新年伊始，「全国肺炎疫情」牵动着所有人的心。国家延长了春节假期，各地也纷纷实施隔离举措。然而，安全隔离之后，长假即将结束之际，怎样快速恢复生产力，打好这场持久的“战疫”，更是国家乃至每个企业迫在眉睫需要解决的问题！

“远程办公，安全复工”，在这个时间点，在企业信息主管亟待解决的工作任务中，被排在了高优先级。

但是远程办公也带来了多个方面的挑战，如何为业务部门员工配置一个与日常办公环境一致的桌面，如何保证接入公司内网的桌面环境是安全的，如何保证不会把敏感信息扩散出来，等等…

作为国际领先的公有云供应商，同时在虚拟桌面解决方案领域有着多年经验的 IT 公司，微软会分享如何快速搭建虚拟桌面的“制胜宝典”：

· 灵活搭建虚拟桌面

· 网络安全接入

· 虚拟环境的安全洞察

既然我们这里更多的是讨论企业级远程办公环境方案，我们接下来重点讲一讲如何借助于成熟的公有云 Azure 平台来快速实现就绪整个环境，也就是俗话说的，工欲善其事，必先利其器，选择成熟的平台，会让事情事半功倍。

在这个架构中，从最终使用的业务终端用户来说，

· 可以从 Internet 上的任何位置从其喜欢的客户端设备连接到Windows桌面和应用程序

从企业的 IT 管理部门来说，

· 从 Azure 中的单会话或多会话 Windows 10 或 Windows Server 2016 向最终用户发布远程桌面和应用；

· 管理 RD 客户端和 Windows 虚拟机之间的连接并进行故障排查；

· 通过 Azure Security Center 和 Azure Monitor 了解和评估云上虚拟桌面环境的安全和合规状态。

在这个方案中，有如下几个重要因素：

(1) 虚拟桌面的构建

a. 虚拟桌面方案

依托于 Azure 平台，快速构建出虚拟桌面池，来保证充足的资源。

在这个架构下，企业用户有三种选择，来进行虚拟桌面的供给。

可用方案1：

通过 Azure 镜像市场中预置的 Windows 10 模板可以快速的批量部署 Windows 10 个人虚拟桌面，并直接使用模板中已经安装好的 Office 365 组件快速进行协作办公。通过 Azure 提供的 ARM 模板，可以在虚拟桌面创建过程中集成业务需要的各类应用软件。

可用方案2：

将传统的成熟的微软远程桌面方案部署到 Azure 上，可以充分利用Azure 提供的弹性伸缩和安全能力，同时保留一致的使用习惯。

借助于 Azure 提供的 ARM 模板，可以在 Azure 上快速的部署微软远程桌面方案的全套组件，尽快投入生产环境。

可用方案3：

Azure 云提供的原生远程桌面服务，无需部署远程桌面组件，获取开箱即用的远程桌面和虚拟化应用。

· 在 Azure 订阅中创建完整的桌面虚拟化环境，而无需运行任何其他网关服务器；

· 根据需要发布尽可能多的主机池，以适应各种工作负载；

· 带上自己的映像以进行生产工作负载或通过 Azure 库进行测试；

· 利用汇总的多会话资源降低成本。 借助 Windows Server上的Windows 虚拟桌面和远程桌面会话主机（RDSH）角色独有的新 Windows 10 企业多会话功能，您可以大大减少虚拟机数量和操作系统（OS）开销，同时仍提供相同的资源 给您的用户；

· 通过个人（永久）台式机提供个人所有权。

b. Profile 文件的存放与加密。

利用 Azure File 作为虚拟桌面用户的配置和数据存储。Azure 文件在云端提供完全托管的文件共享，通过用户已经非常熟悉的 Windows 文件共享方式挂载到用户的虚拟桌面中进行访问。利用 Azure File 作为用户配置和数据文件的存放能够获得如下优势：

· 完全托管：不需管理硬件或 OS 即可创建 Azure 文件共享。这意味着，不需使用关键的安全升级程序来修补服务器 OS，也不需更换故障硬盘；

· 确保始终可用：将本地文件共享取代为 Azure 文件之后，再也不需要半夜起来处理当地断电或网络问题；

· 提供更高的网络安全性：可将Azure File的访问权限限制给源自指定的 IP 地址、IP 范围，或 Azure 虚拟网络 (VNet) 中某个子网列表的请求；

· 数据安全：可以通过为存储帐户设置“需要安全传输”属性，将存储帐户配置为仅接受来自安全连接的请求。要求安全传输时，来自不安全连接的任何请求都会被拒绝；

· 数据加密：Azure 存储在将数据保存到云时会自动加密数据。Azure 存储加密可以保护数据，并帮助组织履行在安全性与合规性方面做出的承诺。

c. 镜像的选择

虚拟桌面环境的选择，选择已经配置了 O365 的 Windows 10 镜像

· 最新的 Windows 10 镜像，保证虚拟化桌面的标准和安全；

· 集成 Office 365 客户端软件，可以与Office 365云服务无缝集成，快速使用 Word、Excel、PowerPoint等办公必需软件以及 Teams 等在线协作软件。

(2) 网络的安全接入

移动用户可通过多种不同的方案接入到部署在 Azure 中的虚拟桌面环境中：

· 点到站点虚拟专用网络 (VPN)：移动用户通过拨号的方式连接到 Azure 虚拟桌面所在的虚拟网络中。这种连接类型适用于移动办公用户，特别是针对本次疫情期间在办公的用户，因为该连接类型仅需对现有网络作出极少更改或不做任何更改，无需依赖任何设备和网络设施。 计算机与虚拟网络之间的通信经 Internet 通过加密的通道来发送；

· 站点到站点 VPN：在本地 VPN 设备和虚拟网络中部署的 Azure VPN 网关之间建立连接。此连接类型可使授权的任何本地资源访问虚拟网络。本地 VPN 设备和 Azure VPN 网关之间的通信经 Internet 通过加密的通道来发送。 

(3) 虚拟环境的安全洞察

运行在 Azure 中的虚拟桌面面临着来自互联网的多种安全风险，通过 Azure 提供的安全中心功能，可以自动化评估安全风险，并智能分析安全事件，提供用户对运行环境的安全洞察。

Azure 安全中心将分析以下源中的数据，提供安全状态视图、识别漏洞、建议缓解措施，并检测现行的威胁：

· Azure 服务：通过与 Azure 服务的资源提供程序通信，使用已部署的 Azure 服务的配置信息；

· 网络流量：使用从 Microsoft 基础结构中采样的网络流量元数据，例如源/目标 IP/端口、数据包大小以及网络协议；

· 合作伙伴解决方案：使用来自集成合作伙伴解决方案（例如防火墙和反恶意软件解决方案）的安全警报。

此外，通过 Azure Monitor，可以实时的了解虚拟桌面运行的性能指标，以快速的响应业务的性能需求。Azure Monitor 提供用于收集、分析和处理来自云与本地环境的遥测数据的综合解决方案，可将应用程序的可用性和性能最大化。 

除了能提供虚拟桌面的性能监控之外，在 Azure Monitor 中为特定的应用程序和服务提供了自定义的监视体验。他们将数据存储在 Azure Monitor 数据平台中，并利用其他 Azure Monitor 功能进行分析和发警报。

对于大多数企业，相比都已经很了解公有云服务带来的收益与价值。基于 Azure 平台的 VDI 方案，具备了同样的属性：

· 提高了业务灵活性

· 随时随地的安全接入

· 无需固定资产的投入

· 企业级公有云平台的安全能力护航