居家办公政策要求许多IT组织解决容量、网络、安全和治理的根本变化。许多员工在家工作时不受与本地服务相关的分层安全政策的保护。Azure上的虚拟桌面基础设施 （VDI） 部署可以帮助组织快速响应这种不断变化的环境。但是，您需要一种方法来保护进出这些 VDI 部署的互联网访问。

Azure 虚拟桌面（Azure Virtual Desktop，旧称Windows Virtual Desktop）是一种在 Azure 中运行的综合桌面和应用程序虚拟化服务。它是唯一提供简化管理、多会话 Windows 10 的 VDI，并且针对 Office 365进行优化。您可以在几分钟内在 Azure 上部署和缩放 Windows 桌面和应用，并获得内置的安全性和合规性功能。在这篇文章中，我们探讨如何使用Azure 防火墙进行安全且经济高效的 Azure 虚拟桌面保护。

1Azure 虚拟桌面组件

Azure 虚拟桌面服务以共享责任模式提供：

1. 客户管理的RD客户端从互联网上的任何地方，使用他们喜欢的客户端设备连接到Windows 桌面和应用程序。

2. 微软管理的AVD可处理 Azure 中的 RD 客户端和Windows 虚拟机器之间的连接（包括 Windows 10 多会话）。

3. Windows 10 多会话虚拟计算机托管在客户管理的Azure虚拟网络主机池中。

Azure虚拟桌面不需要您打开任何入站访问您的虚拟网络。但是，为了确保客户管理的虚拟计算机与服务之间的平台连接，必须启用一组主机池虚拟网络的出站网络连接。虽然这些依赖性可以使用网络安全组进行配置，但此配置仅限于网络级流量过滤。对于应用程序级别的保护，您可以使用Azure 防火墙或第三方网络虚拟设备（Network Virtual Appliance，NVA）。有关部署 NVA 之前要考虑的最佳实践，请参阅部署网络虚拟设备之前要考虑的最佳实践。

2主机池出站访问 Azure 虚拟桌面

Azure 防火墙是一种以云为本的防火墙，作为一种服务（FWaaS），它允许您使用 DevOps 方法集中管理和记录所有流量。该服务支持应用程序和网络级过滤规则，并与 Microsoft 威胁智能（Microsoft ThreatIntelligence）源集成，用于过滤已知的恶意 IP 地址和域名。Azure 防火墙具有内置自动缩放的特性。

Azure 防火墙提供 Azure虚拟桌面 FQDN 标签，以简化主机池对 Azure虚拟桌面的出站访问。使用以下步骤允许出站平台流量：

• 部署 Azure 防火墙并配置您的 Azure 虚拟桌面主机池子网用户定义路由 （UDR） 以通过 Azure 防火墙路由所有流量。

• 部署 Azure 防火墙并配置您的 Azure 虚拟桌面主机池子网用户定义路由（UDR）以通过 Azure 防火墙路由所有流量。
  

• 创建应用程序规则集合并添加规则以启用WindowsVirtualDesltop(标签名称仍沿用旧的

  WindowsVirtualDesktop)FQDN标签。源 IP 地址范围是主机池虚拟网络，协议是https，目的地是WindowsVirtualDesltop

• Azure  虚拟桌面主机池所需的存储和服务总线帐户集都是特定的部署，尚不能捕获在 Azure 虚拟桌面FQDN 标签中。此外，还需要网络规则集合，以便允许从您的活动目录域服务（ADDS）部署和 KMS，从虚拟计算机访问 Windows 激活服务的 DNS 访问。要配置这些附加依赖项的访问权限，请参阅使用 Azure 防火墙来保护Azure 虚拟桌面部署

3主机池出站访问互联网

根据您的组织需求，您可能需要为最终用户启用安全的出站互联网访问。由于 Azure虚拟桌面会话在客户管理的虚拟计算机上运行，因此它们还受制于您的虚拟网络安全控制。如果允许的目的地列表定义明确（例如Office 365 访问），您可以使用 Azure 防火墙应用程序和网络规则来配置所需的访问。这样最终用户流量会直接路由到互联网，以获得最佳性能。

如果您想使用现有的本地安全 Web 网关过滤出站用户互联网流量，您可以将 Azure虚拟桌面主机池上运行的 Web 浏览器或其他应用程序配置为使用特定的代理。例如，请参阅如何使用 Microsoft Edge 命令行选项来配置代理设置。这些代理设置仅影响您的最终用户互联网访问，允许直接通过 Azure 防火墙进行出站流量。

4附Azure 虚拟桌面定价

Azure 虚拟桌面定价包括两个部分：

1. 用户访问权限：

   许可证权利：如果拥有符合条件的 Windows、Microsoft 365 或 Microsoft 远程桌面服务 (RDS) 客户端访问许可证 (CAL)，则无需支付额外费用。

2. Azure 基础结构成本

   除用户访问权限以外，你还需使用 Azure 帐户来部署和管理虚拟化环境。这些是托管 Azure 虚拟桌面部署通常所需的 Azure 组件。

• 虚拟机

• 存储

操作系统 (OS) 存储

数据磁盘（仅限个人桌面）

用户配置文件存储

• 联网

Azure 虚拟桌面虚拟机 (VM)（包括 Azure 上的 Citrix 云和 VMWare Horizon 云）按 Linux 计算费率收费，适用于 Windows 10 单会话、Windows 10 多会话和 Windows Server。

5更多信息

有我们上面内容的更多信息，请参阅以下博客、文档和视频关。

• 什么是Azure 虚拟桌面

• 使用 Azure 防火墙保护Azure 虚拟桌面部署。