使用Azure Firewall保护Azure Virtual Desktop部署

Azure Virtual Desktop是在Azure上运行的云虚拟桌面基础结构（VDI）服务。 当最终用户连接到Azure Virtual Desktop时，其会话来自主机池中的会话主机。 主机池是Azure虚拟机的集合，这些虚拟机注册为会话主机Azure Virtual Desktop。 这些虚拟机在您的虚拟网络中运行，并受虚拟网络安全控制的约束。 他们需要对 Azure Virtual Desktop 服务的出站 Internet 访问才能正常运行，并且可能还需要最终用户的出站 Internet 访问。 Azure Firewall可帮助锁定环境并筛选出站流量。

显示 Azure 防火墙与 Azure 虚拟桌面的体系结构的图表。

按照本文中的准则，使用 Azure Firewall 为Azure Virtual Desktop主机池提供额外的保护。

先决条件

• 已部署Azure Virtual Desktop环境和主机池。 有关详细信息，请参阅 Deploy Azure Virtual Desktop。
• 部署了至少一个防火墙管理器策略的Azure Firewall。
• 防火墙策略中启用了 DNS 和 DNS 代理，以便在 网络规则中使用 FQDN。

若要了解有关Azure Virtual Desktop术语的详细信息，请参阅 Azure Virtual Desktop 术语。

主机池出站访问Azure Virtual Desktop

为Azure Virtual Desktop创建的Azure虚拟机必须有权访问多个完全限定的域名（FQDN）才能正常运行。 Azure Firewall使用 Azure Virtual Desktop FQDN 标记 WindowsVirtualDesktop来简化此配置。 需要创建Azure Firewall策略，并为网络规则和应用程序规则创建规则集合。 为规则集合指定优先级和 允许 或 拒绝 操作。

需要为每个所需的 FQDN 和终结点创建规则。 可在 Azure Virtual Desktop 所需的 FQDN 和终结点列表中找到。 若要将特定主机池标识为 源，可以创建一个 IP 组 ，其中包含每个会话主机来表示它。

Azure Firewall策略示例

可以使用在 AzureFirewallPolicyForAVD 发布的模板，部署前面在单个Azure Firewall策略中提到的所有必需和可选规则。 在部署到生产环境之前，请查看定义的所有网络和应用程序规则，以确保与Azure Virtual Desktop官方文档和安全要求保持一致。

主机池对 Internet 的出站访问

根据您组织的需求，您可能希望为用户启用安全的出站互联网访问。 如果允许的目标列表定义良好（例如，对于 Microsoft 365 access），则可以使用Azure Firewall应用程序和网络规则来配置所需的访问。 这会将最终用户流量直接路由到 Internet，以获得最佳性能。 如果需要为 Windows 365 或 Intune 允许网络连接，请参阅 Windows 365 的网络要求 和 Intune 的网络终结点。

如果要使用现有的本地安全 Web 网关筛选出站用户 Internet 流量，可以使用显式代理配置来配置Azure Virtual Desktop主机池上运行的 Web 浏览器或其他应用程序。 这些代理设置仅影响终端用户的 Internet 访问，允许 Azure Virtual Desktop 平台的出站流量直接通过 Azure Firewall。

控制用户访问 Web

管理员可以允许或禁止用户对不同的网站种类进行访问。 将规则添加到应用程序集合中，可以从特定 IP 地址到要允许或拒绝的 Web 类别。 查看所有 Web 类别。

后续步骤

• 详细了解 Azure Virtual Desktop：什么是 Azure Virtual Desktop？