Microsoft Cloud Agent: ใช้ Azure Virtual Desktop (AVD) เพื่อสร้างสภาพแวดล้อมสำนักงานระยะไกลที่มีประสิทธิภาพและปลอดภัยสำหรับองค์กรต่างๆได้อย่างรวดเร็ว
ในการกำกับดูแลไอทีขององค์กรในปัจจุบันและสถานการณ์สำนักงานสมัยใหม่มี "จุดบอดด้านความปลอดภัย" ที่ทำให้ CIO ผู้จัดการเครือข่ายและผู้นำด้านความปลอดภัยจำนวนนับไม่ถ้วนสามารถเข้าใจหัวของพวกเขาได้:
ทำงานระยะไกลกับอุปกรณ์ของพนักงาน (BYOD)
หลายบริษัทมักจะส่งบัญชี VPN ให้กับพนักงานโดยตรงเมื่อต้องเผชิญกับสำนักงานระยะไกลการทำงานร่วมกันข้ามชาติหรือทีมเอาท์ซอร์สเพื่อช่วยลดปัญหาและให้พวกเขาเชื่อมต่อกับอินทราเน็ตหลักของบริษัทด้วยคอมพิวเตอร์ส่วนตัวของพวกเขาแนวทางนี้เท่ากับการ "นำหมาป่าเข้ามาในห้อง" ในแวดวงความปลอดภัย: อาจมีม้าโทรจันที่มีซอฟต์แวร์ละเมิดลิขสิทธิ์ซ่อนอยู่ในคอมพิวเตอร์ของพนักงานและรหัสหลักและข้อมูลลูกค้าของบริษัทสามารถจับภาพหน้าจอได้อย่างง่ายดายหรือคัดลอกด้วยดิสก์ U เมื่อพนักงานลาออกคุณไม่รู้ด้วยซ้ำว่าความลับทางธุรกิจของบริษัทถูกทิ้งไปกี่ฮาร์ดไดรฟ์ส่วนตัว
อย่างไรก็ตามหากพนักงานระยะไกลแต่ละคนต้องการบรรจุและส่งแล็ปท็อประดับไฮเอนด์ที่บริษัทซื้อและเต็มไปด้วยซอฟต์แวร์เข้ารหัสต้นทุนการจัดหาฮาร์ดแวร์ที่สูงวงจรโลจิสติกส์ที่ยาวนานและการรีไซเคิลอุปกรณ์ที่ยุ่งยากในภายหลังจะถูกลากลงอย่างหนักกระแสเงินสดของบริษัท
ในระบบนิเวศดั้งเดิมบนคลาวด์ของ Microsoft มีอาวุธโจมตีลดมิติที่ออกแบบมาเพื่อแก้ปัญหา "ความปลอดภัยสูงสุดแต่ยังมีประสิทธิภาพและยืดหยุ่น" เรียกว่า
Azure Virtual Desktop(AVD, เดสก์ท็อปเสมือน Azure)
。
ตรรกะหลักของมันแข็งแกร่งและสง่างามมาก:
ข้อมูลไม่ได้อยู่ในระบบคลาวด์และพลังการประมวลผลอยู่ในระบบคลาวด์
ในทุกมุมโลกพนักงานสามารถเข้าสู่ระบบเดสก์ท็อป Windows 11ระดับมืออาชีพที่เป็นทรัพย์สินของบริษัทและเต็มไปด้วยซอฟต์แวร์ทางธุรกิจผ่านเบราว์เซอร์โดยใช้คอมพิวเตอร์ระดับต่ำแท็บเล็ตหรือแม้แต่โทรศัพท์มือถือข้อมูลหลักและรหัสทั้งหมดถูกล็อคไว้ในอินทราเน็ตที่ปลอดภัยของ Azure คอมพิวเตอร์ในระบบมีหน้าที่รับพิกเซลของหน้าจอเท่านั้นซึ่งเป็นการเชื่อมแนวป้องกันสุดท้ายของทรัพย์สินขององค์กรอย่างสมบูรณ์แบบเพื่อป้องกันการรั่วไหล
วันนี้เราปฏิเสธสูตรการเทศนาอย่างเป็นทางการโดยเริ่มจากการต่อสู้จริงโดยตรงและใช้มาตรฐานระดับโรงงานขนาดใหญ่เพื่อสร้างสภาพแวดล้อมสำนักงานระยะไกล AVD ที่มีประสิทธิภาพและปลอดภัยสำหรับองค์กรภายใน10นาที
ขั้นตอนแรก: การถอดชิ้นส่วนลึก "แบบจำลองการทำงานทางกายภาพ" ของเดสก์ท็อปที่ทันสมัยของ AVD
ก่อนที่จะคลิกที่คอนโซลคุณต้องเข้าใจรูปแบบสถาปัตยกรรมของ AVD อย่างละเอียดในใจของคุณ VDI (โครงสร้างพื้นฐานเดสก์ท็อปเสมือน) แบบดั้งเดิมต้องการการดำเนินการและการบำรุงรักษาเพื่อกำหนดค่าเกตเวย์โหลดบาลานซ์พร็อกซีและฐานข้อมูลอย่างเจ็บปวดและ AVD ได้เปลี่ยนทั้งหมดนี้ให้เป็นโฮสติ้งเต็มรูปแบบ
สภาพแวดล้อม AVD ทั้งชุดประกอบด้วยตำแหน่งหลักสามตำแหน่ง:
Microsoft Hosting Control Faces (AVD PaaS Service): รวมถึง Broker, Gateway และ Web Client Receiver โครงสร้างพื้นฐานที่ยุ่งยากที่สุดและง่ายที่สุดสำหรับแฮกเกอร์เหล่านี้ได้รับการโฮสต์และปกป้องโดย Microsoft อย่างเป็นทางการพวกเขาไม่ใช้ทรัพยากรเซิร์ฟเวอร์ของคุณสักบาทและมาพร้อมกับการจัดสรรภาระงานทั่วโลกโดยธรรมชาติ
แกนคอมพิวเตอร์: โฮสต์พูล: นี่คือคลัสเตอร์เซิร์ฟเวอร์แบ็กเอนด์ที่ใช้งานได้จริง (เสมือน
เครื่อง). AVD สนับสนุนเทคโนโลยีสีดำพิเศษ-Windows 11หลายเซสชัน (Multi-session) ซึ่งหมายความว่าคุณสามารถเปิดเครื่องเสมือน Azure ระดับไฮเอนด์8คอร์32G ทำให้พนักงาน10คนในทีมสามารถเข้าสู่ระบบและใช้งานได้ในเวลาเดียวกันแต่ละคนมีเดสก์ท็อปส่วนตัวที่แยกออกจากกันโดยสิ้นเชิงซึ่งบีบพลังการประมวลผลของเซิร์ฟเวอร์ให้มากที่สุดและมีค่าใช้จ่ายโดยตรงลดลง80%
Soul Carrier: User Configuration File (FSLogix): นี่คืออาวุธลับสำหรับประสบการณ์ที่เนียนนุ่มของ AVD เอกสารส่วนตัวของพนักงานคุกกี้ของเบราว์เซอร์และการตั้งค่าแอปพลิเคชันทั้งหมดได้รับการบรรจุและแยกและจัดเก็บไว้ในไฟล์ฮาร์ดดิสก์เสมือน (VHD) ในระบบคลาวด์ไม่ว่าพนักงานจะเข้าสู่ระบบเครื่อง A หรือเครื่อง B ในกลุ่มโฮสต์ในวันนี้ฮาร์ดไดรฟ์เสมือนนี้จะถูกติดตั้งในพริบตาในขณะที่เข้าสู่ระบบเพื่อให้ได้ประสบการณ์ "คนเดินบนโต๊ะ" ที่ราบรื่น
ขั้นตอนที่สอง: การฝึกซ้อมการต่อสู้จริง-สร้างพื้นที่สำนักงาน AVD โดยไม่ต้องใช้รหัส
ตรวจสอบให้แน่ใจว่าคุณมีบัญชี Azure อยู่แล้วและได้สร้างเครือข่ายเสมือนพื้นฐาน (VNet) แล้วต่อไปเราไปที่ส่วนหน้าเพื่อสร้างเครือข่ายเดสก์ท็อปที่มีการป้องกันสูง
เข้าสู่
Azure พอร์ทัล (Portal)
, ป้อนในแถบค้นหาด้านบน
“Azure Virtual Desktop”
คลิกเพื่อเข้าสู่คอนโซลหลัก
ขั้นตอนที่1: สร้างโฮสต์พูล (Host Pool)
คลิก "เครื่องมือโฮสต์" ในเมนูด้านซ้ายแล้วคลิก "+ Create" ที่ด้านบน
ข้อมูลพื้นฐาน: เลือกกลุ่มทรัพยากรของคุณโฮสต์พูลเรียกว่า hp-office-prod และเลือกสถานที่ที่ใกล้กับพนักงานมากที่สุด (เช่น East Asia HongKong)
ประเภทโฮสต์พูล: เลือก "พูล" (พูล) อย่างแม่นยำ
อัลกอริธึมการจัดสรรภาระงาน: เลือก "Breadth-first" (ลำดับความสำคัญด้านความกว้าง) เพื่อให้พนักงานสามารถกระจายไปยังเครื่องต่างๆได้อย่างเท่าเทียมกันมากที่สุดเพื่อให้เกิดความราบรื่นกรอกจำนวนเซสชันสูงสุด5 (หมายถึงเครื่องเดียวสูงสุด5คน)
ขั้นตอนที่2: สร้างชุด "Virtual Office Machine" (Virtual Office Machine)
คลิกถัดไปเพื่อไปที่หน้าการกำหนดค่าเครื่องเสมือนเราต้องการ "พิมพ์" คอมพิวเตอร์จำนวนมากเพื่อให้พนักงานเข้าสู่ระบบที่นี่
เพิ่มเครื่องเสมือน: เลือก "ใช่"
รูปภาพ: คลิกเพื่อดูรูปภาพทั้งหมดคุณต้องระบุรหัสเฉพาะนี้อย่างถูกต้อง: Windows 11 Enterprise multi-session(Windows 11 Enterprise multi-session) คุณสามารถเลือกเวอร์ชันที่มาพร้อมกับชุดอุปกรณ์สำนักงาน Microsoft 365
ขนาดเครื่องเสมือน: ขอแนะนำให้เลือก Standard_D4ds_v5 (หน่วยความจำ4คอร์16G) ซึ่งเพียงพอสำหรับเสมียนสำนักงานขนาดเล็ก4-5คนหรือนักพัฒนาที่บีบออนไลน์ในเวลาเดียวกัน
จำนวน: อินพุต
2. ระบบจะสร้างเครื่องสองเครื่องพร้อมกันให้คุณโดยอัตโนมัติในพื้นหลัง
การเพิ่มโดเมน (Domain to join): แนวทางปฏิบัติล่าสุดและมีน้ำหนักเบาที่สุดในปี2026ให้เลือก "Microsoft Entra ID" (เดิมคือ Azure AD) โดยตรงตรวจสอบ "Enroll VM with Intune" ละทิ้งตัวควบคุมท้องถิ่นเก่าและหนัก (AD DC) โดยสิ้นเชิงและยอมรับการยืนยันตัวตนบนคลาวด์อย่างเต็มที่
ป้อนรหัสผ่านบัญชีของผู้ดูแลระบบแล้วคลิกถัดไป
ขั้นตอนที่3: การบรรจุโรงงานและการกระจายบุคลากร (Workspace & Assignments)
เมื่อเครื่องเสมือนถูกสร้างขึ้นในพื้นหลังเราต้องเพิ่ม "Workspace" และแจกจ่ายกุญแจ
ในแท็บ Workspace ให้คลิกสร้างพื้นที่ทำงานใหม่ชื่อ ws-global-hq
คลิกถัดไปอย่างต่อเนื่องจนกว่าการสร้างจะเสร็จสมบูรณ์
หลังจากสร้างสำเร็จแล้วให้ไปที่หน้ากลุ่มแอปพลิเคชัน (กลุ่มแอปพลิเคชัน) แล้วคลิก hp-office-prod-DAG (กลุ่มแอปพลิเคชันเดสก์ท็อป) ที่สร้างขึ้นโดยค่าเริ่มต้น
คลิก "Assignments" ทางด้านซ้ายคลิกเพิ่มและตรวจสอบบัญชีพนักงาน (บัญชี Microsoft Entra ID) ที่ต้องทำงานจากระยะไกลในบริษัทอย่างถูกต้องเฉพาะผู้ที่อยู่ในรายชื่อนี้เท่านั้นที่มีสิทธิ์ได้รับตั๋วเข้าล็อบบี้สำนักงาน
ขั้นตอนที่สาม: ฉากที่ได้เห็นปาฏิหาริย์-"การเข้าสู่ระบบแบบเนียนเต็มแพลตฟอร์ม" ของพนักงาน
หลังจากการกำหนดค่าทั้งหมดอยู่ในระบบคลาวด์ในฐานะพนักงานฉันควรเชื่อมต่อกับงานอย่างไร?
AVD มีไคลเอนต์เต็มแพลตฟอร์มที่หรูหรามาก (ครอบคลุม Windows, macOS, iOS, Android และแม้แต่เบราว์เซอร์ HTML5)
ช่วงเวลามหัศจรรย์1: ไม่จำเป็นต้องติดตั้งใช้เบราว์เซอร์เพื่อทำงานโดยตรง
พนักงานเปิดเบราว์เซอร์ใดก็ได้บนคอมพิวเตอร์ส่วนตัวระดับล่างที่บ้านและเยี่ยมชมไคลเอนต์เว็บไซต์อย่างเป็นทางการของ Microsoft AVD
([Ht
Tps: // client.wvd.microsoft.com/arm/webclient/index.html](ht
Tps: // client.wvd.microsoft.com/arm/webclient/index.html))
ป้อนบัญชีอีเมลของบริษัทและรหัสผ่านที่บริษัทส่งถึงเขา
ในขณะที่คุณเข้าสู่ระบบไอคอนเดสก์ท็อปที่มีโลโก้ของบริษัทจะปรากฏขึ้นอย่างหมดจดบนหน้าจอ: Session Desktop
ดับเบิลคลิกที่ไอคอนเพื่อป้อนข้อมูลรับรองในเวลาเพียงไม่กี่วินาทีเดสก์ท็อป Windows 11ที่สมบูรณ์ของแท้และรวดเร็วมากก็เต็มไปด้วยเลือดในเบราว์เซอร์พนักงานสามารถใช้อินทราเน็ตของบริษัทเขียนโค้ดและส่งอีเมลได้ตราบใดที่แท็บเบราว์เซอร์ถูกปิดจะไม่มีแคชครึ่งไบต์ในเครื่อง
ขั้นตอนที่สี่: ประวัติการหลีกเลี่ยงเลือดและน้ำตาของโครงสร้างการป้องกันระดับสูงของโรงงานขนาดใหญ่
หลังจากสร้างสภาพแวดล้อมสำนักงานระยะไกลนี้แล้วประสบการณ์จะสดชื่นและการขยายตัวก็สะดวกมากแต่เพื่อให้อยู่รอดในระดับองค์กรที่แท้จริงและการตรวจสอบความปลอดภัยที่เข้มงวดในฐานะหัวหน้าเจ้าหน้าที่รักษาความปลอดภัย (CISO) คุณต้องออกคำสั่งทางปกครองทันทีเพื่อเชื่อมหลุมที่มองไม่เห็นสองหลุมต่อไปนี้ซึ่งอาจทำให้ข้อมูลรั่วไหลได้ง่าย:
1.ตัด "ช่องสองขอบเขต" ทางกายภาพ-ประสานคลิปบอร์ดและการทำแผนที่ดิสก์ภายในเครื่อง
โดยค่าเริ่มต้น AVD อนุญาตให้พนักงานคัดลอกไฟล์โดยตรงในเดสก์ท็อประบบคลาวด์จากนั้นวางลงในคอมพิวเตอร์ส่วนบุคคลของเขาเองหรืออ่านและเขียนไดรฟ์ C ที่บ้านโดยตรงในระบบคลาวด์
ภัยพิบัติร้ายแรง: หากพนักงานไม่ชอบธรรมเขาสามารถลากไฟล์ฐานข้อมูลหลักของลูกค้าหลาย GB ของบริษัทไปยังคอมพิวเตอร์ที่บ้านโดยไม่รู้ตัวผ่านคลิปบอร์ดหรือการทำแผนที่ดิสก์ในวันที่ลาออก
สถาปนิกการกำหนดค่าเหรียญทองที่ปราศจากความตาย: บนคอนโซล AVD คลิกเพื่อเข้าสู่เครื่องมือพื้นฐานของคุณ-> hp-office-prod คลิก "RDP Properties" (RDP Properties) ทางด้านซ้ายเพื่อสลับไปที่แท็บ "Device redirection" (Device redirection) ตัดช่อง: บังคับให้แก้ไขการเปลี่ยนเส้นทางคลิปบอร์ด (การเปลี่ยนเส้นทางคลิปบอร์ด) เป็น "Disable" บังคับให้แก้ไขการเปลี่ยนเส้นทางไดรฟ์ (การเปลี่ยนเส้นทางดิสก์) เป็น "Disable" คลิกบันทึกกลยุทธ์จะซิงค์กับเดสก์ท็อประยะไกลทั้งหมดทั่วโลกภายใน1นาทีตั้งแต่นั้นเป็นต้นมาระบบคลาวด์และคอมพิวเตอร์ในระบบก็ถูกแยกออกจากกันโดยสิ้นเชิงพนักงานสามารถดูและพิมพ์บนแป้นพิมพ์ได้แต่พวกเขาไม่ต้องการใช้กระดาษสักคำ
2.ระวังนาฬิกาทรายทางการเงินที่ "ไม่มีใครไม่ทำงานตอนดึก"
เนื่องจากเครื่องเสมือนของ AVD คำนวณตามชั่วโมงและข้อกำหนดพนักงานหลายคนปิดเบราว์เซอร์หรือลูกค้าโดยตรงหลังเลิกงานและผู้คนก็เข้านอน
เหตุผลในการถอดชิ้นส่วน: แม้ว่าพนักงานจะจากไปแล้วเนื่องจากพวกเขาไม่ได้คลิก "ล็อกเอาท์" จริงในระบบเสมือนเครื่องเสมือนจะยังคงรักษาเซสชันการตัดการเชื่อมต่อไว้ภายในเครื่องเสมือนสิ่งนี้จะทำให้เครื่องเสมือนของกลุ่มโฮสต์ทั้งหมดเข้าใจผิดคิดว่า "ยังมีคนทำงานล่วงเวลาอย่างหนัก" ดังนั้นจึงยังคงเปิดเครื่องเต็มกำลังและไม่ทำงานในตอนดึกทำให้คุณมีใบเรียกเก็บเงินที่เจ็บปวด
ฟิวส์นโยบายกลุ่มไดนามิกแบบฮาร์ดคอร์: กำหนดค่ากฎเหล็กผ่าน Microsoft Intune หรือในนโยบายกลุ่มภาพหลักของ AVD: "กำหนดเวลาสำหรับเซสชันแบบไดนามิก (กำหนดเวลาสำหรับเซสชันที่ตัดการเชื่อมต่อ)" = 15นาที. ตราบใดที่พนักงานปิดไคลเอนต์นานกว่า15นาที Azure จะบังคับให้ออกจากระบบบัญชีอย่างไร้ความปรานีและปลอดภัยและปล่อยหน่วยความจำเมื่อทุกคนถูกยกเลิกให้รวมกับ A
ด้วยกลยุทธ์ Autoscale (การซูมอัตโนมัติ) ของเครื่องเสมือน zure โฮสต์จะปิดเครื่องโดยอัตโนมัติ90% ในตอนดึกโดยเหลือเพียงการเฝ้าระวังที่มีอุปกรณ์ต่ำมากจากนั้นจะดึงเครื่องขึ้นเป็นชุดโดยอัตโนมัติในเวลา8โมงเช้าของวันรุ่งขึ้นแผงควบคุมมีความแม่นยำและไม่เสียเงินไปกับงบประมาณ
สรุป
การเล่นบนเดสก์ท็อประยะไกลบนคลาวด์ใน Azure แก่นแท้ของอุตสาหกรรมหลักอยู่ที่16คำ:
การควบคุมการโฮสต์หลายครัวเรือนและหลายการประชุมการบล็อกแอตทริบิวต์ฟิวส์เวลา
。
คุณได้อำลาการประชุมเชิงปฏิบัติการดั้งเดิมในอดีตที่คุณต้องส่งฮาร์ดแวร์ทางกายภาพไปยังพนักงานแต่ละคนหรือแก้ไขและดูแล VPN บนเซิร์ฟเวอร์ทุกวันโฮสต์การเชื่อมต่อที่ยุ่งยากและงานป้องกันสูงโดยตรงกับขีดจำกัดการป้องกันทางกายภาพของเครือข่ายกระดูกสันหลังทั่วโลกของ Microsoft ไม่ว่าพนักงานจะใช้อุปกรณ์เบ็ดเตล็ดประเภทใดที่ด้านหน้าสินทรัพย์ดิจิทัลหลักของบริษัทจะมีเสถียรภาพในคลังประกันระบบคลาวด์ที่ด้านหลัง
