Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Desktop virtuale Azure è un servizio VDI (Cloud Virtual Desktop Infrastructure) eseguito in Azure. Quando un utente finale si connette al Desktop virtuale Azure, la sua sessione proviene da un host di sessione in un pool di host. Un pool di host è una raccolta di macchine virtuali di Azure che si registrano in Desktop virtuale Azure come host di sessione. Queste macchine virtuali vengono eseguite nella rete virtuale e sono soggette ai controlli di sicurezza della rete virtuale. Hanno bisogno dell'accesso Internet in uscita al servizio Desktop virtuale Azure per funzionare correttamente e potrebbero anche richiedere l'accesso a Internet in uscita per gli utenti finali. Firewall di Azure consente di bloccare l'ambiente e di filtrare il traffico in uscita.
Seguire le linee guida in questo articolo per fornire una protezione aggiuntiva per il pool di host di Desktop virtuale Azure usando Firewall di Azure.
Prerequisiti
- Un ambiente distribuito di Azure Virtual Desktop e un pool di host. Per ulteriori informazioni, vedere Distribuire Azure Virtual Desktop.
- Un Azure Firewall distribuito con almeno una Firewall Manager Policy.
- DNS e Proxy DNS abilitati nel criterio firewall per utilizzare il nome di dominio completo nelle regole di rete.
Per altre informazioni sulla terminologia di Desktop virtuale Azure, vedere Terminologia di Desktop virtuale Azure.
Avvertimento
Le disconnessioni di Azure Virtual Desktop possono verificarsi durante le riduzioni di dimensione di Azure Firewall se si instrada tutto il traffico al Firewall di Azure usando una route predefinita. Per evitare queste disconnessioni, assicurarsi di avere accesso diretto al gateway e al broker per Desktop virtuale Azure. Usare una delle opzioni seguenti in base alla distribuzione:
- Hub-and-spoke: aggiungi una route alla tabella di route applicata alla subnet di Desktop virtuale di Azure con il tipo di destinazione impostato su tag del servizio, il servizio di destinazione impostato su WindowsVirtualDesktop e l'hop successivo impostato su Internet.
- Rete WAN virtuale di Azure: aggiungere una route alla tabella di route applicata alla subnet (rete virtuale spoke) che ospita i carichi di lavoro di Desktop virtuale Azure con il tipo di destinazione impostato su Tag del servizio, il servizio di destinazione impostato su WindowsVirtualDesktop e l'hop successivo impostato su Internet.
Accesso in uscita del pool di host per Azure Virtual Desktop
Le macchine virtuali di Azure create per Desktop virtuale Azure devono avere accesso a diversi nomi di dominio completi (FQDN) per funzionare correttamente. Firewall di Azure usa il tag WindowsVirtualDesktop FQDN di Desktop virtuale Azure per semplificare questa configurazione. È necessario creare criteri di Firewall di Azure e creare raccolte regole per le regole di rete e le regole dell'applicazione. Assegnare alla raccolta regole una priorità e un'azione di autorizzazione o negazione .
È necessario creare regole per ogni FQDN e endpoint necessari. L'elenco è disponibile in FQDN e endpoint necessari per Desktop Virtuale di Azure. Per identificare un pool di host specifico come Origine, è possibile creare un gruppo IP con ogni host di sessione per rappresentarlo.
Importante
Non usare l'ispezione TLS con Desktop virtuale Azure. Per altre informazioni, vedere le linee guida per il server proxy.
Esempio di criteri del firewall di Azure
È possibile distribuire tutte le regole obbligatorie e facoltative indicate in precedenza in un singolo criterio firewall di Azure usando il modello pubblicato in AzureFirewallPolicyForAVD. Prima di eseguire la distribuzione nell'ambiente di produzione, esaminare tutte le regole di rete e applicazione definite per garantire l'allineamento con la documentazione ufficiale e i requisiti di sicurezza di Desktop virtuale Azure.
Accesso in uscita del pool di host a Internet
A seconda delle esigenze dell'organizzazione, potrebbe essere necessario abilitare l'accesso Internet in uscita sicuro per gli utenti finali. Se l'elenco delle destinazioni consentite è ben definito (ad esempio, per l'accesso a Microsoft 365), usare l'applicazione Firewall di Azure e le regole di rete per configurare l'accesso necessario. Questa configurazione indirizza il traffico dell'utente finale direttamente a Internet per ottenere prestazioni ottimali. Se è necessario consentire la connettività di rete per Windows 365 o Intune, vedere Requisiti di rete per windows 365 ed endpoint di rete per Intune.
Se si vuole filtrare il traffico Internet degli utenti in uscita usando un gateway Web protetto locale esistente, è possibile configurare Web browser o altre applicazioni in esecuzione nel pool di host di Desktop virtuale Azure con una configurazione proxy esplicita. Ad esempio, vedere Come usare le opzioni della riga di comando di Microsoft Edge per configurare le impostazioni proxy. Queste impostazioni proxy influiscono solo sull'accesso a Internet dell'utente finale, consentendo il traffico in uscita della piattaforma Desktop virtuale Azure direttamente tramite Firewall di Azure.
Controllare l'accesso utente al Web
Gli amministratori possono consentire o negare l'accesso degli utenti a diverse categorie di siti Web. Aggiungi una regola alla tua raccolta di applicazioni dal tuo indirizzo IP specifico alle categorie Web che desideri consentire o negare. Esaminare tutte le categorie web.
Passaggio successivo
- Per altre informazioni su Desktop virtuale Azure, vedere Che cos'è Desktop virtuale Azure?