我有一个 WVD 主机,我想用 NVA(防火墙)保护它。
基本上我希望我的用户必须连接到我们的 VPN(由 NVA 管理)才能访问 WVD 主机。
目前,使用远程桌面客户端应用程序,他们可以直接访问它,而无需通过 VPN。它基本上是通过互联网连接的。
我怎样才能使连接只允许通过 VPN 连接(因此连接到 WVD 主机的私有 IP)?
我们希望完全摆脱我们的本地基础设施。
我们希望我们的员工在家中拥有一台公司笔记本电脑,该笔记本电脑可以通过 AAD DS 进行身份验证,并由我们的 IT 员工通过 GPO/Intune 进行管理。
我看到的文档总是假设在使用 AAD DS 时有一个本地 AD 可以与之同步。这不是我们的情况。我们希望机器加入 AAD DS 域并在没有任何本地 DC 的情况下从那里进行管理。
在这种情况下仅使用 AAD DS 会起作用还是有一些限制?
我有一个访问存储帐户的应用服务。我想限制对存储帐户的访问,但一旦我限制到特定网络和特定 IP 地址,我就会得到 403 禁止。
即使我从我的应用服务中添加了所有出站 IP,我也会收到 403 Forbidden。
为什么会这样?如果我不能使用特定 IP 并且我不想将我的应用服务链接到 VNet,那么保护我的存储的正确方法是什么?
我有一个在网络级别受到保护的 Azure KeyVault。我只允许来自 2 个特定 vnet/子网的连接。
但是,我还希望我的一个 Web 应用程序(子网之外)能够从 KeyVault 获取机密。我添加了一个访问策略来让我的 Web 应用获取和列出机密。
我认为该设置Allow trusted Microsoft services to bypass this firewall?足以让我的应用服务访问 KeyVault(它们在同一个订阅中)。显然情况并非如此。
我应该使用什么设置来保持我的防火墙规则并允许我的网络应用程序获取机密?