Requisitos de red
Windows 365 es un servicio basado en la nube que permite a los usuarios conectarse por Internet desde cualquier dispositivo, desde cualquier lugar, a un escritorio de Windows que se ejecuta en Azure. Para admitir estas conexiones a Internet, debe seguir los requisitos de red enumerados en este artículo.
Cada cliente tiene sus requisitos específicos en función de la carga de trabajo que use para calcular los requisitos de red de su entorno de PC en la nube.
Nota:
Este artículo solo se aplica si planea aprovisionar PC en la nube en su propia red virtual de Azure y no en una red hospedada por Microsoft.
Requisitos generales de red
Para usar su propia red y aprovisionar equipos en la nube unidos a Microsoft Entra, debe cumplir los siguientes requisitos:
- Red virtual de Azure: debe tener una red virtual (vNET) en la suscripción de Azure en la misma región en la que se han creado los escritorios de Windows 365.
- Ancho de banda de red: vea Instrucciones de red de Azure.
- Una subred dentro de la red virtual y espacio de direcciones IP disponible.
Para usar su propia red y aprovisionar equipos en la nube híbridos unidos a Microsoft Entra, debe cumplir los requisitos anteriores y los siguientes requisitos:
- La red virtual de Azure debe ser capaz de resolver las entradas DNS para el entorno de Active Directory Domain Services (AD DS). Para admitir esto, defina los servidores DNS de AD DS como servidores DNS para la red virtual.
- La red virtual de Azure debe tener acceso de red a un controlador de dominio empresarial, ya sea en Azure o en el entorno local.
Permitir la conectividad de red
Debe permitir el tráfico en la configuración de red a las siguientes direcciones URL de servicio y puertos para admitir el aprovisionamiento y la administración de equipos en la nube y para la conectividad remota con equipos en la nube. Aunque la mayor parte de la configuración es para la red de PC en la nube, la conectividad del usuario final se produce desde un dispositivo físico. Por lo tanto, también debe seguir las directrices de conectividad en la red de dispositivos físicos.
Dispositivo o servicio | Puertos y direcciones URL necesarios para la conectividad de red | Notas |
---|---|---|
Dispositivo físico | Enlace | Para actualizaciones y conectividad de cliente de Escritorio remoto. |
Servicio de Microsoft Intune | Enlace | Para los servicios en la nube de Intune, como la administración de dispositivos, la entrega de aplicaciones y el análisis de puntos de conexión. |
Máquina virtual de host de sesión de Azure Virtual Desktop | Enlace | Para la conectividad remota entre los equipos en la nube y el servicio back-end de Azure Virtual Desktop. |
Servicio de Windows 365 | Enlace | Para el aprovisionamiento y las comprobaciones de estado. |
Servicio de Windows 365
Las siguientes direcciones URL y puertos son necesarios para el aprovisionamiento de equipos en la nube y las comprobaciones de estado de azure network connection (ANC):
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- Puntos de conexión de registro
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (443 y 5671 saliente)
- hm-iot-in-prod-prap01.azure-devices.net (443 y 5671 saliente)
- hm-iot-in-prod-prau01.azure-devices.net (443 y 5671 saliente)
- hm-iot-in-prod-preu01.azure-devices.net (443 y 5671 saliente)
- hm-iot-in-prod-prna01.azure-devices.net (443 y 5671 saliente)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 saliente)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 saliente)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 saliente)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 saliente)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 saliente)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 saliente)
Todos los puntos de conexión se conectan a través del puerto 443 a menos que se especifique lo contrario.
Puerto 3389
El puerto 3389 está deshabilitado de forma predeterminada para todos los equipos en la nube recién aprovisionados. Microsoft recomienda mantener cerrado el puerto 3389. Sin embargo, si necesita que el puerto 3389 esté abierto para cualquier equipo en la nube revisionado o recién aprovisionado mediante la opción de implementación Azure Network Connection (ANC), puede revisar las siguientes opciones:
- Líneas base de seguridad de Windows 365. Los clientes pueden usar las líneas base de seguridad de Windows 365 para administrar eficazmente el puerto 3389 para equipos en la nube de Windows 365. Estas líneas base proporcionan herramientas y configuraciones completas diseñadas para mejorar las medidas de seguridad y, al mismo tiempo, permitir el acceso necesario. Al ajustar la configuración del firewall y establecer la acción de entrada predeterminada para el perfil público en Permitir, las organizaciones pueden asegurarse de que el puerto 3389 está configurado correctamente para satisfacer las necesidades operativas. Revise y personalice esta configuración según sus requisitos específicos de la organización.
- Cree una regla de firewall personalizada en Microsoft Intune. Los clientes pueden usar reglas de firewall personalizadas en Microsoft Intune para configurar el puerto 3389 para equipos en la nube de Windows 365. Esta opción implica la creación de una regla personalizada dentro de las directivas de seguridad de Intune adaptadas para permitir el tráfico entrante en el puerto 3389, que se usa para el acceso a los equipos en la nube. Al definir los parámetros de regla, como el número de puerto, el protocolo (TCP) y la restricción de direcciones IP o redes específicas, puede asegurarse de que el acceso al puerto 3389 está estrechamente controlado y limitado solo a entidades autorizadas.
Estas opciones no son aplicables a los clientes que usan una red hospedada en Microsoft.
Uso de etiquetas FQDN para puntos de conexión a través de Azure Firewall
Las etiquetas de nombre de dominio completo (FQDN) de Windows 365 facilitan la concesión de acceso a los puntos de conexión de servicio necesarios de Windows 365 a través de un firewall de Azure. Para obtener más información, consulte Uso de Azure Firewall para administrar y proteger entornos de Windows 365.
Puntos de conexión de servicio de agente de protocolo de escritorio remoto (RDP)
La conectividad directa a los puntos de conexión de servicio del agente RDP de Azure Virtual Desktop es fundamental para el rendimiento de comunicación remota a un equipo en la nube. Estos puntos de conexión afectan tanto a la conectividad como a la latencia. Para que estén aliñados con los principios de conectividad de red de Microsoft 365, debe clasificar estos puntos de conexión como Optimizar puntos de conexión. Se recomienda usar una ruta de acceso directa desde la red virtual de Azure a esos puntos de conexión.
Para facilitar la configuración de controles de seguridad de red, use etiquetas de servicio de Azure Virtual Desktop para identificar los puntos de conexión para el enrutamiento directo mediante una ruta definida por el usuario (UDR) de Redes de Azure. Una UDR da como resultado un enrutamiento directo entre la red virtual y el agente rdp para obtener una latencia más baja. Para más información sobre las etiquetas de servicio de Azure, consulte Introducción a las etiquetas de servicio de Azure.
Cambiar las rutas de red de un PC en la nube (en la capa de red o en la capa de PC en la nube como VPN), puede interrumpir la conexión entre el PC en la nube y el agente RDP de Azure Virtual Desktop. Si es así, el usuario final se desconecta de su equipo en la nube hasta que se vuelva a establecer una conexión.
Requisitos de DNS
Como parte de los requisitos de unión híbrida de Microsoft Entra, los equipos en la nube deben poder unirse a Active Directory local. Esto requiere que los PC en la nube puedan resolver registros DNS para el entorno de AD local.
Configure su red virtual de Azure donde los PC en la nube se aprovisionan de la siguiente manera:
- Asegúrese de que la red virtual de Azure tenga conectividad de red con servidores DNS que puedan resolver su dominio de Active Directory.
- En la configuración de la red virtual de Azure, seleccione Servidores DNS y, a continuación, elija Personalizado.
- Introduzca la dirección IP de los servidores DNS de ese entorno que pueden resolver su dominio AD DS.
Sugerencia
Agregar al menos dos servidores DNS, como lo haría con un equipo físico, ayuda a mitigar el riesgo de un único punto de error en la resolución de nombres.
Para obtener más información, vea configuración de las opciones de redes virtuales de Azure.
Requisitos del protocolo de escritorio remoto
Windows 365 usa el Protocolo de escritorio remoto (RDP).
Escenario | Modo predeterminado | Modo H.264/AVC 444 | Descripción |
---|---|---|---|
Inactivo | 0,3 kbps | 0,3 kbps | El usuario ha pausado su trabajo y no hay actualizaciones de pantalla activas. |
Microsoft Word | 100-150 kbps | 200-300 kbps | El usuario trabaja activamente con Microsoft Word, escribe, pega gráficos y cambia de un documento a otro. |
Microsoft Excel | 150-200 kbps | 400-500 kbps | El usuario trabaja activamente con Microsoft Excel: se actualizan al mismo tiempo varias celdas con fórmulas y gráficos. |
Microsoft PowerPoint | 4-4,5 Mbps | 1,6-1,8 Mbps | El usuario trabaja activamente con Microsoft PowerPoint: escribe, pega, modifica gráficos enriquecidos y usa efectos de transición de diapositivas. |
Exploración web | 6-6,5 Mbps | 0,9-1 Mbps | El usuario está trabajando activamente con un sitio web gráficamente rico que contiene varias imágenes estáticas y animadas. El usuario desplaza las páginas tanto horizontal como verticalmente |
Galería de imágenes | 3,3-3,6 Mbps | 0,7-0,8 Mbps | El usuario trabaja activamente con la aplicación de la galería de imágenes: exploración, zoom, ajuste de tamaño y rotación de imágenes |
Video playback | 8,5-9,5 Mbps | 2,5-2,8 Mbps | El usuario ve un vídeo de 30 FPS que ocupa la mitad de la pantalla. |
Reproducción de vídeo en pantalla completa | 7,5-8,5 Mbps | 2,5-3,1 Mbps | El usuario está viendo un vídeo de 30 FPS maximizado a pantalla completa. |
Requisitos de Microsoft Teams
Microsoft Teams es uno de los servicios principales de Microsoft 365 en PC en la nube. Windows 365 descarga el tráfico de audio y vídeo al punto de conexión para que la experiencia de vídeo sea como la de Teams en un equipo físico.
La calidad de la red es importante para cada escenario. Asegúrese de que tiene el ancho de banda adecuado disponible para la calidad que quiere ofrecer.
Full HD (1920x1080 píxeles) no es una resolución compatible con Microsoft Teams en PC en la nube.
Ancho de banda (arriba/abajo) | Escenarios |
---|---|
30 kbps | Llamadas de audio punto a punto. |
130 kbps | Llamadas de audio punto a punto y uso compartido de pantalla. |
500 kbps | Videollamadas de calidad punto a punto con una resolución de 360p a 30 fps. |
1,2 Mbps | Videollamadas de alta definición punto a punto con una resolución de 720p a 30 fps. |
500 kbps/1Mbps | Videollamadas grupales. |
Para obtener más información sobre los requisitos de red de Microsoft Teams, consulte Consideraciones de redes.
Tecnologías de interceptación de tráfico
Algunos clientes empresariales usan la interceptación de tráfico, el descifrado SSL, la inspección profunda de paquetes y otras tecnologías similares para que los equipos de seguridad supervisen el tráfico de red. El aprovisionamiento de PC en la nube puede necesitar acceso directo a la máquina virtual. Estas tecnologías de interceptación de tráfico pueden causar problemas con la ejecución de comprobaciones de conexión de red de Azure o el aprovisionamiento de pc en la nube. Asegúrese de que no se aplica ninguna interceptación de red para los PC en la nube aprovisionados en el servicio Windows 365.
Ancho de banda
Windows 365 usa la infraestructura de red de Azure. Se requiere una suscripción de Azure cuando se selecciona una red virtual al implementar Windows 365 Enterprise. Los cargos de ancho de banda para el uso de PC en la nube incluyen:
- El tráfico en un equipo en la nube es gratuito.
- El tráfico saliente (salida) incurre en cargos contra la suscripción de Azure para la red virtual.
- Los datos de Office (como el correo electrónico y la sincronización de archivos de OneDrive para la Empresa) incurren en cargos de salida si el equipo en la nube y los datos de un usuario residen en regiones diferentes.
- El tráfico de red RDP siempre incurre en cargos de salida.
Si trae su propia red, consulte los precios de ancho de banda.
Si usa una red hospedada en Microsoft: los datos de salida/mes se basan en la RAM del equipo en la nube:
- 2 GB de RAM = 12 GB de datos de salida
- 4 GB u 8 GB de RAM = 20 GB de datos de salida
- 16 GB de RAM = 40 GB de datos de salida
- 32 GB de RAM = 70 GB de datos de salida
El ancho de banda de los datos podría restringirse cuando se superan estos niveles.
Siguientes pasos
Obtenga información sobre el control de acceso basado en rol de PC en la nube.