的部署 Azure 虚拟桌面的建议

可以根据要求部署 Azure 虚拟桌面,具体取决于许多因素,例如最终用户需求、组织用于部署服务的现有基础结构等。 如何确保满足组织的需求?

本文提供有关 Azure 虚拟桌面部署结构的指导。 本文中列出的示例并非部署 Azure 虚拟桌面的唯一可能方法。 但是,我们介绍了针对内部或外部商业目的的两种最基本的部署类型。

针对内部目的部署 Azure 虚拟桌面

如果要为组织内部的用户进行 Azure 虚拟桌面部署,可以在同一 Azure 租户中托管所有用户和资源。 还可使用 Azure 虚拟桌面当前支持的标识管理方法来保护用户的安全。

这些组件是 Azure 虚拟桌面部署的最基本要求,可为组织内的用户提供桌面和应用程序:

  • 一个用于托管用户会话的主机池
  • 一个用于托管主机池的 Azure 订阅
  • 一个 Azure 租户,其为订阅和标识管理的拥有租户

但是,还可以部署具有多个主机池的 Azure 虚拟桌面,这些主机池为不同的用户组提供不同的应用程序。

某些客户选择创建单独的 Azure 订阅来存储每个 Azure 虚拟桌面部署。 通过这种做法,可以根据使用资源的子组织来区分每个部署的成本。 其他客户选择使用 Azure 计费范围来更精细地区分成本。 若要了解详细信息,请参阅了解并使用范围

对于内部和外部商业目的,Azure 虚拟桌面的许可方式有所不同。 如果要为内部商业目的提供 Azure 虚拟桌面访问权限,则必须为访问 Azure 虚拟桌面的每个用户购买符合条件的许可证。 不能将每用户访问定价用于内部商业目的。 若要详细了解不同的许可选项,请参阅许可 Azure 虚拟桌面

针对外部目的部署 Azure 虚拟桌面

如果 Azure 虚拟桌面部署将为组织外部的最终用户提供服务,尤其是通常不使用 Windows 或无法访问组织内部资源的用户,则需要考虑其他安全建议。

Azure 虚拟桌面目前不支持外部标识,包括企业对企业 (B2B) 或企业对客户 (B2C) 用户。 你需要手动创建和管理这些标识,并自己为用户提供凭据。 然后,用户将使用这些标识访问 Azure 虚拟桌面中的资源。

要向客户提供安全的解决方案,Microsoft 强烈建议使用每个客户专用的 Active Directory 为其创建 Microsoft Entra 租户和订阅。 这种分隔意味着,必须为每个组织创建一个单独的 Azure 虚拟桌面部署,该部署与其他部署及其资源隔离。 每个组织使用的虚拟机无法访问其他公司的资源,这样才能确保信息的安全。 可以通过结合使用 Active Directory 域服务 (AD DS) 和 Microsoft Entra Connect,或者通过使用 Microsoft Entra 域服务来设置这些单独的部署。

如果要为外部商业目的提供 Azure 虚拟桌面访问权限,则通过每用户访问定价可以代表外部用户为 Azure 虚拟桌面访问权限付费。 必须注册按用户访问定价,为外部用户构建合规的部署。 通过 Azure 订阅为每用户访问定价付费。 若要详细了解不同的许可选项,请参阅许可 Azure 虚拟桌面

后续步骤