Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo simplificar y proteger el entorno de Windows 365 mediante Azure Firewall. La arquitectura de ejemplo que se explica aquí proporciona un mantenimiento bajo y acceso automatizado a los puntos de conexión necesarios a través de una ruta de conexión directa y optimizada. Puede usar Azure Firewall reglas de red y etiquetas de nombre de dominio completo (FQDN) para replicar este ejemplo de arquitectura en el entorno.
Nota:
Este artículo se aplica a los clientes que implementan Windows 365 con conexiones de red de Azure (ANC). Este artículo no se aplica a los entornos que usan redes hospedadas de Microsoft porque Microsoft administra la seguridad y la conectividad subyacentes. Para obtener más información sobre cada una de ellas, consulte Windows 365 opciones de implementación de redes.
El servicio Windows 365 requiere conectividad optimizada y no optimizada con puntos de conexión de servicio críticos, muchos de los cuales residen en la infraestructura de Microsoft. La conexión a estos recursos mediante redes locales a través de Internet es ineficaz y no se recomienda. Estas conexiones también pueden ser complejas de configurar y administrar.
Por ejemplo, algunos Windows 365 clientes que usan el modelo de implementación de ANC podrían tener una conexión directa a un entorno local que use ExpressRoute o VPN de sitio a sitio. El tráfico saliente se puede enrutar mediante un servidor proxy existente de la misma manera que el tráfico local. Esta estrategia de conexión no está optimizada para Windows 365 entornos y es probable que produzca un impacto significativo en el rendimiento.
En su lugar, puede usar Azure Firewall con los entornos de Windows 365 de ANC para proporcionar acceso optimizado, seguro, de bajo mantenimiento y automatizado. También puede usar una ruta de acceso directa para optimizar el tráfico crítico del protocolo de escritorio remoto (RDP) y otras conexiones de larga duración, como las de una puerta de enlace web segura.
Puntos de conexión necesarios para Windows 365
Windows 365 requiere acceso a los siguientes puntos de conexión:
También puede considerar el acceso a otros servicios de Microsoft (como Office 365) al configurar la conectividad optimizada desde el entorno.
Las etiquetas FQDN de determinados servicios están disponibles para Azure Firewall para ayudar a configurar y mantener estas reglas de forma sencilla y se describen más adelante en este documento.
Arquitectura de ejemplo con etiquetas de Azure Firewall y FQDN
Hay muchas maneras de configurar redes en Azure. Aquí usamos:
- Una sola red virtual con Azure Firewall administrar el acceso saliente.
- Optimización del tráfico RDP para enviarlo directamente a Microsoft.
- Un circuito ExpressRoute para volver a conectar la red virtual al entorno local.
El flujo de tráfico de este diagrama:
- Red corporativa de Contoso: esta subred IP local se anuncia en la red virtual a través de la puerta de enlace de ExpressRoute. Todo el tráfico a este intervalo (10.0.0.0/8) se envía a través del circuito ExpressRoute.
- El resto del tráfico de la subred Windows 365 se envía al firewall de Azure a través de una ruta definida por el usuario (UDR) de 0.0.0.0/0. La dirección IP del próximo salto se establece en la dirección IP privada del Azure Firewall.
- El firewall tiene reglas de aplicación (y etiquetas FQDN) y reglas de red configuradas para el Windows 365 puntos de conexión necesarios. Se permite el tráfico que cumple con las reglas. Se bloquea cualquier otro tráfico no permitido explícitamente.
- Otra UDR apunta a la etiqueta de servicio "WindowsVirtualDesktop", que lleva intervalos IP para la conectividad RDP, configurada con el próximo salto establecido en "Internet". Esta UDR impide que el tráfico RDP atraviesa el firewall y se coloca directamente en la red de Microsoft.
Optimización de conectividad RDP
En esta configuración de ejemplo, RDP se configura con una UDR específica para que apunte la etiqueta de servicio "WindowsVirtualDesktop" a "Internet". Esta configuración significa que este tráfico confidencial de gran volumen y latencia tiene una ruta de acceso directa y altamente eficaz a la infraestructura y evita la carga innecesaria en el firewall. Se recomienda que esta configuración se implemente para proporcionar la ruta de acceso más eficaz y confiable para RDP. Aunque el destino de esta UDR es "Internet", como este tráfico es a los puntos de conexión de Microsoft, este tráfico desde el equipo en la nube a la infraestructura RDP no llega a Internet, sino que permanece dentro de la red troncal de Microsoft.
Nota:
En este diseño de ejemplo se usa el acceso saliente predeterminado. En septiembre de 2025, se retirará el acceso saliente predeterminado para las nuevas implementaciones. Seguirá estando disponible para las implementaciones existentes. Para obtener más información sobre la retirada, consulte el anuncio oficial. Después de septiembre, se puede usar una forma explícita de NAT, como una puerta de enlace NAT, en las nuevas implementaciones para proporcionar esta función. Agregar una puerta de enlace NAT a la subred usada significa que la puerta de enlace NAT se usa para el tráfico dirigido a "Internet" en lugar del acceso saliente predeterminado.
Azure Firewall reglas de aplicación
El entorno del diagrama se configuró mediante las siguientes reglas de aplicación de Azure Firewall (aplicadas en la llamada 3). Todo el tráfico no destinado a la subred local de Contoso se dirige al firewall. Estas reglas permiten al tráfico definido salir a su destino. Para obtener más información sobre la implementación de Azure Firewall, consulte Implementación y configuración de Azure Firewall mediante el Azure Portal.
| Descripción de la regla | Tipo de destino | Nombre de etiqueta FQDN | Protocolo | Inspección de seguridad de la capa de transporte (TLS) | Obligatorio/opcional |
|---|---|---|---|---|---|
| FQDN de Windows 365 | Etiqueta FQDN | Windows365 | HTTP: 80, HTTPS: 443 | No recomendado | Obligatorio |
| FQDN de Intune | Etiqueta FQDN | MicrosoftIntune | HTTP: 80, HTTPS: 443 | No recomendado | Obligatorio |
| FQDN de Office 365 | Etiqueta FQDN | Office365 | HTTP: 80, HTTPS: 443 | No se recomienda optimizar & permitir categorías | Opcional, pero recomendado. |
| Windows Update | Etiqueta FQDN | WindowsUpdate | HTTP: 80, HTTPS: 443 | No recomendado | Opcional |
| Citrix HDX Plus | Etiqueta FQDN | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | No recomendado | Opcional (solo se requiere cuando se usa Citrix HDX Plus) |
Azure Firewall se pueden asociar a direcciones IP públicas para proporcionar conectividad saliente a Internet. La primera dirección IP pública se selecciona aleatoriamente para proporcionar traducción de direcciones de red de origen (SNAT) salientes. La siguiente dirección IP pública disponible se usará después de que se agoten todos los puertos SNAT de la primera dirección IP. En escenarios que requieren un alto rendimiento, se recomienda usar una puerta de enlace nat de Azure. NAT Gateway escala dinámicamente la conectividad saliente y se puede integrar con un Azure Firewall. Para obtener más información, consulte integración de NAT Gateway con Azure Firewall tutorial.
Etiqueta de Windows365
La etiqueta Windows365 incluye los puntos de conexión de Azure Virtual Desktop (AVD) necesarios, excepto los puntos de conexión con puertos no estándar que deben especificarse manualmente (consulte la sección Reglas de red).
La etiqueta Windows365 no incluye Intune. La etiqueta MicrosoftIntune se puede usar por separado.
La etiqueta FQDN de Windows365 incluye todos los puntos de conexión necesarios, excepto los puntos de conexión que aparecen como Obligatorios en filas independientes de este documento, que se deben configurar por separado. Las etiquetas FQDN son diferentes de las etiquetas de servicio. Por ejemplo, la etiqueta de servicio WindowsVirtualDesktop solo incluye las direcciones IP en las que *.wvd.microsoft.com resuelve.
Reglas de red
Azure Firewall no controla actualmente los puertos no estándar en una etiqueta FQDN. Windows 365 tiene algunos requisitos de puerto no estándar, por lo que las reglas siguientes se deben agregar manualmente como reglas de red además de las etiquetas FQDN.
| Descripción de la regla | Tipo de destino | FQDN/IP | Protocolo | Puerto/s | Inspección de TLS | Obligatorio/opcional |
|---|---|---|---|---|---|---|
| Activación de Windows | FQDN | azkms.core.windows.net | TCP | 1688 | No recomendado | Obligatorio |
| Registro | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Conectividad del Protocolo de datagramas de usuario (UDP) a través de TURN | IP | 20.202.0.0/16 | UDP | 3478 | No se recomienda | Obligatorio |
| Registro | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | No recomendado | Obligatorio |
Opciones de la solución de seguridad de asociados
Otras formas de ayudar a proteger el entorno de Windows 365 son las opciones de solución de seguridad de asociados que proporcionan conjuntos de reglas automatizados para acceder a los puntos de conexión necesarios para el servicio Windows 365. Estas opciones incluyen:
- Check Point objetos actualizables de tecnologías de software
Pasos siguientes
Obtenga más información sobre Windows 365 arquitectura.
Para más información sobre FQDNS, consulte Introducción a las etiquetas FQDN.
Para más información sobre las etiquetas de servicio, consulte Etiquetas de servicio de red virtual.