Windows 365 est un service cloud que vous pouvez utiliser pour fournir des instances de calcul Windows hautement optimisées et personnalisées appelées PC cloud conçues pour les besoins de chaque utilisateur. Les PC cloud utilisent une combinaison des services suivants :
- Intune pour personnaliser, sécuriser et gérer des PC cloud
- Entra ID pour le contrôle des accès et des identités
- Azure Virtual Desktop pour la connectivité réseau
Un PC cloud est une instance de calcul hautement disponible, optimisée et personnalisée qui vous offre une riche expérience de bureau Windows. Il est hébergé dans le service Windows 365 et est accessible n’importe où, sur n’importe quel appareil.
Le modèle de responsabilité partagée Windows 365
Windows 365 est une solution SaaS (software as a service). Microsoft gère certains composants dans les services Windows 365 et vous gérez d’autres composants. Le niveau de responsabilité que vous avez dépend du modèle d’architecture que vous choisissez pour le déploiement. Les responsabilités de gestion de Windows 365 sont divisées en trois parties :
- Déploiement : la planification et le déploiement des composants du service.
- Cycle de vie : la gestion du composant tout au long de son cycle de vie, comme la mise à jour corrective et la sécurisation.
- Configuration : la configuration du composant pour appliquer les paramètres selon les besoins d’un scénario.
Le diagramme suivant montre la matrice de responsabilité d’un déploiement Windows 365 à l’aide du réseau hébergé par Microsoft recommandée, de la jonction Microsoft Entra et des images de galerie avec Windows Autopatch. Avec cette configuration, vous n’avez pas besoin de gérer de nombreux composants et étapes de cycle de vie. Cette configuration se traduit par les avantages répertoriés dans Modèles d’architecture recommandés.
Remarque
Le diagramme suivant représente les responsabilités du point de vue de l’infrastructure, telles que la configuration du matériel et du réseau, et leur maintenance. Il n’inclut pas la configuration de l’abonnement de locataire Intune ou Windows 365.
Téléchargez un fichier PowerPoint de cette architecture.
Le diagramme suivant illustre un déploiement Windows 365 classique qui utilise une connexion réseau Azure et montre les composants que Microsoft gère et les composants que vous gérez au cours des étapes de cycle de vie d’un PC cloud.
Téléchargez un fichier PowerPoint de cette architecture.
Modèle d’architecture recommandé
Microsoft recommande de déployer Windows 365 avec les composants suivants pour bénéficier d’une expérience SaaS, ce qui vous permet de bénéficier des avantages maximum du service :
- Jonction Microsoft Entra
- Un réseau hébergé par Microsoft
- Des images de galerie
- Service de gestion des périphériques mobiles (GPM) basé sur Intune avec la configuration des applications et du système d’exploitation
- Une application Windows 365 pour l’accès aux PC cloud
Téléchargez un fichier PowerPoint de cette architecture.
Le modèle d’architecture précédent vous permet de tirer le meilleur parti du service Windows 365 et offre les avantages suivants :
- Déploiement simplifié et plus rapide
- Dépendances minimales, voire nulles
- Prise en charge complète de l’infrastructure Confiance Zéro
- Flux de résolution des problèmes simplifiés
- Dépannage utilisateur libre-service
- Surcharge et effort de gestion réduits
- Le modèle de maturité le plus élevé dans la livraison de logiciels et d’applications
L’architecture du service Windows 365
Le diagramme suivant est une représentation de tous les composants qui font partie du service Windows 365. Cette architecture utilise Intune et Microsoft Entra ID, qui sont les principales exigences de Windows 365. Il existe également des composants facultatifs tels que le Réseau virtuel Azure.
Téléchargez un fichier Visio de cette architecture.
Le diagramme précédent montre les options de connexion réseau Azure et de réseau hébergé par Microsoft. Il s’agit d’options d’architecture mutuellement exclusives. Les sections suivantes décrivent plus en profondeur les options de connexion réseau Azure.
Bureau virtuel
Virtual Desktop est une solution d’infrastructure de bureau virtuel (VDI) basée sur Azure. Microsoft gère Virtual Desktop. Il fournit une solution de style PaaS (platform as a service). Windows 365 utilise les composants de gestion réseau requis pour vous connecter à leurs PC cloud. Les composants incluent le service de passerelle Virtual Desktop, un service répartiteur de connexions et un service client web. Ces services permettent une connexion transparente aux PC cloud Windows 365.
Pour plus d’informations, voir Azure Virtual Desktop pour l’entreprise.
Téléchargez un fichier Visio de cette architecture.
Remarque
Windows 365 utilise les composants intitulés « Plan de contrôle Windows Virtual Desktop » dans le diagramme précédent pour faciliter les connexions utilisateur et PC cloud. Il hérite ainsi de la plupart des fonctionnalités liées à la connexion d’Azure Virtual Desktop. Connaître le fonctionnement de la mise en réseau Virtual Desktop devient alors essentiel à la conception de l’architecture de connexion réseau Azure détaillée dans ce document.
Microsoft Intune
Intune est une solution de gestion des points de terminaison basée sur le cloud qui vous permet d’afficher et de consommer des rapports et de gérer :
- La livraison des applications
- Mises à jour Windows
- Les configurations de gestion des appareils
- Stratégies de sécurité
Intune simplifie la gestion des applications et des appareils sur de nombreux appareils, notamment les appareils mobiles, les ordinateurs de bureau et les points de terminaison virtuels.
Vous pouvez protéger l’accès et les données sur les appareils personnels et appartenant à l’organisation. Intune dispose également de fonctionnalités de conformité et de création de rapports qui prennent en charge le modèle de sécurité Confiance Zéro. Pour plus d’informations, consultez Créer un profil de configuration d’appareil.
Modèles d’architecture
Un modèle d’architecture décrit les composants et illustre les configurations avec lesquelles un service ou un produit est déployé. Pour plus d’informations, consultez Hébergé pour le compte de architecture.
Consultez les modèles de connexion réseau Azure suivants :
Connexion réseau Azure avec jonction Microsoft Entra : dans ce modèle, les PC cloud joints à Microsoft Entra utilisent la connexion réseau Azure pour se connecter à des ressources dans des environnements locaux, tels que des applications métier, des partages de fichiers et d’autres applications qui n’ont pas besoin de l’authentification Windows NTLM (New Technology LAN Manager) ou Kerberos.
Connexion réseau Azure avec jonction hybride Microsoft Entra : dans ce modèle, les PC cloud joints à jonction hybride Microsoft Entra utilisent la connexion réseau Azure pour la jonction à un domaine avec un contrôleur de domaine Microsoft Entra ID local. Le PC cloud s’authentifie auprès du contrôleur de domaine local lorsque les utilisateurs accèdent au PC cloud, aux applications locales ou aux applications cloud qui ont besoin de l’authentification Kerberos ou NTLM.
Modèles d’architecture de connexion réseau Azure
Pour certains modèles, le service Windows 365 se connecte à des environnements locaux via Réseau virtuel à l’aide d’Azure ExpressRoute ou d’un VPN de site à site. Cette méthode de connectivité est représentée par la connexion réseau Azure, qui est un objet Intune. Cette connexion permet aux PC cloud de se connecter à des ressources locales telles qu’Active Directory ou les applications métier.
Cette connexion réseau, représentée par la connexion réseau Azure, est utilisée par le service Windows 365 lors de l’approvisionnement de PC cloud pour la jonction de domaine Microsoft Entra locale et les vérifications d’intégrité pour la préparation de l’approvisionnement de PC cloud.
Les tableaux suivants répertorient les dépendances pour la connexion réseau Azure. Windows 365 exécute des contrôles d’intégrité automatiques sur ces dépendances.
| Dépendance | Microsoft Entra Connect : vérifie si Microsoft Entra Connect est configuré et se termine correctement. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Configurez l’intervalle de synchronisation Microsoft Entra Connect avec la valeur par défaut ou la plus basse. Les intervalles de synchronisation plus longs augmentent la possibilité que l’approvisionnement du PC cloud échoue en production en raison d’un délai d’expiration. Pour plus d’informations, consultez Échec de la jonction hybride Microsoft Entra. - Configurez la réplication du contrôleur de domaine Active Directory à partir d’un serveur dans le même centre de données que la connexion réseau Azure Windows 365 pour accélérer la réplication. - Configurez la réplication du contrôleur de domaine Microsoft Entra ID avec une valeur par défaut. |
| Dépendance | Préparation du locataire Azure : vérifie si l’abonnement Azure est activé, sans restrictions bloquantes et prêt à être utilisé. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Utilisez un compte disposant des privilèges appropriés pour gérer les abonnements Azure, Intune et Windows 365. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC). - Désactivez ou modifiez toutes les stratégies Azure qui empêchent la création de PC cloud. Pour plus d’informations, consultez Restreindre les références SKU de machine virtuelle autorisées. - Vérifiez que l’abonnement dispose de quotas de ressources suffisants pour la mise en réseau et de limites générales en fonction du nombre maximal de PC cloud à créer. Par exemple, la taille de la passerelle réseau, l’espace d’adressage IP, la taille du réseau virtuel et la bande passante requise. Pour plus d’informations, consultez Limites de mise en réseau et Limites générales. |
| Dépendance | Préparation du réseau virtuel Azure : vérifie si le réseau virtuel se trouve dans une région Windows 365 prise en charge. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Créez le réseau virtuel dans une des Régions Azure Windows 365 prises en charge pour l’approvisionnement de PC cloud. - Créez au moins un sous-réseau, en plus du sous-réseau par défaut, pour déployer les adaptateurs de réseau virtuel PC cloud. - Dans la mesure du possible, créez des services réseau partagés, tels que Pare-feu Azure, passerelles VPN ou passerelles ExpressRoute, dans un réseau virtuel distinct pour permettre des contrôles de routage et l’expansion du déploiement. Dans les réseaux virtuels, appliquez des groupes de sécurité réseau (NSG) avec des exclusions appropriées pour autoriser les URL requises pour le service Windows 365. Pour plus d’informations, consultez Configuration requise pour la mise en réseau et Groupes de sécurité réseau. |
| Dépendance | Utilisation des adresses IP du sous-réseau Azure : vérifie s’il existe suffisamment d’adresses IP disponibles. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Créez le réseau virtuel avec suffisamment d’adresses IP pour gérer la création du PC cloud et la réservation d’adresses IP temporaires lors du réapprovisionnement. Il est recommandé d’utiliser un espace d’adressage IP de 1,5 à 2 fois le nombre maximal de PC cloud que vous déployez pour le cloud. Pour plus d’informations, consultez Exigences générales de mise en réseau. - Traitez le réseau virtuel Azure comme une extension logique de votre réseau local et attribuez un espace d’adressage IP unique sur tous vos réseaux pour éviter les conflits de routage. |
| Dépendance | Connectivité des points de terminaison : vérifie si les URL externes nécessaires à l’approvisionnement du PC cloud sont accessibles à partir du réseau virtuel. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Autorisez toutes les URL nécessaires à l’approvisionnement du PC cloud via le réseau virtuel Azure. Pour plus d’informations, consultez Autoriser la connectivité réseau. - Utilisez Pare-feu Azure pour tirer parti des balises de nom de domaine complet (FQDN) Windows 365, Azure Virtual Desktop et Intune pour créer des règles d’application et autoriser les URL nécessaires pour l’approvisionnement du PC cloud Windows 365. Pour plus d’informations, consultez Utiliser Pare-feu Azure pour gérer et sécuriser les environnements Windows 365. - Ignorez ou excluez le trafic RDP (Remote Desktop Protocol) de n’importe quel appareil d’inspection réseau, de proxy ou de manipulation pour éviter les problèmes de latence et de routage. Pour plus d’informations, consultez technologies d’interception du trafic. - Du côté de l’utilisateur final et du réseau, autorisez les URL et les ports du service Windows 365 pour le proxy et les inspections réseau. - Autorisez les adresses IP internes Azure 168.63.129.16 et 169.254.169.254, car ces adresses IP sont utilisées pour la communication avec les services de plateforme Azure tels que les métadonnées ou la pulsation. Pour plus d’informations, consultez Qu’est-ce que l’adresse IP 168.63.129.16 ?, Azure Instance Metadata Service et FAQ sur Réseau virtuel. |
| Dépendance | Inscription Intune : vérifie si Intune autorise l’inscription Windows. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que les restrictions d’inscription de type d’appareil Intune sont définies pour autoriser la plateforme de gestion des périphériques mobiles (GPM) Windows pour l’inscription d’entreprise. - Pour la jonction hybride Microsoft Entra, configurez automatiquement les appareils en configurant le point de connexion de service (SCP) pour chaque domaine dans Microsoft Entra Connect ou à l’aide du modèle de déploiement ciblé. Pour plus d’informations, consultez Configurer la jonction hybride Microsoft et Déploiement ciblé de jonction hybride Microsoft Entra. |
| Dépendance | Autorisations d’application tierces : vérifie que l’application Windows 365 dispose des autorisations au niveau de l’abonnement Azure client, du groupe de ressources et du réseau virtuel. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que le compte utilisé pour configurer la connexion réseau Azure dispose d’autorisations de lecture sur l’abonnement Azure dans lequel le réseau virtuel Azure est créé. - Vérifiez dans l’abonnement Azure qu’il n’existe aucune stratégie en place qui bloque les autorisations pour l’application tierce Windows 365. L’application doit disposer d’autorisations au niveau de l’abonnement, du groupe de ressources et du réseau virtuel. Pour plus d'informations, consultez la section Exigences Azure. |
| Dépendance | Module linguistique de localisation : vérifie si les emplacements de téléchargement du module linguistique sont accessibles. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que les URL nécessaires pour la version appropriée des images Windows sont autorisées via des règles de pare-feu utilisées dans le réseau virtuel Azure. Pour plus d’informations, consultez Fournir une expérience Windows localisée. |
| Dépendance | RDP Shortpath : vérifie si les configurations UDP (User Datagram Protocol) sont en place pour vous connecter. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Activez RDP Shortpath pour l’accès au PC cloud pour tirer parti de la résilience d’UDP. Pour plus d’informations, consultez Utiliser RDP Shortpath pour les réseaux publics avec Windows 365 et Utiliser RDP Shortpath pour les réseaux privés avec Windows 365. |
| Dépendance | Licence Intune : vérifie si le locataire dispose des licences Intune appropriées pour utiliser Windows. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que les licences Intune vous sont attribuées conformément aux exigences de licence. |
| Dépendance | Vérification de l’authentification unique : vérifie si l’objet serveur Kerberos est créé dans Active Directory et synchronisé avec Microsoft Entra ID. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que l’option d’authentification unique est sélectionnée dans la stratégie d’approvisionnement. Cette option vous permet de vous connecter au PC cloud de la stratégie à l’aide des informations d’identification de connexion à partir d’un appareil physique géré par Intune joint à un domaine ou joint à Microsoft Entra. Pour plus d’informations, consultez Continuer la création de stratégies d’approvisionnement. |
| Dépendance | Résolution de noms DNS : vérifie si le DNS dans la connexion réseau Azure peut résoudre le domaine Active Directory local. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que le réseau virtuel Azure est configuré avec la résolution de noms d’un domaine Microsoft Entra local à l’aide d’un DNS personnalisé, d’un DNS privé ou d’un programme de résolution privé. Pour plus d’informations, consultez Présentation d’Azure DNS. - Vérifiez que les serveurs DNS configurés dans le réseau virtuel se trouvent dans la même zone géographique et qu’ils ont la possibilité d’inscrire des PC cloud nouvellement approvisionnés sans délai. Évitez les références DNS ou les redirections pour empêcher les retards de propagation, ce qui peut entraîner des retards ou des échecs d’approvisionnement. |
| Dépendance | Jonction de domaine Microsoft Entra : vérifie que les informations d’identification fournies pour la jonction de domaine Microsoft Entra sont valides et que les PC cloud peuvent être joints à un domaine. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Vérifiez que le compte fourni pour la jonction de domaine Microsoft Entra dispose d’autorisations sur l’unité d’organisation Microsoft Entra spécifiée dans la configuration de la connexion réseau Azure. - Vérifiez que le compte fourni n’est pas un compte d’utilisateur standard avec une limitation de jonction de domaine. Pour plus d’informations, consultez Limite par défaut au nombre de stations de travail qu’un utilisateur peut joindre au domaine. - Vérifiez que le compte spécifié est synchronisé avec Microsoft Entra ID. - Vérifiez que l’unité d’organisation spécifiée dans la connexion réseau Azure n’a pas de limites d’objet. Pour plus d’informations, consultez Augmenter la limite de compte d’ordinateur dans l’unité d’organisation. |
Pour plus d’informations, consultez Vérifications d’intégrité de la connexion réseau Azure dans Windows 365.
Recommandations relatives aux blocs de construction de la connexion réseau Azure
Cette section fournit la répartition des blocs de construction du modèle d’architecture de connexion réseau Azure Windows 365.
Abonnement Azure
L’utilisation de Windows 365 dans un modèle d’architecture de connexion réseau Azure implique deux types d’abonnements Azure, un abonnement Microsoft et un abonnement client
Windows 365 utilise le modèle Hébergé pour le compte de pour fournir des services aux clients Windows 365. Dans ce modèle, le PC cloud est approvisionné et exécuté dans des abonnements Azure appartenant à Microsoft, tandis que la carte réseau du PC cloud est approvisionnée dans l’abonnement Azure d’un client. Les diagrammes suivants montrent deux modèles d’architecture de connexion réseau Azure. Les clients utilisent leur propre abonnement Azure et leur propre réseau virtuel.
Téléchargez un fichier Visio de cette architecture.
Le modèle d’architecture précédent utilise l’identité de jonction Microsoft Entra pour gérer le PC cloud.
Téléchargez un fichier Visio de cette architecture.
Le modèle d’architecture précédent utilise l’identité de jonction hybride Microsoft Entra pour gérer le PC cloud et nécessite une communication réseau à ligne de vue avec des contrôleurs de domaine Active Directory Domain Services (AD DS) dans des environnements locaux.
| Composant | Abonnement Azure : abonnement Azure qui héberge le réseau virtuel utilisé pour fournir la connectivité d’un PC cloud à un environnement local et à Internet. |
|---|---|
| Modèles d’architecture | Connexion réseau Azure pour la jonction Microsoft Entra, connexion réseau Azure pour la jonction hybride Microsoft Entra |
| Recommandations | - Créez ou utilisez un abonnement disposant d’un réseau virtuel et de passerelles ExpressRoute ou VPN pour fournir une connexion à un environnement local. - Créez un groupe de ressources dédié pour un PC cloud afin de fournir la gestion des autorisations et des ressources. - Excluez les groupes de ressources et le réseau virtuel du PC cloud des stratégies Azure qui empêchent la création et la suppression automatiques d’objets de carte d’interface réseau virtuelle (vNIC), ainsi que l’attribution ou la libération d’adresses IP. Pour plus d’informations, consultez Verrouiller vos ressources pour protéger votre infrastructure et Exigences Azure. - Créez des réseaux virtuels dédiés pour une gestion des adresses IP et des contrôles de routage améliorés. |
Réseau virtuel et connexion hybride
Les modèles d’architecture basés sur une connexion réseau Azure Windows 365 nécessitent un ou plusieurs réseaux virtuels Azure. Les réseaux virtuels fournissent une connectivité à des environnements locaux et via Internet pour l’approvisionnement d’un PC cloud. La carte réseau virtuelle du PC cloud est approvisionnée dans le réseau virtuel Azure de l’abonnement appartenant au client, comme décrit dans la section Abonnement Azure.
La mise en réseau Azure peut être déployée avec une complexité de conception variable, en fonction de la mise en réseau locale ou Azure existante. Pour démarrer la conception du réseau hybride de base, consultez Implémenter un réseau hybride sécurisé.
Tenez compte des facteurs suivants lorsque vous concevez une architecture de réseau virtuel Azure :
Espace d’adressage IP : la taille de l’espace d’adressage IP dépend du nombre de PC cloud à prendre en charge. Planifiez au moins 1,5 fois le nombre maximal de PC cloud déployés. Les adresses IP supplémentaires correspondent aux adresses IP utilisées lors de l’approvisionnement et du déprovisionnement des PC cloud.
Résolution de noms : processus DNS utilisé par le PC cloud pour résoudre le nom de domaine local dans un déploiement de jonction hybride Microsoft Entra ou pour résoudre les ressources Internet ou les ressources Azure dans un modèle de déploiement de jonction Microsoft Entra.
- Pour utiliser votre infrastructure DNS locale existante, configurez les adresses IP d’un ou de plusieurs serveurs DNS pour la résolution de noms. Pour plus d'informations, consultez Exigences de DNS.
- Vérifiez que l’adresse IP du serveur DNS utilisée dans le réseau virtuel Azure appartient à la même zone géographique que le PC cloud et qu’elle ne redirige pas les demandes d’inscription DNS vers une autre région. Sinon, cela entraîne des retard ou des échecs de déploiement et de vérification d’intégrité de la connexion réseau Azure.
- Pour la résolution de noms basée sur Azure DNS, utilisez Azure DNS public ou privé ou l’option de programme de résolution privé. Pour plus d’informations, consultez la Documentation Azure DNS.
Topologie réseau : la mise en réseau Azure prend en charge les topologies pour prendre en charge différents cas d’usage.
- Topologie hub-and-spoke avec peering de réseaux virtuels : cette topologie est le moyen le plus simple de fournir une isolation des services avec leurs propres réseaux virtuels hub-and-spoke. Les services partagés comprennent Pare-feu Azure et les passerelles réseau. Choisissez cette topologie si vous avez une conception simple à site unique pour déployer un PC cloud dans un ou plusieurs réseaux virtuels spoke. Pour plus d’informations, consultez Topologie de réseau hub-and-spoke.
- Topologie hub-and-spoke avec Azure Virtual WAN : Virtual WAN est un service de mise en réseau Azure qui regroupe les fonctionnalités de mise en réseau, de sécurité et de gestion qui permettent des exigences réseau complexes. Utilisez cette topologie pour les déploiements multisite et multirégion avec des exigences de pare-feu et de routage spécifiques. Pour plus d’informations, consultez Topologie réseau hub-and-spoke dans Virtual WAN.
Passerelle réseau : les passerelles réseau Azure fournissent une connectivité entre un réseau virtuel et un réseau local. Il existe des passerelles réseau VPN et ExpressRoute. Assurez-vous que les exigences de bande passante maximales d’un PC cloud sont prises en compte avant de décider de la méthode de connectivité ExpressRoute ou VPN. Les passerelles VPN et ExpressRoute sont proposées dans des niveaux ou des références SKU qui diffèrent en termes de quantité de bande passante fournie et d’autres métriques. Pour plus d’informations, consultez Étendre un réseau local avec ExpressRoute et Connecter un réseau local à Azure avec ExpressRoute.
Configuration de routage
Le service de connexion réseau Azure Windows 365 utilise des contrôles d’intégrité automatisés pour déterminer l’intégrité et la préparation de l’environnement du client pour approvisionner les PC cloud avec jonction Microsoft Entra ou jonction hybride Microsoft Entra dans une architecture basée sur une connexion réseau Azure. Sans configurations de routage appropriées dans votre réseau virtuel Azure et les services de mise en réseau associés, il existe une probabilité élevée d’échecs ou de retards dans votre déploiement de PC cloud. Tenez compte des recommandations suivantes pour optimiser le routage pour l’architecture réseau Windows 365 :
URL requises de liste d’autorisation : chaque PC cloud déployé dans un modèle de connexion réseau Azure avec jonction hybride Microsoft Entra ou jonction Microsoft Entra nécessite l’autorisation de plusieurs URL via des antivirus, des pare-feu réseau et des équilibreurs de charge du système d’exploitation. Vérifiez que toutes les URL sont autorisées. Pour plus d’informations, consultez Autoriser la connectivité réseau.
Utiliser des balises de nom de domaine complet (FQDN) Azure : lorsque vous utilisez le service Pare-feu Azure, utilisez des balises FQDN Azure pour autoriser les URL requises pour Azure Virtual Desktop, Windows 365 et Intune. Pour plus d’informations, consultez Utiliser Pare-feu Azure pour gérer et sécuriser les environnements Windows 365.
Activer la connexion directe : Windows 365 utilise le protocole RDP, qui est sensible à la latence introduite par les appareils d’inspection du trafic tels qu’un pare-feu ou une appliance de déchiffrement SSL. Cette latence peut entraîner une mauvaise expérience. Désactivez donc l’inspection du trafic de ces URL et activez plutôt la connexion directe. Pour plus d’informations, consultez technologies d’interception du trafic.
Contourner le proxy : les services proxy cloud et traditionnels, tout en étant adaptés à l’accès à Internet, introduisent la latence dans les connexions RDP. Cette latence se produit lorsque la connexion à partir de l’appareil physique de l’utilisateur final ou du PC cloud est forcée par le biais d’un proxy et entraîne des déconnexions fréquentes, des retards et des temps de réponse élevés. Définissez *.wvd.microsoft.com et les plages d’adresses IP de passerelle Windows 365 pour contourner les services proxy sur l’appareil physique de l’utilisateur, le réseau auquel l’appareil physique est connecté et dans le PC cloud.
Pour plus d’informations, consultez Optimisation de la connectivité RDP pour Windows 365.
Routage du chemin le plus court : assurez-vous que le trafic RDP à partir d’un PC cloud atteint les points de terminaison de service Virtual Desktop via le chemin le plus court. Le chemin idéal provient d’un réseau virtuel, directement vers l’adresse IP de passerelle Virtual Desktop via Internet. Vérifiez également que le trafic RDP à partir de l’appareil physique de l’utilisateur final atteint directement l’adresse IP de la passerelle Virtual Desktop. Cette configuration garantit un routage optimal et ne dégrade pas l’expérience utilisateur. Évitez de router le trafic RDP vers Internet via des services proxy cloud ou des réseaux locaux.
RDP Shortpath : activez l’accès RDP Shortpath pour les réseaux d’utilisateurs finaux, les réseaux Azure et les PC cloud. RDP Shortpath utilise UDP pour transmettre le trafic RDP. Contrairement au protocole TCP, il est résilient aux connexions réseau à latence élevée. UDP tire également parti de la bande passante réseau disponible pour transférer efficacement des paquets RDP, ce qui entraîne une expérience utilisateur améliorée. Pour plus d’informations, consultez Utiliser RDP Shortpath pour les réseaux publics avec Windows 365.
Placement des PC cloud : pour une expérience utilisateur et des performances de routage optimales, déterminez où les clients sont en relation avec les applications professionnelles ou le réseau auxquels ils accèdent. Considérez également le temps passé par les clients à accéder aux applications métier par rapport au temps global auquel ils accèdent à d’autres applications. Les deux options de déploiement suivantes sont possibles :
Le modèle de déploiement suivant peut être optimal si les clients passent la plupart de leur temps de travail à accéder aux applications métier plutôt que de travailler sur des applications installées localement, comme les applications dans Microsoft 365. Ce modèle optimise la latence pour les applications métier par rapport à la latence d’accès au PC cloud en plaçant le PC cloud dans la même région que l’application métier (Géographie B). Cette optimisation se produit même si la passerelle est géographiquement plus proche de l’utilisateur final (Géographie A). Le diagramme suivant montre le flux de trafic possible entre l’utilisateur final et les applications métier.
Téléchargez un fichier PowerPoint de cette architecture.Si les clients accèdent occasionnellement aux applications métier dans Géographie B, le déploiement d’un PC cloud plus proche des clients peut être optimal, car il optimise la latence d’accès au PC cloud par rapport à la latence d’accès aux applications métier. Le diagramme suivant montre comment le trafic peut circuler dans un tel scénario.
Téléchargez un fichier PowerPoint de cette architecture.
Recommandations AD DS
Dans une architecture de jonction hybride Microsoft Entra, une infrastructure AD DS locale agit comme source d’autorité d’identité. Une infrastructure AD DS correctement configurée et saine est une étape cruciale pour réussir le déploiement de Windows 365.
AD DS local prend en charge de nombreuses configurations et différents niveaux de complexité, de sorte que les recommandations fournies couvrent uniquement les meilleures pratiques de base.
- Pour le scénario de jonction hybride Microsoft Entra, vous pouvez déployer AD DS dans des machines virtuelles Azure, comme décrit dans la référence d’architecture dans Déployer AD DS dans un réseau virtuel. Vous pouvez également utiliser une connexion réseau hybride pour fournir une ligne de vue directe à votre contrôleur de domaine Microsoft Entra local. Pour plus d’informations, consultez Implémenter un réseau hybride sécurisé.
- Pour le déploiement de jonction Microsoft Entra, suivez l’architecture de référence dans Intégrer des domaines Microsoft Entra locaux avec Microsoft Entra ID.
- Windows 365 utilise un service de surveillance dans le cadre de tests automatisés qui crée un compte de machine virtuelle de test. Ce compte s’affiche comme désactivé dans l’unité d’organisation spécifiée dans la configuration de la connexion réseau Azure. Ne supprimez pas ce compte.
- Tout PC cloud désaffecté dans le modèle de jonction hybride Microsoft Entra laisse derrière un compte d’ordinateur désactivé, qui doit être nettoyé manuellement dans AD DS.
- Microsoft Entra Domain Services n’est pas pris en charge en tant que source d’identité, car il ne prend pas en charge la jonction hybride Microsoft Entra.
Recommandations DNS
Dans une architecture de déploiement de connexion réseau Azure, les serveurs DNS ou un autre service DNS utilisé par un réseau virtuel Azure sont une dépendance cruciale. Il est important d’avoir une infrastructure saine en place.
- Pour une configuration de jointure hybride Microsoft Entra, le DNS doit être en mesure de résoudre le domaine auquel le PC cloud doit être joint. Il existe plusieurs options de configuration disponibles, la plus simple étant de spécifier l’adresse IP de votre serveur DNS dans la configuration du réseau virtuel Azure. Pour plus d’informations, consultez Résolution de noms utilisant votre propre serveur DNS.
- En fonction de la complexité de l’infrastructure, telle qu’une configuration multirégion, multi-domaine dans des environnements Azure et locaux, vous devez utiliser un service comme les zones privées Azure DNS ou Azure DNS Private Resolver.
Recommandations relatives à la connexion au PC cloud
Les PC cloud déployés doivent être configurés pour autoriser un flux de connexion ininterrompu vers et depuis le service de passerelle Virtual Desktop. Tenez compte des recommandations suivantes lorsque vous déployez des applications dans le cadre d’une configuration du système d’exploitation Windows :
- Assurez-vous que le client VPS ne démarre pas lorsque l’utilisateur se connecte, car il peut déconnecter la session lorsque le tunnel VPN est établi. L’utilisateur devrait se connecter une deuxième fois.
- Configurez les applications VPN, proxy, pare-feu, antivirus et anti-programme malveillant pour autoriser ou contourner le trafic lié aux adresses IP 168.63.129.16 et 169.254.169.254. Ces adresses IP sont utilisées pour la communication avec les services de plateforme Azure tels que les métadonnées et la pulsation. Pour plus d’informations, consultez Qu’est-ce que l’adresse IP 168.63.129.16 ?, Azure Instance Metadata Service pour machines virtuelles et FAQ sur Réseau virtuel.
- Ne modifiez pas manuellement les adresses IP des PC cloud, car cela peut entraîner une déconnexion permanente. Les adresses IP sont attribuées avec un bail indéfini et gérées tout au long du cycle de vie du PC cloud par les services de mise en réseau Azure. Pour plus d’informations, consultez Méthodes d’allocation.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Ravishankar Nandagopalan | Chef de produit senior
Autres contributeurs :
- Paul Collinge | Chef de produit principal
- Claus Emerich | Chef de produit principal
- David Falkus | Chef de produit principal
- Bob Roudebush | Leader technique et technologue cloud/développeur
- Matt Shadbolt | Chef de produit principal, expériences cloud Windows
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
Planifier votre déploiement de PC cloud
Authentification et identité Windows 365
Cycle de vie du PC cloud dans Windows 365
Ressources associées
Vue d’ensemble d’Active Directory Domain Services
Chiffrement des données dans Windows 365