Verwenden von Azure Firewall zum Verwalten und Schützen von Windows 365 Umgebungen
In diesem Artikel wird erläutert, wie Sie Ihre Windows 365-Umgebung mithilfe von Azure Firewall vereinfachen und schützen. Die hier erläuterte Beispielarchitektur bietet geringen Wartungsaufwand und automatisierten Zugriff auf die erforderlichen Endpunkte über einen direkten und optimierten Verbindungspfad. Sie können Azure Firewall Netzwerkregeln und vollqualifizierte Domänennamentags (FQDN) verwenden, um dieses Architekturbeispiel in Ihrer Umgebung zu replizieren.
Hinweis
Dieser Artikel gilt für Kunden, die Windows 365 mit Azure-Netzwerkverbindungen (ANC) bereitstellen. Dieser Artikel gilt nicht für Umgebungen, die von Microsoft gehostete Netzwerke verwenden. Weitere Informationen zu den einzelnen Optionen finden Sie unter Windows 365 Netzwerkbereitstellungsoptionen.
Der Windows 365-Dienst erfordert eine optimierte, nicht proxiierte Konnektivität mit kritischen Dienstendpunkten, von denen sich viele in der Infrastruktur von Microsoft befinden. Das Herstellen einer Verbindung mit diesen Ressourcen über lokale Netzwerke über das Internet ist ineffizient und wird nicht empfohlen. Solche Verbindungen können auch komplex zu konfigurieren und zu verwalten sein.
Einige Windows 365 Kunden, die das ANC-Bereitstellungsmodell verwenden, verfügen möglicherweise über eine direkte Verbindung zurück zu einer lokalen Umgebung, die ExpressRoute oder Site-to-Site-VPN verwendet. Ausgehender Datenverkehr kann auf die gleiche Weise wie lokaler Datenverkehr über einen vorhandenen Proxyserver weitergeleitet werden. Diese Verbindungsstrategie ist nicht für Windows 365 Umgebungen optimiert und führt wahrscheinlich zu erheblichen Leistungseinbußen.
Stattdessen können Sie Azure Firewall mit Ihren ANC-Windows 365-Umgebungen verwenden, um optimierte, sichere, wartungsarme und automatisierte Zugriffe bereitzustellen.
Erforderliche Endpunkte für Windows 365
Windows 365 erfordert Zugriff auf die folgenden Endpunkte:
Sie können auch den Zugriff auf andere Microsoft-Dienste (z. B. Office 365) in Betracht ziehen, wenn Sie die optimierte Konnektivität über die Umgebung konfigurieren.
FQDN-Tags für bestimmte Dienste sind für Azure Firewall verfügbar, um diese Regeln auf einfache Weise zu konfigurieren und zu verwalten. Dies wird später in diesem Dokument erläutert.
Beispielarchitektur mit Azure Firewall- und FQDN-Tags
Es gibt viele Möglichkeiten zum Konfigurieren von Netzwerken in Azure. Hier verwenden wir Folgendes:
- Ein einzelnes VNET mit Azure Firewall verwaltung des ausgehenden Zugriffs.
- Eine ExpressRoute-Verbindung, um das VNET wieder mit der lokalen Umgebung zu verbinden.
Der Datenverkehrsfluss in diesem Diagramm:
- Contoso-Unternehmensnetzwerk: Dieses lokale IP-Subnetz wird über das ExpressRoute-Gateway im VNET angekündigt. Der gesamte Datenverkehr zu diesem Bereich (10.0.0.0/8) wird über die ExpressRoute-Leitung gesendet.
- Der gesamte andere Datenverkehr aus dem Windows 365 Subnetz wird über eine UDR-Route (User Defined Route) von 0.0.0.0/0 an die Azure Firewall gesendet. Die IP-Adresse des nächsten Hops wird auf die private IP-Adresse des Azure Firewall festgelegt.
- Die Firewall verfügt über Anwendungsregeln (und FQDN-Tags) und Netzwerkregeln, die für die Windows 365 erforderlichen Endpunkte konfiguriert sind. Datenverkehr, der den Regeln entspricht, wird zugelassen. Jeglicher anderer Datenverkehr, der nicht explizit zulässig ist, wird blockiert.
Azure Firewall Anwendungsregeln
Die Umgebung im Diagramm wurde mit den folgenden Azure Firewall Anwendungsregeln (angewendet in Legende 3) eingerichtet. Der gesamte Datenverkehr, der nicht für das lokale Subnetz von Contoso bestimmt ist, wird an die Firewall weitergeleitet. Diese Regeln ermöglichen es dem definierten Datenverkehr, an sein Ziel zu gelangen. Weitere Informationen zum Bereitstellen von Azure Firewall finden Sie unter Bereitstellen und Konfigurieren von Azure Firewall mithilfe der Azure-Portal.
| Regelbeschreibung | Zieltyp | FQDN-Tagname | Protokoll | TLS-Überprüfung | Erforderlich/Optional |
|---|---|---|---|---|---|
| Windows 365 FQDNs | FQDN-Tag | Windows365 | HTTP: 80, HTTPS: 443 | Nicht empfohlen | Erforderlich |
| Intune FQDNs | FQDN-Tag | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Nicht empfohlen | Erforderlich |
| Office 365 FQDNs | FQDN-Tag | Office365 | HTTP: 80, HTTPS: 443 | Nicht empfohlen für die Optimierung & Zulassen von Kategorien | Optional, wird jedoch empfohlen |
| Windows Update | FQDN-Tag | Windowsupdate | HTTP: 80, HTTPS: 443 | Nicht empfohlen | Optional |
| Citrix HDX Plus | FQDN-Tag | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Nicht empfohlen | Optional (nur bei Verwendung von Citrix HDX Plus erforderlich) |
Windows365-Tag
Das Windows365-Tag enthält die erforderlichen AVD-Endpunkte (Azure Virtual Desktop), mit Ausnahme der Endpunkte mit nicht standardmäßigen Ports, die manuell eingegeben werden müssen (siehe Abschnitt Netzwerkregeln).
Das Windows365-Tag enthält keine Intune. Das MicrosoftIntune-Tag kann separat verwendet werden.
Das Windows365-FQDN-Tag enthält alle erforderlichen Endpunkte mit Ausnahme der Endpunkte, die in separaten Zeilen dieses Dokuments als Erforderlich aufgeführt sind, die separat konfiguriert werden müssen. FQDN-Tags unterscheiden sich von einem Diensttag. Beispielsweise enthält das Diensttag WindowsVirtualDesktop nur die IP-Adressen, in die *.wvd.microsoft.com aufgelöst werden.
Netzwerkregeln
Azure Firewall verarbeitet derzeit keine nicht standardmäßigen Ports in einem FQDN-Tag. Windows 365 hat einige nicht standardmäßige Portanforderungen, sodass die folgenden Regeln zusätzlich zu den FQDN-Tags manuell als Netzwerkregeln hinzugefügt werden müssen.
| Regelbeschreibung | Zieltyp | FQDN/IP | Protokoll | Port/s | TLS-Überprüfung | Erforderlich/Optional |
|---|---|---|---|---|---|---|
| Windows-Aktivierung | FQDN | azkms.core.windows.net | TCP | 1688 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Nicht empfohlen | Erforderlich |
| UDP-Konnektivität über TURN | IP | 20.202.0.0/16 | UDP | 3478 | Nicht empfohlen | Erforderlich |
| TURN-Konnektivität | IP | 20.202.0.0/16 | TCP | 443 | Nicht empfohlen | Erforderlich |
| Registrierung | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Nicht empfohlen | Erforderlich |
Partnersicherheitslösungsoptionen
Weitere Möglichkeiten zum Schutz Ihrer Windows 365-Umgebung sind Partnersicherheitslösungsoptionen, die automatisierte Regelsätze für den Zugriff auf erforderliche Endpunkte für den Windows 365-Dienst bereitstellen. Zu diesen Optionen gehören:
- aktualisierbare Objekte mit Check Point Softwaretechnologien
Nächste Schritte
Erfahren Sie mehr über Windows 365 Architektur.
Weitere Informationen zu FQDNS finden Sie unter Übersicht über FQDN-Tags.
Weitere Informationen zu Diensttags finden Sie unter Diensttags für virtuelle Netzwerke.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für