Freigeben über

Windows 365 Netzwerkbereitstellungsoptionen

  • Artikel

Sie haben zwei Optionen für die Netzwerkbereitstellung des Windows 365-Diensts:

  • Verwenden eines von Microsoft gehosteten Netzwerks
    • Empfohlene Option.
    • Ideal für die Windows 365 SaaS-Features (Software-as-a-Service) der Einfachheit, Zuverlässigkeit und Skalierbarkeit.
    • Unterstützt das Microsoft Entra Joinidentitätsmodell.
    • Kein Azure-Abonnement oder -Fachwissen erforderlich.
  • Verwenden von Azure-Netzwerkverbindungen (ANC)
    • Unterstützt sowohl Microsoft Entra Join- als auch Microsoft Entra Identitätsmodelle für Hybridjoins.

Von Microsoft gehostetes Netzwerk

Diese Option ist einfach, zuverlässig und skalierbar und bietet Cloud-PC-Konnektivität, bei der Microsoft den Dienst in einem echten SaaS-Ansatz bereitstellt. Mit dieser Option kann Microsoft:

  • Richtet die Infrastruktur und die zugehörigen Dienste ein, die für die Bereitstellung funktionaler Cloud-PCs für Ihre Benutzer erforderlich sind, und verwaltet sie vollständig.
  • Verwaltet das Netzwerk, das die Cloud-PCs belegen.
  • Stellt ein Zero Trust Framework-ausgerichtetes Modell einer EUC-Umgebung (End User Computing) bereit. Weitere Informationen finden Sie unter Weitere Informationen zu cloudnativen Endpunkten.

Die einzige Verantwortung des Kunden liegt in der Konfiguration und Verwaltung der Cloud-PCs.

Microsoft empfiehlt Kunden, diese Option für ihre Windows 365-Bereitstellung zu verwenden.

Sie müssen keine eigenen Azure-Abonnements einbinden, planen, entwerfen, bereitstellen oder die Infrastruktur verwalten. Kunden können ihr EUC-Team darauf konzentrieren, sich auf die Verwaltung von Cloud-PC-Konfigurationen und -Sicherheit aus einer einzigen Verwaltungskonsole zu konzentrieren, die von Intune bereitgestellt wird.

Diese Option entspricht der Bereitstellung eines Laptops für einen Mitarbeiter, der zu Hause verwendet werden kann. Sie als organization das Netzwerk, auf dem sich das Gerät befindet, nicht steuern. Sie können vollständig steuern, wie das Windows-Gerät konfiguriert und geschützt wird und wie es eine Verbindung mit Ihrem lokalen Netzwerk herstellt. Mit Windows 365 ist diese Steuerung dank der end-to-End-Zero Trust Security Framework-ausgerichteten adaptiven Sicherheitskontrollen und -konfigurationen möglich.

Beispielsweise können Benutzer mit adaptiven Steuerungen von Microsoft Entra bedingten Zugriff authentifiziert werden. Die Unternehmenskonnektivität kann über VPN bereitgestellt werden. Internetsicherheit kann ein cloudbasiertes sicheres Webgateway (SWG) verwenden. Der Vorteil besteht darin, dass Geräte in einem robusten Netzwerk mit hoher Bandbreite in kurzer Zeit in kurzer Zeit bereitgestellt werden können.

Diagramm: Von Microsoft gehostete Netzwerkoption – nur Microsoft Entra Join

Dieses Diagramm zeigt das von Microsoft gehostete Netzwerk mit dem Cloud-PC und dem virtuellen Netzwerk Karte innerhalb eines von Microsoft verwalteten Abonnements.

Diagramm der Von Microsoft gehosteten Netzwerkoption

Vorteile der von Microsoft gehosteten Netzwerkoption

  • Es ist kein Azure-Abonnement erforderlich. Microsoft stellt die Infrastruktur bereit und verwaltet sie vollständig, die für den Betrieb des Cloud-PCs erforderlich ist. Sie benötigen lediglich die erforderlichen Lizenzen.
  • Keine zusätzlichen Kosten für die Netzwerkinfrastruktur. Die Azure-Kosten für den Betrieb Ihres eigenen virtuellen Netzwerks (VNet) und virtueller Geräte fallen nicht an. Microsoft kümmert sich um die Netzwerkinfrastruktur.
  • Es ist keine Azure-Netzwerkkompetenz oder -Verwaltung erforderlich. Das VNET wird vollständig von Microsoft verwaltet.
  • Geringe Komplexität und schnelle Bereitstellung. Die Bereitstellung ist aufgrund minimaler Abhängigkeiten von kundenseitigen Elementen sehr komplex.
  • Zero Trust-Ausrichtung. Das Zero Trust Betriebsmodell für Benutzer-, Endpunkt-, Workload- und Datensignale wird für die Überprüfung verwendet, anstatt eine Vertrauensstellung auf den Netzwerkstandort anzuwenden.
  • Einfachere Problembehandlung und -vorgänge. Es ist einfacher, Netzwerkprobleme zu beheben und zu ermitteln und eine moderne Geräteverwaltung basierend auf Intune-Richtlinien, Sicherheitskontrollen und integrierten Berichterstellungsfunktionen einzuführen.

Überlegungen

Bevor Sie die Von Microsoft gehostete Netzwerkoption verwenden, sollten Sie sich die folgenden Überlegungen ansehen:

  • Diese Option ist nicht mit dem Microsoft Entra Hybrid Join-Modell kompatibel. Diese Option ist eine reine Cloudbereitstellung ohne Konnektivität mit lokales Active Directory Domain Services Infrastruktur. Wenn Sie über Gruppenrichtlinie Objektbasierte Verwaltungsrichtlinien verfügen, die nicht in Intune konvertiert werden können, ist diese Option nicht die richtige für Sie.
  • Keine Kontrolle über das VNET. Die virtuelle NIC wird von Microsoft verwaltet. Daher müssen alle Netzwerksteuerungen auf dem Cloud-PC selbst implementiert werden, ähnlich wie physische Geräte in einem Work-from-Home-Szenario.
  • Kein direkter Zugriff auf lokale Ressourcen. Für den Zugriff auf diese Ressourcen ist eine VPN- oder private Zugriffslösung erforderlich. Wenn Sie VPNs mit einem Cloud-PC verwenden, verwenden Sie geteiltes Tunneling , um sicherzustellen, dass RDP-Datenverkehr nicht über das VPN geleitet wird.
  • Erfordert ein cloudnatives Verwaltungsvorgangsmodell wie Intune.
  • Port 25 ist blockiert.
  • Ping/ICMP ist blockiert.
  • Die lokale Netzwerkkommunikation zwischen Cloud-PCs wird blockiert.
  • Es ist keine direkte eingehende Verbindung mit Cloud-PCs möglich.
  • Administratoren haben keine Möglichkeit, die IP-Adressbereiche und/oder den Adressraum zu steuern, die den Cloud-PCs zugewiesen sind. Windows 365 behandelt die IP-Adressen automatisch.

Azure-Netzwerkverbindungsoption

Mit der Bereitstellungsoption Azure Network Connection (ANC) sind Sie vollständig für das VNET und seine Konfiguration verantwortlich. Wenn Sie ein Microsoft Entra Hybrid Join-Modell verwenden, müssen Sie diese Bereitstellungsoption verwenden. Diese Option bietet Sichtverbindung zu Ihren lokalen Azure Directory-Ressourcen und ermöglicht es Ihnen, Netzwerk- und Sicherheitsziele wie die folgenden anzupassen:

  • Datenverkehrsrouten.
  • Ports und Protokolle.
  • Active Directory DS- und Branchenanwendungskonnektivität.
  • Gatewayverbindungen über VPN oder ExpressRoute.
  • Von Cloud-PCs verwendeter Adressraum.
  • Kommunikationsberechtigungen zwischen Cloud-PCs.
  • Direkte RDP-Verbindungen mit Cloud-PCs.

Sie wählen das VNET aus denen in Ihrem Azure-Abonnement aus. Sie konfigurieren Bereitstellungsrichtlinien, mit denen die Cloud-PCs in Ihrem vNet erstellt werden. Sie verwalten die Cloud-PC-Konnektivität, einschließlich aller direkten Ausgehenden Daten aus dem VNET und des gewünschten Internetzugriffspfads.

Azure-Netzwerkverbindung unterstützt zwei Identitätsbereitstellungsmodelle:

  • Einbindung von Microsoft Entra
  • Hybride Einbindung in Microsoft Entra

Einbindung von Microsoft Entra

Wenn Sie Microsoft Entra Join verwenden, müssen Sie keine Verbindung zwischen dem VNET und Ihrem lokalen Netzwerk herstellen. Sie müssen lediglich sicherstellen, dass eine ausgehende Internetverbindung mit den erforderlichen Endpunkten besteht. Möglicherweise möchten Sie jedoch eine lokale Verbindung für den Zugriff auf Ressourcen hinzufügen, die sich auf Ihren lokalen Dateiservern und Anwendungen befinden. Sie können die Verbindung mithilfe von ExpressRoute oder Site-to-Site-VPN erstellen, aber diese Optionen stellen zusätzliche Kosten und Komplexität dar.

Der Einfachheit halber empfiehlt es sich, bei verwendung Microsoft Entra Joins die zuvor erläuterte Von Microsoft gehostete Netzwerkoption zu verwenden. In diesem Fall können Sie eine VPN- oder private Zugriffslösung über das Internet verwenden, um auf Unternehmensressourcen zuzugreifen.

Diagramm: ANC-Option – Microsoft Entra Join

Diagramm der OPTION

Hybride Einbindung in Microsoft Entra

Bei Microsoft Entra Hybrideinbindung ist eine Verbindung mit dem lokalen Netzwerk aus dem VNET erforderlich. Die einzige Möglichkeit, die dort befindliche DC-Infrastruktur zu erreichen, besteht darin, die ANC-Bereitstellungsoption zu verwenden. Diese Verbindung ist eine wichtige Komponente, daher sollte darauf geachtet werden, dass Zuverlässigkeit und Redundanz sichergestellt werden.

Diagramm: ANC-Option – Microsoft Entra Hybridjoin

Diagramm der Hybridjoinoption

Vorteile der ANC-Option

  • Vollständige Kontrolle über das VNET. Die NIC des Cloud-PCs befindet sich in Ihrem eigenen verwalteten VNET.
  • Direkte Sichtverbindung zur lokalen Infrastruktur. Das VNET kann mit einer Site-to-Site-VPN- oder ExpressRoute-Verbindung zurück zum lokalen Netzwerk konfiguriert werden, um direkte Verbindungen mit der Azure Directory-Infrastruktur oder diensten und Anwendungen zu erhalten, die sich dort befinden.
  • Cloud-PC wird wie an einem lokalen Standort betrieben. Die Erweiterung des Unternehmensnetzwerks auf das vNet bedeutet, dass der Cloud-PC so funktionieren kann, als ob er sich innerhalb der Grenzen des Unternehmensnetzwerks befindet.
  • Einfaches Peering mit anderen VNETs. Einfache Kreuzkonnektivität zwischen dem Cloud-PC-VNET und anderen vNets in Azure. Dies unterstützt die direkte Konnektivität mit anderen in Azure gehosteten Ressourcen, die vom organization verwendet werden.

Überlegungen

Bevor Sie die ANC-Bereitstellungsoption verwenden, sollten Sie sich die folgenden Überlegungen ansehen:

  • Azure-Abonnement erforderlich. Das in diesem Szenario verwendete VNET befindet sich in Ihrem eigenen Azure-Abonnement. Daher benötigen Sie ein Azure-Abonnement und die erforderlichen Lizenzen.
  • Kosten für ausgehenden Datenverkehr. Da das VNET Ihrem eigenen Azure-Konto zugeordnet ist, fallen alle Ausgehenden Kosten für Ihr Azure-Abonnement an.
  • Zusätzliche Kosten für die Netzwerkinfrastruktur. Die Azure-Kosten für den Betrieb Ihres eigenen VNET werden auf das Abonnement angewendet, das dem VNET zugeordnet ist.
  • Azure-Netzwerkkenntnisse oder -verwaltung sind erforderlich. Sie müssen das Fachwissen und die Verwaltung bereitstellen, um Ihr VNET zu verwalten.
  • Höhere Komplexität. Sie müssen Ihr Netzwerk verwalten und verwalten. Dies ist eine komplexere Aufgabe als die Verwendung eines von Microsoft gehosteten Netzwerks.
  • Längere Bereitstellung. Die Bereitstellung ist in der Regel länger als bei der von Microsoft gehosteten Netzwerkoption. Diese zusätzliche Zeit wird durch die hohe Anzahl von kundenseitigen Elementen verursacht, die zuerst konfiguriert werden müssen.
  • Höheres Risiko. Eine ANC-Bereitstellung ist komplexer als eine von Microsoft gehostete Netzwerkbereitstellung. Diese Komplexität erhöht das Risiko von Konnektivitätsproblemen.

Gleichzeitige Optionen

Die von Microsoft gehosteten Netzwerk- und ANC-Optionen können gleichzeitig verwendet werden. Beispielsweise können Sie die ANC-Option für eine Teilmenge Ihrer Bereitstellungen verwenden, die eindeutige Legacyanforderungen aufweisen. Für den Rest Ihrer Bereitstellung ohne diese Anforderungen können Sie die Von Microsoft gehostete Netzwerkoption verwenden.

Nächste Schritte

Erfahren Sie mehr über den Bereitstellungsprozess.