Conexión de red de Azure de Windows 365

Windows 365 ofrece instancias informáticas de Windows basadas en la nube denominadas PC en la nube que proporcionan a los usuarios experiencias de escritorio personalizadas y optimizadas. Cada PC en la nube se integra con los siguientes servicios en la nube de Microsoft para proporcionar seguridad, administración y conectividad de nivel empresarial:

• Intune para la administración de dispositivos, las directivas de seguridad y la implementación de aplicaciones

• Identificador de Microsoft Entra para la administración de identidades y el control de acceso

• Azure Virtual Desktop para proteger la conectividad remota y la administración de sesiones

Los pc en la nube se ejecutan en el servicio Windows 365 y proporcionan a los usuarios experiencias coherentes de escritorio de Windows a las que pueden acceder desde cualquier dispositivo, en cualquier lugar. Este artículo se centra en las implementaciones de Windows 365 que usan conexiones de red de Azure para integrarse con la infraestructura de red existente y los recursos locales.

El modelo de responsabilidad compartida de Windows 365

Windows 365 es una solución de software como servicio (SaaS). Microsoft administra algunos componentes en los servicios de Windows 365 y administra otros componentes. El nivel de responsabilidad depende del patrón de arquitectura para la implementación.

Las responsabilidades de administración de Windows 365 se dividen en tres áreas:

• Despliegue: Planee e implemente el componente del servicio.

• Ciclo vital: Administre el componente a lo largo de su ciclo de vida, como la aplicación de revisiones y la protección.

• Configuración: Configure el componente para aplicar los valores necesarios para un escenario.

En el siguiente diagrama se muestra la matriz de responsabilidades de una implementación de Windows 365 que usa la red hospedada por Microsoft recomendada, Microsoft Entra join y las imágenes de la galería con Microsoft Windows Autopatch. Esta configuración no requiere que administre muchos componentes y fases de ciclo de vida, y proporciona muchas ventajas.

Nota:

En el diagrama siguiente se representan las responsabilidades desde la perspectiva de la infraestructura, como configurar el hardware y la red y mantenerlas. No incluye la configuración de la suscripción de inquilino de Windows 365 o Intune.

Esta matriz muestra que Microsoft administra todos los aspectos de los pasos de implementación, ciclo de vida y configuración de los siguientes componentes: Virtual Desktop, Windows 365, Infraestructura de PC en la nube, VM de PC en la nube, Intune, NIC virtuales de PC en la nube, suscripción de Azure, grupos de recursos, Azure Storage, Red virtual y configuración de enrutamiento. La única excepción es el paso de configuración de Intune, que es responsabilidad del cliente. Azure Storage se marca como opcional. El cliente administra todos los pasos de Microsoft Entra ID, Azure DNS, sistema operativo invitado, aplicaciones y seguridad de Cloud PC.

Descargue un archivo de PowerPoint de esta arquitectura.

En el diagrama siguiente se muestra una implementación típica de Windows 365 que usa una conexión de red de Azure. Muestra los componentes que Microsoft administra y los componentes que administra en las fases del ciclo de vida de un PC en la nube.

Esta matriz muestra que Microsoft administra todos los aspectos de los pasos de implementación, ciclo de vida y configuración de los siguientes componentes: Virtual Desktop, Windows 365, infraestructura de PC en la nube, VM de PC en la nube, Intune y NIC virtuales de PC en la nube. La única excepción es el paso de configuración de Intune, que es responsabilidad del cliente. El cliente administra todos los pasos de la suscripción de Azure, los grupos de recursos, Azure Storage, la red virtual, la configuración de enrutamiento, VPN o Azure ExpressRoute, el identificador de Microsoft Entra, Azure DNS, el sistema operativo invitado, las aplicaciones y la seguridad de PC en la nube. Azure Storage se marca como opcional.

Descargue un archivo de PowerPoint de esta arquitectura.

Patrón de arquitectura recomendado

Se recomienda implementar Windows 365 con los siguientes componentes para obtener una experiencia de SaaS:

• Unirse a Microsoft Entra
• Una red hospedada por Microsoft
• Imágenes de la galería
• Un servicio de administración de dispositivos móviles (MDM) basado en Intune con la configuración de aplicaciones y sistemas operativos
• Una aplicación de Windows 365 para el acceso a PC en la nube

Este patrón proporciona las ventajas máximas del servicio.

En este diagrama se muestra una red de Azure que contiene suscripciones de cliente y suscripciones de Azure. La sección de suscripción de cliente contiene Intune y Microsoft Entra ID. La sección suscripción de Azure contiene Windows 365 y una red virtual. Los siguientes componentes residen fuera de la red de Azure: una aplicación de Windows 365, imágenes de la galería de Windows 11 para Windows 365, tráfico directo de Internet y una red corporativa del cliente. La aplicación Windows 365 apunta a Windows 365 en la suscripción de Azure. Windows 365 se conecta a las imágenes de la galería. La red virtual apunta al tráfico directo de Internet, que es una ruta de enrutamiento opcional. La red virtual apunta a la red corporativa del cliente a través de una conexión de acceso privado o VPN opcional.

Descargue un archivo de PowerPoint de esta arquitectura.

El patrón de arquitectura anterior maximiza el valor de Windows 365 y proporciona las siguientes ventajas:

• Implementación simplificada y más rápida
• Dependencias mínimas o nulas
• Compatibilidad total con el marco de confianza cero
• Flujos de solución de problemas simplificados
• Solución de problemas de usuarios de autoservicio
• Baja sobrecarga y administración
• Modelo de madurez más alto de software y entrega de aplicaciones

Arquitectura de servicio de Windows 365

En el diagrama siguiente se representan los componentes del servicio Windows 365. Esta arquitectura usa Intune y Microsoft Entra ID, que son requisitos básicos de Windows 365. También incluye componentes opcionales, como Azure Virtual Network. Muestra la conexión de red de Azure y las opciones de red hospedadas por Microsoft, que son mutuamente excluyentes.

Este diagrama tiene seis secciones principales: clientes de Windows 365, servicio de Windows 365, Azure Virtual Desktop, identificador de Microsoft Entra, Intune y una suscripción de Azure de cliente. Los clientes de Windows 365, Virtual Desktop y una red virtual en el servicio Windows 365 se conectan a Internet. Microsoft Entra ID se conecta a los clientes. Intune se conecta a Microsoft Entra ID a través de la consola web de Intune. Los clientes se conectan al portal de usuarios en Windows 365. La suscripción de Azure del cliente tiene una conexión opcional a una VPN que no es de Microsoft y a la red virtual en Windows 365. La VPN tiene una conexión opcional a una red local, que también se conecta a ExpressRoute en la suscripción. Active Directory y Configuration Manager se conectan a esa red local. La sección Intune incluye tres subsecciones: Configurar dispositivos, proteger datos y administrar aplicaciones. También incluye Autopilot y Autopatch, la coadministración y RBAC. La sección Intune apunta a Windows Update para Empresa y Microsoft Defender for Endpoint. La red virtual de Windows 365 contiene una red hospedada de Microsoft y una conexión de red de Azure. Ambos componentes apuntan a la sección Escritorio virtual, que contiene una puerta de enlace, un agente y una web. La conexión de red de Azure también tiene una conexión opcional a un PC en la nube. Microsoft Hosted tiene una conexión predeterminada a un PC en la nube.

Descargue un archivo de Visio de esta arquitectura.

Las secciones siguientes se expanden en las opciones de conexión de red de Azure.

Virtual Desktop

Virtual Desktop es una solución de infraestructura de escritorio virtual basada en Azure. Microsoft administra Virtual Desktop. Proporciona una solución de estilo de plataforma como servicio (PaaS). Windows 365 usa los componentes de administración de red de Virtual Desktop para habilitar la conectividad a equipos en la nube hospedados por Microsoft. Estos componentes incluyen el servicio de puerta de enlace de Virtual Desktop, un servicio de agente de conexión y un servicio de cliente web. Proporcionan una conexión sin problemas a equipos en la nube de Windows 365.

Para obtener más información, consulte Virtual Desktop para la empresa.

Este diagrama contiene tres secciones principales, una suscripción de Azure, una red local y Azure Files y Azure NetApp Files. La suscripción contiene una red virtual centro y una red virtual satélite. La red virtual del concentrador contiene una subred de puerta de enlace, una subred de zona perimetral, una subred de escritorio y una subred de Active Directory. La subred de Active Directory se conecta a una red virtual de radio a través de emparejamiento. La subred de escritorio central se conecta a una cuenta de almacenamiento en la sección Azure Files. Todas las subredes excepto la subred de puerta de enlace tienen grupos de seguridad de red. La red local contiene un servidor de Microsoft Entra Connect, un servidor de AD DS opcional, una puerta de enlace de red y puntos de conexión. Se conecta a la suscripción de Azure a través de una conexión expressRoute. Y se conecta a Microsoft Entra ID a través de Microsoft Entra Connect. La puerta de enlace de red apunta al dispositivo virtual de red en la subred perimetral. El plano de control de Virtual Desktop se encuentra en la parte superior del diagrama, bajo Microsoft Entra ID. Incluye acceso web, una puerta de enlace, un agente, diagnósticos y una API REST.

Descargue un archivo de Visio de esta arquitectura.

Nota:

Windows 365 usa los componentes del plano de control de Virtual Desktop para facilitar las conexiones de usuario y PC en la nube. Por lo tanto, hereda la mayoría de las funcionalidades relacionadas con la conexión de Azure Virtual Desktop. Familiarícese con el funcionamiento de las redes de Virtual Desktop al diseñar la arquitectura de conexión de red de Azure en este artículo.

Intune

Intune es una solución de administración de puntos de conexión basada en la nube que puede usar para ver y consumir informes y administrar los siguientes elementos:

• Entrega de aplicaciones
• Actualizaciones de Windows
• Configuraciones de administración de dispositivos
• Directivas de seguridad

Intune simplifica la administración de aplicaciones y dispositivos en muchos dispositivos, incluidos dispositivos móviles, equipos de escritorio y puntos de conexión virtuales.

Puede usar Intune para proteger el acceso y los datos en dispositivos personales y propiedad de la organización. Intune también tiene características de cumplimiento e informes que admiten el modelo de seguridad de confianza cero. Para más información, consulte Creación de un perfil de configuración de dispositivo.

Patrones de arquitectura

Un patrón de arquitectura describe los componentes y muestra las configuraciones que puede usar para implementar un servicio o producto. Para más información, véase Arquitectura "Alojado en nombre de".

Consulte los siguientes patrones de conexión de red de Azure:

Conexión de red de Azure con Microsoft Entra join: En este patrón, los equipos en la nube unidos a Microsoft Entra usan una conexión de red de Azure para conectarse a recursos en entornos locales que no requieren autenticación Kerberos o Windows New Technology LAN Manager (NTLM). Por ejemplo, los PC en la nube pueden conectarse a aplicaciones de línea de negocio (LOB), recursos compartidos de archivos u otras aplicaciones.

Conexión de red de Azure con la unión híbrida de Microsoft Entra: En este patrón, los PC en la nube con unión híbrida de Microsoft Entra utilizan una conexión de red de Azure para unirse a un dominio con un controlador de dominio de Microsoft Entra ID local. El PC en la nube se autentica con el controlador de dominio local cuando los usuarios acceden al PC en la nube, las aplicaciones locales o las aplicaciones en la nube que requieren autenticación Kerberos o NTLM.

Patrones de arquitectura de conexión de red de Azure

Para algunos patrones, el servicio Windows 365 se conecta a entornos locales a través de Virtual Network mediante Azure ExpressRoute o una VPN de sitio a sitio. Una conexión de red de Azure, que es un objeto de Intune, representa este método de conectividad. La conexión de red de Azure permite a los PC en la nube conectarse a recursos locales, como Windows Server Active Directory o aplicaciones loB.

El servicio Windows 365 usa esta conexión durante el aprovisionamiento de PC en la nube para unir equipos en la nube a un dominio local de Microsoft Entra y realizar comprobaciones de estado para garantizar la preparación del aprovisionamiento.

En la tabla siguiente se muestra una dependencia de una conexión de red de Azure para la arquitectura de unión híbrida de Microsoft Entra. Windows 365 ejecuta una comprobación de estado automática en esta dependencia.

Dependencia	Comprobación de Windows 365	Recomendaciones
Microsoft Entra Connect	Comprueba si Microsoft Entra Connect está configurado y finaliza correctamente.	- Configure el intervalo de sincronización de Microsoft Entra Connect con el valor predeterminado o más bajo. Los intervalos de sincronización más largos aumentan la posibilidad de un error de aprovisionamiento de PC en la nube en producción debido a un tiempo de espera. Para obtener más información, consulte Error de unión híbrida de Microsoft Entra. - Configure la replicación del controlador de dominio para Windows Server Active Directory desde un servidor ubicado en el mismo centro de datos que la conexión de red de Windows 365 Azure. Este método proporciona una replicación más rápida. - Configure la replicación del controlador de dominio de Microsoft Entra ID con un valor predeterminado.

En la siguiente tabla se presentan las dependencias de una conexión de red Azure para la unión híbrida de Microsoft Entra o la arquitectura de unión Microsoft Entra. Windows 365 ejecuta comprobaciones automáticas de estado en estas dependencias.

Dependencia	Comprobación de Windows 365	Recomendaciones
Preparación para inquilinos de Azure	Comprueba si la suscripción de Azure está habilitada, sin restricciones de bloqueo y está lista para su uso.	- Use una cuenta que tenga los privilegios adecuados para administrar las suscripciones de Azure, Intune y Windows 365. Para más información, vea Control de acceso basado en roles. - Deshabilite o modifique directivas de Azure que impidan la creación de equipos en la nube. Para obtener más información, consulte Restringir las SKU de máquina virtual permitidas. - Asegúrese de que la suscripción tiene suficientes cuotas de recursos para las redes y los límites generales en función del número máximo de equipos en la nube que desea crear. Algunos ejemplos son el tamaño de la puerta de enlace de red, el espacio de direcciones IP, el tamaño de la red virtual y el ancho de banda necesarios. Para más información, consulte Límites de redes y Límites generales.
Preparación de la red virtual de Azure	Comprueba si la red virtual está en una región de Windows 365 compatible	- Cree la red virtual en una región de Azure compatible con Windows 365 para el aprovisionamiento de PC en la nube. - Cree al menos una subred, además de la subred predeterminada, para implementar los adaptadores de red virtual de PC en la nube. - Cree servicios de red compartidos, como Azure Firewall, puertas de enlace de VPN o puertas de enlace de ExpressRoute, en una red virtual independiente para permitir controles de enrutamiento y expansión de la implementación. En redes virtuales, aplique grupos de seguridad de red (NSG) que tengan exclusiones adecuadas para permitir las direcciones URL necesarias para el servicio Windows 365. Para obtener más información, consulte Requisitos de red y Grupos de Seguridad de Red.
Uso de direcciones IP de subred de Azure	Comprueba si hay suficientes direcciones IP disponibles.	- Cree la red virtual con suficientes direcciones IP para controlar la creación del PC en la nube y la reserva de direcciones IP temporales durante el reaprovisionamiento. Se recomienda que utilice un espacio de direcciones IP que sea de 1,5 a 2 veces el máximo de PCs en la nube que despliegue. Para más información, consulte Requisitos de red generales. : trate la red virtual de Azure como una extensión lógica de la red local. Asigne un espacio de direcciones IP único en todas las redes para evitar conflictos de enrutamiento.
Conectividad de punto de conexión	Comprueba si las direcciones URL externas necesarias para el aprovisionamiento de PC en la nube son accesibles desde la red virtual.	- Permitir todas las direcciones URL necesarias para el aprovisionamiento de PC en la nube a través de la red virtual de Azure. Para más información, consulte Permitir conectividad de red. - Use Azure Firewall para aprovechar las etiquetas de nombre de dominio completo (FQDN) de Windows 365, Azure Virtual Desktop e Intune. Use las etiquetas para crear reglas de aplicación y permitir las direcciones URL necesarias para el aprovisionamiento de PC en la nube de Windows 365. Para más información, consulte Uso de Azure Firewall para administrar y proteger entornos de Windows 365. - Omitir o excluir el tráfico del Protocolo de escritorio remoto (RDP) de cualquier dispositivo de inspección, proxy o manipulación de red para evitar problemas de latencia y enrutamiento. Para más información, consulte Tecnologías de interceptación de tráfico. - Desde el dispositivo de usuario final y el lado de red, autorice a las direcciones URL y puertos de servicio de Windows 365 para las inspecciones de proxy y red. - Permitir direcciones IP de Azure internas 168.63.129.16 y 169.254.169.254. Estas direcciones IP proporcionan comunicación con servicios de la plataforma Azure, como metadatos o latidos. Para obtener más información, consulte los siguientes recursos: - Dirección IP 168.63.129.16 - Azure Instance Metadata Service - Preguntas más frecuentes sobre Virtual Network
Inscripción de Intune	Compruebe si Intune permite la inscripción de Windows	- Asegúrese de definir restricciones de inscripción por tipo de dispositivo en Intune para permitir la inscripción corporativa a través de la plataforma MDM de Windows. - Para la unión híbrida de Microsoft Entra, configure los dispositivos automáticamente estableciendo el punto de conexión de servicio para cada dominio en Microsoft Entra Connect o utilizando el modelo de implementación dirigido. Para más información, consulte Configurar la unión híbrida de Microsoft e Implementación dirigida para la unión híbrida de Microsoft Entra.
Permisos de aplicación de Microsoft	Comprueba la aplicación de Windows 365 en busca de permisos en los niveles de suscripción de Azure del cliente, grupo de recursos y red virtual.	- Asegúrese de que la cuenta que usa para configurar la conexión de red de Azure tiene permisos de lectura en la suscripción de Azure donde se crea la red virtual de Azure. - Asegúrese de que la suscripción de Azure no tiene directivas que bloqueen los permisos de la aplicación administrada por Microsoft de Windows 365. La aplicación debe tener permisos en los niveles de suscripción, grupo de recursos y red virtual. Para más información, consulte Requisitos de Azure.
Paquete de idioma de localización	Comprueba si se puede acceder a las ubicaciones de descarga del paquete de idioma.	- Asegúrese de que las reglas de firewall de la red virtual de Azure permiten las direcciones URL necesarias para la versión adecuada de las imágenes de Windows. Para más información, consulte Proporcionar una experiencia localizada de Windows.
Ruta corta de RDP	Comprueba si las configuraciones del Protocolo de datagramas de usuario (UDP) están configuradas para conectarse.	- Habilite RDP Shortpath para el acceso al PC en la nube para aprovechar la resistencia de UDP. Para más información, consulte Uso de RDP Shortpath para redes públicas con Windows 365 y Uso de RDP Shortpath para redes privadas con Windows 365.
Licencia de Intune	Comprueba si el inquilino tiene licencias de Intune adecuadas para usar Windows	- Asegúrese de que tiene asignadas las licencias de Intune adecuadas de acuerdo con los requisitos de licencia.
Comprobación del inicio de sesión único (SSO)	Comprueba si el objeto de servidor Kerberos se crea en Windows Server Active Directory y se sincroniza con el identificador de Microsoft Entra.	- Asegúrese de seleccionar la opción SSO en la directiva de aprovisionamiento. Esta opción le permite conectarse al Cloud PC de la directiva mediante credenciales de inicio de sesión desde un dispositivo físico administrado por Intune unido al dominio o unido a Microsoft Entra. Para más información, consulte Continuar con la creación de directivas de aprovisionamiento.
Resolución de nombres del Sistema de nombres de dominio (DNS)	Comprueba si el DNS de la conexión de red de Azure puede resolver el dominio de Active Directory local.	- Configure la red virtual de Azure con la resolución de nombres de un dominio local de Microsoft Entra mediante un DNS personalizado, un DNS privado o un resolver privado. Para más información, consulte Azure DNS. - Asegúrese de que los servidores DNS que configure en la red virtual residen en la misma región y pueden registrar equipos en la nube recién aprovisionados sin demora. Evite las referencias o redirecciones de DNS para evitar retrasos de propagación, lo que puede dar lugar a retrasos de aprovisionamiento o errores.
Registro en el dominio de Microsoft Entra	Comprueba que las credenciales proporcionadas para la unión a un dominio de Microsoft Entra son válidas y que los pc en la nube pueden estar unidos a un dominio.	- Asegúrese de que la cuenta de unión a un dominio de Microsoft Entra tenga permisos en la unidad organizativa de Microsoft Entra especificada en la configuración de conexión de red de Azure. - Asegúrese de que la cuenta no sea una cuenta de usuario estándar con una limitación de unión a un dominio. Para obtener más información, consulte Límite predeterminado para el número de estaciones de trabajo que un usuario puede unir al dominio. - Asegúrese de que la cuenta se sincronice con el identificador de Microsoft Entra. - Asegúrese de que la unidad organizativa especificada en la conexión de red de Azure no tiene límites de objetos. Para más información, consulte Aumento del límite de cuentas de equipo en la unidad organizativa.

Para más información, consulte Comprobaciones de estado de conexión de red de Azure en Windows 365.

Recomendaciones de bloques de creación de conexiones de red de Azure

En esta sección se describen los bloques de creación del patrón de arquitectura de conexión de red de Azure de Windows 365.

Suscripción de Azure

El uso de Windows 365 en un patrón de arquitectura de conexión de red de Azure implica dos tipos de suscripciones de Azure, una suscripción de Microsoft y una suscripción de cliente.

Windows 365 usa el hospedado en nombre del modelo para ofrecer servicios a los clientes de Windows 365. Este modelo aprovisiona y ejecuta el PC en la nube en las suscripciones de Azure que posee Microsoft. El adaptador de red del PC en la nube se aprovisiona en la suscripción de Azure de un cliente. En los diagramas siguientes se muestran dos patrones de arquitectura de conexión de red de Azure. Utiliza tu propia suscripción y red virtual de Azure.

El siguiente patrón de arquitectura usa la identidad de unión a Microsoft Entra para administrar el Cloud PC.

En este diagrama se muestra un flujo de red. Un componente administrado por Microsoft en una red virtual de la suscripción de cliente se conecta a un entorno de cliente local y a un identificador de Microsoft Entra. El componente apunta a la conectividad del usuario y tiene una conexión bidireccional a los dispositivos de usuario.

Descargue un archivo de Visio de esta arquitectura.

El siguiente patrón de arquitectura usa la identidad de unión híbrida de Microsoft Entra para administrar el PC en la nube. Esta arquitectura requiere comunicación de red en línea de visión con los controladores de dominio de Active Directory Domain Services (AD DS) en entornos locales.

En este diagrama se muestra el mismo flujo de red que el diagrama anterior, excepto que un controlador de dominio reemplaza el entorno del cliente. Un componente administrado por Microsoft en una red virtual de la suscripción de cliente se conecta a un controlador de dominio local y a un identificador de Microsoft Entra. El componente apunta a la conectividad del usuario y tiene una conexión bidireccional a los dispositivos de usuario.

Descargue un archivo de Visio de esta arquitectura.

Componente	Una suscripción de Azure que hospeda la red virtual que proporciona conectividad para un PC en la nube a un entorno local e Internet.
Patrones de arquitectura	- Conexión de red de Azure para la vinculación con Microsoft Entra - Conexión de red de Azure para unión híbrida de Microsoft Entra
Recomendaciones	- Cree o use una suscripción que tenga una red virtual y ExpressRoute o puertas de enlace de VPN para proporcionar una conexión a un entorno local. - Cree un grupo de recursos dedicado para un PC en la nube para proporcionar permisos y administración de recursos. - Excluya los grupos de recursos de PC en la nube y las redes virtuales de las directivas de Azure que impiden la creación y eliminación automáticas de objetos de tarjeta de interfaz de red virtual o la asignación y liberación de direcciones IP. Para más información, consulte Bloqueo de los recursos para proteger la infraestructura y Requisitos de Azure. - Cree redes virtuales dedicadas para abordar mejor la administración de las direcciones IP y los controles de enrutamiento.

Red virtual y conexión híbrida

Los patrones de arquitectura de Windows 365 basados en una conexión de red de Azure requieren una o varias redes virtuales de Azure. Estas redes virtuales proporcionan conectividad tanto a entornos locales como a Internet para el aprovisionamiento de PC en la nube. El adaptador de red virtual del Cloud PC se aprovisiona en la red virtual Azure de la suscripción propiedad del cliente.

Puede implementar redes de Azure con una sofisticación de diseño variable basada en las redes locales existentes o en las redes de Azure. Para obtener más información sobre un diseño básico de red híbrida, consulte Implementación de una red híbrida segura.

Tenga en cuenta los siguientes factores al diseñar una arquitectura de red virtual de Azure:

• Espacio de direcciones IP: El tamaño del espacio de direcciones IP depende del número de PC en la nube. Planee al menos 1,5 veces el número máximo de PCs en la nube que implemente. Las direcciones IP adicionales se usan al aprovisionar y desaprovisionar equipos en la nube.

• Resolución de nombres:: los Cloud PCs utilizan un proceso DNS para resolver el nombre de dominio local en una implementación de unión híbrida de Microsoft Entra, o para resolver recursos de Internet o recursos Azure en un modelo de implementación de unión de Microsoft Entra.

  • Para usar la infraestructura DNS local existente, configure las direcciones IP de uno o varios servidores DNS para la resolución de nombres. Para más información, consulte Requisitos de DNS.

  • Asegúrese de que las direcciones IP del servidor DNS que configure en la red virtual de Azure residen en la misma región que el PC en la nube. Evite redirigir las solicitudes de registro DNS a otras regiones. El redireccionamiento puede provocar implementaciones retrasadas o con errores y comprobaciones de estado de conexión de red de Azure.

  • Para la resolución de nombres basada en DNS de Azure, use las opciones de DNS pública o privada de Azure o la opción del Resolutor Privado de DNS de Azure. Para más información, consulte la Documentación de Azure DNS.

• Topología de red: Las redes de Azure admiten topologías para dar cabida a diferentes casos de uso.

  • Topología de concentrador y extremo con emparejamiento de red virtual: Esta sencilla topología aísla los servicios dentro de redes virtuales dedicadas "hub-and-spoke". Los servicios compartidos incluyen Azure Firewall y puertas de enlace de red. Use esta topología si implementa equipos en la nube en una o varias redes virtuales radiales dentro de un entorno simple y de emplazamiento único. Para más información, véase Topología de red en estrella tipo hub-and-spoke.

  • Topología en estrella tipo hub-and-spoke con Azure Virtual WAN: Virtual WAN es un servicio de red de Azure que reúne funcionalidades de red, seguridad y administración para satisfacer requisitos de red complejos. Use esta topología para implementaciones multisitio y de varias regiones que tengan requisitos específicos de firewall y enrutamiento. Para más información, consulte Topología en estrella tipo hub-and-spoke con Virtual WAN.

• Puertas de enlace de red: Las puertas de enlace de red de Azure proporcionan conectividad desde una red virtual a una red local. Puede elegir entre vpn y puertas de enlace de red de ExpressRoute. Antes de determinar el método de conectividad, tenga en cuenta los requisitos máximos de ancho de banda de su PC en la nube. Las puertas de enlace vpn y ExpressRoute tienen varios niveles, o SKU, que proporcionan diferentes cantidades de ancho de banda y otras métricas. Para más información, consulte Conexión de una red local a Azure mediante ExpressRoute.

Configuraciones de enrutamiento

Windows 365 usa comprobaciones de estado automatizadas para determinar el estado y la preparación de su entorno al aprovisionar Microsoft Entra join o Microsoft Entra hybrid join Cloud PCs en una arquitectura basada en la conexión de red de Azure. Sin las configuraciones de enrutamiento adecuadas en la red virtual de Azure y los servicios de red asociados, es probable que las implementaciones de PC en la nube experimenten retrasos o errores.

Para optimizar el enrutamiento para la arquitectura de red de Windows 365, siga estas recomendaciones:

• Agregue las direcciones URL necesarias a la lista de permitidos: En Microsoft Entra hybrid join y en los modelos de conexión de red Microsoft Entra join Azure, asegúrese de que el antivirus del sistema operativo, los firewalls de red y los balanceadores de carga permitan las direcciones URL necesarias para cada Cloud PC. Para más información, consulte Permitir conectividad de red.

• Use etiquetas FQDN de Azure: Al usar el servicio Azure Firewall, aplique etiquetas FQDN de Azure para permitir las direcciones URL necesarias para Azure Virtual Desktop, Windows 365 e Intune. Para más información, consulte Uso de Azure Firewall para administrar y proteger entornos de Windows 365.

• Habilitar paso a través: Windows 365 usa RDP, que es sensible a la latencia de los dispositivos de inspección de tráfico, como un firewall o un dispositivo de descifrado de capa de sockets seguros (SSL). La latencia puede dar lugar a una mala experiencia. Deshabilite la inspección del tráfico de estas direcciones URL y habilite el paso a través. Para más información, consulte Tecnologías de interceptación de tráfico.

• Omitir proxy: los servicios de proxy tradicionales y en la nube, aunque son adecuados para el acceso a Internet, introducen latencia en las conexiones RDP. Esta latencia se produce cuando la conexión desde el dispositivo físico del usuario o desde el PC en la nube se fuerza a través de un proxy. Da como resultado desconexiones frecuentes, retrasos y tiempos de respuesta lentos. Establezca .wvd.microsoft.com y intervalos de direcciones IP de puerta de enlace de Windows 365 para omitir los servicios de proxy en los componentes siguientes:

  • Dispositivo físico del usuario
  • Red a la que se conecta el dispositivo físico
  • Pc en la nube

  Para obtener más información, consulta Optimizar la conectividad RDP para Windows 365.

• Asegúrate del enrutamiento de la ruta más corta: Asegúrate de que el tráfico RDP desde un PC en la Nube sigue la ruta más directa a los puntos de conexión del servicio de Virtual Desktop. La ruta de acceso ideal es de una red virtual a la dirección IP de la puerta de enlace de Virtual Desktop a través de Internet. Asegúrese también de que el tráfico RDP del dispositivo físico del usuario llegue directamente a la dirección IP de la puerta de enlace de Virtual Desktop. Esta configuración garantiza un enrutamiento óptimo y no degrada la experiencia del usuario. Evite enrutar el tráfico RDP a Internet a través de servicios proxy en la nube o redes locales.

• Habilite RDP Shortpath: Habilite el acceso basado en RDP Shortpath para redes de usuario, redes de Azure y PC en la nube. RDP Shortpath usa UDP para transmitir tráfico RDP. A diferencia del Protocolo de control de transmisión (TCP), UDP es resistente a las conexiones de red de alta latencia. UDP también aprovecha al máximo el ancho de banda de red disponible para transferir eficazmente paquetes RDP, lo que da lugar a una experiencia de usuario mejorada. Para más información, consulte Usar RDP Shortpath para redes públicas con Windows 365.

• Evaluar la ubicación de PC en la nube: Para obtener una experiencia de usuario óptima y un rendimiento de enrutamiento, determine dónde residen los clientes en relación con las aplicaciones de trabajo o la red a las que acceden. Tenga en cuenta también el tiempo que los clientes dedican a acceder a las aplicaciones loB en comparación con el tiempo general al que acceden a otras aplicaciones.

  Tenga en cuenta las siguientes opciones de implementación para la ubicación de PC en la nube:

  • Opción de implementación 1: Cuando los clientes trabajan principalmente en aplicaciones de línea de negocio, como aplicaciones de Microsoft 365, este modelo reduce la latencia de esas aplicaciones ubicando el Cloud PC en la misma región que las aplicaciones LOB (Geography B). Esta configuración da prioridad al rendimiento del acceso LOB, incluso si la puerta de enlace está físicamente más cerca de un usuario de otra región (Geography A). El siguiente diagrama muestra un flujo de tráfico desde el usuario hacia las aplicaciones LOB.

    

    El diagrama tiene dos secciones, geography A y B. Geography A contiene la región A de Azure y una red de usuario, que se conectan entre sí a través de Internet y una puerta de enlace de Virtual Desktop. Geography B contiene la región B de Azure y aplicaciones LOB. La región B de Azure contiene Virtual Desktop y una red virtual. Las aplicaciones loB se conectan a la red virtual a través de una conexión VPN o ExpressRoute. Un flujo de usuario va desde un usuario de Geography A, a una red de usuario, a Internet, a la puerta de enlace de Virtual Desktop, a través de la red troncal de Azure a Geography B, a Virtual Desktop, a una red virtual y, por último, a las aplicaciones loB.

    Descargue un archivo de PowerPoint de esta arquitectura.

  • Opción de implementación 2: Si los clientes acceden ocasionalmente a las aplicaciones de línea de negocio en Geography B, la implementación de un PC en la nube más cerca de los clientes optimiza la latencia de acceso al PC en la nube frente a la latencia de acceso a las aplicaciones de línea de negocio. En el diagrama siguiente se muestra un flujo de tráfico para este escenario.

    

    El diagrama tiene dos secciones, geography A y B. Geography A contiene la región A de Azure y una red de usuario, que se conectan entre sí a través de una puerta de enlace de Virtual Desktop y una conexión VPN o ExpressRoute. Geography B contiene la región de Azure B y aplicaciones LOB. La región B de Azure contiene una red virtual. Las aplicaciones loB se conectan a la red virtual a través de una conexión VPN o ExpressRoute. Un flujo de usuario va desde un usuario de Geography A, a una red de usuario, a la conexión VPN o ExpressRoute, a la puerta de enlace de Virtual Desktop, a través de la red troncal de Azure a Geography B, a una red virtual y, por último, a las aplicaciones loB.

    Descargue un archivo de PowerPoint de esta arquitectura.

Recomendaciones de AD DS

En una arquitectura de unión híbrida de Microsoft Entra, una infraestructura de AD DS local actúa como origen de identidad de autoridad. Una infraestructura de AD DS configurada y correcta mejora el éxito de una implementación de Windows 365.

AD DS local admite muchas configuraciones que tienen varios niveles de complejidad. Las siguientes recomendaciones solo cubren los procedimientos recomendados de línea base.

• Para un escenario de unión híbrida de Microsoft Entra, es posible implementar AD DS en VMs de Azure. También puede usar una conexión de red híbrida para proporcionar una línea directa de visión al controlador de dominio local de Microsoft Entra. Para más información, consulte Implementar una red híbrida segura.

• Para un escenario de unión a Microsoft Entra, siga la arquitectura de referencia que integra dominios de Active Directory locales con el identificador de Microsoft Entra.

• Windows 365 usa un servicio guardián como parte de las pruebas automatizadas. El servicio crea una cuenta de máquina virtual de prueba que se muestra como deshabilitada en la unidad organizativa que especifica la configuración de conexión de red de Azure. No elimine esta cuenta.

• Los PC en la nube retirados en el modelo de unión híbrida de Microsoft Entra dejan deshabilitadas las cuentas de los equipos, lo que requiere una limpieza manual de los servicios de dominio de Active Directory.

• Microsoft Entra Domain Services no admite la unión híbrida de Microsoft Entra, por lo que no puede funcionar como origen de identidad en esa configuración.

Recomendaciones de DNS

En una arquitectura de implementación de conexión de red de Azure, los servidores DNS o un servicio DNS de una red virtual de Azure sirven como dependencias cruciales. Una infraestructura correcta garantiza una operación confiable.

• Para una configuración de unión híbrida de Microsoft Entra, DNS debe resolver el dominio al que se une el PC en la nube. Tiene varias opciones de configuración. La opción más sencilla es especificar la dirección IP del servidor DNS en la configuración de la red virtual de Azure. Para más información, consulte Resolución de nombres con su propio servidor DNS.

• En el caso de infraestructuras complejas, como configuraciones de varios dominios o varias regiones en Azure y entornos locales, use un servicio como zonas privadas de Azure DNS o resolución privada de DNS.

Recomendaciones de conexión de PC en la nube

Los PC en la nube implementados deben configurarse para una conexión ininterrumpido hacia y desde el servicio de puerta de enlace de Virtual Desktop. Al implementar aplicaciones como parte de una configuración del sistema operativo Windows, tenga en cuenta las siguientes recomendaciones:

• Asegúrese de que el cliente VPS no se inicia cuando el usuario inicia sesión porque puede desconectar la sesión cuando se establece el túnel VPN. A continuación, el usuario debe iniciar sesión de nuevo.

• Configure la VPN, el proxy, el firewall y las aplicaciones antivirus y antimalware para permitir u omitir el tráfico de las direcciones IP 168.63.129.16 y las direcciones IP 169.254.169.254. Esta arquitectura usa estas direcciones IP para la comunicación con los servicios de la plataforma Azure, como metadatos y latidos.

  Para obtener más información, consulte los siguientes recursos:

  • Dirección IP 168.63.129.16
  • Azure Instance Metadata Service para máquinas virtuales
  • Preguntas más frecuentes sobre Virtual Network

• No modifique manualmente las direcciones IP de los PC en la nube porque podría dar lugar a una desconexión permanente. Los servicios de red de Azure asignan direcciones IP con una concesión indefinida y las administran a lo largo del ciclo de vida del PC en la nube. Para más información, vea Métodos de asignación.

Colaboradores

Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.

Autor principal:

• Ravishankar Nandagopalan | Director de producto sénior

Otros colaboradores:

• Paul Collinge | Director de producto principal
• Claus Emerich | Director de producto principal
• David Falkus | Director de producto principal
• Bob Roudebush | Responsable técnico y tecnólogo de la nube/desarrollador
• Matt Shadbolt | Director de producto principal, Windows Cloud Experiences

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Planificación de la implementación Cloud PC
• Arquitectura de Windows 365
• Identidad y autenticación de Windows 365
• Ciclo de vida de PC en la nube en Windows 365
• Introducción a AD DS
• Cifrado de datos en Windows 365
• Descripción de la conectividad de red de Virtual Desktop

Recurso relacionado

• Diseño de arquitectura de aplicaciones web