Windows Virtual Desktop WVD er en fantastisk ny løsning fra Microsoft, der hjælper partnere og kunder med nemt at administrere og implementere virtuelle desktops og apps til slutbrugere. WVD er i en tidlig tilstand, men i konstant udvikling, men understøtter i øjeblikket ikke gruppebaseret tildeling af brugere. Brugere skal tildeles individuelle til virtuelle skriveborde eller appgrupper.
Hovedparten af ??vores kunder kører hybridopsætning, hvor brugere og computerkonti er baseret på identitet fra en traditionel Active Directory AD. I den følgende guide vil jeg beskrive, hvordan man dynamisk tildeler brugere til WVD fra medlemskabet af en sikkerhedsgruppe i AD på en sikker måde.
Supportere kan derefter tildele brugere fra "Active Directory Users and Computers"-konsollen uden brug af powershell eller andre 3-partsværktøjer, selvom der findes flere AppGroups, dette er muligt, fordi vi bruger en runbook i azure, der tjekker sikkerhedsgruppen hvert 30. minut eller oftere, hvis det er nødvendigt, så tilføjer det dem eller fjerner dem baseret på deres medlemskab af sikkerhedsgruppen.
I vores opsætning kører vi vm'er i azure og Azure AD Connect for at synkronisere brugere mellem AD og AAD, grunden til at gøre dette er, at vores kunde stadig har applikationer, der ikke kun understøtter cloud, så vi flytter alle vm'er til azure og flytte alle de funktioner, vi kan, til en cloud-only-løsning.
Nu, før vi begynder med opsætningen, skal vi først gennemføre et par forudsætninger.
Du skal oprette en tjenestekonto, der har læse- og skrivetilladelser til den sikkerhedsgruppe, som du tilføjer og fjerner brugere til.
Du skal også give den "log på som en tjeneste"-tilladelser på den server, du installerede hybridarbejderen på. Dette kan også gøres med en gruppepolitik https://docs.microsoft.com/en-us/windows /security/threat-protection/security-policy-settings/log-on-as-a-service
Nu, før vi begynder med opsætningen, skal vi først gennemføre et par forudsætninger.
Runbooks er mere sikre end for eksempel en planlagt opgave på en normal server, hvis nogen hacker sig ind på din server, så er de i, de kan lukke opgaven ned eller slette den.
Men i azur er der en masse sikkerhed, først og fremmest er der betinget adgang, der er et værktøj, der gør det muligt at nægte adgang eller give adgang baseret på en betingelse, du har sat op, som kunne være placering eller suspenderingsadfærd.
Så er der MFA, så du skal autentificere dig med en separat enhed eller mail.
Så er der endelig PIM (Privileged Identity Management), der gør det muligt for dig at anmode om adgang til ressourcer eller roller, og du kan sætte det op, så din anmodning skal godkendes af en anden før din tildelte adgang
Så alt i alt, hvis du vil bryde ind, stop denne runbook, hvis alle disse sikkerhedsforanstaltninger er sat op, vil du skulle stjæle en bærbar computer og en telefon, der tilhører den samme person, bruge hans legitimationsoplysninger og en kollega til at bryde ind, oven i købet af, at du skal være på et godkendt sted, og det er en svær opgave, hvis du spørger mig.
Først og fremmest skal vi indsamle nogle oplysninger, for at scriptet kan fungere.
Udfyld variablerne med data, der passer til dit miljø, og gem scriptet et sted på din computer, så du kan bruge det til senere.
Du skal installere to PowerShell-moduler på den samme server, hvor din hybridworker er installeret.
Set-PSRepository -Name "PSGallery" -SourceLocation
"https://www.powershellgallery.com/api/v2" -InstallationPolicy Trusted
Find-Module "Microsoft.RDInfra.RDPowershell" | Install-Module
Add-WindowsFeature RSAT-AD-PowerShell
Set-PSRepository -Name "PSGallery" -SourceLocation
"https://www.powershellgallery.com/api/v2" -InstallationPolicy Untrusted
Når du har kørt disse tre kommandoer, har du installeret de to moduler. Du behøver ikke at konfigurere andet til dit lokale miljø. Kommandoen Add-WindowsFeature bruges til at få Active Directory-modulet installeret. Grunden til at gøre det på denne måde er, at Active Directory-modulet faktisk er en funktion til Windows-serverne.
Der er to måder, vi kan lave en tidsplan på. Vi kan lave en normal runbook-plan, som fungerer perfekt, men den kan kun køre én gang i timen, så hvis du har brug for, at den kører oftere, så skal du lave en logisk app til at køre den for dig. Vi fik runbooken til at køre hvert 30. minut. Jeg vil også give retningslinjer for, hvordan man opretter den logiske app.
At lave en normal runbook-plan er ret ligetil. Du går bare ind i din runbook og vælger Tidsplaner og trykker derefter på knappen "Tilføj en tidsplan".
Så trykker du bare på knappen "Link en tidsplan" og opretter en ny tidsplan. Derefter giver du den et navn og vælger "Gentagende". Du kan derefter vælge mængden af ??tid mellem udførelsen af ??runbook.
Det næste skridt er meget vigtigt. Du skal trykke på knappen for parametre og køreindstillinger. Vælg derefter hybridarbejderen på kørselsindstillinger, efterfulgt af at vælge hybridarbejderen. Dette er meget vigtigt, for hvis du ikke gør det, vil din runbook køre i Azure, og den vil mislykkes.
Med en logik-app vil det være muligt at køre runbooken hvert minut, men først skal du oprette en servicekonto, der kan køre logik-appen for os. Det er ligegyldigt, hvilken type konto det er, så længe MFA er deaktiveret for kontoen, ellers vil den ikke kunne køre runbook.
Nu skal du vælge den lejer, hvor din automatiseringskonto er gemt og derefter logge ind med den konto, vi oprettede før.
Hvis du vil bruge det til mere end én applikation, så er det virkelig nemt at konfigurere, først og fremmest skal du give din AD-servicekonto læse- og skrivetilladelser på den nye sikkerhedsgruppe, som du har oprettet, eller du kan lave en ny tjeneste tage højde for denne specifikke sikkerhedsgruppe, hvis du vil gøre den endnu mere sikker. så bliver du nødt til at kopiere denne del af scriptet.
For at sikre, at alt fungerer, kan du gøre et par forskellige ting for at teste det.
If you run into any problem or have questions, you can reach me at dpg@automize.dk and I will reply as soon as possible.
You will find the script below:
https://github.com/dani9335/wvdaddgroupmember/blob/master/add-appgroupmember.ps1
Daniel Pagh Greve
dpg@automize.dkFind script on GitHub
Er du interesseret i at høre mere, er du meget velkommen til at kontakte os på mail eller telefon. Du kan også bruge vores kontaktformular