Share via

Windows 365 opciones de implementación de redes

  • Artículo

Tiene dos opciones para la implementación de red del servicio Windows 365:

  • Uso de una red hospedada en Microsoft
    • Opción recomendada.
    • Ideal para las características de software como servicio (SaaS) de Windows 365 de simplicidad, confiabilidad y escalabilidad.
    • Admite el modelo de identidad de combinación de Microsoft Entra.
    • No hay ningún requisito para la suscripción o la experiencia de Azure.
  • Uso de conexiones de red de Azure (ANC)
    • Admite los modelos de identidad de combinación Microsoft Entra y Microsoft Entra unión híbrida.

Red hospedada por Microsoft

Esta opción es sencilla, confiable y escalable, y ofrece conectividad de PC en la nube donde Microsoft proporciona el servicio en un verdadero enfoque SaaS. Con esta opción, Microsoft:

  • Configura y administra completamente la infraestructura y los servicios relacionados necesarios para entregar equipos en la nube funcionales a los usuarios.
  • Administra la red que ocupan los equipos en la nube.
  • Proporciona un modelo alineado con Confianza cero Framework de un entorno de informática de usuario final (EUC). Para obtener más información, consulte Más información sobre los puntos de conexión nativos de la nube.

La única responsabilidad del cliente es la configuración y administración de los equipos en la nube.

Microsoft recomienda que los clientes usen esta opción para su implementación Windows 365.

No es necesario incorporar sus propias suscripciones de Azure, planear, diseñar, implementar o administrar la infraestructura. Los clientes pueden dedicar su equipo de EUC a centrarse en la administración de configuraciones y seguridad de pc en la nube desde una única consola de administración proporcionada por Intune.

Esta opción es similar a proporcionar a un empleado un portátil para usarlo en casa. Como organización, no controla la red en la que se encuentra el dispositivo. Controla completamente cómo se configura, protege y cómo se conecta el dispositivo Windows a la red local. Con Windows 365, este control es posible gracias a las configuraciones y controles de seguridad adaptables de un extremo a otro Confianza cero Security Framework.

Por ejemplo, los usuarios se pueden autenticar con controles adaptables de Microsoft Entra acceso condicional. La conectividad corporativa se puede entregar mediante VPN. La seguridad de Internet puede usar una puerta de enlace web segura (SWG) basada en la nube. La ventaja es que los dispositivos se pueden implementar a escala en un breve período de tiempo siempre que sea necesario en una red resistente y de ancho de banda alto.

Diagrama: Opción de red hospedada en Microsoft: solo Microsoft Entra unirse

En este diagrama se muestra la red hospedada por Microsoft con el equipo en la nube y la tarjeta de red virtual dentro de una suscripción administrada por Microsoft.

Diagrama de la opción de red hospedada por Microsoft

Ventajas de la opción de red hospedada por Microsoft

  • No se requiere ninguna suscripción de Azure. Microsoft proporciona y administra completamente la infraestructura necesaria para que el equipo en la nube funcione. Todo lo que necesita son las licencias necesarias.
  • No hay costos adicionales para la infraestructura de red. Los costos de Azure de operar su propia red virtual (VNet) y aplicaciones virtuales no se aplican. Microsoft se encarga de la infraestructura de red.
  • No se requiere experiencia ni administración de redes de Azure. Microsoft administra completamente la red virtual.
  • Baja complejidad e implementación rápida. La implementación tiene una complejidad baja debido a las dependencias mínimas en los elementos del lado cliente.
  • Alineación de confianza cero. El modelo de Confianza cero de operación para las señales de usuario, punto de conexión, carga de trabajo y datos se usa para la comprobación en lugar de aplicar la confianza a la ubicación de red.
  • Solución de problemas y operaciones más sencillas. Es más fácil solucionar y identificar problemas de red y adoptar la administración de dispositivos moderna basada en directivas de Intune, controles de seguridad y funcionalidades integradas de informes.

Consideraciones

Antes de usar la opción de red hospedada por Microsoft, revise estas consideraciones:

  • Esta opción no es compatible con el modelo de combinación híbrida Microsoft Entra. Esta opción es una implementación solo en la nube sin conectividad con Active Directory local Servicios de dominio infraestructura. Si tiene directiva de grupo directivas de administración basadas en objetos que no se pueden convertir en Intune, esta opción no es la adecuada para usted.
  • No hay control de la red virtual. La NIC virtual está administrada por Microsoft. Por lo tanto, todos los controles de red deben implementarse en el propio equipo en la nube, de forma similar a los dispositivos físicos en un escenario de trabajo desde casa.
  • No hay acceso directo a los recursos locales. Se requiere una vpn o una solución de acceso privado para acceder a estos recursos. Al usar VPN con un equipo en la nube, use la tunelización dividida para asegurarse de que el tráfico RDP no se enruta a través de la VPN.
  • Requiere un modelo de operación de administración nativa en la nube como Intune.
  • El puerto 25 está bloqueado.
  • Ping/ICMP está bloqueado.
  • Las comunicaciones de red local entre equipos en la nube están bloqueadas.
  • No es posible la conectividad de entrada directa a los equipos en la nube.
  • Los administradores no pueden controlar los intervalos de direcciones IP ni el espacio de direcciones asignado a los equipos en la nube. Windows 365 controla automáticamente las direcciones IP.

Opción Conexión de red de Azure

Con la opción de implementación Azure Network Connection (ANC), se encarga completamente de la red virtual y su configuración. Si usa un modelo de combinación híbrida Microsoft Entra, debe usar esta opción de implementación. Esta opción proporciona una línea de visión a los recursos locales de Azure Directory y le permite personalizar los objetivos de red y seguridad como:

  • Rutas de tráfico.
  • Puertos y protocolos.
  • DS de Active Directory y conectividad de aplicaciones de línea de negocio.
  • Conexiones de puerta de enlace mediante VPN o ExpressRoute.
  • Espacio de direcciones que usan los equipos en la nube.
  • Permisos de comunicación entre equipos en la nube.
  • Conexiones RDP directas a equipos en la nube.

Seleccione la red virtual de las de la suscripción de Azure. Configurará directivas de aprovisionamiento que crean los equipos en la nube en la red virtual. Administrará la conectividad del equipo en la nube, incluida cualquier salida directa de la red virtual y la ruta de acceso a Internet deseada.

Azure Network Connection admite dos modelos de implementación de identidades:

  • Unión a Microsoft Entra
  • Microsoft Entra unión híbrida

Unión a Microsoft Entra

Al usar Microsoft Entra unión, no es necesario crear una conexión desde la red virtual a la red local. Simplemente debe asegurarse de que haya conectividad saliente a Internet con los puntos de conexión necesarios. Sin embargo, es posible que desee agregar una conexión local para acceder a los recursos ubicados en las aplicaciones y servidores de archivos locales. Puede crear la conexión mediante ExpressRoute o VPN de sitio a sitio, pero estas opciones presentan un costo y una complejidad adicionales.

Por motivos de simplicidad, al usar Microsoft Entra unión, se recomienda usar la opción de red hospedada por Microsoft que se explicó anteriormente. En ese caso, puede usar una vpn o una solución de acceso privado a través de Internet para acceder a los recursos corporativos.

Diagrama: opción ANC: combinación Microsoft Entra

Diagrama de la opción de combinación Microsoft Entra ANC

Microsoft Entra unión híbrida

Con Microsoft Entra unión híbrida, se requiere una conexión a la red local desde la red virtual. La única manera de llegar a la infraestructura de controlador de dominio que se encuentra allí es usar la opción de implementación de ANC. Esta conexión es un componente crítico, por lo que se debe tener cuidado para garantizar la confiabilidad y la redundancia.

Diagrama: Opción ANC: Microsoft Entra unión híbrida

Diagrama de anc Microsoft Entra opción de unión híbrida

Ventajas de la opción ANC

  • Control total de la red virtual. La NIC del equipo en la nube se encuentra dentro de su propia red virtual administrada.
  • Línea de visión directa a la infraestructura local. La red virtual se puede configurar con una conexión VPN de sitio a sitio o ExpressRoute de vuelta a la red local para la conectividad directa a la infraestructura de Azure Directory o a los servicios y aplicaciones que se encuentran allí.
  • El equipo en la nube funcionaba como si estuviera en una ubicación local. La extensión de la red corporativa a la red virtual significa que el equipo en la nube puede funcionar como si estuviera dentro de los límites de la red corporativa.
  • Emparejamiento simple con otras redes virtuales. Conectividad cruzada sencilla entre la red virtual de PC en la nube y otras redes virtuales de Azure. Esto admite la conectividad directa con otros recursos hospedados en Azure que usa la organización.

Consideraciones

Antes de usar la opción de implementación de ANC, revise estas consideraciones:

  • Se requiere una suscripción de Azure. La red virtual usada en este escenario se encuentra en su propia suscripción de Azure. Por lo tanto, debe tener una suscripción de Azure y las licencias necesarias.
  • Costos de salida. Dado que la red virtual está asociada a su propia cuenta de Azure, se incurre en los costos de salida de la suscripción de Azure.
  • Costos adicionales para la infraestructura de red. Los costos de Azure de operar su propia red virtual se aplican a la suscripción asociada a la red virtual.
  • Se requiere experiencia o administración de redes de Azure. Debe proporcionar la experiencia y la administración para mantener la red virtual.
  • Mayor complejidad. Debe administrar y mantener la red, que es una tarea más compleja que usar una red hospedada por Microsoft.
  • Implementación más larga. La implementación suele ser más larga que con la opción de red hospedada por Microsoft. Este tiempo adicional se debe al gran número de elementos del lado cliente que se deben configurar primero.
  • Mayor riesgo. Una implementación de ANC es más compleja que una implementación de red hospedada por Microsoft. Esta complejidad aumenta el riesgo de problemas de conectividad.

Opciones simultáneas

Las opciones de red hospedada por Microsoft y ANC se pueden usar simultáneamente. Por ejemplo, puede usar la opción ANC para un subconjunto de las implementaciones que tienen requisitos heredados únicos. Para el resto de la implementación sin esos requisitos, puede usar la opción de red hospedada por Microsoft.

Siguientes pasos

Obtenga más información sobre el proceso de implementación.