Introducción a la conexión de red de Azure
Una conexión de red de Azure (ANC) es un objeto del centro de administración de Microsoft Intune que proporciona perfiles de aprovisionamiento de EQUIPOS en la nube con la información necesaria para conectarse a recursos basados en red. Las ANC se usan:
- Cuando se aprovisiona un PC en la nube por primera vez.
- Cuando Windows 365 comprueba periódicamente la conexión a la infraestructura local para garantizar la mejor experiencia de usuario final.
Tipos de conexión de red
Hay dos tipos de ANC en función de su tipo de unión. Ambos permiten administrar el tráfico y el acceso del PC en la nube a los recursos basados en la red, pero tienen requisitos de conectividad diferentes.
- Microsoft Entra unión: no requiere conectividad con un dominio de Windows Server Active Directory (AD).
- Unión Microsoft Entra híbrida: requiere conectividad a un dominio Windows Server AD. Debe proporcionar los detalles del dominio de AD al crear la ANC.
Aprovisionamiento
Cuando se aprovisiona un equipo en la nube, la directiva de aprovisionamiento usa la información del ANC para aprovisionar el equipo en la nube en la subred de Azure. La información necesaria en un ANC incluye:
- Detalles de red: la suscripción de Azure, el grupo de recursos, la red virtual y la subred que se van a asociar al equipo en la nube. Cuando una directiva de aprovisionamiento se ejecuta, crea un PC en la nube en la suscripción de Azure hospedada por Microsoft. Para conectarse a una red local de un cliente, se inserta una tarjeta de interfaz de red virtual (vNic) en una red virtual (vNet) de Azure proporcionada por el cliente. Para crear esta vNIC, Windows 365 necesita acceso suficiente a una suscripción de Azure.
- Dominio de Active Directory: el dominio de Active Directory al que se va a unir, un destino de unidad organizativa (OU) para el objeto de equipo y credenciales de usuario de Active Directory con permisos suficientes para realizar la unión al dominio. Cuando una directiva de aprovisionamiento se ejecuta, el PC en la nube se une a este dominio de Active Directory. Las credenciales se almacenan de forma segura en el servicio Windows 365.
Durante el aprovisionamiento, el equipo en la nube se conecta a la subred de Azure y se une a un dominio (ya sea Windows Server Active Directory o Microsoft Entra ID). Este proceso da como resultado un PC en la nube que está:
- En su red.
- Registrado en Microsoft Entra ID.
- Inscrito en Microsoft Intune.
- Listo para aceptar solicitudes de inicio de sesión de usuario.
La configuración de ANC se aplica al equipo en la nube solo en el momento del aprovisionamiento.
ANC alternativas
Para ayudar a que el aprovisionamiento de equipos en la nube sea más confiable en el caso poco frecuente de restricciones de capacidad en una región, puede asignar controladores de red alternativos a una directiva de aprovisionamiento. Puede definir el orden de prioridad de las ANC que usa la directiva. Si el primer ANC no está disponible, la directiva usa automáticamente el segundo ANC en la lista de prioridades. Si el segundo no está disponible, pasa al siguiente, y así sucesivamente. Este proceso permite a los administradores preparar varias NIC en diferentes regiones de Azure, lo que hace que el aprovisionamiento sea más confiable. No es necesario usar varias ANC. Para obtener más información sobre el uso de ANC alternativas al crear las directivas de aprovisionamiento, consulte Creación de directivas de aprovisionamiento.
Primera comprobación de estado
La información incluida en ANC se usa para aprovisionar un PC en la nube. Para que el aprovisionamiento se realice correctamente, los recursos a los que se hace referencia en ANC deben ser correctos y accesibles. Después de crear un objeto ANC, Windows 365 comprueba que:
- Los objetos a los que hace referencia la ANC son correctos.
- Se pueden realizar conexiones a estos objetos.
Estas comprobaciones de estado usan la información de la ANC proporcionada para aprovisionar un PC en la nube. Para obtener una lista completa de comprobaciones, consulte Comprobaciones de estado de conexiones de red de Azure.
Mientras esta primera comprobación de estado de la ANC está en curso, no se puede asignar a una directiva de aprovisionamiento. Una vez completada y correcta la comprobación de estado, la ANC se puede asignar a una o varias directivas de aprovisionamiento.
Comprobaciones de estado periódicas
Después del aprovisionamiento, la información de un ANC también se usa para supervisar:
- estado de la conexión entre los recursos basados en la red
- la PC en la nube hospedada en la suscripción hospedada por Microsoft
Windows 365 notifica problemas de configuración que pueden provocar errores de aprovisionamiento o experiencias deficientes del usuario final. Esta supervisión reduce la sobrecarga de administración. Para obtener más información sobre estas comprobaciones periódicas, consulte comprobaciones de estado de conexión de red de Azure.
Frecuencia de las comprobaciones de estado
Las comprobaciones de ANC se realizan una vez cada una a seis horas.
La comprobación completa de un extremo a otro del estado puede tardar hasta 30 minutos. Las comprobaciones de estado se ejecutan en una máquina virtual temporal de Azure que se crea de manera automática específicamente para este fin. Esta máquina virtual se crea automáticamente y se elimina cuando terminan las comprobaciones de estado. La máquina virtual se conecta a la red virtual especificada y se realizan comprobaciones para asegurarse de que el aprovisionamiento sea correcto.
Una vez completada una comprobación, los resultados se publican en el panel de conexión de red de Azure del centro de administración de Microsoft Intune. Para obtener información sobre los resultados de la comprobación, consulte comprobaciones de estado de las conexiones de red de Azure.
Reintento de comprobaciones de estado
Para desencadenar manualmente una comprobación de estado completa, inicie sesión en el centro de administración de Microsoft Intune y seleccione Dispositivos>Windows 365 (en Aprovisionamiento)>Conexión> de red de Azure, seleccione reintento de conexión > de red de Azure.
Permisos necesarios para las conexiones de red de Azure
El asistente de ANC requiere acceso a Azure y, opcionalmente, a recursos de dominio locales. Se requieren los siguientes permisos para ANC:
- Intune rol Administrador o Administrador de Windows 365.
- Una cuenta de usuario de Active Directory con permisos suficientes para unir el dominio de AD a esta unidad organizativa (Microsoft Entra solo ancs de unión híbrida).
Para crear o editar un ANC, debe tener al menos el rol Lector de suscripciones en la suscripción de Azure donde se encuentra la red virtual asociada a la ANC.
Para obtener una lista completa de requisitos, vea Requisitos de Windows 365.
Cambiar una conexión de red de Azure
Cambiar la configuración de un ANC no afectará a los equipos en la nube aprovisionados previamente con esa ANC. Solo los equipos en la nube aprovisionados después de los cambios en el ANC reflejan estos cambios posteriores.
Si desea cambiar la configuración relacionada con la ANC en un PC en la nube aprovisionado previamente, debe volver a aprovisionar el PC en la nube. El reaprovisionamiento es una acción destructiva, así que asegúrese de que realmente desea llevarlo a cabo. Para obtener más información, vea Reaprovisionamiento.
Eliminar una conexión de red de Azure
No se puede eliminar un ANC que esté en uso. Para poder eliminar el objeto, debe realizar una de las siguientes acciones para cada directiva de aprovisionamiento que use esta ANC:
- Cambie la directiva para usar otra ANC.
- Elimine la directiva. Para más información, consulte Eliminar una conexión de red de Azure.
Después de completar cualquiera de estas operaciones, puede eliminar la ANC.
Número máximo de conexiones de red de Azure
Cada inquilino tiene un límite de 10 conexiones de red de Azure. Si su organización necesita más de 10 conexiones de red de Azure, póngase en contacto con el soporte técnico.
ANC inactivas
Las ANC que no se usan durante un período de tiempo pasan a estar inactivas. Las ANC inactivas pausan la ejecución de las comprobaciones de estado y no se pueden asignar a una directiva de aprovisionamiento hasta que se reactiva la ANC y las comprobaciones de estado se completan correctamente.
Inicio de sesión del usuario
Cuando los usuarios intentan iniciar sesión en su PC en la nube, se produce la autenticación de usuario.
Para Microsoft Entra ANC de unión híbrida, el ANC se usa para enrutar la solicitud de autenticación a los controladores de dominio. Si la ANC o la conexión de red a su dominio no están en buen estado, el inicio de sesión del usuario no puede producirse. No se pueden usar credenciales almacenadas en caché de Windows a través del canal de Escritorio remoto, por lo que la disponibilidad del controlador de dominio es fundamental. Asegúrese de que la red sea estable o coloque un servidor de controladores de dominio en la misma subred que los PC en la nube.
Para Microsoft Entra unirse a los ANC, el ANC se usa para enrutar la solicitud de autenticación a Microsoft Entra ID. Las credenciales almacenadas en caché de Windows no se pueden usar a través del canal de escritorio remoto, por lo que la conectividad a Microsoft Entra ID es fundamental.