Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogyan egyszerűsítheti és védheti meg Windows 365 környezetét Azure Firewall használatával. Az itt ismertetett példaarchitektúra alacsony karbantartást és automatizált hozzáférést biztosít a szükséges végpontokhoz egy közvetlen és optimalizált kapcsolati útvonalon keresztül. A Azure Firewall hálózati szabályok és a teljes tartománynév (FQDN) címkéivel replikálhatja ezt az architektúrapéldányt a környezetében.
Megjegyzés:
Ez a cikk azokra az ügyfelekre vonatkozik, akik azure-beli hálózati kapcsolatokkal (ANC) helyeznek üzembe Windows 365. Ez a cikk nem vonatkozik a Microsoft által üzemeltetett hálózatokat használó környezetekre, mert a Microsoft kezeli a mögöttes biztonságot és kapcsolatot. További információ ezekről: Windows 365 hálózatkezelési üzembehelyezési lehetőségek.
A Windows 365 szolgáltatáshoz optimalizált, nemproxid kapcsolatra van szükség a kritikus szolgáltatásvégpontokhoz, amelyek közül sok a Microsoft infrastruktúrájában található. Ezekhez az erőforrásokhoz helyszíni hálózatokon keresztül, az interneten keresztüli csatlakozás nem hatékony, és nem ajánlott. Az ilyen kapcsolatok konfigurálása és kezelése is összetett lehet.
Előfordulhat például, hogy az ANC-alapú üzemi modellt használó Windows 365 ügyfelek közvetlen kapcsolatban vannak egy ExpressRoute-ot vagy helyek közötti VPN-t használó helyszíni környezettel. Előfordulhat, hogy a kimenő forgalom egy meglévő proxykiszolgálóval van átirányítva, ugyanúgy, mint a helyszíni forgalom. Ez a kapcsolati stratégia nem Windows 365 környezetekhez van optimalizálva, és valószínűleg jelentős hatással lesz a teljesítményre.
Ehelyett az ANC Windows 365-környezetekkel együtt használhatja a Azure Firewall, hogy optimalizált, biztonságos, alacsony karbantartási és automatizált hozzáférést biztosítson. A közvetlen útvonallal optimalizálhatja a kritikus távoli asztali protokoll (RDP) forgalmát és más hosszú élettartamú kapcsolatokat is, például a biztonságos webátjárók felé.
A Windows 365 szükséges végpontjai
Windows 365 a következő végpontokhoz való hozzáférést igényli:
Érdemes lehet más Microsoft-szolgáltatásokhoz (például Office 365) is hozzáférni, amikor optimalizált kapcsolatot konfigurál a környezetből.
Bizonyos szolgáltatások FQDN-címkéi Azure Firewall érhetők el a szabályok egyszerű konfigurálásához és karbantartásához. Ezekről a dokumentum későbbi részében lesz szó.
Példaarchitektúra Azure Firewall és FQDN-címkékkel
Az Azure-ban sokféleképpen konfigurálhatja a hálózatkezelést. Itt a következőt használjuk:
- Egyetlen virtuális hálózat, amely Azure Firewall kezeli a kimenő hozzáférést.
- Az RDP-forgalom optimalizálása, hogy közvetlenül a Microsoftnak küldje.
- Egy ExpressRoute-kapcsolatcsoport, amely csatlakoztatja a virtuális hálózatot a helyszíni környezethez.
Az ábrán szereplő forgalom:
- Contoso vállalati hálózat: Ez a helyszíni IP-alhálózat az ExpressRoute-átjárón keresztül van meghirdetve a virtuális hálózaton. Az ebbe a tartományba (10.0.0.0/8) érkező összes forgalom az ExpressRoute-kapcsolatcsoporton keresztül lesz elküldve.
- A Windows 365 alhálózatról érkező összes többi forgalom az Azure-tűzfalra 0.0.0.0/0 felhasználó által megadott útvonalon (UDR) lesz elküldve. A következő ugrás IP-címe a Azure Firewall magánhálózati IP-címére van beállítva.
- A tűzfal alkalmazásszabályokat (és FQDN-címkéket) és hálózati szabályokat konfigurált a Windows 365 szükséges végpontokhoz. A szabályoknak megfelelő forgalom engedélyezett. Minden más, kifejezetten nem engedélyezett forgalom le van tiltva.
- Egy másik UDR a "WindowsVirtualDesktop" szolgáltatáscímkére mutat, amely AZ RDP-kapcsolat IP-tartományait tartalmazza, és a következő ugrási beállítással "Internet" értékűre van konfigurálva. Ez az UDR megakadályozza, hogy az RDP-forgalom áthalad a tűzfalon, és közvetlenül a Microsoft hálózatára kerüljön.
RDP-kapcsolat optimalizálása
Ebben a példakonfigurációban az RDP egy adott UDR-vel van konfigurálva, hogy a "WindowsVirtualDesktop" szolgáltatáscímkét az "internetre" mutasson. Ez a konfiguráció azt jelenti, hogy ez a nagy mennyiségű és késésre érzékeny forgalom közvetlen és rendkívül hatékony útvonallal rendelkezik az infrastruktúrához, és elkerüli a szükségtelen terhelést a tűzfalon. Javasoljuk, hogy ezt a konfigurációt úgy implementálja, hogy a legteljesebb és legmegbízhatóbb elérési utat biztosítsa az RDP számára. Bár az UDR célja az "Internet", mivel ez a forgalom a Microsoft-végpontokra irányul, a felhőbeli PC-ről az RDP-infrastruktúrára irányuló forgalom nem éri el az internetet, de a Microsoft gerinchálózatán belül marad.
Megjegyzés:
Ez a példakialakítás alapértelmezett kimenő hozzáférést használ. 2025 szeptemberében az új üzemelő példányok esetében megszűnik az alapértelmezett kimenő hozzáférés. A meglévő üzemelő példányok számára továbbra is elérhető lesz. A nyugdíjba vonulásról további információt a hivatalos közleményben talál. Szeptember után a NAT explicit formája, például a NAT Gateway, használható az új üzemelő példányokban ennek a függvénynek a biztosítására. Ha hozzáad egy NAT Gatewayt a használt alhálózathoz, az azt jelenti, hogy a NAT Gateway az alapértelmezett kimenő hozzáférés helyett az "Internet" felé irányuló forgalomhoz használatos.
Azure Firewall alkalmazásszabályok
A diagram környezete a következő Azure Firewall alkalmazásszabályok használatával lett beállítva (a 3. ábrafeliratban alkalmazva). A Contoso helyszíni alhálózatára nem irányuló összes forgalom a tűzfalra lesz irányítva. Ezek a szabályok lehetővé teszik, hogy a meghatározott forgalom a célhelyre lépjen. A Azure Firewall üzembe helyezésével kapcsolatos további információkért lásd: Azure Firewall üzembe helyezése és konfigurálása a Azure Portal használatával.
| Szabály leírása | Cél típusa | FQDN-címke neve | Protocol (Protokoll) | A Transport Layer Security (TLS) vizsgálata | Kötelező/Nem kötelező |
|---|---|---|---|---|---|
| Windows 365 teljes tartománynevek | FQDN-címke | Windows365 | HTTP: 80, HTTPS: 443 | Nem ajánlott | Kötelező |
| Intune teljes tartománynevek | FQDN-címke | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Nem ajánlott | Kötelező |
| Office 365 teljes tartománynevek | FQDN-címke | Office365 | HTTP: 80, HTTPS: 443 | Nem ajánlott optimalizálni & kategóriákat | Nem kötelező, de ajánlott |
| Windows Update | FQDN-címke | WindowsUpdate | HTTP: 80, HTTPS: 443 | Nem ajánlott | Nem kötelező |
| Citrix HDX Plus | FQDN-címke | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Nem ajánlott | Nem kötelező (csak Citrix HDX Plus használatakor szükséges) |
Azure Firewall társítható nyilvános IP-címekkel, hogy kimenő internetkapcsolatot biztosítson. Az első nyilvános IP-cím véletlenszerűen van kiválasztva a kimenő hálózati címfordítás (SNAT) biztosításához. A rendszer a következő elérhető nyilvános IP-címet fogja használni, miután az első IP-cím összes SNAT-portja kimerült. A nagy átviteli sebességet igénylő forgatókönyvekben ajánlott Azure NAT Gatewayt használni. A NAT Gateway dinamikusan skálázza a kimenő kapcsolatokat, és integrálható egy Azure Firewall. További információ: NAT Gateway integrálása Azure Firewall oktatóanyaggal.
Windows365-címke
A Windows365 címke tartalmazza a szükséges Azure Virtual Desktop- (AVD-) végpontokat, kivéve a nem szabványos portokkal rendelkező végpontokat, amelyeket manuálisan kell megadni (lásd a Hálózati szabályok szakaszt).
A Windows365-címke nem tartalmazza a Intune. A MicrosoftIntune címke külön használható.
A Windows365 FQDN címkéje tartalmazza az összes szükséges végpontot, kivéve a kötelezőként felsorolt végpontokat a dokumentum külön soraiban, amelyeket külön kell konfigurálni. Az FQDN-címkék eltérnek a szolgáltatáscímkéktől. A WindowsVirtualDesktop szolgáltatáscímke például csak azokat az IP-címeket tartalmazza, amelyekre a *.wvd.microsoft.com fel van oldva.
Hálózati szabályok
Azure Firewall jelenleg nem kezeli a nem szabványos portokat egy FQDN-címkében. Windows 365 néhány nem szabványos portkövetelményt tartalmaz, ezért a következő szabályokat manuálisan kell hozzáadni hálózati szabályokként a teljes tartománynév címkéi mellett.
| Szabály leírása | Cél típusa | Teljes tartománynév/IP | Protocol (Protokoll) | Port/s | TLS-vizsgálat | Kötelező/Nem kötelező |
|---|---|---|---|---|---|---|
| Windows-aktiválás | FQDN | azkms.core.windows.net | TCP | 1688 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Nem ajánlott | Kötelező |
| User Datagram Protocol-kapcsolat (UDP) a TURN-en keresztül | IP | 20.202.0.0/16 | UDP | 3478 | Nem ajánlott | Kötelező |
| Regisztráció | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Nem ajánlott | Kötelező |
Partnerbiztonsági megoldási lehetőségek
A Windows 365-környezet védelmének további módjai a partnerbiztonsági megoldás lehetőségei, amelyek automatizált szabálykészleteket biztosítanak a Windows 365 szolgáltatáshoz szükséges végpontok eléréséhez. Ilyen lehetőségek például a következők:
- Check Point szoftvertechnológiák frissíthető objektumai
Következő lépések
További információ Windows 365 architektúráról.
További információ az FQDNS-ről: FQDN-címkék áttekintése.
További információ a szolgáltatáscímkékről: Virtuális hálózati szolgáltatáscímkék.