本文由Windows虚拟桌面程序经理Pavithra Thiruvengadam共同撰写在家工作策略要求许多IT组织解决容量、网络、安全和治理方面的根本变化。许多员工在家工作时，不受与本地服务相关的分层安全策略的保护。Azure上的虚拟桌面基础架构（VDI）部署可以帮助组织快速响应这种不断变化的环境。但是，您需要一种方法来保护对这些VDI部署的入站或出站internet访问。Windows虚拟桌面是运行在Azure中的综合桌面和应用程序虚拟化服务。它是唯一提供简化管理、多会话Windows 10和Office 365优化的VDI。您可以在几分钟内在Azure上部署和扩展Windows桌面和应用程序，并获得内置的安全性和合规性功能。在这篇文章中，我们将探讨如何使用Azure防火墙来实现安全和经济高效的Windows虚拟桌面保护。Windows虚拟桌面组件Windows虚拟桌面服务以共享责任模式提供：客户管理的RD客户端从internet上的任何位置从其最喜爱的客户端设备连接到Windows桌面和应用程序。Microsoft托管Azure服务处理Azure中RD客户端和Windows虚拟机之间的连接（包括Windows 10多会话）。Azure中的客户管理虚拟网络主机主机池中的Windows 10多会话虚拟机。Windows虚拟桌面不要求您打开对虚拟网络的任何入站访问。但是，为了确保客户管理的虚拟机和服务之间的平台连接，必须为主机池虚拟网络启用一组出站网络连接。虽然可以使用网络安全组配置这些依赖项，但此配置仅限于网络级别的流量筛选。对于应用程序级保护，可以使用Azure防火墙或第三方网络虚拟设备（NVA）。有关部署NVA之前要考虑的最佳实践，请参阅部署网络虚拟设备之前要考虑的最佳实践。对Windows虚拟机的主机池出站访问Azure防火墙是一种云原生防火墙即服务（FWaaS）产品，允许您使用DevOps方法集中管理和记录所有流量流。该服务支持应用程序和网络级别的筛选规则，并与Microsoft威胁情报源集成，用于过滤已知的恶意IP地址和域。Azure防火墙具有内置的自动伸缩功能，高度可用。Azure防火墙提供了一个Windows虚拟机FQDN标记，以简化主机池对Windows虚拟机的出站访问。使用以下步骤允许出站平台流量：部署Azure防火墙并配置Windows虚拟机主机池子网用户定义路由（UDR），以通过Azure防火墙路由所有流量。创建应用程序规则集合并添加规则以启用WindowsVirtualDesktop FQDN标记。源IP地址范围为主机池虚拟网络，协议为https，目标为WindowsVirtualDesktop。   Windows虚拟机主机池所需的存储和服务总线帐户集是特定于部署的，尚未在WindowsVirtualDesktop FQDN标记中捕获。此外，需要网络规则集合才能允许从Active Directory域服务（ADDS）部署进行DNS访问，以及从虚拟机到Windows激活服务的KMS访问。若要配置这些附加依赖项的访问权限，请参阅使用Azure防火墙保护Windows虚拟桌面部署。主机池出站访问internet根据组织的需要，您可能需要为最终用户启用安全的出站internet访问。由于Windows虚拟桌面会话在客户管理的虚拟机上运行，因此它们也受虚拟网络安全控制的约束。如果允许的目标列表定义良好（例如，Office 365访问），则可以使用Azure防火墙应用程序和网络规则来配置所需的访问。这将最终用户流量直接路由到internet以获得最佳性能。如果要使用现有的本地安全web网关筛选出站用户internet流量，则可以使用显式代理配置配置web浏览器或在Windows虚拟桌面主机池上运行的其他应用程序。例如，请参见如何使用Microsoft Edge命令行选项配置代理设置。这些代理设置只影响最终用户的internet访问，允许直接通过Azure防火墙进行出站流量。下一步行动欲了解更多关于我们上面所涵盖的一切的信息，请参阅以下博客、文档和视频。什么是Windows虚拟桌面？Azure防火墙文档。使用Azure防火墙保护Windows虚拟桌面部署。Azure防火墙2020年2月博客：新的Azure防火墙认证和功能将在2020年第1季度发布。