Permiso del acceso de red saliente para Azure Virtual Desktop
Cuando planee una implementación de Azure Firewall para proteger una carga de trabajo como Azure Virtual Desktop, debe saber qué reglas implementar para permitir el tráfico de red adecuado.
En el ejemplo de la firma de contabilidad, recuerde que no puede tener ningún tráfico de red no autorizado en el entorno de Azure Virtual Desktop. Quiere limitar el tráfico de red saliente para Azure Virtual Desktop mediante Azure Firewall.
Para que Azure Virtual Desktop funcione, el grupo de hosts necesita acceso saliente a Internet al servicio Azure Virtual Desktop. Es posible que el grupo de hosts también necesite acceso saliente en Internet para los usuarios.
Crear reglas de firewall
Para permitir el tráfico de red adecuado para Azure Virtual Desktop, deberá crear reglas de firewall de red y de aplicación. Debe permitir que el grupo de hosts acceda a la red saliente para Azure Virtual Desktop y los servicios de soporte. En función de las necesidades de su organización, es posible que desee habilitar el acceso seguro a Internet saliente para los usuarios finales.
Configuración de reglas de aplicación
Para permitir el acceso de red saliente del grupo de hosts a Azure Virtual Desktop, cree una colección de reglas de aplicación con las dos reglas siguientes:
| Regla | Descripción |
|---|---|
| Permiso de Azure Virtual Desktop | Use la etiqueta FQDN WindowsVirtualDesktop para permitir el tráfico desde la red virtual del grupo de hosts. |
| Permiso de las cuentas de almacenamiento y de Service Bus | Use FQDN de destino para permitir el acceso desde la red virtual del grupo de hosts hasta el conjunto de cuentas de almacenamiento y Service Bus que usa el grupo de hosts. Use FQDN con caracteres comodín para habilitar el acceso necesario o, para restringir aún más las opciones, agregue los FQDN exactos. |
En la tabla siguiente se muestran las opciones de destino que puede usar para crear una regla que permita cuentas de almacenamiento y service Bus:
| Opciones | FQDN que se usarán |
|---|---|
| FQDN con caracteres comodín |
*xt.blob.core.windows.net, *eh.servicebus.windows.net |
| FQDN exactos | Use la siguiente consulta de Log Analytics en los registros de Azure Monitor para enumerar los FQDN exactos necesarios que usa el grupo de hosts. |
AzureDiagnostics
| where Category == "AzureFirewallApplicationRule"
| search "Deny"
| search "gsm*eh.servicebus.windows.net" or "gsm*xt.blob.core.windows.net"
| parse msg_s with Protocol " request from " SourceIP ":" SourcePort:int " to " FQDN ":" *
| project TimeGenerated,Protocol,FQDN
Al agregar ambas reglas, la colección de reglas tendrá un aspecto similar a la captura de pantalla siguiente:
Seguirás los pasos específicos para crear la colección de reglas de la aplicación en el siguiente ejercicio.
Configurar reglas de red
Para permitir que Azure Virtual Desktop funcione, debe agregar reglas de Azure Firewall para DNS y el servicio de activación de Windows.
Cree una colección de reglas de red y agregue las reglas siguientes:
| Regla | Descripción |
|---|---|
| Permiso de DNS | Permita el tráfico desde la dirección IP privada del servidor de dominio de Active Directory a * para los puertos TCP y UDP 53. Es posible que algunas implementaciones no necesiten reglas DNS. Por ejemplo, Microsoft Entra Domain Services reenvía consultas DNS a Azure DNS en 168.63.129.16. |
| Permiso de KMS | Permita el tráfico desde las máquinas virtuales de Azure Virtual Desktop al puerto TCP del servicio de activación de Windows 1688. |
Al agregar ambas reglas de red, la colección de reglas tendrá un aspecto similar a la captura de pantalla siguiente:
Le guiará por los pasos específicos para crear una colección de reglas de red en el ejercicio siguiente.
Permiso del acceso saliente seguro a Internet para los usuarios
Es posible que tenga que crear más reglas de red y aplicación de Azure Firewall cuando quiera permitir el acceso saliente a Internet de los usuarios.
Si tiene una lista bien definida de destinos permitidos(como Microsoft 365), use las reglas de red y la aplicación de Azure Firewall para enrutar el tráfico del usuario final directamente a los destinos. Para obtener información sobre la dirección IP de Office 365 y el servicio web url, vea los recursos enumerados en la sección Resumen de este módulo.
Es posible que quiera filtrar el tráfico saliente de Internet del usuario mediante una puerta de enlace web segura existente y local. Para ello, puede configurar exploradores web u otras aplicaciones que se ejecutan en el grupo de hosts de Azure Virtual Desktop con una configuración de proxy explícita. Por ejemplo, puede usar las opciones de línea de comandos de Microsoft Edge para configurar las opciones de proxy. Esta configuración de proxy solo influye en el acceso a Internet para los usuarios y permite el tráfico saliente del servicio Azure Virtual Desktop directamente a través de Azure Firewall. Para obtener más información, consulte los recursos enumerados en la sección Resumen de este módulo.