Indice

3/ 8/ 12 /
Introduzione Protezione delle identità degli utenti Protezione dei dati

14 / 23 / 29 /
Protezione di host di sessione Protezione dell'accesso alla rete Conclusione
e applicazioni

30 / 31 /
Glossario Informazioni sull'autore
Introduzione

Andando avanti nel percorso verso l'adozione del lavoro remoto per la tua azienda con Windows
Virtual Desktop, è importante comprendere le responsabilità, le funzionalità e le procedure
consigliate relative alla sicurezza da seguire per proteggere gli utenti.

Questo manuale spiega come configurare la sicurezza nell'ambiente Windows Virtual Desktop.
Ogni sezione è incentrata su un'area specifica e può essere implementata in modo indipendente,
ma ti consigliamo di leggere il manuale per intero per definire la strategia di sicurezza end-to-end
di Windows Virtual Desktop.

Overview di Windows Virtual Desktop

Windows Virtual Desktop è un servizio completo per la virtualizzazione di desktop e app in

esecuzione nel cloud che contribuisce a garantire un'esperienza sicura per il desktop remoto
da qualsiasi luogo e aiuta le aziende a rafforzare la resilienza aziendale. Offre gestione semplificata,
Windows 10 multisessione, ottimizzazioni per Microsoft 365 Apps for enterprise e supporto per
la migrazione di ambienti Remote Desktop Services (RDS). Windows Virtual Desktop consente anche
di distribuire e ridimensionare desktop e app Windows su Azure in pochi minuti e fornisce
funzionalità integrate di sicurezza e adeguamento per la protezione di app e dati.

Con Windows Virtual Desktop basato su soluzioni PaaS (piattaforma distribuita come servizio),
molte parti della soluzione correlate all'infrastruttura vengono gestite automaticamente
da Microsoft. Le altre parti, solitamente correlate ai workload di desktop e applicazioni, vengono
gestite dal cliente o dal partner.

La Figura 1 mostra i componenti suddivisi in quattro gruppi. I gruppi del servizio Windows Virtual
Desktop e dell'infrastruttura di Azure sono gestiti da Microsoft. I gruppi App desktop e remote
e Gestione e criteri vengono gestiti dal cliente e offrono massimi livelli di flessibilità e controllo sui
server host di sessione e sugli ambienti delle applicazioni.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 3

 Figura 1. Componente di Windows Virtual Desktop e responsabilità

La Figura 2 mostra un'architettura tipica di un ambiente aziendale di Windows Virtual Desktop:

Figura 2. Architettura tipica di Windows Virtual Desktop

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 4

I componenti di back-end dell'applicazione si trovano nella rete locale del cliente. ExpressRoute
estende la rete locale nel cloud Azure. È anche possibile eseguire la migrazione dei componenti
di back-end ad Azure nell'ambito di uno scenario di migrazione del datacenter. I componenti Azure
AD Connect sincronizzano le identità di Active Directory Domain Services (AD DS) con Azure AD.
Se usi Azure Active Directory Domain Services (Azure AD DS), le identità verranno sincronizzate
automaticamente tra Azure AD e Azure AD DS. Il cliente gestisce AD DS e Azure AD, le sottoscrizioni
di Azure, le reti virtuali, File di Azure o Azure NetApp Files, nonché i pool di host e le aree di lavoro
di Windows Virtual Desktop.

L'architettura del servizio Windows Virtual Desktop è simile a quella di Remote Desktop Services
di Windows Server. Con Windows Virtual Desktop, tuttavia, Microsoft gestisce l'infrastruttura
e i componenti di intermediazione, mentre i clienti aziendali gestiscono le macchine virtuali
dell'host desktop, i dati e i client. In questo modo puoi concentrarti sulle cose davvero importanti,
come l'esperienza che offri agli utenti. Per capire le differenze tra RDS in locale, la migrazione
ad Azure e la migrazione a Windows Virtual Desktop, vedi la Figura 3:

Figura 3. Responsabilità

Per altre informazioni su Windows Virtual Desktop per l'azienda, visita questa pagina.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 5

Microsoft e la responsabilità per la sicurezza dei clienti

Quando si parla di specifiche responsabilità per la sicurezza, in genere è il cliente che si occupa
di tutti gli aspetti della sicurezza relativi alla distribuzione di una Virtual Desktop Infrastructure (VDI)
locale. Con Windows Virtual Desktop, queste responsabilità sono condivise tra il cliente e Microsoft.

La Figura 4 mostra la suddivisione delle responsabilità per la sicurezza con Windows Virtual Desktop
tra Microsoft e i clienti:

Figura 4. Responsabilità sui componenti della sicurezza

Per altre informazioni su questi componenti, consulta questa spiegazione sulla gestione dei
componenti di Windows Virtual Desktop.

Quando usi Windows Virtual Desktop, è importante sapere che Microsoft ha già implementato delle
misure per la protezione di alcuni servizi. Microsoft aiuta a proteggere i datacenter fisici, la rete
fisica e gli host fisici su cui viene eseguito Azure. È anche responsabile della protezione del piano
di controllo della virtualizzazione, che include i servizi di Windows Virtual Desktop in esecuzione
in Azure. Al cliente, invece, spetta la configurazione di altre aree specifiche per le esigenze
di sicurezza della sua azienda. Questo manuale fornisce indicazioni e procedure consigliate
per configurare e ottimizzare le aree di sicurezza dei servizi di cui sei responsabile.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 6

La Figura 5 mostra i diversi pilastri della sicurezza trattati nel manuale:

Figura 5. Gestione degli eventi e informazioni di sicurezza di Windows Virtual Desktop

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 7

Protezione delle identità degli utenti

Questo capitolo illustra il processo di configurazione della sicurezza nelle varie aree del servizio
Windows Virtual Desktop. Ogni capitolo descrive un'area specifica e può essere implementato
in modo indipendente, ma ti consigliamo di leggere il testo per intero per acquisire familiarità con
i diversi aspetti della sicurezza.

In questo capitolo affronteremo le configurazioni di sicurezza relative all'identità dell'utente.

Parleremo delle credenziali dell'utente, di come applicare l'accesso condizionale e della raccolta
dei log di controllo.

Credenziali dell'utente

Il client Windows per Windows Virtual Desktop è una scelta eccellente per l'integrazione
di Windows Virtual Desktop con il computer locale. Tuttavia, quando configuri l'account Windows
Virtual Desktop nel client Windows, sono necessarie alcune misure per garantire la tua sicurezza
e quella degli altri utenti.

Al primo accesso, il client richiede nome utente e password. Per gli accessi successivi, invece, il client
userà il token salvato nell'applicazione aziendale Azure AD. Se selezioni Memorizza profilo utente
quando vengono chieste le credenziali per l'host di sessione, gli utenti possono accedere dopo aver
riavviato il client senza dover reinserire le proprie credenziali. Queste credenziali vengono archiviate
nello strumento di gestione delle credenziali locale. Anche se comoda, la memorizzazione delle
credenziali può rendere meno sicure le distribuzioni in scenari aziendali o nei dispositivi personali.
Per proteggere gli utenti, puoi impostare il client affinché continui a chiedere spesso le credenziali
per l’autenticazione a più fattori di Azure, configurando i criteri di accesso condizionale per Windows
Virtual Desktop.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 8

Accesso condizionale

L'accesso condizionale è lo strumento usato da Azure AD per riunire i segnali, prendere decisioni
e applicare i criteri organizzativi. È una funzionalità centrale nel nuovo piano di controllo basato
sull'identità. I criteri di accesso condizionale nella loro forma più semplice sono istruzioni di tipo
if-then: se un utente desidera accedere a una risorsa specifica, deve completare una o più azioni.
Usando i criteri di accesso condizionale per Windows Virtual Desktop, puoi applicare i controlli
di accesso appropriati quando servono. In questo modo, puoi garantire la protezione dell'azienda,
ma eviti di intralciare gli utenti quando i controlli sono superflui. Si tratta solo di trovare il giusto
equilibrio tra sicurezza e usabilità. La Figura 6 mostra un diagramma funzionale dell'utilizzo
dell'accesso condizionale:

Figura 6. Diagramma relativo all'accesso condizionale

Per iniziare a usare l'accesso condizionale e abilitare l’autenticazione a più fattori (MFA) per Windows
Virtual Desktop, devi:

• Assegnare agli utenti una licenza che includa Azure AD Premium P1 o P2.
• Avere un gruppo Azure AD con utenti assegnati come membri del gruppo.
• Abilitare l’autenticazione a più fattori di Azure per tutti gli utenti.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 9

Per configurare l'accesso condizionale:

• Accedi al portale di Azure come amministratore globale, amministratore della sicurezza

o amministratore dell'accesso condizionale e cerca Azure Active Directory > Sicurezza >
Accesso condizionale, quindi seleziona Nuovi criteri.
• Dai un nome al criterio e seleziona Utenti e gruppi in Assegnazioni, quindi assegna un gruppo
creato in precedenza.
• In App cloud o azioni > Includi scegli Seleziona app e Windows Virtual Desktop (ID app
9cdead84-a844-4324-93f2-b2e6bb768d07).
• Ora vai a Condizioni > App client e seleziona dove applicare il criterio. Puoi scegliere tra
Browser (per il client Web di Windows Virtual Desktop), App per dispositivi mobili e client
desktop o entrambi.
• In Controlli di accesso > Concedi seleziona Concedi accesso, scegli Richiedi autenticazione
a più fattori, quindi fai clic su Seleziona.
• In Controlli di accesso > Sessione seleziona Frequenza di accesso, imposta il valore
sull'intervallo desiderato tra le richieste, quindi fai clic su Seleziona.
• Infine conferma le impostazioni e configura Abilita criterio su Sì. Il criterio sarà simile a quello
illustrato nella Figura 7:

Figura 7. Configurazione MFA per Windows Virtual Desktop

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 10

A questo punto, hai configurato un criterio di accesso condizionale di base che applica l'MFA per un
gruppo e un client Windows Virtual Desktop specifici con una determinata frequenza di accesso.

Per altre informazioni, leggi questo articolo che descrive più in dettaglio come abilitare
l’autenticazione a più fattori di Azure per Windows Virtual Desktop. Infine, la frequenza di accesso
configurata nel criterio di accesso condizionale definisce quanto tempo deve passare prima che
all'utente venga chiesto di nuovo di accedere quando prova ad accedere a una risorsa. Consulta
questa guida per altre informazioni sulla Frequenza di accesso utente.

Raccolta di log di controllo

Quando si tratta di proteggere le identità degli utenti, anche la raccolta e l'esame dei log di controllo
sono importanti. Quando questa raccolta è abilitata, puoi raccogliere e ottenere informazioni
dettagliate sulle attività degli utenti e degli amministratori correlate a Windows Virtual Desktop.
L'elenco seguente fornisce sei aree di esempio per iniziare a raccogliere i log di controllo per
Windows Virtual Desktop:

• Log attività di Azure

• Log attività di Azure Active Directory
• Azure Active Directory
• Host di sessione
• Log di diagnostica di Windows Virtual Desktop
• Log di Key Vault

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 11

Protezione dei dati

Quando concedi l'accesso al tuo ambiente Windows Virtual Desktop, consenti agli utenti anche
di archiviare e accedere ai dati personali contenuti nel loro profilo utente. Questo capitolo spiega
come proteggere questi dati.

Container di profili FSLogix

Un profilo utente è una raccolta di configurazioni che rappresenta lo stato di un sistema.

Ci sono vari componenti di sistema collegati al profilo di un utente, tra cui applicazioni, voci del
Registro di sistema e altre voci personalizzate. Windows 10 offre diversi tipi di profili utente, ma
è consigliabile usare i container di profili FSLogix per archiviare l'intero profilo utente. I container
di profili reindirizzano l'intero profilo utente a una posizione remota e non rappresentano quindi
una soluzione di gestione dei profili tradizionale. Esistono tre modi principali per archiviare questi
container di profilo:

• Container di profili che usano una condivisione file, basata su Spazi di archiviazione diretta
• Container di profili che usano File di Azure e Azure AD DS oppure File di Azure e AD DS
• Container di profili che usano Azure NetApp Files e AD DS

Alla maggior parte dei nostri clienti consigliamo di archiviare i container di profili FSLogix in File
di Azure o in Azure NetApp Files, invece che nelle condivisioni di file. Per maggiori dettagli sulle
differenze, consulta l'articolo con il confronto tra le diverse opzioni di archiviazione.

Crittografia dischi di Azure

L'utilizzo di File di Azure come soluzione per i container di profili supporta l'autenticazione basata
sulle identità di Server Message Block (SMB) tramite AD DS locale con Azure AD DS. File di Azure
applica i protocolli Kerberos per l'autenticazione sia con AD DS locale che con Azure AD DS.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 12

Con Azure NetApp Files, tutti i file usati da Windows Virtual Desktop vengono crittografati tramite
lo standard Federal Information Processing Standards Publications (FIPS PUBS) 140-2. Il servizio
Azure NetApp Files gestisce tutte le chiavi e genera una chiave di crittografia XTS-AES-256
univoca per ogni volume. Windows Virtual Desktop usa una chiave di crittografia per crittografare
e proteggere tutte le chiavi dei volumi. In formato crittografato, le chiavi di crittografia risultano non
disponibili o segnalate. Inoltre, le chiavi vengono eliminate non appena viene eliminato un volume.

Sia File di Azure che Spazi di archiviazione diretta hanno tutti i certificati supportati da Azure
nell'ambito della sicurezza e dell'adeguamento. Azure NetApp Files è completo di ISO. Per saperne
di più sui container di profili FSLogix, sui dischi dei profili utente e su altre tecnologie per i profili
utente, consulta la tabella in Container di profili FSLogix e File di Azure.

Per iniziare a creare la tua configurazione dei container di profili FSLogix, inizia con una di queste
esercitazioni:

• Creare un container di profili con File di Azure e AD DS.

• Creare un container di profili con Azure NetApp Files e AD DS.
• Creare un container di profili con una condivisione file.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 13

Protezione di host di sessione e applicazioni

Puoi intraprendere varie azioni e usare diversi strumenti per proteggere le applicazioni e gli host
di sessione di Windows Virtual Desktop. In questo capitolo vengono descritte le operazioni che puoi
eseguire per proteggere i componenti dell'ambiente Windows Virtual Desktop.

Microsoft Defender per endpoint

Per proteggere gli endpoint da malware e minacce avanzate, è consigliabile configurare Microsoft
Defender per endpoint, precedentemente noto come Microsoft Defender Advanced Threat
Protection. Esistono diversi modi per distribuire Microsoft Defender per endpoint nelle macchine
virtuali di Windows Virtual Desktop. Puoi usare i criteri di gruppo locali o di dominio, ma anche
l'integrazione con gli strumenti di gestione. Per altre informazioni, consulta questo articolo che
spiega come integrare i dispositivi multisessione di Windows 10 in Windows Virtual Desktop. Gli
scenari con una singola sessione in Windows 10 Enterprise e in Windows 10 Enterprise multisessione
sono completamente supportati e l'onboarding di macchine Windows Virtual Desktop in Defender
per endpoint non è cambiato. In passato, Defender per endpoint supportava fino a 50 connessioni
utente simultanee in Windows 10 Enterprise multisessione, ma ora questo limite è stato rimosso.
Quando usi Windows 10 Enterprise multisessione, a seconda delle tue esigenze puoi scegliere se
concedere la licenza a tutti gli utenti tramite Microsoft Defender per endpoint (per ogni utente),
Windows Enterprise E5, Microsoft 365 Security o Microsoft 365 E5 oppure se concedere la licenza
alla macchina virtuale tramite Azure Defender. Leggi questo articolo per altre informazioni su
Funzionalità di Microsoft Defender per endpoint per Windows Virtual Desktop.

Integrazione di Microsoft Endpoint Manager con Microsoft Intune

Puoi usare Microsoft Intune per creare e verificare i criteri per l'adeguamento, nonché per distribuire
applicazioni, funzionalità e impostazioni nei dispositivi eseguiti su Azure. Per ulteriori indicazioni,
vedi l'esercitazione Procedura dettagliata per Intune in Microsoft Endpoint Manager. Microsoft
Intune si integra anche con Azure AD per l'autenticazione e l'autorizzazione e con Azure Information
Protection per la protezione dei dati. Puoi usare Microsoft Intune con la suite di prodotti Microsoft 365.
Il controllo delle applicazioni non si basa più su un modello di attendibilità che presuppone

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 14

l'affidabilità di tutte le applicazioni, ma su un nuovo modello, che richiede che tale affidabilità
sia verificata prima di poter eseguire le applicazioni. Microsoft Defender Application Control
e AppLocker, inclusi in Windows 10, forniscono il controllo delle applicazioni e possono anche
essere usati come metodi di sicurezza in ambienti Windows Virtual Desktop. Ne parleremo più
in dettaglio nei paragrafi successivi.

Windows Defender Application Control

Di fronte al flusso ininterrotto di nuovi file dannosi creati ogni giorno, l'uso di metodi tradizionali
come le soluzioni antivirus, ovvero il rilevamento basato sulla firma per combattere i malware,
offre una difesa inadeguata contro i nuovi attacchi. Windows Defender Application Control
può contribuire a mitigare questi tipi di minacce alla sicurezza limitando le applicazioni che gli
utenti sono autorizzati a eseguire e il codice eseguito nel nucleo del sistema (kernel). Application
Control è stato introdotto con Windows 10 e, insieme a Windows Virtual Desktop, consente di
controllare quali driver e applicazioni eseguire sugli host di Windows Virtual Desktop. Application
Control è stato progettato come una funzionalità di sicurezza basata sui criteri di servizio
definiti da Microsoft Security Response Center (MSRC). Per altre informazioni sulle specifiche
funzionalità di Application Control disponibili nelle varie build di Application Control, consulta
la documentazione sulla disponibilità delle funzionalità. Visita questa pagina per iniziare a usare
Application Control.

AppLocker

AppLocker aiuta a evitare che gli utenti eseguano software non approvato. Le regole per la
limitazione dei criteri di controllo di AppLocker si basano sugli attributi dei file, sui nomi dei prodotti,
sui nomi dei file o sulle versioni dei file. AppLocker include regole predefinite per ogni raccolta di
regole di AppLocker, che garantiscono l'autorizzazione dei file necessari per il corretto funzionamento
di Windows. Grazie a queste regole predefinite, inoltre, i membri del gruppo di amministratori
locali possono eseguire tutti i file di Windows Installer. Una raccolta di regole di AppLocker funziona
come un elenco di file consentiti. Possono essere eseguiti solo i file elencati nella raccolta di regole.
Questa configurazione rende più facile determinare cosa accadrà quando viene applicata una
regola di AppLocker. Poiché AppLocker funziona come un elenco di file consentiti per impostazione
predefinita, se non ci sono regole che consentono o negano esplicitamente l'esecuzione di un file,
l'impostazione predefinita di AppLocker bloccherà il file. Anche se AppLocker è uno strumento molto
potente, in generale è consigliabile usare Application Control invece di AppLocker per il controllo
delle applicazioni.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 15

Application Control viene migliorato costantemente e riceverà ulteriore supporto dalle piattaforme
di gestione Microsoft. Anche AppLocker continuerà a ricevere le correzioni di sicurezza, ma non
verranno apportati miglioramenti alle funzionalità. In alcuni casi, tuttavia, AppLocker potrebbe
rivelarsi la soluzione più adatta per la tua azienda, se ad esempio hai ambienti con sistemi
operativi Windows misti che richiedono l'applicazione di criteri diversi per i vari utenti o gruppi
di un computer condiviso oppure se non vuoi applicare il controllo delle applicazioni ai file delle
applicazioni come DLL o driver. È consigliabile applicare Application Control con il massimo livello
di restrizioni consentito, quindi usare AppLocker per ottimizzare ulteriormente le restrizioni. Visita
questa pagina per iniziare a usare AppLocker.

La matrice di disponibilità delle funzionalità Application Control e AppLocker fornisce un confronto

più dettagliato delle due tecnologie.

FSLogix Application Masking

Application Masking viene usato principalmente per ridurre al minimo la complessità legata
alla gestione di un numero elevato di "golden image" (immagini master). Sebbene non sia stata
progettata specificamente come misura di sicurezza, questa funzionalità può essere usata anche
per aumentare la sicurezza delle applicazioni e consente di gestire l'accesso alle applicazioni,
ai tipi di carattere e ad altri elementi in base ai criteri. Per descrivere l'elemento da gestire, ad
esempio un'applicazione, si usa Application Rules Editor. Application Masking può essere usato
in ambienti fisici e virtuali. Spesso viene impiegato per la gestione di ambienti virtuali non
persistenti, come i desktop virtuali. Per iniziare a usare Application Masking, segui l'esercitazione
sull'implementazione di FSLogix Application Masking.

Protezione dell'acquisizione schermo

La funzionalità di protezione dell'acquisizione schermo (anteprima) impedisce l'acquisizione di

informazioni riservate negli endpoint client. Quando abiliti questa funzionalità, il contenuto remoto
viene automaticamente bloccato o nascosto negli screenshot e nelle condivisioni dello schermo.
Viene nascosto anche ai software dannosi che potrebbero acquisire continuamente i contenuti
dello schermo. Quando usi questa funzionalità, è consigliabile disabilitare anche il reindirizzamento
degli Appunti (descritto più avanti in questo manuale) per impedire che il contenuto remoto negli
endpoint venga copiato durante l'uso di questa funzionalità. Questo criterio viene applicato a livello
di host configurando una chiave del Registro di sistema. Per abilitarlo, apri PowerShell e imposta la
chiave del Registro di sistema fEnableScreenCaptureProtection:

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 16

 Figura 8. Un esempio della funzionalità di protezione dell'acquisizione schermo

Per testare questa nuova funzionalità, è necessario eseguire il provisioning dei pool di host in un
ambiente di convalida e deve essere stato scaricato e installato il client Desktop di Windows, versione
1.2.1526 o successiva. La funzionalità ovviamente non impedisce agli utenti di fotografare lo schermo,
ad esempio con il cellulare. Tuttavia, consente di aggiungere un ulteriore livello di sicurezza.

Per istruzioni più dettagliate su come abilitare la protezione dell'acquisizione schermo, visita
questa pagina.

Applicazione di patch al software nel tuo ambiente

Una volta identificata una vulnerabilità in un ambiente, è necessario applicare una patch il prima
possibile. Questo vale anche per gli ambienti Windows Virtual Desktop e riguarda i sistemi operativi
in esecuzione, le applicazioni distribuite al loro interno e le immagini da cui vengono creati i nuovi
computer. Segui le comunicazioni di notifica delle patch del fornitore e applica le patch in modo
tempestivo. Ti consigliamo di applicare le patch alle immagini di base ogni mese per garantire la
massima sicurezza dei computer appena distribuiti.

Per altre informazioni, segui la guida per Preparare e personalizzare un'immagine VHD master.

Oltre alla sicurezza predefinita, le immagini master in genere includono anche le impostazioni
software e di configurazione necessarie. La configurazione di una pipeline di immagini personale
richiede tempo e infrastrutture. Con Image Builder per macchine virtuali di Azure, è sufficiente

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 17

fornire al servizio una semplice configurazione che descriva l'immagine per crearla e distribuirla.
Image Builder è un servizio di Azure completamente gestito, accessibile da un provider di risorse di
Azure. Il processo di questa funzionalità, rappresentato nel modello seguente, è suddiviso in tre parti
principali: origine, personalizzazione e distribuzione.

La Figura 9 mostra il processo di Image Builder. Il risultato del processo di Image Builder di Azure
è un'immagine del modello, archiviata come immagine gestita Virtual Hard Disk (VHD) all'interno
di una raccolta di immagini condivisa, che può quindi essere usata per (ri)creare gli host di sessione
di Windows Virtual Desktop.

Figura 9. Processo di Image Builder di Azure

Per altre informazioni, consulta l'overview di Image Builder di Azure.

Blocchi dello schermo e criteri relativi al tempo massimo di

inattività/disconnessione

La disconnessione degli utenti inattivi consente di risparmiare risorse e impedisce l'accesso agli utenti
non autorizzati. È consigliabile impostare timeout che bilancino la produttività degli utenti e l'utilizzo
delle risorse. Per gli utenti che interagiscono con applicazioni senza stato, valuta l'applicazione di criteri
più aggressivi che disattivino i computer e preservino le risorse. La disconnessione di applicazioni
a esecuzione prolungata che continuano a essere eseguite anche se un utente è inattivo, ad esempio
una simulazione o un rendering CAD, può interrompere il lavoro dell'utente e addirittura richiedere
il riavvio del computer. Puoi anche impedire l'accesso indesiderato al sistema configurando Windows
Virtual Desktop in modo che blocchi lo schermo del computer durante i periodi di inattività e richieda
l'autenticazione per sbloccarlo. Il tempo massimo di inattività/disconnessione può essere configurato
all'interno dell'immagine del modello usando l'Editor Criteri di gruppo locali o a livello centrale usando
gli oggetti Criteri di gruppo. La Figura 10 mostra la posizione delle varie impostazioni.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 18

 Figura 10. Posizione dei Criteri di gruppo per i limiti della sessione

Configurazione del reindirizzamento dei dispositivi

Gli utenti possono trasferire una vasta gamma di dispositivi (periferici) nella sessione di Windows
Virtual Desktop. Anche se si tratta di un'ottima funzionalità che migliora in modo significativo
l'esperienza utente complessiva, scegli con molta attenzione cosa lasciar reindirizzare agli utenti.
Ad esempio, potresti non volere che copino i dati degli Appunti dalla sessione di Windows Virtual
Desktop al loro client locale oppure potresti voler impedire l'accesso alle unità USB in Windows
Virtual Desktop. Ti consigliamo di valutare i requisiti di sicurezza e verificare se queste funzionalità
debbano essere disabilitate.

La Figura 11 mostra alcune opzioni che possono essere modificate nelle proprietà RDP del pool di
host. Nella pagina Windows Virtual Desktop seleziona Pool di host nel menu a sinistra sullo schermo,
quindi seleziona Proprietà RDP nel menu a sinistra. In alternativa, puoi aprire la scheda Avanzate
e aggiungere le proprietà RDP nel formato separato da punto e virgola. Al termine, seleziona Salva
per salvare le modifiche.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 19

 Figura 11. Opzioni per le proprietà RDP del pool di host

Per saperne di più, leggi questa guida che fornisce informazioni dettagliate sulla personalizzazione
delle proprietà di Remote Desktop Protocol (RDP) per un pool di host.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 20

Limitazione dell'accesso a Esplora risorse

Nella maggior parte delle distribuzioni di Windows Virtual Desktop vengono implementati scenari
in pool perché offrono una migliore ottimizzazione dei costi. In sostanza, gli utenti condividono
le risorse delle macchine virtuali di Azure accedendo a un host di sessione con più utenti
in contemporanea. Di conseguenza, si consiglia di applicare criteri di blocco in modo che gli utenti
non possano accedere ai dati delle altre sessioni o eseguire azioni indesiderate sulla macchina
virtuale condivisa. La limitazione dell'accesso a Esplora risorse nascondendo i mapping delle unità
locali e remote impedisce agli utenti di individuare le informazioni riservate sulla configurazione
del sistema e sugli utenti. La configurazione di queste impostazioni può essere eseguita all'interno
dell'immagine del modello, ma può anche essere applicata mediante gli oggetti Criteri di gruppo.

La Figura 12 mostra la posizione dell'oggetto Criteri di gruppo che può essere usato per configurare
l'accesso a Esplora risorse.

Figura 12. Posizione dell'oggetto Criteri di gruppo per la configurazione dell'accesso a Esplora risorse

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 21

Per altre informazioni sulla limitazione dell'accesso a Esplora risorse nascondendo le unità, consulta
l'esercitazione Utilizzo di oggetti Criteri di gruppo per nascondere le unità specificate. Ricorda che
un'unità nascosta resta comunque accessibile. In alternativa, puoi anche impedire l'accesso a unità
specifiche. In generale, è consigliabile esaminare le impostazioni per bloccare ulteriormente l'host
di sessione, ad esempio impedendo l'accesso al prompt dei comandi, al pannello di controllo o alle
impostazioni di Windows. L'analisi dettagliata di tutte queste impostazioni va oltre lo scopo di
questo manuale.

Gestione della sicurezza di Microsoft 365 Apps

Oltre a proteggere gli host di sessione, è importante proteggere le applicazioni in esecuzione al loro
interno. Microsoft 365 Apps (in precedenza Microsoft Office Pro Plus) è una delle applicazioni più
diffuse tra gli host di sessione. Per migliorare la sicurezza della distribuzione di Office, è consigliabile
usare l'Assistente criteri di sicurezza di Microsoft 365 Apps for enterprise. Questo strumento
identifica i criteri che puoi applicare alla distribuzione per una maggiore sicurezza. L'Assistente criteri
di sicurezza consiglia inoltre i criteri in base all'impatto sulla sicurezza e sulla produttività. Se a un
gruppo di sicurezza viene assegnata una configurazione di criteri, l'Assistente criteri di sicurezza
analizza in che modo gli utenti del gruppo lavorano con Microsoft 365 Apps. Sulla base di questa
analisi e delle procedure consigliate di Microsoft, vengono suggeriti specifici criteri di sicurezza
e vengono fornite informazioni dettagliate sull'impatto di tali criteri sulla produttività e sulla
sicurezza. Per altre informazioni, consulta Panoramica su Assistente criteri di sicurezza per
Microsoft 365 Apps for enterprise.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 22

Protezione dell'accesso alla rete

Windows Virtual Desktop usa Remote Desktop Protocol (RDP) per fornire funzionalità
di visualizzazione e input remote tramite le connessioni di rete. Il flusso di dati di connessione per
Windows Virtual Desktop inizia con una ricerca DNS del datacenter di Azure più vicino. Il gateway
funge da proxy inverso intelligente e gestisce tutta la connettività della sessione, inviando al client
soltanto i pixel. Una connessione utente prevede cinque passaggi:

1. Quando viene autenticato in Azure AD, un token viene restituito al client Remote
Desktop Services.
2. Il gateway controlla il token con il gestore di connessione.
3. Il gestore esegue una query in Azure SQL Database relativa alle risorse assegnate all'utente.
4. Il gateway e il gestore selezionano l'host di sessione per il client connesso.
5. L'host di sessione crea una connessione inversa al client usando il gateway Windows
Virtual Desktop.

La Figura 13 mostra il processo di connessione in cinque passaggi per Windows Virtual Desktop in
esecuzione in Azure:

Figura 13. Processo di connessione in cinque passaggi per Windows Virtual Desktop

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 23

TLS 1.2 viene usato per tutte le connessioni avviate dai client e dagli host di sessione per
i componenti dell'infrastruttura di Windows Virtual Desktop. Windows Virtual Desktop usa gli
stessi codici TLS 1.2 di Frontdoor di Azure. È importante verificare che sia i computer client sia gli
host di sessione possano usare questi codici. Per il trasporto di connessione inversa (spiegato nel
prossimo paragrafo), sia il client che l'host di sessione si connettono al gateway Windows Virtual
Desktop. Dopo aver stabilito la connessione TCP, il client o l'host di sessione convalida il certificato
del gateway Windows Virtual Desktop. Dopo aver stabilito il trasporto di base, RDP stabilisce una
connessione TLS annidata tra il client e l'host di sessione usando i certificati dell'host di sessione.

Connessione inversa

Se hai familiarità con Remote Desktop Services, in particolare con RD Gateway, saprai che, per
consentire all'utente di connettersi a un Remote Desktop Session Host (RD Session Host), la porta
TCP 3389 deve essere aperta dall'RD Gateway all'RD Session Host.

A differenza di RDS, Windows Virtual Desktop aggiunge un ulteriore livello di sicurezza per
impostazione predefinita e, di conseguenza, non richiede un listener TCP per ricevere le connessioni
RDP in ingresso. Windows Virtual Desktop usa il trasporto di connessione inversa per stabilire
la sessione remota e per convogliare il traffico RDP. L'agente Windows Virtual Desktop, installato
automaticamente nell'host di sessione, viene configurato per usare la connettività in uscita per
l'infrastruttura di Windows Virtual Desktop tramite la connessione HTTPS. Di conseguenza, non
sono necessarie porte in ingresso interne al firewall davanti agli host di sessione. Non sono
necessarie ulteriori azioni per abilitare la connessione inversa, ma consigliamo di verificare che
la porta TCP 3389 non sia aperta inutilmente.

In generale, evita l'accesso RDP diretto agli host di sessione nell'ambiente. Se hai bisogno dell'accesso
RDP diretto per l'amministrazione o la risoluzione dei problemi, connettiti da una rete interna o abilita
l'accesso just-in-time per limitare la potenziale superficie di attacco su un host di sessione.

Tag di servizio del gruppo di sicurezza di rete

Un'altra misura di sicurezza che puoi adottare consiste nel limitare il traffico di Windows Virtual
Desktop con i tag di servizio del gruppo di sicurezza di rete (NSG).

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 24

I tag di servizio semplificano la sicurezza per le macchine virtuali di Azure. Poiché le reti virtuali
di Azure vengono usate nelle distribuzioni di Windows Virtual Desktop, i tag di servizio rendono
più facile limitare l'accesso alla rete solo ai servizi di Azure. Puoi usare i tag di servizio nelle regole
NSG per consentire o bloccare il traffico verso uno specifico servizio di Azure a livello globale
o limitatamente a un'area di Azure. Un gruppo di sicurezza di rete è una raccolta di regole di
sicurezza che consente o blocca il flusso di traffico di rete in entrata o in uscita dalle risorse di Azure.
Ogni regola può specificare le proprietà seguenti: nome, priorità, origine o destinazione, protocollo,
direzione, intervallo di porte e azione. I gruppi di sicurezza di rete sono un servizio di sicurezza
di rete di livello 3 e 4.

Le macchine virtuali di Azure create per Windows Virtual Desktop devono avere accesso a diversi
nomi di dominio completi (FQDN) per funzionare correttamente. La tabella seguente mostra questi
FQDN e le relative porte:

Porta TCP
Indirizzo Scopo Tag di servizio
in uscita

*.wvd.microsoft.com 443 Traffico di servizio WindowsVirtualDesktop

gcs.prod.monitoring.core.windows.net 443 Traffico dell'agente AzureCloud

production.diagnostics.monitoring.core.
443 Traffico dell'agente AzureCloud
windows.net

*xt.blob.core.windows.net 443 Traffico dell'agente AzureCloud

*eh.servicebus.windows.net 443 Traffico dell'agente AzureCloud

*xt.table.core.windows.net 443 Traffico dell'agente AzureCloud

*xt.queue.core.windows.net 443 Traffico dell'agente AzureCloud

catalogartifact.azureedge.net 443 Azure Marketplace AzureCloud

kms.core.windows.net 1688 Attivazione di Windows Internet

Aggiornamenti stack
mrsglobalsteus2prod.blob.core.windows.net 443 AzureCloud
agente e SXS
Supporto del portale
wvdportalstorageblob.blob.core.windows.net 443 AzureCloud
di Azure
Endpoint del servizio
169.254.169.254 80 metadati dell'istanza N/D
di Azure
Monitoraggio
168.63.129.16 80 dell'integrità dell'host N/D
di sessione

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 25

Firewall di Azure per la protezione a livello di applicazione

Firewall di Azure fornisce un tag FQDN di Windows Virtual Desktop per semplificare
la configurazione, come spiegato in precedenza. Usa la procedura seguente per consentire
il traffico della piattaforma Windows Virtual Desktop in uscita con Firewall di Azure:

• Distribuisci Firewall di Azure e configura la route definita dall'utente (UDR) per la subnet del pool
di host di Windows Virtual Desktop per indirizzare tutto il traffico attraverso Firewall di Azure.
• Crea una raccolta di regole delle applicazioni e aggiungi una regola per abilitare il tag FQDN
WindowsVirtualDesktop.
• Il set di account per lo storage e il bus di servizio necessari per il pool di host di Windows Virtual
Desktop è specifico per la distribuzione, quindi non è ancora stato acquisito nel tag FQDN
WindowsVirtualDesktop. Per farlo, consenti l'accesso HTTPS dalla subnet del pool di host a *xt.
blob.core.windows.net, *eh.servicebus.windows.net e *xt.table.core.windows.net. Questi FQDN
jolly consentono l'accesso richiesto, ma sono meno restrittivi. L'altra opzione prevede l'utilizzo
di una query di log analytics per elencare gli specifici FQDN richiesti e quindi consentirli in modo
esplicito nella regola dell'applicazione del firewall.
• Crea una raccolta di regole di rete e consenti il traffico dall'indirizzo IP privato di AD DS a * per
le porte TCP e UDP 53, quindi consenti il traffico dalle macchine virtuali di Windows Virtual
Desktop alla porta TCP 1688 di Windows Activation Service.

Informazioni più dettagliate su questa configurazione sono disponibili nella guida Accesso in uscita
al pool di host per Windows Virtual Desktop.

Accesso in uscita al pool di host per Internet

A seconda del caso d'uso, potrebbe essere necessario abilitare l'accesso in uscita sicuro a Internet
per gli utenti. Se l'elenco delle destinazioni consentite è ben definito (ad esempio, per l'accesso
a Microsoft 365), puoi usare l'applicazione Firewall di Azure e le regole di rete per configurare
l'accesso richiesto. Se invece le applicazioni sono meno definite, potrebbe essere più difficile
inserire queste destinazioni nell'elenco di quelle consentite. Naturalmente, puoi anche usare
una configurazione proxy esplicita nei Web browser o in altre applicazioni in esecuzione sul
pool di host di Windows Virtual Desktop se vuoi filtrare il traffico Internet in uscita degli utenti
con un gateway Web sicuro locale già disponibile.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 26

Procedure consigliate per la sicurezza di Azure

In questa sezione vengono fornite indicazioni generiche su come implementare misure di

sicurezza con il Centro sicurezza di Azure, come migliorare il punteggio della sicurezza e come
usare la baseline di sicurezza di Azure per Windows Virtual Desktop.

Centro sicurezza di Azure

Il Centro sicurezza di Azure offre funzionalità gratuite per la gestione del livello di sicurezza con
Secure Score e funzionalità di protezione dalle minacce con l'integrazione di Azure Defender.

In generale, si consiglia di monitorare il punteggio di sicurezza per rafforzare la sicurezza

complessiva dell'ambiente, incluso Windows Virtual Desktop. Per iniziare, consulta questa guida
introduttiva alla configurazione del Centro sicurezza di Azure.

Secure Score fornisce consigli e procedure consigliate per migliorare la sicurezza complessiva. Questi
consigli sono ordinati in base alla priorità per aiutarti a scegliere quelli più importanti, mentre le
opzioni di correzione rapida permettono di risolvere velocemente le potenziali vulnerabilità. Grazie
al costante aggiornamento di questi suggerimenti, sei sempre al corrente delle soluzioni più efficaci
per garantire la sicurezza del tuo ambiente. Per saperne di più, vedi Punteggio di sicurezza nel
Centro sicurezza di Azure.

Una volta avviato il monitoraggio dello stato di sicurezza, è consigliabile abilitare Azure Defender per
proteggere i workload nel cloud ibrido, ad esempio macchine virtuali, SQL, account di archiviazione,
container e insiemi di credenziali delle chiavi. Con Azure Defender puoi ottenere un elenco ordinato
per priorità degli avvisi di minacce, gestire le vulnerabilità e valutare l'adeguamento con framework
diffusi come PCI.

Gli avvisi di sicurezza possono essere gestiti dal portale di Azure Defender e possono anche essere
esportati nello strumento Security Information and Event Management (SIEM) per eseguire analisi
e azioni correttive. Lo strumento SIEM cloud di Microsoft si chiama Azure Sentinel. L'integrazione
del Centro sicurezza di Azure con Azure Sentinel è estremamente vantaggiosa per il tuo centro delle
operazioni di sicurezza.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 27

Azure Sentinel è uno strumento SIEM nativo per il cloud che fornisce analisi della sicurezza
intelligenti in tutta l'azienda, raccogliendo dati tra tutti gli utenti, i dati, le applicazioni e
l'infrastruttura. Azure Sentinel usa l'intelligenza artificiale e l'apprendimento automatico per rendere
più intelligente e veloce il rilevamento delle minacce. Inoltre, la sua natura nativa per il cloud elimina
i costi, l'infrastruttura e la manutenzione associati agli strumenti SIEM tradizionali. In particolare
per Windows Virtual Desktop, Azure Sentinel può raccogliere i log eventi di Windows dagli host di
sessione, gli avvisi di Microsoft Defender per endpoint e la diagnostica di Windows Virtual Desktop.
Quest'ultima funzionalità del servizio Windows Virtual Desktop registra le informazioni ogni volta
che a un utente viene assegnato un ruolo Windows Virtual Desktop e usa il servizio.

Per altre informazioni, puoi vedere anche l'articolo che illustra come usare Log Analytics per la
funzionalità di diagnostica per Windows Virtual Desktop.

Baseline di sicurezza di Azure per Windows Virtual Desktop

La baseline di sicurezza di Azure per Windows Virtual Desktop applica le linee guida di Azure
Security Benchmark versione 2.0 a Windows Virtual Desktop. Fornisce consigli su come proteggere
le soluzioni cloud in Azure. Il contenuto della baseline di sicurezza di Azure per Windows Virtual
Desktop è suddiviso in modo intuitivo in base ai controlli di sicurezza definiti da Azure Security
Benchmark e alle indicazioni correlate applicabili a Windows Virtual Desktop.

La tabella seguente fornisce collegamenti diretti agli argomenti trattati nella baseline:

Baseline di sicurezza di Azure per Windows Virtual Desktop

NS - Sicurezza di rete
IM - Gestione delle identità
PA - Accesso con privilegi
DP - Protezione dei dati
AM - Gestione delle risorse
LT - Registrazione e rilevamento delle minacce
IR - Risposta agli eventi imprevisti
PV - Gestione dello stato e delle vulnerabilità
ES - Sicurezza degli endpoint
BR - Backup e ripristino
GS - Governance e strategia

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 28

Conclusione

Riepilogo

Abbiamo iniziato questo manuale evidenziando l'importanza di proteggere l'ambiente di Windows

Virtual Desktop e illustrando l'architettura di alto livello di una distribuzione tipica. Abbiamo quindi
spiegato come proteggere le identità che accedono al tuo ambiente usando l'accesso condizionale
e come raccogliere i log di controllo. Proseguendo, abbiamo descritto come proteggere i dati
degli utenti con i profili FSLogix e la crittografia del disco. Abbiamo introdotto poi la protezione
delle applicazioni e degli host di sessione, Azure Defender per endpoint, AppLocker, l'applicazione
di patch, il blocco e la gestione della sicurezza di Microsoft 365. Infine, abbiamo fornito indicazioni
sulla protezione dell'accesso alla rete per il Windows Virtual Desktop, trattando argomenti come
la connessione inversa, Firewall di Azure e la baseline di sicurezza di Azure.

Ci auguriamo che questo manuale sui concetti fondamentali della sicurezza di Windows Virtual
Desktop ti abbia aiutato a comprendere meglio come proteggere le distribuzioni di Windows Virtual
Desktop dei tuoi clienti. Controlla la sezione Risorse per altre informazioni e assistenza per iniziare.

Risorse

Ecco alcune risorse utili che puoi usare durante il percorso verso Windows Virtual Desktop
e l'abilitazione della sicurezza:

• Leggi altre informazioni sulle procedure consigliate per la sicurezza di Windows Virtual Desktop.
• Segui la baseline di sicurezza di Azure per Windows Virtual Desktop.
• Testa le tue conoscenze sulla sicurezza di Windows Virtual Desktop con questo modulo
di formazione.
• Inizia subito creando un account Azure gratuito.
• Contatta il reparto vendite di Azure per una guida personalizzata su prezzi, requisiti tecnici
e soluzioni per abilitare il lavoro da remoto sicuro.
• Iscriviti al programma di migrazione di Azure per ottenere indicazioni e il supporto degli esperti
sulla migrazione di VDI locali.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 29

Glossario

La tabella seguente contiene un glossario della terminologia usata in questo manuale.

Termine Descrizione
Una directory è una struttura gerarchica che archivia le informazioni sugli oggetti nella
Active Directory Domain rete. Un servizio di directory, ad esempio Active Directory Domain Services (AD DS),
Services fornisce i metodi per archiviare i dati della directory e renderli disponibili agli utenti e agli
amministratori di rete.
Azure Active Directory Azure AD è il servizio Microsoft basato sul cloud per la gestione delle identità e degli
(Azure AD) accessi che consente ai dipendenti di collegarsi e accedere alle risorse.
Application Control è stato progettato come una funzionalità di sicurezza basata sui criteri
Microsoft Defender di servizio definiti da Microsoft Security Response Center (MSRC) e consente di controllare
Application Control i dispositivi Windows 10 con criteri che definiscono se un driver o un'applicazione specifici
possono essere eseguiti su un dispositivo.
Microsoft Security Response Center (MSRC) funge da punto centralizzato per le
Microsoft Security comunicazioni e il coordinamento della sicurezza di Microsoft ed è gestito dagli esperti
Response Center (MSRC) più affermati a livello mondiale. MSRC identifica, monitora, risolve e risponde agli
incidenti di sicurezza, incluse le vulnerabilità nel software Microsoft.
FSLogix è progettato per il roaming dei profili in ambienti di calcolo remoto, ad esempio
FSLogix
Windows Virtual Desktop. Archivia un profilo utente completo in un singolo container.

Windows Virtual Desktop Servizio di virtualizzazione di desktop e app eseguito in Microsoft Azure.

Gruppi di sicurezza Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o bloccano
di rete (NSG) il traffico di rete in ingresso o in uscita da diversi tipi di risorse di Azure.
AppLocker consente di controllare quali app e file possono essere eseguiti dagli utenti.
AppLocker Questi includono file eseguibili, script, file di Windows Installer, DLL (librerie a collegamento
dinamico), pacchetti di app e pacchetti di programmi di installazione di app.
Windows 10 Enterprise multisessione, precedentemente noto come Windows 10
Windows 10 Enterprise
Enterprise per desktop virtuali (EVD), è un nuovo host di sessione del desktop remoto che
multisessione
consente più sessioni interattive simultanee.
Il servizio Azure NetApp Files è un servizio di storage dei file a consumo, ad alte
Azure NetApp Files performance e di classe Enterprise. Azure NetApp Files supporta qualsiasi tipo di workload
ed è altamente disponibile per impostazione predefinita.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 30

Informazioni sull'autore

Freek Berson è Cloud Solutions Architect, specializzato nella distribuzione di applicazioni e desktop
basata sulla tecnologia remota. Ha una lunga esperienza nel settore RDS ed è stato insignito del
titolo Microsoft Most Valuable Professional (MVP) dal 2011.

Freek si impegna attivamente nella community. Interviene in varie conferenze in tutto il mondo, tra
cui Microsoft Ignite, Microsoft Ignite | The Tour, Microsoft TechSummit, Microsoft TechDays, Azure
Saturday, BriForum, E2EVC, ExpertsLive e molti altri eventi (online). È anche autore di libri pubblicati.

Lavora presso Wortell, una società di integratori cloud con sede nei Paesi Bassi, dove si occupa
di elaborazione degli utenti finali, principalmente sulla piattaforma Microsoft, con particolare
attenzione ad Azure.

È anche Managing Partner di RDS Guru. Gestisce il suo blog personale, disponibile all'indirizzo
themicrosoftplatform.net, dove scrive articoli e post di blog correlati a Windows Virtual Desktop,
RDS, Azure e altre tecnologie Microsoft.

Puoi seguirlo su Twitter all'indirizzo @fberson e leggere i suoi contributi nel suo account GitHub.

© 2021 Microsoft Corporation. Tutti i diritti sono riservati.

Questo documento viene fornito "così com'è". Le informazioni fornite e le opinioni espresse nel presente documento, inclusi gli URL e altri riferimenti a siti Web Internet,
possono variare senza preavviso. Qualsiasi rischio correlato all'uso del documento è a carico dell'utente. Questo documento non garantisce alcun diritto legale sulla
proprietà intellettuale di nessun prodotto Microsoft. Il presente documento può essere copiato e utilizzato esclusivamente per uso interno e a scopo di riferimento.

Manuale di Windows Virtual Desktop: concetti fondamentali sulla sicurezza 31