Compartir a través de

Opciones de implementación de redes de Windows 365

  • Artículo

Tiene dos opciones para la implementación de red del servicio Windows 365:

  • Uso de una red hospedada en Microsoft
    • Opción recomendada.
    • Ideal para las características de software como servicio (SaaS) de Windows 365 de simplicidad, confiabilidad y escalabilidad.
    • Admite el modelo de identidad de unión de Microsoft Entra.
    • No hay ningún requisito para la suscripción o la experiencia de Azure.
  • Uso de conexiones de red de Azure (ANC)
    • Admite los modelos de identidad de unión híbrida de Microsoft Entra y unión híbrida de Microsoft Entra.

Red hospedada por Microsoft

Esta opción es sencilla, confiable y escalable, y ofrece conectividad de PC en la nube donde Microsoft proporciona el servicio en un verdadero enfoque SaaS. Con esta opción, Microsoft:

  • Configura y administra completamente la infraestructura y los servicios relacionados necesarios para entregar equipos en la nube funcionales a los usuarios.
  • Administra la red que ocupan los equipos en la nube.
  • Proporciona un modelo alineado con el marco de confianza cero de un entorno de informática de usuario final (EUC). Para obtener más información, consulte Más información sobre los puntos de conexión nativos de la nube.

La única responsabilidad del cliente es la configuración y administración de los equipos en la nube.

Microsoft recomienda que los clientes usen esta opción para su implementación de Windows 365.

No es necesario incorporar sus propias suscripciones de Azure, planear, diseñar, implementar o administrar la infraestructura. Los clientes pueden dedicar su equipo de EUC a centrarse en la administración de configuraciones y seguridad de pc en la nube desde una única consola de administración proporcionada por Intune.

Esta opción es similar a proporcionar a un empleado un portátil para usarlo en casa. Como organización, no controla la red en la que se encuentra el dispositivo. Controla completamente cómo se configura, protege y cómo se conecta el dispositivo Windows a la red local. Con Windows 365, este control es posible gracias a las configuraciones y controles de seguridad adaptables alineados de un extremo a otro de Zero Trust Security Framework.

Por ejemplo, los usuarios se pueden autenticar con controles adaptables del acceso condicional de Microsoft Entra. La conectividad corporativa se puede entregar mediante VPN. La seguridad de Internet puede usar una puerta de enlace web segura (SWG) basada en la nube. La ventaja es que los dispositivos se pueden implementar a escala en un breve período de tiempo siempre que sea necesario en una red resistente y de ancho de banda alto.

Diagrama: Opción de red hospedada en Microsoft: Solo unión a Microsoft Entra

En este diagrama se muestra la red hospedada por Microsoft con el equipo en la nube y la tarjeta de red virtual dentro de una suscripción administrada por Microsoft.

Diagrama de la opción de red hospedada por Microsoft

Ventajas de la opción de red hospedada por Microsoft

  • No se requiere ninguna suscripción de Azure. Microsoft proporciona y administra completamente la infraestructura necesaria para que el equipo en la nube funcione. Todo lo que necesita son las licencias necesarias.
  • No hay costos adicionales para la infraestructura de red. Los costos de Azure de operar su propia red virtual (VNet) y aplicaciones virtuales no se aplican. Microsoft se encarga de la infraestructura de red.
  • No se requiere experiencia ni administración de redes de Azure. Microsoft administra completamente la red virtual.
  • Baja complejidad e implementación rápida. La implementación tiene una complejidad baja debido a las dependencias mínimas en los elementos del lado cliente.
  • Alineación de confianza cero. El modelo de operación confianza cero para las señales de usuario, punto de conexión, carga de trabajo y datos se usa para la comprobación en lugar de aplicar la confianza a la ubicación de red.
  • Solución de problemas y operaciones más sencillas. Es más fácil solucionar y identificar problemas de red y adoptar la administración de dispositivos moderna basada en directivas de Intune, controles de seguridad y funcionalidades integradas de informes.

Consideraciones

Antes de usar la opción de red hospedada por Microsoft, revise estas consideraciones:

  • Esta opción no es compatible con el modelo de unión híbrida de Microsoft Entra. Esta opción es una implementación solo en la nube sin conectividad con la infraestructura local de Active Directory Domain Services. Si tiene directivas de administración basadas en objetos de directiva de grupo que no se pueden convertir en Intune, esta opción no es la adecuada para usted.
  • No hay control de la red virtual. La NIC virtual está administrada por Microsoft. Por lo tanto, todos los controles de red deben implementarse en el propio equipo en la nube, de forma similar a los dispositivos físicos en un escenario de trabajo desde casa.
  • No hay acceso directo a los recursos locales. Se requiere una vpn o una solución de acceso privado para acceder a estos recursos. Al usar VPN con un equipo en la nube, use la tunelización dividida para asegurarse de que el tráfico RDP no se enruta a través de la VPN.
  • Requiere un modelo de operación de administración nativa en la nube como Intune.
  • El puerto 25 está bloqueado.
  • Ping/ICMP está bloqueado.
  • Las comunicaciones de red local entre equipos en la nube están bloqueadas.
  • No es posible la conectividad de entrada directa a los equipos en la nube.
  • Los administradores no pueden controlar los intervalos de direcciones IP ni el espacio de direcciones asignado a los equipos en la nube. Windows 365 controla las direcciones IP automáticamente.

Opción Conexión de red de Azure

Con la opción de implementación Azure Network Connection (ANC), se encarga completamente de la red virtual y su configuración. Si usa un modelo de unión híbrida de Microsoft Entra, debe usar esta opción de implementación. Esta opción proporciona una línea de visión a los recursos locales de Azure Directory y le permite personalizar los objetivos de red y seguridad como:

  • Rutas de tráfico.
  • Puertos y protocolos.
  • DS de Active Directory y conectividad de aplicaciones de línea de negocio.
  • Conexiones de puerta de enlace mediante VPN o ExpressRoute.
  • Espacio de direcciones que usan los equipos en la nube.
  • Permisos de comunicación entre equipos en la nube.
  • Conexiones RDP directas a equipos en la nube.

Seleccione la red virtual de las de la suscripción de Azure. Configurará directivas de aprovisionamiento que crean los equipos en la nube en la red virtual. Administrará la conectividad del equipo en la nube, incluida cualquier salida directa de la red virtual y la ruta de acceso a Internet deseada.

Azure Network Connection admite dos modelos de implementación de identidades:

  • Unión a Microsoft Entra
  • Unión híbrida a Microsoft Entra

Unión a Microsoft Entra

Al usar Microsoft Entra join, no es necesario crear una conexión desde la red virtual a la red local. Simplemente debe asegurarse de que haya conectividad saliente a Internet con los puntos de conexión necesarios. Sin embargo, es posible que desee agregar una conexión local para acceder a los recursos ubicados en las aplicaciones y servidores de archivos locales. Puede crear la conexión mediante ExpressRoute o VPN de sitio a sitio, pero estas opciones presentan un costo y una complejidad adicionales.

Por motivos de simplicidad, al usar Microsoft Entra join, se recomienda usar la opción de red hospedada por Microsoft que se explicó anteriormente. En ese caso, puede usar una vpn o una solución de acceso privado a través de Internet para acceder a los recursos corporativos.

Diagrama: Opción ANC: Combinación de Microsoft Entra

Diagrama de la opción de combinación de Microsoft Entra de ANC

Unión híbrida a Microsoft Entra

Con la unión híbrida de Microsoft Entra, se requiere una conexión a la red local desde la red virtual. La única manera de llegar a la infraestructura de controlador de dominio que se encuentra allí es usar la opción de implementación de ANC. Esta conexión es un componente crítico, por lo que se debe tener cuidado para garantizar la confiabilidad y la redundancia.

Diagrama: Opción ANC: Unión híbrida de Microsoft Entra

Diagrama de la opción de unión híbrida de Microsoft Entra de ANC

Ventajas de la opción ANC

  • Control total de la red virtual. La NIC del equipo en la nube se encuentra dentro de su propia red virtual administrada.
  • Línea de visión directa a la infraestructura local. La red virtual se puede configurar con una conexión VPN de sitio a sitio o ExpressRoute de vuelta a la red local para la conectividad directa a la infraestructura de Azure Directory o a los servicios y aplicaciones que se encuentran allí.
  • El equipo en la nube funcionaba como si estuviera en una ubicación local. La extensión de la red corporativa a la red virtual significa que el equipo en la nube puede funcionar como si estuviera dentro de los límites de la red corporativa.
  • Emparejamiento simple con otras redes virtuales. Conectividad cruzada sencilla entre la red virtual de PC en la nube y otras redes virtuales de Azure. Esto admite la conectividad directa con otros recursos hospedados en Azure que usa la organización.

Consideraciones

Antes de usar la opción de implementación de ANC, revise estas consideraciones:

  • Se requiere una suscripción de Azure. La red virtual usada en este escenario se encuentra en su propia suscripción de Azure. Por lo tanto, debe tener una suscripción de Azure y las licencias necesarias.
  • Costos de salida. Dado que la red virtual está asociada a su propia cuenta de Azure, se incurre en los costos de salida de la suscripción de Azure.
  • Costos adicionales para la infraestructura de red. Los costos de Azure de operar su propia red virtual se aplican a la suscripción asociada a la red virtual.
  • Se requiere experiencia o administración de redes de Azure. Debe proporcionar la experiencia y la administración para mantener la red virtual.
  • Mayor complejidad. Debe administrar y mantener la red, que es una tarea más compleja que usar una red hospedada por Microsoft.
  • Implementación más larga. La implementación suele ser más larga que con la opción de red hospedada por Microsoft. Este tiempo adicional se debe al gran número de elementos del lado cliente que se deben configurar primero.
  • Mayor riesgo. Una implementación de ANC es más compleja que una implementación de red hospedada por Microsoft. Esta complejidad aumenta el riesgo de problemas de conectividad.

Opciones simultáneas

Las opciones de red hospedada por Microsoft y ANC se pueden usar simultáneamente. Por ejemplo, puede usar la opción ANC para un subconjunto de las implementaciones que tienen requisitos heredados únicos. Para el resto de la implementación sin esos requisitos, puede usar la opción de red hospedada por Microsoft.

Siguientes pasos

Obtenga más información sobre el proceso de implementación.