وكيل Microsoft Cloud: استخدم Azure Virtual Desktop (AVD) لبناء بيئة عمل عن بعد فعالة وآمنة للمؤسسات بسرعة
في حوكمة تكنولوجيا المعلومات للشركات اليوم ومشاهد المكاتب الحديثة ، هناك "طريق مسدود أمني" يسمح لعدد لا يحصى من مديري المعلومات ومديري الشبكات وقادة الأمن بالاستيلاء على رؤوسهم:
العمل عن بعد مع الموظفين جلب الجهاز الخاص بك (BYOD).
عندما تواجه العديد من الشركات العمل عن بُعد أو التنسيق متعدد الجنسيات أو فرق الاستعانة بمصادر خارجية ، من أجل توفير المتاعب ، فإنها غالبًا ما ترسل مباشرة حساب VPN للموظفين ، مما يسمح لهم باستخدام أجهزة الكمبيوتر الخاصة بهم للاتصال بالشبكة الداخلية الأساسية للشركة. هذا النهج هو بمثابة "إدخال الذئاب إلى الغرفة" في دائرة الأمان: قد تكون هناك أحصنة طروادة مع برامج مقرصنة مخبأة في أجهزة كمبيوتر الموظفين ، ويمكن بسهولة التقاط الرموز الأساسية للشركة ومعلومات العملاء أو نسخها باستخدام قرص U. بمجرد مغادرة الموظف ، لا تعرف حتى عدد الأقراص الصلبة الخاصة التي تم التخلص من الأسرار التجارية للشركة.
ومع ذلك ، إذا كنت ترغب في تعبئة وإرسال جهاز كمبيوتر محمول عالي التكلفة تم شراؤه بشكل موحد من قبل الشركة ومليء ببرامج التشفير لكل موظف عن بُعد ، فإن تكلفة شراء الأجهزة المرتفعة ، والدورة اللوجستية الطويلة ، وإعادة تدوير المعدات المرهقة اللاحقة سوف تسحب بشدة التدفق النقدي للشركة.
في البيئة السحابية الأصلية لـ Microsoft ، هناك سلاح ضربة قطرة تم إنشاؤه خصيصًا لحل "الأمان الشديد والكفاءة والمرونة" ، والذي يسمى
Azure Virtual Desktop(AVD ، سطح المكتب الافتراضي Azure)
.
منطقها الأساسي صعب للغاية وأنيق:
البيانات لا يمكن أن تكون سحابة ، والقوة الحسابية في السحابة.
في أي ركن من أركان العالم ، باستخدام أي جهاز كمبيوتر منخفض أو جهاز لوحي أو حتى هاتف محمول ، يمكن للموظفين تسجيل الدخول إلى سطح مكتب احترافي لنظام التشغيل Windows 11 مملوء بالكامل بأصول الشركة ومليء ببرامج الأعمال في ثانية واحدة من خلال متصفح. يتم قفل جميع البيانات والرموز الأساسية في شبكة أمان Azure الداخلية ، ويكون الكمبيوتر المحلي مسؤولاً فقط عن استقبال وحدات البكسل على الشاشة ، مما أدى إلى لحام خط الدفاع الأخير لمنع تسرب أصول الشركة تمامًا.
اليوم ، نرفض أي تعاليم رسمية ، ونبدأ مباشرة من القتال الفعلي الخالص ، ونأخذك مع معيار على مستوى المصنع الكبير ، ونستفيد الشركة من بيئة مكتب عن بعد AVD فعالة وآمنة في غضون 10 دقائق.
المرحلة الأولى: التفكيك العميق ، "نموذج التشغيل الفعلي" لسطح المكتب الحديث AVD
قبل أن تبدأ في النقر فوق وحدة التحكم ، يجب أن يكون لديك نموذج معماري شامل لـ AVD في عقلك. تحتاج VDI التقليدية (البنية التحتية لسطح المكتب الافتراضي) إلى التشغيل والصيانة لتكوين البوابات ، وموازنة التحميل ، ووكلاء الاتصال ، وقواعد البيانات بشكل مؤلم ، ويحول AVD كل هذا إلى استضافة كاملة.
تتكون بيئة AVD بأكملها من ثلاثة مواقع أساسية متشابكة:
Microsoft استضافة سطح التحكم (AVD PaaS Service): بما في ذلك وكلاء الاتصال (Broker) والبوابة (Gateway) ومستقبل عميل الويب. تتم استضافة هذه البنية التحتية الأكثر تعقيدًا وعرضة للاختراق بالكامل من قبل Microsoft رسميًا ، ولا تشغل فلساً واحداً من موارد الخادم الخاصة بك ، وتأتي بطبيعة الحال مع موازنة التحميل العالمية الخاصة بها.
الحوسبة الأساسية: تجمع المضيف (Host Pools): هذه مجموعة من الخوادم الخلفية التي تعمل حقًا (افتراضية)
آلة). يدعم AVD تقنية Black الحصرية-Windows 11 متعدد الجلسات (Multi-session). هذا يعني أنه يمكنك فتح جهاز ظاهري Azure عالي الجودة مع 8 نواة 32G ، مما يسمح للموظفين العشرة في الفريق بتسجيل الدخول في نفس الوقت. كل شخص لديه سطح مكتب شخصي معزول تمامًا ، مما يؤدي إلى الضغط على القوة الحاسوبية للخادم إلى أقصى الحدود ، والتكلفة تنخفض بشكل مباشر بنسبة 80 ٪.
Soul Carrier: ملف تعريف المستخدم (FSLogix): هذا هو السلاح السري لتجربة AVD الحريرية للمصنع الكبير. يتم تغليف المستندات الشخصية للموظفين وملفات تعريف الارتباط للمتصفح وإعدادات التطبيق وتخزينها في ملف قرص ثابت افتراضي (VHD) في السحابة. بغض النظر عما إذا كان الموظفون يسجلون الدخول إلى الجهاز A أو الجهاز B في المسبح المضيف اليوم ، سيتم تركيب هذا القرص الصلب الافتراضي في لحظة تسجيل الدخول ، مما يحقق تجربة سلسة لـ "الأشخاص الذين يمشون على الطاولة".
المرحلة الثانية: تمرين عملي-بناء مساحة مكتبية AVD بدون رمز
تأكد من أن لديك بالفعل حساب Azure ، وقد أنشأت شبكة افتراضية أساسية (VNet). بعد ذلك ، نذهب إلى الواجهة الأمامية لبناء شبكة سطح مكتب عالية الدفاع.
الدخول
بوابة أزور (بوابة)
، أدخل في شريط البحث أعلاه
”Azure Virtual Desktop“
، انقر للدخول إلى وحدة التحكم الأساسية.
الخطوة 1: إنشاء تجمع مضيف أساسي (Host Pool)
في القائمة الموجودة على اليسار ، انقر على "Host pools" و "+ Create" في الجزء العلوي.
المعلومات الأساسية: حدد مجموعة الموارد الخاصة بك ، واسمه المضيف هو hp-office-prod ، واختيار الموقع الأقرب إلى الموظفين (مثل East Asia Hong Kong).
نوع تجمع المضيف: حدد "Pooled" بدقة.
خوارزمية موازنة التحميل: حدد "Breadth-First" (أولوية العرض) للسماح للموظفين بالتوزيع بالتساوي على أجهزة مختلفة قدر الإمكان لضمان الطلاقة. يتم ملء الحد الأقصى لعدد الجلسات في 5 (يعني أن جهاز واحد سيدخل ما يصل إلى 5 أشخاص).
الخطوة 2: إنتاج "أجهزة المكاتب السحابية" بكميات كبيرة
انقر على الخطوة التالية للوصول إلى صفحة تكوين الجهاز الظاهري. نريد "طباعة" أجهزة الكمبيوتر للموظفين لتسجيل الدخول على دفعات هنا.
إضافة جهاز افتراضي: اختر "نعم".
الصورة: انقر لعرض جميع الصور ، يجب عليك تحديد هذا الرمز السري المحدد بدقة: Windows 11 Enterprise multi-session(Windows 11 Enterprise Edition Multi-session). يمكنك اختيار الإصدار الخاص بك مع مجموعة Microsoft 365 Office.
حجم الجهاز الظاهري: يوصى باختيار Standard_D4ds_v5 (ذاكرة 4 نواة 16G) ، وهو ما يكفي فقط لـ 4-5 كتبة مكتبية خفيفة أو مطورة للضغط عبر الإنترنت في نفس الوقت.
الكمية: إدخال
٢. سيقوم النظام تلقائيًا بإنشاء جهازين متوازيين لك في الخلفية.
Domain to join (Domain to join): أحدث وأخف طريقة في عام 2026 ، حدد مباشرة "Microsoft Entra ID" (Azure AD سابقًا). تحقق من "Enroll VM with Intune" ، وتخلص تمامًا من وحدة التحكم المحلية القديمة والثقيلة (AD DC) ، واحتضن تمامًا التحقق من الهوية السحابية الأصلية.
أدخل كلمة مرور حساب المسؤول وانقر على التالي.
الخطوة 3: التعبئة مع توزيع الموظفين (Workspace & Assignments)
عندما يتم إنشاء الجهاز الظاهري في الخلفية ، سنقوم بتضميمه بـ "Workspace" وتوزيع المفاتيح.
في علامة التبويب Workspace ، انقر على إنشاء مساحة عمل جديدة تسمى ws-global-hq.
اضغط على التالي على التوالي حتى يكتمل الإنشاء.
بعد الإنشاء الناجح ، اذهب إلى صفحة مجموعة التطبيقات (مجموعة التطبيقات) وانقر على hp-office-prod-DAG (مجموعة تطبيقات سطح المكتب) التي تم إنشاؤها افتراضيًا.
انقر فوق "تعيين" على اليسار ، وانقر فوق إضافة ، وحدد حسابات الموظفين (حسابات Microsoft Entra ID) التي تحتاج إلى العمل عن بُعد في الشركة بدقة. فقط الأشخاص المدرجون في هذه القائمة لديهم الحق في الحصول على تذاكر دخول إلى ردهة المكتب.
المرحلة الثالثة: مشهد يشهد المعجزة-"تسجيل الدخول عبر المنصة" للموظفين
بعد وضع المجموعة الكاملة من التكوين في السحابة ، كموظف ، كيف يمكنني الاتصال بالعمل ؟
يوفر AVD عميل أنيق للغاية على مستوى النظام الأساسي (يغطي Windows و macOS و iOS و Android وحتى متصفحات HTML5).
Miracle Moment 1: لا حاجة للتثبيت ، استخدم المتصفح للذهاب إلى العمل مباشرة
يقوم الموظفون بفتح أي متصفح على أجهزة الكمبيوتر الخاصة منخفضة التكلفة في منازلهم ، وزيارة عميل صفحة الويب الرسمي لـ Microsoft AVD
([Ht
Tps: // client.wvd.microsoft.com/arm/webclient/index.html](ht)
Tps: // client.wvd.microsoft.com/arm/webclient/index.html).
أدخل حساب صندوق بريد الشركة وكلمة المرور التي أرسلتها إليه الشركة.
في لحظة تسجيل الدخول ، سيظهر رمز سطح المكتب مع شعار الشركة بشكل نظيف على الشاشة: Session Desktop.
انقر مرتين فوق الرمز ، أدخل بيانات الاعتماد. في بضع ثوانٍ فقط ، تم تغطية سطح مكتب Windows 11 الكامل والأأصل والسريع بالدم مباشرة داخل المتصفح. يمكن للموظفين استخدام إنترانت الشركة وكتابة الرموز والبريد الإلكتروني. طالما تم إيقاف تشغيل علامة تبويب المتصفح ، فلا يوجد نصف بايت من ذاكرة التخزين المؤقت محليًا.
المرحلة الرابعة: تاريخ الدم والدموع في هيكل الدفاع العالي على مستوى داتشانغ
بعد إنشاء هذه المجموعة من بيئة العمل عن بُعد ، تكون التجربة منعشة ومريحة للغاية للتوسع. ولكن من أجل البقاء على قيد الحياة في تدقيق أمني صارم حقيقي على مستوى المؤسسة ، بصفتك كبير ضباط الأمن (CISO) ، يجب عليك على الفور إصدار أمر إداري لحام الفتحتين التاليتين غير المرئية التي يمكن أن تسبب خروقات كبيرة للبيانات:
1. قطع "القناة ذات الحدين" جسديًا-حافظة ملحومة ورسم خرائط للقرص المحلي
بشكل افتراضي ، يسمح AVD للموظفين بنسخ الملفات الموجودة على سطح المكتب السحابي مباشرة ، ثم لصقها على جهاز الكمبيوتر الخاص به ، أو قراءة وكتابة محرك الأقراص C المحلي مباشرة في السحابة.
كارثة قاتلة: إذا لم يكن الموظف على ما يرام ، فيمكنه سحب ملفات قاعدة البيانات الأساسية لعدة غيغابايت من عملاء الشركة إلى جهاز الكمبيوتر الخاص به من خلال الحافظة أو تعيين القرص عشية مغادرته.
تكوين الميدالية الذهبية للمهندس المعماري: في وحدة التحكم AVD ، انقر للدخول إلى أقسام Host-> hp-office-prod. انقر على "RDP Properties" (خصائص RDP) على اليسار للتبديل إلى علامة التبويب "Device redirection" (إعادة توجيه الجهاز). قطع القناة: قم بتعديل Clipboard redirection (إعادة توجيه الحافظة) بالقوة إلى "Disable" ؛ قم بتعديل Drive redirection (إعادة توجيه القرص) بالقوة إلى "Disable". انقر على حفظ. تتم مزامنة الاستراتيجية مع جميع أجهزة سطح المكتب البعيد في جميع أنحاء العالم في غضون دقيقة واحدة. منذ ذلك الحين ، تم عزل السحابة تمامًا عن الكمبيوتر المحلي ، ويمكن للموظفين مشاهدة لوحة المفاتيح والكتابة عليها ، لكنهم لا يريدون أخذ قطعة من الورق.
2. احذر من الساعة الرملية المالية "لا أحد يتأخر في وقت متأخر من الليل"
نظرًا لأن الأجهزة الافتراضية لـ AVD تحسب الأموال بالساعة والمواصفات. بعد الخروج من العمل ، يقوم العديد من الموظفين بإيقاف تشغيل المتصفح أو العميل مباشرة ، ويذهب الناس إلى الفراش.
تفكيك السبب: على الرغم من مغادرة الموظفين ، لأنهم لم ينقروا على "تسجيل الخروج" الحقيقي في النظام الافتراضي ، فإن الجزء الداخلي من الجهاز الظاهري سيحافظ دائمًا على الجلسة غير المتصلة. سيؤدي هذا إلى قيام الجهاز الظاهري لتجمع المضيف بأكمله بالاعتقاد خطأً بأنه "لا يزال هناك أشخاص يعملون بجد لوقت إضافي" ، وبالتالي الاستمرار في العمل بكامل قوتهم في منتصف الليل ، مما يترك لك فاتورة خصم مؤلمة.
انصهار استراتيجية المجموعة الديناميكية للنواة الصلبة: من خلال Microsoft Intune أو في استراتيجية مجموعة الصورة الرئيسية لـ AVD ، قم بتكوين قانون حديدي بالقوة: "وقت محدد للجلسات الثابتة (تعيين حد زمني للجلسات غير المتصلة)" = 15 دقيقة. طالما أن الموظف يغلق العميل لأكثر من 15 دقيقة ، فسيضطر Azure إلى إلغاء تسجيل الحساب بلا رحمة وأمان لتحرير الذاكرة. عندما يتم شطب الجميع ، الجمع بين A
في استراتيجية Autoscale (القياس التلقائي) للآلة الافتراضية zure ، سيقوم المضيف تلقائيًا بإغلاق 90 ٪ من الجهاز في وقت متأخر من الليل ، وترك وقفة ليلية منخفضة للغاية ، وسحب الجهاز تلقائيًا على دفعات في الساعة 8 صباحًا في اليوم التالي. التحكم الدقيق في القرص لا يضيع بنس واحد من الميزانية.
الخلاصة
في Azure للعب على سطح المكتب البعيد السحابي ، يكمن الجوهر الأساسي على المستوى الصناعي في الواقع في ستة عشر كلمة:
استضافة التحكم ، العديد من العائلات ، سدت السمات ، انصهار التوقيت
.
لقد ودعت تمامًا ورشة العمل الأصلية التي احتاجت إلى إرسال أجهزة مادية إلى كل موظف في الماضي ، أو تصحيح الخادم كل يوم للحفاظ على VPN. الحد الأعلى للدفاع المادي هو استضافة الاتصالات المرهقة والمهمة العالية للدفاع مباشرة إلى العمود الفقري العالمي لشركة Microsoft. بغض النظر عن نوع المعدات غير التجارية التي سيستخدمها الموظفون في المقدمة ، ستكون الأصول الرقمية الأساسية للشركة مستقرة مثل Taishan في مستودع التأمين السحابي في الخلف.
