Connexion réseau Azure Windows 365

Windows 365 fournit des instances windows computing basées sur le cloud appelées PC cloud qui fournissent aux utilisateurs des expériences de bureau personnalisées et optimisées. Chaque PC cloud s’intègre aux services Microsoft Cloud suivants pour fournir une sécurité, une gestion et une connectivité de niveau entreprise :

• Intune pour la gestion des appareils, les stratégies de sécurité et le déploiement d’applications

• ID Microsoft Entra pour la gestion des identités et le contrôle d’accès

• Azure Virtual Desktop pour sécuriser la connectivité à distance et la gestion des sessions

Les PC cloud s’exécutent dans le service Windows 365 et fournissent aux utilisateurs des expériences de bureau Windows cohérentes auxquelles ils peuvent accéder à partir de n’importe quel appareil, n’importe où. Cet article se concentre sur les déploiements Windows 365 qui utilisent des connexions réseau Azure pour s’intégrer à votre infrastructure réseau existante et aux ressources locales.

Le modèle de responsabilité partagée Windows 365

Windows 365 est une solution SaaS (software as a service). Microsoft gère certains composants dans les services Windows 365 et vous gérez d’autres composants. Votre niveau de responsabilité dépend de votre modèle d’architecture pour le déploiement.

Les responsabilités de gestion windows 365 sont divisées en trois domaines :

• Déploiement: Planifiez et déployez le composant du service.

• Cycle de vie: Gérez le composant tout au long de son cycle de vie, comme la mise à jour corrective et la sécurisation.

• Configuration: Configurez le composant pour appliquer les paramètres requis pour un scénario.

Le diagramme suivant montre la matrice de responsabilité d’un déploiement Windows 365 qui utilise le réseau hébergé par Microsoft, la jonction Microsoft Entra et les images de galerie recommandées avec Microsoft Windows Autopatch. Cette configuration ne vous oblige pas à gérer de nombreux composants et étapes de cycle de vie, et offre de nombreux avantages.

Remarque

Le diagramme suivant représente les responsabilités du point de vue de l’infrastructure, telles que la configuration du matériel et du réseau et leur maintenance. Il n’inclut pas la configuration de l’abonnement de locataire Intune ou Windows 365.

Cette matrice montre que Microsoft gère tous les aspects du déploiement, du cycle de vie et des étapes de configuration des composants suivants : Virtual Desktop, Windows 365, infrastructure PC cloud, machines virtuelles PC cloud, Intune, cartes réseau virtuelles CLOUD PC, abonnement Azure, groupes de ressources, Stockage Azure, Réseau virtuel et configuration du routage. L’une des exceptions est l’étape de configuration d’Intune, qui est la responsabilité du client. Stockage Azure est marqué comme facultatif. Le client gère toutes les étapes de l’ID Microsoft Entra, d’Azure DNS, du système d’exploitation invité, des applications et de la sécurité des PC cloud.

Téléchargez un fichier PowerPoint de cette architecture.

Le diagramme suivant illustre un déploiement Windows 365 classique qui utilise une connexion réseau Azure. Il montre les composants gérés par Microsoft et les composants que vous gérez au cours des phases de cycle de vie d’un PC cloud.

Cette matrice montre que Microsoft gère tous les aspects du déploiement, du cycle de vie et des étapes de configuration des composants suivants : Virtual Desktop, Windows 365, infrastructure PC cloud, machines virtuelles PC cloud, Intune et cartes réseau virtuelles PC cloud. L’une des exceptions est l’étape de configuration d’Intune, qui est la responsabilité du client. Le client gère toutes les étapes de l’abonnement Azure, des groupes de ressources, du stockage Azure, du réseau virtuel, de la configuration du routage, du VPN ou d’Azure ExpressRoute, de l’ID Microsoft Entra, d’Azure DNS, du système d’exploitation invité, des applications et de la sécurité des PC cloud. Stockage Azure est marqué comme facultatif.

Téléchargez un fichier PowerPoint de cette architecture.

Modèle d’architecture recommandé

Nous vous recommandons de déployer Windows 365 avec les composants suivants pour bénéficier d’une expérience SaaS :

• Jonction Microsoft Entra
• Un réseau hébergé par Microsoft
• Des images de galerie
• Un service de gestion des appareils mobiles (MDM) basé sur Intune avec une configuration d’application et de système d’exploitation
• Une application Windows 365 pour l’accès aux PC cloud

Ce modèle offre les avantages maximum du service.

Ce diagramme montre un réseau Azure qui contient des abonnements clients et des abonnements Azure. La section de l’abonnement client contient Intune et Microsoft Entra ID. La section abonnement Azure contient Windows 365 et un réseau virtuel. Les composants suivants résident en dehors du réseau Azure : une application Windows 365, des images de galerie Windows 11 pour Windows 365, un trafic Internet direct et un réseau d’entreprise client. L’application Windows 365 pointe vers Windows 365 dans l’abonnement Azure. Windows 365 se connecte aux images de la galerie. Le réseau virtuel pointe vers le trafic Internet direct, qui est un chemin de routage facultatif. Le réseau virtuel pointe vers le réseau d’entreprise du client via une connexion d’accès privé ou VPN facultative.

Téléchargez un fichier PowerPoint de cette architecture.

Le modèle d’architecture précédent optimise la valeur de Windows 365 et offre les avantages suivants :

• Déploiement simplifié et plus rapide
• Dépendances minimales, voire nulles
• Prise en charge complète de l’infrastructure Confiance Zéro
• Flux de résolution des problèmes simplifiés
• Dépannage utilisateur libre-service
• Surcharge et effort de gestion réduits
• Le modèle de maturité le plus élevé dans la livraison de logiciels et d’applications

L’architecture du service Windows 365

Le diagramme suivant représente les composants du service Windows 365. Cette architecture utilise Intune et Microsoft Entra ID, qui sont les principales exigences de Windows 365. Il inclut également des composants facultatifs tels que le réseau virtuel Azure. Il affiche les options de connexion réseau Azure et de réseau hébergé par Microsoft, qui s’excluent mutuellement.

Ce diagramme comporte six sections principales : clients Windows 365, service Windows 365, Azure Virtual Desktop, Microsoft Entra ID, Intune et abonnement Azure client. Les clients Windows 365, Virtual Desktop et un réseau virtuel dans le service Windows 365 se connectent à Internet. Microsoft Entra ID se connecte aux clients. Intune se connecte à Microsoft Entra ID via la console web Intune. Les clients se connectent au portail utilisateur dans Windows 365. L’abonnement Azure client dispose d’une connexion facultative à un VPN non-Microsoft et au réseau virtuel dans Windows 365. Le VPN dispose d’une connexion facultative à un réseau local, qui se connecte également à ExpressRoute dans l’abonnement. Active Directory et Configuration Manager se connectent à ce réseau local. La section Intune comprend trois sous-sections : Configurer des appareils, protéger des données et gérer des applications. Elle contient également « Autopilot and Autopatch », « Co-management » et « RBAC ». La section Intune pointe vers Windows Update pour les entreprises et Microsoft Defender pour point de terminaison. Le réseau virtuel dans Windows 365 contient un réseau hébergé Microsoft et une connexion réseau Azure. Ces deux composants pointent vers la section Virtual Desktop, qui contient une passerelle, un répartiteur et un site web. La connexion réseau Azure dispose également d’une connexion facultative à un PC cloud. Microsoft Hosted a une connexion par défaut à un PC cloud.

Téléchargez un fichier Visio de cette architecture.

Les sections suivantes s’étendent sur les options de connexion réseau Azure.

Bureau virtuel

Virtual Desktop est une solution d’infrastructure de bureau virtuel basée sur Azure. Microsoft gère Virtual Desktop. Il fournit une solution de style PaaS (Platform as a Service). Windows 365 utilise les composants de gestion réseau de Virtual Desktop pour permettre la connectivité aux PC cloud hébergés par Microsoft. Ces composants incluent le service de passerelle Virtual Desktop, un service broker de connexions et un service client web. Ils fournissent une connexion transparente aux PC cloud Windows 365.

Pour plus d’informations, consultez Virtual Desktop pour l’entreprise.

Ce diagramme contient trois sections principales, un abonnement Azure, un réseau local et Azure Files et Azure NetApp Files. L'abonnement comprend un réseau virtuel hub et un réseau virtuel spoke. Le réseau virtuel hub contient un sous-réseau de passerelle, un sous-réseau de zone de périmètre, un sous-réseau de bureau et un sous-réseau Active Directory. Le sous-réseau Active Directory se connecte à un réseau virtuel spoke bureau via le peering. Le sous-réseau de bureau hub se connecte à un compte de stockage dans la section Azure Files. Tous les sous-réseaux, à l’exception du sous-réseau de passerelle, ont des groupes de sécurité réseau. Le réseau local contient un serveur Microsoft Entra Connect, un serveur AD DS facultatif, une passerelle réseau et des points de terminaison. Il se connecte à l’abonnement Azure via une connexion ExpressRoute. Il se connecte à l’ID Microsoft Entra via Microsoft Entra Connect. La passerelle de réseau pointe vers l’appliance virtuelle réseau dans le sous-réseau du réseau de périmètre. Le plan de contrôle Virtual Desktop se trouve en haut du diagramme, sous Microsoft Entra ID. Il inclut l’accès web, une passerelle, un répartiteur, des diagnostics et une API REST.

Téléchargez un fichier Visio de cette architecture.

Remarque

Windows 365 utilise les composants du plan de contrôle Virtual Desktop pour faciliter les connexions utilisateur et PC cloud. Par conséquent, il hérite de la plupart des fonctionnalités liées à la connexion d’Azure Virtual Desktop. Familiarisez-vous avec le fonctionnement du réseau Virtual Desktop lorsque vous concevez l’architecture de connexion réseau Azure dans cet article.

Intune

Intune est une solution de gestion des points de terminaison basée sur le cloud que vous pouvez utiliser pour afficher et consommer des rapports et gérer les éléments suivants :

• La livraison des applications
• Mises à jour Windows
• Les configurations de gestion des appareils
• Stratégies de sécurité

Intune simplifie la gestion des applications et des appareils sur de nombreux appareils, notamment les appareils mobiles, les ordinateurs de bureau et les points de terminaison virtuels.

Vous pouvez utiliser Intune pour protéger l’accès et les données sur les appareils personnels et appartenant à l’organisation. Intune dispose également de fonctionnalités de conformité et de création de rapports qui prennent en charge le modèle de sécurité Confiance Zéro. Pour plus d’informations, consultez Créer un profil de configuration d’appareil.

Modèles d’architecture

Un modèle d’architecture décrit les composants et montre les configurations que vous pouvez utiliser pour déployer un service ou un produit. Pour plus d’informations, consultez l’architecture « Hébergée pour le compte de ».

Consultez les modèles de connexion réseau Azure suivants :

Connexion réseau Azure avec jointure Microsoft Entra : Dans ce modèle, les PC cloud joints à Microsoft Entra utilisent une connexion réseau Azure pour se connecter à des ressources dans des environnements locaux qui ne nécessitent pas l’authentification Kerberos ou Windows New Technology LAN Manager (NTLM). Par exemple, les PC cloud peuvent se connecter à des applications métier, à des partages de fichiers ou à d’autres applications.

Connexion réseau Azure avec jonction hybride Microsoft Entra : dans ce modèle, les PC cloud joints à jonction hybride Microsoft Entra utilisent une connexion réseau Azure pour la jonction à un domaine avec un contrôleur de domaine Microsoft Entra ID local. Le PC cloud s’authentifie auprès du contrôleur de domaine local lorsque les utilisateurs accèdent au PC cloud, aux applications locales ou aux applications cloud qui nécessitent l’authentification Kerberos ou NTLM.

Modèles d’architecture de connexion réseau Azure

Pour certains modèles, le service Windows 365 se connecte à des environnements locaux via Réseau virtuel à l’aide d’Azure ExpressRoute ou d’un VPN de site à site. Une connexion réseau Azure, qui est un objet Intune, représente cette méthode de connectivité. La connexion réseau Azure permet aux PC cloud de se connecter à des ressources locales telles que Windows Server Active Directory ou les applications métier.

Le service Windows 365 utilise cette connexion pendant l’approvisionnement de PC cloud pour joindre des PC cloud à un domaine Microsoft Entra local et effectuer des vérifications d’intégrité pour garantir la préparation de l’approvisionnement.

Le tableau suivant répertorie une dépendance pour une connexion réseau Azure pour l’architecture de jointure hybride Microsoft Entra. Windows 365 exécute un contrôle d’intégrité automatique sur cette dépendance.

Dépendance	Vérification de Windows 365	Recommandations
Microsoft Entra Connect	Vérifie si Microsoft Entra Connect est configuré et se termine correctement	- Configurez l’intervalle de synchronisation Microsoft Entra Connect avec la valeur par défaut ou la plus basse. Les intervalles de synchronisation plus longs augmentent la possibilité que l’approvisionnement du PC cloud échoue en production en raison d’un délai d’expiration. Pour plus d’informations, consultez Échec de la jonction hybride Microsoft Entra. - Configurer la réplication du contrôleur de domaine pour Windows Server Active Directory à partir d’un serveur dans le même centre de données que la connexion réseau Windows 365 Azure. Cette méthode fournit une réplication plus rapide. - Configurez la réplication du contrôleur de domaine Microsoft Entra ID avec une valeur par défaut.

Le tableau suivant répertorie les dépendances d’une connexion réseau Azure pour la jonction hybride Microsoft Entra ou l’architecture de jointure Microsoft Entra. Windows 365 exécute des contrôles d’intégrité automatiques sur ces dépendances.

Dépendance	Vérification de Windows 365	Recommandations
Préparation du locataire Azure	Vérifie si l’abonnement Azure est activé, sans restrictions de blocage et prêt à être utilisé	- Utilisez un compte disposant des privilèges appropriés pour gérer les abonnements Azure, Intune et Windows 365. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle. - Désactivez ou modifiez des stratégies Azure qui empêchent la création de PC cloud. Pour plus d’informations, consultez Restreindre les références SKU de machine virtuelle autorisées. - Vérifiez que l’abonnement dispose de quotas de ressources suffisants pour la mise en réseau et les limites générales en fonction du nombre maximal de PC cloud que vous souhaitez créer. Par exemple, la taille de la passerelle réseau, l’espace d’adressage IP, la taille du réseau virtuel et la bande passante requise. Pour plus d’informations, consultez Limites de mise en réseau et Limites générales.
Préparation du réseau virtuel Azure	Vérifie si le réseau virtuel se trouve dans une région Windows 365 prise en charge	- Créez le réseau virtuel dans une région Azure prise en charge par Windows 365 pour l’approvisionnement de PC cloud. - Créez au moins un sous-réseau, en plus du sous-réseau par défaut, pour déployer les adaptateurs de réseau virtuel PC cloud. - Créez des services réseau partagés, tels que le Pare-feu Azure, les passerelles VPN ou les passerelles ExpressRoute, dans un réseau virtuel distinct pour permettre le contrôle du routage et l’expansion du déploiement. Dans les réseaux virtuels, appliquez des groupes de sécurité réseau (NSG) qui ont des exclusions appropriées pour autoriser les URL requises pour le service Windows 365. Pour plus d’informations, consultez configuration réseau requise et groupes de sécurité réseau.
Utilisation de l’adresse IP du sous-réseau Azure	Vérifie s’il existe suffisamment d’adresses IP disponibles	- Créez le réseau virtuel avec suffisamment d’adresses IP pour gérer la création du PC cloud et la réservation d’adresses IP temporaires lors du reprovisionnement. Nous vous recommandons d’utiliser un espace d’adressage IP de 1,5 à 2 fois le nombre maximal de PC cloud que vous déployez pour le cloud. Pour plus d’informations, consultez Exigences générales de mise en réseau. - Traitez le réseau virtuel Azure comme une extension logique de votre réseau local. Attribuez un espace d’adressage IP unique sur tous vos réseaux pour éviter les conflits de routage.
Connectivité du point de terminaison	Vérifie si les URL externes nécessaires à l’approvisionnement du PC cloud sont accessibles à partir du réseau virtuel	- Autorisez toutes les URL requises pour l’approvisionnement de PC cloud via le réseau virtuel Azure. Pour plus d’informations, consultez Autoriser la connectivité réseau. - Utilisez le Pare-feu Azure pour tirer parti des balises FQDN (nom de domaine complet) dédiés à Windows 365, Azure Virtual Desktop et Intune. Utilisez les balises pour créer des règles d’application et autoriser les URL requises pour l’approvisionnement de PC cloud Windows 365. Pour plus d’informations, consultez Utiliser Pare-feu Azure pour gérer et sécuriser les environnements Windows 365. - Ignorez ou excluez le trafic RDP (Remote Desktop Protocol) de n’importe quel appareil d’inspection, de proxy ou de manipulation réseau pour éviter les problèmes de latence et de routage. Pour plus d’informations, consultez technologies d’interception du trafic. - À partir de l’appareil utilisateur et du côté réseau, autorisez les URL et ports du service Windows 365 pour les inspections proxy et réseau. - Autoriser les adresses IP internes d'Azure 168.63.129.16 et 169.254.169.254. Ces adresses IP fournissent une communication avec les services de plateforme Azure, tels que les métadonnées ou les pulsations. Pour plus d’informations, consultez les ressources suivantes : - Adresse IP 168.63.129.16 - Service de métadonnées d’instance Azure - FAQ sur le réseau virtuel
Enrôlement dans Intune	Vérifie si Intune autorise l’inscription Windows	- Assurez-vous de configurer des restrictions d’inscription de type d’appareil Intune pour autoriser la plateforme MDM Windows à des fins d’inscription d’entreprise. - Pour la jonction hybride Microsoft Entra, configurez automatiquement les appareils en configurant le point de connexion de service pour chaque domaine dans Microsoft Entra Connect ou à l’aide du modèle de déploiement ciblé. Pour plus d’informations, consultez Configurer la jonction hybride Microsoft et Déploiement ciblé de jonction hybride Microsoft Entra.
Autorisations d’application Microsoft	Vérifie l’application Windows 365 pour obtenir des autorisations sur l’abonnement Azure client, le groupe de ressources et les niveaux de réseau virtuel	- Vérifiez que le compte que vous utilisez pour configurer la connexion réseau Azure dispose d’autorisations de lecture sur l’abonnement Azure où vous créez le réseau virtuel Azure. - Vérifiez que l’abonnement Azure ne dispose pas de stratégies qui bloquent les autorisations pour l’application gérée par Microsoft Windows 365. L’application doit disposer d’autorisations au niveau de l’abonnement, du groupe de ressources et du réseau virtuel. Pour plus d'informations, consultez la section Exigences Azure.
Module linguistique de localisation	Vérifie si les emplacements de téléchargement du module linguistique sont accessibles	- Vérifiez que les règles de pare-feu dans le réseau virtuel Azure autorisent les URL requises pour la version appropriée des images Windows. Pour plus d’informations, consultez Fournir une expérience Windows localisée.
RDP Shortpath	Vérifie si les configurations UDP (User Datagram Protocol) sont configurées pour vous permettre de vous connecter	- Activez RDP Shortpath pour l’accès au PC cloud pour tirer parti de la résilience d’UDP. Pour plus d’informations, consultez Utiliser RDP Shortpath pour les réseaux publics avec Windows 365 et Utiliser RDP Shortpath pour les réseaux privés avec Windows 365.
Licence Intune	Vérifie si le locataire dispose de licences Intune appropriées pour utiliser Windows	- Vérifiez que vous disposez des licences Intune appropriées qui vous sont attribuées conformément aux exigences de licence.
Vérification de l’authentification unique	Vérifie si l’objet serveur Kerberos est créé dans Windows Server Active Directory et synchronisé avec l’ID Microsoft Entra	- Vérifiez que vous sélectionnez l’option d’authentification unique dans la stratégie d’approvisionnement. Cette option vous permet de vous connecter au PC cloud de la stratégie à l’aide des informations d’identification de connexion à partir d’un appareil physique géré par Intune joint à un domaine ou joint à Microsoft Entra. Pour plus d’informations, consultez Continuer la création de stratégies d’approvisionnement.
Résolution de noms DNS (Domain Name System)	Vérifie si le DNS dans la connexion réseau Azure peut résoudre le domaine Active Directory local	- Configurez un réseau virtuel Azure avec la résolution de noms d’un domaine Microsoft Entra local à l’aide d’un dns personnalisé, d’un DNS privé ou d’un programme de résolution privé. Pour plus d’informations, consultez Azure DNS. - Vérifiez que les serveurs DNS que vous configurez dans le réseau virtuel résident dans la même région et peuvent inscrire les PC cloud nouvellement approvisionnés sans délai. Évitez les références DNS ou les redirections pour empêcher les retards de propagation, ce qui peut entraîner des retards ou des échecs d’approvisionnement.
Jonction de domaine Microsoft Entra	Vérifie que les informations d’identification fournies pour la jonction de domaine Microsoft Entra sont valides et que les PC cloud peuvent être joints à un domaine	- Vérifiez que le compte de jonction de domaine Microsoft Entra dispose d’autorisations sur l’unité organisationnelle Microsoft Entra spécifiée dans la configuration de la connexion réseau Azure. - Vérifiez que le compte n’est pas un compte d’utilisateur standard avec une limitation de jointure de domaine. Pour plus d’informations, consultez La limite par défaut pour le nombre de stations de travail qu’un utilisateur peut joindre au domaine. - Vérifiez que le compte est synchronisé avec l’ID Microsoft Entra. - Vérifiez que l’unité organisationnelle spécifiée dans la connexion réseau Azure n’a pas de limites d’objet. Pour plus d’informations, consultez Augmenter la limite de compte d’ordinateur dans l’unité d’organisation.

Pour plus d’informations, consultez Vérifications d’intégrité de la connexion réseau Azure dans Windows 365.

Recommandations relatives aux blocs de construction de la connexion réseau Azure

Cette section décrit les blocs de construction du modèle d’architecture de connexion réseau Windows 365 Azure.

Abonnement Azure

L’utilisation de Windows 365 dans un modèle d’architecture de connexion réseau Azure implique deux types d’abonnements Azure, un abonnement Microsoft et un abonnement client.

Windows 365 utilise le modèle d'hébergement pour le compte de pour fournir des services aux clients Windows 365. Ce modèle provisionne et exécute le PC cloud dans les abonnements Azure que Microsoft possède. La carte réseau du PC cloud est provisionnée dans l’abonnement Azure d’un client. Les diagrammes suivants montrent deux modèles d’architecture de connexion réseau Azure. Vous utilisez votre propre abonnement Azure et votre réseau virtuel.

Le modèle d’architecture suivant utilise une identité de jointure Microsoft Entra pour gérer le PC cloud.

Ce diagramme montre un flux réseau. Un composant géré par Microsoft dans un réseau virtuel de l’abonnement client se connecte à un environnement client local et à l’ID Microsoft Entra. Le composant pointe vers la connectivité utilisateur et dispose d’une connexion bidirectionnelle aux appareils utilisateurs.

Téléchargez un fichier Visio de cette architecture.

Le modèle d’architecture suivant utilise l’identité de jonction hybride Microsoft Entra pour gérer le PC cloud. Cette architecture nécessite une communication réseau en ligne de vue avec des contrôleurs de domaine AD DS (Active Directory Domain Services) dans des environnements locaux.

Ce diagramme montre le même flux réseau que le diagramme précédent, sauf qu’un contrôleur de domaine remplace l’environnement client. Un composant géré par Microsoft dans un réseau virtuel de l’abonnement client se connecte à un contrôleur de domaine local et à l’ID Microsoft Entra. Le composant pointe vers la connectivité utilisateur et dispose d’une connexion bidirectionnelle aux appareils de l'utilisateur.

Téléchargez un fichier Visio de cette architecture.

Composant	Un abonnement Azure qui héberge le réseau virtuel qui fournit une connectivité pour un PC cloud à un environnement local et à Internet.
Modèles d’architecture	- Connexion réseau Azure pour la jonction Microsoft Entra - Connexion réseau Azure pour la jonction hybride Microsoft Entra
Recommandations	- Créez ou utilisez un abonnement disposant d’un réseau virtuel et de passerelles ExpressRoute ou VPN pour fournir une connexion à un environnement local. - Créez un groupe de ressources dédié pour un PC cloud afin de fournir l’autorisation et la gestion des ressources. - Excluez les groupes de ressources de PC cloud et les réseaux virtuels des stratégies Azure qui empêchent la création et la suppression automatiques d’objets de carte d’interface réseau virtuel ou l’affectation et la mise en production d’adresses IP. Pour plus d’informations, consultez Verrouiller vos ressources pour protéger votre infrastructure et Exigences Azure. - Créez des réseaux virtuels dédiés pour une gestion des adresses IP et des contrôles de routage améliorés.

Réseau virtuel et connexion hybride

Les modèles d’architecture Windows 365 basés sur une connexion réseau Azure nécessitent un ou plusieurs réseaux virtuels Azure. Ces réseaux virtuels fournissent une connectivité aux environnements locaux et à Internet pour l’approvisionnement de PC cloud. La carte réseau virtuelle du PC cloud est provisionnée dans le réseau virtuel Azure de l’abonnement appartenant au client.

Vous pouvez déployer la mise en réseau Azure avec une complexité de conception variable en fonction de votre réseau local existant ou de votre mise en réseau Azure. Pour plus d’informations sur une conception de réseau hybride de base, consultez Implémenter un réseau hybride sécurisé.

Tenez compte des facteurs suivants lorsque vous concevez une architecture de réseau virtuel Azure :

• Espace d’adressage IP : La taille de l’espace d’adressage IP dépend du nombre de PC cloud. Planifiez au moins 1,5 fois le nombre maximal de PC cloud que vous déployez. Vous utilisez les adresses IP supplémentaires lorsque vous approvisionnez et déprovisionnez des PC cloud.

• Résolution de noms : Les PC cloud utilisent un processus DNS pour résoudre le nom de domaine local dans un déploiement de jointure hybride Microsoft Entra ou pour résoudre les ressources Internet ou les ressources Azure dans un modèle de déploiement de jointure Microsoft Entra.

  • Pour utiliser votre infrastructure DNS locale existante, configurez les adresses IP d’un ou de plusieurs serveurs DNS pour la résolution de noms. Pour plus d'informations, consultez Exigences de DNS.

  • Vérifiez que les adresses IP du serveur DNS que vous configurez dans le réseau virtuel Azure résident dans la même région que le PC cloud. Évitez de rediriger les demandes d’inscription DNS vers d’autres régions. La redirection peut entraîner des déploiements retardés ou ayant échoué et des vérifications d’intégrité de la connexion réseau Azure.

  • Pour la résolution de noms basée sur Azure DNS, utilisez l’option Azure DNS publique ou privée ou l’option De résolution privée Azure DNS. Pour plus d’informations, consultez la Documentation Azure DNS.

• Topologie de réseau: La mise en réseau Azure prend en charge les topologies pour prendre en charge différents cas d’usage.

  • Topologie hub-and-spoke avec appairage de réseaux virtuels : cette topologie simple permet d’isoler les services au sein de réseaux virtuels hub et spoke dédiés. Les services partagés comprennent Pare-feu Azure et les passerelles réseau. Utilisez cette topologie si vous déployez des PC cloud dans un ou plusieurs réseaux virtuels spoke dans un environnement simple et à site unique. Pour plus d’informations, consultez la topologie de réseau hub-spoke.

  • Topologie hub-spoke avec Azure Virtual WAN : Virtual WAN est un service de mise en réseau Azure qui combine les fonctionnalités de mise en réseau, de sécurité et de gestion pour les exigences réseau complexes. Utilisez cette topologie pour les déploiements multisite et à plusieurs régions qui ont des exigences de pare-feu et de routage spécifiques. Pour plus d’informations, consultez Topologie réseau hub-and-spoke dans Virtual WAN.

• Passerelles réseau : Les passerelles réseau Azure fournissent une connectivité entre un réseau virtuel et un réseau local. Vous pouvez choisir entre les passerelles réseau VPN et ExpressRoute. Avant de déterminer votre méthode de connectivité, tenez compte des exigences maximales de bande passante de votre PC cloud. Les passerelles VPN et ExpressRoute ont différents niveaux, ou références SKU, qui fournissent différentes quantités de bande passante et d’autres métriques. Pour plus d’informations, consultez Connecter un réseau local à Azure à l’aide d’ExpressRoute.

Configuration de routage

Windows 365 utilise des contrôles d’intégrité automatisés pour déterminer l’intégrité et la préparation de votre environnement pour approvisionner les PC cloud avec jonction Microsoft Entra ou jonction hybride Microsoft Entra dans une architecture basée sur une connexion réseau Azure. Sans configurations de routage appropriées dans votre réseau virtuel Azure et les services de mise en réseau associés, les déploiements de PC cloud sont susceptibles de rencontrer des retards ou des défaillances.

Pour optimiser le routage pour l’architecture réseau Windows 365, suivez les recommandations suivantes :

• Ajoutez les URL requises à la liste d'autorisation : Dans les modèles de connexion réseau Microsoft Entra hybride et Microsoft Entra join, assurez-vous que l’antivirus du système d’exploitation, les pare-feu réseau et les équilibreurs de charge autorisent les URL requises pour chaque PC Cloud. Pour plus d’informations, consultez Autoriser la connectivité réseau.

• Utilisez des balises de nom de domaine complet Azure : Lorsque vous utilisez le service pare-feu Azure, appliquez des balises de nom de domaine complet Azure pour autoriser les URL requises pour Azure Virtual Desktop, Windows 365 et Intune. Pour plus d’informations, consultez Utiliser Pare-feu Azure pour gérer et sécuriser les environnements Windows 365.

• Activez le pass-through : Windows 365 utilise RDP, qui est sensible à la latence des appareils d’inspection du trafic, tels qu’un pare-feu ou une appliance de déchiffrement SSL (Secure Sockets Layer). La latence peut entraîner une mauvaise expérience. Désactivez l’inspection du trafic de ces URL et activez le passage direct. Pour plus d’informations, consultez technologies d’interception du trafic.

• Contourner le proxy : Les services proxy cloud et traditionnels sont utiles pour l’accès à Internet, mais introduisent une latence dans les connexions RDP. Cette latence se produit lorsque la connexion à partir de l’appareil physique de l’utilisateur ou du PC cloud est forcée via un proxy. Cela entraîne des déconnexions fréquentes, des retards et des temps de réponse faible. Définissez les plages d’adresses IP de passerelle .wvd.microsoft.com et Windows 365 pour contourner les services proxy sur les composants suivants :

  • Appareil physique de l’utilisateur
  • Réseau auquel l’appareil physique se connecte
  • PC en nuage

  Pour plus d’informations, consultez Optimiser la connectivité RDP pour Windows 365.

• Vérifiez le routage du chemin le plus court : Assurez-vous que le trafic RDP à partir d’un PC cloud suit l’itinéraire le plus direct vers les points de terminaison de service Virtual Desktop. Le chemin idéal provient d’un réseau virtuel, vers l’adresse IP de passerelle Virtual Desktop via Internet. Vérifiez également que le trafic RDP de l’appareil physique de l’utilisateur atteint directement l’adresse IP de la passerelle Virtual Desktop. Cette configuration garantit un routage optimal et ne dégrade pas l’expérience utilisateur. Évitez de router le trafic RDP vers Internet via des services proxy cloud ou des réseaux locaux.

• Activez RDP Shortpath : Activez l’accès RDP Shortpath pour les réseaux utilisateur, les réseaux Azure et les PC cloud. RDP Shortpath utilise UDP pour transmettre le trafic RDP. Contrairement au protocole TCP (Transmission Control Protocol), UDP est résilient aux connexions réseau à latence élevée. UDP tire également parti de la bande passante réseau disponible pour transférer efficacement des paquets RDP, ce qui entraîne une expérience utilisateur améliorée. Pour plus d’informations, consultez Utiliser RDP Shortpath pour les réseaux publics avec Windows 365.

• Évaluer l’emplacement du PC cloud : Pour bénéficier d’une expérience utilisateur optimale et des performances de routage, déterminez où résident les clients par rapport aux applications professionnelles ou au réseau auxquels ils accèdent. Considérez également le temps que les clients passent à accéder aux applications métier par rapport au temps global auquel ils accèdent à d’autres applications.

  Tenez compte des options de déploiement suivantes pour le positionnement du PC cloud :

  • Option de déploiement 1 : Lorsque les clients travaillent principalement dans des applications métier, telles que les applications Microsoft 365, ce modèle réduit la latence pour ces applications en plaçant le PC cloud dans la même région que les applications métier (Geography B). Cette configuration privilégie les performances d’accès aux applications métiers, même si la passerelle est physiquement plus proche d’un utilisateur dans une autre région (Geography A). Le diagramme suivant illustre le flux de trafic de l’utilisateur vers les applications métiers.

    

    Le diagramme comporte deux sections, geography A et B. Geography A contient la région Azure A et un réseau utilisateur, qui se connectent les uns aux autres via Internet et une passerelle Virtual Desktop. Geography B contient la région Azure B et les applications métiers. La région Azure B contient Virtual Desktop et un réseau virtuel. Les applications métiers se connectent au réseau virtuel via une connexion VPN ou ExpressRoute. Un flux d’utilisateur passe d’un utilisateur dans Geography A, à un réseau utilisateur, à Internet, à la passerelle Virtual Desktop, sur la colonne principale Azure vers Geography B, à Virtual Desktop, à un réseau virtuel, et enfin aux applications métier.

    Téléchargez un fichier PowerPoint de cette architecture.

  • Option de déploiement 2 : Si les clients accèdent occasionnellement aux applications métier dans geography B, le déploiement d’un PC cloud plus proche des clients optimise la latence d’accès au PC cloud par rapport à la latence d’accès aux applications métier. Le diagramme suivant montre un flux de trafic pour ce scénario.

    

    Le diagramme comporte deux sections, geography A et B. Geography A contient la région Azure A et un réseau utilisateur, qui se connectent les uns aux autres via une passerelle Virtual Desktop et une connexion VPN ou ExpressRoute. Géographie B contient la région Azure B et les applications LOB. La région Azure B contient un réseau virtuel. Les applications métiers se connectent au réseau virtuel via une connexion VPN ou ExpressRoute. Un flux d’utilisateur passe d’un utilisateur dans Geography A, à un réseau utilisateur, à la connexion VPN ou ExpressRoute, à la passerelle Virtual Desktop, sur le réseau principal Azure vers geography B, à un réseau virtuel, et enfin aux applications métier.

    Téléchargez un fichier PowerPoint de cette architecture.

Recommandations AD DS

Dans une architecture de jonction hybride Microsoft Entra, une infrastructure AD DS locale agit comme source d’autorité d’identité. Une infrastructure AD DS correctement configurée et saine améliore la réussite d’un déploiement Windows 365.

Ad DS local prend en charge de nombreuses configurations qui ont différents niveaux de complexité. Les recommandations suivantes couvrent uniquement les meilleures pratiques de base.

• Pour un scénario de jointure hybride Microsoft Entra, vous pouvez déployer AD DS dans des machines virtuelles Azure. Vous pouvez également utiliser une connexion réseau hybride pour fournir une ligne de vue directe à votre contrôleur de domaine Microsoft Entra local. Pour plus d’informations, consultez Implémenter un réseau hybride sécurisé.

• Pour un scénario de jointure Microsoft Entra, suivez l’architecture de référence qui intègre les domaines Active Directory locaux avec l’ID Microsoft Entra.

• Windows 365 utilise un service de surveillance dans le cadre de tests automatisés. Le service crée un compte de machine virtuelle de test qui s’affiche comme désactivé dans l’unité organisationnelle spécifiée par la configuration de la connexion réseau Azure. Ne supprimez pas ce compte.

• Les PC cloud désactivés dans le modèle de jointure hybride Microsoft Entra laissent derrière des comptes d’ordinateur désactivés qui nécessitent un nettoyage manuel dans AD DS.

• Microsoft Entra Domain Services ne prend pas en charge la jonction hybride Microsoft Entra. Il ne peut donc pas fonctionner comme source d’identité dans cette configuration.

Recommandations DNS

Dans une architecture de déploiement de connexion réseau Azure, les serveurs DNS ou un service DNS dans un réseau virtuel Azure servent de dépendances cruciales. Une infrastructure saine garantit une opération fiable.

• Pour une configuration de jointure hybride Microsoft Entra, DNS doit résoudre le domaine joint par le PC cloud. Vous avez plusieurs options de configuration. L’option la plus simple consiste à spécifier votre adresse IP du serveur DNS dans la configuration du réseau virtuel Azure. Pour plus d’informations, consultez Résolution de noms utilisant votre propre serveur DNS.

• Pour les infrastructures complexes, telles que les configurations à plusieurs régions ou plusieurs domaines dans des environnements Azure et locaux, utilisez un service comme les zones privées Azure DNS ou le programme de résolution privé DNS.

Recommandations relatives à la connexion au PC cloud

Configurez les PC cloud déployés pour autoriser un flux de connexion ininterrompu vers et depuis le service de passerelle Virtual Desktop. Lorsque vous déployez des applications dans le cadre d’une configuration de système d’exploitation Windows, tenez compte des recommandations suivantes :

• Assurez-vous que le client VPS ne démarre pas lorsque l’utilisateur se connecte, car il peut déconnecter la session lorsque le tunnel VPN est établi. Ensuite, l’utilisateur doit se reconnecter.

• Configurez les applications VPN, proxy, pare-feu et antivirus et anti-programme malveillant pour autoriser ou contourner le trafic pour les adresses 168.63.129.16 IP et 169.254.169.254. Cette architecture utilise ces adresses IP pour la communication avec les services de plateforme Azure, tels que les métadonnées et les pulsations.

  Pour plus d’informations, consultez les ressources suivantes :

  • Adresse IP 168.63.129.16
  • Azure Instance Metadata Service pour les machines virtuelles
  • FAQ sur le réseau virtuel

• Ne modifiez pas manuellement les adresses IP des PC cloud, car cela peut entraîner une déconnexion permanente. Les services de mise en réseau Azure attribuent des adresses IP avec un bail indéfini et les gèrent tout au long du cycle de vie du PC cloud. Pour plus d’informations, consultez Méthodes d’allocation.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Auteur principal :

• Ravishankar Nandagopalan | Chef de produit senior

Autres contributeurs :

• Paul Collinge | Chef de produit principal
• Claus Emerich | Chef de produit principal
• David Falkus | Chef de produit principal
• Bob Roudebush | Leader technique et technologue cloud/développeur
• Matt Shadbolt | Chef de produit principal, expériences cloud Windows

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Planifier votre déploiement de PC cloud
• Architecture Windows 365
• Authentification et identité Windows 365
• Cycle de vie du PC cloud dans Windows 365
• Vue d’ensemble d’AD DS
• Chiffrement des données dans Windows 365
• Comprendre la connectivité réseau virtual Desktop

Ressource associée

• Conception d’une architecture d’applications web