Sdílet prostřednictvím

Možnosti nasazení sítí ve Windows 365

  • Článek

Máte dvě možnosti síťového nasazení služby Windows 365:

  • Použití sítě hostované Microsoftem
    • Doporučená možnost.
    • Ideální pro funkce SaaS (Software-as-a-Service) windows 365 s jednoduchostí, spolehlivostí a škálovatelností.
    • Podporuje model identity microsoft entra join.
    • Žádné požadavky na předplatné Azure nebo odborné znalosti.
  • Použití Azure Network Connections (ANC)
    • Podporuje modely identit hybridního spojení Microsoft Entra join i Microsoft Entra.

Síť hostovaná Microsoftem

Tato možnost je jednoduchá, spolehlivá a škálovatelná a nabízí připojení ke cloudovým počítačům, kde Microsoft poskytuje službu se skutečným přístupem SaaS. S touto možností Microsoft:

  • Nastaví a plně spravuje infrastrukturu a související služby potřebné k doručování funkčních cloudových počítačů uživatelům.
  • Spravuje síť, kterou cloudové počítače zabírají.
  • Poskytuje model založený na architektuře nulové důvěry prostředí koncového uživatele (EUC). Další informace najdete v tématu Další informace o koncových bodech nativních pro cloud.

Jedinou odpovědností zákazníka je konfigurace a správa cloudových počítačů.

Microsoft doporučuje zákazníkům, aby tuto možnost používali pro nasazení Windows 365.

Nemusíte zavádět vlastní předplatná Azure, plánovat, navrhovat, nasazovat ani spravovat infrastrukturu. Zákazníci můžou svůj tým EUC zaměřit na správu konfigurací a zabezpečení cloudových počítačů z jediné konzoly pro správu, kterou poskytuje Intune.

Tato možnost je obdobou poskytování notebooku zaměstnanci, který bude používat doma. Vy jako organizace nemáte kontrolu nad sítí, ve které se zařízení nachází. Plně řídíte konfiguraci, zabezpečení a připojení zařízení s Windows k místní síti. Ve Windows 365 je toto řízení možné díky kompletním adaptivním ovládacím prvkům a konfiguracím zabezpečení v souladu s architekturou nulové důvěryhodnosti.

Uživatelé mohou být například ověřeni pomocí adaptivního řízení podmíněného přístupu Microsoft Entra. Podnikové připojení je možné doručovat pomocí sítě VPN. Zabezpečení internetu může používat cloudovou zabezpečenou webovou bránu (SWG). Výhodou je, že zařízení je možné nasadit ve velkém měřítku v krátkém časovém období, kdykoli je to potřeba, v síti s velkou šířkou pásma a odolností.

Diagram: Možnost sítě hostované Microsoftem – Pouze připojení k Microsoft Entra

Tento diagram znázorňuje síť hostované Microsoftem s cloudovým počítačem a virtuální síťovou kartou v rámci předplatného spravovaného Microsoftem.

Diagram možnosti sítě hostované Microsoftem

Výhody možnosti sítě hostované Microsoftem

  • Nevyžaduje se žádné předplatné Azure. Microsoft poskytuje a plně spravuje infrastrukturu potřebnou k provozu cloudového počítače. Vše, co potřebujete, jsou požadované licence.
  • Žádné další náklady na síťovou infrastrukturu. Náklady na Azure na provoz vlastní virtuální sítě a virtuálních zařízení se nevztahují. O síťovou infrastrukturu se stará Microsoft.
  • Nevyžaduje se žádná odbornost ani správa sítí Azure. Virtuální síť plně spravuje Microsoft.
  • Nízká složitost a rychlé nasazení. Nasazení je velmi složité kvůli minimálním závislostem na prvkách na straně zákazníka.
  • Nulové zarovnání důvěryhodnosti. Model nulové důvěryhodnosti operací pro signály uživatele, koncového bodu, úlohy a dat se používá k ověření, nikoli k použití vztahu důvěryhodnosti u síťového umístění.
  • Jednodušší řešení potíží a operace. Řešení potíží se sítěmi a jejich přesné určení a přijetí moderní správy zařízení na základě zásad Intune, ovládacích prvků zabezpečení a integrovaných možností vytváření sestav je jednodušší.

Úvahy

Než použijete možnost sítě hostované Microsoftem, projděte si tyto důležité informace:

  • Tato možnost není kompatibilní s modelem hybridního připojení Microsoft Entra. Tato možnost je výhradně cloudové nasazení bez připojení k místní infrastruktuře služby Active Directory Domain Services. Pokud máte zásady správy založené na objektech zásad skupiny, které se nedají převést na Intune, není tato možnost pro vás ta pravá.
  • Virtuální síť není pod kontrolou. Virtuální síťová karta je spravovaná Microsoftem. Proto musí být všechny síťové ovládací prvky implementovány na samotném cloudovém počítači, podobně jako u fyzických zařízení ve scénáři z práce z domova.
  • Žádný přímý přístup k místním prostředkům. Pro přístup k těmto prostředkům se vyžaduje řešení VPN nebo privátního přístupu. Pokud používáte sítě VPN s cloudovým počítačem, pomocí rozděleného tunelového propojení se ujistěte, že provoz protokolu RDP nebude směrován přes síť VPN.
  • Vyžaduje provozní model správy nativní pro cloud, jako je Intune.
  • Port 25 je zablokovaný.
  • Příkaz Ping/ICMP je zablokovaný.
  • Místní síťová komunikace mezi cloudovými počítači je blokovaná.
  • Ke cloudovým počítačům není možné přímé příchozí připojení.
  • Neexistuje žádný způsob, jak by správci mohli řídit rozsahy IP adres nebo adresní prostor přiřazený cloudovým počítačům. Systém Windows 365 zpracovává IP adresy automaticky.

Možnost síťového připojení Azure

S možností nasazení Azure Network Connection (ANC) máte plně na starosti virtuální síť a její konfiguraci. Pokud používáte model hybridního připojení Microsoft Entra, musíte použít tuto možnost nasazení. Tato možnost poskytuje přehled o vašich místních prostředcích Azure Directory a umožňuje přizpůsobit cíle sítě a zabezpečení, jako jsou:

  • Dopravní trasy.
  • Porty a protokoly.
  • Připojení služby Active Directory DS a obchodních aplikací.
  • Připojení brány pomocí sítě VPN nebo ExpressRoute.
  • Adresní prostor používaný cloudovými počítači
  • Oprávnění ke komunikaci mezi cloudovými počítači.
  • Přímé připojení RDP ke cloudovým počítačům

Virtuální síť vyberete z virtuální sítě ve vašem předplatném Azure. Nakonfigurujete zásady zřizování, které ve vaší virtuální síti vytvoří cloudové počítače. Budete spravovat připojení ke cloudovým počítačům, včetně všech přímých odchozích přenosů z virtuální sítě a požadované cesty přístupu k internetu.

Připojení k síti Azure podporuje dva modely nasazení identit:

  • Microsoft Entra join
  • Hybridní připojení k Microsoft Entra

Microsoft Entra join

Pokud používáte připojení k Microsoft Entra, nemusíte vytvářet připojení z virtuální sítě k místní síti. Musíte jenom zajistit, aby k požadovaným koncovým bodům existovalo odchozí internetové připojení. Můžete ale chtít přidat místní připojení pro přístup k prostředkům umístěným na místních souborových serverech a aplikacích. Připojení můžete vytvořit pomocí ExpressRoute nebo vpn typu site-to-site, ale tyto možnosti představují dodatečné náklady a složitost.

Pro zjednodušení doporučujeme, abyste při použití připojení k Microsoft Entra použili možnost sítě hostované Microsoftem, kterou jste popsali dříve. V takovém případě můžete pro přístup k podnikovým prostředkům použít vpn nebo řešení privátního přístupu přes internet.

Diagram: Možnost ANC – Microsoft Entra join

Diagram možnosti připojení k Microsoft Entra v ANC

Hybridní připojení k Microsoft Entra

U hybridního připojení Microsoft Entra se vyžaduje připojení k místní síti z virtuální sítě. Jediným způsobem, jak se dostat k infrastruktuře řadiče domény, která se tam nachází, je použít možnost nasazení ANC. Toto připojení je důležitou součástí, proto je potřeba věnovat pozornost zajištění spolehlivosti a redundance.

Diagram: Možnost ANC – Microsoft Entra Hybrid Join

Diagram možnosti hybridního spojení ANC Microsoft Entra

Výhody možnosti ANC

  • Úplná kontrola nad virtuální sítí Síťová karta cloudového počítače se nachází ve vaší vlastní spravované virtuální síti.
  • Přímý pohled na místní infrastrukturu Virtuální síť je možné nakonfigurovat s připojením VPN typu site-to-site nebo ExpressRoute zpět k místní síti pro přímé připojení k infrastruktuře azure Directory nebo službám a aplikacím, které se tam nacházejí.
  • Cloud PC funguje tak, jako by byl v místním umístění. Rozšíření podnikové sítě do virtuální sítě znamená, že cloudový počítač může fungovat, jako by byl v rámci hranic podnikové sítě.
  • Jednoduchý partnerský vztah s jinými virtuálními sítěmi Jednoduché křížové připojení mezi virtuální sítí Cloud PC a dalšími virtuálními sítěmi v Azure To podporuje přímé připojení k dalším prostředkům hostovaným v Azure, které organizace používá.

Úvahy

Než použijete možnost nasazení ANC, projděte si tyto důležité informace:

  • Vyžaduje se předplatné Azure. Virtuální síť použitá v tomto scénáři je ve vašem vlastním předplatném Azure. Proto musíte mít předplatné Azure a požadované licence.
  • Náklady na výchozí přenos dat. Vzhledem k tomu, že je virtuální síť přidružená k vašemu vlastnímu účtu Azure, veškeré náklady na výchozí přenos dat se účtují do vašeho předplatného Azure.
  • Dodatečné náklady na síťovou infrastrukturu. Náklady na Azure na provoz vlastní virtuální sítě se použijí na předplatné přidružené k virtuální síti.
  • Vyžadují se odborné znalosti nebo správa sítí Azure. K údržbě virtuální sítě musíte poskytnout odborné znalosti a správu.
  • Vyšší složitost. Musíte spravovat a udržovat síť, což je složitější úkol než použití sítě hostované Microsoftem.
  • Delší nasazení. Nasazení je obvykle delší než u možnosti sítě hostované Microsoftem. Tato doba navíc je způsobená vysokým počtem prvků na straně zákazníka, které musí být nakonfigurovány jako první.
  • Vyšší riziko. Nasazení ANC je složitější než síťové nasazení hostované Microsoftem. Tato složitost zvyšuje riziko problémů s připojením.

Souběžné možnosti

Možnosti sítě hostované Microsoftem a ANC je možné používat současně. Možnost ANC můžete například použít pro podmnožinu nasazení, která mají jedinečné starší požadavky. Pro zbytek nasazení bez těchto požadavků můžete použít možnost sítě hostované Microsoftem.

Další kroky

Přečtěte si další informace o procesu nasazení.