Azure-Netzwerkverbindungen – Übersicht
Eine Azure-Netzwerkverbindung (ANC) ist ein Objekt im Microsoft Intune Admin Center, das Cloud-PC-Bereitstellungsprofile mit erforderlichen Informationen bereitstellt, um eine Verbindung mit netzwerkbasierten Ressourcen herzustellen. ANCs werden verwendet:
- Bei der ersten Bereitstellung eines Cloud-PC
- Wenn Windows 365 regelmäßig die Verbindung mit der lokalen Infrastruktur überprüft, um eine optimale Nutzung für Endbenutzer sicherzustellen
Netzwerkverbindungsarten
Es gibt zwei Arten von Azure-Netzwerkverbindungen mit unterschiedlicher Einbindungsform. Beide ermöglichen Ihnen die Verwaltung des Datenverkehrs und des Cloud-PC-Zugriffs zu/auf netzwerkbasierte Ressourcen, sie haben jedoch unterschiedliche Verbindungsanforderungen.
- Microsoft Entra Join: Erfordert keine Verbindung mit einer Windows Server Active Directory (AD)-Domäne.
- Hybrid Microsoft Entra Join: Erfordert Konnektivität mit einer Windows Server AD Domäne. Sie müssen die AD-Domänendetails angeben, wenn Sie die Azure-Netzwerkverbindung erstellen.
Bereitstellung
Wenn ein Cloud-PC bereitgestellt wird, werden die Informationen im ANC von der Bereitstellungsrichtlinie verwendet, um den Cloud-PC im Azure-Subnetz bereitzustellen. Zu den in einem ANC erforderlichen Informationen gehören:
- Netzwerkdetails: Hierbei handelt es sich um das Azure-Abonnement, die Ressourcengruppe, das virtuelle Netzwerk und das Subnetz, denen der Cloud-PC zugeordnet wird. Wenn eine Bereitstellungsrichtlinie ausgeführt wird, wird ein Cloud-PC im von Microsoft gehosteten Azure-Abonnement erstellt. Um eine Verbindung mit dem lokalen Netzwerk eines Kunden herzustellen, wird eine virtuelle Netzwerkschnittstellenkarte (vNic) in ein vom Kunden bereitgestelltes virtuelles Azure-Netzwerk (vNet) eingefügt. Windows 365 benötigt zum Erstellen dieser vNIC ausreichend Zugriff auf ein Azure-Abonnement.
- Active Directory-Domäne: Hierbei handelt es sich um die zu verknüpfende Active Directory-Domäne, ein Organisationseinheitsziel (OU) für das Computerobjekt und Active Directory-Benutzeranmeldeinformationen mit ausreichenden Berechtigungen zum Durchführen des Vorgangs für den Domänenbeitritt. Wenn eine Bereitstellungsrichtlinie ausgeführt wird, wird der Cloud-PC in diese Active Directory-Domäne eingebunden. Die Anmeldeinformationen werden sicher im Windows 365-Dienst gespeichert.
Während der Bereitstellung wird der Cloud-PC mit dem Azure-Subnetz verbunden und mit einer Domäne verknüpft (entweder Windows Server Active Directory oder Microsoft Entra-ID). Durch diesen Prozess wird ein Cloud-PC erstellt, der:
- Sich in Ihrem Netzwerk befindet.
- Registriert unter Microsoft Entra ID.
- Bei Microsoft Intune registriert.
- Bereit für die Annahme von Benutzeranmeldungsanforderungen ist.
Die ANC-Einstellungen werden nur zum Zeitpunkt der Bereitstellung auf den Cloud-PC angewendet.
Alternative ANCs
Um die Bereitstellung von Cloud-PCs im seltenen Fall von Kapazitätseinschränkungen in einer Region zuverlässiger zu gestalten, haben Sie die Möglichkeit, einer Bereitstellungsrichtlinie alternative ANCs zuzuweisen. Sie können die Prioritätsreihenfolge der VON der Richtlinie verwendeten ANCs definieren. Wenn der erste ANC nicht verfügbar ist, verwendet die Richtlinie automatisch den zweiten ANC in der Prioritätsliste. Wenn die zweite nicht verfügbar ist, wird sie mit der nächsten fortfahren usw. Auf diese Weise können Administratoren mehrere ANCs in verschiedenen Azure-Regionen vorbereiten, sodass die Bereitstellung zuverlässiger wird. Sie müssen nicht mehrere ANCs verwenden. Weitere Informationen zur Verwendung alternativer ANCs beim Erstellen Ihrer Bereitstellungsrichtlinien finden Sie unter Erstellen von Bereitstellungsrichtlinien.
Erste Integritätsüberprüfung
Die in der ANC enthaltenen Informationen werden zur Bereitstellung eines Cloud-PCs verwendet. Damit die Bereitstellung erfolgreich ist, müssen die Ressourcen, auf die in der ANC verwiesen wird, fehlerfrei und zugänglich sein. Nachdem ein ANC-Objekt erstellt wurde, überprüft Windows 365 Folgendes:
- Integrität der Objekte, auf die von der ANC verwiesen wird
- Möglichkeit zum Herstellen von Verbindungen mit diesen Objekten
Bei diesen Integritätsprüfungen werden die ANC-Informationen verwendet, die zur Bereitstellung eines Cloud-PCs bereitgestellt wurden. Eine vollständige Liste der Überprüfungen finden Sie unter Integritätsüberprüfungen für Azure-Netzwerkverbindungen.
Während diese erste ANC-Integritätsüberprüfung durchgeführt wird, kann die ANC keiner Bereitstellungsrichtlinie zugewiesen werden. Nachdem die Integritätsüberprüfung erfolgreich abgeschlossen wurde, kann die ANC einer oder mehreren Bereitstellungsrichtlinien zugewiesen werden.
Regelmäßige Integritätsüberprüfungen
Nach der Bereitstellung werden die Informationen in einem ANC auch verwendet, um Folgendes zu überwachen:
- Die Verbindungsintegrität zwischen Ihren netzwerkbasierten Ressourcen
- Der Cloud-PC, der im von Microsoft gehosteten Abonnement gehostet wird
Windows 365 meldet eventuell Konfigurationsprobleme, die zu Bereitstellungsfehlern oder einer schlechten Benutzererfahrung führen könnten. Durch diese Überwachung wird der Verwaltungsaufwand reduziert. Weitere Informationen zu diesen regelmäßigen Überprüfungen finden Sie unter Integritätsüberprüfungen für Azure-Netzwerkverbindungen.
Häufigkeit der Integritätsüberprüfung
ANC-Überprüfungen werden alle ein bis sechs Stunden durchgeführt.
Die umfassende, vollständige Integritätsüberprüfung kann bis zu 30 Minuten dauern. Die Integritätsüberprüfungen werden auf einem temporären virtuellen Azure-Computer ausgeführt, der zu diesem Zweck automatisch erstellt wird. Dieser virtuelle Computer wird automatisch erstellt und gelöscht, wenn die Integritätsüberprüfungen abgeschlossen sind. Er ist mit dem angegebenen VNet verbunden, und es werden Überprüfungen durchgeführt, um sicherzustellen, dass die Bereitstellung erfolgreich ist.
Nach Abschluss einer Überprüfung werden die Ergebnisse im Bereich Azure-Netzwerkverbindung des Microsoft Intune Admin Center veröffentlicht. Informationen zu den Überprüfungsergebnissen finden Sie unter Integritätsüberprüfungen für Azure-Netzwerkverbindungen.
Wiederholen der Integritätsüberprüfung
Um eine vollständige Integritätsprüfung manuell auszulösen, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>aus Windows 365 (unter Bereitstellung)>Azure-Netzwerkverbindung> wählen Sie eine Azure-Netzwerkverbindung >aus. Wiederholen Sie den Vorgang.
Erforderliche Berechtigungen für Azure-Netzwerkverbindungen
Der ANC-Assistent benötigt Zugriff auf Azure und optional auf lokale Domänenressourcen. Für die ANC sind die folgenden Berechtigungen erforderlich:
- Intune Rolle "Administrator", "Windows 365 Administrator" oder "Globaler Administrator".
- Ein Active Directory-Benutzerkonto mit ausreichenden Berechtigungen, um die AD-Domäne in diese Organisationseinheit einzubinden (nur Microsoft Entra Hybrid join ANCs).
Zum Erstellen oder Bearbeiten eines ANC müssen Sie mindestens über die Rolle Abonnementleser in dem Azure-Abonnement verfügen, in dem sich das VNET befindet, das dem ANC zugeordnet ist.
Eine vollständige Liste der Anforderungen finden Sie unter Windows 365-Anforderungen.
Ändern einer Azure-Netzwerkverbindung
Das Ändern der Einstellungen für eine ANC hat keine Auswirkungen auf die Cloud-PCs, die zuvor mit dieser ANC bereitgestellt wurden. Nur Cloud-PCs, die nach den Änderungen an der ANC bereitgestellt werden, spiegeln solche späteren Änderungen wider.
Wenn Sie die ANC-bezogenen Einstellungen auf einem zuvor bereitgestellten Cloud-PC ändern möchten, müssen Sie den Cloud-PC erneut bereitstellen. Die erneute Bereitstellung ist eine destruktive Aktion. Vergewissern Sie sich also, ob Sie sie wirklich ausführen möchten. Weitere Informationen finden Sie unter Erneute Bereitstellung.
Löschen einer Azure-Netzwerkverbindung
Ein verwendeter ANC kann nicht gelöscht werden. Bevor das Objekt gelöscht werden kann, müssen Sie eine der folgenden Aktionen für jede Bereitstellungsrichtlinie ausführen, die diesen ANC verwendet:
- Ändern der Richtlinie, sodass eine andere ANC verwendet wird
- Löschen Sie die Richtlinie. Weitere Informationen finden Sie unter Löschen einer Azure-Netzwerkverbindung.
Nachdem Sie einen dieser Vorgänge durchgeführt haben, können Sie die ANC löschen.
Maximale Anzahl von Azure-Netzwerkverbindungen
Für jeden Mandanten gilt ein Limit von zehn Azure-Netzwerkverbindungen. Wenn Ihre Organisation mehr als 10 Azure-Netzwerkverbindungen benötigt, wenden Sie sich an den Support.
Benutzeranmeldung
Wenn Benutzer versuchen, sich bei ihrem Cloud-PC anzumelden, erfolgt die Benutzerauthentifizierung.
Für Microsoft Entra Hybrid Join-ANCs wird der ANC verwendet, um die Authentifizierungsanforderung an Ihre Domänencontroller weiterzuleiten. Wenn die ANC oder die Netzwerkverbindung mit Ihrer Domäne fehlerhaft ist, kann keine Benutzeranmeldung erfolgen. Von Windows zwischengespeicherte Anmeldeinformationen können nicht über den Remotedesktop-Kanal verwendet werden, weshalb die Verfügbarkeit des Domänencontrollers von entscheidender Bedeutung ist. Stellen Sie sicher, dass Ihr Netzwerk stabil ist, oder platzieren Sie einen Domänencontrollerserver im gleichen Subnetz, in dem sich auch Ihre Cloud-PCs befinden.
Für Microsoft Entra Join-ANCs wird der ANC verwendet, um die Authentifizierungsanforderung an Microsoft Entra-ID weiterzuleiten. Zwischengespeicherte Windows-Anmeldeinformationen können nicht über den Remotedesktopkanal verwendet werden, sodass die Konnektivität mit Microsoft Entra ID wichtig ist.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für