Configuration requise pour le réseau

Windows 365 est un service cloud qui permet aux utilisateurs de se connecter via Internet à un poste de travail Windows exécuté dans Azure, et ce, quel que soit l’appareil qu’ils utilisent et l’endroit où ils se trouvent. Pour prendre en charge ces connexions Internet, vous devez suivre les exigences de mise en réseau répertoriées dans cet article.

Chaque client a ses exigences spécifiques en fonction de la charge de travail qu’il utilise pour calculer la configuration réseau requise de son environnement DE PC cloud.

Remarque

Cet article s’applique uniquement si vous envisagez de provisionner des PC cloud sur votre propre réseau virtuel Azure, par opposition à un réseau hébergé par Microsoft.

Configuration requise du réseau

Windows 365 Entreprise

Pour utiliser votre propre réseau et provisionner des PC cloud joints à Microsoft Entra, vous devez répondre aux exigences suivantes :

• Réseau virtuel Azure : Le réseau virtuel de votre abonnement Azure doit se trouver dans la même région que les postes de travail Windows 365 que vous avez créés.
• Bande passante du réseau : consultez les Directives du réseau Azure.
• Un sous-réseau dans le réseau virtuel et un espace d’adressage IP disponible.

Pour utiliser votre propre réseau et provisionner des PC cloud joints hybrides Microsoft Entra, vous devez répondre aux exigences ci-dessus et aux exigences suivantes :

• Le réseau virtuel Azure doit pouvoir résoudre les entrées DNS pour votre environnement Active Directory Domain Services (AD DS). Pour prendre en charge cette résolution, définissez vos serveurs DNS AD DS en tant que serveurs DNS pour le réseau virtuel.
• Le réseau virtuel Azure doit avoir un accès réseau à un contrôleur de domaine d'entreprise, dans Azure ou sur site.

Windows 365 Administration

Toutes les exigences réseau générales de Windows 365 Entreprise s’appliquent à Windows 365 Administration avec les ajouts suivants :

PC cloud joints à Microsoft Entra

Pour utiliser votre propre réseau et provisionner des PC cloud joints à Microsoft Entra, vous devez répondre aux exigences suivantes :

• Le client doit disposer d’un abonnement dans l’environnement Azure Government.
• Réseau virtuel Azure : vous devez disposer d’un réseau virtuel (vNET) dans votre abonnement Azure Government dans la même région que celle où les PC Cloud Windows 365 sont créés. Pour government Community Cloud (GCC) et Government Community Cloud High (GCCH), ce réseau est une région US Gov.
• Bande passante du réseau : consultez les Directives du réseau Azure.
• Un sous-réseau dans le réseau virtuel et un espace d’adressage IP disponible.

PC cloud joints hybrides Microsoft Entra

Pour utiliser votre propre réseau et provisionner des PC cloud joints hybrides Microsoft Entra, vous devez répondre aux exigences ci-dessus et aux exigences suivantes :

• Le client doit disposer d’un abonnement dans l’environnement Azure Government.
• Le réseau virtuel Azure doit pouvoir résoudre les entrées DNS pour votre environnement Active Directory Domain Services (AD DS). Pour prendre en charge cette résolution, définissez vos serveurs DNS AD DS en tant que serveurs DNS pour le réseau virtuel.
• Le réseau virtuel Azure doit avoir un accès réseau à un contrôleur de domaine d'entreprise, dans Azure ou sur site.

Autoriser la connectivité réseau

Windows 365 Entreprise

Vous devez autoriser le trafic dans votre configuration réseau vers les URL et ports de service suivants pour prendre en charge l’approvisionnement et la gestion des PC cloud et pour la connectivité à distance avec les PC cloud. Bien que la plupart de la configuration concerne le réseau de PC cloud, la connectivité de l’utilisateur final se produit à partir d’un appareil physique. Par conséquent, vous devez également suivre les instructions de connectivité sur le réseau d’appareils physiques.

Appareil ou service	Url et ports requis pour la connectivité réseau	Notes
Appareil physique	Link	Pour la connectivité et les mises à jour du client Bureau à distance.
Service Microsoft Intune	Link	Pour les services cloud Intune tels que la gestion des appareils, la livraison d’applications et les analytique de point de terminaison.
Machine virtuelle hôte de session Azure Virtual Desktop	Link	Pour la connectivité à distance entre les PC cloud et le service Azure Virtual Desktop principal.
Service Windows 365	Link	Pour l’approvisionnement et les vérifications d’intégrité.

Service Windows 365

Les URL et ports suivants sont requis pour le provisionnement des PC cloud et les contrôles d’intégrité de la connexion réseau Azure (ANC) :

• *.infra.windows365.microsoft.com
• *.cmdagent.trafficmanager.net
• Points de terminaison d'inscription
  • login.microsoftonline.com
  • login.live.com
  • enterpriseregistration.windows.net
  • global.azure-devices-provisioning.net (443 & 5671 sortant)
  • hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 sortant)
  • hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 sortant)
  • hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 sortant)
  • hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 sortant)
  • hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 sortants)
  • hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 sortants)
  • hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 sortants)
  • hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 sortants)
  • hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 sortants)
  • hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 sortants)

Sauf indication contraire, tous les points de terminaison se connectent sur le port 443.

Port 3389

Le port 3389 est désactivé par défaut pour tous les PC cloud nouvellement provisionnés. Microsoft vous recommande de garder le port 3389 fermé. Toutefois, si vous avez besoin que le port 3389 soit ouvert pour tous les PC cloud réapprovisionnés ou nouvellement provisionnés à l’aide de l’option de déploiement Azure Network Connection (ANC), vous pouvez passer en revue les options suivantes :

• Bases de référence de sécurité Windows 365. Les clients peuvent utiliser les bases de référence de sécurité Windows 365 pour gérer efficacement le port 3389 pour les PC Windows 365 Cloud. Ces bases de référence fournissent des outils et des configurations complets conçus pour améliorer les mesures de sécurité tout en autorisant l’accès nécessaire. En ajustant les paramètres de pare-feu et en définissant l’action entrante par défaut pour le profil public sur Autoriser, les organisations peuvent s’assurer que le port 3389 est correctement configuré pour répondre aux besoins opérationnels. Examinez et personnalisez ces paramètres en fonction des besoins spécifiques de votre organisation.
• Créez une règle de pare-feu personnalisée dans Microsoft Intune. Les clients peuvent utiliser des règles de pare-feu personnalisées dans Microsoft Intune pour configurer le port 3389 pour les PC Cloud Windows 365. Cette option implique la création d’une règle personnalisée dans les stratégies de sécurité d’Intune, adaptée pour autoriser le trafic entrant sur le port 3389, qui est utilisé pour l’accès aux PC cloud. En définissant les paramètres de règle tels que le numéro de port, le protocole (TCP) et en limitant des adresses IP ou des réseaux spécifiques, vous pouvez vous assurer que l’accès au port 3389 est étroitement contrôlé et limité aux entités autorisées uniquement.

Ces options ne s’appliquent pas aux clients qui utilisent un réseau hébergé par Microsoft.

Windows 365 Administration

Vous devez autoriser le trafic dans votre configuration réseau Azure pour :

• Url de service et ports répertoriés dans cette section.
• Points de terminaison pour Microsoft Intune et Azure Virtual Desktop.

Sauf indication contraire, tous les points de terminaison se connectent sur le port 443.

• GCC : points de terminaison réseau pour Microsoft Intune.
• GCC : Liste des URL requises d’Azure Virtual Desktop.
• GCCH : Points de terminaison réseau Microsoft Intune pour les déploiements du gouvernement des États-Unis.
• GCCH : URL requises pour Azure Virtual Desktop pour les déploiements du gouvernement des États-Unis.

URL requises de PC cloud

Adresse :Port	Requis pour
*.infra.windows365.microsoft.us	GCC, GCCH
*.cmdagent.usgovtrafficmanager.net	GCC, GCCH

URL dépendantes d’Intune

Adresse :Port	Requis pour
portal.manage.microsoft.us:443	GCCH
m.manage.microsoft.us:443	GCCH
mam.manage.microsoft.us:443	GCCH
wip.mam.manage.microsoft.us:443	GCCH
Fef.FXPASU01.manage.microsoft.us:443	GCCH
portal.manage.microsoft.com:443	GCC
m.manage.microsoft.com:443	GCC
fef.msuc03.manage.microsoft.com:443	GCC
mam.manage.microsoft.com:443	GCC
wip.mam.manage.microsoft.com:443	GCC

URL dépendantes de l’ID Microsoft Entra

Adresse :Port	Requis pour
login.microsoftonline.us	GCCH
login.live.com:443	GCCH, GCC
login.microsoftonline.com:443	GCC
global.azure-devices-provisioning.us (port 443 et 5671)	GCC, GCCH
hm-iot-in-ghp-ghp01.azure-devices.us (port 443 et 5671)	GCCH
hm-iot-in-gcp-gcp01.azure-devices.us (port 443 et 5671)	GCC
hm-iot-in-gcb-gcb01.azure-devices.us (port 443 et 5671)	GCC
hm-iot-in-ghb-ghb01.azure-devices.us (port 443 et 5671)	GCCH
enterpriseregistration.windows.net	GCCH
enterpriseregistration.microsoftonline.us	GCCH

URL dépendantes des appareils virtuels Azure

Adresse :Port	Requis pour
rdweb.wvd.azure.us:443	GCCH
rdbroker.wvd.azure.us:443	GCCH
rdweb.wvd.microsoft.com:443	GCC
rdbroker.wvd.microsoft.com:443	GCC

Package de localisation

Adresse :Port	Requis pour
download.microsoft.com:443	GCCH, GCC
software-download.microsoft.com:443	GCCH, GCC

Utiliser des étiquettes de nom de domaine complet pour les points de terminaison via le Pare-feu Azure

Les balises de nom de domaine complet (FQDN) Windows 365 facilitent l’octroi de l’accès aux points de terminaison de service windows 365 requis par le biais d’un pare-feu Azure. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour gérer et sécuriser les environnements Windows 365.

Points de terminaison du service de broker du protocole de bureau à distance (RDP)

La connectivité directe aux points de terminaison du service broker RDP Azure Virtual Desktop est essentielle pour les performances de communication à distance vers un PC cloud. Ces points de terminaison affectent à la fois la connectivité et la latence. Pour vous aligner sur les principes de connectivité réseau Microsoft 365, vous devez catégoriser ces points de terminaison comme Optimiser les points de terminaison. Nous vous recommandons d’utiliser un chemin direct de votre réseau virtuel Azure vers ces points de terminaison.

Pour faciliter la configuration des contrôles de sécurité réseau, utilisez des balises de service Azure Virtual Desktop pour identifier ces points de terminaison pour le routage direct à l’aide d’un Azure Networking User Defined Route (UDR). Un itinéraire défini par l’utilisateur entraîne un routage direct entre votre réseau virtuel et le répartiteur RDP pour une latence la plus faible. Pour plus d’informations sur les balises de service Azure, consultez vue d’ensemble des balises de service Azure.

La modification des itinéraires réseau d’un PC Cloud (au niveau de la couche réseau ou de la couche PC Cloud tel que VPN) peut interrompre la connexion entre le PC Cloud et le répartiteur RDP Azure Virtual Desktop. Si c’est le cas, l’utilisateur final est déconnecté de son PC cloud jusqu’à ce qu’une connexion soit rétablie.

Exigences DNS

Dans le cadre des exigences de jointure hybride Microsoft Entra, vos PC cloud doivent être en mesure de rejoindre Active Directory local. Cela nécessite que les PC Cloud soient capables de résoudre les enregistrements DNS pour votre environnement AD sur site.

Configurez votre réseau virtuel Azure où les Cloud PC sont provisionnés comme suit :

1. Assurez-vous que votre réseau virtuel Azure dispose d'une connectivité réseau aux serveurs DNS qui peuvent résoudre votre domaine Active Directory.
2. Dans les paramètres du réseau virtuel Azure, sélectionnez Serveurs DNS, puis choisissez Personnalisé.
3. Entrez l'adresse IP des serveurs DNS de cet environnement qui peuvent résoudre votre domaine AD DS.

Conseil

L'ajout d'au moins deux serveurs DNS, comme vous le feriez avec un PC physique, permet d'atténuer le risque d'un point de défaillance unique dans la résolution de noms.

Pour plus d'informations, voir la configuration des paramètres des réseaux virtuels Azure .

Exigences du protocole Bureau à distance

Windows 365 utilise le protocole RDP.

Scénario	Mode par défaut	Mode H.264/AVC 444	Description
Inactif	0,3 Kbits/s	0,3 Kbits/s	L’utilisateur a suspendu son travail et il n’y a aucune mise à jour d’écran active.
Microsoft Word	100-150 Kbits/s	200-300 Kbits/s	L’utilisateur travaille activement dans Microsoft Word (il tape du texte, colle des images et passe d’un document à un autre).
Microsoft Excel	150-200 Kbits/s	400 à 500 Kbits/s	L’utilisateur travaille activement dans Microsoft Excel (plusieurs cellules comprenant des formules et des graphiques sont mises à jour simultanément)
Microsoft PowerPoint	4-4,5 Mbits/s	1,6-1,8 Mbits/s	L’utilisateur travaille activement dans Microsoft PowerPoint (il saisit du texte, colle du texte ou des images, modifie des graphismes enrichis et utilise des effets de transition entre diapositives).
Navigation web	6-6,5 Mbits/s	0,9-1 Mbits/s	L'utilisateur travaille activement avec un site Web riche en graphiques qui contient plusieurs images statiques et animées. L'utilisateur fait défiler les pages horizontalement et verticalement
Galerie d’images	3,3 à 3,6 Mbits/s	0,7-0,8 Mbits/s	L’utilisateur travaille activement avec l’application Galerie d’images (il parcourt les images, effectue des zooms, redimensionne les images et effectue des rotations d’images)
Video playback	8,5 à 9,5 Mbits/s	2,5 à 2,8 Mbits/s	L’utilisateur regarde une vidéo de 30 FPS qui utilise la moitié de l’écran.
Lecture vidéo en plein écran	7,5 à 8,5 Mbits/s	2,5-3,1 Mbits/s	L’utilisateur regarde une vidéo de 30 FPS agrandie en plein écran.

Configuration requise pour Microsoft Teams

Microsoft Teams est l’un des principaux services Microsoft 365 d’un PC cloud. Windows 365 déplace le trafic audio et vidéo vers votre point de terminaison pour que l’expérience vidéo ressemble à celle de Teams sur un PC physique.

La qualité du réseau est importante par scénario. Vérifiez que la bande passante disponible est suffisante pour la qualité que vous souhaitez offrir.

La résolution Full HD (1920x1080p) n’est pas prise en charge pour Microsoft Teams sur les PC cloud.

Bande passante (chargement/téléchargement)	Scénarios
30 Kbits/s	Appel audio de pair à pair.
130 Kbits/s	Appel audio de pair à pair et partage d’écran
500 Kbits/s	Appel vidéo de qualité de pair à pair avec une résolution de 360p à 30 FPS.
1,2 Mbits/s	Appel vidéo de qualité HD de pair à pair avec une résolution de 720p HD à 30 FPS.
500 Kbits/1 Mbits/s	Appel vidéo de groupe.

Pour plus d’informations sur la configuration réseau requise pour Microsoft Teams, consultez Considérations relatives à la mise en réseau.

Technologies d’interception du trafic

Certains clients d’entreprise utilisent l’interception du trafic, le déchiffrement SSL, l’inspection approfondie des paquets et d’autres technologies similaires pour permettre aux équipes de sécurité de superviser le trafic réseau. Le provisionnement des PC cloud peut nécessiter un accès direct à la machine virtuelle. Ces technologies d’interception du trafic peuvent entraîner des problèmes lorsque vous effectuez des vérifications sur la connexion réseau Azure ou lorsque vous provisionnez un PC Cloud. Vérifiez qu’aucune interception de réseau n’est appliquée pour les PC cloud qui sont provisionnés dans le service Windows 365.

Bande passante

Windows 365 utilise l’infrastructure réseau Azure. Un abonnement Azure est requis lorsqu’un réseau virtuel est sélectionné lors du déploiement Windows 365 Enterprise. Les frais de bande passante pour l’utilisation des PC cloud sont les suivants :

• Le trafic réseau vers un PC cloud est gratuit.
• Le trafic sortant (sortant) entraine des frais pour l’abonnement Azure pour le réseau virtuel.
• Les données de bureau (comme le courrier électronique et la synchronisation des fichiers OneDrive for Business) entraînent des frais de sortie si le PC en nuage et les données d'un utilisateur résident dans des régions différentes.
• Le trafic réseau RDP entraîne toujours des frais de sortie.

Si vous apportez votre propre réseau, consultez la tarification de la bande passante.

Si vous utilisez un réseau hébergé par Microsoft : Les données sortantes/mois sont basées sur la RAM du PC cloud :
– 2 Go de RAM : 12 Go de données sortantes
– 4 Go ou 8 Go de RAM : 20 Go de données sortantes
– 16 Go de RAM : 40 Go de données sortantes
– 32 Go de RAM : 70 Go de données sortantes
La bande passante des données peut être restreinte lorsque ces niveaux sont dépassés.

Étapes suivantes

En savoir plus sur le contrôle d’accès en fonction du rôle PC cloud.