Windows 365 Azure-Netzwerkverbindung

Windows 365 bietet cloudbasierte Windows-Computerinstanzen namens Cloud-PCs , die Benutzern personalisierte, optimierte Desktopfunktionen bieten. Jeder Cloud-PC ist in die folgenden Microsoft Cloud-Dienste integriert, um Sicherheit, Verwaltung und Konnektivität auf Unternehmensniveau bereitzustellen:

• Intune für Geräteverwaltung, Sicherheitsrichtlinien und Anwendungsbereitstellung

• Microsoft Entra ID für Identitätsverwaltung und Zugriffssteuerung

• Azure Virtual Desktop für sichere Remotekonnektivität und Sitzungsverwaltung

Cloud-PCs werden im Windows 365-Dienst ausgeführt und bieten Benutzern konsistente Windows-Desktopfunktionen, auf die sie von jedem Beliebigen Gerät aus zugreifen können. Dieser Artikel konzentriert sich auf Windows 365-Bereitstellungen, die Azure-Netzwerkverbindungen verwenden, um in Ihre vorhandene Netzwerkinfrastruktur und lokale Ressourcen zu integrieren.

Das Modell der gemeinsamen Verantwortung in Windows 365

Windows 365 ist eine SaaS-Lösung (Software-as-a-Service). Microsoft verwaltet einige Komponenten in Windows 365-Diensten, während Sie andere Komponenten verwalten. Ihre Verantwortungsstufe hängt von Ihrem Architekturmuster für die Bereitstellung ab.

Die Windows 365-Verwaltungsaufgaben sind in drei Bereiche unterteilt:

• Einsatz: Planen und Bereitstellen der Komponente des Diensts.

• Lebenszyklus: Verwalten Sie die Komponente während des gesamten Lebenszyklus, z. B. Patching und Sicherung.

• Konfiguration: Konfigurieren Sie die Komponente, um erforderliche Einstellungen für ein Szenario anzuwenden.

Das folgende Diagramm zeigt die Verantwortungsmatrix einer Windows 365-Bereitstellung mithilfe des empfohlenen von Microsoft gehosteten Netzwerks, mit Microsoft Entra-Einbindung und Katalogimages mit Windows Autopatch. Diese Konfiguration erfordert nicht, dass Sie viele Komponenten und Lebenszyklusphasen verwalten und viele Vorteile bieten.

Hinweis

Das folgende Diagramm stellt die Zuständigkeiten aus der Infrastrukturperspektive dar, z. B. das Einrichten der Hardware und des Netzwerks und deren Wartung. Dies umfasst nicht die Einrichtung von Windows 365 oder des Intune-Mandantenabonnements.

Diese Matrix zeigt, dass Microsoft alle Aspekte der Bereitstellung, des Lebenszyklus und der Konfigurationsschritte für die folgenden Komponenten verwaltet: Virtual Desktop, Windows 365, Cloud PC-Infrastruktur, Cloud-PC-VMs, Intune, virtuelle Cloud-PC-NICs, Azure-Abonnement, Ressourcengruppen, Azure Storage, virtuelles Netzwerk und Routingkonfiguration. Die einzige Ausnahme ist der Konfigurationsschritt von Intune, was die Verantwortung des Kunden ist. Azure Storage ist als optional gekennzeichnet. Der Kunde verwaltet alle Schritte von Microsoft Entra ID, Azure DNS, Gastbetriebssystem, Anwendungen und Cloud PC-Sicherheit.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Das folgende Diagramm zeigt eine typische Windows 365-Bereitstellung, die eine Azure-Netzwerkverbindung verwendet. Es zeigt die Komponenten, die Microsoft verwaltet, und die Komponenten, die Sie in den Lebenszyklusphasen eines Cloud-PCs verwalten.

Diese Matrix zeigt, dass Microsoft alle Aspekte der Bereitstellung, des Lebenszyklus und der Konfigurationsschritte für die folgenden Komponenten verwaltet: Virtual Desktop, Windows 365, Cloud PC-Infrastruktur, Cloud-PC-VMs, Intune und virtuelle Cloud-PC-NICs. Die einzige Ausnahme ist der Konfigurationsschritt von Intune, was die Verantwortung des Kunden ist. Der Kunde verwaltet alle Schritte des Azure-Abonnements, Ressourcengruppen, Azure Storage, Virtual Network, Routingkonfiguration, VPN oder Azure ExpressRoute, Microsoft Entra ID, Azure DNS, Gastbetriebssystem, Anwendungen und Cloud PC-Sicherheit. Azure Storage ist als optional gekennzeichnet.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Empfohlenes Architekturmuster

Es wird empfohlen, Windows 365 mit den folgenden Komponenten bereitzustellen, um eine SaaS-Erfahrung zu erhalten:

• Microsoft Entra-Einbindung
• Ein von Microsoft gehostetes Netzwerk
• Katalogimages
• Ein intune-basierter Mobile Device Management (MDM)-Dienst mit App- und Betriebssystemkonfiguration
• Eine Windows 365-App für Cloud-PC-Zugriff

Dieses Muster bietet die maximalen Vorteile des Diensts.

Dieses Diagramm zeigt ein Azure-Netzwerk, das Kundenabonnements und Azure-Abonnements enthält. Der Abschnitt "Kundenabonnement" enthält Intune und die Microsoft Entra-ID. Der Abschnitt "Azure-Abonnement" enthält Windows 365 und ein virtuelles Netzwerk. Die folgenden Komponenten befinden sich außerhalb des Azure-Netzwerks: Eine Windows 365-App, Windows 11-Katalogbilder für Windows 365, direkten Internetdatenverkehr und ein Kundennetzwerk. Die Windows 365-App verweist im Azure-Abonnement auf Windows 365. Windows 365 stellt eine Verbindung mit den Katalogimages bereit. Das virtuelle Netzwerk verweist auf den direkten Internetdatenverkehr, bei dem es sich um einen optionalen Routingpfad handelt. Das virtuelle Netzwerk verweist über ein optionales VPN oder eine private Zugriffsverbindung auf das Unternehmensnetzwerk des Kunden.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Das vorherige Architekturmuster maximiert den Wert von Windows 365 und bietet die folgenden Vorteile:

• Vereinfachte und schnellere Bereitstellung
• Minimale bis gar keine Abhängigkeiten
• Vollständige Unterstützung für das Zero Trust-Framework
• Vereinfachte Problembehandlung
• Self-Service-Problembehandlung durch Benutzer*innen
• Reduzierung von Mehraufwand und Verwaltung
• Maximale Stabilität bei Software- und Anwendungsbereitstellung

Die Architektur des Windows 365-Diensts

Das folgende Diagramm stellt die Komponenten im Windows 365-Dienst dar. Diese Architektur verwendet Intune und Microsoft Entra ID, die Kernanforderungen von Windows 365 sind. Sie enthält auch optionale Komponenten wie Azure Virtual Network. Es werden Azure-Netzwerkverbindungs- und von Microsoft gehostete Netzwerkoptionen angezeigt, die sich gegenseitig ausschließen.

Dieses Diagramm enthält sechs Hauptabschnitte: Windows 365-Clients, Windows 365-Dienst, Azure Virtual Desktop, Microsoft Entra ID, Intune und ein Azure-Abonnement für Kunden. Die Windows 365-Clients, Virtual Desktop und ein virtuelles Netzwerk im Windows 365-Dienst stellen eine Internetverbindung her. Die Microsoft Entra-ID stellt eine Verbindung mit Clients bereit. Intune stellt über die Intune-Webkonsole eine Verbindung mit der Microsoft Entra-ID bereit. Clients stellen eine Verbindung mit dem Benutzerportal in Windows 365 her. Das Azure-Abonnement des Kunden verfügt über eine optionale Verbindung mit einem nicht von Microsoft stammenden VPN und mit dem virtuellen Netzwerk in Windows 365. Das VPN verfügt über eine optionale Verbindung mit einem lokalen Netzwerk, das auch eine Verbindung mit ExpressRoute im Abonnement herstellt. Active Directory und Configuration Manager stellen eine Verbindung mit diesem lokalen Netzwerk her. Der Intune-Abschnitt enthält drei Unterabschnitte: Konfigurieren von Geräten, Schützen von Daten und Verwalten von Apps. Sie enthält auch Autopilot und Autopatch, Co-Management und RBAC. Der Intune-Abschnitt verweist auf Windows Update for Business und Microsoft Defender für Endpunkt. Das virtuelle Netzwerk in Windows 365 enthält ein von Microsoft gehostetes Netzwerk und eine Azure-Netzwerkverbindung. Beide Komponenten verweisen auf den Abschnitt "Virtual Desktop", der ein Gateway, einen Broker und ein Web enthält. Die Azure-Netzwerkverbindung verfügt auch über eine optionale Verbindung mit einem Cloud-PC. Microsoft Hosted verfügt über eine Standardverbindung mit einem Cloud-PC.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Die folgenden Abschnitte erweitern die Azure-Netzwerkverbindungsoptionen.

Virtueller Desktop

Virtual Desktop ist eine Azure-basierte Lösung für virtuelle Desktopinfrastrukturen. Microsoft verwaltet Virtual Desktop. Sie stellt eine Plattform als Servicelösung (PaaS)-Stil bereit. Windows 365 verwendet die Netzwerkverwaltungskomponenten von Virtual Desktop, um die Konnektivität mit von Microsoft gehosteten Cloud-PCs zu ermöglichen. Zu diesen Komponenten gehören der Virtual Desktop-Gatewaydienst, ein Verbindungsbrokerdienst und ein Webdienst. Sie bieten eine nahtlose Verbindung zu Windows 365 Cloud-PCs.

Weitere Informationen finden Sie unter Virtual Desktop for the Enterprise.

Dieses Diagramm enthält drei Hauptabschnitte, ein Azure-Abonnement, ein lokales Netzwerk sowie Azure Files und Azure NetApp Files. Das Abonnement enthält ein virtuelles Hubnetzwerk und ein virtuelles Spoke-Netzwerk. Das virtuelle Hubnetzwerk enthält ein Gatewaysubnetz, ein Umkreiszonen-Subnetz, ein Desktop-Subnetz und ein Active Directory-Subnetz. Das Active Directory-Subnetz stellt über Peering eine Verbindung zu einem Desktop-Spoke-Virtualnetzwerk her. Das Hubdesktop-Subnetz stellt eine Verbindung mit einem Speicherkonto im Abschnitt "Azure Files" bereit. Alle Subnetze außer dem Gatewaysubnetz verfügen über Netzwerksicherheitsgruppen. Das lokale Netzwerk enthält einen Microsoft Entra Connect-Server, einen optionalen AD DS-Server, ein Netzwerkgateway und Endpunkte. Sie stellt über eine ExpressRoute-Verbindung eine Verbindung mit dem Azure-Abonnement bereit. Und es stellt eine Verbindung mit microsoft Entra ID über Microsoft Entra Connect her. Das Netzwerkgateway verweist auf die virtuelle Netzwerk-Appliance im Umkreisnetzwerksubnetz. Die Virtual Desktop-Steuerebene befindet sich oben im Diagramm unter Microsoft Entra ID. Es umfasst Webzugriff, ein Gateway, einen Broker, eine Diagnose und eine REST-API.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Hinweis

Windows 365 verwendet die Komponenten in der Virtual Desktop-Steuerungsebene , um Benutzer- und Cloud-PC-Verbindungen zu erleichtern. Daher erbt er die meisten verbindungsbezogenen Funktionen von Azure Virtual Desktop. Machen Sie sich mit der Funktionsweise von Virtual Desktop-Netzwerken vertraut, wenn Sie die Azure-Netzwerkverbindungsarchitektur in diesem Artikel entwerfen.

Intune

Intune ist eine cloudbasierte Endpunktverwaltungslösung, mit der Sie Berichte anzeigen und nutzen und die folgenden Elemente verwalten können:

• App-Bereitstellung
• Windows-Updates
• Geräteverwaltungskonfigurationen
• Sicherheitsrichtlinien

Intune vereinfacht die App- und Geräteverwaltung auf vielen Geräten, einschließlich mobiler Geräte, Desktopcomputer und virtueller Endpunkte.

Sie können Intune verwenden, um den Zugriff und die Daten auf unternehmenseigenen und persönlichen Geräten zu schützen. Intune verfügt außerdem über Compliance- und Berichterstellungsfeatures, die das Zero Trust-Sicherheitsmodell unterstützen. Weitere Informationen finden Sie unter Erstellen eines Gerätekonfigurationsprofils.

Architekturmuster

Ein Architekturmuster beschreibt Komponenten und zeigt Konfigurationen an, die Sie zum Bereitstellen eines Diensts oder Produkts verwenden können. Weitere Informationen finden Sie unter "Gehostet im Auftrag von" Architektur.

Sehen Sie sich die folgenden Muster für Azure-Netzwerkverbindungen an:

Azure-Netzwerkverbindung mit Microsoft Entra-Beitritt: In diesem Muster verwenden Microsoft Entra-verbundene Cloud-PCs eine Azure-Netzwerkverbindung, um eine Verbindung mit Ressourcen in lokalen Umgebungen herzustellen, die keine Kerberos- oder Windows New Technology LAN Manager(NTLM)-Authentifizierung erfordern. Beispielsweise können Cloud-PCs eine Verbindung mit geschäftskritischen Anwendungen, Dateifreigaben oder anderen Anwendungen herstellen.

Azure-Netzwerkverbindung mit der Microsoft Entra-Hybrideinbindung: Bei diesem Muster Cloud-PCs mit Microsoft Entra-Hybrideinbindung die Azure-Netzwerkverbindung für den Domänenbeitritt über einen lokalen Microsoft Entra ID-Domänencontroller. Der Cloud-PC authentifiziert sich beim lokalen Domänencontroller, wenn Benutzer auf den Cloud-PC, lokale Apps oder Cloud-Apps zugreifen, die Kerberos- oder NTLM-Authentifizierung erfordern.

Architekturmuster mit Azure-Netzwerkverbindung

Bei einigen Mustern stellt der Windows 365-Dienst eine Verbindung mit lokalen Umgebungen über das virtuelle Netzwerk mithilfe von Azure ExpressRoute oder einem Site-to-Site-VPN bereit. Eine Azure-Netzwerkverbindung, bei der es sich um ein Intune-Objekt handelt, stellt diese Konnektivitätsmethode dar. Die Azure-Netzwerkverbindung ermöglicht es Cloud-PCs, eine Verbindung mit lokalen Ressourcen wie Windows Server Active Directory oder LOB-Apps herzustellen.

Der Windows 365-Dienst verwendet diese Verbindung während der Cloud-PC-Bereitstellung, um Cloud-PCs mit einer lokalen Microsoft Entra-Domäne zu verbinden und Integritätsprüfungen durchzuführen, um die Bereitstellungsbereitschaft sicherzustellen.

In der folgenden Tabelle wird eine Abhängigkeit für eine Azure-Netzwerkverbindung in der Hybridbeitrittsarchitektur von Microsoft Entra aufgeführt. Windows 365 führt eine automatische Gesundheitsprüfung für diese Abhängigkeit durch.

Abhängigkeit	Windows 365-Überprüfung	Empfehlungen
Microsoft Entra Connect	Überprüft, ob Microsoft Entra Connect eingerichtet und erfolgreich abgeschlossen wurde	- Richten Sie das Microsoft Entra Connect-Synchronisierungsintervall mit dem Standardwert oder dem niedrigsten Wert ein. Längere Synchronisierungsintervalle erhöhen die Möglichkeit eines Cloud-PC-Bereitstellungsfehlers in der Produktion aufgrund eines Timeouts. Weitere Informationen finden Sie unter Fehler bei der Microsoft Entra-Hybrideinbindung. – Einrichten der Domänencontrollerreplikation für Windows Server Active Directory von einem Server im selben Rechenzentrum wie die Windows 365 Azure-Netzwerkverbindung. Diese Methode bietet eine schnellere Replikation. - Richten Sie die Replikation der Microsoft Entra ID-Domänencontroller mit einem Standardwert ein.

In der folgenden Tabelle sind Abhängigkeiten für eine Azure-Netzwerkverbindung für die Microsoft Entra-Hybridbeitritts- oder Microsoft Entra-Verknüpfungsarchitektur aufgeführt. Windows 365 führt automatische Integritätsprüfungen für diese Abhängigkeiten aus.

Abhängigkeit	Windows 365-Überprüfung	Empfehlungen
Azure-Mandantenbereitschaft	Überprüft, ob das Azure-Abonnement aktiviert ist, ohne Sperreinschränkungen und kann zur Verwendung bereit sein.	– Verwenden Sie ein Konto, das über die richtigen Berechtigungen zum Verwalten der Azure-, Intune- und Windows 365-Abonnements verfügt. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung. – Deaktivieren oder Ändern von Azure-Richtlinien, die die Erstellung von Cloud-PCs verhindern. Weitere Informationen finden Sie unter Einschränken zulässiger VM-SKUs .For more information, see Restrict allowed virtual machine (VM) SKUs. – Stellen Sie sicher, dass das Abonnement über ausreichende Ressourcenkontingente für Netzwerke und allgemeine Grenzwerte verfügt, basierend auf der maximalen Anzahl von Cloud-PCs, die Sie erstellen möchten. Beispiele hierfür sind die Netzwerkgatewaygröße, der IP-Adressraum, die Größe des virtuellen Netzwerks und die erforderliche Bandbreite. Weitere Informationen finden Sie unter Grenzwerte für Netzwerke und Allgemeine Grenzwerte.
Bereitschaft virtueller Azure-Netzwerke	Überprüft, ob sich das virtuelle Netzwerk in einer unterstützten Windows 365-Region befindet.	– Erstellen Sie das virtuelle Netzwerk in einer von Windows 365 unterstützten Azure-Region für die Cloud-PC-Bereitstellung. - Erstellen Sie zusätzlich zum Standardsubnetz mindestens ein Subnetz, um die virtuellen Netzwerkadapter des Cloud-PCs bereitzustellen. – Erstellen sie gemeinsam genutzte Netzwerkdienste, z. B. Azure Firewall, VPN-Gateways oder ExpressRoute-Gateways, in einem separaten virtuellen Netzwerk, um Routingsteuerelemente und Erweiterung der Bereitstellung zu ermöglichen. Wenden Sie in virtuellen Netzwerken Netzwerksicherheitsgruppen (NSGs) mit entsprechenden Ausschlüssen an, um die erforderlichen URLs für den Windows 365-Dienst zuzulassen. Weitere Informationen finden Sie unter Netzwerkanforderungen und NSGs.
Nutzung von Azure-Subnetz-IP-Adressen	Überprüft, ob genügend IP-Adressen verfügbar sind	– Erstellen Sie das virtuelle Netzwerk mit ausreichenden IP-Adressen, um die Erstellung von Cloud-PCs und die temporäre IP-Adressreservierung während der Neubereitstellung handhaben zu können. Es wird empfohlen, einen IP-Adressraum zu verwenden, der 1,5 bis 2 mal die maximalen Cloud-PCs ist, die Sie für die Cloud bereitstellen. Weitere Informationen finden Sie unter Allgemeine Netzwerkanforderungen. – Behandeln Sie das virtuelle Azure-Netzwerk als logische Erweiterung Ihres lokalen Netzwerks. Weisen Sie einen eindeutigen IP-Adressraum in allen Netzwerken zu, um Routingkonflikte zu vermeiden.
Endpunktkonnektivität	Überprüft, ob die für die Cloud-PC-Bereitstellung erforderlichen externen URLs über das virtuelle Netzwerk erreichbar sind.	– Alle URLs zulassen, die für die Cloud-PC-Bereitstellung über das virtuelle Azure-Netzwerk erforderlich sind. Weitere Informationen finden Sie unter Zulassen von Netzwerkkonnektivität. – Verwenden Sie Azure Firewall, um Die Vorteile von Windows 365-, Azure Virtual Desktop- und Intune-Tags mit vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zu nutzen. Verwenden Sie die Tags, um Anwendungsregeln zu erstellen und URLs zuzulassen, die für die Bereitstellung von Windows 365-Cloud-PCs erforderlich sind. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Verwalten und Schützen von Windows 365-Umgebungen. – Umgehen oder Ausschließen von RDP-Datenverkehr (Remote Desktop Protocol) von allen Netzwerküberprüfungs-, Proxy- oder Manipulationsgeräten, um Latenz- und Routingprobleme zu vermeiden. Weitere Informationen finden Sie unter Technologien zum Abfangen von Datenverkehr. – Lassen Sie vom Benutzergerät und netzwerkseitig die Windows 365-Dienst-URLs und Ports für Proxy- und Netzwerküberprüfungen zu. – Zulassen interner Azure-IP-Adressen 168.63.129.16 und 169.254.169.254. Diese IP-Adressen stellen die Kommunikation mit Azure-Plattformdiensten wie Metadaten und Heartbeat bereit. Weitere Informationen finden Sie in den folgenden Ressourcen: - IP-Adresse 168.63.129.16 - Azure Instance Metadata Service - Häufig gestellte Fragen zum virtuellen Netzwerk
Intune-Registrierung	Überprüft, ob Intune die Windows-Registrierung zulässt	– Stellen Sie sicher, dass Sie Die Intune-Gerätetypregistrierungseinschränkungen festlegen, um die Windows MDM-Plattform für die Unternehmensregistrierung zuzulassen. – Richten Sie Geräte für die Hybridverknüpfung von Microsoft Entra automatisch ein, indem Sie den Dienstverbindungspunkt für jede Domäne in Microsoft Entra Connect konfigurieren oder das zielbezogene Bereitstellungsmodell verwenden. Weitere Informationen finden Sie unter Konfigurieren der Microsoft-Hybrideinbindung und Zielorientierte Bereitstellung mit Microsoft Entra-Hybrideinbindung.
Microsoft-App-Berechtigungen	Überprüft die Windows 365-App auf Berechtigungen für das Azure-Abonnement des Kunden, die Ressourcengruppe und die virtuellen Netzwerkebenen.	– Stellen Sie sicher, dass das Konto, das Sie zum Einrichten der Azure-Netzwerkverbindung verwenden, Leseberechtigungen für das Azure-Abonnement hat, in dem Sie das virtuelle Azure-Netzwerk erstellen. – Stellen Sie sicher, dass das Azure-Abonnement keine Richtlinien enthält, die Berechtigungen für die von Microsoft verwaltete Windows 365-App blockieren. Die App muss über Berechtigungen auf Abonnement-, Ressourcengruppen- und virtuellen Netzwerkebenen verfügen. Weitere Informationen finden Sie in den Azure-Anforderungen.
Lokalisierungssprachenpaket	Überprüft, ob die Downloadspeicherorte des Sprachpakets erreichbar sind	– Stellen Sie sicher, dass die Firewallregeln im virtuellen Azure-Netzwerk URLs zulassen, die für die entsprechende Version von Windows-Images erforderlich sind. Weitere Informationen finden Sie unter Bereitstellen einer lokalisierten Windows-Umgebung.
RDP-Shortpath	Überprüft, ob die UDP-Konfigurationen (User Datagram Protocol) für Ihre Verbindung eingerichtet sind	- Aktivieren Sie RDP Shortpath für den Cloud-PC-Zugriff, um die Resilienz von UDP zu nutzen. Weitere Informationen finden Sie unter Verwenden von RDP Shortpath für öffentliche Netzwerke mit Windows 365 und Verwenden von RDP Shortpath für private Netzwerke mit Windows 365.
Intune-Lizenz	Überprüft, ob der Mandant über entsprechende Intune-Lizenzen für die Verwendung von Windows verfügt	– Stellen Sie sicher, dass Ihnen die richtigen Intune-Lizenzen gemäß den Lizenzierungsanforderungen zugewiesen sind.
Überprüfung des Single Sign-On (SSO)	Überprüft, ob das Kerberos-Serverobjekt in Windows Server Active Directory erstellt und mit der Microsoft Entra-ID synchronisiert wird	– Stellen Sie sicher, dass Sie die SSO-Option in der Bereitstellungsrichtlinie auswählen. Mit dieser Option können Sie eine Verbindung mit dem Cloud-PC der Richtlinie herstellen, indem Sie Anmeldeinformationen von einem von Intune verwalteten physischen Gerät verwenden, das einer Domäne beigetreten oder in Microsoft Entra eingebunden ist. Weitere Informationen finden Sie unter Erstellen von Bereitstellungsrichtlinien (Forts.).
Domain Name System-(DNS-)Namensauflösung	Überprüft, ob das DNS in der Azure-Netzwerkverbindung die lokale Active Directory-Domäne auflösen kann	- Konfigurieren Sie das virtuelle Azure-Netzwerk mit der Namensauflösung einer lokalen Microsoft Entra-Domäne mithilfe eines benutzerdefinierten DNS, eines privaten DNS oder eines privaten Resolvers. Weitere Informationen finden Sie unter Azure DNS. – Stellen Sie sicher, dass sich die DNS-Server, die Sie im virtuellen Netzwerk konfigurieren, in derselben Region befinden und neu bereitgestellte Cloud-PCs unverzüglich registrieren können. Vermeiden Sie DNS-Weiterleitungen oder -Umleitungen, um Verzögerungen bei der Verteilung zu vermeiden, die zu Verzögerungen oder sogar Fehlern bei der Bereitstellung führen können.
Microsoft Entra-Domänenbeitritt	Überprüft, ob die für den Microsoft Entra-Domänenbeitritt bereitgestellten Anmeldeinformationen gültig sind und Cloud-PCs in die Domäne eingebunden werden können	– Stellen Sie sicher, dass das Konto für den Microsoft Entra-Domänenbeitritt über Berechtigungen für die Microsoft Entra-Organisationseinheit verfügt, die in der Azure-Netzwerkverbindungskonfiguration angegeben ist. – Stellen Sie sicher, dass das Konto kein Standardbenutzerkonto mit einer Domänenbeitrittsbeschränkung ist. Weitere Informationen finden Sie unter Standardlimit für die Anzahl der Arbeitsstationen, die ein Benutzer in die Domäne aufnehmen kann. – Stellen Sie sicher, dass das Konto mit der Microsoft Entra-ID synchronisiert wird. – Stellen Sie sicher, dass die in der Azure-Netzwerkverbindung angegebene Organisationseinheit keine Objektgrenzwerte hat. Weitere Informationen finden Sie unter Erhöhen des Grenzwerts für Computerkonten in einer Organisationseinheit.

Weitere Informationen finden Sie unter Integritätsüberprüfungen für Azure-Netzwerkverbindungen in Windows 365.

Empfehlungen für Bausteine für Azure-Netzwerkverbindungen

In diesem Abschnitt werden die Bausteine des Windows 365 Azure-Netzwerkverbindungsarchitekturmusters beschrieben.

Azure-Abonnement

Die Windows 365-Verwendung in einem Azure-Netzwerkverbindungsarchitekturmuster umfasst zwei Arten von Azure-Abonnements, ein Microsoft-Abonnement und ein Kundenabonnement.

Windows 365 verwendet das im Auftrag gehostete Modell, um Dienste für Windows 365-Kunden bereitzustellen. Dieses Modell stellt den Cloud-PC in Azure-Abonnements zur Anwendung, die Microsoft besitzt, und führt diesen aus. Der Netzwerkadapter des Cloud-PCs wird im Azure-Abonnement eines Kunden bereitgestellt. Die folgenden Diagramme zeigen zwei Architekturmuster mit Azure-Netzwerkverbindung. Sie verwenden Ihr eigenes Azure-Abonnement und virtuelles Netzwerk.

Das folgende Architekturmuster verwendet eine Microsoft Entra-Verknüpfungsidentität zum Verwalten des Cloud-PCs.

Dieses Diagramm zeigt einen Netzwerkfluss. Eine von Microsoft verwaltete Komponente in einem virtuellen Netzwerk des Kundenabonnements stellt eine Verbindung mit einer lokalen Kundenumgebung und microsoft Entra ID bereit. Die Komponente verweist auf die Benutzerkonnektivität und verfügt über eine bidirektionale Verbindung mit Benutzergeräten.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Das folgende Architekturmuster verwendet die Microsoft Entra-Hybridbeitrittsidentität zum Verwalten des Cloud-PCs. Diese Architektur erfordert die Sichtnetzwerkkommunikation mit Active Directory Domain Services (AD DS)-Domänencontrollern in lokalen Umgebungen.

Dieses Diagramm zeigt den gleichen Netzwerkfluss wie das vorherige Diagramm mit Ausnahme eines Domänencontrollers, der die Kundenumgebung ersetzt. Eine von Microsoft verwaltete Komponente in einem virtuellen Netzwerk des Kundenabonnements stellt eine Verbindung mit einem lokalen Domänencontroller und einer Microsoft Entra-ID bereit. Die Komponente verweist auf die Benutzerkonnektivität und verfügt über eine bidirektionale Verbindung mit Benutzergeräten.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Komponente	Ein Azure-Abonnement, das das virtuelle Netzwerk hostet, das Konnektivität für einen Cloud-PC mit einer lokalen Umgebung und dem Internet bereitstellt.
Architekturmuster	– Azure-Netzwerkverbindung für die Teilnahme an Microsoft Entra - Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen	- Erstellen oder verwenden Sie ein Abonnement mit einem virtuellen Netzwerk und ExpressRoute- oder VPN-Gateways, um eine Verbindung mit einer lokalen Umgebung bereitzustellen. – Erstellen Sie eine dedizierte Ressourcengruppe für einen Cloud-PC, um die Berechtigungs- und Ressourcenverwaltung bereitzustellen. – Schließen Sie Cloud-PC-Ressourcengruppen und virtuelle Netzwerke aus Azure-Richtlinien aus, die die automatische Erstellung und Löschung von Kartenobjekten der virtuellen Netzwerkschnittstelle oder die Zuweisung und Freigabe von IP-Adressen verhindern. Weitere Informationen finden Sie unter Sperren von Ressourcen zum Schutz Ihrer Infrastruktur und Azure-Anforderungen. - Erstellen Sie dedizierte virtuelle Netzwerke für eine bessere IP-Adressverwaltung und Routingsteuerung.

Virtual Network und Hybridverbindung

Windows 365-Architekturmuster, die auf einer Azure-Netzwerkverbindung basieren, erfordern mindestens ein virtuelles Azure-Netzwerk. Diese virtuellen Netzwerke bieten Konnektivität zu lokalen Umgebungen und dem Internet für die Bereitstellung von Cloud-PCs. Der virtuelle Netzwerkadapter des Cloud-PCs wird im virtuellen Azure-Netzwerk des kundeneigenen Abonnements bereitgestellt.

Sie können Azure-Netzwerke mit unterschiedlicher Designphistik basierend auf Ihren vorhandenen lokalen Netzwerken oder Azure-Netzwerken bereitstellen. Weitere Informationen zu einem grundlegenden Hybridnetzwerkdesign finden Sie unter Implementieren eines sicheren Hybridnetzwerks.

Berücksichtigen Sie beim Entwerfen einer virtuellen Azure-Netzwerkarchitektur die folgenden Faktoren:

• IP-Adressraum: Die Größe des IP-Adressraums hängt von der Anzahl der Cloud-PCs ab. Berechnen Sie mindestens das 1,5-fache der maximalen Anzahl von Cloud-PCs, die Sie bereitstellen. Sie verwenden die zusätzlichen IP-Adressen, wenn Sie Cloud-PCs bereitstellen und aufheben.

• Namensauflösung: Cloud-PCs verwenden einen DNS-Prozess, um den lokalen Domänennamen in einer Microsoft-Entra-Hybridbeitrittsbereitstellung aufzulösen oder um Internetressourcen oder Azure-Ressourcen in einem Microsoft-Entra-Beitrittsbereitstellungsmodell aufzulösen.

  • Wenn Sie Ihre vorhandene lokale DNS-Infrastruktur verwenden möchten, konfigurieren Sie die IP-Adressen mindestens eines DNS-Servers für die Namensauflösung. Weitere Informationen finden Sie in den DNS-Anforderungen.

  • Stellen Sie sicher, dass sich die DNS-Server-IP-Adressen, die Sie im virtuellen Azure-Netzwerk konfigurieren, in derselben Region wie der Cloud-PC befinden. Vermeiden Sie das Umleiten von DNS-Registrierungsanforderungen an andere Regionen. Die Umleitung kann zu verzögerten oder fehlgeschlagenen Bereitstellungen und Integritätsprüfungen der Azure-Netzwerkverbindung führen.

  • Verwenden Sie für die Azure DNS-basierte Namensauflösung die Option für öffentliche oder private Azure DNS oder die Option Azure DNS Private Resolver. Weitere Informationen finden Sie in der Dokumentation zu Azure DNS.

• Netzwerktopologie: Azure-Netzwerk unterstützt Topologien, um unterschiedliche Anwendungsfälle zu berücksichtigen.

  • Hub-Spoke-Topologie mit virtuellem Netzwerk-Peering: Diese einfache Topologie isoliert Dienste in dedizierten virtuellen Hub- und Speichennetzwerken. Zu den gemeinsamen Diensten gehören Azure Firewall und Netzwerkgateways. Verwenden Sie diese Topologie, wenn Sie Cloud-PCs in einem oder mehreren Spoke-Virtual-Netzwerken innerhalb einer einfachen, einseitigen Umgebung bereitstellen. Weitere Informationen finden Sie unter Hub-Spoke-Netzwerktopologie.

  • Hub-Spoke-Topologie mit Azure Virtual WAN: Virtual WAN ist ein Azure-Netzwerkdienst, der Netzwerk-, Sicherheits- und Verwaltungsfunktionen für komplexe Netzwerkanforderungen kombiniert. Verwenden Sie diese Topologie für Bereitstellungen mit mehreren Standorten, mehreren Regionen, die bestimmte Firewalling- und Routinganforderungen aufweisen. Weitere Informationen finden Sie unter Hub-Spoke-Netzwerktopologie mit Virtual WAN.

• Netzwerkgateways: Azure-Netzwerkgateways bieten Konnektivität von einem virtuellen Netzwerk zu einem lokalen Netzwerk. Sie können zwischen VPN- und ExpressRoute-Netzwerkgateways wählen. Bevor Sie Die Methode der Konnektivität ermitteln, sollten Sie die maximalen Bandbreitenanforderungen Ihres Cloud-PCs berücksichtigen. Sowohl VPN- als auch ExpressRoute-Gateways weisen verschiedene Ebenen oder SKUs auf, die unterschiedliche Bandbreiten und andere Metriken bereitstellen. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure mithilfe von ExpressRoute.

Routingkonfigurationen

Windows 365 verwendet automatisierte Gesundheitsprüfungen, um die Gesundheit und Bereitschaft Ihrer Umgebung zu ermitteln, um Microsoft Entra-Join- oder Microsoft Entra-Hybrid-Join-Cloud-PCs in einer Azure-Netzwerkverbindungs-basierten Architektur bereitzustellen. Ohne ordnungsgemäße Routingkonfigurationen in Ihrem virtuellen Azure-Netzwerk und zugehörigen Netzwerkdiensten treten wahrscheinlich Verzögerungen oder Fehler auf cloud-PC-Bereitstellungen auf.

Befolgen Sie die folgenden Empfehlungen, um das Routing für die Windows 365-Netzwerkarchitektur zu optimieren:

• Der Positivliste die erforderlichen URLs hinzufügen: Stellen Sie in den Azure-Netzwerkverbindungsmodellen mit Microsoft Entra-Hybrideinbindung und Microsoft Entra-Einbindung sicher, dass das Antivirenprogramm des Betriebssystems, Netzwerkfirewalls und Lastenausgleichsprogramme die erforderlichen URLs für jeden Cloud-PC zulassen. Weitere Informationen finden Sie unter Zulassen von Netzwerkkonnektivität.

• Verwenden Sie Azure-FQDN-Tags: Wenn Sie den Azure Firewall-Dienst verwenden, wenden Sie Azure-FQDN-Tags an, um erforderliche URLs für Azure Virtual Desktop, Windows 365 und Intune zuzulassen. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Verwalten und Schützen von Windows 365-Umgebungen.

• Pass-Through aktivieren: Windows 365 verwendet RDP, was für Latenz von Datenverkehrsüberprüfungsgeräten wie einer Firewall oder einer SSL-Entschlüsselungs-Appliance (Secure Sockets Layer) empfindlich ist. Latenz kann zu einer schlechten Erfahrung führen. Deaktivieren Sie die Datenverkehrsüberprüfung dieser URLs, und aktivieren Sie Pass-Through. Weitere Informationen finden Sie unter Technologien zum Abfangen von Datenverkehr.

• Proxy umgehen: Cloud- und herkömmliche Proxydienste sind nützlich für den Internetzugriff, führen jedoch latenz in RDP-Verbindungen ein. Diese Latenz tritt auf, wenn die Verbindung vom physischen Gerät des Benutzers oder vom Cloud-PC über einen Proxy erzwungen wird. Dies führt zu häufigen Trennungen, Verzögerungen und trägen Reaktionszeiten. Legen Sie die Bereiche der IP-Adressen von .wvd.microsoft.com und Windows 365 Gateway fest, um Proxydienste bei den folgenden Komponenten zu umgehen:

  • Das physische Gerät des Benutzers
  • Das Netzwerk, mit dem das physische Gerät eine Verbindung herstellt
  • Der Cloud-PC

  Weitere Informationen finden Sie unter Optimieren der RDP-Konnektivität für Windows 365.

• Sicherstellen des kürzesten Pfadroutings: Sorgen Sie dafür, dass der RDP-Datenverkehr von einem Cloud-PC die direkteste Route zu den Virtual Desktop-Diensteendpunkten nimmt. Der ideale Pfad ist von einem virtuellen Netzwerk zur IP-Adresse des Virtual Desktop-Gateways über das Internet. Stellen Sie außerdem sicher, dass DER RDP-Datenverkehr vom physischen Gerät des Benutzers die IP-Adresse des Virtual Desktop-Gateways direkt erreicht. Mit dieser Konfiguration stellen Sie ein optimales Routing sicher, das die Benutzererfahrung nicht beeinträchtigt. Vermeiden Sie das Routing von RDP-Datenverkehr an das Internet über Cloudproxydienste oder lokale Netzwerke.

• RDP Shortpath aktivieren: Aktivieren Sie RDP Shortpath-basierten Zugriff für Benutzernetzwerke, Azure-Netzwerke und Cloud-PCs. RDP Shortpath verwendet UDP, um RDP-Datenverkehr zu übertragen. Im Gegensatz zu TCP (Transmission Control Protocol) ist UDP widerstandsfähig für Netzwerkverbindungen mit hoher Latenz. UDP nutzt auch die verfügbare Netzwerkbandbreite, um RDP-Pakete effizient zu übertragen, und verbessert damit die Benutzererfahrung. Weitere Informationen finden Sie unter Verwenden von RDP Shortpath für öffentliche Netzwerke mit Windows 365.

• Bewerten der Platzierung von Cloud-PCs: Um eine optimale Benutzererfahrung und Routingleistung zu erzielen, bestimmen Sie, wo sich Kunden in Bezug auf die arbeitsanwendungen oder das Netzwerk befinden, auf die sie zugreifen. Berücksichtigen Sie auch die Zeit, die Kunden mit dem Zugriff auf LOB-Apps verbringen, verglichen mit der Gesamtzeit, die sie für den Zugang zu anderen Apps aufwenden.

  Berücksichtigen Sie die folgenden Bereitstellungsoptionen für die Platzierung von Cloud-PCs:

  • Bereitstellungsoption 1: Wenn Kunden hauptsächlich in branchenspezifischen Apps arbeiten, z. B. Microsoft 365-Apps, verringert dieses Modell die Latenz für diese Apps, indem der Cloud-PC in derselben Region wie die BRANCHEN-Apps (Geografie B) platziert wird. Diese Konfiguration priorisiert die Leistung für den LOB-Zugriff, selbst wenn das Gateway physisch näher an einem Benutzer in einer anderen Region (Geografie A) liegt. Das folgende Diagramm zeigt einen Datenverkehr vom Benutzer zu den LOB-Apps.

    

    Das Diagramm enthält zwei Abschnitte, geografie A und B. Geography A enthält Azure-Region A und ein Benutzernetzwerk, das über das Internet und ein Virtual Desktop-Gateway eine Verbindung zueinander herstellt. Geografischer Raum B enthält die Azure-Region B und die Geschäfts-Apps. Azure Region B enthält Virtual Desktop und ein virtuelles Netzwerk. Die Geschäfts-Apps stellen über eine VPN- oder ExpressRoute-Verbindung eine Verbindung mit dem virtuellen Netzwerk her. Ein Benutzerfluss verläuft von einem Benutzer in Geografie A, zu einem Benutzernetzwerk, zum Internet, zum Virtual-Desktop-Gateway, über das Azure-Backbone zu Geografie B, zu einem virtuellen Desktop, zu einem virtuellen Netzwerk und schließlich zu den LOB-Apps.

    Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

  • Bereitstellungsoption 2: Wenn Kunden gelegentlich auf LOB-Apps in Geographie B zugreifen, optimiert die Bereitstellung eines Cloud-PCs näher bei den Kunden die Zugriffslatenz des Cloud-PCs anstatt der Latenz beim Zugriff auf LOB-Apps. Das folgende Diagramm zeigt einen Datenverkehrsfluss für dieses Szenario.

    

    Das Diagramm enthält zwei Abschnitte, geografie A und B. Geography A enthält Azure-Region A und ein Benutzernetzwerk, das über ein Virtual Desktop-Gateway und eine VPN- oder ExpressRoute-Verbindung miteinander verbunden ist. Geografie B enthält die Azure-Region B und LOB-Anwendungen. Azure-Region B enthält ein virtuelles Netzwerk. Die Geschäfts-Apps stellen über eine VPN- oder ExpressRoute-Verbindung eine Verbindung mit dem virtuellen Netzwerk her. Ein Benutzerfluss reicht von einem Benutzer in Region A, zu einem Benutzernetzwerk, zur VPN- oder ExpressRoute-Verbindung, zum Virtual Desktop-Gateway, über das Azure-Backbone zu Region B, zu einem virtuellen Netzwerk und schließlich zu den LOB-Anwendungen.

    Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

AD DS-Empfehlungen

In einer Architektur mit Microsoft Entra-Hybrideinbindung fungiert eine lokale AD DS-Infrastruktur als gültige Identitätsquelle. Eine ordnungsgemäß konfigurierte und fehlerfreie AD DS-Infrastruktur verbessert den Erfolg einer Windows 365-Bereitstellung.

Lokale AD DS unterstützt viele Konfigurationen, die verschiedene Komplexitätsebenen aufweisen. Die folgenden Empfehlungen decken nur die grundlegenden bewährten Methoden ab.

• Für ein Microsoft Entra-Hybridbeitrittsszenario können Sie AD DS in Azure-VMs bereitstellen. Sie können auch eine Hybridnetzwerkverbindung verwenden, um eine Sichtverbindung mit Ihrem lokalen Microsoft Entra-Domänencontroller bereitzustellen. Weitere Informationen finden Sie unter Implementieren eines sicheren Hybridnetzwerks.

• Für ein Microsoft Entra-Join-Szenario folgen Sie der Referenzarchitektur, die lokale Active Directory-Domänen in Microsoft Entra ID integriert.

• Windows 365 verwendet einen Watchdog-Dienst als Teil automatisierter Tests. Der Dienst erstellt ein VM-Testkonto, das in der Organisationseinheit, die die Azure-Netzwerkverbindungskonfiguration angibt, als deaktiviert angezeigt wird. Löschen Sie dieses Konto nicht.

• AußerBetrieb genommene Cloud-PCs im Microsoft Entra-Hybridbeitrittsmodell hinterlassen deaktivierte Computerkonten, die eine manuelle Bereinigung in AD DS erfordern.

• Microsoft Entra Domain Services unterstützt die Hybridbeitrittsfunktion von Microsoft Entra nicht, sodass sie in diesem Setup nicht als Identitätsquelle funktionieren kann.

DNS-Empfehlungen

In einer Azure-Netzwerkverbindungsbereitstellungsarchitektur dienen DNS-Server oder ein DNS-Dienst in einem virtuellen Azure-Netzwerk als wichtige Abhängigkeiten. Eine gesunde Infrastruktur sorgt für einen zuverlässigen Betrieb.

• Für eine Hybrideinbindungskonfiguration von Microsoft Entra muss DNS die Domäne auflösen, der der Cloud-PC beitritt. Sie haben mehrere Konfigurationsoptionen. Die einfachste Option besteht darin, Ihre DNS-Server-IP-Adresse in der Virtuellen Azure-Netzwerkkonfiguration anzugeben. Weitere Informationen finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.

• Verwenden Sie für komplexe Infrastrukturen, z. B. Mehrere Regionen oder Setups mit mehreren Domänen in Azure und lokalen Umgebungen, einen Dienst wie private Azure DNS-Zonen oder DNS Private Resolver.

Empfehlungen für Cloud-PC-Verbindungen

Richten Sie bereitgestellte Cloud-PCs ein, um unterbrechungsfreien Verbindungsfluss zum und vom Virtual Desktop-Gatewaydienst zu ermöglichen. Berücksichtigen Sie beim Bereitstellen von Apps als Teil einer Windows-Betriebssystemkonfiguration die folgenden Empfehlungen:

• Stellen Sie sicher, dass der VPS-Client nicht gestartet wird, wenn sich Benutzer*innen anmelden, da er die Sitzung trennen kann, wenn der VPN-Tunnel eingerichtet wird. Anschließend muss sich der Benutzer erneut anmelden.

• Konfigurieren Sie die VPN-, Proxy-, Firewall- sowie Antiviren- und Antimalware-Apps, um den Datenverkehr für die IP-Adressen 168.63.129.16 und 169.254.169.254 zuzulassen oder zu umgehen. Diese Architektur verwendet diese IP-Adressen für die Kommunikation mit Azure-Plattformdiensten, z. B. Metadaten und Takt.

  Weitere Informationen finden Sie in den folgenden Ressourcen:

  • IP-Adresse 168.63.129.16
  • Azure Instance Metadata Service für virtuelle Computer
  • Häufig gestellte Fragen zum virtuellen Netzwerk

• Ändern Sie die IP-Adressen von Cloud-PCs nicht manuell, da dies zu einer dauerhaften Trennung führen kann. Azure-Netzwerkdienste weisen IP-Adressen mit einer unbefristeten Lease zu und verwalten sie während des gesamten Cloud-PC-Lebenszyklus. Weitere Informationen finden Sie unter Zuteilungsmethoden.

Beitragende

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautor:

• Ravishankar Nandagopalan | Senior Product Manager

Andere Mitwirkende:

• Paul Collinge | Principal Product Manager
• Claus Emerich | Principal Product Manager
• David Falkus | Principal Product Manager
• Bob Roudebush | Technical Leader und Cloud/Developer Technologist
• Matt Shadbolt | Principal Product Manager, Windows Cloud Experiences

Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächste Schritte

• Planen der Cloud-PC-Bereitstellung
• Windows 365-Architektur
• Windows 365: Identität und Authentifizierung
• Lebenszyklus von Cloud-PCs in Windows 365
• AD DS-Übersicht
• Datenverschlüsselung in Windows 365
• Verständnis der Netzwerkverbindung von Virtual Desktop

Zugehörige Ressource

• Architekturentwurf für Webanwendungen